初创企业准备《加利福尼亚消费者隐私法》(CCPA)的指南

 
微软本周宣布，它将为美国所有客户实施即将颁布的《加利福尼亚消费者隐私法案》(CCPA)。
这是一个大问题。
CCPA有时被称为“ GDPR精简版”，这意味着它是欧盟《通用数据保护法》的简化版本。
CCPA非常重要，因为它代表了美国第一个真正的，全面的隐私立法，并且因为CCPA适用于所有加利福尼亚居民，因此任何处理加利福尼亚居民数据的公司都将受其管辖。最后，由于这既是首个全面的隐私法规，也是加利福尼亚州的法规，因此CCPA很有可能在将来成为其他州隐私法规以及任何美国联邦隐私法规的基础。
由于这些原因，自CCPA于2020年1月1日生效以来，人们必须了解CCPA并立即开始计划并采取行动。这一点很重要。特别是技术初创企业应该意识到这一点，因为它们中的许多人都与客户打交道。数据(几乎肯定会影响到加利福尼亚州的居民)，但通常没有隐私专业人员或工作人员专家。
众所周知，对法律的无知不是借口。您可能不了解CCPA，但您可能会受制于此。
为了帮助您开始了解CCPA所需要做的事情，这里有四个提示。
阅读CCPA
没有人喜欢阅读法文。拥有隐私权政策的客户都是如此。关于隐私法规，这可能对您来说确实如此。但是，即使不是最重要的隐私权立法，CCPA也是美国最重要的法律之一。根本无法代替自己亲自阅读CCPA。阅读它可以帮助您更好地理解和评估您在CCPA上所做的任何次要阅读。
CCPA的全文可在此处找到。
阅读时，您会发现CCPAA涵盖了法案开头所概述的以下关键领域：
加利福尼亚人有权知道正在收集有关他们的哪些个人信息。
加利福尼亚人有权知道他们的个人信息是出售还是向他人披露。
加利福尼亚人有权拒绝出售个人信息。
加利福尼亚人访问其个人信息的权利。
加利福尼亚人享有平等服务和价格的权利，即使他们行使其隐私权也是如此。
此外，该法案还规定了加利福尼亚人在数据丢失或被盗的情况下寻求损害赔偿的权利。再次报价：
任何未加密或未编辑个人信息的消费者……由于企业违反履行和维护与信息性质相适应的合理安全程序和惯例的义务而遭受未经授权的访问和渗透，盗窃或披露。保护个人信息可能会提起民事诉讼[。]。
简而言之，这意味着，如果您是加利福尼亚州公民数据的托管人，并且遭受数据泄露或丢失，则丢失数据的加利福尼亚人有权对您的公司采取民事诉讼。
这代表了第一个真正的类似于GDPR的数据丢失或盗窃处罚。仅此一点就足以使理解此行为对于拥有数据的任何人都至关重要。
了解您要收集和保留的数据
听起来似乎很明显，但是现实是，许多公司实际上并不完全了解他们收集和保留的数据。
听起来似乎很明显，但是现实是，许多公司实际上并不完全了解他们收集和保留的数据。这个事实最近在《硅谷》第6季的第一集中得到了证明，当时皮德·派珀(Pied Piper)的首席执行官理查德(Richard)在向国会作证后得知他的公司没有收集实际上是他们收集的数据(并且其中有很多)。
在专注于建筑和业务增长的初创企业中，尤其如此。隐私享有降低业务速度的声誉，因此许多大小公司都没有参与系统检查其收集和保留的数据，如何存储以及存储多长时间的程序。
这意味着为CCPA做准备的绝对第一步就是要知道您要收集和保留哪些数据。即使是掌握数据收集和保留做法的公司也应利用此机会进行审查和刷新：事情发展很快，而您在数据收集和保留方面所掌握的信息可能已经过时。
让公司中的其他人阅读CCPA并开始计划他们将如何遵守
当您知道要收集和保留哪些数据时，请公司中的其他人员阅读CCPA并开始计划它们将如何遵守。这不是一个显而易见的步骤：毕竟，CCPA是隐私立法，人们倾向于认为这些事情可以并且应该仅由隐私专家和律师来准备。
虽然这是可以理解的，但这并不是解决此问题的正确方法。了解涉及数据的隐私要求和法规是每个接触数据的人都应该了解的内容。这有助于灌输一种将隐私知识贯穿始终的文化。它也为企业常常无法获得其所拥有的所有数据及其存储位置的完整而完整的视图这一事实提供了一种防范措施。
例如，如果营销人员错误地将客户潜在客户信息电子表格发送到错误的电子邮件地址，则可能会受到CCPA处罚，被视为数据丢失。您的高管，律师和隐私官可能不知道发生了这种情况。但是，如果该人的经理接受了CCPA的教育，他们可能会认识到错误带来的风险，并会采取积极的行动来帮助防止更严重的后果。
微软总裁布拉德·史密斯(Brad Smith)在2019年GeekWire峰会上发表演讲。 (GeekWire照片/ Dan DeLong)
微软最近宣布，他们计划在全公司范围内实施CCPA，以便它管辖所有美国客户。
这与我们看到的Microsoft根据其他国际法规围绕隐私所做的事情是一致的。以及其总裁布拉德·史密斯(Brad Smith)在其评论和他最近的著作《工具与武器》中概述的愿景。
在他的书中，当史密斯(Smith)写下微软为遵守GDPR所做的事情时，他描述了公司范围内的全面流程，以了解公司收集和保留的数据。他谈到了该过程最终对Microsoft有何好处，因为它帮助他们更好地了解和控制了数据收集和保留。
该评论大声谈论了以广泛和压缩的方式对待GDPR或CCPA的合规性的商业利益，而不是试图创建一个单打独斗的系统来仅仅遵守法律的细节。
除了这些好处之外，在Microsoft的领导下并为所有美国客户实施CCPA还有一个额外好处：如前所述，由于这是美国第一部全面的隐私立法，因此其他立法也很可能会对此加以借鉴。如果您今天花时间为所有美国客户实施CCPA，那么您将很容易遵守其他州的未来隐私法规。最重要的是，已经有关于CCPA密切关注的最终联邦隐私立法的可能性的讨论。再说一次，如果您现在进行这项工作，您将可以节省自己和您的公司将来的工作。
结论
对于企业，尤其是初创企业而言，隐私似乎是一个黑暗而可怕的领域。它的声誉非常合法，因此只有隐私专业人士和律师才能浏览。
现实情况是，包括初创公司在内的大多数技术公司都在大量处理用户数据。随着CCPA于2020年1月上线，处理加利福尼亚人数据的任何人都将无一例外地受到该法律的约束。
幸运的是，法律的原理并不是那么神秘，而且法律本身可以很快地被阅读。您可以按照我在此处概述的四个步骤开始为CCPA做准备。而且，如果您将此计划作为面向所有美国客户的综合项目，您将可以很好地应对未来几年中制定的其他隐私法规。