义非凡的一年。企业目前只有不到12个月的时间来确保其遵守新的《加州消费者隐私法案》(CCPA)。根据《通用数据保护条例》(GDPR),已开出了创纪录的罚款,其中包括对谷歌处以的5000万欧元(5700万美元)罚款。
众多企业的反馈表明,他们非常重视数据隐私法。谷歌最近的案例充分表明,不遵守规定将面临严厉的处罚和不必要的曝光。
这并不意味着我们以前没有见过因不合规而被处以巨额罚款的情况,例如 Anthem Inc. 因 2015 年的一次数据泄露事件而支付的 1600 万美元和解金。当时黑客成功获取了约 7900 万人的电子受保护健康信息 (ePHI)。虽然我们不 求职者数据库 再对新闻报道数据泄露感到震惊,但 1 月 21 日对谷歌处以的巨额罚款,仍然表明数据隐私事件的增多凸显了数据安全的重要性。
但千万别以为谷歌是因为疏忽或鲁莽处理用户数据而被罚款,或者这家科技巨头遭遇了数据泄露。它之所以被罚款,是因为他们允许合作伙伴使用收集到的数据。谷歌向消费者清晰地说明了他们的数据是如何被使用的,并且如果他们选择退出,也提供了清晰简洁的退出方式。
大多数数据泄露事件似乎都聚焦于数据保护得如何(或如何),而不是人们的信息是如何被收集、使用,以及在不再需要时如何被删除。数据隐私是指仅将收集的数据用于特定目的,并且仅在需要时使用,同时承认真正的所有者是“数据主体”。它主要关注的是监控合法和授权的访问,以及个人数据的特定用途。另一方面,数据安全则关注所部署的技术和流程,以确保仅授权访问,并防止所有未经授权的数据访问尝试。
加州消费者隐私法案
与欧盟的《通用数据保护条例》(GDPR)一样,CCPA 也基于这样的原则:数据隐私是每个消费者的基本权利,也是消费者控制自身个人信息的手段。该法案规定了以下消费者权利:
权利:
知道正在/已经收集、处理哪些数据;
知道他们的数据被存储了多长时间;
以可读格式查看其数据;
纠正其数据中的错误;
以可移植格式接收其数据的副本;
被遗忘——所有已识别的数据都会被删除;
及时收到数据泄露通知。
CCPA 的主要目标显然是数据隐私。然而,消费者和需要遵守其规则的组织机构仍然存在很多困惑。合规性是一项重大挑战,需要跟上立法和法律修正案的步伐——正如大多数欧盟公司根据其在 GDPR 方面的经验所证实的那样。