去年春天,對於市場營銷人員、IT專業人士和律師來說,由於歐盟(eu)的政策,他們都非常忙碌一般保障資料規例(GDPR),於2018年5月生效。正如我們所知,這項變革性的立法動搖了數據隱私和安全——不僅在歐盟,而且在全世界——它要求公司對他們如何處理客戶數據負責,並再次強調個人控製自己信息的權利。
在那之後的幾個月裏,我們聽到了一個又一個科技巨頭喜歡的案例臉譜網而且穀歌由於未能充分披露他們如何使用個人數據和其他合規失誤,他們將麵臨罰款和其他法律行動。此外,GDPR已經啟動了一波圍繞數據隱私和安全的對話和增量行動,這表明這一關鍵領域的基礎遠未解決。
隨著2019年的到來,世界各地大大小小的品牌麵臨的一個重大問題是:新的一年對全球數據隱私和安全意味著什麼?雖然我們在Braze這裏沒有一個有效的水晶球,但我們有退而求之的東西——我們的法律高級副總裁、總法律顧問兼公司秘書蘇珊·懷斯曼和副法律總顧問兼高級總監(EMEA)馬喬裏·阿米蒂奇,他們近年來一直站在這一不斷發展的領域的前線。往下讀,看看他們對來年的預測:
1)對消費者隱私權的重視將擴散到歐盟以外
許多法律人士會告訴你,就其核心法律概念而言,GDPR並不特別新穎。法規通常是模糊的,而且是故意的——這是起草者努力的一部分,以使立法在技術發展中保持靈活性和相關性。(畢竟,GDPR所取代的歐盟立法《數據保護指令》(Data Protection Directive)已經實施了23年,可以追溯到智能手機還隻是史蒂夫·喬布斯(Steve Jobs)眼中的一個閃光的時候。)是什麼讓GDPR從人群中脫穎而出是它保護歐盟國家公民的方式。通過將數據隱私和安全描繪為一種基本人權,該立法在很大程度上確保了其他國家處理歐盟公民個人數據的組織認真對待這些問題和合規。
事實上,歐盟和世界上許多其他國家都有嚴格的法律來保護個人數據。歐盟允許公司將個人數據從歐盟轉移到擁有同樣嚴格法律的其他國家。歐盟將這些國家稱為“適當”司法管轄區。但是,舉例來說,如果你是一家總部設在美國的媒體公司——美國是一個目前不被歐盟標準認可的國家——你仍然可以處理來自歐盟客戶的個人數據,隻要你已經與客戶達成協議,你將以一種超過美國法律要求的方式保護個人數據。manbetx万博全站客户端您可以通過向Privacy Shield進行自我認證,或與客戶簽署示範條款來做到這一點。Privacy Shield和示範條款都用於驗證向美國轉移個人數據的有效性;在沒有歐盟認可的方法的情況下這樣做將違反歐盟法律。
這類協議至關重要,因為一個國家很難做到充分。例如,由於美國還沒有任何與GDPR相一致的全國性法律,總部位於美國的公司隻有在與客戶簽署了示範條款(範本條款)或獲得了歐盟-美國標準的自我認證後,才能處理歐盟的個人數據。manbetx万博全站客户端隱私保護框架-該框架使歐盟公司可以將歐盟公民的個人數據轉移給美國公司(比如Braze !)
2)美國很有可能不2019年起草聯邦數據隱私法,但州立法將會跟進
雖然美國確實沒有任何符合歐盟數據保護當局要求的標準的國家法律,但當涉及到消費者數據隱私和安全時,我們慢慢但肯定地開始看到各州立法開始發揮作用。
去年,加州成為美國第一個通過新數據隱私立法的州加州消費者隱私法.這項法律在美國數據隱私要求方麵具有開創性,保證了消費者訪問和刪除數據的權利,並要求公司更新第三方數據處理合同,以確保遵守GDPR中規定的控製者/處理者規則,以及其他在美國首次提出的要求
當GDPR執行於2018年5月生效時,不少美國公司選擇通過……不處理它。也就是說,一些在歐盟沒有客戶的組織選擇不遵守GDPRmanbetx万博全站客户端因為他們在歐盟沒有客戶;manbetx万博全站客户端與此同時,其他公司認為做了歐盟的客戶manbetx万博全站客户端選擇將他們拒之門外,而不是試圖遵守新法律。在美國主要的科技和媒體中心加利福尼亞州,一些品牌也落入了這條船還記得洛杉磯時報在歐盟完全關閉了他們的網站嗎這樣他們就不必遵守GDPR了?現在這些公司隻有不到一年的時間遵守加州消費者隱私法案2020年1月1日開始執行之前。
總的來說,美國的公司,無論大小,新公司還是老牌公司,都應該開始朝著客戶數據隱私和安全權利被賦予的現實邁進。雖然加州是第一個在GDPR之後通過全新數據隱私立法的州,但我們看到路易斯安那州、阿拉巴馬州、科羅拉多州和弗吉尼亞州等其他州正在采取措施加強現有的數據隱私法律。(此外,佛蒙特州此前通過了一項新法律加強對數據經紀人的監管,製定最低安全標準.)
雖然到目前為止還沒有跡象表明美國聯邦政府將在今年采取措施起草一部gdpr式的聯邦法律,但各州圍繞數據隱私不斷擴大的拚湊和新的、加強的立法,對企業來說是一個關鍵信號,它們需要認真考慮目前如何處理數據。如果他們不這樣做,當新的全國性法律生效或各州法律的鼓點使得不改革他們處理和管理消費者數據的方式就無法在美國開展業務時,他們可能會被打個措手不及。
這屆美國國會不太可能很快通過一項(全國性的隱私)法律。盡管如此,隱私顯然是人們關心的問題。甚至在美國,隱私權也越來越受到重視,有必要製定更好、更多的立法。我認為,我們不會看到一個新的、全麵的聯邦隱私法,而是會看到一堆州頒布類似於加州去年通過CCPA所做的法律。
3)設計隱私將成為新常態
”設計的隱私”意味著確保係統是從頭開始構建的目的是使用行業標準安全實踐存儲、保護、轉移和處理個人數據,並遵循消費者對其個人數據的意願。雖然這個概念已經存在了一段時間,但GDPR是第一個將其作為合規要求的一部分的法規。盡管GDPR中所謂的設計隱私的參數有些模糊,但它確實確保了合規公司在設計係統時考慮到數據安全。
確保您的公司達到了“設計隱私”標準,在管理信息時需要深思熟慮和警惕。你必須知道數據來自哪裏,哪些個人和係統正在接觸它,以及什麼時候可以訪問或使用它。如果您構建的數據管理係統和流程從一開始就集成了強大的數據隱私和安全概念,那麼所有這些都要容易得多。
GDPR強調讓消費者清楚地了解組織如何使用他們的數據(而無需閱讀大量的法律文件),使他們能夠隨時簡單地改變他們的數據偏好,並有權隨時選擇訪問和要求刪除他們的信息。默認隱私也符合這一概念,這意味著如果客戶有不更新了自己的首選項,默認設置應該是最高級別的數據保護和控製。正如營銷人員所知,這些限製有時會對客戶體驗產生負麵影響——例如,如果拚車應用程序的用戶不提供他們的位置訪問權限,他們將會有一個非常令人沮喪的體驗。這意味著公司需要使用創造性(和合規!)的信息來說服消費者,讓他們認為允許這些公司使用他們的個人數據來支持更相關、更有影響力的體驗是有真正價值的。
為了讓技術發展,GDPR在合規性方麵被故意做得很廣泛。隨著互聯網的爆炸式發展,《數據保護指令》的某些方麵在大約五年內就過時了,因此立法者非常謹慎地確保GDPR與技術無關。
4)公司將越來越多地尋求第三方驗證
GDPR固有的、故意的模糊性是立法的核心,而這種模糊性一直是許多希望遵守法律的公司的主要障礙。但值得慶幸的是,同樣的模糊性也使企業能夠走到一起來確定數據的合規處理是什麼樣的,同時也為技術的發展和進化提供了空間。由於在數據隱私方麵,證明你的公司確實在做你聲稱的事情是GDPR合規的關鍵組成部分,第三方驗證係統對品牌來說將變得越來越重要。
它看起來像什麼?在Braze,我們專注於確保我們優先考慮數據隱私和安全,這導致我們尋求對我們的係統和流程進行第三方驗證——最近,我們在2018年成功完成了SOC 2, Type 2和ISO 27001認證.ISO認證確認組織已經對安全風險進行了全麵評估,並創建了符合ISO全球信息安全管理標準要求的信息安全管理係統(ISMS),確保接受認證的企業已達到行業標準安全協議。
這些標準是由來自世界各地的利益相關者根據ISO的全球標準製定過程確定的。事實上,我們的Marjorie Armitage目前擔任歐洲標準機構英國工作小組的代理聯合主席,致力於確定與GDPR合規相關的行業隱私標準。隨著與新的數據隱私法規相關的標準數量的增加,尋找標準認證讓這些公司成為向消費者和監管機構證明自己合規的籌碼。
問責製一直是數據保護的關鍵原則,但GDPR最終將其納入了法律。你需要能夠證明你是合規的,並且你正在做你所說的一切。
最終的想法
技術已經使企業能夠比以往任何時候都更豐富、更細致地了解客戶及其行為,但使用這些詳細的客戶數據也可能給品牌和用戶帶來風險。manbetx万博全站客户端有效利用數據的一部分是確保您擁有保護客戶委托給您的信息所需的流程、工具和知識。manbetx万博全站客户端
這就是我們所處的世界,隨著技術的進步和消費者行為的轉變,風險和回報隻會越來越大。為了深入研究圍繞GDPR、HIPAA的關鍵考慮因素,以及數據安全如何影響客戶參與度的最新情況,查看Braze安全綜述.