《加州消费者隐私法》(CCPA)在今年年初开始生效，7月1日正式实施。为了确保个人数据的收集、存储和处理是一致的、安全的和非侵入性的，组织开始感受到遵守严格要求的压力。不幸的是，在最近的一项调查中，63%的受访者表示，许多人还没有准备好接受这种新的消费者隐私监管。且受疫情影响，远程工作更使得维护其组织合规性的任务变的复杂。

许多公司推迟遵守了《通用数据保护条例》(GDPR)，例如，万豪(Marriott)和英国航空(British Airways)等公司更因为违规GDPR被罚款数百万美元。同样的，在法规正式实施后不遵守CCPA规定的企业，可能会面临更高的罚款，因为它要求“ ...每位消费者每次事件不少于100美元不超过750美元的赔偿，且以较高者为准”。这意味着，如果 CCPA在万豪违反3.83亿顾客记录时已生效实施，该公司可能会被处以总计近2800亿美元的罚款。这项规定影响的不仅仅是总部设在加州的机构，它还延伸到所有收集或销售与加州居民有关的消费者信息的所有内容。

CCPA不仅仅是加州版本的GDPR

组织可能会假设他们遵从了GDPR，因此便符合了CCPA。这两项规定旨在为数据主体提供强有力的保护，而且在总体目标和具体要求方面确实有一些重叠。但是，两者也有显著的区别。例如，CCPA的合规性要求适用于家庭和设备级别的信息，而不仅仅是直接针对个人。

为了保持安全和合规，企业应该对所有适用的法规有透彻的了解，并将其作为组织的优先事项。请注意，这种强调不会没有好处——安全性和合规性可以带来竞争优势。因为有87％的消费者表示如果他不信任一家公司能够以安全的方式处理他们的数据，就会选择其他公司。

公司如何准备遵守和保护消费者数据

为了更好地为消费者服务，确保最大限度的安全性并实现合规性，企业应遵循以下步骤：

1、有一个准确的数据清单。根据CCPA的说法，如果你不知道你拥有什么数据，那么你就不能确保你在保护它。全面的活动日志应该跟踪所有文件、用户和应用程序的活动，揭示个人数据所发生的一切。此外，正在进行并购交易的公司应该进行彻底的IT审计，这样他们就知道自己所继承的是什么数据。同时，拥有防止数据泄漏的安全解决方案（例如数据丢失防护）也至关重要。

2、信息的保护和访问权。除了跟踪数据之外，企业还应该了解数据是如何存储和销毁的，如何在公司内部流动，以及谁有权访问数据。迁移到云的组织允许从各种设备（如员工的个人电话）访问多个应用程序的数据，访问数据的员工应通过单点登录和多因素验证进行身份确认，以确保只有经授权的员工才能处理数据。

3、知道数据权限。根据CCPA，数据只能在该州拥有管辖权或已达成协议的地方存储或传输。如果数据是在没有协议的情况下存储或传输的，组织应寻求可以加密云数据并且可以直接控制组织自己的加密密钥的解决方案。这将确保符合数据驻留规则，因为数据仅以不可解密的加密格式存在于可接受的区域之外。像“选择性擦除”这样的工具还允许管理员从任何位置的任何设备上删除敏感信息，保护数据不被未经授权的用户访问。

如果一家公司不幸遭受数据泄露，CCPA要求它提供关于泄露原因和影响的详细文档，以及为解决该问题而采取的安全措施。数据隐私问题日益成为消费者关注的焦点，企业要想避免数据安全事件的发生，就必须使用合适的工具保护数据，并遵守相关法规，以避免发生安全事故。展望未来，企业在监管执行日期之前保持领先也是明智的，因为随时可能出现意外情况，导致其的合规计划出现延误。

*本文出自SCA安全通信联盟，转载请注明出处。（SCA安全通信联盟原创文章对外开白，欢迎加微信MrYe9173751开白）