GDPR은 미국에서 중요합니다
GDPR 준수 유지는 고객의 최선의 이익 일뿐 만 아니라 비즈니스의 최선의 이익에 있습니다. 비준수 및 데이터 위반에 대한 공포 이야기는 무거운 벌금을 동반 할 수 있습니다. 비즈니스 규모에 따라 벌금은 연간 전 세계 회전율의 $ 11 ~ 2,100 만 또는 2 – 4% 사이입니다.
미국의 GDPR? 새로운 주 법률은 이것을 현실에 더 가깝게 만들고 있습니다
유럽 연합의 일반 데이터 보호 규정 ( “GDPR”)은 전 세계에서 가장 어려운 개인 정보 보호 및 보안법으로 잘 알려져 있습니다. 광범위한 범위를 가지고 있으며 개인 정보 및 보안 표준을 위반하는 사람들 (상당히 광범위한)에 대해 큰 벌금을 부과합니다. GDPR의 영향은 2018 년에 발효 된 이후 미국에서 이미 느껴졌으며 지금은 U.에스. 수많은 주에있는 의원들은 비슷한 법안을 제정하기 위해 움직이고 있습니다. 캘리포니아 소비자 보호법 ( “CCPA”)은 미국에 GDPR의 영향의 첫 번째 사례였으며, 캘리포니아는 여러 측면에서 GDPR을 반영한 법령과 규정을 마련했습니다. 이제 버지니아는 1 년 동안 비슷한 법안을 제정하는 일련의 주가 될 수있는 일을 시작했습니다. 특히 워싱턴과 뉴욕은 CCPA의 틀에 따라 법안을 제안했습니다. 이 기사는 CCPA를 미국의 새로 제정하고 제안 된 개인 정보 보호법과 비교할 것입니다.
새로 제정되고 제안 된 개인 정보 보호 행위 :
새로 제정 된 버지니아 법
2021 년 3 월 2 일, 버지니아는 미국의 두 번째 포괄적 인 소비자 데이터 개인 정보 보호법 인 소비자 데이터 보호법 ( “CDPA”)을 통과했습니다. CDPA는 2023 년 1 월 1 일에 발효됩니다. CDPA는 버지니아에서 사업을 수행하거나 버지니아 거주자에게 제공되는 제품 또는 서비스를 생산하는 사람 또는 단체에 적용되며 개인 데이터를 “통제 또는 처리”합니다. 이 법은 (1) (1) 최소 100,000 명의 소비자의 개인 정보를 통제하거나 처리하거나 (2) 개인 데이터 판매에서 총 수익의 50% 이상을 도출하는 25,000 명의 버지니아 거주자의 데이터를 통제하거나 처리하는 기업에 적용됩니다.
CDPA는 CCPA의 프레임 워크를 밀접하게 따릅니다. 그러나 몇 가지 주요 차이점이 있습니다
- CDPA에는 개인 행동의 권리가 없습니다. 오히려 모든 조치는 버지니아 법무 장관이 가져와야합니다.
- CCPA와 마찬가지로 CDPA는 HIPAA, GLBA, FCRA, FERPA 및 COPPA와 같은 특정 연방법에 의해 이미 규제되는 데이터를 면제합니다. 그러나 CDPA에 따라 GLBA 면제는 데이터 과목뿐만 아니라 금융 기관을 완전히 면제함에 따라 더 넓습니다. 또한 공정 신용보고 법, 운전자 개인 정보 보호법, 연방 교육 권리 및 개인 정보 보호법 및 비영리 단체에 대한 데이터 기반 면제가 있습니다.
- CDPA에는 면제되지 않는 한 민감한 개인 데이터를 처리하기위한 옵트 인 요구 사항이 포함되어 있습니다.
- CDPA는 CCPA보다 “소비자”를 더 좁게 정의합니다. CDPA는 상업적 또는 고용 상황에서 행동하는 것을 제외합니다.
- CDPA에 따라 “개인 정보의 판매”는 고려 사항이 데이터 판매 자격을 갖도록 금전적이어야합니다. 반대로 CCPA는 금전적 또는 “기타 귀중한 고려 사항을 허용합니다.”
제안 된 워싱턴 법
Washington Privacy Act, 상원 법안 6281 ( “WPA”)은 CCPA를 반영하는 법안입니다. GDPR 및 CCPA와 마찬가지로 WPA는 개인 데이터와 관련하여 소비자의 권리를 높이고 소비자 데이터 수집 및 처리에 대해 비즈니스가 투명하게 보장합니다. 또한 WPA를 통해 소비자는 개인 데이터 판매를 거부 할 수 있습니다. WPA는 비즈니스가있는 경우 : (1) 10 만 명 이상의 소비자의 데이터를 통제하거나 처리하거나 (2) 개인 데이터 판매에서 50% 이상을 도출하는 경우 워싱턴 소비자를 대상으로하는 비즈니스에 적용됩니다 그리고 25,000 명 이상의 소비자의 개인 데이터 프로세스 또는 제어.
WPA 및 CCPA는 다음과 같은 중요한 유사성을 갖는다 : (1) 30 일 치료 기간; (2) 비즈니스는 요청시 소비자의 개인 데이터를 삭제해야합니다. (3) 사업에 대한 책임은 소비자에게 사전에 어떤 유형의 개인 정보가 수집하는지, 그러한 데이터가 사용되는 방법. 그러나 그들 사이에는 중요한 차이점이 있습니다
- WPA는 “개인 데이터”정의를 “식별 또는 식별 가능한 자연인”에 관한 정보로 제한하는 반면, CCPA 정의는 광범위하게 유지되며 “특정 소비자 또는 가구와 연결된 정보에 적용됩니다.”
- WPA는 컨트롤러 또는 프로세서의 개인 데이터 처리와 관련하여 현지 법률, 조례 및 규정을 명시 적으로 선점합니다. CCPA는 그렇지 않습니다.
- CCPA와 달리 WPA에는 수익 임계 값 요구 사항이 포함되어 있지 않습니다.
- WPA는 CCPA와 달리 기업이 최종 자동화 된 결정을 내리는 것을 막는 “차별”조항을 포함합니다.
- WPA는 CCPA가 유사한 조항이없는 경우 얼굴 인식 기술을 어떻게 활용할 수 있는지 제한합니다. (얼굴 인정을 사용하는 회사에 대한 새로운 안면 인정 의무는 제정되면 회사가 워싱턴의 생체 인식 프라이버시 법에 따라 직면 한 현재 의무를 초과합니다 (RCW 19.375).))
제안 된 뉴욕 법
제안 된 모든 프라이버시 법률 중에서, 뉴욕 개인 정보 보호법 (S5642) ( “NYPA”)은 언어가 많이 있기 때문에 가장 기대 될 것입니다
GDPR은 미국에서 중요합니다
GDPR 준수 유지 관리는 고객에게만 해당됩니다’ 최선의 관심사이지만 귀하의 비즈니스에서’가장 큰 관심사. 비준수 및 데이터 위반에 대한 공포 이야기는 무거운 벌금을 동반 할 수 있습니다. 비즈니스 규모에 따라 벌금은 연간 전 세계 회전율의 $ 11 ~ 2,100 만 또는 2 – 4% 사이입니다.
미국의 GDPR? 새로운 주 법률은 이것을 현실에 더 가깝게 만들고 있습니다
유럽 연합’일반 데이터 보호 규정 (“GDPR”)는 전 세계에서 가장 어려운 개인 정보 및 보안법으로 잘 알려져 있습니다. 광범위한 범위를 가지고 있으며 개인 정보 및 보안 표준을 위반하는 사람들 (상당히 광범위한)에 대해 큰 벌금을 부과합니다. GDPR의 영향은 2018 년에 발효 된 이후 미국에서 이미 느껴졌으며 지금은 U.에스. 수많은 주에있는 의원들은 비슷한 법안을 제정하기 위해 움직이고 있습니다. 캘리포니아 소비자 보호법 (California Consumer Protection Act) (“CCPA”)는 GDPR의 첫 번째 사례였습니다’캘리포니아에 캘리포니아가 제시 한 것처럼 미국에 대한 영향은 여러 측면에서 TheGDPR을 반영한 법령과 규정을 제시합니다. 이제 버지니아는 1 년 동안 비슷한 법안을 제정하는 일련의 주가 될 수있는 일을 시작했습니다. 특히 워싱턴과 뉴욕은 CCPA의 틀에 따라 법안을 제안했습니다. 이 기사는 CCPA를 미국의 새로 제정하고 제안 된 개인 정보 보호법과 비교할 것입니다.
새로 제정되고 제안 된 개인 정보 보호 행위 :
새로 제정 된 버지니아 법
2021 년 3 월 2 일, 버지니아는 소비자 데이터 보호법을 통과했습니다“CDPA”), 미국의 두 번째 포괄적 인 소비자 데이터 개인 정보 보호법. CDPA는 2023 년 1 월 1 일에 발효됩니다. CDPA는 버지니아에서 사업을 수행하거나 버지니아 주민들에게 제공되는 제품 또는 서비스를 생산하는 사람 또는 단체에 적용됩니다 “제어 또는 프로세스” 개인 정보. 이 법은 (1) (1) 최소 100,000 명의 소비자의 개인 정보를 통제하거나 처리하거나 (2) 개인 데이터 판매에서 총 수익의 50% 이상을 도출하는 25,000 명의 버지니아 거주자의 데이터를 통제하거나 처리하는 기업에 적용됩니다.
CDPA는 CCPA의 프레임 워크를 밀접하게 따릅니다. 그러나 몇 가지 주요 차이점이 있습니다
- CDPA에는 개인 행동의 권리가 없습니다. 오히려 모든 조치는 버지니아 법무 장관이 가져와야합니다.
- CCPA와 마찬가지로 CDPA는 HIPAA, GLBA, FCRA, FERPA 및 COPPA와 같은 특정 연방법에 의해 이미 규제되는 데이터를 면제합니다. 그러나 CDPA에 따라 GLBA 면제는 데이터 과목뿐만 아니라 금융 기관을 완전히 면제함에 따라 더 넓습니다. 또한, 공정 신용 보고법, 운전자에 대한 데이터 기반 면제가 있습니다’S 개인 정보 보호법 및 연방 교육 권리 및 개인 정보 보호법 및 비영리 단체.
- CDPA에는 면제되지 않는 한 민감한 개인 데이터를 처리하기위한 옵트 인 요구 사항이 포함되어 있습니다.
- CDPA가 정의됩니다 “소비자” CCPA보다 더 좁습니다. CDPA는 상업적 또는 고용 상황에서 행동하는 것을 제외합니다.
- CDPA 아래 “개인 정보 판매” 고려 사항은 데이터 판매 자격을 갖추기 위해 금전적이어야합니다. 반대로, CCPA는 금전적 또는 “다른 귀중한 고려 사항.”
제안 된 워싱턴 법
워싱턴 프라이버시 법, 상원 법안 6281 (“WPA”), CCPA를 반영하는 제안 된 법안입니다. GDPR 및 CCPA와 마찬가지로 WPA는 소비자를 증가시킵니다’ 개인 데이터와 관련된 권리 및 비즈니스가 소비자 데이터 수집 및 처리에 대해 투명하게 보장합니다. 또한 WPA를 통해 소비자는 개인 데이터 판매를 거부 할 수 있습니다. WPA는 비즈니스가있는 경우 : (1) 10 만 명 이상의 소비자의 데이터를 통제하거나 처리하거나 (2) 개인 데이터 판매에서 50% 이상을 도출하는 경우 워싱턴 소비자를 대상으로하는 비즈니스에 적용됩니다 그리고 25,000 명 이상의 소비자의 개인 데이터 프로세스 또는 제어.
WPA 및 CCPA는 다음과 같은 중요한 유사성을 갖는다 : (1) 30 일 치료 기간; (2) 사업은 소비자를 삭제해야합니다’요청시 개인 데이터; (3) 사업에 대한 책임은 소비자에게 사전에 어떤 유형의 개인 정보가 수집하는지, 그러한 데이터가 사용되는 방법. 그러나 그들 사이에는 중요한 차이점이 있습니다
- WPA는 다음을 제한합니다 “개인 정보” 에 관한 정보에 대한 정의 “식별되거나 식별 가능한 자연인,” 반면 CCPA 정의는 광범위하게 유지되며 “특정 소비자 또는 가구.”
- WPA는 컨트롤러 또는 프로세서의 개인 데이터 처리와 관련하여 현지 법률, 조례 및 규정을 명시 적으로 선점합니다. CCPA는 그렇지 않습니다.
- CCPA와 달리 WPA에는 수익 임계 값 요구 사항이 포함되어 있지 않습니다.
- WPA는 CCPA와 달리 a를 포함합니다 “차별” 기업이 최종 자동화 된 결정을 내리는 것을 막는 조항.
- WPA는 CCPA가 유사한 조항이없는 경우 얼굴 인식 기술을 어떻게 활용할 수 있는지 제한합니다. (안면 인정을 사용하는 회사에 대한 새로운 안면 인정 의무는 제정되면 기업이 워싱턴 하에서 직면하는 현재 의무를 초과 할 것입니다’S 생체 인식 프라이버시 법 (RCW 19.375).))
제안 된 뉴욕 법
제안 된 모든 프라이버시 법률 중 뉴욕 개인 정보 보호법 (S5642) (“NYPA”) 언어는 CCPA보다 훨씬 더 대담하기 때문에 가장 기대되는 것 같습니다. NYPA는 광범위하게 적용됩니다 “뉴욕에서 사업을 수행하거나 의도적으로 뉴욕 거주자를 대상으로하는 제품 또는 서비스를 생산하는 법인.” 이러한 광범위한 언어를 사용하면 NYPA는 CCPA에서 볼 수 있듯이 수익 임계 값 언어를 생략하면서 가능한 많은 비즈니스에 도달 할 수있는 맞춤형으로 보입니다.
NYPA는 제정되기 전에 변경 될 수 있지만 현재 언어는 CCPA에서 두 가지 방식으로 출발합니다
- 가장 큰 변화는 비즈니스가 “데이터 수탁자.” 제안 된 법률은 다음을 명시합니다 “소비자의 개인 정보를 수집, 판매 또는 라이센스하는 모든 기관은 개인 정보 보호 위험에 대한 소비자의 개인 데이터를 보호하는 것과 관련하여 신탁의 예상, 충성도 및 기밀성을 행사해야합니다.” 이 의무는 “소유자 또는 주주에게 빚진 의무를 대체합니다” 단체의.
- NYPA는 묵시적 동의를 인식하지 못한다. 묵시적 동의를 인정하는 CCPA와 달리 NYPA는 기업이 필요한 경우 소비자로부터 명확하고 사전 예방 적 합의를 얻었음을 입증하도록 요구할 것입니다.
주요 테이크 아웃
GDPR’미국의 영향은 여기에 있으며, 더 많은 주가 소송을 따라 가면서 여기에있는 것으로 보입니다. 각 해안에 대한 두 가지 주요 개인 정보 보호법과 그 사이에 변형이 흩어져 있기 때문에 의회가 궁극적으로 연방법을 통과하여 균일 성을 만들 것인지는 확실하지 않습니다. 그때까지 새로운 법률이 출시 될 때 회사와 기업은 잠재적 규제 조치 및 소송으로부터 자신을 보호하기 위해 최신 상태를 유지해야합니다.
GDPR은 미국에서 중요합니다?
대서양 양쪽의 개인과 기업은 일반 데이터 보호 규정이 EU 법률이기 때문에 EU 국가에만 적용된다고 생각할 수 있습니다. 그러나 그 해석은 결함이 있습니다.
진실은 GDPR입니다’S 응용 프로그램이 더 중요합니다 WHO 당신은 대신 목표를 달성하고 있습니다 어디 귀하의 사업은 기반입니다. 그래서 당신이’EU 고객과의 미국 기반 비즈니스, 귀하’GDPR에주의를 기울이고 준수해야합니다. 일부 미국 기업은 여전히이 시점에서 확신해야합니다.
영국 대 미국 데이터 개인 정보 보호법
GDPR은 유럽 연합의 개인 데이터를 처리하거나 유럽 연합의 사람들의 개인 데이터를 처리하는 거의 모든 사람에게 적용됩니다.
대조적으로, 미국은 똑같이 광범위한 응용 프로그램을 가진 단일 데이터 개인 정보 보호법이 없습니다. 우리는 다양한 연방 및 주법을 발견하여 특정 부문 (예 : 건강 관리)이 주요 초점이되는 단편적인 데이터 보호 체제를 형성하는 다양한 연방 및 주법을 발견했습니다. 필요한 데이터 보호 표준은 주마다 다르 므로이 접근 방식은 준수가 어려울 수 있습니다.
의심 할 여지없이, 우리는 GDPR이 요구하는 표준이 일반적으로 관련 미국 법률에 필요한 표준을 충족시키기에 충분하다는 것을 알았습니다.
무엇’S 다릅니다?
GDPR은 보편적 인 정의를 제공합니다 “개인 정보”; 미국의 동등한 용어는입니다 “개인적으로 식별 가능한 정보”, PII를 구성하는 것은 주법에 따라 다릅니다. 예를 들어, 영국의 재무 데이터 및 국민 보험 수치는 “예민한” 엄격한 법적 정의 측면에서, 그러나 재무 데이터와 사회 보장 번호는 종종 미국 개인 정보 보호법에서 민감한 것으로 간주됩니다.
GDPR은 개인 데이터를 보호해야하며 개인은 데이터 사용 방법을 제어해야한다는 아이디어를 기반으로합니다. 이러한 권리는 삭제, 데이터 이식성, 동의 철회, 부정확 한 데이터, 액세스, 제한 및 이의 제기에 대한 권리가 포함됩니다.
데이터 과목’ 미국의 권리는 훨씬 제한적입니다. 미국 법률은 개인 데이터가 수집되는 시점에서 특정 정보가 데이터 주제에 제공되어야한다는 것을 분명히하지만, 일반적으로 더 이상의 데이터 주제 액세스 권한이 없거나 삭제할 권리가 없습니다. 제한된 데이터 주제 권한은 어린이와 관련이 있습니다’어린이와 같은 S 데이터’부모가 자녀에 대해 웹 사이트에서 수집 한 개인 정보를보고 해당 정보를 삭제하고 수정할 수있는 S 온라인 개인 정보 보호 보호법.
새로운 캘리포니아 소비자 개인 정보 보호법은 캘리포니아 주민들에게 다양한 권리를 소개합니다. 이들은 데이터 사용 방법을 이해하고, 지우고, 정보를 판매 할 수있는 비즈니스를 거부 할 수 있습니다.
GDPR에 따라 EEA 외부의 개인 데이터 전송은 제한되어 있습니다. 원칙적으로 개인이 이용할 수있는 데이터 권한이’국제 공급자가 사용되고 있기 때문에 T가 손상되었습니다. 이것은 일반적으로 개인 데이터의 국제 전송이 EU-US 개인 정보 보호 방패, 모델 계약 조항 또는 구속력있는 기업 규칙의 대상이 될 것임을 의미합니다.
대조적으로, 미국 법에 의해 부과 된 미국 이외의 개인 데이터 전송에 대한 제한은 거의 없습니다. 미국 법과 규정이 미국을 떠난 후 데이터에 계속 적용되는 반면, 이는 주로 미국 단체가 데이터에 대한 책임을 지도록하는 데 중점을 둡니다.
GDPR은 데이터 보호 위반에 대한 최대 처벌을 연간 전 세계 회전율의 4% 또는 4%로 확대했습니다. 대조적으로, FTC (Federal Trade Commission)는 범죄 당 최대 $ 16,000의 벌금을 부과 할 수 있습니다.
무엇’너무 다르지 않습니다?
하지 말아야합니다’T 우리는 모든 것에 대한 동의를 얻습니다?
동의 수집은 종종 데이터 관행을 자세히 고려하지 않는 간단한 방법으로 간주됩니다. 허락하다’S 데이터 주제를 얻으십시오’동의 모든 것, 오른쪽? 잘못된.
동의는 개인 데이터 처리를 합법화 할 수있는 6 가지 방법 중 하나이지만 유일한 사람은 아니며 종종 과도하게 사용됩니다. GDPR과 미국 데이터 보호법은 모두 여기에 정렬됩니다’모든 것에 대한 동의가 필요합니다.
EU에서 데이터 보안 위반이있는 경우 데이터 컨트롤러는 국가 감독 당국에 통지해야하며 일부 상황에서는 데이터 컨트롤러도 데이터 주제에 알릴 필요가 있습니다. 미국에서는 데이터 위반 알림도 필요하며, 50 개 주 중 48 개 주가 이제 보안 위반 알림 법을 제정했습니다.
GDPR US 동등한 : 미국과 EU가 데이터 개인 정보 보호법을 비교하는 방법
만약 너라면’VE는 지난 몇 년 동안 웹 사이트를 방문하거나 이메일을 확인했습니다’의심 할 여지없이 GDPR에 익숙합니다. 개인 정보 보호 정책 업데이트 및 웹 사이트에 대해 알려주는 회사는 귀하의 쿠키 선호도를 관리하라는 메시지를 표시합니다.
유럽 연합에서 초안을 작성하고 채택 했음에도 불구하고 GDPR은 전 세계적으로 영향을 미칩니다. 귀하의 비즈니스가 전망 및 고객 데이터를 관리하는 방식에 미치는 영향 외에도 포괄적 인 정책은 미국을 포함하여 전 세계 데이터 개인 정보 보호법에 영향을 미쳤습니다. 연방 차원에는 GDPR US가 없지만 캘리포니아와 같은 개별 주에서는 유사한 정책을 시행했습니다.
지역, 연방 및 국제 규제 요구 사항을 유지하는 것은 비즈니스에 필수적입니다.
GDPR에 대한 간단한 개요
2016 년 유럽 연합 (EU)이 제정 한 GDPR (General Data Protection Regulation)은 EU 시민 및 주민의 개인 데이터를 취득, 관리 및 처리하는 표준을 설정하는 포괄적 인 규제입니다. GDPR의 범위 내에서 개인 데이터는 식별 가능한 자연인과 연결되는 정보입니다 “데이터 주제.”
GDPR의 가장 중요한 요소는 규정이 데이터 주제의 명시 적 동의없이 개인 데이터를 수집, 저장 또는 사용할 수있는 조직이 없다는 것입니다.
개인 식별 정보의 광범위한 스펙트럼 (PII)
GDPR은 규제 된 데이터를 재무 또는 건강 정보로 제한하는 유사한 미국 데이터 보호법과 달리 위치 정보, IP 주소 및 쿠키 데이터를 포함하여 데이터 주제에 연결될 수있는 다양한 정보를 보호하고 규제합니다. 개인 식별 정보의 우산 아래에서, 비즈니스가 리드 캡처 양식 또는 광고 픽셀을 통해이 정보를 수집하거나 처리하는 경우’GDPR 준수를 담당합니다.
비준수의 영향
GDPR 준수 유지 관리는 고객에게만 해당됩니다’ 최선의 관심사이지만 귀하의 비즈니스에서’가장 큰 관심사. 비준수 및 데이터 위반에 대한 공포 이야기는 무거운 벌금을 동반 할 수 있습니다. 비즈니스 규모에 따라 벌금은 연간 전 세계 회전율의 $ 11 ~ 2,100 만 또는 2 – 4% 사이입니다.
GDPR은 미국의 비즈니스에 어떤 의미가 있습니까??
우리는 GDPR이 미국의 비즈니스를 포함하여 광범위한 영향을 미친다는 것을 알고 있습니다. AREN이라면 GDPR 요구 사항을 무시하는 것은 쉽습니다’T 다국적 회사, 당신은. 당신이하지 않더라도’웹 사이트를 포함한 디지털 부동산이 EU 또는 유럽 경제 지역 (EEA)의 방문자를 유치하는 경우 EU 거주자에게 데이터를 수집하거나 판매하려고합니다.
EU 회원국의 방문자가 귀하의 웹 사이트에 도착하여 블로그에 가입하거나 연구 논문을 다운로드한다고 가정 해. Google 또는 LinkedIn 광고를 통한 리 타겟팅 노력은 브라우저에서 추적 픽셀을 떨어 뜨릴 수 있습니다. 그 사용자는 이제 데이터 주제이며’VE 데이터 처리를 시작했습니다.
민감한 데이터 수집에 사용할 수있는 풍부한 시나리오를 사용하면 GDPR 준수를위한 모범 사례를 유지하는 것이 미국 비즈니스에 필수적입니다. 그러나 규제 요건 외에도 GDPR.
당신을 위해 추천 된
개인적으로 식별 가능한 데이터는 무엇입니까??
개인 식별 가능한 데이터를 정의하는 것이 무엇인지 이해하면 GDPR이 비즈니스에 적용되는지 평가하는 데 도움이됩니다.
미국은 비슷한 데이터 보호법을 가지고 있습니까??
연방법은 아직 GDPR의 정도까지 데이터 보안 및 데이터 처리를 아직 다루지 않았지만 주법은 미국에서 GDPR 동등한 역할을합니다. 2022 년 현재 유타, 콜로라도, 버지니아, 코네티컷 및 캘리포니아를 포함한 5 개 주에는 모두 소비자 개인 정보 보호법이 있습니다. 한편, 15 개 이상의 주가 그들 자신의 유사한 법률을 고려하고 있습니다.
캘리포니아 주민의 데이터 보호
2018 년에 통과 된 캘리포니아 소비자 개인 정보 보호법 (CCPA)은 미국에서 GDPR에 대한 응답으로 미국 최초의 주, 주정부의 데이터 개인 정보 보호 위반. 유한 한 규모로는 유한 한 데이터 보호 규정을 자랑합니다.
- 개인 정보 대. 개인 정보: 종종 상호 교환 적으로 사용되지만 CCPA는 특히 주소를 지정하고 보호합니다 개인 정보 그것은 합리적으로 a에 연결될 수 있습니다 소비자 캘리포니아에서
- 소비자 대. 데이터 과목 : GDPR은 EU (미국 시민 포함)에 거주하는 모든 데이터 과목을 보호하지만 CCPA의 범위는 캘리포니아 주민,보다 구체적으로 소비자의 정보로 제한됩니다
- 영리 사업 대. 데이터 프로세서 : CCPA는 캘리포니아 소비자의 데이터를 처리하는 특정 비영리 회사를 규제하는 반면 GDPR은 규제 지침을 제공합니다 어느 EU 회원국 안팎에서 다국적 기업을 포함한 데이터를 처리하는 조직
- 필수 감독 : GDPR은 데이터 보호 책임자 (DPO)의 고용이 준수를 감독하고 감사 목적으로 연락 담당자 역할을하도록 요구하지만 CCPA는 감독을위한 그러한 요구 사항이 없습니다
2023 년 1 월, CCPA의 수정 인 캘리포니아 개인 정보 보호 권리 법 (CRPA)은 시행되었습니다. 이는 법률 및 보호에 의해 영향을받는 사람에 대한 명확한 정의를 포함하여 CCPA 내에 대한 새로운 요구 사항, 권리 및 집행 메커니즘에 대해 제공되었습니다 “민감한 개인 정보.” 구체적으로:
- 5 만 명의 주민의 개인 정보를 10 만 명 이상으로 구매, 판매 또는 공유하는 사람들로부터 사업의 임계 값을 확장
- 민감한 개인 정보를 정부에서 발행 한 식별자, 재무 정보, 지리적 위치 데이터, 인종, 종교 등과 같은 인구 통계를 포함하여 새로운 범주의 민감한 개인 정보를 정의합니다
높은 수준에서 두 정책 모두 개인 데이터에 대한 명확성과 제어 및 그러한 데이터 처리에 대한 명확성과 제어를 제공합니다. GDPR과 관련하여 건강 및 재무 데이터는 개인 식별 가능한 정보의 더 큰 우산에 속합니다. 미국에서는 유사한 데이터가 여러 연방법을 통해 광범위하게 규제됩니다.
환자 건강 데이터 보호
1996 년 통과 된 건강 보험 휴대용 및 책임 법 (HIPAA)은 보호 된 건강 정보 (PHI)를 규제합니다. PHI를 처리하는 조직 “다루는 개체” 청구 또는 EHR 회사와 같은 의료 서비스 제공자 또는 비즈니스 직원과 마찬가지로 HIPAA 규정 준수를 담당합니다. 비즈니스가 환자 기록, 지불 정보, 생체 인식 데이터 또는 건강 플랜 정보를 활용하거나 처리하는 경우 귀하’RE는 HIPAA 규정 준수를받을 가능성이 높습니다.
지불 및 신용 카드 거래 규제
한편, 1999 년에 제정 된 GRAM-LEACH-BLILEY ACT (GLBA)는 금융 기관이 개인 데이터 사용에 더 큰 접근과 투명성을 제공해야합니다. GLBA 규정 준수 유지 관리 고객과 같은 민감한 데이터에 대한 의사 소통’이름, 주소, 전화 번호 또는 계정 및 사회 보장 번호가 처리 및 공유됩니다. CCPA 및 CPRA 및 GDPR과 유사하게, 기관은 제 3 자와 공유되는 데이터를 거부 할 수있는 기회를 제공해야합니다.
CCPA 및 GDPR과 마찬가지로 HIPAA 및 GLBA를 준수하지 않으면 기관에 크게 영향을 줄 수 있습니다. 반복 HIPAA 범죄는 최대 $ 250,000까지 벌금을 조정하여 규정 준수 유지에 대한 명확한 인센티브를 제공 할 수 있습니다.
미국 정부 기관과의 권리 확립
CCPA는 영리 조직을 규제하기 때문에 IT’S는 주로 상업적 목적으로 활용되는 데이터로 제한됩니다. 1974 년 개인 정보 보호법은 공공 부문이 귀하의 데이터를 관리하는 방법을 규제합니다.
현재 풍부한 정보를 저장할 수있는 데이터베이스 및 컴퓨터의 발병에 대한 응답으로 작성된 개인 정보 보호법은 연방 기관에 데이터 보호, 유지 보수 및 보급에 대해 안내합니다. 이 법은 미국 시민들이 자신의 개인 데이터에 관한 4 가지 권리를 부여합니다
- 대행사는 요청시 개인에게 보관 된 기록을 공유해야합니다
- 대행사는 따라야합니다 “공정한 정보 관행,” 데이터 에이전시의 범위와 품질을 정의하는 것은 합리적으로 수집하고 관리 할 수 있습니다.
- 대행사는 대행사 또는 다른 개인과 개인 데이터를 공유하기위한 제한적 지침을 준수해야합니다.
- 대행사는 위의 권리를 위반 한 것에 대해 고소 될 수 있습니다.
그것’개인 정보 보호법이 모든 것을 포괄하는 것이 아니라는 점에 유의해야합니다. 연방 조사국 (FBI) 및 중앙 정보국 (CIA)과 같은 법 집행을 담당하는 정부 기관은 입법에서 면제됩니다. 또한,이 행위는 이용할 수 있습니다 “일상적인 사용” 미국 인구 조사에서 사용하는 것과 같은 다른 면제.
미국의 데이터 보호법에 대한 미래는 무엇입니까??
미국의 GDPR과 관련하여 데이터 보호는 포괄적 인 접근 방식보다 부분의 합계입니다. 캘리포니아 소비자 개인 정보 보호법 또는 버지니아 소비자 데이터 보호법과 같은 법률은 개별 주 국경 내에서 비슷한 개인 정보 보호법에 대한 유사한 요구를 충족합니다.
국경 간 데이터 전송과 세계 경제의 존재는 더 많은 미국 기업이 GDPR 준수를 달성 할 필요성을 유발하지만 IT’보편적 인 요구 사항이 아닙니다.
미국’ 데이터 보호 및 투명성 정책에 대한 접근 방식은 지난 몇 년 동안 패치 워크였습니다. 그러나 2022 년은 개인 정보 보호 위반과 데이터 개인 정보에 대한 응집력있는 국가 정책을 만들기위한 의회의 새로운 노력을 통해 연방 무역위원회가 부과하는 상당한 벌금을 부과했습니다.
연방 무역위원회는 규정 준수 위반을 시작합니다
구체적으로, FTC는 Epic Games에게 어린이를 침해하기 위해 5 억 달러 이상의 벌금을 지불하도록 명령했습니다’오해의 소지가있는 사용자 인터페이스 디자인을 통한 온라인 개인 정보 보호 보호법 (COPPA) 또는 “어두운 패턴” 이로 인해 어린이와 청소년이 내린 수천 개의 의도하지 않은 구매 및 개인 정보 보호 결정이 발생했습니다.
또한 40 명 이상의 변호사 연합이 위치 데이터 처리보다 3 억 5 천만 달러의 Google과 함께 랜드 마크 정착에 도달했습니다. 이 결정은 미국 정보 보안 규제 및 특정 개인 정보 보호법을 위반하는 데있어 기업이 재정적으로 책임을 질 수있는 방법에 대한 유역 순간을 표시합니다.
포괄적 인 데이터 개인 정보 보호법은 잠재적으로 토론을위한 것입니다
기존 법률의 영향은 미국의 GDPR과 동등한 포괄적 인 대화를 다시 활성화 시켰습니다. 2022 년 ADPPA (American Data Privacy and Protection Act)는 이당 지원과 함께 의회위원회를 통과했습니다. 그러나 그것은 하원 의원에서 투표를하지 않았다. 이 법안은 캘리포니아 소비자 개인 정보 보호법을 선점하고 2023 년 토론 및 결정을위한 옵션으로 남아 있습니다.
이질적인 데이터 개인 정보 보호법을 설명하는 방법
비준수의 영향은 ISN입니다’T 벌금 및 형사 처벌에 제한됩니다. 데이터 유출의 고객 영향은 커지고 신뢰를 유지하면 종종 회사에 힌지가있을 수 있습니다’S 정보를 보호하는 능력.
많은 법적 지침, 프로토콜 및 규정을 따라야 할 때 비즈니스가 데이터 보안 곡선보다 어떻게 앞서 나갈 수 있습니까??
팀에 적합한 고용을 만듭니다
어떤 경우에는 앞으로의 길은 매우 평범합니다. 귀하의 비즈니스에 따라 GDPR은 데이터 보호 책임자 또는 DPO를 고용해야 할 수도 있습니다. DPO의 책임에는 직원에게 규정 준수 및 데이터에 대한 교육 및 정기 보안 감사 수행이 포함됩니다. DPO는 또한 감사를 위해 회사 데이터에 액세스하기위한 주요 연락처 역할을합니다.
데이터 보호 담당자 및 기타 보안 및 규정 준수는 비즈니스가 끊임없이 변화하는 정보 보안법 환경을 모니터링 할 수 있도록 필수적입니다. 비즈니스에 대한 명확한 가시성이 있습니다’ 데이터 관행 및 정보 보안, 그러한 역할은 규정 준수 자세를보다 원활하게 모니터링, 조언 및 유지 관리 할 수 있습니다.
파트너와 함께 일합니다
팀원을 고용하여 이러한 트렌드의 비즈니스 영향을 모니터링하고 결정하는 동안 스타트 업에 있지 않을 수 있습니다’S 로드맵, 특정 단계에 대한 보안에 접근하는 방법을 지속적으로 평가해야합니다. 즉, 규제 준수의 변화가 비즈니스 운영에 어떤 영향을 줄 수 있는지 이해하기 위해 보안 재단, 도구 및 데이터 관행을 염두에두고 있습니다.
어디서부터 시작 해야할지 모르겠습니다? 전문가 중 한 명과 이야기하면서 시작하십시오.
더 많은 콘텐츠를 탐색하십시오
귀하의 비즈니스는 개인 식별 가능한 데이터를 처리합니까??
개인 식별 가능한 데이터와 관련하여 GDPR의 범위와 비즈니스의 의미에 대해 자세히 알아보십시오.
이 게시물이 네트워크와 공유하십시오
u.에스. GDPR과 유사한 전국 데이터 개인 정보 보호법을 채택하십시오?
질문을 들었습니까?, “미국은 녹는 냄비 또는 샐러드 그릇입니다?” 허락하다’S 데이터 개인 정보 보호법에 해당 개념을 적용합니다. 오늘, u에서.에스. 일관된 국가 데이터 개인 정보 보호법은 없습니다. 대신 기업은 a를 이해하려고 노력하고 있습니다 ‘혼합 샐러드’ 개별 국가 및 산업 기반 규제 기관에 의해 시행되는 다양한 규정 및 법률.
전국 데이터 개인 정보 보호법의 필요성
기술이 우리 삶의 많은 측면을 계속 발전시키고 영향을 미치면서 디지털 환경은 실제로 데이터 개인 정보 보호를 보장하고 시행하기위한 가장 중요한 프레임 워크를 요구합니다.
혼란과 비 효율성을 제거하십시오
오늘날 비즈니스는 국경 내에서 운영되지 않습니다. 공급 업체, 공급 업체, 고객 및 비즈니스 어소시에이트는 모든 작업을 수행하여 주 및 국제 국경을 넘어 운영을 확장합니다. 종종 그들은 또한 여러 산업에서 비즈니스에 의존하거나 의존합니다. 다양한 연방, 주 및 산업 관련 규정을 탐색해야한다는 것은 단체, 평가자 및 규제 기관에 대한 혼란과 비 효율성을 만듭니다.
과도한 준수 부담을 피하십시오
마찬가지로 여러 표준이 발효되면보고 및 규정 준수 프로세스에는 기업의 시간, 노력 및 돈이 더 필요합니다.
GDPR이 2018 년 5 월 이후 처음으로 나왔기 때문에 많은 미국 및 다국적 기업은 이미 GDPR 준수에 도달하고 유럽 고객과의 사업을 계속하기 위해 노력했습니다. 추가 준수 부담을 피하기 위해 u.에스. 데이터 프라이버시 법률은 GDPR이 이미 설정 한 표준에 가깝게 유지해야합니다.
규정이 더 이상 사용되지 않도록합니다
유.에스. 현재 책에있는 데이터 개인 정보 보호법은 과거에 작성되었으며 다른 환경을 조절하도록 설계되었습니다. 이제 우리는 개발 기술을 해결하기에 충분히 유연한 규정이 필요하지만 앞으로도 여전히 적용 할 수 있습니다.
개인 정보 보호를 강화합니다
간격과 중첩은 여러 규정의 자연스러운 결과입니다. 어떤 경우에는 서로 충돌하고 있습니다. 그러나 개인 데이터가 점점 취약 해지는 시대에는 개인 정보 보호가 그 어느 때보 다 중요합니다. 가능한 가장 강력한 보호 수준을 제공하기 위해 모든 유형의 개인 정보를 모든 형태의 모든 유형의 개인 정보를 포괄적으로 다루는 규정은 명확해야합니다.
유.에스. 데이터 개인 정보 보호법
미국에는 GDPR과 같은 연방 데이터 개인 정보 보호법이 없습니다. 특정 산업에서 데이터 사용을 규제하기 위해 시행 된 몇 가지 국가 법이 있습니다.
- 1974 – 유.에스. 프라이버시 법미국 정부 기관이 보유한 데이터에 대한 권리 및 제한 사항을 설명하는.
- 1996 – 건강 보험 휴대 성 및 책임 법 (HIPAA) 의료 업계의 개인 정보 및 보안을 규제하는 (HIPAA).
- 1999 – 문법-침금류 행위 (GLBA) 소비자를 지배하는 (GLBA)’ 비 공개 개인 정보 보호 정보는 금융 산업에서 수집 및 사용됩니다.
- 2000 – 어린이들’S 온라인 개인 정보 보호법 (COPPA) 미성년자로부터 수집 한 개인 정보를 규제하는 첫 단계를 밟았습니다. 이 법은 특히 온라인 회사가 12 세 이하 어린이에게 PII를 요구하는 것을 금지합니다’검증 가능한 부모의 동의.
이제 우리는 2020 년에 자신을 발견합니다. 그리고 20 년 동안 데이터 개인 정보 보호 모범 사례의 통합 프레임 워크 (주 및 산업 전반에 걸쳐 통일 된 프레임 워크)에 대한 상당한 진전이있었습니다. FTC는 기술 및 소셜 미디어 대기업에 처해있는 유일한 안내 인력으로, 데이터가 제 3 자에게 어떻게 수집되어 판매되는지에 대해 사용자를 오해했습니다.
그러나 벌금은 효과적인 형태의 규제가 아니며 그들은’회사가 모범 사례를 이해하고 구현하도록 도와줍니다. 무엇’필요한 것은 효과적인 데이터 개인 정보 보호 정책 및 관행을 개발하는 데있어 엔티티를 안내하는 프레임 워크입니다. 위반을 처벌하는 것이 아니라 – 상단에서. 진실은 Facebook 및 Zoom과 관련된 사례에 대해 여기에있을 수 있지만 비효율적 인 보안의 다른 사례가 눈에 띄지 않게 될 수 있습니다?
u의 차이.에스. EU 데이터 개인 정보 보호법
우리는 할 수 있습니다’t가 있기 때문에 공정한 비교를합니다’t (아직) a u.에스. GDPR에 해당합니다. 본질적으로 EU는 프라이버시를 시민의 기본 권리로 존중합니다. GDPR은 이러한 권리를 보호하기 위해 설계된 포괄적 인 개인 데이터 보호 프레임 워크입니다. EU 회원국 및 EU 거주자와 상호 작용하는 국제 단체에서 운영하는 회사를 통제합니다.
제안 된 규정에는 미국 데이터 보급법, 소비자 데이터 보호법 및 데이터 관리법이 포함됩니다. 그러나이 시점에서 의회에서 새로운 법이되기 위해 충분한지지를 얻지 못했습니다.
Vigor에서 가장 가까운 국가 법은 아마도 환자 개인 정보 및 건강 관리 정보를 보호하기 위해 설계된 HIPAA 일 것입니다. 그러나 우리는 모든 산업에서 소비자 개인 정보 및 데이터 보안을 다루는 규정이 부족합니다.
Un-Un-Unized Data Privacy 상태
최근 몇 년 동안, 우리’VE SEEN SEEL은 자신의 소비자 데이터 개인 정보 보호 규정을 소개합니다. 캘리포니아 소비자 개인 정보 보호법 (CCPA)과 매사추세츠 데이터 보호법은 두 가지 강력한 예입니다. 다른 주에서는 이미 모든 비즈니스에 적용되는 자체 데이터 보호법을 제정했습니다. 이 상태에는 다음이 포함됩니다
- 아칸소
- 콜로라도
- 코네티컷
- 플로리다
- 인디애나
- 캔자스
- 메릴랜드
- 미네소타
- 네바다
- 뉴 멕시코
- 오레곤
- 로드 아일랜드
- 텍사스
- 유타
각 주에서는 주 거주자의 개인 소비자 정보를 보유하는 회사가 해당 정보를 보호하도록 요구하는 자체 데이터 보호법을 개발하고 채택했습니다. 그래서 ‘샐러드 그릇’ 수수께끼. 통치 세력이 녹지 않으면 각 국가는 혼자 행동해야하며 규정 준수는 혼란스럽고 일관성이 없습니다.
다국적 기업이 GDPR 준수에 관심이 필요한 이유는 무엇입니까??
다국적 비즈니스와 관련된 비 EU 계열사는 GDPR에 신경을 써야합니다. 아마도 EU 국가에 거주하는 고객이 있기 때문입니다. 거래 중에 다국적 기업이 수집하는 EU 소비자 데이터가 하나의 중앙 시스템에서 전 세계 계열사에 이르기까지 액세스 할 수있는 경우, 이들 회사는 국경 간 데이터 전송이 GDPR 요구 사항을 준수하도록 보장하기 위해 데이터가 어떻게 흐르는지 이해하는 것이 필수적입니다.
GDPR 준수를 우선 순위로 삼는 또 다른 중요한 이유는 비준수가 다국적 기업이 지정된 데이터 보호 당국 (DPA)이 원인을 찾을 때 부과 할 권한을 부여하는 실질적인 행정 벌금을 부과하기 때문입니다. GDPR 비준수에 대한 처벌은 회사의 4 %입니다’S 전세계 총 매출 또는 2 천만 유로. 이러한 처벌은 책임있는 기관이 단지 소수의 직원 만있는 자회사 일지라도 적용 할 수 있으므로 다국적 기업이 자회사가 탑승하는지 확인해야합니다.
또한 DPA는 EU에서 U로 데이터 전송을 막거나 금지 할 수있는 전력을 보유합니다.에스. 모회사가 비준수 문제를 발견 한 경우.
데이터 개인 정보 보호 규정 준수에 대해 혼란 스럽습니까??
나와 이야기하십시오.에스. 파트너, LLC. 우리는 귀하의 조직이 귀하의 활동에 적용되는 규정을 결정하고 완전한 규정 준수를위한 전략을 구축하도록 도울 수 있습니다.
