認為隱私僅適用於歐洲？ 再想想。

GDPR 已完成。 無論如何，它只影響了在歐盟運營的企業。 正確的？

並不真地。

1. 隱私永遠不會“完成”。 合規性是一項始終存在的要求，企業應持續不斷地監控他們的接觸點、數據收集實踐、數據處理邏輯以及對其供應商的相同考慮。
2. GDPR 影響了所有處理歐盟公民數據的企業，而不僅僅是位於歐洲的企業。
3. GDPR 只是冰山一角。 世界正在意識到冷酷無情的數據收集和處理不受懲罰的威脅。 是的，歐洲首先醒來。 但這並不意味著美國和世界其他地區將繼續沉睡。

事實上，美國已經開始走上革命性隱私法規的道路。 隨著加利福尼亞州、內華達州和緬因州通過的法律以及許多其他州計劃出台的法案，企業預計將在未來幾個月內受到影響。

本文分解了每個州的隱私法規/法案的關鍵部分——包括他們涵蓋的對象、生效時間、處罰、如何實現合規、各州為何在聯邦政府面前掌權保護消費者的個人數據以及接受隱私合規如何使您的業務受益。

美國聯邦法規？

在 9 月 10 日致國會領導人的一封信中，各行業的商業圓桌會議首席執行官敦促政策制定者盡快通過一項全面的國家數據隱私法，以加強對美國消費者的保護，並建立一個框架，以實現持續創新和增長。數字經濟。

這封由 51 位首席執行官簽署的信函已發送給眾議院和參議院領導層以及眾議院能源和商務委員會以及參議院商務、科學和交通委員會的領導人。

從美國商業的角度來看，現在是引入聯邦數據保護法的最佳時機。

GDPR 規定，任何收集歐盟居民個人數據的公司都必須遵守法律——無論該公司是否位於歐盟。 這意味著許多美國企業已經符合 GDPR 以在國際上開展業務，並具備將這種合規性擴展到美國市場的框架。

美國的國有企業則不同。 數據保護合規正在成為一場噩夢，（可能）多達 50 種不同的州法律具有不同的規範和要求。 聯邦法律將簡化這一點，為所有州提供統一的立法。

美國各州法律

作為回應，各州早早採取了行動。

隨著三個州通過的法律、其他州提出的法案以及幾個州通過新的數據洩露通知法，我們見證了向保護消費者數據和對控制和處理數據的企業負責的大規模轉變的開始。

IAPP 威斯汀研究中心編制了以下來自全國各地的提議和頒布的綜合隱私法案清單，以幫助企業努力跟上不斷變化的國家隱私格局。

儘管地圖中包含的許多法案將無法成為法律，但比較每項法案中的關鍵條款有助於了解美國隱私權的發展情況。

加利福尼亞

作為 GDPR 之後通過的首批隱私法之一，CCPA 正在充當美國其他法案的藍圖。 自 2020 年 1 月 1 日起，CCPA 適用於收集/處理加州居民個人數據或在加州開展業務的企業。

如果這些企業滿足以下任一條件，則受 CCPA 約束：

• 總收入超過 2500 萬美元
• 購買、接收、出售或共享（合計）50,000 或更多消費者家庭或設備的個人信息
• 通過出售消費者的個人信息獲得年收入的 50% 或更多

CCPA 授予消費者類似於 GDPR 的權利，包括披露個人信息和索取個人數據。 企業需要使用信息來響應可驗證的消費者請求，例如個人信息的類別和數據、第三方以及與之共享數據的第三方類別等。

此部分稱為數據主體請求 (DSR)，授予用戶訪問和刪除其個人信息的選項。 此外，CCPA 要求企業在其主頁上顯示“請勿出售我的個人信息”鏈接。

CCPA 將由總檢察長執行，包括對每項違規行為處以最高 7,500 美元的罰款。

內華達州

內華達州的隱私法於 2019 年 5 月 29 日簽署，但於 2019 年 10 月 1 日生效，比著名的 CCPA 早了三個月。 這些法律非常相似，但在如何定義“銷售”方面存在重大差異。 內華達州的法律範圍較窄，並未涵蓋所有服務提供商，對金融機構更為寬鬆。

根據 InfoLawGroup 的說法，CCPA 和內華達州的法律相似，都要求“企業提出一個流程來驗證消費者選擇退出請求的合法性，並要求企業在 60 天內回復請求。”

與加利福尼亞州類似，內華達州的執法由總檢察長負責，每次違規罰款最高可達 5,000 美元。

緬因州

緬因州的隱私法於 2019 年 6 月 6 日簽署，但將於 2020 年 7 月 1 日生效。該法律禁止互聯網服務提供商 (ISP) 出售、共享或授予第三方訪問其客戶數據的權限，除非明確給出這些客戶的認可。 隨著變化，

緬因州居民現在對電信和技術部門公司通常收集和存儲的電子郵件、在線聊天、瀏覽器歷史記錄、IP 地址和地理位置數據有了額外的保護。

因此，雖然 CCPA 賦予客戶選擇退出的權利，但這項新法律禁止 ISP 使用客戶數據，除非客戶選擇加入。這一要求比 CCPA 或內華達州法律更進一步，並且在美國隱私法中相對獨特，通常贊成選擇退出同意。

不要等待 - 現在準備：

根據 2018 年普華永道的一項調查，64% 的企業尚未開始為 CCPA 法規做準備。

您是否推遲開始合規之旅？ 您是否已經開始了這個過程，但發現自己被快速接近的最後期限所挑戰？

以下是您作為企業可以採取的有意識的行動列表，以遵循大多數現有法律以及將在不久的將來強制執行的法律。

第 1 步：更新隱私聲明和政策

鑑於 2018 年 5 月收到的所有“我們已經更新了我們的隱私政策”（GDPR 合規性）電子郵件，預計 2019 年第三季度會出現另一波浪潮，這一次是符合 CCPA 或內華達州或緬因州的，這可能是合理的。

這些法律將要求“在收集點或之前”涵蓋的公司向消費者發出通知，告知他們公司收集的個人信息的類別以及公司使用這些信息的目的。

該通知還必須明確規定收集、披露或出售的個人信息的類別，並且消費者擁有選擇不出售其信息的新權利。

公司還需要更新其隱私政策，以包括對其他新消費者權利的描述。

由於許多公司必須確定何時符合 GDPR，因此在進行法律要求的政策更新之前，公司將需要確定他們是否將為每個州居民保留一份隱私聲明，或者制定一項通用政策。

第 2 步：更新數據清單、業務流程和數據策略

公司還必須維護數據清單，該清單本質上是一個用於跟踪其數據處理活動的數據庫，包括處理消費者個人數據的業務流程、第三方、產品、設備和應用程序。

必須符合 GDPR 的公司必須在其數據清單中添加幾列，包括：

• 識別數據使用是否包括信息的“銷售”；
• 識別哪些類別的個人信息被傳輸給第三方；
• 確定數據是否是在 12 個月前收集的，因此可能被豁免。
• 該數據庫還必須保持最新狀態，並能夠跟踪所有消費者權利請求，例如跟踪經過驗證的信息請求。

第 3 步：實施協議以確保消費者權利

這些法律保障了企業需要採取措施確保的一些消費者權利。

• 通知權——雖然這不完全是一項被授予的權利，但在企業從消費者那裡收集個人信息時或之前，必須適當地通知消費者正在收集哪些類別的信息以及信息的使用目的。

• 訪問權/請求權——根據可驗證的請求，企業必須採取措施向消費者免費披露和交付個人信息，這些信息可以通過郵件或電子方式交付。 如果以電子方式提供，則必須以便攜的形式提供，並且在技術上可行的範圍內，以易於使用的格式提供，使消費者能夠毫無問題地將個人信息傳輸給另一個實體。 企業可以隨時向消費者提供個人信息，但不必在 12 個月內向消費者提供超過兩次。

• 知情權——消費者有權要求收集個人信息的企業披露以下內容： (1) 收集的個人信息類別； (2) 收集信息的來源； （三）收集或出售信息的商業或商業目的； (4) 與企業共享信息的第三方類別； (5) 企業收集的有關消費者的具體個人信息。

• 刪除權——消費者有權根據可驗證的請求要求企業刪除企業收集的有關消費者的任何個人信息。 收到此類請求後，企業必須刪除信息並指示任何服務提供商也從其記錄中刪除信息，除非企業或服務提供商需要該信息以：(1) 計算收集個人信息的交易，提供消費者要求的商品或服務，或在企業與消費者的持續業務關係中合理預期的商品或服務，或以其他方式履行企業與消費者之間的合同； (2) 檢測安全事件； 防止惡意、欺騙、欺詐或非法活動； 或起訴應對該活動負責的人； (3) 調試以識別和修復現有預期功能的錯誤； （四）行使言論自由權，保障其他消費者行使言論自由權的權利，或者行使法律規定的其他權利； (5) 為公共利益從事公共或同行接受的科學、歷史或統計研究； (6) 根據消費者與企業的關係，僅實現與消費者期望合理一致的內部使用； (7) 遵守法律義務； (8) 以其他與消費者提供信息的環境相一致的合法方式在內部使用消費者的個人信息。

• 選擇退出權——消費者有權選擇退出企業出售個人信息。 企業必須以消費者可以合理訪問的形式提供指向主頁的清晰顯眼的鏈接，標題為“請勿出售我的個人信息”，使消費者能夠選擇不出售消費者的個人信息。 企業必須至少等待 12 個月才能要求出售任何選擇退出的消費者的個人信息。

第 4 步：進行安全更新

這些法律還要求涵蓋的企業以“合理”的安全性保護個人數據。 在實踐中，該標準已導致公司採取基於風險的方法來解決對個人數據的機密性、完整性和可用性的威脅。 他們評估對數據的威脅，對檢測到的漏洞的風險進行排序，並首先解決高風險漏洞。

第 5 步：更新第三方處理器協議

為遵守美國隱私法，讓其他公司處理其數據的企業將需要更新其第三方合同，包括插入標準合同條款語言； 要求供應商數據清單； 使用盡職調查問卷； 提供處理記錄； 要求同步消費者響應過程； 需要現場評估和審計； 並要求映射與每個第三方共享的特定數據元素，包括指定那些符合“銷售”條件的傳輸。

對於那些為信息付費的第三方，他們將需要額外設計流程來滿足消費者選擇退出銷售並提供刪除該數據的請求。

第 6 步：培訓

最後，這些法律要求處理消費者查詢的員工了解其所有要求。 由於所涉及的處罰，這種培訓應該是最低限度的，建議進行額外的員工培訓。

認為實施起來很多嗎？ 企業將從合規中受益：

有人批評隱私法，並聲稱這些法律對企業不利。

合規計劃需要花錢，但公司不能指望從資產（如數據）中賺錢，而不是花錢來確保他們的行為合規。

但是，如上所述，隱私法中的關鍵要求大多符合常識，因此合規計劃絕不應該是無底洞。

此外，即使法律壓力沒有開始增加，道德和意識壓力也會增加。

消費者希望與積極保護其數據隱私的公司開展業務。

是的，存在合規成本，但這應該被視為與數據開展業務以及建立和維護品牌聲譽的成本的一部分。 作為一個合規的組織，您將能夠推銷您的依從性，這反過來又可以幫助提高銷售額和客戶忠誠度。

全球幾乎所有組織現在都認識到隱私投資正在轉化為商業利益。 為 GDPR 做好準備而進行投資的組織正在經歷越來越少且成本更低的數據洩露事件，由於客戶的隱私問題，他們看到的銷售摩擦越來越少，受影響的數據記錄越來越少，系統停機時間越來越短。

這些是最近發布的思科 2019 年數據隱私基準研究的一些結果，該研究利用了對 18 個國家/地區的 3,200 多名安全和隱私專業人士的雙盲調查數據。 該研究是探索當今組織在隱私和網絡安全方面面臨的關鍵問題的系列研究中的第一篇。

根據思科的研究，97% 的公司表示，他們從隱私投資中獲得了更多好處，而不僅僅是遵守隱私法。 這些好處包括競爭優勢、對投資者的吸引力、運營效率以及更大的靈活性和創新能力。

四分之三的受訪者表示他們正在接受兩項或多項此類福利。 此外，大多數公司現在表示，強大的數據隱私是其市場競爭優勢。

這些結果強調了企業不僅需要進行變革以遵守隱私法，而且還要最大限度地提高其隱私投資的商業利益。

改善數據管理、提高客戶信任度、縮短銷售延遲時間並降低數據洩露成本，這些都對您的組織意義重大，並為您提供業務繁榮所需的競爭優勢。

牆上的文字又大又粗。 隱私不僅適用於歐洲……它是世界各地企業的當前需求。 這種轉變是動蕩的。 但這是不可避免的。

人類發明了鎖來保護他們的有形資產。 既然無形數據同樣珍貴（如果不是更多），那麼魯莽地積累和處理這些數據將受到反對、不喜歡並最終被視為違規行為。

隱私合規實踐簡化了操作。 他們通過降低違規風險來提高聲譽。 在我看來，這與合規所涉及的努力無關，而是要及早意識到合規很可能是您的下一個重大競爭優勢這一事實。

Convert已經打下了堅實的基礎。 你呢？