CPRA 暗示了网络安全和隐私的未来

在美国2020年选举期间影响隐私和网络安全世界的最显着投票提案之一是《加利福尼亚隐私权法案》( CPRA )。

 CPRA 隐私

主要被视为2018年《加利福尼亚消费者隐私法》( 注册会计师 ),除了备受吹捧的加州隐私保护局( CPPA )。

CPRA 不仅进行了可能会给小型零售商带来负担的多项更改,而且还更加专注于网络安全,暗示了隐私和安全立法的未来。

CPRA 征收什么新职责?

的新迭代 加州法律 专门在多个地方合并了数据安全性和完整性要求。更改会过滤CPRA的53页。当放在一起时,它们表明朝着使CPRA成为混合隐私安全性法规的方向发展。

首先提到的是在第100节中,该节要求收集个人信息的企业“应实施合理的安全程序和做法”。这种新语言突显了安全性和隐私之间深深交织的关系。 注册会计师 暗示了安全控制,但CPRA完全要求它们。

这项新任务与定义部分中以下“安全性和完整性”的补充保持一致:

  • 具有以下能力:(1)网络或信息系统检测安全事件,这些事件会破坏存储或传输的个人信息的可用性,真实性,完整性和机密性; (2)发现安全事件,抵制恶意,欺骗,欺诈或非法行为,并协助起诉应对这些行为负责的人; (3)确保自然人的人身安全的业务。

该定义加强了主动网络安全监控和威胁检测,对于确保隐私至关重要。具体来说,“帮助起诉责任人”表示必须遵守CPRA的组织需要拥有适当的法证文件,以使他们能够与执法部门合作。

CPRA 如何改变数据收集的定义?

从纯粹的学术立场来看,同意书,深色图案和跨上下文行为广告的新定义表明,CPRA期待数据收集技术的未来。

同意的定义特别指出:

  • 接受包含个人信息处理描述以及其他不相关信息的一般或广义使用条款或类似文件,并不构成同意。将鼠标悬停,静音,暂停或关闭特定内容并不表示同意。同样,通过使用深色图案获得的同意也并不构成同意。

使用“一般或广泛使用条款[…]以及其他不相关的信息并不构成同意”,这似乎在呼唤“ GDPR Cookie通知”和使用“通过单击此框我承认已阅读并理解了此表”的表格公司的隐私声明。”

这些通知都可以视为广义的条款和条件。此外,两者都包含个人信息处理以及“其他不相关信息”,例如用户要下载的营销资产。

但是,CPRA在“定义”部分中更进一步,以包括收集用户意图数据的营销技术。许多网站使用“热图”收集有关用户单击位置,观看或暂停哪些视频以及将鼠标悬停在哪些区域的信息。例如,诸如Decibel和Hotjar之类的工具就是行为分析工具,它们可以洞悉用户点击进入的内容,他们是否受到不可点击元素的干扰以及他们是否响应选择加入。 CPRA 的语言表示,企业在收集此信息之前需要获得同意。

CPRA 进一步走了一步,将“深色模式”定义为“设计或操纵的用户界面,其实质作用是破坏或损害用户的自治权,决策权或选择权,如法规进一步定义的那样。”深色模式是企图利用用户情绪对付他们的营销手段,例如带有按钮的电子邮件请求框,上面写着“不,谢谢,我今天不想打折”。根据CPRA,这些将被视为不合规策略。

最后,CPRA通过包括以下跨上下文行为广告的定义,涵盖了其所有隐私基础:

  • 根据消费者将广告定位到消费者’从消费者那里获得的个人信息’消费者有意与之交互的业务,独特品牌的网站,应用程序或服务之间的业务活动。

换句话说,如果消费者希望从Gap购买商品,则Gap无法使用该信息定位香蕉共和国服装的广告。

消费者企业将需要特别描述其消费者数据收集存储库,并更加主动地确定其数字营销策略的定位方式。

CPRA 如何影响数据供应链

CPRA 还处理数据供应链,就服务提供商和承包商如何以及如何适应隐私难题给出了具体指导。第105、121和130节均引用了这些第三方数据组织,这些组织在汇总后会在整个数据供应链中创建一系列合同要求。

首先,CPRA根据第105节“消费者删除个人信息的权利”阐明,服务提供商仅看重与他们签约的企业,而不是消费者。其次,该子句创建了删除个人数据的瀑布式方法。企业需要告知其服务提供商和承包商,而后者又需要联系其服务提供商和承包商。据推测,这个瀑布将继续沿着数据供应流向下流动,直到不再有其他的合同订约方为止。

其次,CPRA建立了第121条,这是CCPA中没有的新规定。本部分赋予消费者权利来限制企业使用其数据的方式,并要求企业也将这些限制推向下游。从根本上讲,此规定意味着消费者现在可以为服务创建帐户,例如通过企业拥有的应用程序进行购买,但将数据使用方式限制为单个情况。

最后,在第130节中,CPRA明确了服务提供商和承包商的责任,重点是合同义务。服务提供商和承包商只需要响应与他们签约的企业提供的请求即可。本部分加强了消费者与企业的服务提供商和承包商之间的距离。

对于CPRA采取数据隐私和安全性的方向,我们可以假设什么?

从根本上说,CPRA对数据安全性和隐私日益交织的方式提供了很多见识。 CPRA 不再暗示互连,而是专门针对数据安全最佳实践。它比其他法规更进一步,要求企业提供数据安全事件信息,以帮助在事件发生后跟踪网络犯罪分子。

更重要的是,CPRA的澄清造成了一系列需求,使数据检索变得困难。这些要求通过在响应消费者请求时给企业和数据供应链带来不必要的负担,从而实现了数据最小化。例如,第130(3)(B)(ii)条现在要求企业根据要求向消费者提供“获得的特定个人信息”。

最初,根据CCPA,企业需要共享信息类别。通过要求他们提供特定的个人信息,需要响应消费者的企业现在需要更仔细地考虑他们收集的数据。如果收集的“数据”来自网站热图,那么企业需要能够根据消费者的要求将数据分离出来。

简而言之,许多新要求迫使企业对所收集的信息进行更仔细的考虑。如果企业需要根据客户要求提供数据,则需要知道其收集的特定信息,而不仅仅是类别。由于这将增加与响应这些请求相关的运营成本,因此CPRA从根本上为企业提供了两种选择。收集所有数据,但在响应消费者请求时支付运营成本,或尽可能限制数据收集以减少响应消费者请求的运营成本。

到2020年1月,至少有三个州根据CCPA制定了新的隐私法规。随着数据隐私和安全专业人员对隐私法规的未来发展,CPRA提出了新的基本要求,美国联邦政府可能会使用这些要求来加强消费者数据权利。

分享这个