Infosys.
叉

是有弹性的。那是现场企业。

数字核心能力

数字操作模型

赋予人才转型权力
叉

行业

叉

服务

经验

经验

洞察力

洞察力

创新

创新

加速

加速

保证

保证

应用开发和维护

应用开发和维护
业务流程管理

业务流程管理
咨询服务

咨询服务
孵化新兴产品

孵化新兴产品
叉

平台

叉

关于我们

我们到了吗?公司面临着漫长的道路,履行消费者隐私要求

经过阿比卡耆那教乍得瓦特,Sanjay Kumar,Senthil Kumar和Rajesh Menon Pudukulangare. 2020年6月|观点|10分钟阅读|通过电子邮件发送本文|下载

信息从未如此无处不在或易于货币化。这种个人信息的货币化速度比政府和消费者能够感知。现在,他们正在响应。

世界各地政府介入保护消费者。欧洲联盟在2018年将一般数据保护规范带来了生效。加州消费者隐私法在今年年初成为法律,执法设定于2020年7月1日开始。这些规则的监管机构和作者承认转型价值数据及其内在复杂性。加州的司法部长估计该州的个人数据的总价值将超过200亿美元。1另一项研究表明,加利福尼亚州在过去十年中遭受了更多的数据泄露事件,而不是其他任何其他国家。2随着加州领先的其他国家,3.公司必须定义他们的隐私事项的方法,并建立详细的计划,遵守法律并保留客户和其他利益攸关方的信任。

在Infosys,我们的咨询实践在其GDPR和CCPA旅程中为许多全球客户提供了合规。这在公司,行业甚至地区都提供了独特的视角。

本文介绍了CCPA规则,CCPA状态,客户面临的挑战,执行CCPA计划的最佳实践以及我们对数据隐私法规的未来的观点。

加州消费者隐私首先是

加州消费者隐私法是美国国家发布的最全面的数据隐私法之一。该法案于2020年1月1日上市,提供加州居民对自己个人身份信息的强大控制,以及公司使用其数据的方式清晰的观点。虽然CCPA仍在进行修订,4.它正在塑造数字时代最有影响力的数据隐私法规之一。鉴于数据泄露的大规模和频率,5.企业应预测此类和进一步的干预措施。此外,加州官员在3月下旬宣布,他们将于7月1日开始执行法律,无论与Covid-19相关的中断。6.

加州官员估计遵守CCPA的成本约为550亿美元。7.CCPA概述了加州居民与其个人信息的收集,共享,处理和存储相关的加州居民的额外权利。在加利福尼亚州开展业务的公司必须采用一系列旨在保护消费者隐私,并开发流程以提高消费者数据的透明度。具体而言,ACT授予个人:

  • 选择退出企业提供的服务的权利。
  • 知道公司收集的信息的权利。
  • 访问该信息的权利。
  • 从公司数据库中删除其信息的权利。
  • 来自公司的平等服务权。

Infosys Consulting发现选择退出的权利对公司的最广泛的潜在影响。准备选择退出请求项目在公司的人员,流程,技术和安全领域有很高的影响。我们的一些客户谨慎优先考虑其工作中的第一次焦点区域,以解决CCPA要求。

图1:选择退出的权利对企业的最广泛影响。

我们到了吗?公司面临着漫长的道路,履行消费者隐私要求

资料来源:Infosys Consulting

遵守慢慢发生

据最近的调查,尽管截止日期快速的执法截止日期,大多数美国企业不符合CCPA规则。8.调查表明,大多数高级商业经理都不掌握CCPA合规性的重要性。接受调查的近一半的组织没有分配预算,以遵守CCPA(或其他即将到来的隐私法)。此外,超过三分之一的组织没有进行审计,以确定他们的数据所在的位置 - 了解隐私法如何影响公司的关键早期步骤。这种低合规级别表明,许多公司的符合性低的可能性,并回应了许多公司和欧洲的GDPR隐私规则的经验。

加利福尼亚州于7月1日开始实施其隐私规则时,货币处罚可能会迅速累积,因为法律征收罚款基础。自2018年实施以来,欧盟当局于2014年1月举行了超过1亿欧元的罚款和处罚。在最大的单一实例,CNIL,法国数据保护监管机构,罚款5000万欧元以“数据处理不足的法律依据”。“瑞典当局被瑞典当局罚款额外700万欧元,以“不足以履行数据主体权利”。

CCPA合规的三种方法

根据其规模,对隐私的承诺以及他们认为隐私法将影响其业务,这些组织采取了不同的方式通过了CCPA。有三种不同的方法,整体推荐:

整体方法

有些组织已启动战略,企业范围的数据隐私工作,并对建立强大的数据管理和治理进行了长远来看。这是鉴于已越来越多的美国国家越来越多的美国国家的数据隐私,这是最谨慎的方法。9.我们在此类别中看到了组织开始提前的合规性旅程并建立强大的计划来解决数据隐私任务。

图2:2019年底已接受调查的一半公司表示,他们将在2020年1月1日之前实现CCPA合规性

2019年底,少于一半的公司表示,他们将在2020年1月1日之前实现CCPA合规性

资料来源:Osterman Research

目标方法

其他组织的目标是首先遵守CCPA的低悬垂的水果,例如更新隐私声明。有些人有针对客户信息数据库,而不是扫描所有存储库。此外,他们对培训的关注充其量是战术。但是,鉴于CCPA要求的广泛范围,这种方法可以帮助组织符合其他国家提出的规定。但是,如果其他国家拟议更严格的规定,企业将不得不开发额外的一次性解决方案。

等待和看法

有些组织延期了CCPA特定举措 - 主要通过断言他们遵守或质疑数据隐私规则是否适用于其业务。例如,已经符合1999年财务导向的革无众奖“或1996年健康保险行动和责任法案”的数据隐私规定的公司突出了与新加州法案的相似之处。这些公司通过遵循现行法规,使他们符合广泛的CCPA符合要求。虽然这可能会满足即时需求,但它无法准备将来更严格的隐私法规。

公司挑战遵守CCPA

公司在合规旅程中面临着无数的挑战。这些挑战的一些例子包括:

  • 个人身份信息 - 加利福尼亚州将链接和可链接数据分类为PII(图3),但涵盖尚未明确定义的数据是多少。
  • 数据货币化 - CCPA涵盖了个人信息的“销售”,但我们的许多客户都表示缺乏关于数据“销售”的数据的清晰度。
  • 客户的定义 - 客户的定义也有问题。例如,如果一个“潜在”客户呼叫经纪房屋并提供他们的PII信息,但不会最终成为他们的客户,他们是否在CCPA任务下涵盖?

其他国家制定自身的数据隐私法规应在即​​将到来的任务上提供更多澄清。

图3.加利福尼亚州的数据隐私法案所涵盖的个人身份信息包括直接链接数据和可链接数据,可以在组合其他数据时识别人员。

链接数据 可连接数据
  • 名称
  • 出生日期
  • 地址,电子邮件地址,电话号码
  • 帐户信息
  • 个人识别号码,如社会安全号码,护照号码和驾驶执照号码
  • 购买车辆识别号码,属性标题或产品等财产信息
  • 国家,州,城市,邮政编码
  • 出生地
  • 性别
  • 种族
  • 宗教
  • 年龄范围(例如30-40而不是30)
  • 地理位置数据
  • 浏览器历史记录或搜索历史记录

资料来源:Infosys Consulting

CCPA合规目标和数据隐私管制

公司已遵守一系列组织战略。有些人分配了一名主要数据官。其他人已经将其推到各个业务线上。其他人还设置了新的数据隐私小组来执行此任务。无论组织方法如何,企业都应该:

  • 建立一个响应的客户请求过程。
  • 开发有效的客户选择选择退出机制。
  • 更新所有隐私声明并与客户通信。
  • 识别所有合作伙伴,并确保其遵守作为扩展企业的一部分。
  • 确保信息技术团队具有所需的可见性和访问,以确定所有个人身份信息。
  • 公司将通过四个阶段开发所需的数据隐私管道提高。

第1阶段:准备评估

组织需要通过对人,流程,治理,技术和隐私和安全进行全面评估来评估他们目前的合规状态。此阶段包括占据数据库存,跨通道,数据源,数据类型,收集频率,使用程度,使用程度,共享和转移策略以及任何第三方的数据管理。

第2阶段:差距分析

一旦数据专家评估了组织内的当前景观,他们接下来识别现有合规计划之间的差距和包括CCPA的新要求。组织可以使用此机会来通过执行数据最小化,数据位置和数据修复等简单的活动来审查和合理化数据管理框架。

第3阶段:差距修复

通过识别空白,公司及其合作伙伴修改了数据管理框架并将其与新的隐私规则对齐。操作团队必须重新定义流程以处理所有数据请求和同意管理。这也将解决数据存储库和保留策略。

图4:途中的四个阶段到卓越的数据隐私管理。

四个阶段来到卓越数据隐私管理的途中

第4阶段:维护和监控

隐私合规(包括CCPA)不是一个单时事件,而是一个运营状态,并需要持续努力监控,定期审计和维持个人可识别数据的统一视图。为了保持良好的数据隐私管理,公司必须具有尊重数据隐私和领导能力的文化,以支持正在进行的遵守情况。

具有新数据隐私规则的最佳数据符合性路线图创建了具有全面审计跟踪,保留和删除策略的存储库。

通过投资数据隐私来解锁价值

监管机构和消费者倡导者将继续要求企业成为委托给他们的数据的更好管理。公司无法快速解决此长期需求。随着规则的发展和意识的发展,组织将通过参加他们的数据管理政策和流程的长期观点来实现最多的好处。

公司甚至可以将其合规性努力转换为一个途径,以便与客户建立更好的信任。CCPA要求的同意管理机制为消费者参与提供了新的途径和加强客户体验的机会。优越的服务可能是一个差异化的公司,以及品牌建设的运动,特别是在高触摸行业,如零售,营销和广告,这一直是寻求创新的方法来提高客户体验。

智能企业可以使用此机会在收集,存储,使用或传输消费者数据的函数和操作跨函数和操作来合理化数据。他们有机会在满足隐私法规的同时,重新调整他们的数据策略,降低成本,提高效率。

我们所知道的商业模式永远在Covid-19 World Post Covid-19世界中变化。我们预计数据扩散在传统媒体和云中发生。这造成了保护和跟踪整个公司和第三方的新挑战。鉴于7月1日,2020年截止日期快速接近,我们预计加州监管机构即将敲击不合规企业的门 - 现在是准备好了。

参考
  1. 标准化监管影响评估:2018年加利福尼亚州消费者隐私法案,David Roland-Holst,塞缪尔埃文斯,德鲁Behnke等,2019年8月,伯克利经济咨询和研究加州律师委员会办公室。
  2. 哪些州具有最多的数据泄露?数据违反美国州,Paul Bischoff,2019年6月20日,Complitech。
  3. 检查八个美国各国代表消费者数据隐私法,Dom Nicastro,2019年8月30日,CMS线。
  4. 修订的CCPA规定和新的CCPA诉讼的三个新变更,Philip Favro,3月24日,2020年,法律。
  5. 21世纪的15个最大的数据违规行为,丹斯福府,4月17日,2020年4月,CSO杂志。
  6. 加利福尼亚州律政司办公室:CCPA执法没有延迟Covid-19,Joe Duball,2020年3月23日,国际隐私专业人士协会。
  7. 预计CCPA合规成本达到55亿美元,2019年10月8日的Aly McDevitt,合规周。
  8. 满足您的CCPA和其他隐私义务的关键步骤,Osterman Research,2019年12月。
  9. 与互联网隐私有关的国家法律,20020年1月27日,全国国家立法机构会议。
下载