纽约的 SHIELD 法案:对企业意味着什么

已发表: 2020-07-22

纽约的《盾牌法》是全国企业必须考虑的最新数据隐私法,特别是对于在该州拥有任何现有或潜在客户的企业。 它将对组织产生什么影响,他们如何为未来的监管和合规标准做准备?

什么是纽约盾牌法案?

纽约的 SHIELD 法案于 3 月 21正式生效,旨在通过保护更多消费者信息和重新定义数据泄露的构成来扩展现有法规。

  • 覆盖范围: SHIELD 法案扩大了受法律管辖的范围。 以前,必须遵守法律的企业是在州内交易的公司。 新法案将其扩大到包括居住在纽约的任何客户,无论企业是否位于纽约。
  • 定义:该法案对构成安全漏洞的原因进行了重新定义。 以前,个人数据和信息必须由未经授权的一方获取——针对黑客和网络犯罪分子。 现在,当未经授权的一方访问了信息时,无论信息是否被盗,都必须通知消费者。
  • 数据类型:以前,受保护的信息类型是与个人的社会安全号码、驾驶执照号码或其他帐号一起使用的任何数据,这些帐号可能与密码或允许访问帐户的访问代码一起使用。 这已扩展为包括以下内容:
    • 可用于访问帐户的财务帐号,例如信用卡号
    • 帐户用户名、密码、电子邮件和安全问题
    • 用于识别个人的生物特征信息

企业现在必须遵守这些新规定。

“我们的法律必须跟上瞬息万变的科技世界,这一点至关重要。 SHIELD 法案提高了安全标准,这样纽约人就不会不必要地成为数据泄露和网络攻击的受害者。” ——参议员凯文·托马斯,消费者保护委员会主席

企业为什么要关心?

罚款

当然,最明显的考虑是违反新的合规法规所带来的财务影响。

该法规以前对单个公司的罚款上限为 150,000 美元,但现在已提高到 250,000 美元。

对于明知和鲁莽的违规行为(未建立正确合规程序的组织),法院可以要求每宗案件处以超过 5,000 美元或最高 20 美元的罚款,最高可达 250,000 美元。

到 2019 年 8 月,总检察长办公室已经对不符合先前法律规定的正确合规标准的企业处以超过 6 亿美元的罚款。

6 亿美元是一笔不小的数目,随着这项新法案的签署成为法律,这表明纽约对消费者数据隐私保护的重视程度。

随着 SHIELD 法案大幅扩大了企业必须遵守的内容以及他们采取的做法,这个数字很可能在未来几年内急剧增加。

“严峻的现实是安全漏洞正变得越来越频繁,通过这项立法,纽约正在采取措施加强对消费者的保护,并在这些公司错误处理敏感数据时追究他们的责任。” – 州长库莫

简而言之,在数据保护法规方面,公司可能会陷入错误的一方,因此避免罚款并确保不会发生这种情况应该是重中之重。

保持您的业务

像 SHIELD 这样的新立法,以及加州现有的 CCPA 和欧盟的 GDPR,清楚地表明政界人士正在认识到消费者对组织处理数据的方式的不满。

人们比以往任何时候都更加了解自己的数据权利和隐私,84% 的人表示他们关心隐私,关心自己的数据,关心社会其他成员的数据,并希望获得更多控制权他们的数据是如何被使用的。

但这对企业的成功有何影响?

坦率地说,确保数据保护对于组织来说既是一种自我保护的努力,也是为了将客户的最大利益放在心上。

79% 的人表示他们非常或有些担心公司如何使用他们收集的有关他们的数据

一次又一次地,由于信息保护标准不佳而处理数据不当或遭受数据泄露的企业正在自取其辱,因为如果消费者觉得自己没有受到保护,他们只会将自己的业务交给其他人。

事实上,在一项调查中,48% 的受访者表示他们已经更换了公司或提供商,因为他们担心自己的数据政策和共享做法。

消费者发出的信息响亮而清晰:认真对待他们的数据,否则他们会将自己的习惯带给那些这样做的企业。

更多即将到来

正如我们简要提到的,SHIELD 法案与 CCPA 和 GDPR 等现有数据保护法有许多相似之处。

SHIELD 不是第一个,当然也不会是最后一个。

像这样的法律正在塑造关于消费者受到多少保护的对话。

高级商业人士和组织正在呼吁制定一项受 GDPR 和 CCPA 启发的联邦数据隐私法,虽然目前还没有完成一项两党联邦法案,但所有这些法规似乎都朝着一个方向发展。

仅考虑 CCPA 和 SHIELD 所产生的影响就尤其如此——加利福尼亚和纽约的 6000 万人现在都受到了影响。

这几乎是企业必须遵守的整个美国人口的 20%。

即使没有联邦法律,其他州也很可能会效仿——包括佛罗里达州(美国最大的人口中心和市场之一)在内的州正在向其参议院提出法案。

处于领先地位的企业将认识到像 CCPA 和 SHIELD 这样的法律只是一个开始,并为他们的组织准备好数据监管合规的全面标准和实践,这对于未来的事情是必要的。

企业可以做些什么准备?

企业应首先投资于有助于保护客户数据的业务的一些关键方面。 它们是:

数据保护措施

您的客户数据是如何存储的?

中小型企业中云采用率如此显着上升的原因之一是它们在数据保护方面的相对易用性和高标准。

前几年,企业主对将机密数据存储在云上犹豫不决,而现在,由于云安全性的进步,他们正在大量这样做。

微软 Azure 等云服务使用 Tier IV 数据中心,可提供最大的安全性,每年的停机时间仅为 26 分钟。

许多企业为其数据运行混合系统,将一般工作信息存储在公共云数据中心; 同时使用私有数据中心来存储更敏感的信息,从而为他们提供更多控制和自定义选项。

这为可能特别注意如何管理数据的组织提供了更大的灵活性。

相关文章:为什么需要 Tier IV 数据中心

直接负责协调和风险评估的工作人员

一般来说,最好有一名员工(或供应商)来推动您的合规政策。

高效和标准地处理数据不仅仅是安装新应用程序的情况。 它从根本上归结为您的员工如何使用和共享数据以及他们使用的解决方案。

如果他们违反了新法律或现有做法,那么您需要具有专业知识和能力的人来解决这些问题并实施正确的标准。

除了定期评估与数据处理有关的任何潜在风险(无论是硬件还是软件相关)之外,此人还应负责报告确实发生的任何数据泄露。

考虑到公司在远程员工内部和之间共享数据时遇到的困难,这将更加相关。

一些企业会选择让内部人员来执行此操作,但许多企业会选择 MSSP,因为它们具有成本效益,并且具有企业在数据保护方面需要做什么的专业知识,因为它们与其特定情况。

外卖

  • New York SHIELD Act 是对现有数据隐私法的实质性扩展,企业现在必须遵守这些法律。
  • 消费者的需求和公众对数据保护法的兴趣日益增加,意味着企业应该非常认真地对待他们的数据处理实践,以让他们的客户满意。
  • SHIELD 只是一系列数据隐私法中的最新一部,未来几年的进一步法律将进一步加速组织加快合规性的需求。

您的业​​务合规吗?

GDPR、CCPA 和 SHIELD 等新法律只是企业应考虑的数据保护合规标准的开始。 任何现代组织的主要目标都应该是阻止数据泄露。 但是怎么做?

看看我们的免费电子书,现代 SMB 的良好网络安全防御是什么?” 并了解公司应采取哪些措施来保护其数据安全。