नया कोलोराडो गोपनीयता अधिनियम आपके व्यवसाय को कैसे प्रभावित करेगा

अपनी एंटरप्राइज़ डेटा तकनीक और रणनीति को ऊपर उठाएं रूपांतरण 2021.


कोलोराडो गोपनीयता अधिनियम (CPA) कल राज्य की सीनेट में पारित हुआ, जो इसके लिए एक और कदम आगे बढ़ाता है उपभोक्ता डेटा संयुक्त राज्य अमेरिका में सुरक्षा। नए विनियमन के 30 दिनों के भीतर कानून में हस्ताक्षर किए जाने और जुलाई 2023 में प्रभावी होने की उम्मीद है।

वर्जीनिया के उपभोक्ता डेटा संरक्षण अधिनियम (सीडीपीए) और कैलिफोर्निया उपभोक्ता गोपनीयता अधिनियम (सीसीपीए) के बाद, कोलोराडो क्रॉस-इंडस्ट्री गोपनीयता अधिकार कानून बनाने वाला तीसरा राज्य है। कुल मिलाकर, अमेरिका में अभी भी एक संघीय उपभोक्ता गोपनीयता कानून का अभाव है और इसके बजाय एक खंडित नियामक परिदृश्य की ओर बढ़ रहा है, जो पहले से ही उद्यमों के लिए चुनौतियां पैदा कर रहा है। के बीच नियामक मानकों की तेजी से बदलती प्रकृति – व्यक्तिगत रूप से पहचान योग्य जानकारी (PIII) के विकास सहित – और वर्तमान कानूनों के बीच भिन्नता, इसे बनाए रखना कठिन हो सकता है। इस जरूरत को पूरा करने के लिए, साइबर सुरक्षा कंपनियां तेजी से अंतराल को भरने की कोशिश कर रही हैं उपकरण जो अनुपालन को स्वचालित करने में मदद करते हैं.

जबकि सीपीए वर्जीनिया के हालिया कानून पर आधारित था, साथ ही असफल वाशिंगटन गोपनीयता अधिनियम, इसमें कुछ अंतर शामिल हैं, विशेष रूप से छूट और कोलोराडो निवासियों को दिए गए अधिकारों के आसपास। CPA भी पहला कानून है जिसे जिला अटॉर्नी और अटॉर्नी जनरल के कार्यालय दोनों द्वारा लागू किया जा सकता है, जो “वास्तव में अनुपालन दायित्वों को गंभीरता से लेने का एक कारण है,” ग्रेग स्ज़ेव्स्की, एक डेनवर-आधारित डेटा गोपनीयता और बैलार्ड स्पाहर में साइबर सुरक्षा भागीदार कानूनी फर्म, वेंचरबीट को बताया।

यहां सीपीए का विश्लेषण है, अनुपालन के लिए क्या आवश्यक है, और उद्यमों के लिए इसका क्या अर्थ है।

यह कानून सीसीपीए से किस प्रकार भिन्न है?

Szewczyk ने कहा, एक बड़ा अंतर प्रयोज्यता की सीमा है, यह देखते हुए कि “यह भौगोलिक रूप से लक्षित प्रकार की प्रत्यक्ष प्रयोज्यता से अधिक है।” जबकि CCPA की वैश्विक वार्षिक राजस्व सीमा है जो अनिवार्य रूप से एक निश्चित आकार से अधिक हर कंपनी पर लागू होती है, कोलोराडो कानून – वर्जीनिया कानून की तरह – नहीं। बल्कि, सीपीए उन कंपनियों पर लागू होता है जो या तो 100,000 कोलोराडो निवासियों से व्यक्तिगत डेटा एकत्र करती हैं या 25,000 कोलोराडो निवासियों से डेटा एकत्र करती हैं और बिक्री से राजस्व का कुछ हिस्सा प्राप्त करती हैं।

मैनेट, फेल्प्स एंड फिलिप्स एलएलपी के पार्टनर ब्रैंडन रेली ने भी डेटा अधिकारों में कुछ मामूली बदलाव की ओर इशारा किया। गोपनीयता अनुरोध का जवाब देने के लिए आवश्यक प्रक्रिया, व्यवसाय को कितने समय तक जवाब देना है, और व्यक्तिगत अपवाद व्यवसाय गोपनीयता अनुरोध के अनुपालन का विरोध करने के लिए उपयोग कर सकते हैं, उदाहरण के लिए, सभी कोलोराडो, कैलिफ़ोर्निया और वर्जीनिया के बीच भिन्न हैं।

सीपीए और सीसीपीए के बीच एक और उल्लेखनीय अंतर यह है कि कैलिफोर्निया में उपभोक्ताओं की डेटा की “बिक्री” से बाहर निकलने की क्षमता यकीनन बहुत व्यापक है।

“ऐसा इसलिए है क्योंकि कोलोराडो कानून केवल मौद्रिक मूल्य के बदले ‘बिक्री’ तक सीमित है, जबकि कैलिफ़ोर्निया में वह सीमा शामिल नहीं है,” रेली ने कहा। “परिणामस्वरूप, हमने इस बारे में बहुत चर्चा देखी है कि क्या विभिन्न प्रकार के डेटा-साझाकरण सीसीपीए के ऑप्ट-आउट प्रावधानों को ट्रिगर करते हैं, विशेष रूप से एडटेक उद्योग के लिए।”

किन व्यवसायों को छूट है? और क्या डेटा से संबंधित कोई छूट है?

उन व्यवसायों के लिए कुछ बारीक छूट हैं जिनका डेटा पहले से ही संघीय कानून द्वारा विनियमित है, जैसे स्वास्थ्य देखभाल प्रदाता, उच्च शिक्षा और वित्तीय संस्थान। फेयर क्रेडिट रिपोर्टिंग एक्ट से संबंधित बहिष्करण भी हैं। लेकिन रेली ने समझाया कि, सीसीपीए की तरह, ये छूट हमेशा इकाई स्तर पर लागू नहीं होती हैं। “यह हो सकता है कि वे कुछ या लगभग सभी इकाई के व्यक्तिगत डेटा पर लागू होते हैं, लेकिन सभी पर नहीं,” उन्होंने कहा।

यहां तक ​​कि उन व्यवसायों के लिए जो इन विनियमित उद्योगों में नहीं हैं, कुछ उल्लेखनीय छूटें हैं, विशेष रूप से कर्मचारी और व्यवसाय-से-व्यवसाय छूट। कानून का यह पहलू यूरोपीय संघ के जनरल डेटा प्रोटेक्शन रेगुलेशन (GDPU) से एक बड़ा अंतर है।

“आपके पास कंपनियां हो सकती हैं, विशेष रूप से कुछ मेरे पास तकनीकी क्षेत्र में हैं, जहां वे सीधे उपभोक्ताओं को नहीं बेच रहे हैं, व्यक्तिगत जानकारी का एक टन एकत्र नहीं कर रहे हैं, लेकिन वे बहुत सारे व्यवसायों के साथ बातचीत कर रहे हैं,” स्ज़ेव्स्की ने कहा। “तथ्य यह है कि कोलोराडो अधिनियम के तहत उपभोक्ता और कवरेज की परिभाषा से बाहर रखा गया है, उन्हें बहुत नाराज़गी से बचाने वाला है।”

यदि किसी व्यवसाय ने सीसीपीए-अनुपालन होने के लिए पहले ही कदम उठा लिए हैं, तो कोलोराडो की आवश्यकताओं को पूरा करने के लिए और क्या आवश्यक है?

जो कंपनियां पहले से ही सीसीपीए का अनुपालन कर रही हैं, उनकी स्थिति काफी अच्छी है। इस स्थिति में उद्यमों के लिए अगला कदम, रीली ने कहा, यह आकलन करना होगा कि कंपनी के कोलोराडो-आधारित उपभोक्ताओं पर विशेष ध्यान देने के साथ किन अतिरिक्त अधिकारों पर विचार करना है।

जैसा कि पहले उल्लेख किया गया है, विशिष्ट उपभोक्ता डेटा अधिकारों के संबंध में कुछ भिन्नताएं हैं, जिनका मूल्यांकन सीसीपीए-अनुपालन करने वाली कंपनियों को भी करना चाहिए। उदाहरण के लिए, लक्षित विज्ञापन के अलावा, कोलोराडो कानून उपभोक्ताओं को उपभोक्ता प्रोफाइल बनाने के लिए अपनी जानकारी को संसाधित करने से ऑप्ट आउट करने देता है, जो वर्तमान सीसीपीए का हिस्सा नहीं है। Szewczyk ने कई मायनों में कहा कि CPA “CCPA से आगे निकल जाता है और अधिक सुरक्षा प्रदान करता है” जो कि CPRA के अनुरूप है, वह कानून जो 2023 में वर्तमान कैलिफ़ोर्निया जनादेश को बदल देगा।

अनुपालन सुनिश्चित करने के लिए व्यवसायों को अभी और जुलाई 2023 के बीच क्या करना चाहिए?

Reilly और Szewczyk दोनों ने जोर देकर कहा कि उद्यमों को अपने डेटा की वास्तव में गहरी समझ हासिल करने को प्राथमिकता देनी चाहिए – वे कौन सा डेटा ले रहे हैं, वे इसे कैसे संसाधित कर रहे हैं, उपभोक्ताओं और आम जनता के लिए गोपनीयता जोखिम, और जोखिमों का वजन कैसे होता है लाभ।

अनुपालन सुनिश्चित करने के लिए यह आवश्यक है, लेकिन एक तथ्य यह भी है कि डेटा सुरक्षा मूल्यांकन करना कोलोराडो कानून के तहत नई आवश्यकताओं में से एक है। Szewczyk ने नोट किया कि जबकि यह वर्जीनिया कानून (जो 2023 में भी लागू होता है) की आवश्यकता है, और CCPA में कुछ ऐसा ही है, “यह एक ऐसा क्षेत्र है जिससे हम एजेंसी से वास्तव में बाहर निकलने की उम्मीद कर रहे हैं।”

“कंपनियों के लिए, जब तक वे जीडीपीआर या किसी विशिष्ट उद्योग के लिए कुछ अन्य विशिष्ट विनियमित क़ानून के तहत ऐसा नहीं कर रहे हैं, यह एक नई अवधारणा होगी,” उन्होंने कहा।

एक बार जब एक उद्यम के पास अपने डेटा और प्रथाओं की पूरी तस्वीर होती है, तो उसे कोलोराडो कानून के तहत जोखिम की डिग्री का आकलन करना चाहिए, साथ ही साथ अन्य कानून जो 2023 में लागू किए जाएंगे। वहां से, यह निर्धारित कर सकता है कि किन विशिष्ट परियोजनाओं की आवश्यकता हो सकती है अनुपालन को पूरा करने के लिए बजट और लॉन्च किया जाए।

उद्यमों पर इसका उच्च-स्तरीय प्रभाव क्या होगा?

संघीय कानून के बिना भी, ये टुकड़े-टुकड़े नियम उद्यमों को नए डेटा सिद्धांतों की ओर मजबूर करना शुरू कर देंगे, जैसे कि डिजाइन द्वारा गोपनीयता। बड़ी मात्रा में उपभोक्ता डेटा रखने से दायित्व बढ़ेगा, इसलिए उत्पादों और सेवाओं को गोपनीयता-केंद्रित तरीके से डिजाइन करना तेजी से लोकप्रिय हो जाएगा (ग्राहक विश्वास के लिए एक अच्छे कदम का उल्लेख नहीं करना)।

“मुझे लगता है कि ये सभी कानून, कुछ हद तक, डेटा न्यूनीकरण की अवधारणा पर ड्राइविंग शुरू करते हैं, जो कि केवल उस उद्देश्य को इकट्ठा करने के लिए है जो आपको वास्तव में उस उद्देश्य के लिए चाहिए जो आप एकत्र कर रहे हैं,” स्ज़ेव्स्की ने कहा। “और यह वास्तव में एक अंतर्निहित धारा है कि उपभोक्ताओं की रक्षा कैसे की जाए क्योंकि आप जो नहीं खो सकते हैं या उसका दुरुपयोग नहीं कर सकते हैं।”

वेंचरबीट

तकनीकी निर्णय लेने वालों के लिए परिवर्तनकारी तकनीक और लेनदेन के बारे में ज्ञान हासिल करने के लिए वेंचरबीट का मिशन एक डिजिटल टाउन स्क्वायर बनना है। जब आप अपने संगठनों का नेतृत्व करते हैं तो हमारा मार्गदर्शन करने के लिए हमारी साइट डेटा तकनीकों और रणनीतियों पर आवश्यक जानकारी प्रदान करती है। हम आपको हमारे समुदाय का सदस्य बनने के लिए आमंत्रित करते हैं:

  • आपकी रुचि के विषयों पर अप-टू-डेट जानकारी
  • हमारे समाचार पत्र
  • गेटेड विचार-नेता सामग्री और हमारे बेशकीमती आयोजनों के लिए रियायती पहुंच, जैसे कि रूपांतरण 2021: और अधिक जानें
  • नेटवर्किंग सुविधाएँ, और बहुत कुछ

सदस्य बने

(Visited 4 times, 1 visits today)

About The Author

You might be interested in

LEAVE YOUR COMMENT