在2018年3月Facebook“泄密门”事件后,“最严厉、最全面”的个人隐私保护法案CCPA出台。CCPA(California Consumer Privacy Act),全称加州消费者隐私法案,是2018年6月28日由加州福尼亚州议会通过并颁布为法律,2020年1月1日生效,2020年7月1日正式实施。
CCPA法案赋予了加州消费者对企业收集和管理其个人信息更多的控制权,包括知情权、删除权、访问权、选择权、公平服务权,被称为是“最严厉、最全面”的个人隐私保护法案,它的生效及实施将为我国金融机构带来很多挑战。
挑战一:金融科技转型下,难以落实用户权利
金融科技以技术和数据为中心,但在金融科技转型及创新下落实CCPA严格的数据收集、使用、共享等要求,金融机构面临较大的挑战。
在金融全面风险治理领域,目前金融行业广泛利用反欺诈系统防范业务风险,这需要依赖大量用户交易记录和数据。根据CCPA规定,用户有权在任意时间要求删除或停止共享收集的个人数据,且企业不得因此为用户提供差异化的服务。这使得由于金融数据的缺失导致金融服务变得非常困难。随着金融机构收集、使用、出售用户个人数据的行为越来越透明化,对于恶意用户来说,他们将非常清晰的了解到金融机构收集的个人信息种类及用途,从而绕过内部防范机制甚至要求机构删除个人数据,这为金融科技创新防范业务风险带来了很大难度。
挑战二:金融机构合规成本短期内将显著上升
根据伯克利经济咨询与研究有限公司针对《2018年加州消费者隐私法》“标准化法规影响评估”显示,CCPA将使得公司须承担的初始合规成本为4.67亿美元至164.54亿美元 。
根据CCPA规定,法案正式实施后,客户具有12个月的回溯期,即客户有权获取最早为2019年1月1日的个人数据。因此金融机构在调整企业数据架构的同时,仍需要梳理历史用户个人数据。无论是数据处理方式还是IT基础设施方面的优化,这对金融机构都是巨大挑战,短期内难以满足CCPA法案的要求。
由于欧盟通用数据保护条例(GDPR)与CCPA是具有不同范围,定义和要求的独立法律框架,对于已经符合GDPR要求但受到CCPA约束的金融机构,仍需投入成本进行基础设计和数据处理方式的重构或改造。
挑战三:金融机构可能将面临高额赔付的风险
由于CCPA法案个人敏感信息范围广,条款设置严格,金融机构难以在短时间内达到合规要求。根据CCPA规定,若由于无法实施合理的安全性而导致的用户数据泄露,机构将面临每位消费者高达750 美元的赔款。同时,加州司法部长还可在整体上实施CCPA,若机构被指控违规且无法在30日内完成整改的,则承担每次违规最高2500美元的民事罚款或每次故意违规最高 7500的罚款。对于我国的金融机构,一旦发生数据泄漏事件,将可能面临数上亿乃至上十亿元的天价罚金。
随着CCPA法案正式实施时间的临近,处于CCPA适用范围的中国金融机构应:
l 更新隐私策略
l 加强数据安全保护,加固技术防范措施,防范个人数据泄漏事件的发生
l 制定数据安全流程,构建并加强内部用户个人数据编排的能力,灵活对用户个人信息的查询、删除、出售等行为进行控制或干预
CCPA的适用范围仅针对在加州开展经营活动的企业,但是随着GDPR、CCPA等隐私法案的推行,将来会有更多的国家颁布隐私立法程序。我国于2017年6月1日颁布并正式实施了网络安全法,在法律层面明确了个人信息保护工作的基本要求。同时,个人信息保护法也列入了2020年立法规划,可以预期未来1-2年内,我国将建立隐私保护立法程序,未来五年内全球隐私保护立法程序将不断完善。
金融系统是我国关键基础设施,金融机构应立足长远,建立可扩展性隐私保护框架,以满足不同国家隐私法律要求,满足公司业务扩张需求。
来源:freebuf.com 2020-05-28 23:26:31 by: 一直很安静呦
请登录后发表评论
注册