Bạn đã sẵn sàng cho hành động riêng tư của người tiêu dùng california?

Một số công ty công nghệ nổi tiếng nhất có trụ sở tại California, tiểu bang vào ngày 28 tháng 6 năm 2018 đã thông qua Đạo luật bảo mật người tiêu dùng California năm 2018 (CCPA). CCPA sẽ không có hiệu lực cho đến ngày 1 tháng 1 năm 2020, nhưng dự kiến ​​sẽ ảnh hưởng đến các doanh nghiệp trên khắp California, Hoa Kỳ và trên thực tế, trên toàn thế giới. CCPA sẽ tác động đến cách các doanh nghiệp có thể xử lý dữ liệu của khách hàng và được nhiều người coi là luật bảo vệ dữ liệu nghiêm ngặt nhất trong lịch sử Hoa Kỳ.

Nếu bạn đang cảm thấy một déjà vu, thì bạn không cô đơn. Trở lại vào tháng Năm, Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu (EU) đã có hiệu lực. GDPR đã là một chủ đề nóng ở đây tại PCMag. Mặc dù luật được ban hành trên Đại Tây Dương, nhưng sự thật là, nó đã tạo được dấu ấn đối với các doanh nghiệp trên toàn thế giới vì nó áp dụng cho tất cả công dân EU bất kể họ sống ở đâu. Giống như GDPR, tác động của CCPA mới sẽ có tác động sâu rộng vượt ra ngoài phạm vi của trạng thái nguồn gốc của nó. Chúng tôi đã nói chuyện với một vài chuyên gia để tìm hiểu thêm về CCPA và một số ý nghĩa dự kiến ​​của nó.

CCPA và bạn: Giới thiệu

CCPA thiết lập quyền của người tiêu dùng để yêu cầu các doanh nghiệp tiết lộ loại dữ liệu nào được thu thập về họ. Trừ khi bạn đang sử dụng một công cụ như mạng riêng ảo (VPN), thì chắc chắn rằng có vô số doanh nghiệp đang thu thập thông tin về bạn mỗi khi bạn trực tuyến. Nếu nói loại minh bạch này mà CCPA sẽ mang lại là một vấn đề lớn sẽ là một cách đánh giá thấp.

John Tsopanis là Giám đốc sản phẩm bảo mật tại 1touch.io, một công ty giúp doanh nghiệp hiểu dữ liệu cá nhân mà họ xử lý. Tsopanis đã dành vài năm qua để làm tư vấn GDPR cho các công ty và đang chuẩn bị làm điều tương tự với CCPA. Tsopanis giải thích CCPA theo các thuật ngữ cơ bản.

"Vào ngày 1 tháng 1 năm 2020, một cư dân California sẽ có quyền hợp pháp để hỏi bất kỳ công ty lớn nào ở Mỹ: 'Bạn có đang xử lý bất kỳ thông tin nào của tôi không?'" Tsopanis nói. "Trong vòng 45 ngày, công ty đó sẽ có nghĩa vụ trả lời báo cáo chi tiết trong 12 tháng qua. Họ sẽ phải đưa ra các loại thông tin cá nhân cụ thể mà họ có về cá nhân đó, họ đang chia sẻ với ai và lý do là gì để xử lý nó. Họ cần cung cấp thông tin đó cho cư dân California, tất cả 40 triệu người trong số họ trong khung thời gian. "

Sự khác biệt giữa GDPR và CCPA

Có một số khác biệt đáng kể giữa những gì GDPR làm và những gì CCPA bao gồm. Đối với người mới bắt đầu, CCPA sẽ sử dụng cơ sở từ chối để đồng ý trong khi GDPR sử dụng cơ sở từ chối. Điều này về cơ bản có nghĩa là người dùng sẽ phải chủ động liên hệ với các công ty để tìm hiểu về loại thông tin nào đang được sử dụng. Ngoài ra, GDPR áp dụng cho mọi tổ chức lưu trữ dữ liệu cá nhân về công dân EU.

CCPA, mặt khác, chỉ áp dụng cho các công ty vì lợi nhuận xử lý dữ liệu về cư dân California. Tổ chức phải thực hiện ít nhất 24 triệu đô la doanh thu hàng năm, nắm giữ dữ liệu của 50.000 người hoặc thực hiện ít nhất một nửa doanh thu của họ trong việc bán dữ liệu cá nhân. Vì vậy, nếu bạn sở hữu một cửa hàng nhỏ và phạm vi hoạt động trực tuyến của bạn là một trang web liệt kê giờ và địa chỉ cửa hàng của bạn, thì bạn sẽ không phải lo lắng quá nhiều về CCPA. Nhưng nếu bạn điều hành một trang web thương mại điện tử thông qua một nhà cung cấp chìa khóa trao tay hoặc duy trì trang web đuôi điện tử của riêng bạn thông qua một dịch vụ lưu trữ web chung, thì bạn sẽ muốn chú ý.

Courtney Bowman là một thành viên trong bộ phận tố tụng tại công ty luật quốc tế Proskauer Rose LLP. Bowman giải thích lý do tại sao CCPA sẽ yêu cầu các công ty suy nghĩ cẩn thận về việc sử dụng dữ liệu của họ vượt xa năm 2020. "Yêu cầu 12 tháng đó có nghĩa là các công ty sẽ phải xem xét chính sách bảo mật của họ ít nhất một lần một năm và cố gắng tìm hiểu xem có gì thay đổi không, " cô ấy nói.

"Họ sẽ phải liên tục theo dõi những dữ liệu họ đang bán hoặc tiết lộ cho bên thứ ba để họ có thể điều chỉnh chính sách bảo mật của mình cho phù hợp", Bowman tiếp tục. "Luật cũng cho phép người tiêu dùng quyền truy cập hoặc xóa thông tin cá nhân của họ trong một số trường hợp và các doanh nghiệp sẽ cần đảm bảo rằng họ thực sự có thể thực hiện quyền đó một cách nhanh chóng. Điều đó sẽ yêu cầu các công ty tham gia vào ánh xạ dữ liệu để tìm ra dữ liệu của họ ở đâu được đặt và cũng để liên lạc với các bộ phận CNTT của họ để tìm ra những gì họ cần làm để đảm bảo rằng họ có thể hoàn thành trách nhiệm của mình theo đạo luật. "

Tác động rộng của CCPA

Trong những tháng dẫn đến GDPR, một chủ đề đang diễn ra trong phạm vi bảo hiểm của chúng tôi là, trong thế giới toàn cầu hóa của chúng tôi, GDPR sẽ ảnh hưởng đến các doanh nghiệp ngoài Châu Âu. Rốt cuộc, hầu hết các công ty lớn làm ăn ở nước ngoài và sẽ phải thay đổi hoạt động trực tuyến trên toàn cầu để tuân thủ luật pháp. Tuy nhiên, khi chúng tôi nói chuyện với Tsopanis, ông nói các công ty Mỹ vẫn cần lưu ý đặc biệt về CCPA.

Tsopanis nói: "Khi nói đến các công ty Mỹ, GDPR chủ yếu tập trung vào các tổ chức lớn đang hoạt động trên các kênh. Với các tiêu chí cho các công ty đủ điều kiện lớn hơn rất nhiều bởi một đơn đặt hàng lớn." "Có 40 triệu người ở California, 50.000 thậm chí không phải 0, 1 phần trăm dân số. Tôi nghĩ rằng quy mô tiếp xúc với các công ty Mỹ cao hơn đáng kể so với trước đây theo GDPR."

Tsopanis đưa ra ví dụ về người khổng lồ thức ăn nhanh của Wendy. "Wendy là công ty lớn thứ 999 trên Fortune 1000 và có doanh thu hàng năm là 1, 2 tỷ USD, cao hơn 48 lần so với ngưỡng áp dụng theo luật này. Ít nhất, có 1.000 công ty trị giá 1.000 tỷ đô la ở Mỹ cần tuân thủ luật này và các đơn đặt hàng có ý nghĩa lớn hơn lớn hơn trong danh mục 25 triệu đô la. "

Chúng tôi có thể không coi Wendy là một công ty công nghệ nhưng họ thu thập chia sẻ thông tin người dùng công bằng của họ. Chúng cũng là một ví dụ hoàn hảo về cách các công ty thuộc mọi loại sẽ bị ảnh hưởng bởi CCPA. Khi bạn truy cập trang web của họ, đặt hàng thực phẩm qua hệ thống điểm bán hàng (POS) của họ hoặc thậm chí chỉ sử dụng Wi-Fi tại nhà hàng của Wendy tại địa phương của bạn, công ty đang thu thập thông tin của bạn và ít nhất là ở California, ' Tất cả sẽ phải tuân theo quy định CCPA. Nếu một công ty "nhỏ" như của Wendy đang thu thập rất nhiều dữ liệu về người dùng, thì thật đáng sợ khi nghĩ về những gì các tập đoàn lớn hơn đang thu thập. Nói một cách đơn giản, CCPA sẽ có ý nghĩa rất lớn.

Khám phá dữ liệu quan trọng

Một trong những tác động quan trọng nhất của CCPA là người Mỹ cuối cùng sẽ có thể khám phá ra số lượng lớn dữ liệu mua và bán dữ liệu mà các công ty đang thực hiện. "Dự luật này sẽ cho phép người dân Mỹ cuối cùng phát hiện ra mạng lưới các tổ chức mua và bán dữ liệu khổng lồ trước đây hoàn toàn ẩn danh. Điều này sẽ dẫn đến một sự thay đổi văn hóa mạnh mẽ trong cách nhận thức về quyền riêng tư dữ liệu, và cuối cùng là một số điểm, dẫn đến luật riêng tư liên bang hài hòa, "Tsopanis nói.

Khi mà Phân tích Cambridge vụ bê bối đã phá vỡ, nó nhận được sự chú ý của hàng triệu người, cho dù họ có phải là chuyên gia công nghệ hay không. Nó khiến mọi người rất quan tâm về việc ai thu thập thông tin của họ và những gì được thực hiện với nó, và CCPA, một phần, là một phản ứng với điều đó. Tsopanis lập luận rằng những tiết lộ kết quả sẽ rất lớn.

"Đối với mỗi nhà báo trong nước, đây là một ơn trời. California là một nền kinh tế trị giá 2, 7 nghìn tỷ USD, lớn thứ năm trên thế giới và nó được xây dựng trên Dữ liệu lớn. Mọi yêu cầu truy cập từ mọi công ty Fortune 1000 sẽ tiết lộ toàn bộ mạng lưới về các công ty mua và bán dữ liệu sẽ bị kiểm tra gắt gao, "Tsopanis giải thích. "Chúng tôi không biết chính xác những gì chúng tôi sẽ tìm thấy khi mọi người bắt đầu nhận được báo cáo dữ liệu của họ, nhưng chắc chắn sẽ có một số tiết lộ thú vị."

Chỉ cần 18 tháng để chuẩn bị

Nếu chúng tôi học được bất cứ điều gì từ GDPR, đó là các công ty cần lập kế hoạch càng sớm càng tốt để sẵn sàng cho thời hạn. Với ý nghĩ đó, các công ty Mỹ không có nhiều thời gian. GDPR đã được thông qua vào tháng 4 năm 2016 và các công ty đã có hơn hai năm để điều chỉnh và tuân thủ quy định. Kể từ khi CCPA có hiệu lực vào đầu năm 2020, điều này có nghĩa là các công ty lớn hơn hiện chỉ còn 18 tháng để sẵn sàng.

Thời hạn đó có khả năng làm cho ngay cả các chuyên gia công nghệ dày dạn nhất cũng căng thẳng. Tsopanis cảnh báo: "Số lượng công việc cần phải hoàn thành trong 18 tháng là lớn hơn mức cần thiết cho GDPR, với ít thời gian hơn để thực hiện và với các công ty Mỹ đến từ mức độ trưởng thành về quyền riêng tư thấp hơn châu Âu".

Để tuân thủ, cựu chiến binh an ninh khuyến nghị các công ty nên chăm sóc đúng cách trong việc phát triển các quy trình của họ. "Trong sáu tháng tới, những gì các tổ chức cần làm là phát triển một số phương pháp theo dõi thông tin cá nhân trong toàn tổ chức, " Tsopanis nói. "Họ cần một cách dễ dàng truy cập thông tin cá nhân nào đã được gửi cho bên thứ ba nào và vào thời gian nào, và sau đó họ cần có thể theo dõi điều đó trong vòng 12 tháng cho đến khi thực hiện và sẵn sàng cung cấp thông tin đó theo yêu cầu khi các quy định đi vào chơi.

"Về cơ bản, nó sẽ yêu cầu hầu hết tất cả các công ty lớn của Mỹ tiến hành các hoạt động nhận dạng dữ liệu lớn và có thể tự động hóa và đáp ứng các yêu cầu truy cập chủ đề dữ liệu từ cư dân California vào ngày thực thi", Tsopanis tiếp tục. "Điều quan trọng cần lưu ý là, khi luật thông qua vào năm 2020, họ cần có thể cung cấp báo cáo về thông tin người dùng trong 12 tháng trước. Điều này có nghĩa là các doanh nghiệp cần theo dõi dữ liệu đó vào ngày 1 tháng 1 năm 2019. "

Từ góc độ pháp lý, Bowman nói rằng có thể có một số thay đổi được thực hiện trước thời hạn. "Chúng tôi hy vọng rằng chúng ta sẽ thấy một số sửa đổi đối với luật trước khi nó có hiệu lực, " cô nói. "Bởi vì nó đã được soạn thảo khá nhanh, ngay cả sau khi nó có hiệu lực, có thể có một số khu vực màu xám vẫn còn tồn tại về mặt hiểu biết của chúng tôi. Sau tất cả, GDPR phải mất nhiều năm để soạn thảo, và vẫn còn nhiều phần của GDPR đó là mơ hồ. "