【隐私保护】2023 年需要准备的 5 个隐私里程碑

2023年将是隐私世界又一个多事之秋。以下是需要关注的五个里程碑

在隐私领域，从来没有无聊的时刻。隐私专业人士面临的挑战是动态的，在这个时间点上是独特的。随着监管格局在全球范围内扩大其影响力，它们的复杂性也将继续增加。

三个趋势总结了当今隐私和数据治理变革的最重要驱动因素：

日益增加的监管复杂性

从新的法律和不断变化的框架，到更新的标准和指导，隐私专业人士面临着跟上快速结构变化步伐的巨大挑战。团队可以抓住机会主动行动，而不是回到被动模式。有大量有据可查的最佳实践支持这种方法。

不断发展的数据和技术格局

随着新技术和数据使用方法的不断出现，业务团队有时会将合规性视为创新的障碍。但坚实的战略支持这两者。通过设计嵌入隐私将使团队能够在遵守法规的同时保持业务绩效的前沿。

利益相关者意识的提高

投资者、客户、员工和其他关键利益相关者正在密切关注商业实践、道德和治理。因此，当涉及到底线时，透明度和同意具有重要意义。获得消费者信任的机会将是未来几年的战略差异。

这些趋势对成熟的隐私计划意味着什么？

基于这些趋势，很明显，隐私正在超越法规遵从性，进入集成数据治理和可信数据使用的新时代。

此外，隐私在董事会和外部利益相关者中的知名度越来越高。这为隐私团队讲述一个引人注目的故事打开了大门：一个在整个组织中更深入地整合隐私工作以实现互利目标的故事。

OneTrust的监管专家团队密切关注全球隐私形势，以解读当前趋势和即将到来的里程碑对成熟的隐私计划意味着什么。以下指南概述了主要的全球法规更新以及您的组织应如何做好准备。

2023年启动的主要里程碑

2023年将有五项重要活动，您应该对此进行规划：

• 《加利福尼亚州隐私权法案》（CPRA）和其他美国主要立法即将生效
• 中国新的隐私法规
• 从第三方cookie过渡
• 对跨境数据传输提出更严格的要求
• 欧盟出台新指令

1. CPRA 和其他美国主要立法生效

CPRA 将于 2023 年 1 月 1 日生效。当您准备加强现有的《加州消费者隐私法》(CCPA) 合规计划以适应 CPRA 中更严格的修正案时，请记住雇主现在对雇员负有额外的义务。 其中包括纠正权、可移植性以及限制敏感个人信息的使用和披露的权利。

2021 年，弗吉尼亚州消费者数据保护法案 (CDPA) 和科罗拉多州隐私法案 (CPA) 成为法律。 每一项都要求符合资格的组织提供通用的退出（opt-out )流程。 弗吉尼亚州和科罗拉多州将于 2023 年提供技术指导。犹他州和康涅狄格州现在紧随其后，推出了自己的综合数据法。

与此同时，尚未提供通用选择退出系统的受 CDPA 和/或 CPA 约束的组织将需要计划实施该系统。 通常，这涉及对您收集和处理的数据进行结构级别的评估。 这将需要对个人数据的存储方式和位置进行更严格的监督。

2. 中国新的隐私法规

中国的个人信息保护法 (PIPL) 于 2021 年 11 月生效，正在全球各行业产生连锁反应。

在某些方面，它与《通用数据保护条例》(GDPR) 和其他全球隐私立法紧密一致。 例如，数据主体拥有访问权、撤销权和删除权。

但在其他情况下，情况却大不相同。 中国国家互联网信息办公室 (CAC) 将监督 PIPL 合规情况。 作为一个国家机构，这背离了有权进行合规监督的独立运营机构的全球规范。

PIPL 的另一个重大影响是要求组织在中国境内存储从中国受试者收集的数据。 在中国境外处理这些数据还需要国家安全机构的审查和批准。

目前尚不清楚确切的适用条款是什么。 但可以合理地假设许多大中型实体需要遵守 PIPL。

此外，随着其他邻国起草自己的隐私法，PIPL 可能会对亚洲部分地区的未来监管产生重大影响。 随着 CAC 发布更新的 PIPL 指南并了解其对其他新兴立法的影响，及时了解情况至关重要。

3.从第三方cookie过渡

到2023年底，第三方cookie将不再可用。虽然这代表着与当今定向广告和个性化实践的重大背离，但它也为企业和营销人员开辟了新的机会。

追踪第一方数据使您能够摆脱第三方cookie，但所需的升级时间必须从现在开始。由于您将要求用户直接向您提供他们的数据，因此您必须提供令人信服的优惠作为交换。

强有力的第一方数据战略始于建立信任，并因此产生更高质量的数据。

4.对跨境数据传输提出更严格的要求

2020年7月，Schrems II的决定为企业如何进行跨境数据传输提供了新的线索。

欧盟法院（CJEU）认定欧盟-美国隐私保护框架不充分。问题在于其他国家的法律，以及它们是否可能凌驾于数据来源国的法律之上。

在这种情况下，该案例涉及欧盟和美国之间的数据传输，但其影响是全球性的。

欧洲数据保护委员会（EDPB）发布了明确下一步行动的最终指导意见。许多组织将不得不重新评估其处理国际数据传输的程序。根据这一新指南，那些有疑问的人应该进行转移影响评估（TIA），以确保他们在2023年初走上最新的合规道路。

5.欧盟出台新指令

《欧盟数据治理法》将促进与公共部门的数据访问和共享，以造福公共利益。这将增加另一层复杂性，因为组织试图了解其数据以及如何促进合规的数据传输。

此外，《欧盟数据法》将通过提供对设备生成数据的轻松访问，提高数据主体的透明度。此外，该法案为公共部门提供了更多有用的私营部门数据，特别是在发生自然灾害或紧急情况时。

最后，《欧盟人工智能法案》目前正处于提案阶段。这项立法将按三种风险类别对人工智能应用进行分类：

• 不可接受的风险，例如政府使用的社会评分应用程序。根据《大赦国际法》，这些行为将被禁止。
• 高风险，例如评估申请人的简历扫描工具。《人工智能法》将对这些进行严格监管。
• 《人工智能法案》没有明确解决的所有其他问题。

智能电视、可穿戴设备和人工智能语音助理等联网产品的制造商必须注意他们将负责的设备数据收集和处理方面即将出台的要求。

DGA和欧盟数据法案的最后阶段仍在进行中。与此同时，各组织仍然可以采取步骤做好准备。

这些新指令指出，维护数据编目和数据映射的单一真相来源的重要性日益上升。一旦这些新义务全面生效，将您的业务朝着这个战略方向发展将带来回报。

通过OneTrust随时了解隐私行业的最新动态

这些趋势和里程碑表明，如今成熟的隐私计划可以超越合规和风险管理，在全球范围内建立值得信赖的客户关系。

有了这一愿景，隐私专业人士应该努力制定一个规模化的、经得起未来考验的战略：

• 默认情况下建立隐私
• 利用自动化获得全面的数据见解
• 映射整个数据生命周期
• 控制和管理下游数据
• 告知数据主体其权利并提供对其数据的访问