近些年,无论是与各国挑起贸易摩擦,还是制裁这个封杀那个……美国,把全世界都搅和得鸡犬不宁。而就在刚刚,在金融业合规领域,它又给全球金融机构出了个难题:凡是涉及到与美国有业务往来的公司,都必须为美国各州即将生效的隐私法做好准备,其中最重要的是加州消费者隐私法(California Consumer Privacy Act,CCPA)。
没办法,谁让人家是世界老大、宇宙中心呢,各种秩序都得看人家的脸色行事,最新的规则无论你是否有时间有技术条件做好准备也得遵照人家的出台时间表,否则出了差错,长臂管辖、巨额罚款……满世界对你围追堵截啊。
不过,从本次幺蛾子的名头来看,正是咱们FINTECH系列上一期所强调的“对个人隐私数据的保护”,这在数字金融时代确实越来越重要,也是全球金融业监管与合规方面发展的一个大趋势。今天,咱们就来看看这些美国即将出台的隐私数据保护法规到底合不合理、遵守难度如何。
更严格的合规考量
这里重点说一下最重要的加州消费者隐私法(CCPA)。目前,它对“消费者”的定义包括了公司的员工,这就意味着他们能够行使权利查看公司持有的个人数据并将其删除……这可以说给很多公司带来员工管理上的棘手问题。如果未来不能出现修正案将“员工”排除在消费者的定义之外,公司就不得不在员工层面上思考新的合规管理模式。
在CCPA的规定中,公司还不得在未经客户许可的情况下出售、出租、披露或以其他方式发布数据等。另外,作为安全审计的一部分,如果公司无法向第三方展示他们有足够的隐私安全措施,相关各方就要立即停止与他们做生意……
以上仅是几个较严格的规定举例,已经使得很多金融公司需要填补巨大差距才能符合合规要求。比如在法案生效日期前不到10个月,美国做过一个调查,各地公司中只有14%符合CCPA,还有44%的公司还远远没有启动合规要求的流程和措施。
不同合规法案带来的适用性问题
很多公司原本遵循欧洲早已有的数据保护监管法规GDPR( the Europe Union’s General Data Protection Regulation ),但是它与美国即将新出台的法案在很多方面有较大差异。虽然核心要求类似(包括跟踪客户的个人信息、数据流共享、公司需要数据的原因等)。
但是,CCPA和其他州法律将具有特定的要求。比如,CCPA严格限制销售客户的个人信息,并且对客户的定义更加广泛,因此此前按照GDPR处理客户信息的金融公司可能无法满足所有新的隐私法要求。对很多公司来说,面临的一个难题就是必须弄清楚哪些法律适用于他们信息管理的哪些部分。
另外,除了国际法规,就美国自身来说,CCPA还只是加州的隐私法,而其他包括纽约和华盛顿在内的十几个州都在预备发布各自的法案,因为不同州的法律有不同的要求和标准,一些要求会重叠,而另一些则不会。这也会造成令人头痛的适用性问题。
必须快速调整,
否则面临巨额罚款的风险
对于另一些本来也没遵守GDPR或别的隐私保护要求的公司来说,面临的挑战可能是最大的。
比如,新的监管规定,如果消费者要求公司提供关于他或她的信息和/或要求删除它,公司必须知道该数据的位置。而这些公司很可能根本就没有进行过这方面的了解,更别说要做广泛领域的数据追踪工作了——要知道你很可能需要查询一切跟你有过数据共享和关联的地方(包括外部福利服务机构,以及人力资源、电子邮件系统、各种程序和其他服务的第三方提供商等等)。
尤其是那些收集大量个人信息并与第三方共享的公司,按照新法规的要求,就必须能更好地管理用户画像以及与谁分享哪些信息。而受此影响最大的一个例子就是借助社交网络平台的互联网金融公司。
法案规定,每次违规如果是无意的,罚款为2,500美元;故意的则为7,500美元。如果个人信息暴露在数据泄露中,消费者可以在每次事件中起诉100至750美元,如果实际损失超过750美元则更多……想想互联网平台公司在这方面的海量操作吧……
所以,任何未来会面临CCPA适用自家业务的公司,必须立即开始规划如何满足合规要求、采取措施以降低巨额罚款的风险。
关于应对方法的思考
上一期我们谈到了利用AI帮助金融公司做隐私数据保护工作。本期面对CCPA等法案即将出台的迫切合规需求,很多公司都在努力追求更好的自动化合规工具来专注于识别相关业务流程、处理数据的应用程序以及管理与第三方共享信息的数据库。例如自动遵守数据隐私规则的工具,可以用来响应客户与其数据相关的请求,以及跟踪第三方公司可能在公司网站上生成的cookie。
从长远来看,我们的金融公司都必须意识到,更好的自动化数据治理在数据隐私保护领域的重要性和应用的迫切性。也许明天,美国更加严苛的隐私法长臂管辖或者我国自己的合规法案就会大面积铺开,如果没有预先在技术和思想上做好准备,必定会被打个措手不及。
配图来源网络
