科羅拉多州隱私法案:對用戶數據保護未來的預測
已發表: 2021-09-16
去年 7 月,科羅拉多州通過了科羅拉多州隱私法 (CPA),使其成為繼加利福尼亞州、內華達州和弗吉尼亞州之後美國第四個頒布全面隱私立法的州。
雖然 CPA 和類似法律會隨著時間的推移而發生變化,但問題仍然存在:企業是否應該開始努力遵守每項新的單獨法律,或者他們是否應該制定某種計劃,無論如何都可以保護用戶的權利發生在政策變化方面?
隨著每個州獨特的隱私法規,公司越來越難以跟踪這些變化,確保合規並避免處罰。
為了簡化此過程,我們將比較來自不同州的一些最近的示例,並深入了解它們可能如何影響業務實踐以及用戶數據保護的未來趨勢。
在這篇博文中,我們將了解科羅拉多州隱私法以及它如何與其他隱私法相抵觸,例如內華達州的 SB20、弗吉尼亞州的 CDPA、加利福尼亞州的 CPPA 和最新的 CPRA 以及歐洲 GDPR。
首先,這裡總結一下這些法律的所有關鍵條款:
| 關鍵條款 | 科羅拉多州註冊會計師 | 內華達州 SB220 | 弗吉尼亞 CDPA | 加州 CDPA + CPRA | 歐洲 GDPR | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 處理能力 | |||||||||||||||||||||||||||||||||||
| 數據最小化 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 允許的目的 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 個人權利 | |||||||||||||||||||||||||||||||||||
| 接收處理活動通知的權利 | 是的 | 是的 | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||
| 訪問個人數據的權利 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 數據可移植性的權利(即,數據必須以易於使用的格式提供,以便可以從一個實體/平台轉移到另一個實體/平台) | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 糾正個人數據錯誤的權利 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 刪除個人數據的權利 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 選擇退出行為廣告的權利 | 不 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 反對自動分析和決策的權利 | 不 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 行使這些權利的不受歧視的權利 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 選擇不出售個人信息的權利 | 是的 | 是的 | 是的 | 是的 | 不 | ||||||||||||||||||||||||||||||
| 選擇加入或退出處理敏感信息 | 選擇參加 | 選擇參加 | 選擇退出 | 選擇參加 | |||||||||||||||||||||||||||||||
| 拒絕請求的上訴權 | 不 | 是的 | 不 | 不 | |||||||||||||||||||||||||||||||
| 問責制/治理 | |||||||||||||||||||||||||||||||||||
| 數據保護評估 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||
| 適當的數據安全以保護信息 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 違規通知 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| EEA 以外的數據傳輸 | |||||||||||||||||||||||||||||||||||
| 國際轉移的附加措施 | 是的 | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 轉讓給第三方 | |||||||||||||||||||||||||||||||||||
| 服務提供商協議中的合同要求 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 營銷 | |||||||||||||||||||||||||||||||||||
| 同意 Adtech cookie | 不 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 在直接營銷之前獲得同意 | 是的 | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 執法機構 | |||||||||||||||||||||||||||||||||||
| 司法部長 | 司法部長 | 總檢察長,CPPA | DPA | ||||||||||||||||||||||||||||||||
| 手術日期 | |||||||||||||||||||||||||||||||||||
| 2023 年 7 月 1 日 | 2019 年 10 月 1 日 | 2023 年 1 月 1 日 | 2020 年 1 月 1 日 / 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | |||||||||||||||||||||||||||||||
所有這些隱私法有什麼共同點?
CPA 類似於 GDPR、加利福尼亞州的法律和弗吉尼亞州的其他隱私法。 但是,它無法與內華達州進行比較,因為後者僅針對在線收集的某些數據的銷售制定了更為有限的法律,因此將其排除在以下比較之外。
- 數據處理協議——這在所有隱私法中都很常見。 簡而言之,這意味著一個組織需要起草一個法律模板,其中描述在使用服務或產品時發生的個人數據處理活動。 簡而言之,它討論了數據處理將如何發生、誰將負責什麼以及將採取哪些安全措施。 我們早在 2018 年就為 GDPR 準備了模板,可在此處獲取。 對於每一項新法律,我們都會更新模板條款以適應所有新的法律條款。
- 隱私法之間的第二個共同點是,它們都要求組織採取適當的技術和組織措施,以便在消費者行使其權利時快速、適當地做出反應。 如上表所示,這些權利的含義因法律而異,但措施保持不變。
- 個人數據洩露通知是法律中的另一個常見術語。 個人數據安全漏洞是任何可能影響組織以任何格式持有的個人數據的機密性、完整性或可用性的事件。
個人數據安全漏洞的發生可能有多種原因,包括:- 向未經授權的個人披露機密數據;
- 數據或存儲數據的設備丟失或被盜;
- 允許未經授權使用信息的不適當的訪問控制;
- 試圖未經授權訪問計算機系統,例如黑客攻擊; 未經數據“所有者”授權更改或刪除的記錄;
- 對 IT 設備系統或網絡的病毒或其他安全攻擊;
- 登錄用戶帳戶時讓 IT 設備無人看管,而不鎖定屏幕以阻止其他人訪問信息;
- 錯誤地發送給錯誤收件人的包含個人或敏感信息的電子郵件。
- GDPR、CCPA、VCDPA 和 CPA 下的另一個常見要求是對任何新的高風險處理項目進行數據處理影響評估 (DPIA)的過程。 DPIA 是系統地考慮項目或倡議可能對個人隱私產生的潛在影響的過程。 它允許組織在潛在隱私問題出現之前識別它們,並想出一種方法來緩解它們。 GDPR 首次為那些參與高風險處理的組織引入了強制性 DPIA; 例如,正在部署新技術的地方,分析操作可能會對個人產生重大影響的地方,或者對公共區域進行大規模監控的地方。
例如,要行使訪問 Convert 正在使用的個人數據的權利,您必須向 [email protected] 發送書面請求。 在請求中,提及您的請求是根據您感興趣的特定隱私法行使您的訪問權。DPO 必須回复您的書面請求。 準備好提供您的身份證明,DPO 應要求您確保不會將個人信息提供給錯誤的人。 上述過程特定於 GDPR、CCPA、CPA,並且已記錄在我們的隱私頁面上。
同樣,如果您想關閉您的 Convert 帳戶、退出服務並希望備份您的所有 Convert 數據,您可以行使數據可移植性的權利。 如果無法立即提供下載數據的選項,您可以向上述相同的電子郵件地址寫一封電子郵件,並要求 DPO 備份整個服務中使用的數據。 DPO 必鬚根據您的書面請求採取行動。
在其 GDPR 項目中,Convert 制定了員工指南和用於執行 DPIA 的模板。 您可以在此處找到帶有預填篩選問題的模板。 此後,此模板已適應新的美國隱私法。
但是有一些關鍵的區別!
GDPR 保護個人數據。 美國法律主要保護那些選擇保護其個人數據的消費者。
- 關於數據與消費者保護的辯論是所有這些隱私計劃的核心。 這也是區分 GDPR 與所有其他隱私法的關鍵點。 借助 GDPR,個人數據在從收集、處理、存儲、傳輸到第三方的各個階段都受到保護。 美國法律確保消費者在在線和使用服務、瀏覽或測試產品時受到保護。 這就是為什麼新法律生效時公司的隱私政策不能保持不變的原因。 需要添加新的部分,以反映新的法律條款和規定。 始終諮詢您的律師,以確切了解要添加哪些內容以符合每項法律。
- 法律在選擇加入/選擇退出製度的範圍方面也有所不同。 GDPR 在選擇加入製度下運作,這意味著歐盟成員國不會從訪問者那裡收集任何個人數據,除非他們通過選中他們正在導航的網站上出現的同意橫幅上的複選框來明確同意。 美國出版商網站的情況正好相反。 在訪問者決定退出數據處理之前,可以收集數據。 加利福尼亞州僅在某種混合選擇退出/選擇加入製度下運作。 CCPA 默認允許組織收集消費者的數據,但也要求數據收集者在收集數據之前向消費者提供隱私聲明。 CPA、VCDPA 有明確的選擇退出製度。
在 Convert,我們在選擇加入的製度下運作,因為我們重視透明度和訪客的選擇,並且我們調整了我們的用戶體驗以滿足其要求。 - 國際數據傳輸的規則也存在差異。 GDPR 再次對這些轉移非常嚴格,並且僅在接收國具有類似隱私法規時才允許它們。 否則,它要求組織使用標準合同條款或用戶同意。 另一方面,CCPA 和 VCDPA 允許在全球範圍內傳輸國際數據,直到事件發生。 然後,該組織將承擔責任並處以罰款。 CPA 有點寬鬆,要求組織在發生國際數據傳輸時通知用戶/訪問者,但不限制它們。
在 Convert,我們遵守 GDPR 並在要求時提供必要的傳輸工具(標準合同條款是我們用戶簽署的合同的一部分)。 - 最後,法律對侵犯隱私權有不同的響應期限。 GDPR 和 VCDPA 給予控制者或處理者 30 天的時間來應對侵犯隱私的行為。 CPPA 是允許的,但不要求提供糾正違反 CPRA 的期限。 CPA 必須提供 60 天的回复期。
由於 Convert 沒有涉及任何隱私侵犯,因此很難進行測試,但我們在內部模擬了此類請求,發現我們可以在 7-10 天內做出響應。 考慮到可以涉及許多人和工具這一事實,這令人印象深刻。
您的公司準備好參加 CPA 了嗎?
其中許多法律都有類似的措辭,因此很難發現差異。 但是,我們試圖通過上面的比較讓您更清楚。 為了遵守這些隱私法,請準備好花大量時間審查它們並諮詢法律專家。
值得慶幸的是,一些措施普遍適用於所有這些措施。 我們在之前的一篇文章中列出了它們,但在這裡它們再次刷新您的記憶:
- 創建和維護一個全面的數據清單,提供對所涉及數據類型和處理活動性質的洞察。
- 確保敏感數據被隔離和管理,沒有不必要的風險。
- 實施實施數據保護影響評估 (DPIA) 的框架。
- 評估現有的網絡安全政策、實踐和控制措施,以確保它們符合行業公認的標準。
- 使消費者能夠選擇不出售其個人信息(如適用)。
- 更新面向公眾的隱私政策,除其他變更外,承諾不會重新識別去識別的個人數據,並提供其數據處理活動的詳細信息。
- 制定機制,以接受、跟踪、驗證和尊重消費者在 CPA 下訪問、更正、刪除和選擇退出個人數據的請求。
- 確保您的客戶服務員工準確了解法規,以有效且可預測地滿足消費者的要求。
未來十年的隱私格局會是什麼樣子?
數據隱私正在成為這十年的一個決定性問題。 這將是一個對隱私更加敏感的世界,企業和個人都越來越意識到不再有“私人”之類的東西。
最近的隱私法告訴我們,這些舉措需要大量的努力和時間來仔細規劃、發現隱私機制中的漏洞,並實施新的政策、流程和補救措施。 因此,數據隱私格局不會迅速改變。
儘管隱私的未來在很大程度上是不成文的,但一些趨勢已經在以各種方式塑造它。 在未來十年內最能駕馭這些趨勢的組織將比那些繼續遵守新法律的組織更具競爭力。
讓我們看看它們是什麼。
- 大多數消費者將主動保護他們的個人數據。 我們將看到更好的隱私保護工具(就像我們現在擁有侵犯隱私的工具一樣)。 不遵守這些保護措施的組織將面臨失去客戶的風險。
- 跨境數據傳輸將變得更加簡單。 我們不必建立外國人無法進入的本地數據王國。
- 隱私客戶體驗之旅:將開發符合隱私法的文化和法律期望以及每家公司對數據和技術道德的立場的新項目。
- 員工隱私文化:人力資源將使用符合公司數據和技術價值觀的員工隱私計劃來發展全面的隱私文化。 這樣的計劃可能包括一個員工委員會,負責審查和交流工作場所新技術和數據使用的隱私和道德影響評估。
10年可以改變很多,但話又說回來,也幾乎沒有改變。 在 Convert,我們已將尊重訪客和用戶的隱私作為我們文化的一部分。 2030年我們會在哪裡? 到 2030 年,我們將看到尊重用戶隱私的企業與監管機構一起順利合作,同時不損害個人自由。 這一願景對我們 Convert 公司的團隊來說是最重要的,我們希望您也能加入我們的行列!
