به گزارش
گرداب، دنیای فناوری اطلاعات هر روز وسیعتر و آمیختگی آن با زندگی انسانها بیشتر و بیشتر میشود. تنها در دو سال ۲۰۱۸ و ۲۰۱۹ بیش از ۹۰ درصد کل دادههای موجود در جهان تولید شدهاند و این اعلام نیازی است برای تعیین سازوکارها و وضع قوانین به جهت مدیریت و کنترل هر چه صحیحتر این فضای بسیار حجیم. موازی با این مسئله پس از رسانهای شدن سوءاستفادههای شرکتهای بزرگ فناوری آمریکایی از اطلاعات شخصی کاربران که به محاکمه این شرکتها منجر شد، یک شرکت حقوقی کوچک در ایالت کالیفرنیا به مدیریت آلستار مکتاگرت یک لایحه قانونی برای مقابله با سوءاستفاده این شرکتها تنظیم کرد، قانونی که در 28 ژوئن 2018 تصویب و از ابتدای سال 2020 اجرا شده است. در این پرونده به جزئیات این قانون و بررسی چشمانداز آن میپردازیم.
آلستار مک تارگت، مدیر شرکت حقوقی Californians for Consumer Privacy
قانون حفظ حریم خصوصی کالیفرنیا(CCPA) از کجا متولد شد؟!
برای بررسی دقیقتر قانون CCPA باید به مقررات عمومی حفاظت از داده اتحادیه اروپا موسوم به قانون GDPR بپردازیم. این قانون به تعبیر برخی سختگیرانهترین و گستردهترین قانون حفظ حریم خصوصی در دنیا است که در ۱۱ فصل با عناوینی مثل تمهیدات عمومی، کنترلکنندهها و پردازشگرها، انتقال دادههای شخصی به یک کشور ثالث یا نهادهای بینالمللی، حقوق موضوعات داده و ... تدوین شده و درمجموع دارای ۹۹ ماده است . این قانون در سال ۲۰۱۶ تصویب و از سال ۲۰۱۸ در تمامی کشورهای اتحادیه اروپا لازمالاجرا شده است. دامنه شمول مقررات GDPR همه شرکتهای داخلی و خارجی کنترلکننده و پردازشگر دادههای شهروندان اروپایی را در بر میگیرد. جریمه تخلف از این قوانین شامل حداکثر ۴ درصد از درامد جهانی آن شرکت یا ۲۰ میلیون یورو در نظر گرفته شده است.
جزئیات مقررات GDPR که از سال 2018 در تمامی کشورهای اتحادیه اروپا لازمالاجرا شده است
قانون GDPR تمامی موضوعات مربوط به دادهها را در بر میگیرد نظیر:
- اطلاعات شناسایی شخصی
- دادههای وبسایتها نظیر IP آدرسها ،کوکیها ،مکانها و ...
- دادههای حوزه سلامت و ژنتیک
- دادههای زیستسنجی
- دادههای قومی و نژادی
- نظرات سیاسی .
به اعتقاد برخی قانون CCPA از قانون GDPR الهام گرفته شده است.
قانون GDPR تمامی موضوعات مربوط به دادهها را در بر میگیرد
قانون حریم خصوصی مصرفکنندگان کالیفرنیا
کالیفرنیا با جمعیت ۴۰ میلیونی مهد فناوری اطلاعات و پنجمین اقتصاد بزرگ در جهان است . دره معروف سیلیکون (Silicon Valley) واقع در شهر سن خوزه جایی است که عمده شرکتهای بزرگ فناوری جهان از اپل و فیسبوک تا اینتل و آیبیام از آنجا شروع به کار کردهاند . از این رو اهمیت ایالت کالیفرنیا در صنعت و فناوری اطلاعات در کل دنیا بر کسی پوشیده نیست.
CCPA اولین قانون در ایالاتمتحده آمریکا درباره حریم خصوصی است و مشابه آن در ایالتهای دیگر آمریکا وجود ندارد. شهروندان کالیفرنیا با این قانون میتوانند تمامی اطلاعاتی که شرکتها از آنها ذخیره میکنند، و همچنین لیست کاملی از تمامی اشخاص ثالثی که شرکتهای مذکور، اطلاعات کاربران و مصرفکنندگان را با آنها به هر طریق تبادل میکنند را مشاهده کنند.
موضوع ماده اول تا سوم قانون حفظ حریم خصوصی کالیفرنیا درباره حقوق مصرفکننده و اطلاع شفاف و دقیق از نحوه جمعآوری اطلاعات شخصی است، همچنین مصرفکننده این حق را دارد که درخواست حذف تمامی اطلاعات شخصیاش از شرکت مربوطه را داشته باشد.
اما در تعدادی از مادههای این قانون تأکید زیادی بر آگاهی مصرفکنندگان از فروش اطلاعاتشان توسط شرکتهای دارای این اطلاعات آمده است، علت این مسئله به رسوایی فروش اطلاعات کاربران فیسبوک به موسسه کمبریج آنالیتیکا برمیگردد، از این رو در این قانون تمامی ابعاد فروش اطلاعات کاربران توسط شرکتها با جزئیات ذکرشده تا از تکرار چنین افشاهای گستردهای جلوگیری شود.
چه شرکتهایی مشمول قانون CCPA میشوند؟
به دلیل پرهزینه بودن پیادهسازی بسترهایی که با CCPAسازگاری دارند و ناتوانی شرکتهای کوچک و استارتآپها در پرداخت این هزینهها، تمامی شرکتهایی که یکی از سه شرط زیر را داشته باشند مشمول این قانون میشوند:
- شرکتهایی که درامد سالیانه آنها حداقل ۲۵ میلیون دلار باشد
- شرکتهایی که دادههای ۵۰ هزار کاربر یا دستگاه را نگهداری میکنند
- شرکتهایی که بیش از ۵۰ درصد درامدشان از طریق فروش دادههای مصرفکنندگان باشد.
شرکتهایی مانند بیمهها، آژانسها و مؤسسات حمایتی و نظیر آن نیز شامل این قانون میشوند.
شرکتهایی که مشمول قانون CCPA میشوند
CCPA شامل چه نوع دادههایی میشود؟!
- اطلاعات شناسایی شامل اسم حقیقی، آدرس پستی،IP آدرس، آدرس ایمیل، نام حساب کاربری، شماره گواهینامه رانندگی، شماره پاسپورت و ...
- اسناد طبقهبندیشده
- اطلاعات تجاری شامل جزئيات یک کالا، ویژگیهای یک محصول، خدمات فروش و ...
- اطلاعات زیستسنجی (Biometrics)
- اینترنت و هر شبکه فعال اطلاعات الکترونیکی مانند تاریخچه جستجو، تبلیغات مشاهدهشده، کوکیها و ...
- دادههای جغرافیایی
- صدا، تصاویر، دادههای الکترونیکی، حرارتی، بویایی و تمامی دادههای مشابه
- اطلاعات مربوط به حرفه و کار
- اطلاعات آموزشی
- اطلاعات منتج از هرگونه مشاهده و اطلاعات دیگر
تخلف شرکتها از این قانون چه مجازاتی دارد؟!
هر شرکت که به سطح مشمولیت این قانون برسد (احراز یکی از سه شرط مذکور) موظف است ظرف مدت ۳۰ روز شرایط لازم جهت تأمین مفاد این قانون را پیادهسازی کند در غیر این صورت به ازای هر نقض داده به جریمههای زیر محکوم میشود:
- برای افشای سهوی و غیرعمدی به ازای هر رکورد ۲۵۰۰ دلار و برای افشای عمدی ۷۵۰۰ دلار جریمه میشود.
- ۱۰۰ الی ۷۵۰ دلار به ازای هر حادثهای که مصرفکنندهای در آن متضرر شود.
- بهعنوان مثال طبق این قانون اگر شرکتی مانند فیسبوک اطلاعات ۵۰ میلیون آمریکایی را به شرکت ثالث دیگری بفروشد بیش از ۳۷۵ میلیارد دلار بهعنوان جریمه باید پرداخت کند.
جمعبندی
پس از تصویب لایحه CCPA و تبدیل آن به یک قانون لازمالاجرا در ایالت کالیفرنیا ، سناتورهای ایالتهای دیگر آمریکا تمایل خود به تصویب لایحهای مشابه CCPA بهصورت فدرالی و در تمام ایالاتمتحده آمریکا را ابراز کردند. به گفته جولی بریل (Julie Brill) عضو سابق کمیسیون تجارت فدرال آمریکا و رئیس دفتر حریم خصوصی مایکروسافت : «قانون کالیفرنیا بهعنوان یک کاتالیزوری است که ایالات دیگر را عمیقاً در مورد حفظ حریم خصوصی به فکر میاندازد» . به عبارت دیگر ریلگذاری در موضوع حریم خصوصی امری است که نباید توسط هیچ قانونگذار و حکومتی مورد غفلت قرار بگیرد و هرگونه قصور در این امر موجب بروز مشکلات بسیار گستردهای میشود که ضرر و زیان آن تا سالها گریبان شهروندان و مصرفکنندگان را خواهد گرفت.
البته در کشور ما نیز اقداماتی در جهت ایجاد سازوکارهای کنترل و حفظ حریم خصوصی صورت گرفته است بخصوص بعد از فتوای مقام معظم رهبری مبنی بر حرمت تعرض به حریم خصوصی که حرام شرعی است، لایحهای در وزارت ارتباطات شکل گرفت به نام لایحه حفظ حریم خصوصی افراد در فضای مجازی که با گذشت یک سال از ارسال این لایحه به دولت تاکنون نتیجه و خروجی ملموسی دیده نشده. اما در پیشنویس این لایحه که در سایت اندیشکده شفافیت وجود دارد تنها به تعریف اصطلاحات حقوقی در این امر پرداخته شده است و همانند قوانین GDPR و CCPA که شرکتهای مشمول و مجازات و ... را بهصورت دقیق مشخص میکرد، چیزی یافت نمیشود، البته وزارت ارتباطات علت این امر را خارج بودن تعیین مسائل قضایی و اداری از حیطه کاری خودش میداند که این دلیل موجهی است که میبایست منجر به ورود مجلس شورای اسلامی و نهادهای قانونگذار کشور به این موضوع شود.
دیدگاه رهبر انقلاب مبنی بر حرمت تعرض به حریم خصوصی مردم
https://www.sciencedaily.com/releases/2013/05/130522085217.htm
https://gdpr-info.eu
https://gdpr-info.eu/issues/fines-penalties
https://www.forbes.com/sites/andrewrossow/2018/05/25/the-birth-of-gdpr-what-is-it-and-what-you-need-to-know/#74f26daf55e5
https://www.lexology.com/library/detail.aspx?g=4043cf7f-634a-48e8-a7f5-beb8e1cf7677
https://en.wikipedia.org/wiki/California
https://portswigger.net/daily-swig/ccpa-the-first-of-many-nbsp-state-level-us-privacy-laws-on-the-horizon
http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
https://www.fastcompany.com/90445374/what-californias-new-privacy-law-really-means-for-you
https://b2n.ir/966536
https://b2n.ir/068067
https://b2n.ir/186036