认为隐私仅适用于欧洲？ 再想想。

GDPR 已完成。 无论如何，它只影响了在欧盟运营的企业。 正确的？

并不真地。

1. 隐私永远不会“完成”。 合规性是一项始终存在的要求，企业应持续不断地监控他们的接触点、数据收集实践、数据处理逻辑以及对其供应商的相同考虑。
2. GDPR 影响了所有处理欧盟公民数据的企业，而不仅仅是位于欧洲的企业。
3. GDPR 只是冰山一角。 世界正在意识到冷酷无情的数据收集和处理不受惩罚的威胁。 是的，欧洲首先醒来。 但这并不意味着美国和世界其他地区将继续沉睡。

事实上，美国已经开始走上革命性隐私法规的道路。 随着加利福尼亚州、内华达州和缅因州通过的法律以及许多其他州计划出台的法案，企业预计将在未来几个月内受到影响。

本文分解了每个州的隐私法规/法案的关键部分——包括他们涵盖的对象、生效时间、处罚、如何实现合规、各州为何在联邦政府面前掌权保护消费者的个人数据以及接受隐私合规如何使您的业务受益。

美国联邦法规？

在 9 月 10 日致国会领导人的一封信中，各行业的商业圆桌会议首席执行官敦促政策制定者尽快通过一项全面的国家数据隐私法，以加强对美国消费者的保护，并建立一个框架，以实现持续创新和增长。数字经济。

这封由 51 位首席执行官签署的信函已发送给众议院和参议院领导层以及众议院能源和商务委员会以及参议院商务、科学和交通委员会的领导人。

从美国商业的角度来看，现在是引入联邦数据保护法的最佳时机。

GDPR 规定，任何收集欧盟居民个人数据的公司都必须遵守法律——无论该公司是否位于欧盟。 这意味着许多美国企业已经符合 GDPR 以在国际上开展业务，并具备将这种合规性扩展到美国市场的框架。

美国的国有企业则不同。 数据保护合规正在成为一场噩梦，（可能）多达 50 种不同的州法律具有不同的规范和要求。 联邦法律将简化这一点，为所有州提供统一的立法。

美国各州法律

作为回应，各州早早采取了行动。

随着三个州通过的法律、其他州提出的法案以及几个州通过新的数据泄露通知法，我们见证了向保护消费者数据和对控制和处理数据的企业负责的大规模转变的开始。

IAPP 威斯汀研究中心编制了以下来自全国各地的提议和颁布的综合隐私法案清单，以帮助企业努力跟上不断变化的国家隐私格局。

尽管地图中包含的许多法案将无法成为法律，但比较每项法案中的关键条款有助于了解美国隐私权的发展情况。

加利福尼亚

作为 GDPR 之后通过的首批隐私法之一，CCPA 正在充当美国其他法案的蓝图。 自 2020 年 1 月 1 日起，CCPA 适用于收集/处理加州居民个人数据或在加州开展业务的企业。

如果这些企业满足以下任一条件，则受 CCPA 约束：

• 总收入超过 2500 万美元
• 购买、接收、出售或共享（合计）50,000 或更多消费者家庭或设备的个人信息
• 通过出售消费者的个人信息获得年收入的 50% 或更多

CCPA 授予消费者类似于 GDPR 的权利，包括披露个人信息和索取个人数据。 企业需要使用信息来响应可验证的消费者请求，例如个人信息的类别和数据、第三方以及与之共享数据的第三方类别等。

此部分称为数据主体请求 (DSR)，授予用户访问和删除其个人信息的选项。 此外，CCPA 要求企业在其主页上显示“请勿出售我的个人信息”链接。

CCPA 将由总检察长执行，包括对每项违规行为处以最高 7,500 美元的罚款。

内华达州

内华达州的隐私法于 2019 年 5 月 29 日签署，但于 2019 年 10 月 1 日生效，比著名的 CCPA 早了三个月。 这些法律非常相似，但在如何定义“销售”方面存在重大差异。 内华达州的法律范围较窄，并未涵盖所有服务提供商，对金融机构更为宽松。

根据 InfoLawGroup 的说法，CCPA 和内华达州的法律相似，都要求“企业提出一个流程来验证消费者选择退出请求的合法性，并要求企业在 60 天内回复请求。”

与加利福尼亚州类似，内华达州的执法由总检察长负责，每次违规罚款最高可达 5,000 美元。

缅因州

缅因州的隐私法于 2019 年 6 月 6 日签署，但将于 2020 年 7 月 1 日生效。该法律禁止互联网服务提供商 (ISP) 出售、共享或授予第三方访问其客户数据的权限，除非明确给出这些客户的认可。 随着变化，

缅因州居民现在对电信和技术部门公司通常收集和存储的电子邮件、在线聊天、浏览器历史记录、IP 地址和地理位置数据有了额外的保护。

因此，虽然 CCPA 赋予客户选择退出的权利，但这项新法律禁止 ISP 使用客户数据，除非客户选择加入。这一要求比 CCPA 或内华达州法律更进一步，并且在美国隐私法中相对独特，通常赞成选择退出同意。

不要等待 - 现在准备：

根据 2018 年普华永道的一项调查，64% 的企业尚未开始为 CCPA 法规做准备。

您是否推迟开始合规之旅？ 您是否已经开始了这个过程，但发现自己被快速接近的最后期限所挑战？

以下是您作为企业可以采取的有意识的行动列表，以遵循大多数现有法律以及将在不久的将来强制执行的法律。

第 1 步：更新隐私声明和政策

鉴于 2018 年 5 月收到的所有“我们已经更新了我们的隐私政策”（GDPR 合规性）电子邮件，预计 2019 年第三季度会出现另一波浪潮，这一次是符合 CCPA 或内华达州或缅因州的，这可能是合理的。

这些法律将要求“在收集点或之前”涵盖的公司向消费者发出通知，告知他们公司收集的个人信息的类别以及公司使用这些信息的目的。

该通知还必须明确规定收集、披露或出售的个人信息的类别，并且消费者拥有选择不出售其信息的新权利。

公司还需要更新其隐私政策，以包括对其他新消费者权利的描述。

由于许多公司必须确定何时符合 GDPR，因此在进行法律要求的政策更新之前，公司将需要确定他们是否将为每个州居民保留一份隐私声明，或者制定一项通用政策。

第 2 步：更新数据清单、业务流程和数据策略

公司还必须维护数据清单，该清单本质上是一个用于跟踪其数据处理活动的数据库，包括处理消费者个人数据的业务流程、第三方、产品、设备和应用程序。

必须符合 GDPR 的公司必须在其数据清单中添加几列，包括：

• 识别数据使用是否包括信息的“销售”；
• 识别哪些类别的个人信息被传输给第三方；
• 确定数据是否是在 12 个月前收集的，因此可能被豁免。
• 该数据库还必须保持最新状态，并能够跟踪所有消费者权利请求，例如跟踪经过验证的信息请求。

第 3 步：实施协议以确保消费者权利

这些法律保障了企业需要采取措施确保的一些消费者权利。

• 通知权——虽然这不完全是一项被授予的权利，但在企业从消费者那里收集个人信息时或之前，必须适当地通知消费者正在收集哪些类别的信息以及信息的使用目的。

• 访问权/请求权——根据可验证的请求，企业必须采取措施向消费者免费披露和交付个人信息，这些信息可以通过邮件或电子方式交付。 如果以电子方式提供，则必须以便携的形式提供，并且在技术上可行的范围内，以易于使用的格式提供，使消费者能够毫无问题地将个人信息传输给另一个实体。 企业可以随时向消费者提供个人信息，但不必在 12 个月内向消费者提供超过两次。

• 知情权——消费者有权要求收集个人信息的企业披露以下内容： (1) 收集的个人信息类别； (2) 收集信息的来源； （三）收集或出售信息的商业或商业目的； (4) 与企业共享信息的第三方类别； (5) 企业收集的有关消费者的具体个人信息。

• 删除权——消费者有权根据可验证的请求要求企业删除企业收集的有关消费者的任何个人信息。 收到此类请求后，企业必须删除信息并指示任何服务提供商也从其记录中删除信息，除非企业或服务提供商需要该信息以：(1) 计算收集个人信息的交易，提供消费者要求的商品或服务，或在企业与消费者的持续业务关系中合理预期的商品或服务，或以其他方式履行企业与消费者之间的合同； (2) 检测安全事件； 防止恶意、欺骗、欺诈或非法活动； 或起诉应对该活动负责的人； (3) 调试以识别和修复现有预期功能的错误； （四）行使言论自由权，保障其他消费者行使言论自由权的权利，或者行使法律规定的其他权利； (5) 为公共利益从事公共或同行接受的科学、历史或统计研究； (6) 根据消费者与企业的关系，仅实现与消费者期望合理一致的内部使用； (7) 遵守法律义务； (8) 以其他与消费者提供信息的环境相一致的合法方式在内部使用消费者的个人信息。

• 选择退出权——消费者有权选择退出企业出售个人信息。 企业必须以消费者可以合理访问的形式提供指向主页的清晰显眼的链接，标题为“请勿出售我的个人信息”，使消费者能够选择不出售消费者的个人信息。 企业必须至少等待 12 个月才能要求出售任何选择退出的消费者的个人信息。

第 4 步：进行安全更新

这些法律还要求涵盖的企业以“合理”的安全性保护个人数据。 在实践中，该标准已导致公司采取基于风险的方法来解决对个人数据的机密性、完整性和可用性的威胁。 他们评估对数据的威胁，对检测到的漏洞的风险进行排序，并首先解决高风险漏洞。

第 5 步：更新第三方处理器协议

为遵守美国隐私法，让其他公司处理其数据的企业将需要更新其第三方合同，包括插入标准合同条款语言； 要求供应商数据清单； 使用尽职调查问卷； 提供处理记录； 要求同步消费者响应过程； 需要现场评估和审计； 并要求映射与每个第三方共享的特定数据元素，包括指定那些符合“销售”条件的传输。

对于那些为信息付费的第三方，他们将需要额外设计流程来满足消费者选择退出销售并提供删除该数据的请求。

第 6 步：培训

最后，这些法律要求处理消费者查询的员工了解其所有要求。 由于所涉及的处罚，这种培训应该是最低限度的，建议进行额外的员工培训。

认为实施起来很多吗？ 企业将从合规中受益：

有人批评隐私法，并声称这些法律对企业不利。

合规计划需要花钱，但公司不能指望从资产（如数据）中赚钱，而不是花钱来确保他们的行为合规。

但是，如上所述，隐私法中的关键要求大多符合常识，因此合规计划绝不应该是无底洞。

此外，即使法律压力没有开始增加，道德和意识压力也会增加。

消费者希望与积极保护其数据隐私的公司开展业务。

是的，存在合规成本，但这应该被视为与数据开展业务以及建立和维护品牌声誉的成本的一部分。 作为一个合规的组织，您将能够推销您的依从性，这反过来又可以帮助提高销售额和客户忠诚度。

全球几乎所有组织现在都认识到隐私投资正在转化为商业利益。 为 GDPR 做好准备而进行投资的组织正在经历越来越少且成本更低的数据泄露事件，由于客户的隐私问题，他们看到的销售摩擦越来越少，受影响的数据记录越来越少，系统停机时间越来越短。

这些是最近发布的思科 2019 年数据隐私基准研究的一些结果，该研究利用了对 18 个国家/地区的 3,200 多名安全和隐私专业人士的双盲调查数据。 该研究是探索当今组织在隐私和网络安全方面面临的关键问题的系列研究中的第一篇。

根据思科的研究，97% 的公司表示，他们从隐私投资中获得了更多好处，而不仅仅是遵守隐私法。 这些好处包括竞争优势、对投资者的吸引力、运营效率以及更大的灵活性和创新能力。

四分之三的受访者表示他们正在接受两项或多项此类福利。 此外，大多数公司现在表示，强大的数据隐私是其市场竞争优势。

这些结果强调了企业不仅需要进行变革以遵守隐私法，而且还要最大限度地提高其隐私投资的商业利益。

改善数据管理、提高客户信任度、缩短销售延迟时间并降低数据泄露成本，这些都对您的组织意义重大，并为您提供业务繁荣所需的竞争优势。

墙上的文字又大又粗。 隐私不仅适用于欧洲……它是世界各地企业的当前需求。 这种转变是动荡的。 但这是不可避免的。

人类发明了锁来保护他们的有形资产。 既然无形数据同样珍贵（如果不是更多），那么鲁莽地积累和处理这些数据将受到反对、不喜欢并最终被视为违规行为。

隐私合规实践简化了操作。 他们通过降低违规风险来提高声誉。 在我看来，这与合规所涉及的努力无关，而是要及早意识到合规很可能是您的下一个重大竞争优势这一事实。

Convert已经打下了坚实的基础。 你呢？