2020، سال جهانی حفاظت از دادهها
در سالهای اخیر، چشمانداز قوانین جهانی حفاظت از دادهها پیچیدهتر شده و کسبوکارهای فعال در سطح بینالملل باید از آنها پیروی کنند. در سال 2020 میلادی تغییرات زیادی در حوزه قوانین مربوط به امنیت و حفظ حریم خصوصی دادهها از جمله ایجاد و توسعه قوانین جدید در سطح جهان ایجاد شد. همچنین در این سال تغییرات مهمی رخ دادند که پیامدهای چشمگیری برای کسبوکارهای بینالمللی داشتند.
در این مطلب از فراست، تعدادی از قوانین و مقررات تصویب شده در این سال را مرور میکنیم.
اروپا: چالشهای برگزیت (Britain exits the EU)
در دو سال اخیر کسبوکارها فرصت زیادی برای سازگاری با مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR[1]) داشتند ولی با خروج ناگهانی انگلیس از این اتحادیه شرایط تا حدودی تغییر کرده است. انگلیس قصد تصویب قوانین معادل با مقررات فعلی GDPR را دارد. در این صورت انتقال دادهها بین این کشور با کشورهای عضو اتحادیه اروپا سخت خواهد شد.
بر اساس قوانین GDPR، انگلیس از 31 ژانویه 2021 یک کشور ثالث محسوب میشود. به همین خاطر کمیسیون اروپا باید ارزیابی کند که آیا این کشور برای شهروندان اتحادیه اروپا یک منطقه قابل اطمینان است یا خیر؟ بنابراین این احتمال وجود دارد که شرکتهای انگلیسی نیاز داشته باشند به توافقهای خاصی با اتحادیه اروپا برسند. جزئیات دقیق این طرحها در ماه های آتی مشخص خواهد شد.
آمریکا: قانون های سپر حریم خصوصی و حفاظت از حریم خصوصی مصرف کنندگان در کالیفرنیا (CCPA[2])
در ماه جولای 2020، پس از صدور حکم دیوان دادگستری اروپا در خصوص عدم اعتبار توافقنامه سپر حریم خصوصی (Privacy Shield)، یکی از فرایندهای اصلی برای انتقال داده ها بین کشورهای اروپایی و آمریکا لغو شد. این دیوان حکم داد که قوانین آمریکا ضمانت لازم برای حفاظت از دادههای شخصی کاربران را در اتحادیه اروپا فراهم نمیکنند. دلیل نیز آن رویکرد خاص دولت آمریکا برای نظارت بر دادهها و عدم وجود یک سیاست ملی درباره حریم خصوصی دادهها در این کشور بود.
این دادگاه با لغو توافقنامه سپر حریم خصوصی، سازوکار دیگری برای انتقال دادهها تصویب کرد که به آن بندهای قراردادی استاندارد (SCC[3]) گفته میشود. همچنین مسئولیت قضاوت درباره اینکه آیا کشور دریافت کننده دادهها قوانین لازم را برای حفاظت از حریم خصوصی دارد یا خیر، بر عهده کنترل کننده آن دادهها قرار گرفت. هم اکنون کسبوکارها باید روابط شان را با شرکتهای فروشنده ابزارها و راهکارهای دیجیتال بررسی کرده و سازوکارهای جدیدی را برای جایگزینی سپر حریم خصوصی تصویب کنند.
در آمریکا هم قانون حفاظت از حریم خصوصی مصرفکنندگان در کالیفرنیا تصویب شد. این قانون باعث میشود شهروندان کالیفرنیا هم حقوق کاملی شبیه به GDPR برای حفاظت از دادههای شخصی خودشان داشته باشند. برای مثال آنها حق درخواست دریافت دادههای خودشان، حق خروج از فرایند جمعآوری دادهها و حق شکایت در صورت عدم حفاظت مناسب از دادههایشان را دارند.
امکان اعمال این قانون به هزاران کسبوکار در سطح آمریکا و مشتریان جهانی کالیفرنیا وجود دارد. علاوه بر این یکی از پیشنهادهای اخیر که با عنوان “Proposition 24” مطرح شده بود، در کالیفرنیا تصویب شد. تصویب این پیشنهاد راه را برای تصویب قانون حقوق حریم خصوصی در کالیفرنیا که میزان حفاظت از دادههای مصرف کنندگان را در این ایالت افزایش میدهد، باز خواهد کرد.
برزیل: قانون عمومی حفاظت از دادهها (LGDP[4])
در ماه سپتامبر 2020، برزیل هم قوانین جدیدی را با عنوان «قانون عمومی حفاظت از دادهها» که به سبک GDPR بود، تصویب کرد. این قانون بر سازمانهای برزیلی و غیربرزیلی که دادههای شخصی را با هدف ارایه کالاها و خدمات برای شهروندان برزیلی پردازش میکنند، اعمال میشود.
بنابراین با توجه به شباهت این قانون به GDPR، شرکتهایی که مراحل لازم را برای پیروی از قانون GDPR انجام داده باشند برای پیروی از این قانون هم مشکلی نخواهند داشت.
چین: قانون حفاظت از دادههای شخصی (PDPL[5])
در تاریخ بیست و یکم اکتبر 2020، دولت چین از قانون حفاظت از دادههای شخصی رونمایی کرد. این قانون علاوه بر چین، پیامدهای ژئوپلیتیک خاصی هم برای سایر کشورها دارد.
قانون PDPL اولین قانون مرتبط با دادهها در کشور چین است و کنترلهای جدیدی را درباره چگونگی به اشتراک گذاری و مدیریت دادهها ارایه کرده است. در آیندهای نزدیک، هر سازمانی که قصد دسترسی به دادههای کاربران چینی را داشته باشد باید الزامات سختگیرانه خاصی همچون ایجاد یک نهاد مدیریتی و اجرای فرایندهای ارزیابی مخاطره را رعایت کند. در حال حاضر این قانون امکان جریمه سازمانها تا مبلغی معادل با 7.4 میلیون دلار را فراهم کرده و برای اشخاصی که آن را نقض کنند هم جریمههای سنگینی در نظر میگیرد.
ماده 32 این قانون، بحث برانگیزترین بخش آن است که همکاری با دولت چین درباره مسائل مرتبط با امنیت ملی یا تحقیق درباره جرم و جنایت را الزام آور میکند. این ماده، نگرانیهایی را برای شرکتهای خارجی به دنبال داشته و این شرکتها ممکن است ملزم به قرار دادن دادههای کاربران در اختیار دولت چین شوند. این موضوع میتواند به بدتر شدن روابط بین چین و آمریکا دامن بزند.
پیشنهاد مطرح شده برای انجام «اقدامات لازم» در برابر کشورهایی که مانع جریان یافتن دادهها و سرمایه گذاری در حوزه فناوری در کشور چین میشوند، به نوعی واکنش دولت چین به طرح «شبکه پاک» آمریکا تلقی میشود.
قرارگیری در جریان تغییرات قانونی اخیر
در شرایطی که چالشهای قانونی جهانی سازمانها بیشتر شده، نکته مثبت در این زمینه این است که عموماً این الزامات را میتوان با رعایت اصول پایه و مشابه برآورده کرد.
برای مثال شرکتها باید در سال 2021 میلادی به بازبینی سیاستهای خودشان ادامه داده و فقط دادههای مورد نیاز را برای انجام فعالیت های کسبوکاری شان جمعآوری کنند. همچنین لازم است اطمینان حاصل کنند که برای جمعآوری دادهها از کاربران رضایت گرفته میشود. جمعآوری حداقل میزان دادهها منجر به کاهش کار سازمانها برای مدیریت دادهها و نیز ارایه گزارشهای لازم شده و پیامدهای حوادث سایبری را کاهش میدهد.
البته حفظ امنیت این دادهها نیز باید یکی از اولویتهای مهم و اساسی سازمانها باشد و از وجود سیاستهای امنیتی لازم برای ذخیره، پردازش و انتقال امن دادهها مطمئن باشند. همچنین آنها باید با کمک روشهایی مثل طبقه بندی، رمزنگاری و جلوگیری از نشت داده و استفاده از ابزارهای ضدفیشینگ، ضدبدافزار و هوش تهدید با تهدیدات سایبری مقابله کنند.
در نهایت، سازمانها میتوانند با پیادهسازی طرح هوش تهدید سایبری، حفاظت از دادههای کاربران را افزایش دهند. به این ترتیب تیمهای مسئول امنیت و پیروی از قوانین میتوانند به صورت فعالانه و پیشگیرانه خطری که در مناطق مختلف متوجه سازمان است را مدیریت کرده و انطباق با قوانین را ادامه دهند.
[1] General Data Protection Regulation
[2] California Consumer Privacy Act
[3] Standard Contractual Clauses
[4] Lei Geral de Proteção de Dados
[5] Personal Data Protection Law
منبع: infosecurity-magazine