Pod koniec czerwca 2018 roku Kalifornia uchwaliła AB 375, ustawę o prywatności konsumentów, która może mieć większe reperkusje dla amerykańskich firm niż Ogólne rozporządzenie Unii Europejskiej o ochronie danych (GDPR), które weszło w życie w maju 2018 roku. Ustawa kalifornijska nie ma niektórych z najbardziej uciążliwych wymagań GDPR, takich jak wąskie 72-godzinne okno, w którym firma musi zgłosić naruszenie. Pod innymi względami idzie jednak jeszcze dalej.
CCPA przyjmuje szerszy pogląd niż GDPR na to, co stanowi dane prywatne. Wyzwaniem dla bezpieczeństwa jest więc zlokalizowanie i zabezpieczenie tych prywatnych danych.
Co to jest CCPA?
Kalifornijska ustawa o prywatności konsumentów (CCPA) to prawo, które pozwala każdemu konsumentowi w Kalifornii zażądać, aby zobaczyć wszystkie informacje, które firma zapisała na jego temat, a także pełną listę wszystkich stron trzecich, którym dane są udostępniane. Ponadto, prawo kalifornijskie pozwala konsumentom pozwać firmy, jeśli wytyczne dotyczące prywatności są naruszane, nawet jeśli nie ma naruszenia.
Które firmy dotyka CCPA?
Wszystkie firmy, które obsługują mieszkańców Kalifornii i mają co najmniej 25 milionów dolarów rocznego dochodu muszą być zgodne z prawem. Ponadto, firmy dowolnej wielkości, które mają dane osobowe na co najmniej 50.000 osób lub które zbierają więcej niż połowę swoich dochodów ze sprzedaży danych osobowych, również podlegają prawu. Firmy nie muszą mieć siedziby w Kalifornii ani być tam fizycznie obecne, aby podlegać prawu. Nie muszą nawet mieć siedziby w Stanach Zjednoczonych.
Poprawka wprowadzona w kwietniu wyłącza „instytucje ubezpieczeniowe, agentów i organizacje wspierające”, ponieważ podlegają one już podobnym przepisom na mocy kalifornijskiej ustawy o ochronie informacji i prywatności w ubezpieczeniach (IIPPA).
Kiedy moja firma musi przestrzegać CCPA?
Prawo weszło w życie 1 stycznia 2020 r., ale jego egzekwowanie rozpoczęło się 1 lipca.
Co się stanie, jeśli moja firma nie będzie zgodna z CCPA?
Firmy mają 30 dni na dostosowanie się do prawa po tym, jak organy regulacyjne powiadomią je o naruszeniu. Jeśli problem nie zostanie rozwiązany, grozi grzywna w wysokości do 7 500 dolarów za każdy rekord. „Jeśli pomyślisz o tym, jak wiele rekordów jest dotkniętych naruszeniem, to naprawdę rośnie bardzo szybko” – mówi Debra Farber, starszy dyrektor ds. strategii prywatności w BigID. Ponieważ ustawa została złożona i uchwalona w ciągu zaledwie tygodnia, prawdopodobnie doczeka się kilku poprawek, dodaje. „Rzeczy takie jak kwoty grzywien prawdopodobnie ulegną zmianie.”
Istnieje również inne potencjalne ryzyko finansowe, mówi Farber. „Ustawa przewiduje indywidualne prawo do pozwu, po raz pierwszy” mówi. „I pozwala pozwów zbiorowych za szkody.”
Again, jest 30-dniowe okno, które rozpoczyna się, gdy konsumenci dają pisemne zawiadomienie do firmy, że uważają, że ich prawa prywatności zostały naruszone. „Jeśli nie zostanie to wyleczone, a prokurator generalny odmówi ścigania, wtedy mogą wnieść pozew zbiorowy,” mówi Farber. „I to nie tylko wokół naruszeń.”
Na przykład, prawo określa, że firmy muszą mieć wyraźnie widoczną stopkę na stronach internetowych oferujących konsumentom opcję rezygnacji z udostępniania danych. Jeśli tej stopki brakuje, konsumenci mogą pozwać. Mogą również pozwać, jeśli nie mogą dowiedzieć się, w jaki sposób ich informacje zostały zebrane lub uzyskać kopie tych informacji. „Prawo przypisuje konkretne kary w przypadku nieautoryzowanego dostępu, czy to poprzez naruszenie, eksfiltrację, kradzież, lub „ujawnienie w wyniku naruszenia przez firmę obowiązku wdrożenia i utrzymania rozsądnych procedur bezpieczeństwa i praktyk”, Jak obecnie napisano, AB 375 pozwala na kary od 100 do 750 dolarów za konsumenta za incydent, lub rzeczywiste szkody, w zależności od tego, która jest większa.
„Dodaj do tego wszystkie inne koszty związane z naruszeniem — reakcja IT, kryminalistyka i odzyskiwanie danych, prawne, powiadomienia i tak dalej — i to może popchnąć naruszenie do sfery egzystencjalnego zagrożenia dla wielu firm”, mówi Chris Prevost, szef architektury rozwiązań bezpieczeństwa runtime w Imperva.
Ogólnie, jeśli firma podjęła kroki niezbędne do zapewnienia zgodności z GDPR, to jest to większość drogi tam dla California Consumer Privacy Act. Przynajmniej jest bliżej, niż jeśli nie jest gotowa na GDPR, mówi Eric Dieterich, lider praktyki prywatności danych w Focal Point Data Risk, LLC. „Niektóre firmy międzynarodowe wprowadziły zmiany na swoich rynkach europejskich, ale być może nie wprowadziły ich do działalności w Stanach Zjednoczonych, więc może nastąpić zmiana zakresu” – mówi.
Jakie dane obejmuje CCPA?
Kalifornijska ustawa przyjmuje szersze podejście do tego, co stanowi dane wrażliwe, niż GDPR. Na przykład, obejmuje ona informacje zapachowe, jak również historię przeglądania i zapisy interakcji odwiedzającego z witryną lub aplikacją. Oto, co AB 375 uważa za „dane osobowe”:
- Identyfikatory takie jak prawdziwe imię i nazwisko, pseudonim, adres pocztowy, unikalny identyfikator osobisty, identyfikator online adres IP, adres e-mail, nazwa konta, numer ubezpieczenia społecznego, numer prawa jazdy, numer paszportu, lub inne podobne identyfikatory
- Charakterystyka chronionych klasyfikacji na mocy prawa kalifornijskiego lub federalnego
- Informacje handlowe, w tym zapisy własności osobistej, produktów lub usług zakupionych, uzyskanych lub rozważanych, lub inne historie zakupów lub konsumpcji lub tendencje
- Informacje biometryczne
- Internet lub inne informacje dotyczące aktywności w sieci elektronicznej, w tym, ale nie ograniczone do historii przeglądania, historii wyszukiwania i informacji dotyczących interakcji konsumenta z witryną internetową, aplikacją lub reklamą
- Dane geolokalizacyjne
- Informacje dźwiękowe, elektroniczne, wizualne, termiczne, zapachowe lub podobne
- Informacje zawodowe lub związane z zatrudnieniem
- Informacje o edukacji, zdefiniowane jako informacje, które nie są publicznie dostępnymi informacjami umożliwiającymi identyfikację osoby (PII), jak określono w Family Educational Rights and Privacy Act (20 U.S.C. sekcja 1232g, 34 C.F.R. Część 99)
- Wnioski wyciągnięte z jakiejkolwiek informacji określonej w tym podrozdziale w celu utworzenia profilu konsumenta odzwierciedlającego preferencje, cechy charakterystyczne, tendencje psychologiczne, preferencje, predyspozycje, zachowanie, postawy, inteligencję, zdolności i predyspozycje konsumenta
Poprawka, AB 874, obecnie czekająca na podpis gubernatora, wyłączyłaby publicznie dostępne, zidentyfikowane i zagregowane informacje o konsumentach z bycia sklasyfikowanym jako PII. Publicznie dostępne informacje są zdefiniowane jako dane dostępne i utrzymywane z rejestrów rządowych.
Kontrola CCPA pierwotnie obejmowała zarówno dane pracowników, jak i konsumentów. Poprawka przyjęta w kwietniu, jednakże, wyłącza dane pracowników z regulacji. Inna poprawka, AB 25, częściowo wyłącza dane osobowe zebrane od kandydatów do pracy, właścicieli, dyrektorów, urzędników, personelu medycznego i wykonawców. To wyłączenie wygasłoby 1 stycznia 2021 roku. AB 25 czekał na podpis gubernatora w tym piśmie.
Jakie są kluczowe przepisy dotyczące prywatności w CCPA?
Firmy muszą pozwolić konsumentom na wybór, aby nie mieć swoich danych udostępnianych stronom trzecim. Oznacza to, że firmy będą teraz musiały być w stanie oddzielić dane, które zbierają zgodnie z wyborami prywatności użytkowników.
Dodatkowo, podczas gdy firma nie może odmówić użytkownikom równych usług, może zaoferować zachęty dla użytkowników, którzy dostarczają informacji osobistych. „Ten przepis może ulec zmianie, ale jak stwierdzono dzisiaj, daje możliwość oferowania zniżek ludziom, którzy są skłonni mieć swoje dane udostępnione lub sprzedane osobom trzecim”, mówi Dieterich. „Tradycyjnie, systemy nie są zaprojektowane tak, aby struktura cenowa mogła się zmieniać w zależności od wyborów dotyczących prywatności. To nowa koncepcja, która ma bardzo techniczne implikacje.”
Inną istotną różnicą w stosunku do GDPR jest to, że prawo kalifornijskie pozwala klientom na znacznie większy dostęp do ich zapisów, mówi Subra Ramesh, SVP ds. produktów w Dataguise. Konsument w Kalifornii ma prawo dowiedzieć się, jakie informacje na jego temat gromadzi firma. Większość firm będzie miała problem z zebraniem tych informacji razem. „Po pierwsze, ilość danych, które zbierają jest już ogromna i nadal rośnie, często w setkach do tysięcy terabajtów, a organizacje na poziomie przedsiębiorstw przetwarzają petabajty danych” – mówi.
Te dane są zawarte w wielu platformach pamięciowych, w różnych czasach plików. „Większości narzędzi do wyszukiwania plików brakuje możliwości przeszukiwania nowoczesnych ekosystemów repozytoriów plików, które są obecnie tak powszechne” – mówi Aaron Ganek, dyrektor generalny firmy Cloudtenna. „Między-silosowe zarządzanie plikami to poważne wyzwanie. Trudno jest zrozumieć kontekst każdego pliku, jeśli są one rozproszone w różnych repozytoriach.” Ponadto, jak mówi, z gromadzeniem danych wiążą się kwestie zgodności z przepisami. „Starsze narzędzia korporacyjne zmagają się z obserwacją rozbieżnych uprawnień i modeli zabezpieczeń, naruszając same prawa i przepisy, które mają spełniać.”
Do tego dochodzą ograniczenia czasowe. „Po złożeniu wniosku o dostęp, firma ma 45 dni na dostarczenie im kompleksowego raportu na temat tego, jakiego rodzaju informacje posiadają, czy zostały sprzedane i komu, a jeśli zostały sprzedane osobom trzecim w ciągu ostatnich 12 miesięcy, musi podać nazwy i adresy osób trzecich, którym dane zostały sprzedane” – mówi John Tsopanis, menedżer produktu ds. prywatności w 1touch.io. „Nie możesz tego zrobić w Europie.”
Ponieważ reguła obejmuje poprzednie 12 miesięcy zapisów, firmy muszą zacząć przestrzegać przepisów za sześć miesięcy od teraz, mówi. Następnie, w dniu 1 stycznia 2020 r., każda firma musi ujawnić każdą inną firmę, której sprzedaje dane. „To na zawsze zmieni krajobraz prywatności w Ameryce” – mówi Tsopanis.
Co CCPA oznacza dla bezpieczeństwa?
AB 375 jest lekka w wymaganiach dotyczących bezpieczeństwa i reagowania na naruszenia w porównaniu z GDPR. Jak wspomniano wcześniej, ustawa określa kary dla firm, które narażają dane konsumentów z powodu naruszenia lub braku bezpieczeństwa. Pozwala ona również sądom na oferowanie „nakazu lub odszkodowania deklaratoryjnego,” lub „wszelkie inne ulgi, które sąd uzna za właściwe.”
Przedsiębiorstwa nie są zobowiązane do zgłaszania naruszeń w ramach AB 375, a konsumenci muszą złożyć skargę przed grzywny są możliwe. Najlepszym sposobem działania dla bezpieczeństwa jest więc wiedzieć, jakie dane AB 375 definiuje jako dane prywatne i podjąć kroki, aby je zabezpieczyć. Ponownie, każda organizacja, która spełnia wymagania GDPR, prawdopodobnie nie musi podejmować dalszych działań, aby spełnić wymagania AB 375 w zakresie zabezpieczania danych.
Wymagania AB 375 dotyczące śledzenia, dostępu i przechowywania danych oznaczają, że zespoły bezpieczeństwa będą musiały ściśle współpracować z administratorami baz danych, mówi Terry Ray, starszy wiceprezes i współpracownik w Imperva, dostawcy cyberbezpieczeństwa. Wszelkie narzędzia wybrane do pomocy w radzeniu sobie z AB 375 będą musiały nie tylko mieć pełną widoczność danych przechowywanych w całym heterogenicznym środowisku korporacyjnym, ale również zapewnić, że dostęp do tych danych jest odpowiednio zabezpieczony. „Wreszcie, będą one potrzebowały tych narzędzi do współpracy z nowym portalem konsumenckim poprzez udostępnianie konkretnych danych konsumenta z weryfikowalnym konsumentem, który o to prosi” – mówi. Na przykład, pracownicy mogą założyć konto do udostępniania plików, aby śledzić kontakty marketingowe lub sprzedażowe. „Nie jest zaskoczeniem, że duże firmy technologiczne, takie jak Google i Facebook, sprzeciwiły się ustawie” – mówi Kevin Bocek, wiceprezes ds. strategii bezpieczeństwa i analizy zagrożeń w firmie Venafi. „Kontrolowanie prywatności i informacji osobistych, które przepływają między maszynami, jest niewiarygodnie trudne i stanowi poważne wyzwanie dla wszystkich firm.”
Praca w toku
Ustawa została złożona w zaledwie siedem dni, ponieważ ustawodawcy chcieli uniknąć inicjatywy wyborczej mającej na celu uchwalenie jeszcze surowszego prawa, któremu sprzeciwiało się wiele firm technologicznych. „W tej chwili wiele przepisów i definicji jest ze sobą sprzecznych” – mówi Andy Dale, główny radca prawny i wiceprezes ds. globalnej ochrony prywatności w SessionM.
Jednym z problematycznych obszarów jest to, czy firma może naliczać konsumentom różne ceny w oparciu o ich ustawienia prywatności. Na przykład, wiele firm ma opcję, gdzie konsument może uaktualnić do płatnego poziomu, gdzie nie widzą żadnych reklam. Tutaj, prawo jako obecnie napisane jest trochę sprzeczne.
„Jeśli konsument korzysta z praw wynikających z rozporządzenia, firmy nie mogą zapewnić inny poziom lub jakość produktu, towarów lub usług dla konsumenta”, mówi Pravin Kothari, CEO CipherCloud. „Po drugiej stronie medalu, zgodnie z rozporządzeniem, przedsiębiorstwa nie mają zakazu obciążania konsumenta inną ceną lub stawką, lub dostarczania konsumentowi innego poziomu lub jakości towarów lub usług, jeśli ta różnica jest racjonalnie związana z wartością dostarczoną konsumentowi przez dane konsumenta.”
Wygląda na to, że Kalifornia próbuje zdefiniować ramy, w których konsumenci mogą otrzymać wynagrodzenie za udostępnianie swoich danych, mówi Kothari. „W tym obszarze ustawodawstwo jest nieco wizjonerskie”, mówi. „Zobaczymy w praktyce, jak to faktycznie zadziała.”
Więcej o CCPA:
- 9 pytań związanych z CCPA, na które każdy CISO powinien być przygotowany, aby odpowiedzieć
- Kontrola CCPA jest okazją do uporządkowania swojego domu bezpieczeństwa danych
- Co to jest „rozsądne bezpieczeństwo”? I jak spełnić ten wymóg
- Poważnie podejdź do ochrony danych konsumentów
- Jak posiadanie danych przez obywateli wpływa na działalność biznesową w przyszłości
.