It’是时候在美国制定国家隐私法了

对于任何参与全球经济的公司而言,消费者数据隐私不再是必不可少的邪恶因素,而是竞争优势。欧盟的 GDPR 代表着全球最全面的隐私最佳做法法规,使公司严格遵守数据收集,存储和使用的标准。

美国国家隐私法

美国国家隐私法

近年来,许多国家都采取了类似的行动,通过了类似的具有侵略性的隐私法,反映了对数据保护的更大奉献。

与之形成鲜明对比的是,在没有国家隐私立法的情况下,美国仍然是全球经济中为数不多的主要参与者之一。一些州制定了隐私法,联邦政府制定了针对特定行业的法律, HIPAA , 格拉姆-里奇-布莱利法案 FCRA —但是,没有所有美国公司都必须遵循的一套统一且可强制执行的数据隐私准则。

联邦对数据隐私的要求具有统一的优势。首先,它将提供一种有效的方式来执行这些法规,促使数据收集者更加认真地对待这些法规。其次,它将使技术提供商能够设计专门帮助保护敏感消费者数据的解决方案。数据收集者(即拥有其客户数据的公司)希望遵守法规,但对各州的要求变化不知所措。

由于消费者不愿与他们开展业务,现状使美国消费者面临风险,而企业在国内和全球都处于明显的劣势。制定国家隐私保护条例可以帮助美国企业从更严格的隐私保护政策中获得收益。

当地挑战

在没有国家政策的情况下, 一些州 正在自己处理问题并制定自己的隐私法。目前只有三个州(加利福尼亚州,内华达州和缅因州)制定了数据隐私法。 2020年11月,加利福尼亚选民批准了《加利福尼亚隐私权法》( CPRA ),这将进一步加强该州现有的隐私法( 注册会计师 )于2023年生效。

尽管应该赞扬国家所做的努力,但是个别法律无法弥补所有组织必须依据的一致政策。即使所有50个州都通过了个人隐私法,公司仍将不得不走非常艰难的道路来保持合规性。

例如,一家在10个州运营的公司必须专门投入资源,以不仅了解彼此之间法律的差异,还必须理解法律之间的相互关系。

根据不同的法规实施准则和技术来存储和共享数据既昂贵又耗时。此外,诸如GDPR和CPRA之类的隐私法规范围很广:即使与(欧盟和加利福尼亚)居民有业务往来的组织也可以执行这些法规,即使他们在该联盟/州中没有实际存在。

全球挑战

随着越来越多的国家逐步但稳步地发展其处理数据隐私的方式,美国在全球经济中显得异常。 2020年,巴西和南非等国家/地区采用了受GDPR启发的国家立法,而印度正在等待批准类似的综合隐私法。许多其他国家修改了现行法律以解决现代隐私问题(例如,新西兰废除了并取代了其1993年的《隐私法》)。

随着国外更严格的隐私法律的出现,美国缺乏国家数据隐私法规,这使得美国公司更难以竞争全球合作伙伴。例如,在11月,欧盟执行机构欧盟委员会(European Commission) 公布的指导方针 这将极大地限制欧盟企业可以用来存储数据的国家/地区的数量,而美国显然不在名单之列。这种排除现象清楚地表明,在许多情况下,美国在这一领域的不足使全球商业活动更加困难,即使不是不可能。

除了禁止与美国公司进行业务往来的官方限制外,世界其他地区的组织还必须问:“我们可以用我们的数据信任美国组织吗?”全面的国家隐私政策将向世界表明,美国公司对保护数据以及安全和有价值的业务合作伙伴非常重视。

国家隐私政策的好处

国家隐私政策将有助于减轻国内外的上述挑战,并随着时间的推移出现以下好处:

好处1:消费者获胜。制定美国国家隐私法可为消费者带来明显利益。努力保护消费者共享的数据只是正确的选择,尤其是当您考虑到组织从这些数据中获得不可估量的洞察力时。金融服务,医疗保健和零售行业的公司为全面制定消费者隐私法而进行的最艰苦的努力,因为其业务效率越来越严重地依赖于收集通常与第三方共享的消费者数据,从而有可能发生数据泄露的风险。

好处2:减少混乱。当所有组织都在同一页面上工作时,公司可以更轻松地了解其运营所在州的隐私期望。它还将消除理解每个州的指南所需的资源,并创建一个蓝图以确保合规。

好处3:信托权益。通过实施与其他全球法规类似的国家隐私标准,美国公司将比目前更负责任和有效地集体保护数据。反过来,这不仅会赢得美国本地消费者的信任,还会赢得潜在合作伙伴的信任,这将增强美国在全球范围内与数据隐私相关的声誉。

好处4:扩大机会。鉴于数据隐私作为关键业务期望的重要性越来越高,制定强有力的国家法规将扩大已经要求数据隐私的国家/地区与企业合作的机会,并成为与该领域其他参与者竞争的差异化因素。

技术角色

一旦美国颁布了国家隐私法,采用正确的隐私保护技术对于保持合规性至关重要。它从工具开始,这些工具使组织能够识别被归类为敏感信息的内容,然后突出显示保护方面的漏洞,从而使他们能够采取适当的纠正措施。

GDPR 的关键要素之一(可能会成为全面的美国隐私法的一部分)是要求对应用程序和数据库的数据保护必须“通过设计并默认”实施(第二十五条),并且要满足这一要求,必须有两个重要的组成部分。

第一个组件是数据转换,它将原始数据替换为不再可识别的值。有多种类型的数据转换:

  • 令牌化,也称为格式保存加密(FPE):用看起来真实的“诱饵”数据替换敏感数据。例如,替换一个社会保险号( 社交网络 )和“伪造” 社交网络 ,以防数据被暴露或被盗。只有授权用户才能使用加密密钥还原真实数据。
  • 匿名化:永久更改个人数据,以使身份识别者无法追踪。这就像令牌化,但不可逆。
  • 掩蔽:将敏感数据替换为“虚拟”数据值(例如,机密或受保护的单个单词),从而无法查看原始数据。
  • 使用著名且经过验证的算法(例如AES)进行加密:敏感数据是使用加密生成的“密钥”在数学上进行更改的,从而使其无法与世界上所有可用的计算能力一起使用。

最近的技术进步已经在隐私增强计算( PEC ),以便可以处理加密的数据。组织可以使用以下技术:

  • 同态加密:使用这种方法,所有用户都可以将功能应用于加密的数据而无需将其解密
  • 多方计算:允许多个贡献者同时处理数据,而又不让敏感数据和加密密钥共存。

没有第二个组件,数据转换将无效: 访问控制。企业必须采取安全措施,以最小化或消除数据库管理员对敏感数据和加密密钥的访问。从数据的下游使用方式提供不同类型的数据转换的解决方案,同时通过PEC技术保持其效用,从技术角度来看,这种永无止境的数据泄露流提供了最全面的解决方案。

结论

尽管目前在美国尚无可辨认的国家隐私法时间表,但推动此类法规早日发生的动议已经开始。事实是,没有一家公司,美国公司有太多损失,而只有一家公司则有太多损失。

无论何时,有远见的公司都应通过使用新技术方法来开始保护数据的过程,这些新方法允许它们以符合最严格的隐私法规的方式收集,存储和处理数据。

分享这个