科罗拉多州隐私法案:对用户数据保护未来的预测
已发表: 2021-09-16
去年 7 月,科罗拉多州通过了科罗拉多州隐私法 (CPA),使其成为继加利福尼亚州、内华达州和弗吉尼亚州之后美国第四个颁布全面隐私立法的州。
虽然 CPA 和类似法律会随着时间的推移而发生变化,但问题仍然存在:企业是否应该开始努力遵守每项新的单独法律,或者他们是否应该制定某种计划,无论如何都可以保护用户的权利发生在政策变化方面?
随着每个州独特的隐私法规,公司越来越难以跟踪这些变化,确保合规并避免处罚。
为了简化此过程,我们将比较来自不同州的一些最近的示例,并深入了解它们可能如何影响业务实践以及用户数据保护的未来趋势。
在这篇博文中,我们将了解科罗拉多州隐私法以及它如何与其他隐私法相抵触,例如内华达州的 SB20、弗吉尼亚州的 CDPA、加利福尼亚州的 CPPA 和最新的 CPRA 以及欧洲 GDPR。
首先,这里总结一下这些法律的所有关键条款:
| 关键条款 | 科罗拉多州注册会计师 | 内华达州 SB220 | 弗吉尼亚 CDPA | 加州 CDPA + CPRA | 欧洲 GDPR | ||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 处理能力 | |||||||||||||||||||||||||||||||||||
| 数据最小化 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 允许的目的 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 个人权利 | |||||||||||||||||||||||||||||||||||
| 接收处理活动通知的权利 | 是的 | 是的 | 是的 | 是的 | 是的 | ||||||||||||||||||||||||||||||
| 访问个人数据的权利 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 数据可移植性的权利(即,数据必须以易于使用的格式提供,以便可以从一个实体/平台转移到另一个实体/平台) | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 纠正个人数据错误的权利 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 删除个人数据的权利 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 选择退出行为广告的权利 | 不 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 反对自动分析和决策的权利 | 不 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 行使这些权利的不受歧视的权利 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 选择不出售个人信息的权利 | 是的 | 是的 | 是的 | 是的 | 不 | ||||||||||||||||||||||||||||||
| 选择加入或退出处理敏感信息 | 选择参加 | 选择参加 | 选择退出 | 选择参加 | |||||||||||||||||||||||||||||||
| 拒绝请求的上诉权 | 不 | 是的 | 不 | 不 | |||||||||||||||||||||||||||||||
| 问责制/治理 | |||||||||||||||||||||||||||||||||||
| 数据保护评估 | 是的 | 是的 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 安全 | |||||||||||||||||||||||||||||||||||
| 适当的数据安全以保护信息 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 违规通知 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| EEA 以外的数据传输 | |||||||||||||||||||||||||||||||||||
| 国际转移的附加措施 | 是的 | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 转让给第三方 | |||||||||||||||||||||||||||||||||||
| 服务提供商协议中的合同要求 | 是的 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 营销 | |||||||||||||||||||||||||||||||||||
| 同意 Adtech cookie | 不 | 是的 | 是的 | 是的 | |||||||||||||||||||||||||||||||
| 在直接营销之前获得同意 | 是的 | 不 | 不 | 是的 | |||||||||||||||||||||||||||||||
| 执法机构 | |||||||||||||||||||||||||||||||||||
| 司法部长 | 司法部长 | 总检察长,CPPA | DPA | ||||||||||||||||||||||||||||||||
| 手术日期 | |||||||||||||||||||||||||||||||||||
| 2023 年 7 月 1 日 | 2019 年 10 月 1 日 | 2023 年 1 月 1 日 | 2020 年 1 月 1 日 / 2023 年 1 月 1 日 | 2018 年 5 月 25 日 | |||||||||||||||||||||||||||||||
所有这些隐私法有什么共同点?
CPA 类似于 GDPR、加利福尼亚州的法律和弗吉尼亚州的其他隐私法。 但是,它无法与内华达州进行比较,因为后者仅针对在线收集的某些数据的销售制定了更为有限的法律,因此将其排除在以下比较之外。
- 数据处理协议——这在所有隐私法中都很常见。 简而言之,这意味着一个组织需要起草一个法律模板,其中描述在使用服务或产品时发生的个人数据处理活动。 简而言之,它讨论了数据处理将如何发生、谁将负责什么以及将采取哪些安全措施。 我们早在 2018 年就为 GDPR 准备了模板,可在此处获取。 对于每一项新法律,我们都会更新模板条款以适应所有新的法律条款。
- 隐私法之间的第二个共同点是,它们都要求组织采取适当的技术和组织措施,以便在消费者行使其权利时快速、适当地做出反应。 如上表所示,这些权利的含义因法律而异,但措施保持不变。
- 个人数据泄露通知是法律中的另一个常见术语。 个人数据安全漏洞是任何可能影响组织以任何格式持有的个人数据的机密性、完整性或可用性的事件。
个人数据安全漏洞的发生可能有多种原因,包括:- 向未经授权的个人披露机密数据;
- 数据或存储数据的设备丢失或被盗;
- 允许未经授权使用信息的不适当的访问控制;
- 试图未经授权访问计算机系统,例如黑客攻击; 未经数据“所有者”授权更改或删除的记录;
- 对 IT 设备系统或网络的病毒或其他安全攻击;
- 登录用户帐户时让 IT 设备无人看管,而不锁定屏幕以阻止其他人访问信息;
- 错误地发送给错误收件人的包含个人或敏感信息的电子邮件。
- GDPR、CCPA、VCDPA 和 CPA 下的另一个常见要求是对任何新的高风险处理项目进行数据处理影响评估 (DPIA)的过程。 DPIA 是系统地考虑项目或倡议可能对个人隐私产生的潜在影响的过程。 它允许组织在潜在隐私问题出现之前识别它们,并想出一种方法来缓解它们。 GDPR 首次为那些参与高风险处理的组织引入了强制性 DPIA; 例如,正在部署新技术的地方,分析操作可能会对个人产生重大影响的地方,或者对公共区域进行大规模监控的地方。
例如,要行使访问 Convert 正在使用的个人数据的权利,您必须向 [email protected] 发送书面请求。 在请求中,提及您的请求是根据您感兴趣的特定隐私法行使您的访问权。DPO 必须回复您的书面请求。 准备好提供您的身份证明,DPO 应要求您确保不会将个人信息提供给错误的人。 上述过程特定于 GDPR、CCPA、CPA,并且已记录在我们的隐私页面上。
同样,如果您想关闭您的 Convert 帐户、退出服务并希望备份您的所有 Convert 数据,您可以行使数据可移植性的权利。 如果无法立即提供下载数据的选项,您可以向上述相同的电子邮件地址写一封电子邮件,并要求 DPO 备份整个服务中使用的数据。 DPO 必须根据您的书面请求采取行动。
在其 GDPR 项目中,Convert 制定了员工指南和用于执行 DPIA 的模板。 您可以在此处找到带有预填筛选问题的模板。 此后,此模板已适应新的美国隐私法。
但是有一些关键的区别!
GDPR 保护个人数据。 美国法律主要保护那些选择保护其个人数据的消费者。
- 关于数据与消费者保护的辩论是所有这些隐私计划的核心。 这也是区分 GDPR 与所有其他隐私法的关键点。 借助 GDPR,个人数据在从收集、处理、存储、传输到第三方的各个阶段都受到保护。 美国法律确保消费者在在线和使用服务、浏览或测试产品时受到保护。 这就是为什么新法律生效时公司的隐私政策不能保持不变的原因。 需要添加新的部分,以反映新的法律条款和规定。 始终咨询您的律师,以确切了解要添加哪些内容以符合每项法律。
- 法律在选择加入/选择退出制度的范围方面也有所不同。 GDPR 在选择加入制度下运作,这意味着欧盟成员国不会从访问者那里收集任何个人数据,除非他们通过选中他们正在导航的网站上出现的同意横幅上的复选框来明确同意。 美国出版商网站的情况正好相反。 在访问者决定退出数据处理之前,可以收集数据。 加利福尼亚州仅在某种混合选择退出/选择加入制度下运作。 CCPA 默认允许组织收集消费者的数据,但也要求数据收集者在收集数据之前向消费者提供隐私声明。 CPA、VCDPA 有明确的选择退出制度。
在 Convert,我们在选择加入的制度下运作,因为我们重视透明度和访客的选择,并且我们调整了我们的用户体验以满足其要求。 - 国际数据传输的规则也存在差异。 GDPR 再次对这些转移非常严格,并且仅在接收国具有类似隐私法规时才允许它们。 否则,它要求组织使用标准合同条款或用户同意。 另一方面,CCPA 和 VCDPA 允许在全球范围内传输国际数据,直到事件发生。 然后,该组织将承担责任并处以罚款。 CPA 有点宽松,要求组织在发生国际数据传输时通知用户/访问者,但不限制它们。
在 Convert,我们遵守 GDPR 并在要求时提供必要的传输工具(标准合同条款是我们用户签署的合同的一部分)。 - 最后,法律对侵犯隐私权有不同的响应期限。 GDPR 和 VCDPA 给予控制者或处理者 30 天的时间来应对侵犯隐私的行为。 CPPA 是允许的,但不要求提供纠正违反 CPRA 的期限。 CPA 必须提供 60 天的回复期。
由于 Convert 没有涉及任何隐私侵犯,因此很难进行测试,但我们在内部模拟了此类请求,发现我们可以在 7-10 天内做出响应。 考虑到可以涉及许多人和工具这一事实,这令人印象深刻。
您的公司准备好参加 CPA 了吗?
其中许多法律都有类似的措辞,因此很难发现差异。 但是,我们试图通过上面的比较让您更清楚。 为了遵守这些隐私法,请准备好花大量时间审查它们并咨询法律专家。
值得庆幸的是,一些措施普遍适用于所有这些措施。 我们在之前的一篇文章中列出了它们,但在这里它们再次刷新您的记忆:
- 创建和维护一个全面的数据清单,提供对所涉及数据类型和处理活动性质的洞察。
- 确保敏感数据被隔离和管理,没有不必要的风险。
- 实施实施数据保护影响评估 (DPIA) 的框架。
- 评估现有的网络安全政策、实践和控制措施,以确保它们符合行业公认的标准。
- 使消费者能够选择不出售其个人信息(如适用)。
- 更新面向公众的隐私政策,除其他变更外,承诺不会重新识别去识别的个人数据,并提供其数据处理活动的详细信息。
- 制定机制,以接受、跟踪、验证和尊重消费者在 CPA 下访问、更正、删除和选择退出个人数据的请求。
- 确保您的客户服务员工准确了解法规,以有效且可预测地满足消费者的要求。
未来十年的隐私格局会是什么样子?
数据隐私正在成为这十年的一个决定性问题。 这将是一个对隐私更加敏感的世界,企业和个人都越来越意识到不再有“私人”之类的东西。
最近的隐私法告诉我们,这些举措需要大量的努力和时间来仔细规划、发现隐私机制中的漏洞,并实施新的政策、流程和补救措施。 因此,数据隐私格局不会迅速改变。
尽管隐私的未来在很大程度上是不成文的,但一些趋势已经在以各种方式塑造它。 在未来十年内最能驾驭这些趋势的组织将比那些继续遵守新法律的组织更具竞争力。
让我们看看它们是什么。
- 大多数消费者将主动保护他们的个人数据。 我们将看到更好的隐私保护工具(就像我们现在拥有侵犯隐私的工具一样)。 不遵守这些保护措施的组织将面临失去客户的风险。
- 跨境数据传输将变得更加简单。 我们不必建立外国人无法进入的本地数据王国。
- 隐私客户体验之旅:将开发符合隐私法的文化和法律期望以及每家公司对数据和技术道德的立场的新项目。
- 员工隐私文化:人力资源将使用符合公司数据和技术价值观的员工隐私计划来发展全面的隐私文化。 这样的计划可能包括一个员工委员会,负责审查和交流工作场所新技术和数据使用的隐私和道德影响评估。
10年可以改变很多,但话又说回来,也几乎没有改变。 在 Convert,我们已将尊重访客和用户的隐私作为我们文化的一部分。 2030年我们会在哪里? 到 2030 年,我们将看到尊重用户隐私的企业与监管机构一起顺利合作,同时不损害个人自由。 这一愿景对我们 Convert 公司的团队来说是最重要的,我们希望您也能加入我们的行列!
