需要避免的5個數據隱私錯誤
即使是最謹慎的企業也會忽略一些隱私問題。以下是企業都不應犯的五個隱私錯誤。
(1)只偶爾解決隱私問題
未能執行持續的隱私管理活動是企業最常見的錯誤。一名行業專家表示,他曾幫助過數百家不同規模的企業開展隱私管理活動,他從企業高管那里聽到的最常見的說法是:“我們進行了風險評估,制定了政策和程序,提供了新員工培訓,并在第三方合同中使用隱私條款。我們已經履行了隱私義務,因此不需要在隱私方面花費更多時間或費用。”
企業高管這種態度導致隱私不足和安全控制薄弱,并隨著業務變化而產生漏洞。隨后的風險可能會被利用,導致安全事件、隱私泄露、負面新聞、失去信任、客戶不滿,并且通常會引發訴訟。審計師和監管機構將識別這些漏洞,可能導致嚴重的違規罰款和處罰。
ISACA 2022年隱私實踐調查支持這一趨勢,報告稱,只有一半的受訪者進行持續的風險管理,并監督合規性和執行情況。只有33%的受訪者消除了新技術的風險。
(2)相信數據保護法僅適用于其所在地
這是一種常見的誤解,也是很多律師都認同的觀點——ISACA實踐中的隱私調查報告表明,50%的受訪者在理解他們必須遵守的法律和法規方面存在技能差距。
根據僅適用于業務運營的所在地區的法律行事是錯誤的。可能存在適用于企業所在地以外的隱私法規/合規問題——例如,總部位于紐約的企業可能在歐洲有客戶,而一些歐洲數據隱私法規可能適用于美國法規管理范圍以??外的地方。
這是違反隱私法規的一個重大問題。例如,美國很多企業僅遵循其所在州或領地的要求。美國至少54個州和領地有自己的相關法律,因此這種想法可能會付出高昂的代價。
隱私管理計劃應該適用于相關個人的所有適用法律和法規,并匯總所有要求,以便除了滿足特定法律的獨特要求之外,還可以遵循一套程序來解決共同的要求。
許多企業也過于自信,認為他們不會遭遇隱私泄露事件,這使得他們無法在確實發生泄露時做出有效、高效和全面的回應。
(3)相信遵守一項主要法規就等于遵守所有其他法規
遵守一項主要法規有時會滿足其他法律的許多要求。但是也存在差異,包括必須滿足的特定法律的獨特要求。
例如,一家總部位于加利福尼亞州并在歐盟開設辦事處的金融機構認為,美國CCPR法規與歐洲GDPR法規具有相同的要求。因此,他們在歐盟新的地點沒有采取額外的合規措施。
考慮到GDPR法規要求企業至少有六個可接受的法律依據之一來處理個人(又名數據主體)的數據。但是,CCPA法規通常不要求處理個人信息的法律依據,并且還有其他一些差異。
假設CCPR合規性滿足所有GDPR要求是錯誤的。這種錯誤的想法可能會導致企業遭遇巨額罰款、處罰和訴訟。
所有企業都應該明白,雖然法律法規有許多類似的要求,但通常還需要滿足額外的要求。
(4)不遵守企業自身的隱私聲明
從事隱私影響評估將近20年的一名行業專家表示,在每個隱私影響評估開始時,他將關鍵利益相關者聚集在一起進行討論。在描述隱私影響評估目標時,他會問利益相關者(通常包括企業高管):有多少人閱讀過自己網站上發布的隱私聲明?而一般只有5%~10%的人表示閱讀過。然后他問這些人:有多少人確保有隱私聲明規定的義務的領域采取行動履行這些義務?這些人其實都沒有采取行動。
如果一家企業的業務負責人甚至不知道隱私聲明中的承諾,他們管理的員工將不會執行必要的措施來履行這些承諾。根據美國《聯邦貿易委員會法》法案第5條,一些企業由于不遵守隱私通知而受到處罰。例如,MyLife公司及其首席執行官在2021年12月因欺詐行為和違反隱私聲明而面臨3390萬美元的罰款。
(5)沒有提供有效和定期的隱私培訓
大多數企業沒有提供足夠有效的安全和隱私教育,而且當他們這樣做時,很少會導致員工以更安全的隱私保護方式工作。
例如,基于游戲化的培訓很有趣,但它通常不針對具體的工作活動。除了一般的隱私培訓外,還應提供更頻繁的培訓,其內容涵蓋員工工作活動的各種特定主題。各種培訓應該有提醒員工以支持隱私和保護個人數據安全的方式開展工作。
ISACA隱私實踐2022調查顯示,只有13%的人提供季度的安全培訓,13%的人不知道是否提供了培訓或表示沒有進行培訓。
企業應該提供有效的持續教育和培訓,解釋如何執行支持隱私和保護數據的工作活動,否則將發生違規事件。在沒有意識到違規的情況下,企業甚至可能在對他們提起訴訟之前都不知道發生了違規行為。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號