Kaliforniese reguleerder pas en verhelder privaatheidsreëls
INHOUDSOPGAWE:
Desember was 'n mylpaalmaand vir Kalifornië se data-privaatheidswaghond, aangesien dit 'n stel voorgestelde regulatoriese hersienings na die openbare kommentaarstadium verskuif het. Die hersienings bevestig sommige van die denke wat Kalifornië die afgelope paar jaar een van die pioniers in streeksprivaatheidswetgewing gemaak het. En hulle bied 'n mate van broodnodige duidelikheid vir besighede wat in die staat werksaam is.
'n Kort geskiedenis van Kaliforniese privaatheidsregulasies
Die storie van hierdie wysigings begin in November 2020 met kiesersgoedkeuring van Proposition 24, 'n stembriefinisiatief wat die California Privacy Rights Act (CPRA) opgelewer het. Hierdie wet het die 2018 California Consumer Privacy Act (CCPA) gewysig.
Die CCPA het verbruikersprivaatheidsbeskerming ingestel – insluitend die reg om te weet watter persoonlike inligting 'n besigheid oor hulle insamel en om die verwydering daarvan te versoek, en die reg om die verkoop van hul inligting te weier. Die CPRA het meer beskerming bygevoeg, insluitend die reg om die gebruik van persoonlike inligting te beperk en om onakkurate rekords reg te stel. Dit het ook die CCPA se “moenie verkoop nie”-mandaat oor verbruikersdata uitgebrei om die deel van data te dek. Ten slotte het Prop 24 die California Privacy Protection Agency (CPPA) geskep.
Dit was 'n aparte owerheid met toesig oor die administrasie en afdwinging van die CCPA; 'n pos wat voorheen uitsluitlik deur die kantoor van die prokureur-generaal behartig is.
In Julie 2022 het die CCPA reëls begin maak om daardie CPRA-regulasies aan te neem, wat die CCPA en CPRA harmoniseer. Dit het die hersiene regulasies daardie November ingestel. Hulle is op 29 Maart deur die Kantoor vir Administratiewe Reg goedgekeur, maar is onmiddellik deur die Kamer van Koophandel in die hof betwis. Dit het aangevoer dat finale regulasies veronderstel was om teen 1 Julie 2022 ooreengekom te wees, met afdwinging nie vroeër as 'n jaar na hierdie punt nie, en het die hof gevra om die regulasies tot 'n jaar na hul goedkeuring te laat staan (29 Maart 2024).
Die CCPA het nie op sy hande gesit terwyl dit wag vir die bevel om te verval nie. Op 1 Desember het dit 'n paar nuwe voorgestelde wysigings aan die CCPA-regulasies ingestel. Dit is hierdie stel voorstelle wat dit by a raadsvergadering op 8 Desember (agenda-item drie) en het dan na die volgende fase gewys terwyl dit die amptelike reëlmaakproses betree.
Pak die jongste voorgestelde hersienings uit
Die jongste voorgestelde hersienings is meestal onkontroversieel, verduidelik Cobun Zweifel-Keegan, DC besturende direkteur van die International Association of Privacy Professionals (IAPP).
"Die meeste hiervan is nie kreatiewe afwykings deur die agentskap nie," sê hy aan ISMS.online. "Ek dink hulle is meestal bedoel om standaarde te verduidelik en op te dateer om dinge te maak in ooreenstemming met die veranderinge wat die wetgewer gemaak het."
Daar word verwag dat die reëls duidelikheid sou help met die toepassing van beide die CCPA en die CPRA, gaan hy voort.
"Die nuwe wet bemagtig die CPPA baie uitdruklik om sekere standaarde te verduidelik wat nie spesifiek in die wet self gestel word nie," voeg Zweifel-Keegan by.
Odia Kagan, vennoot by die regsfirma Fox Rothschild LLP, noem die voorgestelde hersienings die "nuwe, nuwe regs." Hulle verduidelik punte waaroor daar nie 'n algemene konsensus was nie, en fokus op nuanses op gebiede soos verbruikerstoestemming.
"Daar is nuwe voorbeelde van wat nie toestemming uitmaak nie," vertel sy aan ISMS.online.
Die hersienings sê byvoorbeeld uitdruklik dat die sluiting van 'n opspringvenster wat toestemming vra om data te versamel en te gebruik eerder as om uitdruklik 'n "ja"-knoppie te klik, nie toestemming aandui nie. Dit waarsku ook oor misleidende tegnieke soos om afteltellers langs toestemmingskeuses te plaas om gebruikers paniekerig te maak.
Plain Speaking, asseblief
Opvallend is ook 'n fokus op duidelike taal. Die voorgestelde hersienings vereis eenvoudige taal wat besighede waarsku om die kategorieë van bronne waaruit data ingesamel word, te beskryf, saam met derde partye waarmee dit gedeel kan word. Soos die CCPA in sy verduideliking van die voorgestelde wysigings uiteensit, benodig verbruikers 'n "betekenisvolle begrip" van waar maatskappye hul persoonlike data bekom.
Verstellings soos hierdie sal help om die CCPA meer verbruikersvriendelik te maak, verduidelik Kagan.
"As jy sê, 'ons versamel jou beskermde klassifikasies', verstaan niemand wat dit is nie," sê sy.
Verdedig die reg om te skrap
Miskien raak een van die mees betekenisvolle voorgestelde hersiening die reg om inligting te skrap. Dit vereis dat beide besighede en hul diensverskaffers en kontrakteurs moet verseker dat inligting uitgevee bly.
“Dit is interessant, want die goed wat jy van datamakelaars kry, is nou onder die vergrootglas – veral omdat die FTC sopas twee besluite uitgereik het oor datamakelaars en die inligting wat jy van hulle kry,” sê Kagan.
Hierdie besluite, wat albei in Januarie uitgereik is ná die CPPA se voorgestelde reëlhersiening, het betrekking gehad op presiese liggingdata wat verkoop is deur X-modus Sosiaal en InMarket Media.
Hou tred met tegniese innovasie
Daar is baie ander verhelderende hersienings in die CPPA se voorstelle, waarvan sommige vreemd spesifiek lyk. ’n Mens waarsku byvoorbeeld dat besighede wat data in die uitgebreide of virtuele realiteit (AR/VR) versamel, die verbruiker moet waarsku voordat hulle die AR/VR-omgewing betree. Dit is weer ingestel, nadat dit voorheen weggelaat is om implementering te vereenvoudig. Dit is egter nie verbasend nie, aangesien die agentskap se rol deels is om regulasies te skep wat privaatheidswette relevant hou in 'n vinnig ontwikkelende tegnologielandskap wat sulke innovasies insluit.
Hierdie behoefte om tred te hou met tegnologie-ontwikkeling is veral van toepassing op 'n ander deurlopende reëlmaakproses wat gefokus is op outomatiese besluitneming, wat 'n aparte stel regulasies van die CPPA sal sien.
"Daar is meer duidelikheid nodig in daardie situasies soos outomatiese besluitnemingstegnologie," sê Zweifel-Keegan. "Dit is eintlik net een klein reël in die statuut, maar kan hierdie hele reeks reëls van meer as een bladsy word wat help om te verduidelik watter vereistes in plek is."
Die CPPA werk ook aan nog twee stelle reëls in risikobepaling en kuberveiligheid. Soos dit Desember se “nuwe nuwe” regulasies van die spitballing-stadium na amptelike reëlmaakgebied stoot. Dit het nog baie werk om te doen – en diegene wat sake doen in Kalifornië moet fyn dophou wat dit doen.
Wat kan besighede doen terwyl hulle hierdie voortdurende veranderinge dop? In tye van onsekerheid, kyk na goed gevestigde beste praktyke wat jou naby – of heeltemal – sal bring aan waar jy sal moet wees wanneer die reëlmaakproses verby is.
Standaarde soos ISO 27001 vir sekuriteitsbestuur, en die uitbreiding daarvan ISO 27701 (wat die grondslag lê vir effektiewe privaatheidsinligtingbestuurstelsels) is soliede fondamente vir voldoening. Hulle sal besighede voorberei om aan ontluikende standaarde te voldoen vir die bestuur en beskerming van verbruikersdata soos dit voorkom.
