i slutet av juni 2018 passerade Kalifornien AB 375, en konsumentskyddslag som kan få mer återverkningar på amerikanska företag än Europeiska unionens allmänna dataskyddsförordning (GDPR) som trädde i kraft i maj 2018. Kaliforniens lag har inte några av GDPR: s mest betungande krav, till exempel det smala 72-timmarsfönstret där ett företag måste rapportera ett brott. I andra avseenden går det dock ännu längre.
CCPA har en bredare bild än GDPR av vad som utgör privata data., Utmaningen för säkerhet är då att hitta och säkra den privata data.
vad är CCPA?
California Consumer Privacy Act (CCPA) är en lag som tillåter alla Kalifornien konsument att kräva att se all information ett företag har sparat på dem, samt en fullständig lista över alla tredje parter som data delas med. Dessutom tillåter Kaliforniens lag konsumenterna att stämma företag om integritetsriktlinjerna bryts, även om det inte finns något brott.,
vilka företag påverkar CCPA?
alla företag som tjänar invånare i Kalifornien och har minst $25 miljoner i årliga intäkter måste följa lagen. Dessutom faller företag av alla storlekar som har personuppgifter på minst 50 000 personer eller som samlar in mer än hälften av sina intäkter från försäljning av personuppgifter, också enligt lagen. Företag behöver inte vara baserade i Kalifornien eller har en fysisk närvaro där för att falla under lagen. De behöver inte ens vara baserade i USA.,
ett ändringsförslag som gjordes i April undantar ”försäkringsinstitutioner, agenter och supportorganisationer” eftersom de redan omfattas av liknande regler enligt Kaliforniens Insurance Information and Privacy Protection Act (IIPPA).
När måste mitt företag följa CCPA?
lagen trädde i kraft den 1 januari 2020, men verkställigheten började den 1 juli.
vad händer om mitt företag inte följer CCPA?
företag har 30 dagar på sig att följa lagen när tillsynsmyndigheterna meddelar dem om en överträdelse., Om problemet inte är löst, finns det böter på upp till $7.500 per post. ”Om du tänker på hur många poster som påverkas i ett brott, ökar det verkligen mycket snabbt”, säger Debra Farber, senior director for privacy strategy på BigID. Eftersom räkningen sammanställdes och antogs på bara en vecka, kommer det förmodligen att se några ändringsförslag, tillägger hon. ”Saker som de fina beloppen kommer sannolikt att förändras.”
det finns också en annan potentiell finansiell risk, säger Farber. ”Propositionen ger en persons rätt att stämma, för första gången” säger hon. ”Och det tillåter klass talan stämningar för skador.,”
återigen finns det ett 30-dagarsfönster som börjar när konsumenterna skriftligen meddelar ett företag att de tror att deras integritetsrättigheter har kränkts. ”Om det inte är botat, och justitieministern avböjer att åtala, då kan de ta med en klass Action kostym,” säger Farber. ”Och det är inte bara runt överträdelser.”
till exempel anger lagen att företag måste ha en tydligt synlig sidfot på webbplatser som erbjuder konsumenterna möjlighet att välja bort datadelning. Om den sidfoten saknas kan konsumenterna stämma., De kan också stämma om de inte kan ta reda på hur deras information har samlats in eller få kopior av den informationen. ”Det kan vara runt vad som helst”, säger Farber.
lagen tilldelar särskilda påföljder bör obehörig åtkomst sker, oavsett om det är genom en överträdelse, exfiltration, stöld, eller ”avslöjande som ett resultat av företagets överträdelse av den skyldighet att genomföra och upprätthålla en rimlig säkerhet förfaranden och praxis,” Som för närvarande skrivs, AB 375 gör det möjligt för påföljder av $100 till $750 per konsument per incident, eller faktisk skada, beroende på vilken som är större.,
”Lägg till i alla andra överträdelserelaterade kostnader – it-svar, rättsmedicin och återhämtning, juridisk, anmälan och så vidare-och detta kan driva ett brott i sfären av ett existentiellt hot mot många företag”, säger Chris Prevost, chef för runtime security solutions architecture vid Imperva.
i allmänhet, om ett företag tog de åtgärder som krävs för att följa GDPR, så är det mest av vägen dit för California Consumer Privacy Act. Åtminstone är det närmare än om den inte är redo för GDPR, säger Eric Dieterich, sekretess praxis ledare på Brännpunkt Data Risk, LLC., ”Vissa multinationella företag gjorde förändringar för sina europeiska marknader, men kanske inte rulla ut till USA-baserade aktiviteter, så det kan finnas en scoping förändring”, säger han.
vilka data täcker CCPA?
Kaliforniens lag har ett bredare synsätt på vad som utgör känsliga data än GDPR. Till exempel är olfaktorisk information täckt, samt webbhistorik och register över en besökares interaktioner med en webbplats eller ett program.,ometrisk information
En ändring, AB 874, och väntar för närvarande på guvernörens underskrift skulle undantas offentligt tillgängliga, deidentified och samlade information till konsumenter från att klassificeras som en ANSVARSFÖRSÄKRING., Offentligt tillgänglig information definieras som uppgifter som är tillgängliga och underhållna från offentliga register.
CCPA omfattade ursprungligen anställd samt konsumentuppgifter. I ett ändringsförslag som antogs i April undantas dock uppgifter om anställda från förordningen. Ett annat ändringsförslag, AB 25, undantar delvis personlig information som samlats in från arbetssökande, ägare, direktörer, officerare, medicinsk personal och entreprenörer. Detta undantag skulle upphöra att gälla den 1 januari 2021. AB 25 väntade på guvernörens underskrift i denna skrift.
vilka är de viktigaste sekretessbestämmelserna i CCPA?,
företag måste tillåta konsumenter att välja att inte dela sina uppgifter med tredje part. Det innebär att företagen nu måste kunna separera de uppgifter de samlar in enligt användarnas val av integritet.
även om ett företag inte kan vägra användare lika tjänster, kan det erbjuda incitament för användare som tillhandahåller personlig information. ”Denna bestämmelse kan komma att ändras, men som sagt idag ger det Dig möjlighet att erbjuda rabatter till personer som är villiga att få sina uppgifter delade eller sålda till tredje part”, säger Dieterich., ”Traditionellt är system inte utformade så att din prissättningsstruktur kan förändras beroende på dina sekretessval. Det är ett nytt koncept som har mycket tekniska konsekvenser.”
en Annan stor skillnad med GDPR är att Kalifornisk lag som tillåter kunder mycket större tillgång till sina dokument, säger Subra Ramesh, SVP produkter på Dataguise. En kalifornisk konsument har rätt att ta reda på vilken information ett företag samlar in om dem. De flesta företag kommer att ha problem att dra den informationen tillsammans., ”För det första är mängden data som de samlar in redan massiv och fortsätter att växa, ofta i hundratusentals värde av terabyte, och med företagsnivå organisationer som bearbetar petabyte data”, säger han.
att data finns i flera lagringsplattformar, i olika filtider. ”De flesta filsökningsverktyg saknar möjligheten att söka över de moderna filförvarings ekosystemen så utbredda idag”, säger Aaron Ganek, VD för Cloudtenna. ”Cross-silo filhantering är en stor utmaning., Det är svårt att förstå sammanhang för varje fil om de är utspridda i olika förråd.”Dessutom är efterlevnadsproblem förknippade med att dra ihop data, säger han. ”Äldre företagsverktyg kämpar för att observera de olika behörigheterna och säkerhetsmodellerna, bryter mot de lagar och förordningar som de används för att tillfredsställa.”
då finns tidsgränsen., ”Efter begäran om tillgång, ett företag har 45 dagar att ge dem en omfattande rapport om vilken typ av information de har, var det säljs, och till vem, och om det såldes till tredje part under de senaste 12 månaderna, det måste ge namn och adresser till tredje part uppgifterna säljs till,” säger John Tsopanis, privacy product manager på
eftersom regeln omfattar de senaste 12 månaderna av poster, företag måste börja uppfylla sex månader från och med nu, säger han., Sedan, den 1 januari 2020, måste varje företag avslöja alla andra företag de säljer data till. ”Det kommer att förändra integritetslandskapet i Amerika för alltid”, säger Tsopanis.
vad betyder CCPA för säkerhet?
AB 375 är lätt på krav kring säkerhet och brott svar jämfört med GDPR. Som tidigare nämnts definierar lagen påföljder för företag som exponerar konsumentuppgifter på grund av brott eller säkerhetsbrott. Det gör det också möjligt för domstolar att erbjuda ”förbudsföreläggande eller deklaratorisk lättnad ”eller” någon annan lättnad som domstolen anser vara lämplig.,”
företag är inte skyldiga att rapportera överträdelser enligt AB 375, och konsumenterna måste lämna in klagomål innan böter är möjliga. Det bästa tillvägagångssättet för säkerhet är då att veta vilka data AB 375 definierar som privata data och vidta åtgärder för att säkerställa det. Återigen behöver någon organisation som följer GDPR sannolikt inte vidta ytterligare åtgärder för att följa AB 375 när det gäller att säkra data.,
kraven på AB 375 kring spårning, åtkomst och lagring av data betyder att säkerhetsgrupper måste samarbeta nära med databasadministratörer, säger Terry Ray, senior vice president och fellow på Imperva, en cybersäkerhetsleverantör. Alla verktyg som valts för att hjälpa till att hantera AB 375 behöver inte bara ha full synlighet i data som lagras över hela heterogen företagsmiljö, utan också säkerställa att tillgången till dessa data är ordentligt säkrad., ”Slutligen kommer de att behöva dessa verktyg för att samarbeta med den nya konsumentportalen genom att dela specifika konsumentuppgifter med den verifierbara konsumenten som begär det”, säger han.
om data lagras med molnleverantörer blir problemet bara värre. Till exempel kan anställda ställa in ett fildelningskonto för att hålla reda på marknadsföring eller försäljningskontakter. ”Det är inte förvånande att de stora företag som Google och Facebook motsatte sig lagförslaget, säger Kevin Bocek, vice vd för säkerhet, strategi och hot intelligens på Venafi., ”Att kontrollera integritet och personlig information som flyter mellan maskiner är oerhört svårt, och en stor utmaning för alla företag.”
ett pågående arbete
räkningen sammanställdes på bara sju dagar eftersom lagstiftarna ville undvika ett valinitiativ för att klara en ännu strängare lag som motsattes av många tekniska företag. ”Just nu står många av bestämmelserna och definitionerna i konflikt med varandra”, säger Andy Dale, General counsel och VP of global privacy på SessionM.,
ett problematiskt område är om ett företag kan debitera konsumenterna olika priser baserat på deras sekretessinställningar. Till exempel har många företag ett alternativ där en konsument kan uppgradera till en betald nivå där de inte ser några annonser. Här är lagen som för närvarande skriven lite motsägelsefull.
”om konsumenten utövar sina rättigheter enligt förordningen kan företagen inte erbjuda konsumenten en annan nivå eller kvalitet på produkter, varor eller tjänster”, säger Pravin Kothari, VD för CipherCloud., ”På andra sidan myntet, enligt förordningen, är företag inte förbjudna att ta ut en konsument ett annat pris eller en annan kurs, eller från att tillhandahålla en annan nivå eller kvalitet av varor eller tjänster till konsumenten, om denna skillnad rimligen är relaterad till det värde som konsumentens uppgifter ger konsumenten.”
det ser ut som att Kalifornien försöker definiera en ram där konsumenterna kan få betalt för att dela sina data, säger Kothari. – På detta område är lagstiftningen lite visionär, säger han. ”Vi får se i praktiken hur det faktiskt fungerar.,”
mer om CCPA:
- 9 CCPA-frågor varje CISO bör vara beredd att svara
- CCPA är en möjlighet att få ditt datasäkerhetshus i ordning
- Vad är ”rimlig säkerhet”? Och hur man uppfyller kravet
- få allvar med konsumentskyddet
- hur medborgarägandet av data påverkar verksamheten framåt