مقالاتخبر

۲۰۲۰، سال جهانی حفاظت از داده‌ها

در سال‌های اخیر، چشم‌انداز قوانین جهانی حفاظت از داده‌ها پیچیده‌تر شده و کسب‌وکارهای فعال در سطح بین‌الملل باید از آنها پیروی کنند. در سال ۲۰۲۰ میلادی تغییرات زیادی در حوزه قوانین مربوط به امنیت و حفظ حریم خصوصی داده‌ها از جمله ایجاد و توسعه قوانین جدید در سطح جهان ایجاد شد. همچنین در این سال تغییرات مهمی رخ دادند که پیامدهای چشمگیری برای کسب‌وکارهای بین‌المللی داشتند.

در این مطلب از فراست، تعدادی از قوانین و مقررات تصویب شده در این سال را مرور می‌کنیم.

 

اروپا: چالش‌های برگزیت (Britain exits the EU)

در دو سال اخیر کسب‌وکارها فرصت زیادی برای سازگاری با مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR[۱]) داشتند ولی با خروج ناگهانی انگلیس از این اتحادیه شرایط تا حدودی تغییر کرده است. انگلیس قصد تصویب قوانین معادل با مقررات فعلی GDPR را دارد. در این صورت انتقال داده‌ها بین این کشور با کشورهای عضو اتحادیه اروپا سخت خواهد شد.

بر اساس قوانین GDPR، انگلیس از ۳۱ ژانویه ۲۰۲۱ یک کشور ثالث محسوب می‌شود. به همین خاطر کمیسیون اروپا باید ارزیابی کند که آیا این کشور برای شهروندان اتحادیه اروپا یک منطقه قابل اطمینان است یا خیر؟ بنابراین این احتمال وجود دارد که شرکت‌های انگلیسی نیاز داشته باشند به توافق‌های خاصی با اتحادیه اروپا برسند. جزئیات دقیق این طرح‌ها در ماه های آتی مشخص خواهد شد.

آمریکا: قانون های سپر حریم خصوصی و حفاظت از حریم خصوصی مصرف کنندگان در کالیفرنیا (CCPA[۲])

در ماه جولای ۲۰۲۰، پس از صدور حکم دیوان دادگستری اروپا در خصوص عدم اعتبار توافقنامه سپر حریم خصوصی (Privacy Shield)، یکی از فرایندهای اصلی برای انتقال داده ها بین کشورهای اروپایی و آمریکا لغو شد. این دیوان حکم داد که قوانین آمریکا ضمانت لازم برای حفاظت از داده‌های شخصی کاربران را در اتحادیه اروپا فراهم نمی‌کنند. دلیل نیز آن رویکرد خاص دولت آمریکا برای نظارت بر داده‌ها و عدم وجود یک سیاست ملی درباره حریم خصوصی داده‌ها در این کشور بود.

این دادگاه با لغو توافقنامه سپر حریم خصوصی، سازوکار دیگری برای انتقال داده‌ها تصویب کرد که به آن بندهای قراردادی استاندارد (SCC[۳]) گفته می‌شود. همچنین مسئولیت قضاوت درباره اینکه آیا کشور دریافت کننده داده‌ها قوانین لازم را برای حفاظت از حریم خصوصی دارد یا خیر، بر عهده کنترل کننده آن داده‌ها قرار گرفت. هم اکنون کسب‌وکارها باید روابط شان را با شرکت‌های فروشنده ابزارها و راهکارهای دیجیتال بررسی کرده و سازوکارهای جدیدی را برای جایگزینی سپر حریم خصوصی تصویب کنند.

در آمریکا هم قانون حفاظت از حریم خصوصی مصرف‌کنندگان در کالیفرنیا تصویب شد. این قانون باعث می‌شود شهروندان کالیفرنیا هم حقوق کاملی شبیه به GDPR برای حفاظت از داده‌های شخصی خودشان داشته باشند. برای مثال آنها حق درخواست دریافت داده‌های خودشان، حق خروج از فرایند جمع‌آوری داده‌ها و حق شکایت در صورت عدم حفاظت مناسب از داده‌هایشان را دارند.

امکان اعمال این قانون به هزاران کسب‌وکار در سطح آمریکا و مشتریان جهانی کالیفرنیا وجود دارد. علاوه‌ بر این یکی از پیشنهادهای اخیر که با عنوان “Proposition 24” مطرح شده بود، در کالیفرنیا تصویب شد. تصویب این پیشنهاد راه را برای تصویب قانون حقوق حریم خصوصی در کالیفرنیا که میزان حفاظت از داده‌های مصرف کنندگان را در این ایالت افزایش می‌دهد، باز خواهد کرد.

برزیل: قانون عمومی حفاظت از داده‌ها (LGDP[۴])

در ماه سپتامبر ۲۰۲۰، برزیل هم قوانین جدیدی را با عنوان «قانون عمومی حفاظت از داده‌ها» که به سبک GDPR بود، تصویب کرد. این قانون بر سازمان‌های برزیلی و غیربرزیلی که داده‌های شخصی را با هدف ارایه کالاها و خدمات برای شهروندان برزیلی پردازش می‌کنند، اعمال می‌شود.

بنابراین با توجه به شباهت این قانون به GDPR، شرکت‌هایی که مراحل لازم را برای پیروی از قانون GDPR انجام داده باشند برای پیروی از این قانون هم مشکلی نخواهند داشت.

چین: قانون حفاظت از داده‌های شخصی (PDPL[۵])

در تاریخ بیست و یکم اکتبر ۲۰۲۰، دولت چین از قانون حفاظت از داده‌های شخصی رونمایی کرد. این قانون علاوه بر چین، پیامدهای ژئوپلیتیک خاصی هم برای سایر کشورها دارد.

قانون PDPL اولین قانون مرتبط با داده‌ها در کشور چین است و کنترل‌های جدیدی را درباره چگونگی به اشتراک گذاری و مدیریت داده‌ها ارایه کرده است. در آینده‌ای نزدیک، هر سازمانی که قصد دسترسی به داده‌های کاربران چینی را داشته باشد باید الزامات سختگیرانه خاصی همچون ایجاد یک نهاد مدیریتی و اجرای فرایندهای ارزیابی مخاطره را رعایت کند. در حال حاضر این قانون امکان جریمه سازمان‌ها تا مبلغی معادل با ۷.۴ میلیون دلار را فراهم کرده و برای اشخاصی که آن را نقض کنند هم جریمه‌های سنگینی در نظر می‌گیرد.

ماده ۳۲ این قانون، بحث برانگیزترین بخش آن است که همکاری با دولت چین درباره مسائل مرتبط با امنیت ملی یا تحقیق درباره جرم و جنایت را الزام آور می‌کند. این ماده، نگرانی‌هایی را برای شرکت‌های خارجی به دنبال داشته و این شرکت‌ها ممکن است ملزم به قرار دادن داده‌های کاربران در اختیار دولت چین شوند. این موضوع می‌تواند به بدتر شدن روابط بین چین و آمریکا دامن بزند.

پیشنهاد مطرح شده برای انجام «اقدامات لازم» در برابر کشورهایی که مانع جریان یافتن داده‌ها و سرمایه گذاری در حوزه فناوری در کشور چین می‌شوند، به نوعی واکنش دولت چین به طرح «شبکه پاک» آمریکا تلقی می‌شود.

قرارگیری در جریان تغییرات قانونی اخیر

در شرایطی که چالش‌های قانونی جهانی سازمان‌ها بیشتر شده، نکته مثبت در این زمینه این است که عموماً این الزامات را می‌توان با رعایت اصول پایه و مشابه برآورده کرد.

برای مثال شرکت‌ها باید در سال ۲۰۲۱ میلادی به بازبینی سیاست‌های خودشان ادامه داده و فقط داده‌های مورد نیاز را برای انجام فعالیت های کسب‌وکاری شان جمع‌آوری کنند. همچنین لازم است اطمینان حاصل کنند که برای جمع‌آوری داده‌ها از کاربران رضایت گرفته می‌شود. جمع‌آوری حداقل میزان داده‌ها منجر به کاهش کار سازمان‌ها برای مدیریت داده‌ها و نیز ارایه گزارش‌های لازم شده و پیامدهای حوادث سایبری را کاهش می‌دهد.

البته حفظ امنیت این داده‌ها نیز باید یکی از اولویت‌های مهم و اساسی سازمان‌ها باشد و از وجود سیاست‌های امنیتی لازم برای ذخیره، پردازش و انتقال امن داده‌ها مطمئن باشند. همچنین آنها باید با کمک روش‌هایی مثل طبقه بندی، رمزنگاری و جلوگیری از نشت داده و استفاده از ابزارهای ضدفیشینگ، ضدبدافزار و هوش تهدید با تهدیدات سایبری مقابله کنند.

در نهایت، سازمان‌ها می‌توانند با پیاده‌سازی طرح هوش تهدید سایبری، حفاظت از داده‌های کاربران را افزایش دهند. به این ترتیب تیم‌های مسئول امنیت و پیروی از قوانین می‌توانند به صورت فعالانه و پیشگیرانه خطری که در مناطق مختلف متوجه سازمان است را مدیریت کرده و انطباق با قوانین را ادامه دهند.

 

[۱] General Data Protection Regulation

[۲] California Consumer Privacy Act

[۳] Standard Contractual Clauses

[۴] Lei Geral de Proteção de Dados

[۵] Personal Data Protection Law

 

منبع: infosecurity-magazine

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک × دو =

دکمه بازگشت به بالا