需要避免的5個(gè)數(shù)據(jù)隱私錯(cuò)誤
即使是最謹(jǐn)慎的企業(yè)也會(huì)忽略一些隱私問(wèn)題。以下是企業(yè)都不應(yīng)犯的五個(gè)隱私錯(cuò)誤。
(1)只偶爾解決隱私問(wèn)題
未能執(zhí)行持續(xù)的隱私管理活動(dòng)是企業(yè)最常見(jiàn)的錯(cuò)誤。一名行業(yè)專家表示,他曾幫助過(guò)數(shù)百家不同規(guī)模的企業(yè)開(kāi)展隱私管理活動(dòng),他從企業(yè)高管那里聽(tīng)到的最常見(jiàn)的說(shuō)法是:“我們進(jìn)行了風(fēng)險(xiǎn)評(píng)估,制定了政策和程序,提供了新員工培訓(xùn),并在第三方合同中使用隱私條款。我們已經(jīng)履行了隱私義務(wù),因此不需要在隱私方面花費(fèi)更多時(shí)間或費(fèi)用。”
企業(yè)高管這種態(tài)度導(dǎo)致隱私不足和安全控制薄弱,并隨著業(yè)務(wù)變化而產(chǎn)生漏洞。隨后的風(fēng)險(xiǎn)可能會(huì)被利用,導(dǎo)致安全事件、隱私泄露、負(fù)面新聞、失去信任、客戶不滿,并且通常會(huì)引發(fā)訴訟。審計(jì)師和監(jiān)管機(jī)構(gòu)將識(shí)別這些漏洞,可能導(dǎo)致嚴(yán)重的違規(guī)罰款和處罰。
ISACA 2022年隱私實(shí)踐調(diào)查支持這一趨勢(shì),報(bào)告稱,只有一半的受訪者進(jìn)行持續(xù)的風(fēng)險(xiǎn)管理,并監(jiān)督合規(guī)性和執(zhí)行情況。只有33%的受訪者消除了新技術(shù)的風(fēng)險(xiǎn)。
(2)相信數(shù)據(jù)保護(hù)法僅適用于其所在地
這是一種常見(jiàn)的誤解,也是很多律師都認(rèn)同的觀點(diǎn)——ISACA實(shí)踐中的隱私調(diào)查報(bào)告表明,50%的受訪者在理解他們必須遵守的法律和法規(guī)方面存在技能差距。
根據(jù)僅適用于業(yè)務(wù)運(yùn)營(yíng)的所在地區(qū)的法律行事是錯(cuò)誤的??赡艽嬖谶m用于企業(yè)所在地以外的隱私法規(guī)/合規(guī)問(wèn)題——例如,總部位于紐約的企業(yè)可能在歐洲有客戶,而一些歐洲數(shù)據(jù)隱私法規(guī)可能適用于美國(guó)法規(guī)管理范圍以??外的地方。
這是違反隱私法規(guī)的一個(gè)重大問(wèn)題。例如,美國(guó)很多企業(yè)僅遵循其所在州或領(lǐng)地的要求。美國(guó)至少54個(gè)州和領(lǐng)地有自己的相關(guān)法律,因此這種想法可能會(huì)付出高昂的代價(jià)。
隱私管理計(jì)劃應(yīng)該適用于相關(guān)個(gè)人的所有適用法律和法規(guī),并匯總所有要求,以便除了滿足特定法律的獨(dú)特要求之外,還可以遵循一套程序來(lái)解決共同的要求。
許多企業(yè)也過(guò)于自信,認(rèn)為他們不會(huì)遭遇隱私泄露事件,這使得他們無(wú)法在確實(shí)發(fā)生泄露時(shí)做出有效、高效和全面的回應(yīng)。
(3)相信遵守一項(xiàng)主要法規(guī)就等于遵守所有其他法規(guī)
遵守一項(xiàng)主要法規(guī)有時(shí)會(huì)滿足其他法律的許多要求。但是也存在差異,包括必須滿足的特定法律的獨(dú)特要求。
例如,一家總部位于加利福尼亞州并在歐盟開(kāi)設(shè)辦事處的金融機(jī)構(gòu)認(rèn)為,美國(guó)CCPR法規(guī)與歐洲GDPR法規(guī)具有相同的要求。因此,他們?cè)跉W盟新的地點(diǎn)沒(méi)有采取額外的合規(guī)措施。
考慮到GDPR法規(guī)要求企業(yè)至少有六個(gè)可接受的法律依據(jù)之一來(lái)處理個(gè)人(又名數(shù)據(jù)主體)的數(shù)據(jù)。但是,CCPA法規(guī)通常不要求處理個(gè)人信息的法律依據(jù),并且還有其他一些差異。
假設(shè)CCPR合規(guī)性滿足所有GDPR要求是錯(cuò)誤的。這種錯(cuò)誤的想法可能會(huì)導(dǎo)致企業(yè)遭遇巨額罰款、處罰和訴訟。
所有企業(yè)都應(yīng)該明白,雖然法律法規(guī)有許多類似的要求,但通常還需要滿足額外的要求。
(4)不遵守企業(yè)自身的隱私聲明
從事隱私影響評(píng)估將近20年的一名行業(yè)專家表示,在每個(gè)隱私影響評(píng)估開(kāi)始時(shí),他將關(guān)鍵利益相關(guān)者聚集在一起進(jìn)行討論。在描述隱私影響評(píng)估目標(biāo)時(shí),他會(huì)問(wèn)利益相關(guān)者(通常包括企業(yè)高管):有多少人閱讀過(guò)自己網(wǎng)站上發(fā)布的隱私聲明?而一般只有5%~10%的人表示閱讀過(guò)。然后他問(wèn)這些人:有多少人確保有隱私聲明規(guī)定的義務(wù)的領(lǐng)域采取行動(dòng)履行這些義務(wù)?這些人其實(shí)都沒(méi)有采取行動(dòng)。
如果一家企業(yè)的業(yè)務(wù)負(fù)責(zé)人甚至不知道隱私聲明中的承諾,他們管理的員工將不會(huì)執(zhí)行必要的措施來(lái)履行這些承諾。根據(jù)美國(guó)《聯(lián)邦貿(mào)易委員會(huì)法》法案第5條,一些企業(yè)由于不遵守隱私通知而受到處罰。例如,MyLife公司及其首席執(zhí)行官在2021年12月因欺詐行為和違反隱私聲明而面臨3390萬(wàn)美元的罰款。
(5)沒(méi)有提供有效和定期的隱私培訓(xùn)
大多數(shù)企業(yè)沒(méi)有提供足夠有效的安全和隱私教育,而且當(dāng)他們這樣做時(shí),很少會(huì)導(dǎo)致員工以更安全的隱私保護(hù)方式工作。
例如,基于游戲化的培訓(xùn)很有趣,但它通常不針對(duì)具體的工作活動(dòng)。除了一般的隱私培訓(xùn)外,還應(yīng)提供更頻繁的培訓(xùn),其內(nèi)容涵蓋員工工作活動(dòng)的各種特定主題。各種培訓(xùn)應(yīng)該有提醒員工以支持隱私和保護(hù)個(gè)人數(shù)據(jù)安全的方式開(kāi)展工作。
ISACA隱私實(shí)踐2022調(diào)查顯示,只有13%的人提供季度的安全培訓(xùn),13%的人不知道是否提供了培訓(xùn)或表示沒(méi)有進(jìn)行培訓(xùn)。
企業(yè)應(yīng)該提供有效的持續(xù)教育和培訓(xùn),解釋如何執(zhí)行支持隱私和保護(hù)數(shù)據(jù)的工作活動(dòng),否則將發(fā)生違規(guī)事件。在沒(méi)有意識(shí)到違規(guī)的情況下,企業(yè)甚至可能在對(duì)他們提起訴訟之前都不知道發(fā)生了違規(guī)行為。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。