Logo Zephyrnet

Trí thông minh dữ liệu tạo

Quantum

California lại vượt lên dẫn đầu (một lần nữa) về quyền riêng tư dữ liệu - đây là cách

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 70
hình ảnh

Ghi chú của biên tập viên: WRAL TechWire gần đây đã ra mắt loạt bài gồm 5 phần về luật bảo mật dữ liệu để làm rõ một số vấn đề về một trong những lĩnh vực phát triển nhanh nhất và phức tạp nhất của luật công nghệ. Đây là phần 3. Các bài viết trước được nhúng trong câu chuyện này.

Steve Britt là Cố vấn về Mạng, Quyền riêng tư Dữ liệu & Công nghệ (CIPP/E, CIPM), Parker Poe và Sarah Hutchins là Đối tác về Mạng, Quyền riêng tư Dữ liệu & Công nghệ (CIPP/US), Parker Poe.

+ + +

Giống như California là tiểu bang đầu tiên ban hành luật thông báo vi phạm dữ liệu vào năm 2002 (Alabama là tiểu bang thứ 50th tiểu bang vào năm 2018), đây là tiểu bang đầu tiên ban hành luật toàn diện về quyền riêng tư dữ liệu vào năm 2020, được gọi là Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA). Sử dụng GDPR làm hướng dẫn, nhưng đặt dấu ấn riêng của mình lên kết quả cuối cùng, California đã chia sẻ nhiều yếu tố chung với GDPR, bao gồm:

  • Một định nghĩa rộng về thông tin cá nhân, để bao gồm bất kỳ thông tin nào liên quan đến hoặc có thể được sử dụng để nhận dạng một người tự nhiên, bao gồm địa chỉ IP (giao thức internet), dữ liệu thiết bị và các số nhận dạng trực tuyến khác,
  • Thông qua hầu hết (nhưng không phải tất cả) các quyền của chủ thể dữ liệu GDPR, tùy thuộc vào các giải thích rõ ràng, minh bạch về cách các quyền đó có thể được thực thi,
  • Yêu cầu về thông báo chi tiết về quyền riêng tư về dữ liệu nào được thu thập, mục đích của việc thu thập đó và liệu dữ liệu đó có được chia sẻ với bên thứ ba hay không,
  • Yêu cầu đối với hợp đồng hạn chế đối với một số loại bên thứ ba mà dữ liệu được chia sẻ,
  • Áp dụng các tiêu chuẩn bảo mật dữ liệu dựa trên rủi ro,
  • Yêu cầu đào tạo nhân viên toàn diện cho tất cả nhân viên xử lý thông tin cá nhân,
  • Nguyên nhân hành động cá nhân hạn chế đối với vi phạm dữ liệu do không cung cấp bảo mật dữ liệu hợp lý với thiệt hại theo luật định là $100-$750 mỗi người tiêu dùng mỗi sự cố trong các hành động đó và cuối cùng,
  • Cơ quan chính phủ thực thi CCPA, trong trường hợp này là Tổng chưởng lý California.

Bảo mật dữ liệu và bạn: Những điều bạn thực sự cần biết theo quan điểm pháp lý

Tại thời điểm ban hành, CCPA được gọi là GDPR-Lite, nhưng điều đó thực sự chỉ đúng ở khía cạnh khái niệm vì CCPA khác với GDPR ở một số khía cạnh có ý nghĩa. Ví dụ: CCPA:

  • Không áp dụng cho các tổ chức phi lợi nhuận hoặc tổ chức chính phủ và nhân viên được miễn thuế và các mối liên hệ giữa doanh nghiệp với doanh nghiệp (B2B) trong 3 năm,
  • Chỉ áp dụng cho các công ty vì lợi nhuận đang kinh doanh ở California, cùng với các chi nhánh có thương hiệu phổ biến, có doanh thu hàng năm trên toàn cầu từ 25,000,000 đô la trở lên, đã xử lý dữ liệu của ít nhất 50,000 người tiêu dùng (bao gồm cả thiết bị của họ) hoặc nhận được 50% doanh thu từ việc bán hàng của thông tin cá nhân,
  • Đã cấp lý do hành động riêng cho các thiệt hại do vi phạm dữ liệu do không cung cấp bảo mật dữ liệu đầy đủ (14 tiểu bang hiện cho phép lý do hành động riêng trong luật thông báo vi phạm dữ liệu của họ),
  • Các tổ chức bị loại trừ được điều chỉnh bởi Gramm-Leach-Bliley, Đạo luật báo cáo tín dụng công bằng, Đạo luật bảo vệ quyền riêng tư của người lái xe và thông tin được điều chỉnh bởi Đạo luật trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA),
  • Yêu cầu một nút web trên trang chủ của công ty có nhãn “Không bán thông tin cá nhân của tôi” để chuyển thông tin cá nhân cho bên thứ ba không đủ điều kiện là “nhà cung cấp dịch vụ,”
  • Được định nghĩa là "việc bán" dữ liệu bất kỳ hoạt động chuyển nhượng nào để "cân nhắc phi tiền tệ" nhằm thu hút các nhà cung cấp công nghệ quảng cáo và công nghệ tiếp thị, và
  • Không yêu cầu cửa sổ bật lên cookie cũng như sự đồng ý khẳng định đối với thông tin tiếp thị.

Ý kiến ​​của khách: Quy định chung về bảo vệ dữ liệu hoặc GDPR - Nơi tất cả bắt đầu

Tuy nhiên, với phạm vi ảnh hưởng sâu rộng như CCPA, trước khi vết mực trên đó kịp khô, vào tháng 2020 năm 1, California đã ban hành Đạo luật về Quyền riêng tư của California (CPRA) thông qua sáng kiến ​​bỏ phiếu, có hiệu lực từ ngày 2023 tháng XNUMX năm XNUMX. CPRA đã sửa đổi CCPA và mở rộng nó trong một số những cách có ý nghĩa. Ví dụ: CPRA:

  • Tăng kích hoạt pháp lý về CCPA để thu thập dữ liệu về 100,000 người tiêu dùng (thay vì 50,000) và bỏ phạm vi bảo hiểm của “thiết bị” của người tiêu dùng,
  • Loại trừ các chi nhánh thường được gắn thương hiệu trong định nghĩa về các doanh nghiệp được bảo hiểm trừ khi doanh nghiệp ở California thực sự chia sẻ thông tin cá nhân của người dân California với chi nhánh của mình,
  • Bao gồm một danh mục thông tin cá nhân mới được gọi là “thông tin nhạy cảm” và mở rộng Quyền chọn không tham gia để bao gồm dữ liệu đó,
  • Đã tạo danh mục tiết lộ dữ liệu của bên thứ ba có tên là “chia sẻ” và mở rộng nút “Không bán” thành “Không bán hoặc chia sẻ thông tin cá nhân của tôi”,
  • Đã mở rộng quyền dữ liệu của mình để bao gồm các nhân viên của doanh nghiệp và các liên hệ giữa doanh nghiệp với doanh nghiệp (B2B) và
  • Thành lập cơ quan quản lý quyền riêng tư dữ liệu dành riêng cho tiểu bang đầu tiên trong nước (được gọi là Cơ quan Bảo vệ Quyền riêng tư California) với quyền hạn quy định rộng rãi, bao gồm 22 lĩnh vực mới cho quy định mới tiềm năng.

Không nên bỏ qua các quyền hạn mở rộng của Cơ quan Bảo vệ Quyền riêng tư California (CPPA), đặc biệt là vì CCPA đã là đối tượng của bốn vòng quy định của Bộ trưởng Tư pháp, trong một số trường hợp áp đặt các quy tắc vượt quá những gì được quy định trong đạo luật. Ngoài ra, lý do hành động riêng tư của California và, trong một số khu vực tài phán khác, khả năng kiện tụng theo luật vi phạm dữ liệu đã làm tăng rủi ro liên quan đến quản lý dữ liệu theo cấp số nhân.

Sự phức tạp của CCPA, như được sửa đổi bởi CPRA, đã là đối thủ của GDPR nhưng cả California và Liên minh châu Âu đều bày tỏ mục tiêu hợp tác về các hạn chế chuyển tiền xuyên biên giới và một loạt các sáng kiến ​​khác của EU. Trong khi đó, như chúng ta sẽ thấy trong bài viết tiếp theo, các tiểu bang khác của Hoa Kỳ đang học hỏi từ California.

Steve Britt, CIPP / E, CIPM, là một luật sư công nghệ, quyền riêng tư và bảo mật dữ liệu tại công ty luật Parker Poe. Anh ấy tập trung thực hành vào luật và quy định về an ninh mạng và bảo mật dữ liệu. Britt tư vấn cho khách hàng của mình về đầy đủ các luật bảo vệ dữ liệu. Anh ấy có thể được liên lạc tại stevebritt@parkerpoe.com.

Sarah Hutchins, CIPP/US, là luật sư công nghệ, quyền riêng tư về dữ liệu và mạng tại công ty luật Parker Poe. Cô ấy giúp khách hàng điều hướng các vụ kiện tụng kinh doanh, điều tra của chính phủ cũng như quyền riêng tư dữ liệu và an ninh mạng. Hutchins có thể đạt được tại sarahhutchins@parkerpoe.com.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.