公众评论显示加利福尼亚州的数据隐私法存在挥之不去的问题

 
本月初，加利福尼亚州总检察长办公室(CAG)在四个城市举行了听证会，公众可以向立法者提供评论和反馈，这是《加利福尼亚消费者隐私法》(CCPA)制定规则的一部分。听证会吸引了来自各个行业的演讲者，他们的口头评论以及12月6日星期五之前发送给CAG办公室的其他书面评论，现在都可以在加利福尼亚州总检察长的CCPA页面上找到。
听证会引起了人们对新的数据隐私法的担忧，该法律将于1月1日生效，出现了四个核心问题。
1.关键CCPA术语没有明确定义
听证会上最突出的担忧是，CCPA的核心术语尚不清楚，这使公司很难完全自信地表示自己符合合规性。仅在旧金山的听证会上，发言者就说不清楚个人信息(PI)和服务提供商的定义，以及构成销售的含义。洛杉矶听证会上的发言者也发表了类似的评论，并补充说诸如“业务”，“合理的安全措施”和“安全”的个人信息传输等其他用语也不清楚。
普遍的看法是，CCPA的语言过于含糊或太宽泛且过于宽泛。结果，组织发现CCPA的关键部分难以实施。他们担心这些术语的含糊不清会导致重大的意想不到的后果。例如，有些人认为，PI和业务的广泛定义可能会将CCPA的范围扩展到AG可能无意监管的业务，例如为少于50,000个加利福尼亚客户提供服务但使用Cookie运行高流量网站的小型业务。
2.目前尚不清楚CCPA的范围如何影响其他行业特定的法规
一些评论员对CCPA的适用范围感到困惑，因为它适用于已经受到特定行业隐私法规约束的公司。在旧金山听证会上，代表旧金山信用合作社的一位发言者指出，《格拉姆-里奇-布莱利法案》(GLBA)和《加利福尼亚金融信息隐私法案》对PI的定义与CCPA不同。她指出，尽管CCPA明确规定了根据GLBA收集的PI的豁免，但法律之间PI的定义不一致导致对CCPA如何应用于信用合作社收集的数据有多种解释。类似的混乱可能围绕HIPAA等其他法规。在萨克拉曼多举行的听证会上，一位发言者要求澄清CCPA之下的去身份识别与HIPAA之下的去身份识别有何不同，以及CCPA应如何处理免于HIPAA的任何未识别身份的数据。
3.较小的组织在1月1日截止日期前将遇到麻烦
考虑到CCPA的广泛范围，中小企业对法律的适用范围和影响表示担忧也就不足为奇了。一些组织公开表示，他们很难在1月1日之前完成合规性检查。在旧金山的听证会上，两名发言人要求将合规性截止日期推迟到2022年，以确保其组织可以建立健全的合规性计划。
4.数据请求系统可能易于滥用
在洛杉矶和旧金山举行的听证会上，发言者也对请求系统的滥用可能性表示担忧。例如，他们说，如果要求公司认真对待未经验证的退出请求，则可能会招致不良行为者的大规模机器人攻击，无论是在线还是通过电话。在别处有人争论说，这种滥用可能有效地导致针对组织的数据请求“拒绝服务”式攻击，因为他们的员工和基础架构被捆绑在一起，以应对意料之外的大量假请求。尽管存在工具可以帮助自动化数据发现和对数据请求的响应，但一些发言者认为，“合理的确定性”应该是应用于请求的标准，因为这将为企业提供更多的带宽来处理该问题。
现在会发生什么?
现在听证会和公众意见征询期已经过去，CAG可以使用意见来修订当前的法规草案，此后公众将有15天(或更长时间)来提供有关修订的意见。因此，即使CCPA于2020年1月1日生效，组织仍应期待法律的变化。利益相关者应密切遵循规则制定过程，同时确保在下一个意见征询期内将任何疑虑提交给CAG。最终法律的执行将于2020年7月1日开始;但是，组织必须自2020年1月1日起认真遵守该法律，并在此日期之后对违法行为承担责任。