คุณพร้อมสำหรับพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคในแคลิฟอร์เนียหรือยัง?

บริษัท เทคโนโลยีที่มีชื่อเสียงที่สุดบางแห่งมีสำนักงานใหญ่ในแคลิฟอร์เนียซึ่งเป็นรัฐที่เมื่อวันที่ 28 มิถุนายน 2018 ผ่านพระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคของรัฐแคลิฟอร์เนียในปี 2018 (CCPA) CCPA จะไม่มีผลบังคับใช้จนถึงวันที่ 1 มกราคม 2020 แต่คาดว่าจะส่งผลกระทบต่อธุรกิจทั่วทั้งแคลิฟอร์เนียสหรัฐอเมริกาและในความเป็นจริงทั้งโลก CCPA จะส่งผลกระทบต่อวิธีการที่ธุรกิจสามารถจัดการกับข้อมูลลูกค้าและหลายคนเห็นว่าเป็นกฎหมายคุ้มครองข้อมูลที่เข้มงวดที่สุดในประวัติศาสตร์ของสหรัฐอเมริกา

หากคุณรู้สึกถึงเดจาวูแล้วคุณไม่ได้อยู่คนเดียว ย้อนกลับไปในเดือนพฤษภาคมกฎการคุ้มครองข้อมูลทั่วไปของสหภาพยุโรป (EU) (GDPR) มีผลบังคับใช้ GDPR เป็นหัวข้อยอดนิยมที่ PCMag ในขณะที่กฎหมายถูกสร้างขึ้นข้ามมหาสมุทรแอตแลนติกความจริงก็คือมันเป็นสัญลักษณ์ของธุรกิจทั่วโลกเพราะใช้กับพลเมืองสหภาพยุโรปทุกคนไม่ว่าพวกเขาจะอยู่ที่ไหน เช่นเดียวกับ GDPR ผลกระทบของ CCPA ใหม่จะมีความหมายกว้างไกลเกินขอบเขตของรัฐกำเนิด เราได้พูดคุยกับผู้เชี่ยวชาญสองสามคนเพื่อเรียนรู้เพิ่มเติมเกี่ยวกับ CCPA และผลกระทบที่คาดหวัง

CCPA และคุณ: บทนำ

CCPA กำหนดสิทธิ์ของผู้บริโภคในการขอให้ธุรกิจเปิดเผยว่ามีการรวบรวมข้อมูลประเภทใดเกี่ยวกับพวกเขา นอกจากว่าคุณกำลังใช้เครื่องมือเช่นเครือข่ายส่วนตัวเสมือนจริง (VPN) มันค่อนข้างแน่นอนว่าธุรกิจที่นับไม่ถ้วนกำลังรวบรวมข้อมูลเกี่ยวกับคุณทุกครั้งที่คุณออนไลน์ หากต้องการพูดถึงความโปร่งใสประเภทนี้ที่ CCPA จะนำมาใช้เป็นเรื่องใหญ่จะเป็นการพูดน้อย

John Tsopanis เป็นผู้จัดการผลิตภัณฑ์ความเป็นส่วนตัวที่ 1touch.io บริษัท ที่ช่วยให้ธุรกิจเข้าใจข้อมูลส่วนบุคคลที่พวกเขาจัดการ Tsopanis ใช้เวลาสองสามปีที่ผ่านมาในการให้คำปรึกษา GDPR แก่ บริษัท ต่างๆและพร้อมที่จะทำเช่นเดียวกันกับ CCPA Tsopanis อธิบาย CCPA ในแง่พื้นฐาน

"ในวันที่ 1 มกราคม 2020 ผู้มีถิ่นที่อยู่ในแคลิฟอร์เนียจะมีสิทธิ์ตามกฎหมายที่จะถาม บริษัท ใหญ่ ๆ ในอเมริกา: 'คุณกำลังประมวลผลข้อมูลใด ๆ ของฉันหรือไม่'" Tsopanis กล่าว "ภายใน 45 วัน บริษัท ดังกล่าวจะต้องตอบกลับรายงานที่มีรายละเอียดในช่วง 12 เดือนที่ผ่านมา บริษัท จะต้องแสดงข้อมูลส่วนบุคคลเฉพาะประเภทใดที่พวกเขามีในบุคคลนั้นซึ่งพวกเขาแบ่งปันกับใครและอะไรคือเหตุผล สำหรับการดำเนินการพวกเขาจำเป็นต้องให้ข้อมูลแก่ชาวแคลิฟอร์เนีย - ทั้งหมด 40 ล้านคน - ภายในระยะเวลา "

ความแตกต่างระหว่าง GDPR และ CCPA

มีความแตกต่างอย่างมากระหว่างสิ่งที่ GDPR ทำและ CCPA ครอบคลุมอะไร สำหรับผู้เริ่มต้น CCPA จะใช้พื้นฐานการเลือกไม่ใช้เพื่อขอความยินยอมในขณะที่ GDPR ใช้เกณฑ์การเลือกเข้าร่วม ซึ่งหมายความว่าผู้ใช้จะต้องติดต่อกับ บริษัท ต่างๆเพื่อหาข้อมูลที่ใช้ นอกจากนี้ GDPR นำไปใช้กับองค์กรใด ๆ ที่เก็บข้อมูลส่วนบุคคลเกี่ยวกับพลเมืองสหภาพยุโรป

ในทางกลับกัน CCPA ใช้เฉพาะกับ บริษัท ที่แสวงหาผลกำไรซึ่งดำเนินการกับข้อมูลเกี่ยวกับผู้อยู่อาศัยในแคลิฟอร์เนีย องค์กรต้องทำรายได้ประจำปีอย่างน้อย 24 ล้านเหรียญเก็บข้อมูล 50, 000 คนหรืออย่างน้อยครึ่งหนึ่งของรายได้จากการขายข้อมูลส่วนบุคคล ดังนั้นหากคุณเป็นเจ้าของร้านบูติกขนาดเล็กและขอบเขตของการดำเนินงานออนไลน์ของคุณคือหน้าเว็บที่แสดงรายการเวลาและที่อยู่ร้านค้าของคุณคุณจะไม่ต้องกังวลกับ CCPA มากเกินไป แต่ถ้าคุณใช้งานเว็บไซต์อีคอมเมิร์ซผ่านผู้ให้บริการแบบเบ็ดเสร็จหรือดูแลเว็บไซต์ e-tail ของคุณเองผ่านบริการเว็บโฮสติ้งทั่วไปคุณจะต้องใส่ใจ

Courtney Bowman เป็นผู้ร่วมงานในแผนกคดีความที่ บริษัท กฎหมายระหว่างประเทศ Proskauer Rose LLP โบว์แมนอธิบายว่าทำไม CCPA จะกำหนดให้ บริษัท ต้องพิจารณาอย่างรอบคอบเกี่ยวกับการใช้ข้อมูลของพวกเขามากกว่าปี 2020 "ข้อกำหนด 12 เดือนนั้นหมายความว่า บริษัท จะต้องดูนโยบายความเป็นส่วนตัวของพวกเขาอย่างน้อยปีละหนึ่งครั้ง, " เธอพูด.

“ พวกเขาจะต้องตรวจสอบอย่างต่อเนื่องว่าข้อมูลใดที่พวกเขากำลังขายหรือเปิดเผยต่อบุคคลที่สามเพื่อให้พวกเขาสามารถปรับนโยบายความเป็นส่วนตัวของพวกเขาตามลำดับ” โบว์แมนกล่าวต่อ “ กฎหมายให้สิทธิ์แก่ผู้บริโภคในการเข้าถึงหรือลบข้อมูลส่วนบุคคลในบางสถานการณ์และธุรกิจจะต้องตรวจสอบให้แน่ใจว่าพวกเขาสามารถทำให้ถูกต้องได้อย่างรวดเร็วจริง ๆ นั่นจะทำให้ บริษัท ต้องมีส่วนร่วมในการทำแผนที่ข้อมูล ตั้งอยู่และติดต่อประสานงานกับแผนกไอทีของพวกเขาเพื่อค้นหาสิ่งที่พวกเขาต้องทำเพื่อให้แน่ใจว่าพวกเขาสามารถปฏิบัติหน้าที่ตามหน้าที่ได้ภายใต้พระราชบัญญัตินี้ "

ผลกระทบกว้างของ CCPA

ในช่วงหลายเดือนที่นำไปสู่ ​​GDPRR ประเด็นที่ดำเนินอยู่ในการรายงานข่าวของเราคือในโลกยุคโลกาภิวัฒน์ GDPR จะส่งผลกระทบต่อธุรกิจนอกยุโรป ท้ายที่สุด บริษัท ขนาดใหญ่ส่วนใหญ่ทำธุรกิจในต่างประเทศและจะต้องเปลี่ยนการดำเนินงานออนไลน์ทั่วโลกเพื่อให้สอดคล้องกับกฎหมาย อย่างไรก็ตามเมื่อเราพูดคุยกับ Tsopanis เขากล่าวว่า บริษัท อเมริกันยังคงต้องแจ้งให้ทราบล่วงหน้าเกี่ยวกับ CCPA

“ เมื่อพูดถึง บริษัท อเมริกัน GDPR ส่วนใหญ่มุ่งเน้นไปที่องค์กรขนาดใหญ่ที่ดำเนินงานผ่านช่องทางต่างๆด้วยเกณฑ์สำหรับ บริษัท ที่มีคุณสมบัตินั้นใหญ่กว่ามากตามลำดับความสำคัญขนาดใหญ่” Tsopanis กล่าว “ มีคน 40 ล้านคนในแคลิฟอร์เนีย 50, 000 คนไม่ได้แม้แต่ 0.1 เปอร์เซ็นต์ของประชากรฉันคิดว่าสัดส่วนการเปิดรับสำหรับ บริษัท อเมริกันสูงกว่าระดับจีดีพีอาร์ก่อนหน้านี้”

Tsopanis นำเสนอตัวอย่างของเวนดี้ยักษ์อาหารจานด่วน "เวนดี้เป็น บริษัท ที่ใหญ่ที่สุดลำดับที่ 999 ใน Fortune 1000 และมีรายได้ต่อปี 1.2 พันล้านดอลลาร์สูงกว่าเกณฑ์การบังคับใช้กฎหมาย 48 เท่าอย่างน้อยที่สุดมี บริษัท 1, 000 ล้านดอลลาร์ในอเมริกาที่ต้องปฏิบัติตาม กฎหมายนี้และคำสั่งที่สำคัญของขนาดที่ใหญ่กว่านั้นในหมวดหมู่ $ 25 ล้าน "

เราอาจไม่ถือว่า บริษัท เทคโนโลยีของเวนดี้ แต่พวกเขารวบรวมส่วนแบ่งที่ยุติธรรมของข้อมูลผู้ใช้ พวกเขายังเป็นตัวอย่างที่สมบูรณ์แบบของวิธีการที่ บริษัท ทุกประเภทจะได้รับผลกระทบจาก CCPA เมื่อคุณเยี่ยมชมเว็บไซต์ของพวกเขาสั่งอาหารผ่านระบบ ณ จุดขาย (POS) หรือแม้แต่ใช้ Wi-Fi ที่ร้านอาหารเวนดี้ในพื้นที่ของคุณ บริษัท กำลังรวบรวมข้อมูลของคุณและอย่างน้อยก็ในแคลิฟอร์เนีย ทุกอย่างจะต้องเป็นไปตามข้อบังคับของ CCPA หาก บริษัท เล็ก "เล็ก" เท่าเวนดี้กำลังรวบรวมข้อมูลจำนวนมากเกี่ยวกับผู้ใช้นั่นเป็นเรื่องที่น่ากลัวอย่างยิ่งที่จะคิดว่าองค์กรขนาดใหญ่กำลังรวบรวมอะไร พูดง่ายๆก็คือ CCPA จะมีความหมายมากมาย

การค้นพบข้อมูลที่สำคัญ

หนึ่งในผลกระทบที่สำคัญที่สุดของ CCPA คือในที่สุดชาวอเมริกันจะสามารถเปิดเผยการซื้อข้อมูลจำนวนมหาศาลและการขายข้อมูลที่ บริษัท ต่างๆดำเนินการอยู่ "การเรียกเก็บเงินนี้จะช่วยให้คนอเมริกันได้ค้นพบองค์กรการซื้อและขายข้อมูลจำนวนมากโดยไม่ระบุชื่อก่อนหน้านี้ซึ่งจะนำไปสู่การเปลี่ยนแปลงทางวัฒนธรรมอย่างมากในการรับรู้ข้อมูลความเป็นส่วนตัวและท้ายที่สุด บางประเด็นนำไปสู่การปรับกฎหมายความเป็นส่วนตัวของรัฐบาลให้สอดคล้องกัน "Tsopanis กล่าว

เมื่อ Cambridge Analytica เรื่องอื้อฉาวยากจนมันได้รับความสนใจจากผู้คนนับล้านไม่ว่าจะเป็นนักเทคโนโลยีหรือไม่ มันทำให้ผู้คนกังวลอย่างมากเกี่ยวกับผู้ที่รวบรวมข้อมูลของพวกเขาและสิ่งที่ทำกับมันและ CCPA นั้นเป็นส่วนหนึ่งของการตอบสนองต่อสิ่งนั้น Tsopanis โต้แย้งว่าการเปิดเผยที่เกิดขึ้นจะมีขนาดใหญ่มาก

"สำหรับนักข่าวทุกคนในประเทศนี่คือสวรรค์แคลิฟอร์เนียเป็นเศรษฐกิจ 2.7 ล้านล้านดอลลาร์ - ใหญ่เป็นอันดับห้าของโลกและถูกสร้างขึ้นบนบิ๊กดาต้าทุกคำขอจาก บริษัท Fortune 1000 ทุกคนจะเปิดเผยเครือข่ายทั้งหมด ของ บริษัท ที่ซื้อและขายข้อมูลซึ่งกำลังจะถูกตรวจสอบอย่างเข้มงวด "Tsopanis อธิบาย "เราไม่ทราบว่าสิ่งที่เราจะพบเมื่อคนเริ่มได้รับรายงานข้อมูลของพวกเขา แต่มีการเปิดเผยที่น่าสนใจบางอย่าง"

เพียงแค่ 18 เดือนเพื่อเตรียมความพร้อม

หากเราเรียนรู้อะไรจาก GDPR แสดงว่า บริษัท จำเป็นต้องวางแผนให้เร็วที่สุดเพื่อให้พร้อมสำหรับกำหนดเส้นตาย โดยที่ในใจ บริษัท อเมริกันไม่มีเวลามากนัก GDPR ถูกนำมาใช้ในเดือนเมษายน 2559 และ บริษัท มีเวลามากกว่าสองปีเต็มในการปรับตัวและปฏิบัติตามกฎระเบียบ เนื่องจาก CCPA มีผลบังคับใช้ตั้งแต่ต้นปี 2563 ซึ่งหมายความว่า บริษัท ขนาดใหญ่มีเวลาเพียง 18 เดือนในการเตรียมพร้อม

แม้จะเป็นมืออาชีพด้านเทคโนโลยีที่มีประสบการณ์มากที่สุดก็ตาม “ ปริมาณงานที่ต้องทำใน 18 เดือนนั้นมากกว่าที่จำเป็นสำหรับ GDPR โดยใช้เวลาน้อยลงและ บริษัท อเมริกันที่มาจากวุฒิภาวะความเป็นส่วนตัวที่ต่ำกว่ายุโรปกล่าวเตือน Tsopanis

ในการปฏิบัติตามนั้นทหารผ่านศึกด้านความปลอดภัยแนะนำ บริษัท ต่าง ๆ ให้ระมัดระวังในการพัฒนากระบวนการของพวกเขา “ ในอีกหกเดือนข้างหน้าสิ่งที่องค์กรต้องทำคือการพัฒนาวิธีการติดตามข้อมูลส่วนบุคคลทั่วทั้งองค์กร” Tsopanis กล่าว "พวกเขาต้องการวิธีในการเข้าถึงข้อมูลส่วนบุคคลที่ถูกส่งไปยังบุคคลที่สามและเวลาอย่างง่ายดายและจากนั้นพวกเขาจำเป็นต้องสามารถติดตามได้ตลอด 12 เดือนถึงการนำไปใช้และพร้อมที่จะให้ข้อมูลเมื่อมีการร้องขอ กฎระเบียบที่เข้ามาเล่น

“ โดยพื้นฐานแล้วมันจะต้องมี บริษัท สหรัฐรายใหญ่เกือบทั้งหมดดำเนินกิจกรรมการระบุข้อมูลที่สำคัญและสามารถดำเนินการและตอบสนองต่อคำขอการเข้าถึงข้อมูลจากผู้อยู่อาศัยในแคลิฟอร์เนียในวันที่มีการบังคับใช้โดยอัตโนมัติ "สิ่งสำคัญคือต้องทราบว่าเมื่อกฎหมายผ่านในปี 2020 พวกเขาจำเป็นต้องสามารถจัดทำรายงานข้อมูลผู้ใช้ในช่วง 12 เดือนก่อนหน้านี้ซึ่งหมายความว่าธุรกิจจำเป็นต้องติดตามข้อมูลดังกล่าวในวันที่ 1 มกราคม 2019 "

จากมุมมองทางกฎหมายโบว์แมนกล่าวว่าอาจมีการเปลี่ยนแปลงบางอย่างเกิดขึ้นก่อนกำหนด “ เราคาดหวังว่าเราจะได้เห็นการแก้ไขกฎหมายก่อนที่จะมีผลบังคับใช้” เธอกล่าว "เพราะมันถูกร่างขึ้นอย่างรวดเร็วแม้ว่าจะมีผลอาจมีบางพื้นที่สีเทาที่ยังคงโดดเด่นในแง่ของความเข้าใจของพวกเราหลังจากนั้น GDPR ใช้เวลาหลายปีในการร่างและยังมีหลายส่วนของ GDPR มันคลุมเครือ "