freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

加州消费者隐私法案的实施为金融行业带来的三大挑战
2020-05-28 23:26:31

在2018年3月Facebook“泄密门”事件后,“最严厉、最全面”的个人隐私保护法案CCPA出台。CCPA(California Consumer Privacy Act),全称加州消费者隐私法案,是2018年6月28日由加州福尼亚州议会通过并颁布为法律,2020年1月1日生效,2020年7月1日正式实施。

CCPA法案赋予了加州消费者对企业收集和管理其个人信息更多的控制权,包括知情权、删除权、访问权、选择权、公平服务权,被称为是“最严厉、最全面”的个人隐私保护法案,它的生效及实施将为我国金融机构带来很多挑战。

挑战一:金融科技转型下,难以落实用户权

金融科技以技术和数据为中心,但在金融科技转型及创新下落实CCPA严格的数据收集、使用、共享等要求,金融机构面临较大的挑战。

在金融全面风险治理领域,目前金融行业广泛利用反欺诈系统防范业务风险,这需要依赖大量用户交易记录和数据。根据CCPA规定,用户有权在任意时间要求删除或停止共享收集的个人数据,且企业不得因此为用户提供差异化的服务。这使得由于金融数据的缺失导致金融服务变得非常困难。随着金融机构收集、使用、出售用户个人数据的行为越来越透明化,对于恶意用户来说,他们将非常清晰的了解到金融机构收集的个人信息种类及用途,从而绕过内部防范机制甚至要求机构删除个人数据,这为金融科技创新防范业务风险带来了很大难度。 

挑战二:金融机构合规成本短期内将显著上升

根据伯克利经济咨询与研究有限公司针对《2018年加州消费者隐私法》标准化法规影响评估”显示,CCPA将使得公司须承担的初始合规成本为4.67亿美元至164.54亿美元

根据CCPA规定,法案正式实施后,客户具有12个月的回溯期,即客户有权获取最早为2019年1月1日的个人数据。因此金融机构在调整企业数据架构的同时,仍需要梳理历史用户个人数据。无论是数据处理方式还是IT基础设施方面的优化,这对金融机构都是巨大挑战,短期内难以满足CCPA法案的要求。

由于欧盟通用数据保护条例(GDPR)与CCPA是具有不同范围,定义和要求的独立法律框架,对于已经符合GDPR要求但受到CCPA约束的金融机构,仍需投入成本进行基础设计和数据处理方式的重构或改造。

挑战三:金融机构可能将面临高额赔付的风险

由于CCPA法案个人敏感信息范围广,条款设置严格,金融机构难以在短时间内达到合规要求。根据CCPA规定,若由于无法实施合理的安全性而导致的用户数据泄露,机构将面临每位消费者高达750 美元的赔款。同时,加州司法部长还可在整体上实施CCPA,若机构被指控违规且无法在30日内完成整改的,则承担每次违规最高2500美元的民事罚款或每次故意违规最高 7500的罚款。对于我国的金融机构,一旦发生数据泄漏事件,将可能面临数上亿乃至上十亿元的天价罚金。

随着CCPA法案正式实施时间的临近,处于CCPA适用范围的中国金融机构应:

l 更新隐私策略

l 加强数据安全保护,加固技术防范措施,防范个人数据泄漏事件的发生

l 制定数据安全流程,构建并加强内部用户个人数据编排的能力,灵活对用户个人信息的查询、删除、出售等行为进行控制或干预

 CCPA的适用范围仅针对在加州开展经营活动的企业,但是随着GDPR、CCPA等隐私法案的推行,将来会有更多的国家颁布隐私立法程序。我国于2017年6月1日颁布并正式实施了网络安全法,在法律层面明确了个人信息保护工作的基本要求。同时,个人信息保护法也列入了2020年立法规划,可以预期未来1-2年内,我国将建立隐私保护立法程序,未来五年内全球隐私保护立法程序将不断完善。

金融系统是我国关键基础设施,金融机构应立足长远,建立可扩展性隐私保护框架,以满足不同国家隐私法律要求,满足公司业务扩张需求。

本文作者:, 转载请注明来自FreeBuf.COM

# 金融行业 # 个人隐私保护 # CCPA
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑