隐私专题|CCPA专题-学习一点数据安全隐私(1)
2023-12-29 11:58:56 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

CCPA专题-学习一点数据安全隐私

前言:笔者持有CISA、CIPM等多项认证,目前安全咨询总监,开展多项数据安全隐私项目,经验丰富。

开此专题的初衷为,近年来数据安全、安全运营专题火热,但数据隐私仍然为行业市场关注的热点,存在有大的商机机会,笔者希望通过自己的经验,给到大家最好的数据安全隐私建设的指导,避免绕弯路,毕竟学习过程曲折,所以大家如果感兴趣这个板块,请持续关注!创作不易,在熬夜学了无数的知识、项目积累过程中,希望能够成体系对大家的隐私建设工作起到帮助。

而隐私重中之重是还是要懂法,法条还是要看的,安全也要研究的,如果法条不看直接去提供服务,势必又会回到行业目前现状“忽悠专家”,我之前也写过,希望这个市场不是“忽悠”为佳。

CCPA-篇章大致的规划详述

CCPA介绍上就不详述了,篇章1、2部分重点围绕第一步法条研究,这部分工作很多安全公司会委托律所进行,但涉及到安全的板块,及法条部分,其实安全公司完全可以尝试下,那篇章1废话不多说,第一步基于法条来看,CCPA重点强调消费者权利,因此我们需要对法条以及分布,有非常清晰的认识,而法条为全英,对于很多小伙伴读起来不友好,那我就把这部分,给大家归纳总结好,主打一个“保姆式”服务,所以也希望大家多多加更。

因此第一章聊聊:个人信息主体权益保护的要点在大范围的立法篇章中包含哪些模块?他们之间的关系如何,具体的法条要求的部分在哪里?(这部分笔者看了大量的素材,综合专业知识,尽可能用最通俗的划分给到大家明确,此部分有助于后期拆解跟隐私安全相关的要点的基础,尤为重要)。

CCPA-基于个人信息主体权益保护的要点

第一步研究应当为对法条所涵盖部分的信息检索及收集,因此,我们需要对法条进行细致梳理研读,网络上非常多版本概括,我做了一些总结,比较靠谱的大家可以看以下部分:

根据CCPA法案具体要求,通篇围绕来看,拆解研究所有的法条,可概述为以下几项部分

知情权: 个人有权知道其个人信息被收集、使用、披露的目的。

访问权: 个人有权请求访问其被收集的个人信息。

删除权: 个人有权请求删除其被收集的个人信息。

拒绝销售权: 个人有权拒绝其个人信息被出售。

平等服务权: 个人有权享有平等的服务和价格,不因行使其CCPA权利而受到歧视。

未成年人数据保护: 针对未满16岁的未成年人,需获得明确的授权同意。

CCPA-基于个人信息主体权益保护的法条(位置对应)

知情权:CCPA法案第1798.100至1798.199章节,重点在1798.110(a)和1798.1301703821573_658e4105a60947cc1f7a7.png!small?1703821574625

访问权:CCPA法案第1798.100至1798.199章节,以1798.110(a)和1798.130中涉及到的访问为依据,分散在法条各个部分。

1798.110(a)

1703821591_658e411761f6582a8aa68.png!small?1703821591815

例如1798.199.15(e),

1703821600_658e41203906136a44bce.png!small?1703821600839

1798.140(q)(2)中,针对涉及教育系统数据收集访问规定(request以1798.110为依据):

1703821608_658e4128bf170160e22da.png!small?1703821609239

Regulations Issue1798.185(14)中“maximizing最大限度提升消费者访问个人数据的权利”

1703821617_658e41315329b379433d6.png!small?1703821617942

1798.145 Exemptions-Maintaining免除声明(j)(3),(a)(4)

1703821628_658e413c27f66f104a08f.png!small?1703821628486

(a)(4)紧急访问说明

1703821636_658e414488286b8852f24.png!small?1703821637193

1798.140-Definitions(f):基于1798.110篇章的“collects”部分强调访问权。

1703821645_658e414d44c33dd4b7314.png!small?1703821645557

删除权:CCPA法案第1798.100至1798.199章节,重点在1798.105

1798.105整章,对删除权约束

1703821657_658e4159b4e8519cb09b5.png!small?1703821658490

1798.145Exemptions免除声明部分

1703821667_658e41636aa676312131d.png!small?1703821667895

1798.130定义

1703821675_658e416b89e86070be82c.png!small?1703821676308

拒绝销售权:CCPA法案第1798.120章节

1798.120整章(其他为补充强调)

1703821683_658e41738612b37a4318e.png!small?1703821684196

1798.145(o)(1)

1703821692_658e417c82b8f7719a5b6.png!small?1703821693003

平等服务权:CCPA法案第1798.125章节

1703821724_658e419c71068eea388f4.png!small?1703821725257

未成年人数据保护权:CCPA法案第1798.120章节

1798.120章节,通常要求为监护人授权

1703821705_658e418919bdb9989f552.png!small?1703821705700

CCPA-法条+研读后的实际使用用法

这个部分的使用方法非常多,首先省掉了大家查阅的时间,大家可以使用起来,变更后形成以下的几个方向:

(1)相关规则解读

(2)咨询工作对标依据

(3)立法研究的第一步

(4)知晓了解CCPA涉及个人信息权益保护部分的要点

CCPA-下一篇章介绍

下篇会围绕数据隐私安全及实施要点,给大家开展进行方法的详细说明,大家可以蹲一波!后续这个话题会做成一个具体的输出专栏,请大家持续关注,感谢。


文章来源: https://www.freebuf.com/consult/388302.html
如有侵权请联系:admin#unsafe.sh