گزارش گرداب

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
تاریخ انتشار : ۲۲ دی ۱۳۹۹

تنها در دو سال ۲۰۱۸ و ۲۰۱۹ بیش از ۹۰ درصد کل داده‌های موجود در جهان تولید شده‌اند و این اعلام نیازی است برای تعیین سازوکارها و وضع قوانین به جهت مدیریت و کنترل هر چه صحیح‌تر این فضای بسیار حجیم.

به گزارش گرداب، دنیای فناوری اطلاعات هر روز وسیع‌تر و آمیختگی آن با زندگی انسان‌ها بیشتر و بیشتر می‌شود. تنها در دو سال ۲۰۱۸ و ۲۰۱۹ بیش از ۹۰ درصد کل داده‌های موجود در جهان تولید شده‌اند و این اعلام نیازی است برای تعیین سازوکارها و وضع قوانین به جهت مدیریت و کنترل هر چه صحیح‌تر این فضای بسیار حجیم. موازی با این مسئله پس از رسانه‌ای شدن سوءاستفاده‌های شرکت‌های بزرگ فناوری آمریکایی از اطلاعات شخصی کاربران که به محاکمه این شرکت‌ها منجر شد، یک شرکت حقوقی کوچک در ایالت کالیفرنیا به مدیریت آلستار مک‌تاگرت یک لایحه قانونی برای مقابله با سوءاستفاده این شرکت‌ها تنظیم کرد، قانونی که در 28 ژوئن 2018 تصویب و از ابتدای سال 2020 اجرا شده است. در این پرونده به جزئیات این قانون و بررسی چشم‌انداز آن می‌پردازیم.

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
 
نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
آلستار مک تارگت، مدیر شرکت حقوقی  Californians for Consumer Privacy 

قانون حفظ حریم خصوصی کالیفرنیا(CCPA) از کجا متولد شد؟!

برای بررسی دقیق‌تر قانون CCPA باید به مقررات عمومی حفاظت از داده اتحادیه اروپا موسوم به قانون GDPR بپردازیم. این قانون به تعبیر برخی سخت‌گیرانه‌ترین و گسترده‌ترین قانون حفظ حریم خصوصی در دنیا است که در ۱۱ فصل با عناوینی مثل تمهیدات عمومی، کنترل‌کننده‌ها و پردازشگرها، انتقال داده‌های شخصی به یک کشور ثالث یا نهادهای بین‌المللی، حقوق موضوعات داده و ...  تدوین شده و درمجموع دارای ۹۹ ماده است . این قانون در سال ۲۰۱۶ تصویب و از سال ۲۰۱۸ در تمامی کشورهای اتحادیه اروپا لازم‌الاجرا شده است. دامنه شمول مقررات GDPR همه شرکت‌های داخلی و خارجی کنترل‌کننده و پردازشگر داده‌های شهروندان اروپایی را در بر می‌گیرد. جریمه تخلف از این قوانین شامل حداکثر ۴ درصد از درامد جهانی آن شرکت یا ۲۰ میلیون یورو در نظر گرفته شده است.

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
جزئیات مقررات GDPR که از سال 2018 در تمامی کشورهای اتحادیه اروپا لازم‌الاجرا شده است

قانون GDPR تمامی موضوعات مربوط به داده‌ها را در بر می‌گیرد نظیر:
  1. اطلاعات شناسایی شخصی
  2. داده‌های وب‌سایت‌ها نظیر IP آدرس‌ها ،کوکی‌ها ،مکان‌ها و ...
  3. داده‌های حوزه سلامت و ژنتیک
  4. داده‌های زیست‌سنجی
  5. داده‌های قومی و نژادی
  6. نظرات سیاسی .
به اعتقاد برخی قانون CCPA از قانون GDPR الهام گرفته شده است. 

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
قانون GDPR تمامی موضوعات مربوط به داده‌ها را در بر می‌گیرد

قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا

کالیفرنیا با جمعیت ۴۰ میلیونی مهد فناوری اطلاعات و پنجمین اقتصاد بزرگ در جهان است . دره معروف سیلیکون (Silicon Valley) واقع در شهر سن خوزه جایی است که عمده شرکت‌های بزرگ فناوری جهان از اپل و فیسبوک تا اینتل و آی‌بی‌ام از آنجا شروع به کار کرده‌اند . از این رو اهمیت ایالت کالیفرنیا در صنعت و فناوری اطلاعات در کل دنیا بر کسی پوشیده نیست.

CCPA اولین قانون در ایالات‌متحده آمریکا درباره حریم خصوصی است و مشابه آن در ایالت‌های دیگر آمریکا وجود ندارد. شهروندان کالیفرنیا با این قانون می‌توانند تمامی اطلاعاتی که شرکت‌ها از آنها ذخیره می‌کنند، و همچنین لیست کاملی از تمامی اشخاص ثالثی که شرکت‌های مذکور، اطلاعات کاربران و مصرف‌کنندگان را با آنها به هر طریق تبادل می‌کنند را مشاهده کنند. 

موضوع ماده اول تا سوم قانون حفظ حریم خصوصی کالیفرنیا درباره حقوق مصرف‌کننده و اطلاع شفاف و دقیق از نحوه جمع‌آوری اطلاعات شخصی است، همچنین مصرف‌کننده این حق را دارد که درخواست حذف تمامی اطلاعات شخصی‌اش از شرکت مربوطه را داشته باشد.

اما در تعدادی از ماده‌های این قانون تأکید زیادی بر آگاهی مصرف‌کنندگان از فروش اطلاعاتشان توسط شرکت‌های دارای این اطلاعات آمده است، علت این مسئله به رسوایی فروش اطلاعات کاربران فیسبوک به موسسه کمبریج آنالیتیکا برمی‌گردد، از این رو در این قانون تمامی ابعاد فروش اطلاعات کاربران توسط شرکت‌ها با جزئیات ذکرشده تا از تکرار چنین افشاهای گسترده‌ای جلوگیری شود.

چه شرکت‌هایی مشمول قانون CCPA می‌شوند؟

به دلیل پرهزینه بودن پیاده‌سازی بسترهایی که با  CCPAسازگاری دارند و ناتوانی شرکت‌های کوچک و استارت‌آپ‌ها در پرداخت این هزینه‌ها، تمامی شرکت‌هایی که یکی از سه شرط زیر را داشته باشند مشمول این قانون می‌شوند:
  • شرکت‌هایی که درامد سالیانه آنها حداقل ۲۵ میلیون دلار باشد
  • شرکت‌هایی که داده‌های ۵۰ هزار کاربر یا دستگاه را نگه‌داری می‌کنند
  • شرکت‌هایی که بیش از ۵۰ درصد درامدشان از طریق فروش داده‌های مصرف‌کنندگان باشد.
شرکت‌هایی مانند بیمه‌ها، آژانس‌ها و مؤسسات حمایتی و نظیر آن نیز شامل این قانون می‌شوند.
 
نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
شرکت‌هایی که مشمول قانون CCPA می‌شوند

CCPA شامل چه نوع داده‌هایی می‌شود؟!
  • اطلاعات شناسایی شامل اسم حقیقی، آدرس پستی،IP آدرس، آدرس ایمیل، نام حساب کاربری، شماره گواهینامه رانندگی، شماره پاسپورت و ...
  • اسناد طبقه‌بندی‌شده
  • اطلاعات تجاری شامل جزئيات یک کالا، ویژگی‌های یک محصول، خدمات فروش و ...
  • اطلاعات زیست‌سنجی (Biometrics)
  • اینترنت و هر شبکه فعال اطلاعات الکترونیکی مانند تاریخچه جستجو، تبلیغات مشاهده‌شده، کوکی‌ها و ...
  • داده‌های جغرافیایی
  • صدا، تصاویر، داده‌های الکترونیکی، حرارتی، بویایی و تمامی داده‌های مشابه
  • اطلاعات مربوط به حرفه و کار
  • اطلاعات آموزشی
  • اطلاعات منتج از هرگونه مشاهده و اطلاعات دیگر 
تخلف شرکت‌ها از این قانون چه مجازاتی دارد؟!

هر شرکت که به سطح مشمولیت این قانون برسد (احراز یکی از سه شرط مذکور) موظف است ظرف مدت ۳۰ روز شرایط لازم جهت تأمین مفاد این قانون را پیاده‌سازی کند در غیر این صورت به ازای هر نقض داده به جریمه‌های زیر محکوم می‌شود:
  • برای افشای سهوی و غیرعمدی به ازای هر رکورد ۲۵۰۰ دلار و برای افشای عمدی ۷۵۰۰ دلار جریمه می‌شود.
  • ۱۰۰ الی ۷۵۰ دلار به ازای هر حادثه‌ای که مصرف‌کننده‌ای در آن متضرر شود.
  • به‌عنوان مثال طبق این قانون اگر شرکتی مانند فیسبوک اطلاعات ۵۰ میلیون آمریکایی را به شرکت ثالث دیگری بفروشد بیش از ۳۷۵ میلیارد دلار به‌عنوان جریمه باید پرداخت کند.
جمع‌بندی

پس از تصویب لایحه CCPA و تبدیل آن به یک قانون لازم‌الاجرا در ایالت کالیفرنیا ، سناتورهای ایالت‌های دیگر آمریکا تمایل خود به تصویب لایحه‌ای مشابه CCPA به‌صورت فدرالی و در تمام ایالات‌متحده آمریکا را ابراز کردند. به گفته جولی بریل (Julie Brill) عضو سابق کمیسیون تجارت فدرال آمریکا و رئیس دفتر حریم خصوصی مایکروسافت : «قانون کالیفرنیا به‌عنوان یک کاتالیزوری است که ایالات دیگر را عمیقاً در مورد حفظ حریم خصوصی به فکر می‌اندازد» .  به عبارت دیگر ریل‌گذاری در موضوع حریم خصوصی امری است که نباید توسط هیچ قانون‌گذار و حکومتی مورد غفلت قرار بگیرد و هرگونه قصور در این امر موجب بروز مشکلات بسیار گسترده‌ای می‌شود که ضرر و زیان آن تا سال‌ها گریبان شهروندان و مصرف‌کنندگان را خواهد گرفت.

البته در کشور ما نیز اقداماتی در جهت ایجاد سازوکارهای کنترل و حفظ حریم خصوصی صورت گرفته است بخصوص بعد از فتوای مقام معظم رهبری مبنی بر حرمت تعرض به حریم خصوصی که حرام شرعی است،  لایحه‌ای در وزارت ارتباطات شکل گرفت به نام لایحه حفظ حریم خصوصی افراد در فضای مجازی  که با گذشت یک سال از ارسال این لایحه به دولت تاکنون نتیجه و خروجی ملموسی دیده نشده. اما در پیش‌نویس این لایحه که در سایت اندیشکده شفافیت وجود دارد  تنها به تعریف اصطلاحات حقوقی در این امر پرداخته شده است و همانند قوانین GDPR  و CCPA که شرکت‌های مشمول و مجازات و ... را به‌صورت دقیق مشخص می‌کرد، چیزی یافت نمی‌شود، البته وزارت ارتباطات علت این امر را خارج بودن تعیین مسائل قضایی و اداری از حیطه کاری خودش می‌داند که این دلیل موجهی است که می‌بایست منجر به ورود مجلس شورای اسلامی و نهادهای قانون‌گذار کشور به این موضوع شود.
 
نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)
دیدگاه رهبر انقلاب مبنی بر حرمت تعرض به حریم خصوصی مردم 

نگاهی به قانون حفظ حریم خصوصی کالیفرنیا (CCPA)


https://www.sciencedaily.com/releases/2013/05/130522085217.htm

https://gdpr-info.eu

https://gdpr-info.eu/issues/fines-penalties


https://www.forbes.com/sites/andrewrossow/2018/05/25/the-birth-of-gdpr-what-is-it-and-what-you-need-to-know/#74f26daf55e5

https://www.lexology.com/library/detail.aspx?g=4043cf7f-634a-48e8-a7f5-beb8e1cf7677

https://en.wikipedia.org/wiki/California

https://portswigger.net/daily-swig/ccpa-the-first-of-many-nbsp-state-level-us-privacy-laws-on-the-horizon
  http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
    http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
  http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5

https://www.fastcompany.com/90445374/what-californias-new-privacy-law-really-means-for-you

https://b2n.ir/966536

https://b2n.ir/068067

https://b2n.ir/186036