跳转到主要内容

文章分类

2023年将成为美国企业的重要一年。新年伊始,至少有五项州隐私法生效:

  • 《加州隐私权法案》(CPRA;取代《加州消费者隐私法案》(CCPA)
  • 弗吉尼亚州消费者数据保护法(VCDPA)
  • 犹他州消费者隐私法(UCPA)
  • 康涅狄格州数据隐私法(CTDPA)
  • 科罗拉多隐私法(CPA)

美国企业-即使是那些总部不在这些州的企业-也希望尽早开始准备,以确保他们能够在1月1日及以后实现合规。但合规是一段旅程。不可能等到2022年的最后一个月,快速完成一系列活动,然后突然永远遵守。合规需要时间,这是一个持续的过程。

为了帮助企业找到正确的前进道路,我们已经开始了一个博客系列,倒数到2023年。每个帖子都将列出在给定的时间框架内采取的适当步骤。在撰写本文时,2023年大约还有六个月;因此,我们将讨论企业需要采取的最耗时和最基本的步骤。

具体而言,我们将介绍您是否需要担心受2023年数据隐私法的约束,您现在应该开始的主要基础活动,以及需要记住的其他关键因素。

您是否遵守数据隐私法?

简言之:可能。即使您所在的司法管辖区没有州隐私法,如果您的用户或客户在所涵盖的州,2023年的隐私条例也可能会影响您的业务。

2023年生效的五项州隐私法之间存在细微差异,但它们在涵盖哪些类型的业务方面大致一致。一般而言,您的业务受州隐私法的约束,前提是:

  • 您控制或处理100,000名州居民的个人数据,或
  • 您的收入很大一部分来自销售客户数据(具体情况因州而异)。

有一些例外…

当涉及到谁是数据隐私法的保护对象和不受数据隐私法保护时,有一些重要的细节需要牢记,这一点也不奇怪。我们将在这里重点介绍一些,但您最好咨询法律或隐私专业人士以了解完整情况。

  • 首先,加州和犹他州的法律仅适用于年收入超过2500万美元的企业。
  • 此外,重要的是要注意,许多以前被豁免CCPA的加州企业将受到CPRA的约束。在过去,加州的企业只共享个人信息,而不是出售个人信息,不受该法律的约束。但《公民权利和政治权利法》修正了这一漏洞。
  • 另一个值得注意的例外是,康涅狄格州不计算仅为促进支付交易而处理的数据-其想法是,餐馆、便利店等在其业务不真正依赖客户数据的情况下,不应承担合规性的负担。

……但无论如何,您的未来可能会有合规性。

即使你确定你今天不需要遵守这些法律,你最好还是遵守这些法律。

也许你无法处理来自这些州的10万名不同消费者的个人信息-如果你有一个数字渠道,这可能会很快改变。

或者,也许你的总部主要在加州和犹他州以外,但没有达到2500万美元的门槛。如果您对增长感兴趣,那么为法规遵从性奠定基础将使您的未来变得更加简单。

即使你不在这些州中的任何一个州运营,也不认为你会在那里拓展业务,你仍然需要为不可避免的联邦隐私法做好准备。

归根结底,数据隐私正迅速进入美国。今天做好准备将为你在未来省去潜在的昂贵和旷日持久的头痛。

遵守新的州隐私法:从这里开始

尽管法律的细节各不相同,但每个法律的合规基础都是相同的:制定一份数据清单,列出您收集的个人信息、为什么收集、如何使用以及与谁共享。

根据欧盟的一般数据保护条例(GDPR),该活动被称为处理活动记录或RoPA。为了一致性,我们将在这里使用相同的术语,尽管美国数据隐私条例中没有明确提及ROPA。

当您执行RoPA时,您可以获得如何收集数据、数据所在位置、当前正在使用数据做什么等的快照。创建此数据地图可以简化您未来的大部分合规活动,如制定隐私政策、确定您过度收集数据或将数据保留太久的位置、在审核时显示数据收集活动的记录等。第一步是了解数据收集实践的状态。

如何进行RoPA

开发您的第一个RoPA可能很耗时,这就是为什么我们建议立即开始。一旦您开发了第一个RoPA,保持其最新将不会那么乏味,尽管您应该在处理信息的过程发生变化时随时更新它。数据发现工具可以帮助简化此过程。

从电子表格开始,构建电子表格,以便包含以下信息:

  • 收集数据的个人或组织的姓名和联系方式
  • 处理数据的目的
  • 数据主体的类别和个人数据的类型
  • 数据接收者的类别,包括已经接收用户数据的接收者和将来将接收用户数据
  • 擦除不同类别数据的当前时间限制(如有)
  • 技术和组织安全措施的一般说明
  • 是否对数据使用自动决策
  • 您是否将数据用于定向广告

您可以在我们的博客中阅读更多关于ROPA的信息。回想起ROPA仍然与美国企业相关,即使它们不受GDPR的约束。虽然美国隐私法没有明确要求RoPA,但如果您执行与RoPA相当的程序,则更容易满足美国隐私法的要求。为组织中的每个主要业务单元构建一个电子表格。尽量自己填写,然后向组织的不同部门发送问卷。市场营销、人力资源、财务和任何其他涉及个人信息的部门应为您的问题提供答案。

因为这项活动可能会让您的同事感到日常工作受到干扰,我们建议您提前获得领导团队的认可。获得贵公司C-suite的支持将有助于每个人了解合规活动的重要性。

这次演习的结果是什么?

一旦您确定了业务的不同部分如何使用个人信息,您就有了满足绝大多数不同隐私要求的基础。这包括:

  • 准确且信息丰富的隐私政策
  • 管理和执行DSAR
  • 管理和处理用户的隐私选择(如cookie同意)
  • 还有更多

除非您知道消费者的个人信息在您的企业中的位置、使用方式、去向等,否则这些要求都不容易实现。我们将在2023年倒计时系列的未来几期中介绍如何满足这些要求,但最重要的一步将是首先完成RoPA。

关于2023年的州隐私法,我今天还需要知道什么?

关于2023年即将到来的重大变化,有三件事需要及早了解。

  • 首先,企业需要改变对数据的看法。这是一个流行的类比,声称数据是新的石油。只是,石油公司必须购买开采石油的采矿权,企业只需获取用户的数据,而不必担心权利。一切都在改变,而且变化很快。
  • 企业不能再使用批量数据收集实践,也不能再将所有精力集中在收集尽可能多的数据上,以为他们稍后会知道如何处理这些数据。由于隐私法的数据最小化要求,数据收集在未来将是一个有目的和有限的过程。
  • 其次,企业需要制定一个延伸至2023年及以后的合规路线图。在本系列博客中,我们将提供尽可能多的可操作信息,但博客并不能替代一个有最后期限和问责性的稳健计划。
  • 第三,不要自己做。一旦您开始构建该路线图,并了解遵守所有这些数据隐私法所需的真正范围,您可能很想让您的法律部门和开发团队直接着手构建您在组织中管理法规遵从性所需的所有流程和定制工具,如数据发现和DSAR管理。

合规需要付出努力,而且有很多任务只有您的组织才能完成;还有许多合规问题已经得到有效解决。您最好的选择不是重新发明轮子,而是寻找受信任的第三方,为已经受数据隐私法规约束的公司管理合规性。

 

本文:https://cioctocdo.com/6-month-countdown-2023s-state-privacy-laws

文章链接