Data-minimalisering het pas werklik geword met die CCPA se eerste afdwingingsadvies
INHOUDSOPGAWE:
Daar is 'n klousule in die California Consumer Protection Act (CCPA) oor data-minimalisering wat die Rolling Stones kon geskryf het. Dit sê dat jy as 'n besigheid nie altyd die data kan kry wat jy wil hê nie, maar jy kry wat jy nodig het. Dataminimalisering beteken om net genoeg data vir die nodige doel in te samel, en nie meer nie. As 'n uiterste voorbeeld, as jy vir iemand 'n elektroniese nuusbrief wil stuur, sal jy toegelaat word om hul e-posadres te vra, maar nie vir 'n geskandeerde afskrif van hul bestuurslisensie nie.
Ses jaar nadat die wet opgelê het om data te minimaliseer, het Kalifornië se privaatheidsbeskermingsagentskap (CPPA) 'n afdwingingsadvies verduidelik hoe ernstig dit hierdie kwessie opneem.
Die CCPA stel verbruikers in staat om organisasies te vra vir toegang tot die data wat oor hulle gehou word, en om dit reg te stel of te skrap waar nodig. Die advies van 2 April berig dat baie organisasies te veel inligting gevra het wanneer hulle aan hierdie versoeke voldoen. Die boodskap is duidelik: sny dit uit.
Doen soos die Europeërs doen
Die CPPA se benadering hier weerspieël nou Europa s'n, volgens Odia Kagan, vennoot en voorsitter van die GDPR Compliance & International Privacy Practice by Fox Rothschild LLP.
"Die reël om nie die inligting wat jy kry in verband met versoeke vir enige ander doeleindes te gebruik nie en net te versamel wat jy nodig het, is presies dieselfde in Europa," sê sy aan ISMS.online. "Ons het leiding van die Europese Databeskermingsowerheid hieroor."
So hoekom pas maatskappye nie bloot data-minimalisering toe soos versoek wanneer hulle versoeke verwerk nie? Dit is nie 'n eenvoudige no-brainer nie, wys Kagan uit; dis 'n balans tussen gerief en veiligheid. Dit is veral belangrik wanneer versoeke verwerk word om toegang tot inligting te verkry en dit uit te vee.
"Uitvee en toegang is belangriker omdat jy inligting gee wat vir die persoon riskant kan wees as dit gekompromitteer word," sê sy.
Geografiese liggingdata is 'n goeie voorbeeld. As iemand die wettige eienaar van geoliggingdata naboots en toegang versoek, kan hulle sensitiewe inligting uitvind. Soos Kagan uitwys, kan dit insluit of hulle na 'n aborsiekliniek gegaan het - 'n besonder sensitiewe kwessie in die VSA vandag.
Versoeke om uitvee is ook riskant. "Wat as iemand versoek om gesinsfoto's uit te vee?" voeg sy by. Ry-by-foto-skrapings is dalk nie lewensgevaarlik nie, maar dit is steeds baie ontstellend – en moontlik wetlik skadelik vir die datahouer.
Nabootsing is 'n ware bedreiging
Nabootsing wanneer datatoegangversoeke gemaak word, is 'n werklike bedreiging, soos gedemonstreer deur die Universiteit van Oxford se navorser James Pavur in 2019. Met sy verloofde se toestemming het hy voorgegee om haar te wees wanneer versoeke vir datatoegang ingevolge die GDPR-regulasies ingedien word.
Byna 'n kwart van die 83 maatskappye wat hy gekontak het wat data besit het, het dit verskaf sonder om enigsins sy identiteit te verifieer, terwyl 16% 'n maklik vervalste tipe ID aangevra het. Hy het die uitslae van kriminele rekordkontroles ontvang, saam met reisrekords en skoolpunte.
Maatskappye moet hul due diligence doen, maar moenie te beperkend wees nie, verduidelik Kagan.
“Jy wil dit nie te moeilik maak om 'n versoek uit te voer nie en jy wil nie betrokke raak by data wat sensitief is nie,” wys sy daarop. Om te veel sensitiewe data in te samel om iemand se identiteit te verifieer, plaas hulle nie net op die risiko van regulatoriese optrede nie; dit waag ook meer aanspreeklikheid as daardie verifikasiedata later oortree word.
Hoe om die lyn te loop
So hoe kan maatskappye die streep haal sonder om daaroor te trap? Die toepassingsadvies verskaf twee voorbeelde van hoe maatskappye wat versoeke ontvang aan hierdie reëls kan voldoen.
Die eerste voorbeeld is 'n opt-out versoek om persoonlike inligting te verkoop. Dit is die maklikste een om te navigeer, want die verwerking van opt-out-aansoeke vereis glad nie identiteitsverifikasie onder die CCPA nie. Dit benodig net die inligting wat nodig is om na die kliënt te verwys, soos 'n e-posadres.
Die tweede voorbeeld behels dat iemand 'n maatskappy vra om hul persoonlike inligting uit te vee, wanneer hulle nie 'n rekening by die organisasie het nie. Hierdie besigheid moet wel die individu se identiteit verifieer.
Die mees basiese vrae word uiteengesit in 11 CCR § 7002(c)-(d) en is in wese dit:
- Is die inligting wat ons insamel meer as die minimum wat ons benodig?
- Wat is die potensiële negatiewe impak op individue van die insameling of verwerking van die inligting?
- Is daar voorsorgmaatreëls (soos enkripsie of outomatiseringskrap) wat verbruikers kan beskerm?
In die voorbeelde wat gegee word, waarsku die raadgewer besighede om hulself af te vra of hulle enige meer inligting moet insamel as wat hulle reeds van die verbruiker het. Die CCPA frons oor die algemeen wanneer meer inligting vir verifikasie versoek word, tensy dit absoluut noodsaaklik is, en sê vir besighede om dit uit te vee indien dit ingesamel word.
Tyd om voor te berei
Kagan maan haar kliënte om vir hierdie vrae voor te berei deur 'n risiko-ontleding te doen. Dit sluit in die assessering van die data wat die organisasie oor die individu het, tesame met die sensitiwiteit van daardie data. Hulle kan die toepaslike vlak van verifikasie bepaal, gegewe die aard van die versoek, en kan besluit of hulle data wat hulle reeds het kan gebruik om 'n persoon te staaf.
Maatskappye moet data-minimalisering ernstig opneem, sê sy, aangesien dit 'n sleutelkwessie in datahantering word. Die UK Information Commissioner's Office (ICO) het sy eie leiding, so ook verskeie Amerikaanse state. Die Amerikaanse Federale Handelskommissie het ook al hoe meer in die onderwerp belang gestel, met die prioritisering van data-minimalisering in sy geval teen alkoholafleweringsdiens Drizly, en na bewering fokus op die punt in sy komende reël vir kommersiële toesig en datasekuriteit.
Verskillende jurisdiksies het meestal dieselfde vereiste: dat data wat ingesamel word, nodig is vir die beoogde doel.
"Die feit dat dit algemeen en eenvoudig is, beteken nie dat dit maklik is nie," sluit Kagan af. “Dit is glad nie maklik om te implementeer nie. Maar die standaard is tans redelik algemeen.”
