跳转到主要内容

本月早些时候,美国数据隐私和保护法(ADPPA)的两党法案草案发布时,关于新的数据隐私要求将对美国内外企业产生的影响的猜测比比皆是。

最重要的变化之一是,“受保护实体”-在法案中被广泛称为受《联邦贸易委员会法》约束的任何实体-需要尽量减少“受保护数据”的收集、处理和传输。“ADPPA将覆盖数据定义为“识别、链接或合理链接到个人或设备的信息,该设备识别、链接或者合理链接到一个或多个个人,包括衍生数据和唯一标识符。”

“ADPPA如果颁布,将是一个相当大的问题-它将是个人隐私权和企业如何在世界上最大的数字生态系统中合作的迫切需要的一步,”认证信息系统安全专业人士(CISSP)兼integrate.ai安全和隐私主管维克托·普拉特(Victor Platt)说。

然而,ADPPA可能会引起重大的数据保护责任,因为覆盖数据的定义是广泛的,而且有很多数据可能链接到个人或设备。

正如普拉特解释的那样,“它对覆盖数据进行了广泛的定义,并对同意、目的限制和选择退出设置了较高的门槛;高级别、高深莫测的隐私政策将不再足够;而你认为今天不属于个人可识别信息(PII)的东西,如唯一ID,将在未来出现。”

此外,普拉特还指出,企业将有义务证明他们如何最大限度地减少收集的数据,如何保护数据,并确保向第三方传输涵盖的数据受到拒绝和强化要求的约束。

ADPPA如何保护个人数据

ADPPA还将授予个人对其数据的新数据隐私权。

例如,“该法案将为美国各地的个人提供更正、删除、访问和移植个人数据的广泛权利,”莫里森·福斯特(Morrison Foerster)合伙人兼该公司全球风险和危机管理小组联席主席亚历克斯·伊夫蒂米(Alex Iftime)说,同时,该法案还将赋予个人对侵权行为提起民事诉讼的权利

Iftime说:“该法案有争议的一个方面是,它为美国居民提供了针对违规实体的私人诉讼权利,这将允许私人当事人通过民事诉讼来执行法律规定。”。

更广泛地说,联邦贸易委员会(FTC)还将负责对违规组织实施处罚。当考虑到这项法律有多宽泛时,至少在目前的草案中,联邦贸易委员会将有很多机会对什么构成违反和什么不构成违反做出判断。

企业如何准备

虽然ADPPA仍然只是一项法案,需要两党达成一致才能通过,但企业必须考虑需要什么样的控制来履行这些潜在的数据保护义务。

在新的要求中,企业需要知道有多少数据与收集的个人数据成比例,并确保他们有一个最小化数据收集的过程,以便将其限制在合理必要的范围内。

类似地,组织还需要准备停用目标广告并为儿童或未成年人提供更大的数据保护支持,以确保他们的数据得到保护。

目前,企业将不得不观望,正如伊夫蒂米指出的那样,可能需要相当长的时间才能做出决定,尤其是在国会8月大部分时间都处于休会状态,而中期选举将于秋季开始的情况下。

本文:https://cioctocdo.com/what-american-data-privacy-and-protection-act-adp…

文章链接