عندما تم إصدار مشروع قانون الحزبين الخاص بقانون خصوصية وحماية البيانات الأمريكية (ADPPA) American Data Privacy and Protection Act في وقت سابق من هذا الشهر، سادت التكهنات حول تأثير متطلبات خصوصية البيانات الجديدة على الشركات في الولايات المتحدة وخارجها.
أحد أهم التغييرات هو أن "الكيانات المغطاة covered entities"- المشار إليها على نطاق واسع في الفاتورة كأي كيان خاضع لقانون FTC- تحتاج إلى تقليل جمع "covered data" ومعالجتها ونقلها. تُعرِّف ADPPA البيانات المغطاة على أنها "معلومات تحدد أو ترتبط أو يمكن ربطها بشكل معقول بفرد أو جهاز يحدد أو يرتبط أو يمكن ربطه بشكل معقول بشخص واحد أو أكثر، بما في ذلك البيانات المشتقة والمعرفات الفريدة".
من الناحية العملية، يمكن أن تكون البيانات المغطاة بسيطة مثل أرقام الهوية الحكومية أو أرقام الضمان الاجتماعي (SSN) Social Security numbers في الاتصالات الخاصة، أو أي معلومات تتعلق بالموضوعات التي تقل أعمارهم عن 17 عامًا.
ماذا يعني ADPPA للمؤسسات؟
تمامًا مثل اللائحة العامة لحماية البيانات (GDPR) General Data Protection Regulation، ستفرض ADPPA متطلبات جديدة لحماية البيانات على المؤسسات، مما يجبرها على تنفيذ سياسات لحماية البيانات المغطاة من الوصول من قبل الأفراد غير المصرح لهم.
قال فيكتور بلات، خبير أمن نظم المعلومات المعتمد (CISSP) certified information systems security professional ورئيس قسم الأمن والخصوصية في شركة Integration.ai.: "إذا تم سن ADPPA، يعد صفقة كبيرة جدًا - سيمثل خطوة مطلوبة بشدة لكل من حقوق الخصوصية الفردية وكيفية تعاون المؤسسات في أكبر نظام بيئي رقمي في العالم".
أحد أهم التغييرات هو أن "الكيانات المغطاة covered entities"- المشار إليها على نطاق واسع في الفاتورة كأي كيان خاضع لقانون FTC- تحتاج إلى تقليل جمع "covered data" ومعالجتها ونقلها. تُعرِّف ADPPA البيانات المغطاة على أنها "معلومات تحدد أو ترتبط أو يمكن ربطها بشكل معقول بفرد أو جهاز يحدد أو يرتبط أو يمكن ربطه بشكل معقول بشخص واحد أو أكثر، بما في ذلك البيانات المشتقة والمعرفات الفريدة".
من الناحية العملية، يمكن أن تكون البيانات المغطاة بسيطة مثل أرقام الهوية الحكومية أو أرقام الضمان الاجتماعي (SSN) Social Security numbers في الاتصالات الخاصة، أو أي معلومات تتعلق بالموضوعات التي تقل أعمارهم عن 17 عامًا.
ماذا يعني ADPPA للمؤسسات؟
تمامًا مثل اللائحة العامة لحماية البيانات (GDPR) General Data Protection Regulation، ستفرض ADPPA متطلبات جديدة لحماية البيانات على المؤسسات، مما يجبرها على تنفيذ سياسات لحماية البيانات المغطاة من الوصول من قبل الأفراد غير المصرح لهم.
قال فيكتور بلات، خبير أمن نظم المعلومات المعتمد (CISSP) certified information systems security professional ورئيس قسم الأمن والخصوصية في شركة Integration.ai.: "إذا تم سن ADPPA، يعد صفقة كبيرة جدًا - سيمثل خطوة مطلوبة بشدة لكل من حقوق الخصوصية الفردية وكيفية تعاون المؤسسات في أكبر نظام بيئي رقمي في العالم".
على الرغم من أن ADPPA يمكن أن يثير مسؤوليات كبيرة تتعلق بحماية البيانات، لأن تعريف البيانات المغطاة واسع النطاق، وهناك الكثير من البيانات التي يمكن أن ترتبط بفرد أو بجهاز.
كما يشرح بلات، "فإنه يقنن تعريفًا واسعًا للبيانات المغطاة ونطاقات عالية للموافقة، وتقييد الغرض، وإلغاء الاشتراك، لن تكون سياسات الخصوصية عالية المستوى غير القابلة للفهم كافية بعد الآن والأشياء التي تعتقد أنها ليست معلومات تعريف شخصية (PII) Personal Identifiable Information اليوم، مثل المعرفات الفريدة، سيكون في المستقبل".
بالإضافة إلى ذلك، يشير بلات أيضًا إلى أن المؤسسات ستكون ملزمة بإظهار كيفية تقليل البيانات التي تجمعها، وكيفية حمايتها، والتأكد من أن عمليات نقل البيانات المغطاة إلى أطراف ثالثة تخضع لإلغاء الاشتراك ومتطلبات محسّنة.
كيف يمكن لـ ADPPA حماية بيانات الأفراد
كما ستمنح ADPPA للأفراد حقوقًا جديدة لخصوصية البيانات على بياناتهم.
على سبيل المثال، قال أليكس إيفتيمي، وموريسون فورستر، الشريك والرئيس المشارك لمجموعة إدارة المخاطر والأزمات العالمية التابعة للشركة:
وفي الوقت نفسه، من شأنه أيضًا أن يمنح الأفراد الحق في رفع دعوى مدنية ضد الانتهاكات.
قال Iftimie: "أحد الجوانب المثيرة للجدل في هذا القانون هو أنه يمنح المقيمين في الولايات المتحدة حقًا خاصًا في رفع دعوى ضد الكيانات المشمولة بسبب الانتهاكات، مما سيسمح للأطراف الخاصة بإنفاذ أحكام القانون عبر التقاضي المدني".
على نطاق أوسع، ستكون لجنة التجارة الفيدرالية (FTC) Federal Trade Commission مسؤولة أيضًا عن فرض العقوبات على المنظمات غير الممتثلة. عند النظر في مدى اتساع القانون على الأقل في المسودة الحالية، سيكون لدى لجنة التجارة الفيدرالية الكثير من الفرص لإصدار أحكام بشأن ما يشكل انتهاكًا وما لا يمثل انتهاكًا.
كيف يمكن للشركات الاستعداد
في حين أن ADPPA لا يزال مجرد مشروع قانون، وسيتطلب موافقة من الحزبين لتمريره، فمن المهم للمؤسسات أن تفكر في عناصر التحكم التي ستحتاج إليها للوفاء بالتزامات حماية البيانات المحتملة هذه.
من بين المتطلبات الجديدة أن الشركات ستحتاج إلى معرفة مقدار البيانات المتناسبة لجمعها عن الأفراد، والتأكد من أن لديهم عملية لتقليل جمعها، حتى يتمكنوا من قصرها على ما هو ضروري بشكل معقول.
وبالمثل، ستحتاج المؤسسات أيضًا إلى الاستعداد لإلغاء تنشيط الإعلانات المستهدفة، وتقديم دعم أكبر لحماية البيانات للأطفال أو القصر لضمان بقاء بياناتهم محمية.
في الوقت الحالي، سيتعين على الشركات الانتظار والترقب، وكما يشير Iftimie، قد يستغرق الأمر بعض الوقت قبل اتخاذ القرار، خاصة مع عطلة الكونجرس لمعظم انتخابات أغسطس ومنتصف المدة التي تبدأ في الخريف.