CCPA,即加州消費者隱私法,自去年 7 月 1 日起具有法律效力。這是美國第一部關於消費者個人數據控制的重要隱私法。而且,儘管 CCPA 的正式執法開始還不到一年,加州人已經投票支持後續法案,稱為加州隱私權法案 (CPRA)。
那麼,為什麼這些 CPPA 修改很重要,CPRA 與 CCPA 有何不同?更重要的是,CPPA 的變化將如何影響數據隱私執法?在此頁面上,我們將討論所有新修正案以確定 CPRA 將如何改變 CPPA。
內容
什麼是新加州隱私法 (CPRA)?
2020 年 11 月,新的加州隱私權法案以 56% 對 44% 的投票率獲得選民批准。儘管現有的 CCPA 立法本應幫助國家通過更嚴格的隱私法,但新法律帶來了更嚴格的立法,比現有的 CPPA 更接近 GDPR 之一。
CPRA 下的新法規的主要目標是加強隱私要求並降低先前法律規定的其他方面的整體風險。新立法將於 2023 年 1 月 1 日生效,執法將在六個月後開始。這意味著從現在開始,企業有兩年的時間為新的立法做準備。
CPRA 與 CPPA。有什麼區別?
公眾普遍存在一種誤解,認為 CPRA 是一部完全不同的法律,但事實並非如此。舊版本和新版本之間的主要區別是更強的消費者保護和更精確的企業 CPRA 合規性問題。考慮到這一點,這項新立法是對現有法律的擴展。為了遵守 CPRA,公司將比在 CPPA 下承擔更多的責任。
CPRA 通常被視為 CCPA 2.0。但是,如果您有機會通讀規則和指南,您還會注意到該立法與《通用數據保護條例》(GDPR) 非常相似。它具有您可以在 GDPR 合規指南中找到的類似元素,儘管 CPRA 的要求和定義更廣泛一些。
除了差異之外,每個人都應該注意的兩者之間的關鍵相似之處在於合規性不僅限於加利福尼亞州。它擴展到全球並涵蓋所有加利福尼亞州居民,無論他們當時的確切位置如何。如果您的網站不阻止加州居民訪問它,則需要合規。
CPRA 執法和處罰
一個新的重大變化是加州隱私保護局的引入,這是一個由 CPRA 建立的獨立監督機構。 CalPPA 的主要任務是確保企業和消費者充分了解他們在 CPRA 條款下規定的權利和義務。
CalPPA 將取代總檢察長辦公室,成為控制 CPRA 規則實施的主要監管機構。至於罰款,對於 16 歲以下未成年人的違規行為,罰款將增加三倍(罰款增加到 7,500 美元)。此外,消費者的私人訴訟權將擴大到包括與密碼和安全問題以及允許帳戶訪問的答案相結合而發生的電子郵件地址洩露。
雖然所有這些對於普通企業主來說似乎難以接受,但已經為之前的法律做好準備的公司將感受到新的 CPRA 隱私規則和指南的影響最小。
已經符合先前要求(尤其是 GDPR)的企業無需進行任何重大更改。另一方面,尚未實施任何變革的公司將面臨艱難的道路。
最重要的改變企業必須圍繞個人信息的最小化進行。根據 CRPA,公司還必須滿足更嚴格的數據共享要求。他們必須向他們的加利福尼亞客戶提供選擇退出將他們的個人信息出售給第三方的機會。當然,這種嚴格的數據政策也會給企業帶來額外的數據收集成本。
在 CPRA 下變得合規的提示
當 CCPA 修改的消息首次傳出時,許多企業對原始 CCPA 合規要求的明顯變化感到不安。而且,雖然新立法帶來了巨大而重大的變化,但這些變化並不一定是壞事。
之前已採取必要的 CCPA 合規步驟的企業也能夠很好地遵守 CPRA 要求。以下是一些有助於確保 CPRA 合規性的提示:
- 識別所有敏感個人數據——新的 CPRA 規則引入了一個新術語“敏感個人信息”。這是一個非常廣泛的術語,幾乎涵蓋了您所有可識別的個人數據,包括遺傳和生物識別數據。
- 執行更嚴格的刪除政策——該修正案要求所有企業在其用戶的個人信息達到其目的後將其刪除。除了通過定期刪除數據確保 CPRA 合規性之外,您還可以保護您的業務,因為您擁有的數據越少,如果發生安全漏洞,您損失的就越少。
- 審查第三方協議——新立法還強調了對承包商、服務提供商和其他第三方的數據隱私義務。其中最重要的要求是所有個人信息的銷售、共享和披露均根據合同進行。
- 確定是否有新的例外情況——除了上述 CPRA 合規性提示外,還有一件事需要牢記。新法律增加了之前法律中未包含的部分豁免。其中包括對家庭數據、教育和考試記錄以及其他特定個人數據的某些豁免。
- 為登錄實施 MFA - CPRA 規則特別強調登錄憑據。為了符合這一新變化,最好的方法是實施多因素身份驗證,以確保登錄憑據不會自動提供對用戶帳戶和個人數據的訪問權限。
與 Hideez 一起為 CPRA 做好準備
儘管人們擔心 CPRA 可能過於強大和復雜而無法遵守,但它確實提供了一種可靠的機制,可以讓企業保持控制並保護敏感的用戶信息。這是一項受歡迎的法規,無疑將有助於提高未來的全球網絡彈性,而 Hideez 可以幫助您實現 CPRA 合規性。
我們的網絡安全專家為企業開發了一個全面的身份驗證解決方案,可以確保更強大的信息安全,並為所有行業的企業提供內部和外部政策合規性。
Hideez Key 3和Hideez Key 4安全令牌可以簡化 MFA 流程並為員工提供無密碼登錄體驗。一鍵自動輸入一次性密碼,無需掏出手機、運行應用程序、查找賬戶、無休止地輸入密碼。此外,一個 Hideez Key 可以存儲多達 1,000 個密碼,使用接近傳感器鎖定/解鎖 PC,打開支持 RFID 的辦公室或其他門,遠遠超出了擁有第二個因素的範圍,為員工提供了一個一體化數字鑰匙.
