了解新数据隐私景观

数据隐私监管在过去几年里由于高调的违法事件和消费者对个人信息控制的需求不断增加而大大收紧。 对小企业主来说,合规不再是可选的。 欧盟《数据保护总条例》和《加利福尼亚消费者隐私法》等法律已经制定了新的全球标准,弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州的额外州级法律已经生效或即将生效。 不遵守监管可能导致罚款、法律诉讼和客户信任的丧失。

这份指南将指引您通过实践步骤实现并保持遵守,即使资源有限。 您将了解数据隐私法需要什么,如何审计您当前的做法,实施同意机制,处理消费者权利请求,以及保障您的系统。 您的小企业通过遵循这些策略,不仅可以避免惩罚,还可以树立客户数据可靠管理者的声誉。

隐私合规并不是一刀切的。 你采取的方法取决于你所运作的管辖区、你收集的数据的数量和敏感性以及你现有的基础设施。 然而,核心原则 — — 透明度、控制、安全和问责 — — 是普遍的。 即使你是一个独家企业家或五个团队,这里概述的步骤也可以被放大以适应你的资源。

影响小企业的关键数据隐私法

GDPR(一般数据保护条例)

2018年5月起实施,GDPR适用于任何向欧盟境内个人提供商品或服务的业务,无论业务的总部在哪里. 主要要求包括:

  • 处理个人资料的法律依据(同意、合同、法律义务、合法权益等)
  • 简明、易于查阅、语言清楚的透明隐私通知
  • 个人权利:查阅、纠正、消除(“被遗忘的权利”)的权利、对处理的限制、数据可移植性和反对
  • 向监督机构发出72小时违约通知,除非该违约不大可能对数据主体构成风险
  • 加工活动记录(第30条) -- -- 雇员人数250人以上的组织在技术上需要,但小企业仍必须记录某些加工活动,特别是涉及敏感数据或高风险的加工活动。

罚款可以达到2,000万欧元或全球年度营业额的4%,以较高者为准。 但是,监管部门经常对小企业首次轻微违规事件发出警告或训斥。 关键在于显示诚意。

对于欧盟以外的小企业,只要偶尔与欧盟客户互动,GDPR就可以继续应用,只要您监控欧盟内个人的行为。 比如,使用跟踪欧盟访客的分析饼干或者向欧盟居民发送有针对性的电子邮件活动引发GDPR义务。

CCPA/CPRA(加利福尼亚消费者隐私法/加利福尼亚隐私权法)

2020年1月,《加拿大公民及公民保护法》生效,《加拿大公民及公民保护法》于2023年1月对该法进行了修订。

  • 年总收入超过2 500万美元
  • 购买、接收或出售100 000名或更多加利福尼亚居民或家庭的个人信息
  • 销售消费者个人信息所得年收入的50%或以上

小企业往往低于这些阈值,但那些处理大量数据或出售数据的企业仍然必须遵守。 主要义务包括知情权、删除权、选择退出销售权以及不歧视。 国家方案建议扩大了保护范围,将敏感的个人信息(如准确的地理位置、种族或族裔血统、健康数据)包括进来,并建立了一个专门的执法机构,即加利福尼亚隐私保护局(CPPA ) 。

即使你的企业不符合CCPA的门槛,也可以适用类似的州法。 比如,科罗拉多州公共公司的收入门槛较低,适用于处理25,000名或更多消费者的个人数据并从销售数据中获得收入的企业。 拥有国家客户基地的小企业应该假定它们至少受州法的制约。

其他美国国家隐私法

弗吉尼亚州的消费者数据保护法(VCDPA ) 、 科罗拉多州的隐私法(CPA ) 、 康涅狄格州的数据隐私法(CTDPA ) 和犹他州的消费者隐私法(UCPA ) 都已经生效或即将生效。 虽然它们与CCPA有相似之处,但在适用性阈值、豁免和执行方面却存在着差异。 例如:

  • 弗吉尼亚州的VCDPA适用于控制或处理至少10万名消费者的个人数据或从25,000+消费者的销售数据中获得50%以上收入的企业.
  • 科罗拉多州的CPA适用于处理10万+消费者数据或从销售25 000+消费者数据(在某些情况下包括非营利者)中获取收入的企业.
  • 康涅狄格州的CTDPA与科罗拉多州相同,但包括首次违规的14天治疗期。
  • 犹他州UCPA要求企业每年收入为25M+,加工10万+消费者,或从25,000+消费者的数据销售中获取50+的收入.

跨州经营的小企业必须跟踪这些差异。 一种实际做法是遵守最严格的适用法律,这些法律往往涵盖所有基础。

国际考虑因素

除了GDPR之外,如果您处理来自这些管辖区的数据,那么巴西的LGPD、南非的POPIA、日本的APPI和加拿大的PIPEDA等法律也可以适用。 全球趋势是加强保护,因此建立隐私第一框架对您来说是有利的。 如果您运行一个可以在全球访问的网站,那么您考虑实施一个检测用户位置并适用适当规则的许可管理平台。

权威指导,请参考联合王国哈里发组织的数据保护指南加利福尼亚州总检察长的CCPA FAQ

评估您当前数据的做法

进行数据审计

在您能够遵守之前, 您必须知道您收集了什么数据, 它在哪里生活, 它如何流动, 以及谁有访问权限。 首先, 简单清单 :

  • 数据类型: 名称,电子邮件,电话,地址,支付信息,IP地址,浏览行为,社交媒体手柄等.
  • 收集来源:[]网站表格,CRM,电子邮件营销,点售,第三方集成(如Facebook像素,Google分析,TikTok像素),客户支持频道,以及离线互动.
  • 堆放位置:]云服务(AWS,Google Drive,Droppox,OneDrive),本地服务器,电子表格,电子邮件收件箱,纸张文件.
  • 数据处理器:] 任何代表您处理数据的供应商或服务(如Mailchimp, Strepe, Shopify, HubSpot, Zendesk, AWS). 记录目的,共享数据类别,以及它们提供的安全措施.

将所有信息记录在数据映射或处理活动记录中。此映射将成为所有后续合规步骤的基础。使用一个包含列的电子表格,用于:数据类别、源、存储位置、保存期、合法依据、第三方处理器和安全措施。至少每年更新一次,或每当您添加新工具时更新一次。

查明处理的法律基础

根据GDPR,大多数加工需要合法的基础。

  • 同意: 用于营销电子邮件或非必需饼干。必须自由给予同意,具体、知情和明确。预选的盒子无效。
  • 合同必要性: 履行命令、提供服务或应个人要求采取步骤所需的处理,然后才订立合同。
  • 合法权益: 用于预防欺诈、网络安全、直接营销(但需选择退出)或分析。您必须进行合法权益评估,以平衡您的利益和消费者权益。
  • 法律义务: 税务记录、会计或遵守其他法律。
  • 实际利息:[ 很少,但在紧急情况下使用。

在美国,如美国《商业法》,“同意”被选择退出销售或分享跨文本行为广告的权利所取代。 你必须确定哪些处理活动触发了这些权利,并提供明确的选择退出机制(例如“不出售或分享我的个人信息 ” ) 。

建立遵约框架

更新您的隐私政策

您的隐私政策必须明确、具体和容易找到。 包括:

  • 你收集什么个人资料和从哪些来源获得的资料
  • 收集目的和法律依据(如果是GDPR)或商业目的(为CCPA)
  • 如何分享数据(与第三方共享,用于营销,分析等).
  • 消费者权利(准入、删除、选择退出、可携带性、更正)以及如何行使这些权利
  • 隐私调查的详细联系方式(实体地址和电子邮件)
  • 上次更新的日期
  • 酌情开设关于饼干和类似技术的章节

使用纯语言。 避免使用法律语言。 通过您网站页脚的链接、 退出时和收集个人数据时, 使策略可以访问。 考虑分层处理: 与完整策略链接的简短摘要 。

示例模板资源: PrivacyPoliceies.com 完全 。但是,总是自定义模板以反映你的实际做法——如果通用政策不准确,复制通用政策可能比没有模板更糟。

实施同意机制

在需要征得同意(例如,营销电子邮件、非基本饼干)时,必须获得明确、知情和自由的同意。

  • Cookie同意横幅 : 允许对不同类别(基本、分析、营销)进行颗粒选择。不要在“选箱”之前预选。提供“拒绝所有”选项,如“接受所有 ” 。
  • 在通讯或账户登记注册表上输入 的复选框。确保这些表格不作为接受服务的条件,除非数据是服务所必需的。
  • 不同处理目的的分离同意(一个用于电子邮件营销的复选框,另一个用于与合作伙伴共享,另一个用于个性化广告).
  • 记录:] 记录表示同意的时间和方式—— 时间戳、同意文本、政策版本和用户标识。将这一证据存储在客户关系管理或同意管理平台中。

对于CCPA的选出,与“不出售或分享我的个人信息”的简单链接就足够了,但您也可以使用全球隐私控制信号。请确保您的网站尊重这些信号。

处理消费者权利请求

小企业必须在具体时限内(例如,《竞争和消费者保护法》下45天,《国内生产总值报告》下30天)对请求作出答复。

  1. 指定数据隐私联系人(可以是企业所有人或负责的雇员)。
  2. 创建简单的表格或电子邮件地址,供消费者提交请求(如隐私@你的企业.com). 专用电话号码也帮助了访问.
  3. 验证请求人的身份(例如,将电子邮件和名称与您的记录相匹配;避免要求不必要的信息) 。 要根据 CCPA 请求删除,您必须在处理前验证请求人。
  4. 在允许的窗口内完成请求(例如,提供所有持有的数据,删除数据,选择不出售,或更正不准确),对于数据的可移植性,提供常用的机器可读格式的数据(CSV,JSON).
  5. 记录请求、采取的行动和完成日期。保存记录至少24个月(《共同市场法》要求)。

消费者在行使自己的权利时,不能受到歧视(例如拒绝服务、收取不同价格、提供不同质量的消费者 ) 。 但是,如果正确披露数据并选择加入,则可以提供财务奖励。

管理供应商和第三方

代表您处理个人数据的每个供应商(数据处理员)都必须承担保护这些数据并协助您遵守合同的义务。

  • 电子邮件营销平台(Mailchimp,常连线)
  • 付款处理器(Stripe、PayPal、Square)
  • 云存储提供商( Google 工作空间、 Dropbox、 AWS)
  • 分析服务(谷歌分析、Facebook像素、Hotjar)
  • 客户支助工具(Zendesk、Intercom)
  • 客户关系管理系统(HubSpot、销售力量、管道)

GDPR 需要书面数据处理协议( DPA )。 许多较大的供应商提供您可以通过数字方式接受的标准的DPA 。 对于较小的供应商, 您可能需要谈判。 跟踪哪些供应商可以访问数据、 其子处理器及其安全认证( SOC 2, ISO 27001) 。 当您更换供应商时, 更新您的记录 。

此外,考虑供应商隐私政策:它们是否出售或分享数据?如果使用本身出售汇总数据的工具,则在《竞争和消费者保护法》下,可被视为“分享”数据,需要提供选择退出。

数据安全和违反规定的反应

执行适当的安全措施

遵守要求数据安全,安全水平必须“适合风险”。 对于小企业来说,这通常包括:

  • 复制: 休息(在服务器,笔记本电脑,移动设备上)和在途(在您的网站上使用HTTPS,TLS用于电子邮件提交)时加密数据.
  • 访问控制: 限制个人数据访问只限需要的个人数据员工使用. 使用强密码(12+字符),双因子认证(2FA),以及基于角色的权限.
  • 常规备份:[ 安全存储备份(加密,场外),测试恢复程序至少每季度一次.
  • 软件更新:保持CMS,插件,主题,以及所有系统补丁. 启用安全处的自动更新.
  • 物理安全:[] 锁制办公室和包含纸质记录的文件柜. 处理前先切除文件.
  • 网络安全:[使用防火墙,安全Wi-Fi与WPA3,以及VPN用于远程访问.

考虑一个基本的网络安全框架,比如NIST网络安全框架的五个功能:识别、保护、检测、响应、恢复。 对于小企业来说,CISA网络安全工具包 提供了免费资源。

制定违反应急计划

系统没有100%的安全。 准备通过概述步骤来防范可能的突破 :

  1. 娱乐: 隔离受影响的系统,更改密码,并保存日志(不删除证据).
  2. 评估:确定暴露了哪些数据,有多少个人受到影响,以及可能发生的伤害(身份盗窃、欺诈等)。
  3. 20世纪80年代,美国在“美国”一词下,美国在“美国”一词下,“美国”一词的“美国”一词指的是“美国”一词。 [通知:]根据GDPR,除非违反规定可能造成风险,否则在72小时内通知监督机构。 许多美国州的法律都有类似的时限(例如加利福尼亚州45天,科罗拉多州30天 ) 。 你可能需要在不无故拖延的情况下通知受影响的个人。 请检查美国每个州的要求-65+州和地区的法律都有违反通知义务。
  4. 补救: 解决脆弱性,改进控制(如尚未实施2FA),并在敏感数据暴露时考虑提供信用监测或身份保护服务.
  5. 文件:记录所发生的情况、采取的行动和吸取的教训。 这些文件有助于监管调查,并改进未来的应对。

考虑覆盖数据违约事件的网络责任保险。 一些政策还提供接触事件应对专家、法律顾问和公共关系支持的机会。 购买适合你行业和风险状况的保险。

资源:FTC的小企业网络安全国家网络安全联盟

持续维护隐私和文化

训练你的团队

工作人员往往是数据保护的最薄弱环节。

  • 承认网易电子邮件、振动和社会工程尝试
  • 妥善处理客户数据(不解锁屏幕,不发送敏感信息,使用安全文件传输大文件)
  • 遵守数据主体访问请求和违约报告程序
  • 报告涉嫌违反规定的行为,即使不确定,内部报告过量也更好。

记录培训课程和记录出勤情况。年度复习是最佳做法。当新的法律或法院裁决影响遵守时,提供有针对性的更新。考虑使用“知识Be4”或“确保人类安全”等隐私培训平台。

保存处理活动记录

即使你的小企业不受某些文件要求的限制(例如,GDPR第30条适用于员工250+的组织,以进行完整的记录,但小企业仍必须进行敏感数据或高风险活动的文件处理),保持一个处理活动记录(ROPA)是一个很好的习惯。

  • 组织(控制器)和任何联合控制器的名称和联系方式
  • 处理目的
  • 数据主体(客户、雇员、供应商等)和个人数据类别
  • 接受者类别(包括第三国或国际组织)
  • 尽可能缩短时限(保留时间表)
  • 技术和组织安全措施说明

保存良好的《规则》有助于您回答监管者的询问,显示诚信,并在向新市场扩展时简化合规性。每当您添加新的处理活动时,都会更新它。

定期审查和更新

数据隐私不是一个一次性项目。法律正在演变,你的企业正在发生变化,新技术正在出现。每季或每半年进行一次审查:

  • 请检查您所居住的州或国家的新隐私法。 [[FLT: 0]] IPAP的状态比较表[[[FLT: 1]]是一个有用的参考。
  • 在数据实践发生任何重大改变(新工具,新用途,新共享)后更新您的隐私政策.
  • 至少每年重新审计数据收集和第三方合并。
  • 测试你的突破反应计划 与你的团队一起通过模拟突破方案
  • 审查饼干合规性:随着浏览器淘汰第三方饼干,同意管理景观也随之变化.

使用一个遵守日历或数字核对表来跟踪最后期限和任务。为每个审查项目指定所有权。

常见的陷阱和如何避免它们

假设你太小,无法定向

监管者越来越关注小企业。 罚款可能比大型公司低,但不遵守规定仍然带来后果,包括声誉受损、客户信任丧失和潜在的集体诉讼。 此外,消费者信任更难于让小企业重新获得。 许多监管者为小企业提供专门的指导和工具 — — 使用它们。

独奏曲上歌唱

饼干旗单是不符合要求的。 您必须有一个合法的基础来进行处理、 适当的销售协议和消费者权利机制。 饼干旗只是一个触点。 另外, 确保您的旗帜在同意( 同意第一 ) 之前不会丢掉饼干。 使用一个同意管理平台, 将非必要的脚本屏蔽到用户作出选择为止 。

忽略雇员数据

尽管大多数法律都以客户数据为重点,但员工个人数据同样受到保护。 确保人力资源文件、工资单系统、业绩记录和背景检查数据都包含在您遵守范围之内。员工有权访问、纠正和删除数据(尽管删除可能受就业法或合法权益的限制 ) 。

过度收集数据

仅收集对您的商业目的真正必要的数据。 这不仅会减少风险, 而且还会简化合规性。 应用数据最小化原则: 只需通过电子邮件发送订单确认, 就不要收集电话号码。 定期清除数据 — — 设定明确的保留期( 例如, 删去上次购买后6个月客户数据, 除非税务记录需要这样做 ) 。

忽略数据保护影响评估

在GDPR下,当处理可能导致数据主体高风险时(如系统剖析、大规模处理敏感数据、公共领域监测),需要数据保护影响评估。 小企业在实施任何新技术之前,应当先进行一个DIA,这些新技术以新颖的方式处理个人数据,如安装闭路电视、使用AI聊天机器人,或运行行为分析。

利用技术促进遵约

小企业预算紧张,但若干负担得起的工具可以简化遵约:

  • 同意管理平台(CMPs): Cookiebot,Osano,OneTrust(对小网站有免费的层级),Fancy Analytics帮助管理cookie同意,记录同意,扫描cookie等工具.
  • 隐私政策生成器:[ Iubenda, Termly, and PrivacyPolices提供自定义的模板,并定期更新法律修改.
  • Data主题请求(DSR)管理:[]简单的电子表格或像DataGrail或Transcend(offer free levels)这样的专用软件. 对于低音量,一个带有模板的共享电子邮件收件箱可以工作.
  • Vendor风险管理: 使用电子表格跟踪DPA,安全认证,以及子处理器. Vendr或Vanta(企业级,但可以缩放)等工具.
  • 数据映射: 自动数据发现工具如Secreti,BigID,甚至使用电子表格的人工过程.

选择与您现有的技术堆栈整合的工具。 许多 CRM 和 e 商业平台( phopify, Squarespace, Wix) 现在已经包含基本的隐私功能 — 允许它们并审查它们的设置。 例如, Shopify 已经为 CCPA 和 GDPR 内置客户隐私页面 。

此外,考虑采用逐个设计框架,在评价新软件时,在进行操作前询问供应商数据处理做法。

结论:隐私作为一种竞争优势

遵守新的数据隐私法不仅仅是避免罚款。 消费者越来越多地选择与他们所信任的组织做生意。 通过对数据做法保持透明、尊重消费者选择和保护个人信息,你的小企业可以在拥挤的市场中出名。

今天从简单的审计开始。 绘制数据、更新隐私政策、培训团队。 随着你的成长,将更多程序分解。投资在客户忠诚、降低法律风险以及操作效率方面有所回报 — — 清除数据和清晰程序在很多方面都有利于你的企业,超出了合规范围。

记住,你不需要一夜之间就实现完美。进步而不是完美是目标。利用监管者和隐私专业人士提供的资源来指导你。你所采取的每一步都使你更接近一个值得信赖、有弹性的小企业。

进一步阅读时,参考公平贸易委员会的隐私科 国际隐私专业人员协会的官方指导。