定义合规性:2019 年全球数据隐私和安全的发展方向

已发表: 2019-01-31

由于欧盟的通用数据保护条例(GDPR) 于 2018 年 5 月生效,去年春天对于营销人员、IT 专业人士和律师来说都有些忙碌。正如我们所知,这项变革性立法动摇了数据隐私和安全性它——不仅在欧盟,而且在世界各地——通过让公司对其处理客户数据的方式负责,并再次强调个人控制自己信息的权利。

从那以后的几个月里,我们听到了一个又一个案例, Facebook谷歌等科技巨头因未能充分披露他们如何使用个人数据和其他合规失误而面临罚款和其他法律诉讼。 此外,GDPR 已经开始围绕数据隐私和安全展开一波对话和增量行动,这表明这一关键领域的基础还远未定论。

随着 2019 年的到来,全球大大小小的品牌面临的一大问题是:新的一年对全球数据隐私和安全有何影响? 虽然我们在 Braze 没有一个正常工作的水晶球,但我们有下一个最好的东西——我们的法律高级副总裁、总法律顾问兼公司秘书 Susan Wiseman 和副总法律顾问兼高级总监 (EMEA) Marjorie Armitage,近年来,他们一直站在这个不断发展的空间的前线。 请继续阅读以了解他们对来年的预测:

1) 对消费者隐私权的重视将蔓延到欧盟以外

许多法律人士会告诉您,就其核心法律概念而言,GDPR 并不是特别新颖。 该法规通常含糊不清,而且是有意为之的——这是其起草者努力使立法在技术发展时保持灵活性和相关性的一部分。 (毕竟,GDPR 取代的欧盟立法,即数据保护指令,已经实施了 23 年,可以追溯到智能手机在史蒂夫乔布斯眼中只是一闪而过的时候。)让 GDPR 脱颖而出的是方式它致力于保护欧盟国家的公民。 通过将数据隐私和安全描绘为某种基本人权,该立法在确保其他国家处理欧盟公民个人数据的组织认真对待这些问题和合规性方面做了很多工作。

事实上,欧盟和世界上许多其他国家都有严格的法律来保护个人数据。 欧盟允许公司将个人数据从欧盟转移到具有同样严格法律的其他国家。 欧盟将这些国家称为“适当的”司法管辖区。 但是,例如,如果您是一家总部位于美国的媒体公司(该国家目前不被欧盟标准认可),您仍然可以处理来自欧盟客户的个人数据,只要您有与您的客户达成一致,您将以超出美国法律要求的方式保护个人数据。 您可以通过对隐私盾进行自我认证,或与您的客户签署示范条款来做到这一点。 隐私保护和示范条款均用于验证向美国传输个人数据; 在没有欧盟认可的方法的情况下这样做将违反欧盟法律。

这些类型的协议至关重要,因为一个国家很难实现充分性。 例如,由于美国还没有任何符合 GDPR 的全面国家法律,因此美国公司只有在与客户签署示范条款或自我认证的情况下才能处理欧盟的个人数据欧盟-美国隐私保护框架——这使得欧盟公司可以将欧盟公民的个人数据传输给美国公司(例如 Braze!)

2) 美国可能不会在 2019 年起草联邦数据隐私法——但州立法会加快步伐

虽然美国确实没有任何符合欧盟数据保护机构要求的国家法律,但在消费者数据隐私和安全方面,我们正在缓慢但肯定地开始看到各州的情况立法发挥作用。

去年,加州通过制定《加州消费者隐私法》成为美国第一个通过新数据隐私立法的州。 该法律在美国数据隐私要求方面具有开创性,保障消费者访问和删除数据的权利,并要求公司更新第三方数据处理合同,以确保以让人想起制定的控制者/处理者规则的方式遵守在 GDPR 中,在美国其他同类首创的要求中

当 GDPR 执法于 2018 年 5 月生效时,超过几家美国公司选择通过……处理来处理这一重大的新法规。 也就是说,一些在欧盟没有客户的组织选择不努力遵守 GDPR ,因为他们在欧盟没有客户; 与此同时,其他在欧盟确实有客户的公司选择将他们拒之门外,而不是试图遵守新法律。 加利福尼亚州(美国主要的科技和媒体中心)的一些品牌也落入了这条船——还记得《洛杉矶时报》在欧盟完全撤下他们的网站时,所有这些都是为了让他们不必遵守 GDPR 吗? 好吧,现在这些公司在 2020 年 1 月 1 日开始执行之前,还有不到一年的时间来遵守《加州消费者隐私法》。

总体而言,总部位于美国的公司——无论大小,无论是新成立的还是老牌公司——都非常有必要开始迈向客户数据隐私和安全权利是给定的现实。 虽然加利福尼亚州是 GDPR 之后第一个通过全新数据隐私立法的州,但我们看到路易斯安那州、阿拉巴马州、科罗拉多州和弗吉尼亚州等其他州正在采取措施加强有关数据隐私的现有法律。 (此外,佛蒙特州此前通过了一项新法律,加强了对数据经纪人的监管并制定了最低安全标准。)

虽然到目前为止还没有迹象表明美国联邦政府将在今年采取措施起草 GDPR 式的联邦法律,但各州不断扩大的拼凑以及围绕数据隐私的新的和加强的立法是企业的一个关键信号他们需要认真考虑他们目前如何处理数据。 如果他们不这样做,那么当一项新的全国性法律生效或各州法律的鼓点使他们无法在不彻底改革他们处理和管理消费者数据的方式的情况下在美国开展业务时,他们就有可能被弄得措手不及。

本届美国国会不太可能很快通过[全国隐私]法。 尽管如此,隐私显然在人们的脑海中。 即使在美国,人们对隐私权的关注和关注度也在增加,并且需要更好、更多的立法。 我认为,与其看到一部新的、全面的联邦隐私法,我们将看到许多州颁布类似于加州去年对 CCPA 所做的法律。

Susan Wiseman,Braze 法律高级副总裁、总法律顾问和公司秘书

3)设计隐私将成为新常态

“设计隐私”是指确保系统从一开始就旨在使用行业标准安全实践存储、保护、传输和处理个人数据,并遵循消费者对其个人数据的意愿。 但是,虽然这个概念已经存在了一段时间,但 GDPR 是第一个将其作为合规要求的一部分的法规。 尽管 GDPR 中设计隐私的参数有些模糊,但它确实确保合规公司在设计系统时考虑到数据安全。

确保您的公司符合“设计隐私”标准,在管理信息时需要深思熟虑和警惕。 您必须知道数据来自哪里,哪些个人和系统正在接触它,以及何时可以访问或使用数据。 如果您构建的数据管理系统和流程从一开始就集成了强大的数据隐私和安全概念,所有这一切都会变得容易得多。

GDPR 强调让消费者清楚地了解组织如何使用他们的数据(无需阅读大量法律文件),让他们能够随时简单地更改数据偏好,以及访问和访问数据的权利。随时要求删除他们的信息。 默认情况下的隐私也符合这个概念,这意味着如果客户没有更新他们的偏好,默认设置应该是最高级别的数据保护和控制。 正如营销人员所熟知的那样,这些限制有时会对客户体验产生负面影响——例如,如果拼车应用的用户不提供对其位置的访问权限,他们将获得非常令人沮丧的体验。 这意味着公司必须使用创意(和合规!)消息传递来让案例消费者决定允许这些公司使用他们的个人数据来支持更相关、更有影响力的体验具有真正的价值。

GDPR 在合规性方面有目的地被广泛使用,以使技术得以发展。 随着互联网的爆炸式增长,数据保护指令的某些方面在大约五年内就已经过时了,因此立法者非常谨慎地确保 GDPR 与技术无关。

Marjorie Armitage,Braze 副总法律顾问兼高级总监 (EMEA)

4) 公司将越来越多地寻求第三方验证

GDPR 固有的、有意的模糊性是立法的核心,而这种模糊性一直是许多希望遵守法律的公司的主要障碍。 但值得庆幸的是,同样的模糊性也让企业能够团结起来确定数据的合规处理方式,同时也为技术的发展和发展留出了空间。 由于证明您的公司在数据隐私方面确实在做您声称的事情是 GDPR 合规性的关键组成部分,因此第三方验证系统对品牌而言将变得越来越重要。

那看起来像什么? 好吧,在 Braze,我们专注于确保我们优先考虑数据隐私和安全性,这导致我们对我们的系统和流程进行第三方验证——最近,我们在2018 日历年。 ISO 认证确认组织已对安全风险进行了全面评估,并创建了符合 ISO 全球信息安全管理标准中规定要求的信息安全管理系统 (ISMS),确保接受企业达到行业标准安全协议。

这些标准由来自世界各地的利益相关者根据 ISO 的全球标准制定流程确定。 事实上,我们自己的 Marjorie Armitage 目前担任欧洲标准机构英国工作小组的代理联合主席,该小组致力于确定与 GDPR 合规性相关的行业隐私标准。 随着与新数据隐私法规相关的标准数量的增加,寻找此类标准的认证,成为希望向消费者和监管机构证明其合规性的公司的筹码。

问责制一直是数据保护的关键原则,但 GDPR 最终将其编入法律。 你需要能够证明你是合规的,并且你正在做你所说的一切。

Marjorie Armitage,Braze 副总法律顾问兼高级总监 (EMEA)

最后的想法

技术使公司能够比以往任何时候都更全面、更细致地了解客户及其行为——但使用支持这种理解的详细客户数据也可能给品牌及其用户带来风险。 有效利用数据的一部分是确保您拥有保护客户委托给您的信息所需的流程、工具和知识。

这就是我们所处的世界,随着技术的进步和消费者行为的转变,风险和回报只会变得更大。 要深入了解有关 GDPR、HIPAA 的关键考虑因素以及数据安全如何影响客户参与度的最新信息,请查看 Braze 安全综述