世界上有越来越多的GDPR类似物。 最近,
印度也
制定了类似的法案,现在美国也可以使用。 加利福尼亚州以欧洲为例,
批准了自己的法律来规范处理用户个人数据的规则。
加州消费者隐私法案(CCPA)将于2020年1月1日生效。 接下来,我们考虑法律的主要规定,该规定在短短一周内就制定并通过了。
/图片Ryan Brisco PD谁属于法律
新法律虽然不如欧洲指令那么严厉,但仍然意味着商业生活发生了巨大变化。 加利福尼亚州的每个Internet用户都有权向公司要求她收集的有关他的信息,以及她知道的第三方列表。
根据同一法律,用户现在可以起诉非法使用其PD或未能及时满足其任何请求的组织。
CCPA涵盖处理加利福尼亚州居民的个人数据的公司(居民可以在该州境内和境外),并获得至少2500万美元的年收入。 但是有一个细微差别:如果公司的收入减少了,但是却存储了超过5万人的个人数据,则其活动将归入SSRA。
新法律还规范了从PD出售中获得超过一半利润(无论规模大小)的公司的活动。 该组织的位置无关紧要:位于加利福尼亚还是该州之外,都没有关系。
什么是个人数据
个人标识符是任何标识符,生物特征,地理位置,互联网上的活动历史以及有关就业或教育的信息。 通常,任何可以识别一个人的数据都可以到达那里。
同时,在法律中发现了相当模糊的表述。 例如,个人标识符可以包括有关用户家庭的信息。 此外,当PD对允许您编译用户个人资料的所有信息进行分类时:仅仅是心理,行为等方面的信息。
用户权限
根据法律,用户将获得“传统”权利集:
- 访问权限。 用户可以发送请求并获取公司收集的有关他的所有信息;
- 遗忘权。 用户可能需要从公司的服务器和第三方服务器中删除有关自己的信息;
- 知情权。 根据要求,公司必须披露收集个人数据及其来源的目的;
- 拒绝权。 用户可以拒绝将其数据传输给第三方。
这是与GDPR的重要区别-根据欧洲指令,公司需要获得用户
同意才能处理PD。 根据加利福尼亚州的法律,组织仅需要处理用户的请求。
如果用户数据丢失或被盗,公司将必须向每位受害者支付100至750美元。
如果用户已向公司投诉与其个人数据有关的违规行为,则必须在一个月内解决该问题。 否则,她将被罚款。 现在是7.5千美元。
但是,根据CCRA,如果公司未收到用户的相应要求,则无需披露任何违规事实。
罚款和支付的金额可能仍会发生变化,但是在任何情况下(考虑到所有技术和法律成本),SSRA都会对许多公司的存在构成财务威胁。
/照片Justin Lim PD打折
另一个有趣的细微差别-法律禁止公司歧视拒绝提供个人数据的用户。 但是,与此同时,这表明可以为同意的人引入奖励制度。
从形式上讲,这意味着(如果项目没有更改),公司可以为与第三方共享数据的用户提供折扣,并根据其隐私设置为用户设置不同的价格。
这不仅创造了一个有趣的技术先例,而且还创造了一种文化先例:事实上,CCPA形成了新的游戏规则,公司可以通过该规则从以前免费获得的用户那里购买信息。
在干渣中
该法律正式于2020年1月1日生效。 但是,一旦公司开始运作,该公司将必须立即能够向用户提供过去12个月中收集到的有关他们的数据。 因此,实施所有必要技术解决方案的截止日期是一年前-也就是四个月后。
通过这种方法,可以在指令的第一天就提起诉讼。 与GDPR一样
,适用于Facebook和Google 。
/照片书籍目录 CC大型IT巨头正在逐渐但不是很公开地
反对这一法律 。 特别是,他们资助与之抗争的
公共组织 。
专家认为 ,急于通过的法律将在两年内修订和起草。 但是,他们不确定所做的更改是否重大。 关键点可能会保持不变。
因此,SSRA是迈向对美国信息安全的全新理解的
第一步 ,也是对多年来被认为是基本且不变的大多数实践的修改。
PS来自我们的IaaS博客的相关文章:
PPS在Habré博客上的最新文章: