数据隐私新规:企业必须采取行动
关键要点
- 随着高调案例和日益严格的法规,企业需要重新考虑数据的收集、存储、保留、访问和处理。
- 加利福尼亚消费者隐私法案 (CCPA) 和加利福尼亚隐私权法案 (CPRA) 已经成为企业遵守数据隐私法规的重要基石。
- 许多州已通过全面的隐私法律,企业必须确保合规以避免巨额罚款。
- 消费者拥有新的权利,包括数据访问、修改和删除。
随着高调案例的出现和越来越多的监管法规的实施,企业面临着重新思考如何处理数据的挑战。这包括数据的收集方式、存储、保留、访问和处理等多个方面。一般数据保护条例
(GDPR) 为新的数据保护和隐私合规时代奠定了基础,从而引发了监管运动,在美国,包括急促通过的加利福尼亚消费者隐私法案
(CCPA)。这种潮流在2020年11月继续发展,加利福尼亚隐私权法案 (CPRA) 随之通过。
自那时以来,我们看到四个州通过了全面的隐私法律: ,
,
和最近的康涅狄格州。所有这些法律都给组织留下了准备信息治理和数据保留程序的时间以遵守法律……但这个时间正在迅速减少。2023年1月1日,CPRA(以及弗吉尼亚州的法律)将生效,其余的法律将在2023年中后期相继实施。
若未能遵守这些日益复杂的隐私法规,可能会导致对企业声誉和财务的重创。企业必须制定可防御的数据隐私法规应对方案,并确保其电子发现保留和信息治理程序符合标准。
违规成本
组织在管理数据方面的义务和失败的成本正在呈指数增长。看看最近的数据泄露事件。某知名零售商因单次数据泄露向银行、州政府及集体诉讼支付了近7000万美元
的和解金。而LA Tan因违反生物识别信息隐私法案(BIPA)达成和解,目前已出现超过200宗集体诉讼 。
年收入超过2500万美元 、收集超过5万名 客户个人信息(根据CPRA,数量为10万名或以上)的企业,或年收入的50%
以上来自销售加州居民信息的企业,都必须遵守。这两项法律授予消费者的一些权利包括:
- 知情权 (了解数据收集和目的)
- 访问和修改个人数据的权利
- 删除数据的权利
- 知情权(了解第三方类别)
- 同意权(对数据的收集、共享和使用)
- 选择退出权
- 平等待遇权
在故意违反的情况下,企业需向加利福尼亚州支付7500美元 的罚款(如果判定为事故,则为每次违规2500美元
)。什么被视为违规仍在讨论中,州政府是否会采取更宽泛的视角尚未可知。
在数据泄露事件中,如果发现公司未合理防范数据被未经授权方访问和获取,法律现在规定法定赔偿金范围为100美元 到750美元
每位数据主体。在这种情况下,一台丢失的未加密数据笔记本电脑可能会导致显著的法律风险。尽管最初通过的CCPA没有关于数据保留的具体规则,而CPRA将加强CCPA在组织保留标准方面的执法力度。
CCPA & CPRA 重要法规与细节
2020年8月,加利福尼亚州检察长办公室宣布CCPA的法规已最终确定并生效。2020年11月,加州选民再次通过隐私提案。CPRA在许多方面增强了CCPA,最显著的包括数据保留条款。该法律将于2023年1月1