需要避免的5个数据隐私错误
即使是最谨慎的企业也会忽略一些隐私问题。以下是企业都不应犯的五个隐私错误。
(1)只偶尔解决隐私问题
未能执行持续的隐私管理活动是企业最常见的错误。一名行业专家表示,他曾帮助过数百家不同规模的企业开展隐私管理活动,他从企业高管那里听到的最常见的说法是:“我们进行了风险评估,制定了政策和程序,提供了新员工培训,并在第三方合同中使用隐私条款。我们已经履行了隐私义务,因此不需要在隐私方面花费更多时间或费用。”
企业高管这种态度导致隐私不足和安全控制薄弱,并随着业务变化而产生漏洞。随后的风险可能会被利用,导致安全事件、隐私泄露、负面新闻、失去信任、客户不满,并且通常会引发诉讼。审计师和监管机构将识别这些漏洞,可能导致严重的违规罚款和处罚。
ISACA 2022年隐私实践调查支持这一趋势,报告称,只有一半的受访者进行持续的风险管理,并监督合规性和执行情况。只有33%的受访者消除了新技术的风险。
(2)相信数据保护法仅适用于其所在地
这是一种常见的误解,也是很多律师都认同的观点——ISACA实践中的隐私调查报告表明,50%的受访者在理解他们必须遵守的法律和法规方面存在技能差距。
根据仅适用于业务运营的所在地区的法律行事是错误的。可能存在适用于企业所在地以外的隐私法规/合规问题——例如,总部位于纽约的企业可能在欧洲有客户,而一些欧洲数据隐私法规可能适用于美国法规管理范围以外的地方。
这是违反隐私法规的一个重大问题。例如,美国很多企业仅遵循其所在州或领地的要求。美国至少54个州和领地有自己的相关法律,因此这种想法可能会付出高昂的代价。
隐私管理计划应该适用于相关个人的所有适用法律和法规,并汇总所有要求,以便除了满足特定法律的独特要求之外,还可以遵循一套程序来解决共同的要求。
许多企业也过于自信,认为他们不会遭遇隐私泄露事件,这使得他们无法在确实发生泄露时做出有效、高效和全面的回应。
(3)相信遵守一项主要法规就等于遵守所有其他法规
遵守一项主要法规有时会满足其他法律的许多要求。但是也存在差异,包括必须满足的特定法律的独特要求。
例如,一家总部位于加利福尼亚州并在欧盟开设办事处的金融机构认为,美国CCPR法规与欧洲GDPR法规具有相同的要求。因此,他们在欧盟新的地点没有采取额外的合规措施。
考虑到GDPR法规要求企业至少有六个可接受的法律依据之一来处理个人(又名数据主体)的数据。但是,CCPA法规通常不要求处理个人信息的法律依据,并且还有其他一些差异。
假设CCPR合规性满足所有GDPR要求是错误的。这种错误的想法可能会导致企业遭遇巨额罚款、处罚和诉讼。
所有企业都应该明白,虽然法律法规有许多类似的要求,但通常还需要满足额外的要求。
(4)不遵守企业自身的隐私声明
从事隐私影响评估将近20年的一名行业专家表示,在每个隐私影响评估开始时,他将关键利益相关者聚集在一起进行讨论。在描述隐私影响评估目标时,他会问利益相关者(通常包括企业高管):有多少人阅读过自己网站上发布的隐私声明?而一般只有5%~10%的人表示阅读过。然后他问这些人:有多少人确保有隐私声明规定的义务的领域采取行动履行这些义务?这些人其实都没有采取行动。
如果一家企业的业务负责人甚至不知道隐私声明中的承诺,他们管理的员工将不会执行必要的措施来履行这些承诺。根据美国《联邦贸易委员会法》法案第5条,一些企业由于不遵守隐私通知而受到处罚。例如,MyLife公司及其首席执行官在2021年12月因欺诈行为和违反隐私声明而面临3390万美元的罚款。
(5)没有提供有效和定期的隐私培训
大多数企业没有提供足够有效的安全和隐私教育,而且当他们这样做时,很少会导致员工以更安全的隐私保护方式工作。
例如,基于游戏化的培训很有趣,但它通常不针对具体的工作活动。除了一般的隐私培训外,还应提供更频繁的培训,其内容涵盖员工工作活动的各种特定主题。各种培训应该有提醒员工以支持隐私和保护个人数据安全的方式开展工作。
ISACA隐私实践2022调查显示,只有13%的人提供季度的安全培训,13%的人不知道是否提供了培训或表示没有进行培训。
企业应该提供有效的持续教育和培训,解释如何执行支持隐私和保护数据的工作活动,否则将发生违规事件。在没有意识到违规的情况下,企业甚至可能在对他们提起诉讼之前都不知道发生了违规行为。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号