2018.június végén Kalifornia elfogadta az AB 375-et, a fogyasztói adatvédelmi törvényt, amely több hatással lehet az amerikai vállalatokra, mint az Európai Unió általános adatvédelmi rendelete (GDPR), amely 2018 májusában lépett hatályba. A kaliforniai törvény nem rendelkezik a GDPR egyik leginkább megterhelő követelményével, például a keskeny 72 órás ablakkal, amelyben a társaságnak be kell jelentenie a jogsértést. Más szempontból azonban még tovább megy.
A CCPA a GDPR-nél szélesebb képet kap arról, hogy mi minősül személyes adatnak., A biztonság szempontjából tehát az a kihívás, hogy megtaláljuk és biztosítsuk a személyes adatokat.
mi a CCPA?
A California Consumer Privacy Act (CCPA) egy olyan törvény, amely lehetővé teszi bármely Kaliforniai fogyasztó számára, hogy megkövetelje az összes olyan információ megtekintését, amelyet a vállalat mentett rájuk, valamint az összes harmadik fél teljes listáját, amellyel az adatokat megosztják. Ezenkívül a kaliforniai törvény lehetővé teszi a fogyasztók számára, hogy bepereljék a vállalatokat, ha megsértik az Adatvédelmi irányelveket, még akkor is, ha nincs jogsértés.,
mely vállalatokat érinti a CCPA?
minden kaliforniai lakosokat kiszolgáló és legalább 25 millió dolláros éves bevételű vállalatnak meg kell felelnie a törvénynek. Ezenkívül a törvény hatálya alá tartoznak azok a vállalatok is, amelyek legalább 50 000 ember személyes adataival rendelkeznek, vagy amelyek a személyes adatok értékesítéséből származó bevételeik több mint felét gyűjtik. A vállalatoknak nem kell Kaliforniában székhellyel rendelkezniük, vagy fizikai jelenlétük van, hogy a törvény hatálya alá tartozzanak. Nem is kell, hogy székhelye az Egyesült Államokban.,
az áprilisban benyújtott módosítás mentesíti a “biztosítási intézményeket, ügynököket és támogató szervezeteket”, mivel rájuk már a kaliforniai biztosítási információs és Adatvédelmi Törvény (IPPA) hasonló szabályai vonatkoznak.
mikor kell a vállalatomnak megfelelnie a CCPA – nak?
a törvény 2020.január 1-jén lépett hatályba, de a végrehajtás július 1-jén kezdődött.
mi történik, ha a cégem nem felel meg a CCPA-nak?
a vállalatoknak 30 napjuk van arra, hogy betartsák a törvényt, miután a szabályozók értesítik őket a jogsértésről., Ha a probléma nem oldódott meg, van egy bírság akár $7,500 per rekord. “Ha arra gondolsz, hogy hány rekordot érint a jogsértés, akkor nagyon gyorsan növekszik” – mondja Debra Farber, a BigID adatvédelmi stratégiájának igazgatója. Mivel a törvényjavaslatot mindössze egy hét alatt összeállították és elfogadták, valószínűleg látni fog néhány módosítást-tette hozzá. “Az olyan dolgok, mint a finom összegek, valószínűleg megváltoznak.”
van egy másik lehetséges pénzügyi kockázat is, mondja Farber. “A törvényjavaslat első alkalommal biztosítja az egyén perelési jogát” – mondja. “És lehetővé teszi a csoportos keresetet kártérítésért.,”
ismét van egy 30 napos ablak, amely akkor kezdődik, amikor a fogyasztók írásbeli értesítést küldenek egy cégnek, hogy úgy vélik, hogy megsértették adatvédelmi jogaikat. “Ha nem gyógyul meg, és a főügyész elutasítja a vádemelést, akkor csoportos keresetet indíthatnak” – mondta Farber. “És ez nem csak a résidők körül van.”
például a törvény előírja, hogy a vállalatoknak jól látható lábléccel kell rendelkezniük olyan webhelyeken, amelyek lehetőséget kínálnak a fogyasztóknak az adatmegosztás elutasítására. Ha ez a lábléc hiányzik, a fogyasztók perelhetnek., Beperelhetik azt is, ha nem tudják megtudni, hogyan gyűjtötték össze az információikat, vagy nem kapnak másolatot az információról. “Bármi körül lehet” – mondja Farber.
A törvény rendel konkrét szankciókat kell a jogosulatlan hozzáférés fordulhat elő, akár egy rés, szöktetés, lopás, vagy a “nyilvánosságra eredményeként az üzleti megsértése a kötelesség végrehajtása, illetve fenntartása a megfelelő biztonsági eljárások, gyakorlatok”, Ahogy írva jelenleg, AB 375 lehetővé teszi, hogy a szankciók $100 750 $fogyasztói ügyletenként, vagy valós károkért, amelyik nagyobb.,
“Add hozzá az összes többi jogsértéssel kapcsolatos költséget – IT válasz, kriminalisztika és helyreállítás, jogi, értesítés stb. -, és ez egy megsértést jelenthet számos vállalkozás egzisztenciális fenyegetésének birodalmába” – mondja Chris Prevost, az Imperva runtime security solutions architecture vezetője.
általában, ha egy vállalat megtette a GDPR betartásához szükséges lépéseket, akkor ez a leginkább a kaliforniai fogyasztói adatvédelmi törvényhez vezet. Legalábbis közelebb van, mint ha nem áll készen a GDPR-re-mondja Eric Dieterich, az adatvédelmi gyakorlat vezetője a Focal Point Data Risk, LLC., “Egyes multinacionális vállalatok változtattak az Európai piacaikon, de talán nem vezették ki az amerikai tevékenységekre, így lehet, hogy van egy lejtős változás”-mondja.
milyen adatokat fed le a CCPA?
a kaliforniai törvény szélesebb megközelítést alkalmaz arra vonatkozóan, hogy mi minősül érzékeny adatnak, mint a GDPR. Például a szaglási információk, valamint a böngészési előzmények, valamint a látogatók weboldallal vagy alkalmazással való interakcióinak nyilvántartása.,ometric információk
módosítás, AB 874, jelenleg várjuk a kormányzó aláírása lenne adómentes a nyilvánosan elérhető, deidentified összevont fogyasztói információk minősül PII., A nyilvánosan elérhető információk a kormányzati nyilvántartásokból rendelkezésre álló és karbantartott adatok.
a CCPA eredetileg az alkalmazottakra, valamint a fogyasztói adatokra vonatkozott. Az áprilisban elfogadott módosítás azonban mentesíti a munkavállalói adatokat a rendelet alól. Egy másik módosítás, az AB 25 részben mentesíti az álláskeresőktől, tulajdonosoktól, igazgatóktól, tisztviselőktől, orvosi személyzettől és vállalkozóktól gyűjtött személyes adatokat. Ez a mentesség 2021.január 1-jén hatályát veszti. Az ab 25 a kormányzó aláírására várt ezen az íráson.
melyek a CCPA legfontosabb adatvédelmi rendelkezései?,
a vállalatoknak lehetővé kell tenniük a fogyasztók számára, hogy úgy döntsenek, nem osztják meg adataikat harmadik felekkel. Ez azt jelenti, hogy a vállalatoknak most képesnek kell lenniük arra, hogy elkülönítsék az általuk gyűjtött adatokat a felhasználók adatvédelmi döntései szerint.
továbbá, míg a vállalat nem utasíthatja el a felhasználók egyenlő szolgáltatást, ösztönzőket kínálhat azoknak a felhasználóknak, akik személyes adatokat szolgáltatnak. “Ez a rendelkezés változhat, de amint azt ma kijelentettük, lehetőséget ad arra, hogy kedvezményeket kínáljon azoknak az embereknek, akik hajlandóak megosztani vagy eladni adataikat harmadik feleknek” – mondja Dieterich., “Hagyományosan a rendszereket nem úgy tervezték, hogy az árképzési struktúrája megváltozzon az Adatvédelmi döntéseitől függően. Ez egy új koncepció, amelynek nagyon technikai következményei vannak.”
egy másik nagy különbség a GDPR, hogy a kaliforniai törvény lehetővé teszi az ügyfelek sokkal nagyobb hozzáférést biztosít a nyilvántartások, mondja Subra Ramesh, SVP termékek Dataguise. A kaliforniai fogyasztónak joga van megtudni, hogy milyen információkat gyűjt a vállalat róluk. A legtöbb vállalat lesz baj húzza ezt az információt együtt., “Először is, az általuk gyűjtött adatok mennyisége már hatalmas, és folyamatosan növekszik, gyakran a száz-ezer értékű terabyte-ban, valamint a vállalati szintű szervezetekkel, amelyek petabyte adatokat dolgoznak fel” – mondja.
Ez az adat több tárolóplatformban, különböző fájlidőkben található. “A legtöbb fájlkeresési eszköz nem képes a mai napig elterjedt modern fájltárak ökoszisztémáinak keresésére” – mondja Aaron Ganek, a Cloudtenna vezérigazgatója. “A cross-silo fájlkezelés nagy kihívás., Nehéz megérteni az egyes fájlok kontextusát, ha szétszóródnak a különböző tárolókban.”Ráadásul a megfelelési problémák az adatok összegyűjtésével járnak, mondja. “A Legacy enterprise tools küzd a különböző engedélyek és biztonsági modellek betartásáért, megsértve azokat a törvényeket és szabályokat, amelyeket kielégítésre használnak.”
akkor ott van a határidő., “A hozzáférési kérelem után a vállalatnak 45 napja van arra, hogy átfogó jelentést nyújtson nekik arról, hogy milyen típusú információkkal rendelkeznek, eladták-e, és kinek, és ha az elmúlt 12 hónapban harmadik feleknek adták el, meg kell adnia a harmadik felek nevét és címét, akiknek az adatokat eladják” – mondja John Tsopanis, az Adatvédelmi termékmenedzser. 1touch.io. ” ezt nem teheti meg Európában.”
mivel a szabály az előző 12 hónapos nyilvántartásokra vonatkozik, a vállalatoknak hat hónap múlva meg kell kezdeniük a megfelelést-mondja., Ezután 2020. január 1-jén minden vállalatnak közzé kell tennie minden más céget, amelynek adatokat adnak el. “Ez örökre megváltoztatja az amerikai adatvédelmi helyzetet” – mondja Tsopanis.
mit jelent a CCPA a biztonság szempontjából?
az AB 375 a GDPR-hez képest a biztonsággal és a jogsértéssel kapcsolatos válaszokra vonatkozó követelményekre világít. Mint korábban említettük, a törvény szankciókat határoz meg azon vállalatok számára, amelyek a fogyasztói adatokat jogsértés vagy biztonsági mulasztás miatt teszik ki. Azt is lehetővé teszi a bíróságok számára, hogy “tiltó vagy deklaratív mentességet” nyújtsanak, vagy ” bármilyen más mentességet, amelyet a bíróság megfelelőnek tart.,”
a vállalkozásoknak nem kell jelenteniük az AB 375 szerinti jogsértéseket, a fogyasztóknak pedig panaszt kell benyújtaniuk a bírságok lehetősége előtt. A biztonság szempontjából a legjobb megoldás tehát az, ha tudjuk, hogy az AB 375 milyen adatokat határoz meg magánadatként, és lépéseket teszünk annak biztosítására. Ismét minden olyan szervezetnek, amely megfelel a GDPR-nek, valószínűleg nem kell további lépéseket tennie az AB 375 betartására az adatok biztonsága szempontjából.,
Az AB 375 követelmények körül követés, elérése, valamint tárolása, az adatok azt jelenti, biztonsági csapat fog dolgozni kell szorosan az adatbázis-adminisztrátorok, mondja Terry Ray, az alelnök, aki a Imperva, egy kiberbiztonsági eladó. Az AB 375 kezelésére kiválasztott eszközöknek nemcsak a teljes heterogén vállalati környezetben tárolt adatokra kell teljes láthatóságot biztosítaniuk, hanem gondoskodniuk kell arról is, hogy az adatokhoz való hozzáférés megfelelően biztosított legyen., “Végül ezekre az eszközökre lesz szükségük ahhoz, hogy együttműködjenek az új fogyasztói portállal azáltal, hogy megosztják a konkrét fogyasztói adatokat az ellenőrizhető fogyasztóval, aki azt kéri” – mondja.
Ha az adatokat felhőszolgáltatókkal tárolják, a probléma csak rosszabbodik. Például az alkalmazottak létrehozhatnak egy fájlmegosztó fiókot, hogy nyomon követhessék a marketing vagy értékesítési kapcsolatokat. “Nem meglepő, hogy az olyan nagy techcégek, mint a Google és a Facebook ellenezték a törvényjavaslatot” – mondta Kevin Bocek, a Venafi biztonsági stratégiáért és fenyegetésért felelős alelnöke., “A gépek közötti Adatvédelem és személyes adatok ellenőrzése hihetetlenül nehéz, és minden vállalkozás számára komoly kihívást jelent.”
folyamatban lévő munka
a törvényjavaslatot mindössze hét nap alatt állították össze, mert a jogalkotók el akarták kerülni a szavazási kezdeményezést, hogy még szigorúbb törvényt fogadjanak el, amelyet sok technológiai vállalat ellenzett. “Jelenleg számos rendelkezés és meghatározás ütközik egymással” – mondja Andy Dale, A global privacy at SessionM általános tanácsadója és alelnöke.,
az egyik problémás terület az, hogy egy vállalat az adatvédelmi beállítások alapján eltérő árakat számíthat-e fel a fogyasztóknak. Például sok vállalat van egy lehetőség, ahol a fogyasztó lehet frissíteni a fizetett szint, ahol nem látnak hirdetéseket. Itt a jelenleg írt törvény egy kicsit ellentmondásos.
“Ha a fogyasztó a rendelet alapján gyakorolja jogait, a vállalkozások nem nyújthatnak más szintű vagy minőségi terméket, árut vagy szolgáltatást a fogyasztónak” – mondja Pravin Kothari, a CipherCloud vezérigazgatója., “Az érme másik oldalán a rendelet szerint a vállalkozások nem tiltják meg, hogy a fogyasztónak eltérő árat vagy díjat számítsanak fel, vagy hogy eltérő szintű vagy minőségi árut vagy szolgáltatást nyújtsanak a fogyasztónak, ha ez a különbség ésszerűen kapcsolódik a fogyasztó által a fogyasztó adatai által megadott értékhez.”
úgy tűnik, hogy Kalifornia olyan keretet próbál meghatározni, ahol a fogyasztók fizethetnek adataik megosztásáért, mondja Kothari. “Ezen a területen a jogszabályok egy kicsit látnok” – mondja. “A gyakorlatban látni fogjuk, hogy ez hogyan működik.,”
Több CCPA:
- 9 CCPA kérdést minden CISO kell válaszolni
- A CCPA egy lehetőséget, hogy az adatok biztonsági házat
- Mi az, hogy “ésszerű biztonsági”? De hogyan felel meg a követelménynek
- komolyan fogyasztói adatvédelmi
- Hogyan állampolgár tulajdonosi adatok hatások üzleti tovább