2018. június végén Kalifornia elfogadta az AB 375-öt, egy olyan adatvédelmi törvényt, amely nagyobb hatással lehet az amerikai vállalatokra, mint az Európai Unió 2018 májusában hatályba lépett általános adatvédelmi rendelete (GDPR). A kaliforniai törvény nem rendelkezik a GDPR néhány legterhesebb követelményével, például a szűk 72 órás ablakkal, amelyen belül a vállalatnak jelentenie kell a jogsértést. Más tekintetben azonban még ennél is messzebbre megy.
A CCPA a GDPR-nál tágabban értelmezi, hogy mi minősül személyes adatnak. A biztonság számára tehát az a kihívás, hogy felkutassa és biztosítsa ezeket a magánadatokat.
- Mi a CCPA?
- Mely vállalatokat érinti a CCPA?
- Mikor kell a vállalatomnak megfelelnie a CCPA-nak?
- Mi történik, ha a vállalatom nem felel meg a CCPA-nak?
- Milyen adatokra terjed ki a CCPA?
- Melyek a CCPA legfontosabb adatvédelmi rendelkezései?
- Mit jelent a CCPA a biztonság szempontjából?
- Egy folyamatban lévő munka
Mi a CCPA?
A kaliforniai fogyasztói adatvédelmi törvény (CCPA) egy olyan törvény, amely lehetővé teszi bármely kaliforniai fogyasztó számára, hogy követelhesse, hogy láthassa az összes olyan információt, amelyet egy vállalat róluk tárolt, valamint az összes olyan harmadik fél teljes listáját, akikkel az adatokat megosztották. Ezenkívül a kaliforniai törvény lehetővé teszi a fogyasztók számára, hogy bepereljék a vállalatokat, ha megsértik az adatvédelmi irányelveket, még akkor is, ha nem történt jogsértés.
Mely vállalatokat érinti a CCPA?
A törvénynek minden olyan vállalatnak meg kell felelnie, amely kaliforniai lakosokat szolgál ki, és legalább 25 millió dolláros éves bevétellel rendelkezik. Ezen túlmenően a törvény hatálya alá tartoznak azok a bármilyen méretű vállalatok is, amelyek legalább 50 000 ember személyes adataival rendelkeznek, vagy amelyek bevételeik több mint felét személyes adatok értékesítéséből szerzik. A vállalatoknak nem kell Kaliforniában székhellyel vagy fizikai jelenléttel rendelkezniük ahhoz, hogy a törvény hatálya alá tartozzanak. Még csak nem is kell az Egyesült Államokban székhellyel rendelkezniük.
Egy áprilisi módosítás értelmében a “biztosítási intézmények, ügynökök és támogató szervezetek” mentesülnek a törvény alól, mivel rájuk már a kaliforniai biztosítási információkról és az adatvédelemről szóló törvény (IIPPA) értelmében hasonló szabályozás vonatkozik.
Mikor kell a vállalatomnak megfelelnie a CCPA-nak?
A törvény 2020. január 1-jén lépett hatályba, de a végrehajtás július 1-jén kezdődött.
Mi történik, ha a vállalatom nem felel meg a CCPA-nak?
A vállalatoknak 30 napjuk van arra, hogy megfeleljenek a törvénynek, amint a szabályozó hatóságok értesítik őket a jogsértésről. Ha a problémát nem oldják meg, rekordonként akár 7500 dollárig terjedő bírság is kiszabható. “Ha belegondolunk, hogy hány rekordot érint egy jogsértés, ez tényleg nagyon gyorsan növekszik” – mondja Debra Farber, a BigID adatvédelmi stratégiáért felelős vezető igazgatója. Hozzáteszi, hogy mivel a törvényjavaslatot mindössze egy hét alatt állították össze és fogadták el, valószínűleg lesznek még módosítások. “Az olyan dolgok, mint a bírságok összege valószínűleg változni fog.”
Farber szerint van egy másik potenciális pénzügyi kockázat is. “A törvényjavaslat első alkalommal biztosítja az egyén perlési jogát ” mondja. “És lehetővé teszi a kártérítési csoportos kereseteket.”
Mégis van egy 30 napos ablak, amely akkor kezdődik, amikor a fogyasztók írásban értesítik a vállalatot, hogy szerintük megsértették az adatvédelmi jogaikat. “Ha nem sikerül orvosolni a problémát, és a főügyész elutasítja a vádemelést, akkor csoportos keresetet indíthatnak” – mondja Farber. “És ez nem csak a jogsértésekről szól.”
A törvény például előírja, hogy a vállalatoknak jól látható láblécet kell elhelyezniük a weboldalakon, amely felajánlja a fogyasztóknak, hogy lemondhatnak az adatok megosztásáról. Ha ez a lábléc hiányzik, a fogyasztók perelhetnek. Akkor is perelhetnek, ha nem tudják megtudni, hogyan gyűjtötték az adataikat, vagy nem kapnak másolatot ezekről az adatokról. “Ez bármi lehet” – mondja Farber.
A törvény konkrét szankciókat ír elő, ha jogosulatlan hozzáférés történik, akár jogsértés, kiszivárgás, lopás vagy “a vállalkozás által az ésszerű biztonsági eljárások és gyakorlatok bevezetésére és fenntartására vonatkozó kötelezettségének megsértése következtében történő nyilvánosságra hozatal” révén, A jelenlegi megfogalmazás szerint az AB 375 100 és 750 dollár közötti büntetést tesz lehetővé fogyasztónként és esetenként, vagy tényleges kártérítést, attól függően, hogy melyik a nagyobb.
“Ha hozzáadjuk az összes többi, az adatvédelmi incidenssel kapcsolatos költséget – informatikai válaszadás, helyszínelés és helyreállítás, jogi költségek, értesítés és így tovább -, akkor ez sok vállalkozás számára egzisztenciális fenyegetéssé válhat” – mondja Chris Prevost, az Imperva futásidejű biztonsági megoldások architektúrájának vezetője.
Általában véve, ha egy vállalat megtette a GDPR-nak való megfeleléshez szükséges lépéseket, akkor a kaliforniai fogyasztói adatvédelmi törvénynek már nagyrészt eleget tett. Legalábbis közelebb van, mintha nem állna készen a GDPR-ra, mondja Eric Dieterich, a Focal Point Data Risk, LLC adatvédelmi gyakorlatvezetője. “Néhány multinacionális vállalat változtatásokat hajtott végre az európai piacokon, de talán nem vezették ki az amerikai tevékenységekre, így előfordulhat, hogy a terjedelem változik” – mondja.”
Milyen adatokra terjed ki a CCPA?
A kaliforniai törvény szélesebb körű megközelítést alkalmaz a GDPR-hoz képest az érzékeny adatok körét illetően. Például a szaglással kapcsolatos információk, valamint a böngészési előzmények és a látogatók webhelyekkel vagy alkalmazásokkal való interakcióinak feljegyzései is a hatálya alá tartoznak. Íme, mit tekint az AB 375 “személyes adatnak”:
- Identifikátorok, például valódi név, álnév, postai cím, egyedi személyes azonosító, online azonosító IP-cím, e-mail cím, fióknév, társadalombiztosítási szám, jogosítványszám, útlevélszám, vagy más hasonló azonosítók
- A kaliforniai vagy szövetségi törvények szerint védett besorolások jellemzői
- Kereskedelmi információk, beleértve a személyes tulajdonra, vásárolt, beszerzett vagy megfontolt termékekre vagy szolgáltatásokra vonatkozó nyilvántartásokat, vagy más vásárlási vagy fogyasztási előzményeket vagy tendenciákat
- Biometriai információk
- Internet vagy más elektronikus hálózati tevékenységre vonatkozó információk, beleértve, többek között a böngészési előzmények, a keresési előzmények és a fogyasztó weboldal, alkalmazás vagy hirdetés interakciójára vonatkozó információk
- Geolokációs adatok
- Audio-, elektronikus, vizuális, hő-, szagló- vagy hasonló információk
- Hivatással vagy foglalkoztatással kapcsolatos információk
- Oktatási információk, amelyek a családi oktatási jogokról és adatvédelemről szóló törvényben (20 U.S.C. 1232g. szakasz, 34 C.F.R. 99. rész)
- Az ebben az alfejezetben meghatározott bármely információból levont következtetések egy fogyasztóról szóló profil létrehozására, amely tükrözi a fogyasztó preferenciáit, jellemzőit, pszichológiai tendenciáit, preferenciáit, hajlamait, viselkedését, attitűdjeit, intelligenciáját, képességeit és adottságait
Egy jelenleg a kormányzó aláírására váró módosítás, az AB 874 mentesítené a nyilvánosan hozzáférhető, deidentifikált és összesített fogyasztói információkat a PII-nek minősítés alól. A nyilvánosan hozzáférhető információk a kormányzati nyilvántartásokból elérhető és fenntartott adatok.
A CCPA eredetileg a munkavállalói és a fogyasztói adatokra is kiterjedt. Egy áprilisban elfogadott módosítás azonban kiveszi a munkavállalói adatokat a szabályozás alól. Egy másik módosítás, az AB 25 részben mentesíti az álláspályázóktól, tulajdonosoktól, igazgatóktól, tisztségviselőktől, egészségügyi dolgozóktól és vállalkozóktól gyűjtött személyes adatokat. Ez a mentesség 2021. január 1-jén járna le. Az AB 25 e cikk írásakor a kormányzó aláírására várt.
Melyek a CCPA legfontosabb adatvédelmi rendelkezései?
A vállalatoknak lehetővé kell tenniük a fogyasztók számára, hogy dönthessenek úgy, hogy adataikat nem osztják meg harmadik felekkel. Ez azt jelenti, hogy a vállalatoknak ezentúl képesnek kell lenniük arra, hogy az általuk gyűjtött adatokat a felhasználók adatvédelmi döntései szerint szétválasszák.
Ezeken túlmenően, bár a vállalat nem tagadhatja meg a felhasználóktól az egyenlő szolgáltatást, ösztönzőket kínálhat a személyes adatokat szolgáltató felhasználóknak. “Ez a rendelkezés még változhat, de a mai állapot szerint lehetőséget ad arra, hogy kedvezményeket kínáljon azoknak az embereknek, akik hajlandóak arra, hogy az adataikat megosszák vagy eladják harmadik félnek” – mondja Dieterich. “Hagyományosan a rendszereket nem úgy tervezik, hogy az árstruktúra az adatvédelmi döntések függvényében változhat. Ez egy új koncepció, amelynek nagyon technikai vonatkozásai vannak.”
A GDPR-rel szembeni másik nagy különbség, hogy a kaliforniai törvény sokkal nagyobb hozzáférést biztosít az ügyfeleknek a nyilvántartásaikhoz, mondja Subra Ramesh, a Dataguise termékért felelős SVP-je. A kaliforniai fogyasztónak joga van megtudni, hogy egy vállalat milyen adatokat gyűjt róla. A legtöbb vállalatnak gondot fog okozni ezeknek az információknak az összeszedése. “Először is, az általuk gyűjtött adatok mennyisége már most is hatalmas, és folyamatosan növekszik, gyakran több száz és több ezer terabájt közötti értékben, és a vállalati szintű szervezetek petabájtnyi adatot dolgoznak fel” – mondja.
Ezek az adatok több tárolási platformon, különböző fájlidőkben szerepelnek. “A legtöbb fájlkereső eszköz nem képes a ma oly elterjedt modern fájltároló ökoszisztémákban való keresésre” – mondja Aaron Ganek, a Cloudtenna vezérigazgatója. “A silóközi fájlkezelés komoly kihívást jelent. Nehéz megérteni az egyes fájlok kontextusát, ha azok különböző adattárakban szétszórva találhatók.” Ráadásul az adatok összevonásával megfelelési problémák is társulnak, mondja. “A hagyományos vállalati eszközök nehezen tudják betartani az eltérő jogosultsági és biztonsági modelleket, és ezzel éppen azokat a törvényeket és előírásokat sértik, amelyeknek eleget kell tenniük.”
Aztán ott van az időkorlát. “A hozzáférési kérelmet követően a vállalatnak 45 nap áll rendelkezésére, hogy átfogó jelentést nyújtson be nekik arról, hogy milyen típusú adatokkal rendelkeznek, azokat eladták-e és kinek, és ha az elmúlt 12 hónapban eladták harmadik félnek, akkor meg kell adniuk azoknak a harmadik feleknek a nevét és címét, akiknek az adatokat eladták” – mondja John Tsopanis, az 1touch.io adatvédelmi termékmenedzsere. “Európában ezt nem lehet megtenni.”
Mivel a szabály az elmúlt 12 hónap adataira vonatkozik, a vállalatoknak hat hónap múlva kell elkezdeniük a megfelelésüket – mondja. Ezt követően, 2020. január 1-jén minden vállalatnak nyilvánosságra kell hoznia minden más vállalatot, amelynek adatokat ad el. “Ez örökre megváltoztatja az amerikai adatvédelmi környezetet” – mondja Tsopanis.
Mit jelent a CCPA a biztonság szempontjából?
A 375. törvénytervezet a GDPR-hez képest kevés követelményt tartalmaz a biztonság és a jogsértésekre való reagálás terén. Mint korábban említettük, a törvény meghatározza a szankciókat azokra a vállalatokra, amelyek jogsértés vagy biztonsági hiányosság miatt nyilvánosságra hozzák a fogyasztói adatokat. Lehetővé teszi továbbá a bíróságok számára, hogy “tiltó vagy megállapító jellegű jogorvoslatot” vagy “bármilyen más, a bíróság által megfelelőnek ítélt jogorvoslatot” nyújtsanak.”
A vállalkozások az AB 375 értelmében nem kötelesek jelenteni a jogsértéseket, és a fogyasztóknak panaszt kell benyújtaniuk, mielőtt bírságok kiszabására kerülhet sor. A legjobb biztonsági intézkedés tehát az, ha tisztában van azzal, hogy az AB 375 milyen adatokat definiál magánadatként, és lépéseket tesz azok védelmére. Ismétlem, bármely szervezetnek, amely megfelel a GDPR-nak, valószínűleg nem kell további lépéseket tennie az AB 375-nek való megfelelés érdekében az adatok biztosítása tekintetében.
Az AB 375-nek az adatok nyomon követésére, elérésére és tárolására vonatkozó követelményei azt jelentik, hogy a biztonsági csapatoknak szorosan együtt kell majd működniük az adatbázis-adminisztrátorokkal – mondja Terry Ray, az Imperva kiberbiztonsági szolgáltató vezető alelnöke és munkatársa. Az AB 375 kezeléséhez kiválasztott eszközöknek nemcsak a teljes heterogén vállalati környezetben tárolt adatok teljes átláthatóságát kell biztosítaniuk, hanem azt is, hogy az adatokhoz való hozzáférés megfelelően biztosított legyen. “Végül ezeknek az eszközöknek együtt kell működniük az új fogyasztói portállal azáltal, hogy konkrét fogyasztói adatokat osztanak meg az azokat kérő, ellenőrizhető fogyasztóval” – mondja.
Ha az adatokat felhőszolgáltatóknál tárolják, a probléma csak súlyosbodik. Az alkalmazottak például létrehozhatnak egy fájlmegosztó fiókot, hogy nyomon kövessék a marketing- vagy értékesítési kapcsolatokat. “Nem meglepő, hogy az olyan nagy technológiai vállalatok, mint a Google és a Facebook ellenezték a törvényjavaslatot” – mondja Kevin Bocek, a Venafi biztonsági stratégiáért és fenyegetések felderítéséért felelős alelnöke. “A gépek között áramló adatvédelmi és személyes adatok ellenőrzése hihetetlenül nehéz, és minden vállalkozás számára komoly kihívást jelent.”
Egy folyamatban lévő munka
A törvényjavaslatot mindössze hét nap alatt állították össze, mert a törvényhozók el akarták kerülni egy még szigorúbb törvényt elfogadó szavazási kezdeményezést, amelyet számos technológiai vállalat ellenzett. “Jelenleg sok rendelkezés és meghatározás ütközik egymással” – mondja Andy Dale, a SessionM általános jogtanácsosa és globális adatvédelmi alelnöke.
Az egyik problémás terület az, hogy egy vállalat az adatvédelmi beállítások alapján eltérő árakat számíthat-e fel a fogyasztóknak. Például sok vállalatnak van olyan opciója, ahol a fogyasztó egy olyan fizetős szintre frissíthet, ahol nem lát hirdetéseket. Itt a törvény a jelenlegi formájában kissé ellentmondásos.
“Ha a fogyasztó él a rendelet szerinti jogaival, a vállalkozások nem nyújthatnak eltérő szintű vagy minőségű terméket, árut vagy szolgáltatást a fogyasztónak” – mondja Pravin Kothari, a CipherCloud vezérigazgatója. “Az érem másik oldala szerint a rendelet szerint a vállalkozásoknak nem tilos eltérő árat vagy díjszabást felszámítani a fogyasztónak, vagy eltérő szintű vagy minőségű árut vagy szolgáltatást nyújtani a fogyasztónak, ha ez a különbség ésszerűen kapcsolódik a fogyasztó adatai által a fogyasztónak nyújtott értékhez.”
Kothari szerint úgy tűnik, hogy Kalifornia megpróbál meghatározni egy olyan keretet, amelyben a fogyasztók pénzt kaphatnak az adataik megosztásáért. “Ezen a területen a jogszabály egy kicsit látnoki jellegű” – mondja. “Majd meglátjuk a gyakorlatban, hogyan működik ez valójában.”
Tovább a CCPA-ról:
- 9 CCPA-kérdés, amelyekre minden CISO-nak fel kell készülnie
- A CCPA egy lehetőség, hogy rendbe tegye az adatbiztonságot
- Mi az “ésszerű biztonság”? És hogyan lehet megfelelni a követelménynek
- Vegyük komolyan a fogyasztók adatvédelmét
- Hogyan befolyásolja az adatok állampolgári tulajdonjoga az üzletmenetet a jövőben