数据专业人员的数据主体权利指南

在数据隐私领域，数据主体权利是首席数据官、数据保护官以及所有与数据打交道的人目前关注的热门话题。数据主体权利，又称消费者权利和个人权利指个人对企业如何使用其个人数据的控制权。企业被要求履行这些权利证明对个人数据进行了充分的管理和保护，并遵守了全球隐私法律，如《通用数据保护条例》(GDPR)。

经过几个月的期待，新规定终于生效了加州消费者隐私法案(CCPA)正式出台并增加了数据主体权利的复杂性。

正如你可以从名字上看出来，CCPA的核心是赋予消费者权力;法律赋予消费者权利，让他们知道自己的数据是如何以及为什么被收集和使用的。这项法律对消费者来说是一场胜利，因为公众对个人数据使用的意识急剧上升，消费者对个人信息(PI)日益增长的使用和滥用越来越怀疑。然而，现在企业担心来自消费者的数据主题请求可能会泛滥。

CCPA只是隐私和数据专业人士应该关注的众多法规之一。GDPR是在两年前实施的，我们知道美国和世界各地正在起草数十项数据隐私立法。组织需要装备自己来处理CCPA和每一个消费者隐私法规的数据主体请求，但要做到这一点，他们需要对他们拥有的PI、如何使用以及存储在哪里有很强的把握。为了迅速和彻底地响应预期涌入CCPA的数据主体权利请求，组织需要采取以数据为中心的隐私遵从方法．

什么是数据主体权利?

所以让我们再多讲一点数据主体权利的背景知识。数据主体权利可以有不同的名称，例如dsr、数据主体访问权(DSARs)、个人权利、消费者权利等。但所有这些术语本质上都是同一个意思;数据主体权利是指一个人的知情权和影响其个人数据如何被使用的权利。GDPR在数据专业人士和欧洲公众中推广了数据主体权利，但现在加州立法者概述了公民对个人数据的权力。

根据CCPA，这些权利包括:

1. 知情权-消费者可以询问企业收集他们的PI的哪些类别
2. 选择退出的权利-消费者可以要求企业停止销售他们的PI或将其用于商业利益
3. 删除权-消费者可以要求企业删除PI
4. 进入权-消费者可以要求企业提供所收集的实际PI值列表
5. 不歧视的权利-企业必须提供平等的服务，这意味着他们不能歧视消费者行使他们的权利

当消费者行使CCPA下的数据主体权利时，组织有10个工作日来确认收到请求，45个日历天来回应请求。这听起来很简单，但实际上，管理这些请求可能相当复杂。

为什么数据主体权利如此困难?

尽管解决这一挑战很复杂，但找出问题的根本原因却相当简单:那就是数据。

出于多种原因，数据隐私团队一直在努力争取GDPR规定的数据主体权利，我们预计组织在CCPA方面也面临类似的困难。这些挑战包括:

• 跨团队手动管理请求工作流
• 难以定位PI
• 从多余的数据中筛选相关信息
• 难以为遵从性审计记录响应历史
• 管理传入请求的数量
• 及时、充分地响应客户的要求

总而言之，这归结于这样一个事实:组织缺乏关于他们拥有什么数据、数据在哪里、数据是如何使用的、谁有权访问数据以及对数据应用什么治理策略的知识。

如果组织没有正确遵守会发生什么?

处理这些请求很困难。如果组织没有完成所有的数据主体权利，或者没有及时完成，这真的是一个大问题吗?

是的，未能完成这些要求可能会对你的团队和整个公司产生负面影响。

罚款

不遵守规定的最明显和最切实的后果是经济处罚。

• CCPA:对于不遵守CCPA的行为，每次非故意违反的罚款可高达2,500美元，对于故意违反的罚款可高达7,500美元。该法律还允许消费者提出100至750美元的诉讼。对于大型企业来说，这些数字似乎很小，但如果你考虑到许多公司拥有数百万人的PI，而一些公司也拥有仅一周内就收到超过500个数据主体权利请求自1月份以来，这些罚款可能会很快增加。
• GDPR: GDPR对违规者的罚款高达€2000万美元或年收入的4%，以较大者为准。自2018年GDPR生效以来，最大的罚款是:

1. 英国航空公司€2.046亿年
2. 〇万豪国际酒店€1.103亿年
3. 谷歌,€5000万年
4. 奥地利邮政-€1850万年
5. 德意志Wohen SE -€1450万年

失去消费者信任

消费者对企业的信任正在减弱数据隐私和保护可以建立或破坏消费者的信心从某公司购买产品或与某公司做生意。一个普华永道的调查只有25%的消费者认为企业负责任地处理他们的数据，而高达71%的人会停止与未经允许分享个人信息的公司做生意。

浪费的时间和资源狗万新闻c

未能实现数据主体权利的最大挑战和后果之一是浪费时间和资源。狗万新闻c

管理数据主体权利包括理解请求、搜索数据、通知消费者、记录审计响应，等等。所有这些任务都需要监管知识、跨团队的多个利益相关者、时间和金钱。数据专业人员花费80%的时间查找、清理和组织数据，并可能花费数天时间解决简单的数据问题;想象一下，如果这些任务可以自动处理，节省的时间和精力可以花在其他产生收入的活动上。

管理数据主体权利需要什么?

答案是:了解你的数据!

为了有效地管理数据主体权限请求在美国，企业需要将数据置于隐私策略的中心。实现以数据为中心的方法的组织必须依赖于几个数据能力。通过将数据智能置于隐私计划的中心，组织可以更容易地回答以下关于实现数据主体权利的基本问题:

• PI是多少?
• PI在哪里?
• PI是如何使用的?
• 对这个PI应用什么策略和控制?

管理数据主体权利的两个最重要的技术能力是:

• 圆周率发现与分类帮助您了解数据的位置、对数据进行分类并使数据系统化。强大的技术将自动化PI发现和分类，以实现可伸缩性。
• 注册过程为您的数据提供上下文。流程寄存器映射出与PI相关的业务流程，以便您的组织了解处理此类信息背后的目的、相关数据类别以及处理此信息所依据的法律基础。

建立智能和受治理数据的基础将使任何组织能够快速管理请求并转换其数据隐私计划。

使用Collibra简化数据主体请求的实现新万博移动客户端

对于那些寻求隐私增强技术的人来说，Collibra提供了一种基于数据智能的隐私保护方法。新万博移动客户端新万博移动客户端数据隐私提供PI发现、数据分类和流程寄存器功能，将数据置于隐私合规程序的中心。

此外，我们最近推出了新的个人权利请求功能，简化了数据主体权利实现的协作。该功能的亮点包括:

• 集中的仪表板
• Regulation-specific内容
• π自动化
• Role-relevant内容
• 嵌入式隐私指导和数据工作流

新万博移动客户端Collibra Data Privacy使我们的客户能够自动化数据隐私工作流程，并将其数据转化为战略资产。