8月28日,加州隐私保护局发布了网络安全审计和风险评估条例草案初稿。CPPA尚未开始这些法规的正式规则制定程序,这些法规肯定会经过几轮修订。
一旦最终确定,企业将被要求进行年度网络安全审计,并定期向CPPA提交有关其个人信息处理的风险评估。毫无疑问,企业将监督这些法规的未来发展和实施。
随着网络安全事件的增加和律师和董事会成员的关注:
——43%的组织领导人预计网络攻击将在未来两年对其组织产生重大影响
——网络安全审计条例提供了问责机制,并为企业创造了相当大的合规义务。
他们要求企业每年进行独立审计,以评估、记录和总结其网络安全计划的组成部分,重点关注任何差距或弱点。
条例草案列举了对消费者安全“负面影响”的例子,以及企业用于保护个人信息的保障措施,这些措施必须在网络安全计划的背景下进行评估。
同样,风险评估法规主要关注人工智能和自动化决策技术带来的隐私相关风险,这些技术在许多行业越来越普遍。根据规定,当企业的个人信息处理对消费者的隐私或安全构成重大风险时,必须进行并提交风险评估。
条例草案提供了属于这一范围的七个活动示例,包括“销售或共享个人信息”、“处理敏感个人信息”和“处理消费者的个人信息”,以培训人工智能或自动化决策技术。风险评估将由10个组成部分组成,包括处理摘要、待处理的个人信息类别、处理的操作要素、处理目的等。
然而,在这些要求生效之前,这些法规必须经过加州漫长、密集的监管程序,而且有一些不确定性。以下概述了最值得关注的程序步骤以及CPPA制定和最终确定法规的预期时间表。
1
法定授权
作为首要事项,任何规则制定都必须得到法规的授权。网络安全审计和风险评估法规的授权分别来自《加利福尼亚民法典》第1798.185(a)(15)(a)和(B)条。
CPPA的所有行动都必须来源于加州立法机构通过《加州消费者隐私法》(经《加州隐私权法》修订)赋予它的权力。
2
制定规则前利益相关者的投入
在正式的规则制定程序开始之前,CPPA邀请对拟议的规则制定提出初步意见。然后,它接收并处理公众意见,为起草拟议条例提供信息。
《加州行政程序法》要求这一步骤“增加公众参与,提高法规质量”。它没有规定何时必须这样做的最后期限。一般来说,CPPA寻求与广泛的利益相关者接触,以确保CPRA修订的CCPA下的每一项新规则或修订规则都得到充分考虑。
接下来是CPPA发布的条例草案,仅供董事会讨论和公众参与。条例草案往往与最终条例相似。9月8日,董事会开会讨论了网络安全审计和风险评估条例草案,讨论了进行审计和提交评估所需的范围、适用性、时间和细节,以及它们给企业带来的负担等问题。
3
启动正式规则制定
为了启动正式的规则制定程序,CPPA必须在加州监管通知登记册上发布拟议行动的通知。它必须在其网站上发布该通知,以及“明确条款”——或法规文本——以及解释其提出变更原因的初步声明。在9月8日的会议上,董事会表示打算在12月的下一次会议之前发布拟议的法规并开始正式的规则制定。
本通知的有效期至少为45天,公众可在此期间提交意见。CPPA在此期间不需要举行公开听证会,除非公众特别要求,但通常是在未经提议的情况下举行的。CPPA同样必须对公开听证会期间的任何口头评论作出回应。
4
回应反馈
处理这些书面和口头评论通常是CPPA规则制定过程中最耗费人力的部分。它必须总结并回应公众对拟议条例提出的每一项实质性意见。根据《加利福尼亚州政府法典》第11346.9(2)条,实质性评论是指“对拟议的具体通过、修正或废除提出的反对意见或建议”。它基本上包括评论人发表的任何声明,这些声明不只是支持法规或为评论提供背景信息。
CPPA必须总结这些实质性意见,并通过接受、部分接受或拒绝每一条意见作出实物回应。它必须将此对话以图表形式作为附录附在解释拟议法规任何变更的最终原因声明中。为了便于在长达数百页的文档中导航,此图表必须附带评论索引。
这一过程创造了一个实质性的书面记录,其中充分考虑了公众的关切,CPPA对法规细节的官方立场也得到了细致的阐述。此外,它可以在涉及法规的诉讼中提供有用的权力来源。
在对45天内提交的公众意见进行审查和处理后,如果CPPA对拟议法规进行了实质性修改,它将被要求开启至少15天的第二个意见期。
它必须以与45天期间相同的方式总结和回应在此期间收到的评论。如果根据在这15天内提交的意见进行进一步的修改,则必须再开放15天,以便公众可以再次对最新一轮编辑有发言权。
5
机构提交和行政法审查办公室
在适当处理了所有公众意见后,CPPA必须编制和准备其最终规则制定包,包括最终法规的文本、起草法规时所依赖的任何外部材料、最终原因声明以及包含摘要和回复的附录,以及经济和财政影响声明。
OAL收到规则制定包后,有30个工作日的时间对其进行审查,以确保其符合《加州行政程序法》和OAL法规。OAL可以与机构沟通以解决小问题,但可能完全不赞成针对较大问题的规则制定行动。如果获得批准,OAL将发出批准通知,并且规定将在该日期生效,前提是CPPA明确要求尽可能早的生效日期,OAL同意该请求。
在CPRA规定之前的公众评论邀请于3月29日获得批准,并于564天前,即2021年9月22日首次发布。正式的规则制定过程,从2022年7月8日公告注册发布之日到OAL批准,持续了244天。按照这个速度,最新一轮法规将于2024年8月27日生效。
当然,这可能是一个过于简单的计算,因为网络安全审计和风险评估法规涵盖的主题比上一轮法规少得多,因此制定即将出台的规则制定包可能不需要与CPRA法规相同的时间。
尽管如此,关注即将出台的法规的从业者可以期待一个漫长而复杂的规则制定过程,该过程始于CPPA最近的活动,并将在未来几个月内继续发出拟议规则制定的通知。
如何学习加州隐私合规法?一起了解注册信息隐私专家IAPP CIPP!
注册信息隐私专家CIPP
基本概念:
注册信息隐私专家(CIPP)是首个信息隐私方面的认证资质,它将向世界展示您知道隐私法律和法规以及如何应用它们,并且您知道如何确保在信息经济中的地位。
因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/E(Europe)、CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/C(Canada)和CIPP/G(U.S. Government)注释2等4个子类。
注释2:由于考试人数少且政策变化大,IAPP在2018年9月30日暂停了CIPP/G认证。
学习内容:
CIPP/E
Introduction to European Data Protection欧洲数据保护导论
European Regulatory Institutions欧洲监管机构
Legislative Framework立法框架
Compliance with European Data Protection Law and Regulation符合欧洲数据保护法律法规
International Data Transfers国际数据传输
CIPP/A
Fundamental Privacy Principles基本隐私原则
Singapore Privacy Laws and Practices新加坡隐私法律和实践
Hong Kong Privacy Laws and Practices香港私隐法和实践
India Privacy Law and Practices印度隐私法和实践
Common Themes Among Principle Frameworks原则框架中的共同主题
CIPP/US(U.S. private-sector)
Introduction to the U.S. Privacy Environment美国隐私环境简介
Limits on Private-sector Collection and Use of Data私营部门收集和使用数据的限制
Government and Court Access to Private-sector Information政府和法院对私人部门信息的访问
Workplace Privacy工作场所隐私
State Privacy Laws州隐私法
CIPP/C
Canadian Privacy Fundamentals加拿大隐私基础
The Canadian Government and Legal System加拿大政府与法律制度
Enforcement Agencies and Powers执法机构和权力
Canadian Privacy Laws and Practices in the Private Sector加拿大私营部门的隐私法律和实践
Canadian Privacy Laws and Practices in the Public Sector加拿大公共部门的隐私法律和实践
适用群体:
CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员
在线客服
微信
