遵守加州消费者隐私法案和加州数据泄露通知法的关键规定

《加州消费者隐私法案》(CCPA) 于 2020 年初生效,2020 年 7 月 1 日标志着为期六个月的 CCPA 合规宽限期到期。 加州消费者隐私法案涉及使用加密保护消费者个人信息。 议会法案 1130 不属于加州消费者隐私法案的一部分,其出台旨在更新加州违规通知法规,要求向数据遭到泄露的人员发出通知,除非这些数据经过加密,且加密密钥没有随数据一起泄露。

被发现违反加州消费者隐私法案的公司,每次故意违规都将被处以 7,500 美元的罚款。 非故意违规行为处罚力度较轻,但代价仍然高昂,每次违规的罚款为 2,500 美元。 但是,民事诉讼也可能对违规组织造成非常负面的影响。 对于每位因企业违反加州消费者隐私法案而受到影响的消费者,组织将面临高达每位消费者 750 美元的民事赔偿。

    法规

    以下部分摘自加州 CCPA 和数据泄露通知法,Entrust nShield HSM 可帮助您遵守这些法规。

    消费者数据保护

    CCPA 第 1798.150. (a) (1) 条规定:

    如果由于企业违反了为保护个人信息,而实施和维护与信息性质相适应的合理安全程序和实践的义务,导致第 1798.81.5 节 (d) 款 (1) 段 (A) 小段所定义的任何消费者的非加密和非屏蔽的个人信息,可能会遭到未经授权访问和泄露、失窃或披露,可能会受到以下任何一项民事诉讼:

    (A) 按每起事件每位消费者赔偿不少于一百美元 ($100) 且不超过七百五十美元 ($750) 或赔偿实际损失,以较高者为准。

    (B) 禁令性或宣告性救济措施。

    (C) 法院认为适当的任何其他救济措施。

    CCPA 本身没有提供有关数据加密的更多细节,而是在加州数据泄露通知法修正案中提供。 2019 年末,在签署 CCPA 修正案的同时,加州立法者还签署了议会法案 1130,其中特别提到加密和保护加密密钥。 以下内容摘自该法案:

    《民法典》第 1789.82 条修订如下:

    1798.82. (a) 在加州开展业务,并且拥有或许可包含个人信息的计算化数据的个人或企业,在发现或接到数据安全违规情况通知后,应向以下加州居民披露系统安全违规情况 (1) 有合理理由认为,有未经授权的人员曾经或正在获取其未加密的个人信息,或 (2) 有合理理由认为,有未经授权的人员曾经或正在获取其已加密的个人信息,并且有合理理由认为,有未经授权的人员曾经或正在获取加密密钥或安全凭证,并且拥有或许可加密信息的个人或企业有合理理由认为,加密密钥或安全凭证可以使这些个人信息具有可读性或可用性。 披露应尽可能在最有利的时间进行,不得无故拖延,符合 (c) 小节规定的执法部门的法定要求,或采取任何必要措施确定违规范围并恢复数据系统的合理完整性。

    合规性

    密钥保护

    上述修正案表明,组织保护加州居民的数据不能仅仅依靠加密,还必须保护相关加密密钥或安全凭证才能符合规定。 加密可使敏感信息(包括财务数据、政府身份证和社会安全号码)不可读,从而保护敏感信息,但如果您无法保护加密密钥,就好比锁住前门,但把钥匙放在门垫下面一样。

    Entrust nShield HSM 加密密钥安全解决方案

    加密密钥安全的最佳实践在于将这些密钥存储在硬件安全模块 (HSM) 中。 Entrust nShield® HSM 是经过加固、防篡改的硬件设备,可生成、保护和管理用于加密和解密数据以及创建数字签名和证书的密钥,从而保护加密过程。nShield HSM 经过了最高安全标准的测试、验证和认证,包括 FIPS 140-2通用标准。nShield HSM 使组织能够:

    nShield as a Service 是一种基于订阅解决方案,它通过专用的 FIPS 140-2 3 级认证 nShield Connect HSM,生成、访问和保护加密密钥材料,使其与敏感数据分隔开来。 该解决方案提供了与本地 HSM 相同的特性和功能,并结合了云服务部署的优势。 这使得客户能够实现云优先目标,并将这些设备的维护工作交给 Entrust 的专家处理。

    资源中心

    合规性简介: 加州消费者隐私法案

    Entrust nShield HSM 可管理和保护加密密钥,从而帮助企业遵守《加州消费者隐私法案》(CCPA) 和《数据违规通知法案》的关键要求。

    手册: Entrust nShield HSM 系列手册

    Entrust nShield HSM 解决方案为密码处理、密钥生成和保护、加密等的安全性创造了更加稳固、防篡改的环境。 Entrust nShield HSM 解决方案具有三种经过 FIPS 140-2 认证的外形规格,支持各种部署方案。

    相关产品