Gerdab.IR | گرداب

«پایگاه رسانه‌ای گرداب جهت آگاهی و افزایش دانش مخاطبان خود به ترجمه و انتشار مطالبی در حوزه‌های مختلف فناوری اقدام می‌کند. انتشار مطالب به معنای تایید محتوای آن نیست».

در سال جاری احتمالا مسئله حکمرانی فضای مجازی داغ شود و امنیت سایبری نیز بیشتر در معرض توجه قرار گیرد. موسسه آمریکایی فولی و لاردنر که به ارائه مشاوره‌های حقوقی برای فعالان مجازی می‌پردازد، گزارشی آمده کرده است از اتفاقاتی که در سال جاری در حوزه امنیت سایبری و حریم شخصی در انتظار خواهد بود.
شایان ذکر است این گزارش موضوعات داغ این حوزه را در جامعه آمریکا پیش‌بینی کرده است.
این گزارش به قلم کیمبرلی کلینسپورت (Kimberly Klinsport) و جنیفر اوربن (Jennifer Urban) نوشته شده است.

به گزارش گرداب، از آن جایی که قرار است قوانین جدید متعددی اعمال شوند، انتظار می‌رود که ۲۰۲۳ سال هیجان‌انگیزی باشد و سازمان‌ها باید برنامه‌های امنیت سایبری و حریم خصوصی داده‌های خود را مطابق قوانین جدید تغییر دهند. این تحولات در ماه‌های آینده بر انواع کسب و کار‌ها در صنایع و حوزه‌های مختلف تأثیر خواهند گذاشت و فرقی ندارد در چه سطح ایالتی، فدرالی یا بین‌المللی باشند.

قوانین حفظ حریم خصوصی مصرف‌کنندگان ایالتی

کالیفرنیا، ویرجینیا، کلرادو، کنتیکت و یوتا پنج ایالتی هستند که قوانین جامع حفظ حریم خصوصی مصرف‌کنندگان را وضع کرده‌اند. قانون حقوق حریم خصوصی کالیفرنیا (CPRA) و قانون حفاظت از داده‌های مصرف‌کننده ویرجینیا (VCDPA) از اول ژانویه ۲۰۲۳ به اجرا گذاشته شدند و برای سه ایالت دیگر هم در اواخر سال اجرایی خواهد شد.

اگرچه قانون حقوق حریم خصوصی کالیفرنیا در حال حاضر اجرایی شده است، اما مجموعه اولیه مقررات آن تا آوریل ۲۰۲۳ نهایی نمی‌گردد. علاوه بر این، مقررات فعلی شامل مقررات مربوط به هوش مصنوعی (AI)، ممیزی امنیت سایبری یا ارزیابی خطرات حریم خصوصی نمی‌شود. آژانس حفاظت از حریم خصوصی کالیفرنیا (CPPA) اخیراً روند تدوین قوانین در مورد این موضوعات را آغاز کرده است. همچنین قانون حقوق حریم خصوصی کالیفرنیا در حال حاضر تنها قانونی است که در مورد استخدام و اطلاعات B۲B اعمال می‌شود و آژانس حفاظت از حریم خصوصی کالیفرنیا مشخص نکرده است که آیا قصد تمدید استثنای جزئی و موقت قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA) را دارد یا خیر.

کلرادو تنها ایالت دیگری است که مقررات مربوط به قانون حفظ حریم خصوصی مصرف‌کنندگان خود را صادر می‌کند. دادستان کل کلرادو اخیراً مقررات پیشنهادی در مورد قانون حفظ حریم خصوصی مصرف‌کننده (CPA) را ارائه کرده و جلسات ذینفعان قرار است در طول سال ۲۰۲۳ برگزار شود. اگرچه قانون حفظ حریم خصوصی مصرف‌کننده تا اول جولای اجرایی نمی‌شود، اما سازمان‌ها باید ارزیابی کرده و ببینند که CPA و مقررات پیشنهادی تا چه حد و چگونه بر برنامه‌های حفظ حریم خصوصی آن‌ها تأثیر می‌گذارند.

بسیاری از ایالت‌های دیگر هم در حال بررسی قوانین جامع حفظ حریم خصوصی مصرف‌کننده هستند، بنابراین سازمان‌ها باید در صورت اعمال چنین قوانینی برنامه‌های حفظ حریم خصوصی داده‌های خود را با آن‌ها تطبیق دهند. به عبارتی، سازمان‌ها باید مشخص کنند که از چه نوع داده‌های شخصی استفاده می‌کنند، چگونه آن‌ها را جمع‌آوری می‌کنند، چه کسی به آن‌ها دسترسی دارد و کجا ذخیره می‌شوند. در واقع سازمان‌ها باید ببینند تا چه حد نحوه استفاده از داده‌ها و روش‌های تبلیغاتی آن‌ها با قوانین پیشنهادی مغایر نیست.

همچنین بهتر است سیاست‌های حریم خصوصی و اطلاعیه‌های مربوطه را بررسی و اطمینان حاصل کنند که اطلاعات لازم به صورت شفاف و واضح برای مصرف‌کنندگان، کارمندان یا متقاضیان و شریکان تجاری درج و توضیح داده شده‌اند. با توجه به این که قوانین در حال تغییر هستند، سازمان‌ها باید تحولات در مجامع قانون‌گذاری ایالتی و دیگر حوزه‌های قضایی جهانی را تحت نظر داشته باشند.

مقررات مربوط به هوش مصنوعی و فناوری پردازش خودکار

در سال ۲۰۲۳ سازمان‌ها تحت چهار قانون ایالتی جدید حفظ حریم خصوصی مصرف‌کنندگان، مجبور خواهند بود تا تعهداتی در رابطه با هوش مصنوعی و پردازش خودکار بدهند. با این که سازمان‌های مشمول مقررات حفاظت از داده‌های عمومی (GDPR) احتمالاً با الزامات قانونی مرتبط به هوش مصنوعی و پردازش خودکار آشنا هستند، اما چشم‌انداز اقدامات نظارتی در ایالات متحده همچنان نامشخص است و معلوم نیست که مقررات حفاظت از داده‌های عمومی و قوانین حفظ حریم خصوصی ایالتی تا چه حد با هم همخوانی دارند.

قوانین جدید حفظ حریم خصوصی مصرف‌کنندگان در کالیفرنیا، کلرادو، کنتیکت و ویرجینیا دارای الزامات مرتبط با هوش مصنوعی/پردازش خودکار، مانند ارزیابی تأثیر پردازش پرخطر و حق انصراف هستند، اما هنوز سؤالات بی‌پاسخی در مورد نحوه رسیدگی ایالات به مشکلات مصرف‌کننده و حق حذف درخواست وجود دارد. همچنین مشخص نیست که سازمان‌ها چه اطلاعاتی را باید در اختیار مصرف‌کنندگان در رابطه با پردازش خودکار ارائه دهند. در طول سال، سازمان‌هایی که از هوش مصنوعی یا فناوری پردازش خودکار استفاده می‌کنند باید توجه داشته باشند که به احتمال زیاد الزامات جدیدی اضافه خواهند شد، چون کلرادو مقررات پیشنهادی را صادر کرده است و قوانین کالیفرنیا هم به زودی وضع می‌شوند.

حریم خصوصی کودکان

دولت بر موضوع حفظ حریم خصوصی کودکان توجه ویژه‌ای دارد. کالیفرنیا اخیراً قانون کد طراحی متناسب با سن کالیفرنیا (CAADCA) را تصویب کرده است که از ۱ ژوئیه ۲۰۲۴ لازم الاجرا می‌شود. قانون کد طراحی متناسب با سن کالیفرنیا به منظور تامین امنیت، حفظ داده‌ها و حریم خصوصی کودکان به هنگام استفاده از پلتفرم‌های آنلاین ایجاد شده است و مشابه با قانون کد طراحی متناسب با سن انگلستان بوده که اخیراً به تصویب رسیده است. در سطح فدرالی، کمیسیون تجارت فدرال (FTC) جریمه‌های سنگینی برای ناقضان قانون حفاظت از حریم خصوصی آنلاین کودکان (COPPA) در نظر گرفته است. شرکت‌هایی که خدمات آنلاین مخصوص به کودکان ارائه می‌دهند یا می‌دانند که کودکان زیر ۱۳ سال از خدمات آن‌ها استفاده می‌کنند باید مطابق با قانون حفاظت از حریم خصوصی آنلاین کودکان و قوانین ایالتی فعالیت کنند.

چارچوب حریم خصوصی داده اتحادیه اروپا-ایالات متحده

اتحادیه اروپا و ایالات متحده در سال ۲۰۲۲ روی یک سیستم انتقال داده به توافق رسیدند و اتحادیه اروپا اخیراً پیش‌نویس تصمیم خود در مورد چارچوب حریم خصوصی داده (DPF) اتحادیه اروپا-ایالات متحده را صادر کرد. در صورت تصویب این پیش‌نویس، ایالات متحده موظف است تدابیر مناسبی برای حفاظت از مصرف‌کنندگان اروپا ارائه کرده و امنیت داده‌های شخصی انتقالی از اتحادیه اروپا به سازمان‌های مستقر در ایالات متحده را تضمین کند. هرچند مقامات اتحادیه اروپا و ایالات متحده از تصویب DPF حمایت می‌کنند، تنظیم‌کنندگان قوانین اتحادیه اروپا معتقدند که سطح امنیتی ارائه شده در DPF پایین‌تر از سطح امنیتی مورد نیاز مقررات حفاظت از داده‌های عمومی است.

تشدید اقدامات اجرایی و دعاوی قضایی

قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا (CCPA) در سال ۲۰۲۲ برای اولین بار اجرا شد و انتظار می‌رود که ناظران داخلی و بین‌المللی جهت شناسایی و برخورد با نهاد‌های ناقض قوانین حریم خصوصی و امنیت داده اقدامات لازم را انجام دهند.
در عین حال، وکیل عمومی اتحادیه اروپا راهنمایی‌هایی را ارائه داد و اظهار داشت که نهاد‌های مسئول داده نیازی به پرداخت غرامت به دلیل نقض الزامات فنی مقررات حفاظت از داده‌های عمومی بدون خسارت مادی یا غیرمادی ندارند و در عوض فقط باید خسارت واقعی را جبران کنند.

برنامه‌های امنیت سایبری و طرح‌های پاسخ به حوادث

از آن جایی که حملات سایبری از جمله باج‌افزار و اخاذی سایبری سال به سال افزایش می‌یابد، موضوع امنیت سایبری اولویت اصلی سازمان‌ها شده است. بر اساس گزارش بررسی نقض داده‌های Verizon، حملات باج‌افزار در سال ۲۰۲۲، ۱۳% افزایش یافته است و احتمالاً در سال ۲۰۲۳ بیشتر هم خواهد شد. حتی بزرگ‌ترین و پیچیده‌ترین سازمان‌ها هم می‌توانند قربانی نقض داده‌ها در نتیجه حملات سایبری شوند. به این ترتیب، سازمان‌ها باید دائماً بر تهدیدات و خطرات نظارت داشته باشند و برنامه‌های امنیت سایبری و طرح‌های پاسخ به حوادث خود را برای دفاع در برابر حملات سایبری و نشان دادن واکنش مؤثر به آن‌ها به‌روزرسانی کنند.

در سال ۲۰۲۳ قرار است چندین قانون پیشنهادی جدید از جمله مقررات امنیت سایبری دپارتمان خدمات مالی نیویورک (NYDFS)، الزامات امنیت سایبری کمیسیون بورس و اوراق بهادار (SEC) برای شرکت‌های دولتی و گزارش‌دهی حوادث امنیت سایبری در زیرساخت‌های حیاتی (CISA) به مرحله اجرا درآیند. به این ترتیب سازمان‌ها باید هنگام تدوین برنامه‌های امنیت سایبری و طرح‌های پاسخ به حوادث، به این موارد هم توجه داشته باشند.

قوانین اعلان نقض اطلاعات ایالتی

الزامات قوانین مربوط به گزارش نقض داده‌های ایالتی هم دائماً در حال تغییر هستند. سازمان‌ها باید این تغییرات را مورد توجه قرار دهند تا بدانند در صورت رویداد نقض داده موظف به انجام چه کاری هستند و برنامه‌های خود را مطابق آن بچینند.

منبع: jdsupra