Luật bảo mật dữ liệu ở Hoa Kỳ

Các vấn đề về quyền riêng tư dữ liệu và các quy định tương ứng là một số thách thức lớn nhất mà các công ty phải đối mặt ngày nay. Trong khi các công ty bị ảnh hưởng bởi GDPR đã cảm nhận được làn sóng tiền phạt, yêu cầu và tiêu chuẩn ban đầu, thì quyền riêng tư hiện là một vấn đề quốc tế.

Hoa Kỳ đã bắt đầu hướng tới quy định mang tính cách mạng về quyền riêng tư. Với các luật được thông qua ở California và Nevada và các dự luật được lên kế hoạch ở nhiều bang khác, các công ty sẽ bị ảnh hưởng trong những tháng tới.

Bài viết này phân tích các phần quan trọng của luật / dự luật quy định về quyền riêng tư của mỗi tiểu bang - bao gồm đối tượng mà họ bao che, thời điểm có hiệu lực, hình phạt, cách đạt được sự tuân thủ cũng như lý do tại sao các bang thực hiện các bước trước chính phủ liên bang để bảo vệ dữ liệu cá nhân của người tiêu dùng.

Đạo luật về quyền riêng tư của người tiêu dùng California

Là một trong những luật về quyền riêng tư đầu tiên được thông qua sau GDPR, CCPA đang hoạt động như một kế hoạch chi tiết cho các dự luật khác ở Hoa Kỳ. Có hiệu lực từ ngày 1 tháng 1 năm 2020, CCPA áp dụng cho một doanh nghiệp thu thập / xử lý dữ liệu cá nhân của cư dân California hoặc hoạt động kinh doanh tại California. Các doanh nghiệp này phải tuân theo CCPA nếu họ:

Vượt quá tổng doanh thu 25 triệu đô la

Mua, nhận, bán hoặc chia sẻ (tổng số kết hợp) thông tin cá nhân của 50.000 hộ gia đình hoặc thiết bị người tiêu dùng trở lên

Kiếm được 50% doanh thu hàng năm trở lên từ việc bán thông tin cá nhân của người tiêu dùng

CCPA cấp các quyền cho người tiêu dùng tương tự như GDPR, bao gồm việc tiết lộ thông tin cá nhân và yêu cầu dữ liệu cá nhân. Các doanh nghiệp được yêu cầu phản hồi các yêu cầu có thể xác minh của người tiêu dùng với thông tin, chẳng hạn như danh mục và dữ liệu thông tin cá nhân, bên thứ ba và danh mục bên thứ ba mà dữ liệu được chia sẻ, v.v.

Phần, được gọi là Yêu cầu chủ đề dữ liệu (DSR) cấp cho người dùng quyền truy cập vào các tùy chọn xóa đối với thông tin cá nhân của họ. Ngoài ra, CCPA yêu cầu các doanh nghiệp hiển thị liên kết “Không bán thông tin cá nhân của tôi” trên trang chủ của họ. CCPA sẽ được thực thi bởi Bộ trưởng Tư pháp và bao gồm tiền phạt lên đến $ 7,500 cho mỗi vi phạm cá nhân.

Luật Bảo mật của Nevada

Luật về quyền riêng tư của Nevada được ký vào ngày 29 tháng 5 năm 2019 và có hiệu lực vào ngày 1 tháng 10 năm 2019, ba tháng trước CCPA được biết đến nhiều hơn. Các luật rất giống nhau nhưng có sự khác biệt lớn về cách định nghĩa “bán”. Luật của Nevada hẹp hơn, không bao gồm tất cả các nhà cung cấp dịch vụ và khoan dung hơn đối với các tổ chức tài chính. Theo InfoLawGroup, luật CCPA và Nevada giống nhau ở chỗ cả hai đều yêu cầu “các doanh nghiệp đưa ra quy trình để xác minh tính hợp pháp của yêu cầu từ chối của người tiêu dùng và yêu cầu các doanh nghiệp phải trả lời yêu cầu trong vòng 60 ngày”. Tương tự như California, việc thực thi của Nevada nằm ở Bộ trưởng Tư pháp và bao gồm tiền phạt lên đến 5.000 đô la cho mỗi vi phạm.

Dự luật về quyền riêng tư của New York

Vào tháng 5 năm 2019, Thượng nghị sĩ bang New York Kevin Thomas đã giới thiệu một trong những dự luật mang tính cách mạng nhất về quyền riêng tư dữ liệu. Các yêu cầu là tiêu chuẩn và bao gồm khả năng cho người dân truy cập, sửa, xóa và giữ dữ liệu cá nhân của họ khỏi các bên thứ ba.

Tuy nhiên, các điều khoản mở rộng hơn đã được thêm vào, chẳng hạn như nghĩa vụ đối với các công ty con dữ liệu và quyền cho người dân nộp đơn kiện các công ty nếu họ bị thương vì lý do vi phạm. Quyền hành động riêng tư này là một trong những điểm khác biệt lớn nhất với các quy định khác và có thể khuyến khích người tiêu dùng truy lùng các công ty thiếu tuân thủ. Dự luật cũng rộng hơn CCPA, bao gồm bất kỳ công ty nào nắm giữ "dữ liệu nhạy cảm của cư dân New York", không yêu cầu doanh thu đối với các tổ chức được bảo hiểm.

Với luật được thông qua ở hai bang, các dự luật được đề xuất ở các bang khác và chín bang thông qua luật thông báo vi phạm dữ liệu mới, chúng ta đang chứng kiến ​​sự khởi đầu của một sự thay đổi lớn theo hướng bảo vệ dữ liệu người tiêu dùng và trách nhiệm giải trình đối với các doanh nghiệp kiểm soát và xử lý nó.

Để duy trì sự tuân thủ, các doanh nghiệp phải nhận thức được các luật hiện hành, các quy định trong tương lai tại các công trình và tiềm năng của các tiêu chuẩn khác nhau trên khắp Hoa Kỳ. Tạo quy trình xử lý dữ liệu, khả năng chuyển dữ liệu và ánh xạ, cũng như kiểm soát chọn tham gia của người dùng là một vài trong số các phương pháp cần thiết cho các doanh nghiệp thu thập dữ liệu cá nhân.