I slutten av juni, 2018, California gått AB 375, en forbruker privacy act som kan ha flere konsekvenser på AMERIKANSKE selskaper enn den Europeiske Unions General Data Protection Regulation (GDPR) som trådte i kraft i Mai 2018. California loven har ikke noen av GDPR mest strenge krav, slik som den smale 72-timers vindu hvor et selskap skal rapportere et brudd. I andre henseender, men det går enda lenger.
ccpa hadde tar et bredere syn enn GDPR av hva som utgjør private data., Utfordringen for sikkerhet, da, er å finne og sikre at private data.
Hva er ccpa hadde?
California Consumer Privacy Act (ccpa hadde) er en lov som tillater enhver California forbrukeren til å kreve å se all den informasjon som selskapet har lagret på dem, så vel som en full liste over alle tredjeparter som data er delt med. I tillegg, California loven gjør det mulig for forbrukerne å saksøke selskaper hvis retningslinjer for personvern er krenket, selv om det ikke er noe brudd.,
hvilke selskaper Som gjør ccpa hadde påvirke?
Alle selskaper som leverer i California, og har minst $25 millioner i årlige inntekter må være i samsvar med loven. I tillegg er selskaper av alle størrelser som har personlige data på minst 50.000 mennesker eller som samler inn mer enn halvparten av sine inntekter fra salg av personlige data, også faller inn under loven. Selskaper trenger ikke å være basert i California, eller har en fysisk tilstedeværelse det å falle inn under loven. De trenger ikke engang å være basert i de Forente Stater.,
En endring som er gjort i April fritar «forsikring institusjoner, agenter, og støtte organisasjoner» som de allerede er underlagt tilsvarende regler under Californias Forsikring Informasjon og Privacy Protection Act (IIPPA).
Når du trenger firmaet mitt å være i samsvar med ccpa hadde?
loven trådte i kraft 1. januar 2020, men håndheving begynte den 1. juli.
Hva skjer hvis mitt firma er ikke i samsvar med de ccpa hadde?
Selskaper har 30 dager på seg til å overholde loven når regulatorer varsle dem om et brudd., Hvis problemet ikke er løst, det er en bot på opp til $7,500 per oppføring. «Hvis du tenker på hvor mange poster påvirkes i et brudd, er det virkelig øker svært raskt, sier Debra Farber, senior direktør for personvern strategi på BigID. Siden bill var satt sammen og bestått i løpet av en uke, vil det sannsynligvis se noen endringer, legger hun til. «Ting som fine beløp som er sannsynlig å endre.»
Det er også en annen potensiell økonomisk risiko, Farber sier. «The bill gir for et individs rett til å saksøke, for første gang,» sier hun. «Og det gjør class action søksmål om erstatning.,»
Igjen, det er en 30-dagers vindu som starter når forbrukerne gi skriftlig melding til selskapet at de tror deres personvern rettigheter har blitt krenket. «Hvis det ikke blir avhjulpet, og justisministeren nekter å straffeforfølge, så de kan ta et gruppesøksmål dress,» Farber sier. «Og det er ikke bare rundt brudd.»
For eksempel, loven angir at selskapene må ha et tydelig bunntekst på nettsteder tilbyr kundene muligheten til å melde deg ut for å dele data. Hvis det bunntekst mangler, forbrukere kan saksøke., De kan også saksøke hvis de ikke kan finne ut hvordan deres informasjon har blitt samlet inn eller få kopier av denne informasjonen. «Det kan være rundt ingenting», » Farber sier.
loven tildeler bestemte straffer bør uautorisert tilgang oppstå, enten gjennom et brudd, exfiltration, tyveri, eller «avsløring som et resultat av virksomheten» brudd på plikt til å iverksette og opprettholde rimelig sikkerhet prosedyrer og praksis», Som for tiden er skrevet, AB 375 gjør for straff på $100 til $750 per forbruker per hendelse, eller faktiske skader, avhengig av hvilken som er høyest.,
«Legg til i alle andre brudd relaterte kostnader-DET svar, etterforskning og utvinning, juridiske, varsling og så videre-og kan dette skyve på en bryter inn i riket av en eksistensiell trussel for mange bedrifter, sier Chris Prevost, leder av runtime sikkerhetsløsninger arkitektur ved Imperva.
generelt, hvis et selskap tok de nødvendige trinnene for å være i samsvar med GDPR, så er det meste av veien der for California Consumer Privacy Act. Minst, det er nærmere enn hvis det ikke er klar for GDPR, sier Eric Dieterich, personvern praksis leder i brennpunkt Data Risiko, LLC., «Noen multinasjonale selskaper har gjort endringer for sine Europeiske markeder, men kanskje ikke rulle det ut til USA-baserte aktiviteter, så det kan være en scoping endre, sier han.
Kva for data som gjør ccpa hadde cover?
California loven tar en bredere tilnærming til hva som er sensitive data enn GDPR. For eksempel, olfactory informasjon er dekket, i tillegg til surfing historie og registrering av brukerens interaksjon med et nettsted eller applikasjon.,ometric informasjon
En endring, AB 874, for tiden venter governor ‘ s signatur ville unntatt offentlig tilgjengelig, deidentified og samlet forbruker informasjon fra å bli klassifisert som PII., Offentlig tilgjengelig informasjon er definert som data tilgjengelig og vedlikeholdes fra offentlige registre.
ccpa hadde opprinnelig dekket ansatte så vel som forbruker data. En endring som er vedtatt i April, men fritar ansattes data fra forskriften. En annen endring, AB 25, delvis gir personlige opplysninger som samles inn fra jobbsøkere, eiere, styremedlemmer, ledere, ansatte og kontraktører. Dette fritaket ville utløpe 1. januar 2021. AB 25 var i påvente av governor ‘ s signatur på dette skriftlig.
Hva er de viktigste personvern bestemmelsene i ccpa hadde?,
Selskaper må gjøre det mulig for forbrukerne å velge ikke å ha sine data deles med en tredjepart. Det betyr at selskapene vil nå være i stand til å skille de dataene de samler inn, i henhold til brukernes personvern valg.
I tillegg, mens et selskap kan ikke nekte brukere lik service, den kan tilby insentiver til brukerne som oppgir personlig informasjon. «Denne bestemmelsen kan bli gjenstand for endring, men som det fremgår i dag, det gir deg muligheten til å tilby rabatter til folk som er villige til å ha sin data som er delt eller solgt til tredjeparter,» sier Dieterich., «Tradisjonelt, systemer ikke er utformet slik at priser kan endre seg avhengig av personvernet ditt valg. Det er et nytt konsept som har svært tekniske implikasjoner.»
en Annen stor forskjell med GDPR er at California loven gjør det mulig for kundene mye større tilgang til sine poster, sier Subra Ramesh, SVP av produkter på Dataguise. En California forbrukeren har rett til å finne ut hva slags informasjon som selskapet samler inn om dem. De fleste selskaper kommer til å ha problemer med å trekke denne informasjonen sammen., «Først og fremst mengden av data de samler inn er allerede stor, og fortsetter å vokse, ofte i hundrevis til tusenvis verdt av terabyte, og med enterprise-nivå organisasjoner behandling petabyte med data,» sier han.
At data finnes i flere lagringsplattformer, i forskjellige fil ganger. «De fleste fil søkeverktøy manglende evne til å søke i den moderne fil depotet økosystemer som er så utbredt i dag,» sier Aron Ganek, administrerende DIREKTØR i Cloudtenna. «Cross-silo-fil management er en stor utfordring., Det er vanskelig å forstå konteksten for hver fil hvis de er spredt inne i forskjellige registre.»Pluss, compliance problemer som er forbundet med å trekke sammen data, sier han. «Arven enterprise tools sliter med å observere de ulike tillatelser og sikkerhet-modeller, bryter veldig lover og forskrifter som de som blir brukt for å tilfredsstille.»
Så er det tid limit., «Etter anmodning om tilgang, et selskap som har 45 dager for å gi dem en omfattende rapport om hvilken type informasjon de har, var det som selges, og til hvem, og om det ble solgt til tredjepart i løpet av de siste 12 måneder, må den gi den navn og adresser til tredjeparter data er solgt til, sier John Tsopanis, personvern product manager hos 1touch.io. «Du kan ikke gjøre det i Europa.»
Siden regelen dekker de siste 12 måneder av poster, selskaper må begynne å følge seks måneder fra nå, sier han., Deretter, på januar 1, 2020, hvert selskap har til å utlevere ethvert annet selskap de selger data til. «Det vil forandre personvern liggende i Amerika alltid,» Tsopanis sier.
Hva gjør ccpa hadde bety for sikkerheten?
AB 375 er lette på kravene rundt sikkerhet og brudd respons i forhold til den GDPR. Som nevnt tidligere, er loven ikke angi straffer for selskaper som utsettes forbruker data på grunn av et brudd eller sikkerhet forfalle. Den gjør det også mulig for domstolene å tilby «pålagt eller stadfestende,» eller «noen andre lindring domstolen anser som riktig.,»
Virksomheter er ikke pålagt å rapportere brudd under AB 375, og forbrukere må fil klager før bøter er mulig. Det beste løpet av handlingen for sikkerhet, da, er å vite hvilke data AB 375 definerer som private data, og ta skritt for å secrure det. Igjen, en organisasjon som er i samsvar med GDPR sannsynlig ikke trenger å ta ytterligere tiltak for å overholde AB 375 i form av sikring av data.,
AB-375 krav rundt sporing, tilgang til, og lagring av data bety security team må jobbe tett med databasen administratorer, sier Terry Ray, senior vice president og stipendiat ved Imperva, en cybersecurity leverandør. Alle verktøy som er valgt til å hjelpe avtale med AB 375 vil ikke bare trenger å ha full oversikt over data som er lagret på tvers av hele uensartet eierstyring og miljø, men også sikre at tilgang til disse dataene er forsvarlig sikret., «Til slutt, de må disse verktøyene til å samarbeide med det nye forbruker-portalen ved å dele bestemt forbruker data med etterprøvbare forbrukeren ber om det,» sier han.
Hvis dataene er lagret med cloud tilbydere, og problemet blir bare verre. For eksempel kan ansatte satt opp en fil-deling-konto for å holde styr på markedsføring eller salg kontakter. «Det er ikke overraskende de store tech selskaper som Google og Facebook motsetning regningen, sier Kevin Bocek, VP of security strategi og trussel intelligens på Venafi., «Å kontrollere den personvern og personlig informasjon som flyter mellom maskiner er utrolig vanskelig, og en stor utfordring for alle virksomheter.»
arbeid
regningen ble satt sammen i bare syv dager fordi lovgiverne ønsket å unngå en stemmeseddel initiativ til å passere en enda strengere lov som ble motarbeidet av mange tech selskaper. «Akkurat nå, mange av de bestemmelser og definisjoner i konflikt med hverandre,» sier Andy Dale, general counsel og vice president of global personvern på SessionM.,
En problematisk område er om et selskap kan lade forbrukere forskjellige priser basert på personverninnstillingene. For eksempel, mange selskaper har et alternativ der en forbruker kan oppgradere til en betalt tier der de ikke ser noen annonser. Her, loven som er skrevet er litt motstridende.
«Dersom forbrukeren utøver sine rettigheter under regulering, bedrifter ikke kan gi et annet nivå eller kvalitet av produkt, varer eller tjenester til forbruker, sier Pravin Kothari, administrerende DIREKTØR i CipherCloud., «På den andre siden av mynten, i henhold til forordningen, kan bedrifter ikke er forbudt å lade en forbruker en annen pris eller pris, eller fra å gi et annet nivå eller kvaliteten av varer eller tjenester til forbruker, hvis forskjellen er rimeligvis knyttet til verdien gitt til forbrukeren etter forbrukerens data.»
Det ser ut som California prøver å definere et rammeverk hvor forbrukerne kan få betalt for å dele sine data, Kothari sier. «I dette området lovgivningen er litt visjonær,» sier han. «Vi får se i praksis hvordan dette faktisk fungerer ut.,»
Mer om ccpa hadde:
- 9 ccpa hadde spørsmål hver CISO bør være forberedt på å svare
- ccpa hadde en mulighet til å få data security huset i orden
- Hva er «rimelig sikkerhet»? Og hvordan møte de krav
- Få alvorlige om forbrukeren beskyttelse
- Hvordan statsborger eierskap av data påvirker virksomheten fremover