官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
CCPA专题-学习一点数据安全隐私
前言:笔者持有CISA、CIPM等多项认证,目前安全咨询总监,开展多项数据安全隐私项目,经验丰富。
开此专题的初衷为,近年来数据安全、安全运营专题火热,但数据隐私仍然为行业市场关注的热点,存在有大的商机机会,笔者希望通过自己的经验,给到大家最好的数据安全隐私建设的指导,避免绕弯路,毕竟学习过程曲折,所以大家如果感兴趣这个板块,请持续关注!创作不易,在熬夜学了无数的知识、项目积累过程中,希望能够成体系对大家的隐私建设工作起到帮助。
而隐私重中之重是还是要懂法,法条还是要看的,安全也要研究的,如果法条不看直接去提供服务,势必又会回到行业目前现状“忽悠专家”,我之前也写过,希望这个市场不是“忽悠”为佳。
CCPA-篇章大致的规划详述
CCPA介绍上就不详述了,篇章1、2部分重点围绕第一步法条研究,这部分工作很多安全公司会委托律所进行,但涉及到安全的板块,及法条部分,其实安全公司完全可以尝试下,那篇章1废话不多说,第一步基于法条来看,CCPA重点强调消费者权利,因此我们需要对法条以及分布,有非常清晰的认识,而法条为全英,对于很多小伙伴读起来不友好,那我就把这部分,给大家归纳总结好,主打一个“保姆式”服务,所以也希望大家多多加更。
因此第一章聊聊:个人信息主体权益保护的要点在大范围的立法篇章中包含哪些模块?他们之间的关系如何,具体的法条要求的部分在哪里?(这部分笔者看了大量的素材,综合专业知识,尽可能用最通俗的划分给到大家明确,此部分有助于后期拆解跟隐私安全相关的要点的基础,尤为重要)。
CCPA-基于个人信息主体权益保护的要点
第一步研究应当为对法条所涵盖部分的信息检索及收集,因此,我们需要对法条进行细致梳理研读,网络上非常多版本概括,我做了一些总结,比较靠谱的大家可以看以下部分:
根据CCPA法案具体要求,通篇围绕来看,拆解研究所有的法条,可概述为以下几项部分
知情权: 个人有权知道其个人信息被收集、使用、披露的目的。
访问权: 个人有权请求访问其被收集的个人信息。
删除权: 个人有权请求删除其被收集的个人信息。
拒绝销售权: 个人有权拒绝其个人信息被出售。
平等服务权: 个人有权享有平等的服务和价格,不因行使其CCPA权利而受到歧视。
未成年人数据保护: 针对未满16岁的未成年人,需获得明确的授权同意。
CCPA-基于个人信息主体权益保护的法条(位置对应)
知情权:CCPA法案第1798.100至1798.199章节,重点在1798.110(a)和1798.130
访问权:CCPA法案第1798.100至1798.199章节,以1798.110(a)和1798.130中涉及到的访问为依据,分散在法条各个部分。
1798.110(a)
例如1798.199.15(e),
1798.140(q)(2)中,针对涉及教育系统数据收集访问规定(request以1798.110为依据):
Regulations Issue1798.185(14)中“maximizing最大限度提升消费者访问个人数据的权利”
1798.145 Exemptions-Maintaining免除声明(j)(3),(a)(4)
(a)(4)紧急访问说明
1798.140-Definitions(f):基于1798.110篇章的“collects”部分强调访问权。
删除权:CCPA法案第1798.100至1798.199章节,重点在1798.105
1798.105整章,对删除权约束
1798.145Exemptions免除声明部分
1798.130定义
拒绝销售权:CCPA法案第1798.120章节
1798.120整章(其他为补充强调)
1798.145(o)(1)
平等服务权:CCPA法案第1798.125章节
未成年人数据保护权:CCPA法案第1798.120章节
1798.120章节,通常要求为监护人授权
CCPA-法条+研读后的实际使用用法
这个部分的使用方法非常多,首先省掉了大家查阅的时间,大家可以使用起来,变更后形成以下的几个方向:
(1)相关规则解读
(2)咨询工作对标依据
(3)立法研究的第一步
(4)知晓了解CCPA涉及个人信息权益保护部分的要点
CCPA-下一篇章介绍
下篇会围绕数据隐私安全及实施要点,给大家开展进行方法的详细说明,大家可以蹲一波!后续这个话题会做成一个具体的输出专栏,请大家持续关注,感谢。