文章分类
2023年将是隐私世界又一个多事之秋。以下是需要关注的五个里程碑
隐私领域从来没有无聊的时刻。隐私专业人士面临的挑战是动态的,在这个时间点上是独一无二的。随着监管格局在全球范围内的影响力和影响力的扩大,它们的复杂性也将继续增加。
三种趋势总结了当今隐私和数据治理变革的最重要驱动因素:
日益增加的监管复杂性
从新的法律和不断变化的框架,到更新的标准和指导,隐私专业人士面临着跟上快速结构变化步伐的巨大挑战。团队可以抓住机会主动运作,而不是恢复到被动模式。有大量有据可查的最佳实践支持这种方法。
不断发展的数据和技术环境
随着新技术和数据使用方法的不断涌现,业务团队有时会将合规性视为创新的障碍。但坚实的战略支持两者。通过设计嵌入隐私将使团队能够在遵守法规的同时保持业务绩效的前沿。
利益相关者意识的提高
投资者、客户、员工和其他关键利益相关者正在密切关注商业实践、道德和治理。因此,当涉及到底线时,透明度和同意具有重要意义。获得消费者信任的机会将是未来几年的战略差异。
这些趋势对成熟的隐私计划意味着什么?
基于这些趋势,很明显,隐私正在超越法规遵从性,进入集成数据治理和可信数据使用的新时代。
此外,隐私在董事会和外部利益相关者中的知名度越来越高。这为隐私团队讲述一个引人注目的故事打开了大门:一个在整个组织中更深入地整合隐私工作以实现互利目标的故事。
OneTrust的监管专家团队密切关注全球隐私形势,以解读当前趋势和即将到来的里程碑对成熟的隐私计划意味着什么。以下指南概述了主要的全球监管更新以及您的组织应如何做好准备。
2023年启动的主要里程碑
2023年将有五项重要活动,您应该对此进行规划:
- 《加利福尼亚州隐私权法案》(CPRA)和其他美国主要立法即将生效
- 中国新隐私条例
- 从第三方cookie过渡
- 对跨境数据传输提出更严格的要求
- 欧盟发布新指令
1.CPRA和其他生效的美国主要立法
CPRA将于2023年1月1日生效。当你准备加强现有的《加州消费者隐私法》(CCPA)合规计划,以应对《加州消费者权益法》中更严格的修正案时,请记住,雇主现在对员工负有额外的义务。其中包括整改权、可移植性以及限制使用和披露敏感个人信息的权利。
2021年,弗吉尼亚州的《消费者数据保护法》和《科罗拉多州隐私法》成为法律。每个组织都要求符合条件的组织提供一个普遍的选择退出程序。弗吉尼亚州和科罗拉多州的技术指导将于2023年发布。犹他州和康涅狄格州现在紧随其后,制定了自己的全面数据法。
与此同时,受CDPA和/或CPA约束的组织,如果还没有提供一个通用的选择退出系统,将需要计划实施一个。通常,这涉及到对您收集和处理的数据进行结构级别的评估。这将需要对个人数据的存储方式和位置进行更严格的监督。
2.中国新的隐私法规
中国的《个人信息保护法》于2021年11月生效,并在全球各行业引发连锁反应。
在某些方面,它与《通用数据保护条例》(GDPR)和其他全球隐私立法密切一致。例如,数据主体有访问权、撤回权和删除权。
但在其他情况下,情况大不相同。中国网络空间管理局(CAC)将监督PIPL的合规性。作为一个以国家为基础的机构,这偏离了有权行使合规监督的独立运作机构的全球规范。
PIPL的另一个重要影响是要求组织将从中国受试者收集的数据存储在中国境内。在中国境外处理这些数据还需要国家安全机构的审查和批准。
目前还不清楚适用性的确切术语是什么。但可以合理地假设,许多中大型实体将需要遵守PIPL。
此外,随着其他邻国起草自己的隐私法,PIPL可能会对亚洲部分地区的未来监管产生重大影响。随着CAC发布最新的PIPL指南并了解其对其他新兴立法的影响,保持知情至关重要。
3.从第三方cookie过渡
到2023年底,第三方cookie将不再可用。虽然这代表着与当今定向广告和个性化实践的重大背离,但它也为企业和营销人员开辟了新的机会。
追踪第一方数据使您能够摆脱第三方cookie,但所需的升级时间必须从现在开始。由于您将要求用户直接向您提供他们的数据,因此您必须提供令人信服的优惠作为交换。
强有力的第一方数据战略始于建立信任,并因此产生更高质量的数据。
4.对跨境数据传输提出更严格的要求
2020年7月,Schrems II的决定为企业如何进行跨境数据传输提供了新的线索。
欧盟法院认定欧盟-美国隐私保护框架不充分。问题在于其他国家的法律,以及它们是否可能凌驾于数据来源国的法律之上。
在这种情况下,该案例涉及欧盟和美国之间的数据传输,但其影响是全球性的。
欧洲数据保护委员会(EDPB)发布了明确下一步行动的最终指导意见。许多组织将不得不重新评估其处理国际数据传输的程序。根据这一新指南,有疑问的人应该进行转移影响评估(TIA),以确保他们在2023年初走上最新的合规道路。
5.欧盟发布的新指令
《欧盟数据治理法》将促进与公共部门的数据访问和共享,以造福公共利益。这将增加另一层复杂性,因为组织试图了解他们的数据,以及如何促进合规的数据传输。
此外,《欧盟数据法》将通过提供对设备生成数据的轻松访问,提高数据主体的透明度。此外,该法案为公共部门提供了更多有用的私营部门数据,特别是在发生自然灾害或紧急情况时。
最后,《欧盟人工智能法案》目前正处于提案阶段。这项立法将按三种风险类别对人工智能应用进行分类:
- 不可接受的风险,例如政府使用的社会评分应用程序。根据《大赦国际法》,这些行为将被禁止。
- 高风险,例如评估申请人的简历扫描工具。《人工智能法》将对这些进行严格监管。
- 《人工智能法案》没有明确解决的所有其他问题。
智能电视、可穿戴设备和人工智能语音助理等联网产品的制造商必须注意他们将负责的设备数据收集和处理方面即将出台的要求。
DGA和欧盟数据法案的最后阶段仍在进行中。与此同时,各组织仍然可以采取步骤做好准备。
这些新指令指出,为数据编目和数据映射维护单一真相来源的重要性日益增加。一旦这些新义务全面生效,将您的业务朝着这个战略方向发展将带来回报。
- 登录 发表评论