Adakah anda bersedia untuk bertindak privasi pengguna california?

Beberapa syarikat teknologi paling terkenal beribu pejabat di California, menyatakan bahawa pada 28 Jun 2018 meluluskan Akta Privasi Pengguna California 2018 (CCPA). CCPA tidak akan berkuatkuasa sehingga 1 Januari, 2020, tetapi ia dijangka menjejaskan perniagaan di seluruh California, Amerika Syarikat dan, sebenarnya, seluruh dunia. CCPA akan memberi kesan kepada cara perniagaan boleh mengendalikan data pelanggan, dan ia dianggap oleh banyak orang sebagai undang-undang perlindungan data yang paling ketat dalam sejarah AS.

Sekiranya anda rasa rasa déjà vu, maka anda tidak bersendirian. Kembali pada bulan Mei, Peraturan Perlindungan Data Umum Kesatuan Eropah (EU) berkuatkuasa. GDPR telah menjadi topik hangat di PCMag. Walaupun undang-undang dibuat di seluruh Atlantik, sebenarnya, ia menjadi tanda kepada perniagaan di seluruh dunia kerana ia terpakai kepada semua rakyat EU tanpa mengira di mana mereka tinggal. Sama seperti GDPR, impak CCPA yang baru akan mempunyai implikasi yang jauh melangkaui skop negeri asalnya. Kami bercakap dengan beberapa pakar untuk mengetahui lebih lanjut mengenai CCPA dan beberapa implikasi yang diharapkan.

The CCPA and You: Pengenalan

CCPA menetapkan hak pengguna untuk meminta perniagaan mendedahkan jenis data yang dikumpulkan mengenai mereka. Kecuali anda menggunakan alat seperti rangkaian persendirian maya (VPN), cukup banyak kepastian bahawa perniagaan yang tidak terkira banyak mengumpul maklumat tentang anda bila anda berada dalam talian. Untuk mengatakan keterlaluan seperti yang akan dibawa oleh CCPA adalah masalah besar yang akan menjadi kenyataan.

John Tsopanis adalah Pengurus Produk Privasi di 1touch.io, sebuah syarikat yang membantu perniagaan memahami data peribadi yang mereka tangani. Tsopanis telah menghabiskan beberapa tahun kebelakangan melakukan perundingan GDPR untuk syarikat-syarikat dan sedang bersiap untuk melakukan perkara yang sama dengan CCPA. Tsopanis menerangkan CCPA secara asasnya.

"Pada 1 Januari 2020, penduduk California akan mempunyai hak undang-undang untuk meminta mana-mana syarikat besar di Amerika: 'Adakah anda memproses apa-apa maklumat saya?'" Kata Tsopanis. "Dalam tempoh 45 hari, syarikat itu bertanggungjawab untuk membalas laporan yang memperincikan 12 bulan yang lalu. Ia perlu menunjukkan apa kategori maklumat peribadi yang ada pada individu itu, yang mereka berkongsi dengannya, dan apakah sebabnya untuk memprosesnya, mereka perlu memberikan maklumat itu kepada penduduk California-semua 40 juta daripada mereka-dalam tempoh masa."

Perbezaan Antara GDPR dan CCPA

Terdapat beberapa perbezaan besar antara apa yang GDPR lakukan dan apa yang dilindungi CCPA. Sebagai permulaan, CCPA akan menggunakan dasar penyisihan untuk persetujuan sedangkan GDPR menggunakan dasar opt-in. Ini pada dasarnya bermaksud bahawa pengguna perlu secara aktif menjangkau syarikat untuk mengetahui tentang jenis maklumat yang sedang digunakan. Di samping itu, GDPR terpakai kepada mana-mana organisasi yang memegang data peribadi mengenai warga EU.

Sebaliknya, CCPA hanya digunakan untuk syarikat keuntungan yang memproses data mengenai penduduk California. Organisasi mestilah melakukan sekurang-kurangnya $ 24 juta dalam pendapatan tahunan, memegang data 50, 000 orang, atau melakukan sekurang-kurangnya separuh daripada pendapatan mereka dalam penjualan data peribadi. Jadi, jika anda memiliki kedai butik kecil dan sejauh mana operasi dalam talian anda adalah halaman web yang menyenaraikan jam dan alamat kedai anda, maka anda tidak perlu risau tentang CCPA. Tetapi jika anda menjalankan laman web e-dagang melalui pembekal soket atau mengekalkan laman web e-ekor anda sendiri melalui perkhidmatan web hosting umum, maka anda akan ingin memberi perhatian.

Courtney Bowman adalah Associate di jabatan litigasi di firma undang-undang antarabangsa Proskauer Rose LLP. Bowman menerangkan mengapa CCPA akan menghendaki syarikat berfikir dengan teliti tentang penggunaan data mereka jauh melebihi 2020. "Keperluan 12 bulan itu bermaksud bahawa syarikat-syarikat perlu melihat dasar privasi mereka sekurang-kurangnya sekali setahun dan cuba memikirkan sama ada apa-apa berubah, " dia berkata.

"Mereka perlu sentiasa memantau data yang mereka jual atau mendedahkan kepada pihak ketiga supaya mereka dapat menyesuaikan dasar privasi mereka dengan sewajarnya, " Bowman meneruskan. "Undang-undang juga memberi pengguna hak untuk mengakses atau memadamkan maklumat peribadi mereka dalam beberapa situasi, dan perniagaan perlu memastikan bahawa mereka benar-benar dapat melaksanakan hak tersebut dengan cepat. Itu akan memerlukan syarikat-syarikat terlibat dalam pemetaan data untuk mencari tahu di mana data mereka terletak, dan juga berhubung dengan jabatan IT mereka untuk mengetahui apa yang perlu dilakukan untuk memastikan mereka dapat memenuhi tanggungjawab mereka di bawah akta tersebut."

Kesan Wide CCPA

Pada bulan-bulan yang menjurus kepada GDPR, tema yang berlanjutan dalam liputan kami ialah, dalam dunia global kami, GDPR akan menjejaskan perniagaan di luar Eropah. Lagipun, kebanyakan syarikat besar menjalankan perniagaan di luar negara dan perlu mengubah operasi dalam talian mereka secara global untuk mematuhi undang-undang. Bagaimanapun, apabila kita bercakap dengan Tsopanis, beliau berkata syarikat-syarikat Amerika masih perlu memberi notis khusus mengenai CCPA.

"Apabila ia datang kepada syarikat-syarikat Amerika, GDPR terutamanya tertumpu pada organisasi utama yang beroperasi di seluruh saluran. Dengan kriteria bagi syarikat-syarikat yang memenuhi syarat adalah lebih besar dengan susunan besar-besaran magnitud, " kata Tsopanis. "Terdapat 40 juta orang di California, 50, 000 tidak kira-kira 0.1 peratus daripada penduduk. Saya rasa skala pendedahan bagi syarikat-syarikat Amerika jauh lebih tinggi daripada sebelum ini di bawah GDPR."

Tsopanis menawarkan contoh gergasi makanan segera Wendy. "Wendy adalah syarikat terbesar ke-99 pada Fortune 1000 dan mempunyai pendapatan tahunan sebanyak $ 1.2 bilion-48 kali lebih tinggi daripada ambang untuk kebolehgunaan di bawah undang-undang ini. Sekurang-kurangnya, ada 1, 000 bilion dolar syarikat di Amerika yang perlu mematuhi undang-undang ini, dan pesanan magnitud yang lebih besar daripada yang dalam kategori $ 25 juta."

Kita mungkin tidak menganggap Wendy sebagai syarikat teknologi tetapi mereka mengumpul maklumat pengguna yang adil. Mereka juga merupakan contoh sempurna bagaimana syarikat-syarikat dari semua jenis akan terjejas oleh CCPA. Apabila anda melayari laman web mereka, memesan makanan melalui sistem jualan mereka (POS), atau menggunakan Wi-Fi di restoran Wendy tempatan anda, syarikat itu mengumpul maklumat anda, dan di California, sekurang-kurangnya, semua akan tertakluk kepada peraturan CCPA. Sekiranya syarikat sebagai "kecil" sebagai Wendy mengumpul begitu banyak data pada pengguna, maka ia adalah sangat menakutkan untuk memikirkan apa syarikat-syarikat besar mengumpul. Ringkasnya, CCPA akan mempunyai implikasi besar.

Penemuan Data Penting

Salah satu kesan yang paling penting dari CCPA adalah bahawa rakyat Amerika akhirnya dapat mengungkap sejumlah besar pembelian data dan data jualan yang dilakukan oleh syarikat-syarikat. "Rang undang-undang ini akan membolehkan orang Amerika akhirnya menemui laman web massa pembelian dan jualan data yang sebelum ini telah menjadi tanpa nama. Ini akan membawa kepada peralihan budaya dramatik dalam cara privasi data dilihat, dan, pada akhirnya beberapa titik, membawa kepada undang-undang privasi persekutuan yang harmoni, "kata Tsopanis.

Apabila Cambridge Analytica skandal pecah, ia mendapat perhatian berjuta-juta orang, sama ada mereka ahli teknologi atau tidak. Ia membuatkan orang sangat prihatin tentang siapa yang mengumpul maklumat mereka dan apa yang dilakukan dengannya, dan CCPA adalah, sebahagiannya, tindak balas terhadapnya. Tsopanis berpendapat bahawa wahyu-wahyu yang dihasilkan akan menjadi besar.

"Bagi setiap wartawan di negara ini, ini adalah rahmat, California adalah $ 2.7 trilion ekonomi-yang kelima terbesar di dunia-dan dibina di Big Data. Setiap permintaan akses dari setiap syarikat Fortune 1000 akan mendedahkan rangkaian keseluruhan syarikat membeli dan menjual data yang akan diteliti dengan teliti, "jelas Tsopanis. "Kami tidak tahu dengan tepat apa yang akan kita dapati apabila orang ramai mula mendapat laporan data mereka, tetapi ada pasti beberapa wahyu menarik."

Hanya 18 Bulan untuk Sediakan

Sekiranya kita belajar sesuatu dari GDPR, syarikat itu perlu merancang sedini mungkin untuk bersedia untuk tarikh akhir. Dengan itu, syarikat Amerika tidak mempunyai banyak masa sama sekali. GDPR telah diterima pakai pada April 2016, dan syarikat-syarikat mempunyai lebih dari dua tahun penuh untuk menyesuaikan diri dan mematuhi peraturan. Memandangkan CCPA berkuat kuasa pada awal tahun 2020, ini bermakna syarikat yang lebih besar kini hanya mempunyai 18 bulan untuk bersiap sedia.

Tarikh akhir itu mungkin membuat profesional teknologi yang paling berpengalaman tertekan. "Jumlah kerja yang perlu dilakukan dalam 18 bulan adalah lebih besar daripada yang diperlukan untuk GDPR, dengan masa yang kurang untuk melakukannya, dan dengan syarikat-syarikat Amerika yang datang dari tahap kematangan privasi yang lebih rendah daripada Eropah, " memberi amaran kepada Tsopanis.

Untuk mematuhi, veteran keselamatan mengesyorkan agar syarikat mengambil perhatian yang sewajarnya dalam membangunkan proses mereka. "Dalam tempoh enam bulan akan datang, apa yang perlu dilakukan organisasi adalah untuk membangunkan beberapa kaedah untuk mengesan maklumat peribadi di seluruh organisasi, " kata Tsopanis. "Mereka memerlukan cara untuk mengakses maklumat peribadi apa yang dihantar kepada pihak ketiga dan pada masa apa pun, dan kemudian mereka perlu dapat mengesannya sepanjang 12 bulan sehingga pelaksanaan, dan bersedia untuk memberikan maklumat tersebut apabila diminta apabila peraturan itu dimainkan.

"Ini pada dasarnya akan menghendaki hampir semua syarikat utama AS menjalankan aktiviti pengenalan data utama, dan dapat mengautomasikan dan bertindak balas terhadap permintaan akses subjek data dari penduduk California pada tarikh penguatkuasaan, " Tsopanis melanjutkan. "Ia juga penting untuk ambil perhatian bahawa, apabila undang-undang itu diluluskan pada tahun 2020, mereka perlu menyediakan laporan mengenai maklumat pengguna dalam tempoh 12 bulan sebelum ini. Ini bermakna perniagaan perlu mengesan data tersebut pada 1 Januari 2019."

Dari perspektif undang-undang, Bowman mengatakan terdapat beberapa perubahan yang dibuat sebelum tarikh akhir. "Kami mengharapkan bahawa kami akan melihat beberapa semakan semula undang-undang sebelum ia berkuat kuasa, " katanya. "Kerana ia telah digubal dengan cepat, walaupun selepas ia berkuat kuasa, mungkin ada beberapa kawasan kelabu yang tetap tertunggak dari segi pemahaman kita terhadap mereka. Lagipun, GDPR mengambil masa beberapa tahun untuk merangka, dan masih terdapat beberapa bahagian GDPR yang samar-samar."