企业如何制定新年的全球隐私合规计划？

来源：IAPP

翻译：帕格健，上海交大法学院硕士生

做好十全的准备并制定详细的战略是应对不断变化的环境的关键要素。每个组织的隐私需求都会受到多种因素的影响，包括业务类型、地域范围、监管制度以及合规风险等。在本文中，IAPP为各组织制定2023年隐私计划列出了几项关键步骤：

一、评估您当前的计划

即使没有出现新的隐私法，各组织都应至少每年评估一次其隐私计划。进行此审查的最佳方式会有所不同，但一种有用的方式是制定调查问卷或清单，以帮助确定需要更新的隐私计划内容。无论采用何种方法，审查都需要解决数据流的重大变化（例如，传统的B2B公司增加了面向消费者的业务线或实体）、地域范围、技术转型、规模——从员工人数或收入的角度——以及其他严重影响组织隐私状况的问题。公司还需要了解他们在个人数据方面的角色（例如属于处理者或控制者），以正确履行法定义务。

把握隐私计划所涉及的更新和变化至关重要。此类更新通常会影响处理/数据地图的记录、在线或内部隐私政策或通知、与服务提供商或业务合作伙伴的隐私条款，以及技术更新和新数据主体权利（例如，CPRA中的“不共享权”）。根据所涉及的不同司法管辖区，组织可能还需要完成合法影响评估、数据保护影响评估、任命或批准数据保护官以及修改或实施公司内部数据传输协议等。

二、确定适用于您组织的法律规范

除了解您的隐私计划的当前状态外，知悉新发布的或已更新的隐私法的适用范围和适用规则也非常重要。例如，美国各州的隐私法都有特定门槛，达到要求的组织才会受隐私法规制。

在加利福尼亚州，隐私法的适用主体包括年总收入超过2500万美元的实体；购买、接收或出售50,000 名或更多加州居民、家庭或设备的个人信息的实体（CPRA将此阈值提高到100,000个，并将消费者或家庭无法识别的设备从阈值计算范围中删除）；或从出售加州居民个人信息中获得50%或更多年收入的实体。科罗拉多州的隐私法适用于每年控制或处理至少100,000名科罗拉多州居民的个人信息，或控制或处理至少25,000名科罗拉多州消费者的个人数据并通过出售个人数据获得收入的实体。弗吉尼亚州的法律适用于每年控制或处理至少100,000名弗吉尼亚州消费者的个人数据，或控制或处理至少25,000名弗吉尼亚州消费者的个人数据并通过出售个人数据获得其总收入50%以上的实体。

此外，法律涵盖的数据范围也各不相同。例如，CPRA扩大了《加州消费者隐私法》的范围，将HR数据和B2B数据包括在内，而新的科罗拉多州和弗吉尼亚州法律都明确排除了此类数据。组织在评估这些法律时还应考虑其实际风险。例如，一家拥有大量美国数据和少量欧洲数据的公司可能需要优先考虑满足新的美国隐私法，然后再尝试建立一个全面满足《通用数据保护条例》的隐私计划。

三、保持计划的灵活性并预测变化

随着隐私法的日新月异，公司必须致力于建立一个能够不断吸收新的隐私要求的隐私计划，而不是仅仅针对国家或州的特定要求。虽然对于许多组织来说，将GDPR或《加利福尼亚州隐私法》作为初步基础足够派上用场，但从长远来看，建立一个能够满足不同地区隐私法的隐私计划是有必要的。这可能意味着更多的隐私披露（即提供比某些州或司法管辖区要求的更多的信息）或提供一组综合的数据主体/消费者权利，即使部分或全部权利在特定地方不是由法律规定的。

四、尽早并经常与关键利益相关者联系

正如组织从GDPR和CCPA中了解到的，如果没有组织内许多其他利益相关者（IT、人力资源、法律、营销等）的重要帮助，隐私团队无法单独应对新的隐私法。因此，隐私团队必须提前计划，以预先确定利益相关者，并尽早与他们接触，以了解可能出现的关键事项以及关键截止日期（例如技术系统更改的最后期限或过渡到新的网站提供商需要的时间）。

五、特别注意cookies和adtech策略

目前，cookie等技术问题存在很多不确定性，如定向广告的消费者跟踪和分析。组织一直在寻找技术解决方案（例如cookie管理器）来满足欧盟的选择加入要求。同样，根据加利福尼亚州和科罗拉多州的法律，组织必须遵守全球隐私控制，但监管机构尚未就如何实现这一点提供有意义的指导。希望在未来几个月内出台的法规能够提供具体、可操作的指导。与此同时，组织必须首先了解在网站和移动应用程序上部署的内容，并确定他们将如何为消费者提供控制权（例如Do-Not-Share按钮、选择加入某些或所有非必要的cookie以及限制使用cookie以帮助减少合规义务）。清晰的合规路径将大大减轻后续步骤的负担。

六、制定更新合同的方法

许多组织对其协议进行耗费大量人力物力的更新，以满足GDPR和CCPA的要求。但重要的是要制定可重复使用的模板以及进行额外的必要调整，以涵盖新的州或国家的隐私法。隐私团队应与他其他团队合作，以确保在合同签订过程中使用经更新的模板，并且尽早与主要服务提供商联系，以了解他们将如何以及何时调整自己的条款（因为许多大型提供商需要客户使用他们的隐私条款）。作为服务提供商的组织应该同样及时识别更新，并尽早与客户进行沟通。

结论

公司没有绝对“正确”的方式来为新的州法和全球隐私法做准备。尽管如此，上述步骤仍可以帮助公司制定适合他们的方法。从长远来看，制定一个可预期变化的隐私计划将为组织更成熟和更有效的整体发展铺平道路。

声明：本文来自数据法盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。