هل أنت مستعد لقانون خصوصية المستهلك في كاليفورنيا؟

يقع المقر الرئيسي لبعض شركات التكنولوجيا المعروفة في كاليفورنيا ، وهي ولاية أقرت في 28 يونيو 2018 قانون خصوصية المستهلك في كاليفورنيا لعام 2018 (CCPA). لن تدخل CCPA حيز التنفيذ حتى 1 يناير 2020 ، لكن من المتوقع أن تؤثر على الشركات في جميع أنحاء كاليفورنيا والولايات المتحدة ، وفي الواقع ، العالم بأسره. سوف تؤثر CCPA على الطريقة التي يمكن للشركات من خلالها التعامل مع بيانات العملاء ، والتي يعتبرها الكثيرون أكثر قوانين حماية البيانات تشددًا في تاريخ الولايات المتحدة.

إذا كنت تشعر بشعور ما بالانفعال ، فأنت لست وحدك. مرة أخرى في شهر مايو ، دخلت اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDP) حيز التنفيذ. كان الناتج المحلي الإجمالي موضوعا ساخنا هنا في PCMag. على الرغم من أن القانون قد تم عبر المحيط الأطلسي ، إلا أن الحقيقة تكمن في أنه كان علامة على الشركات في جميع أنحاء العالم لأنه ينطبق على جميع مواطني الاتحاد الأوروبي بغض النظر عن مكان إقامتهم. تمامًا مثل الناتج المحلي الإجمالي ، سيكون لتأثير CCPA الجديد آثار بعيدة المدى تتجاوز نطاق حالته الأصلية. تحدثنا إلى عدد قليل من الخبراء لمعرفة المزيد عن CCPA وبعض الآثار المترتبة عليه.

CCPA وأنت: مقدمة

تحدد CCPA حق المستهلك في مطالبة الشركات بالإفصاح عن نوع البيانات التي يتم جمعها عنهم. ما لم تكن تستخدم أداة مثل شبكة خاصة افتراضية (VPN) ، فمن المؤكد إلى حد كبير أن الشركات التي لا تعد ولا تحصى تجمع معلومات عنك كلما كنت متصلاً. إن القول بأن هذا النوع من الشفافية الذي ستجلبه CCPA هو أمر كبير سيكون بخس.

جون تسوبانيس هو مدير منتجات الخصوصية في 1touch.io ، وهي شركة تساعد الشركات على فهم البيانات الشخصية التي يتعاملون معها. قضى Tsopanis السنوات القليلة الماضية في القيام باستشارات إجمالي الناتج المحلي للشركات ويستعد للقيام بنفس الشيء مع CCPA. يفسر Tsopanis CCPA في المصطلحات الأساسية.

وقال تسوبانيس: "في الأول من كانون الثاني (يناير) 2020 ، سيكون للمقيم في كاليفورنيا الحق القانوني في طلب أي شركة كبيرة في أمريكا:" هل تعالج أيًا من معلوماتي؟ " "في غضون 45 يومًا ، ستكون هذه الشركة ملزمة بالرد بتقرير يتضمن بالتفصيل الأشهر الـ 12 الماضية. وسيتعين عليها عرض فئات محددة من المعلومات الشخصية التي لديهم عن هذا الشخص ، ومن يشاركونه ، وما هي الأسباب؟ وعليهم إعطاء هذه المعلومات لسكان كاليفورنيا - البالغ عددهم 40 مليونًا - في غضون الإطار الزمني ".

الاختلافات بين الناتج المحلي الإجمالي و CCPA

هناك بعض الاختلافات الجوهرية بين ما يقوم به إجمالي الناتج المحلي وما يغطيه CCPA. بالنسبة للمبتدئين ، سوف تستخدم CCPA أساسًا لإلغاء الاشتراك للموافقة ، بينما يستخدم إجمالي الناتج المحلي أساس التقيد. هذا يعني بشكل أساسي أنه سيتعين على المستخدمين التواصل بنشاط مع الشركات لمعرفة نوع المعلومات المستخدمة. بالإضافة إلى ذلك ، ينطبق الناتج المحلي الإجمالي على أي منظمة لديها بيانات شخصية عن مواطني الاتحاد الأوروبي.

CCPA ، من ناحية أخرى ، لا ينطبق إلا على الشركات الهادفة للربح التي تعالج البيانات عن سكان كاليفورنيا. يجب على المنظمة إما تحقيق ما لا يقل عن 24 مليون دولار من العائدات السنوية ، أو الاحتفاظ ببيانات 50000 شخص ، أو القيام بما لا يقل عن نصف إيراداتها في بيع البيانات الشخصية. لذلك ، إذا كنت تملك متجراً صغيراً وكانت نطاق عملياتك على الإنترنت عبارة عن صفحة ويب تسرد ساعات متجرك وعنوانه ، فلن تضطر إلى القلق كثيرًا بشأن CCPA. ولكن إذا كنت تدير موقعًا للتجارة الإلكترونية عبر مزود خدمة تسليم المفتاح أو تحتفظ بموقع الويب الإلكتروني الخاص بك من خلال خدمة استضافة ويب عامة ، فأنت بحاجة إلى الاهتمام.

كورتني بومان هي زميلة في قسم التقاضي في مكتب المحاماة الدولية Proskauer Rose LLP. يوضح بومان السبب في أن CCPA ستطلب من الشركات التفكير ملياً في استخدام البيانات الخاصة بها إلى ما بعد عام 2020. "يعني هذا الشرط الذي يبلغ 12 شهرًا أنه يتعين على الشركات أن تنظر في سياسة الخصوصية الخاصة بها مرة واحدة على الأقل كل عام وتحاول معرفة ما إذا كان أي شيء قد تغير قالت ".

"سيتعين عليهم مراقبة البيانات التي يقومون ببيعها أو الإفصاح عنها بشكل مستمر إلى أطراف ثالثة حتى يتمكنوا من تعديل سياسات الخصوصية الخاصة بهم وفقًا لذلك ،" تابع بومان. "يمنح القانون المستهلكين أيضًا حق الوصول إلى معلوماتهم الشخصية أو حذفها في بعض المواقف ، وستحتاج الشركات إلى التأكد من أنهم يستطيعون بالفعل تفعيل هذا الحق على وجه السرعة. وهذا سيتطلب من الشركات المشاركة في تعيين البيانات لمعرفة مكان بياناتهم موجود ، وأيضًا للاتصال بأقسام تكنولوجيا المعلومات لديها لمعرفة ما يتعين عليهم القيام به للتأكد من أنهم قادرون على الوفاء بمسؤولياتهم بموجب القانون ".

تأثير CCPA الواسع

في الأشهر التي سبقت الناتج المحلي الإجمالي ، كان الموضوع السائد في تغطيتنا هو أنه في عالمنا المعولم ، فإن الناتج المحلي الإجمالي سيؤثر على الشركات خارج أوروبا. بعد كل شيء ، فإن معظم الشركات الكبيرة تمارس أعمالها في الخارج وستضطر إلى تغيير عملياتها عبر الإنترنت على مستوى العالم للامتثال للقانون. ومع ذلك ، عندما تحدثنا مع تسوبانيس ، قال إن الشركات الأمريكية لا تزال بحاجة إلى الانتباه بشكل خاص إلى CCPA.

وقال تسوبانيس: "عندما يتعلق الأمر بالشركات الأمريكية ، كان إجمالي الناتج المحلي يركز بشكل رئيسي على المؤسسات الكبرى التي كانت تعمل عبر القنوات. ومع ذلك ، فإن معايير الشركات المؤهلة أكبر بكثير من حيث الحجم الهائل". "يوجد 40 مليون شخص في كاليفورنيا ؛ 50.000 شخص لا يمثلون حتى 0.1 في المائة من السكان. أعتقد أن حجم التعرض للشركات الأمريكية أعلى بكثير مما كان عليه في السابق تحت الناتج القومي الإجمالي".

تقدم Tsopanis مثالًا على شركة الوجبات السريعة Wendy's. "تعد Wendy's أكبر 999 شركة في Fortune 1000 ولديها عائدات سنوية قدرها 1.2 مليار دولار - أعلى 48 مرة من الحد الأدنى للتطبيق بموجب هذا القانون. على الأقل ، هناك 1000 مليار دولار أمريكي تحتاج إلى الامتثال هذا القانون ، وأوامر كبيرة من حجم أكبر من ذلك في فئة 25 مليون دولار."

قد لا نعتبر شركة Wendy شركة تكنولوجيا ولكنها تجمع حصتها العادلة من معلومات المستخدم. إنها أيضًا مثال مثالي لكيفية تأثر الشركات من جميع الأنواع باتفاقية CCPA. عند زيارة موقع الويب الخاص بهم ، وطلب الطعام عبر أنظمة نقاط البيع (POS) ، أو حتى استخدام شبكة Wi-Fi في مطعم Wendy المحلي الخاص بك ، تقوم الشركة بجمع معلوماتك ، وفي كاليفورنيا على الأقل ، هذا " ليرة لبنانية تكون خاضعة لتنظيم CCPA. إذا كانت شركة "صغيرة" مثل Wendy's تجمع الكثير من البيانات على المستخدمين ، فمن المخيف تماماً التفكير فيما تجمعه الشركات الكبرى. ببساطة ، فإن CCPA سيكون لها آثار هائلة.

اكتشافات البيانات الهامة

أحد أهم آثار CCPA هو أن الأميركيين سيتمكنون أخيرًا من اكتشاف الكميات الهائلة من عمليات شراء البيانات وبيع البيانات التي تقوم بها الشركات. "سيسمح مشروع القانون هذا للشعب الأمريكي في النهاية بالكشف عن الشبكة الضخمة لمنظمات بيع وشراء البيانات التي كانت مجهولة المصدر من قبل. وسيؤدي ذلك إلى حدوث تحول ثقافي دراماتيكي في طريقة النظر إلى خصوصية البيانات ، وفي النهاية في بعض الشيء ، يؤدي إلى قانون الخصوصية الاتحادي المنسق ، "قال تسوبانيس.

عندما تحليلات كامبريدج اندلعت الفضيحة ، ولفت انتباه الملايين من الناس ، سواء كانوا تقنيين أم لا. لقد جعل الناس يشعرون بالقلق الشديد حول من يقوم بجمع معلوماتهم وما الذي يتم بها ، وأن CCPA هو ، في جزء منه ، استجابة لذلك. يجادل تسوبانيس بأن الوحي الناتج سيكون هائلاً.

"بالنسبة لكل صحفي في البلاد ، هذه هبة من السماء. كاليفورنيا اقتصاد 2.7 تريليون دولار - خامس أكبر اقتصاد في العالم - وهي مبنية على البيانات الكبيرة. كل طلب وصول من كل شركة Fortune 1000 سيكشف عن شبكة كاملة أوضح تسوبانيس أن بيانات بيع وشراء الشركات التي ستخضع لتدقيق مكثف. "لا نعرف بالضبط ما الذي سنجده عندما يبدأ الأشخاص في الحصول على تقارير البيانات الخاصة بهم ، ولكن من المؤكد أن هناك بعض الكشف المثير للاهتمام."

فقط 18 شهرا للتحضير

إذا تعلمنا أي شيء من إجمالي الناتج المحلي ، فمن الضروري أن تخطط الشركات في أقرب وقت ممكن لتكون جاهزة للموعد النهائي. مع أخذ ذلك في الاعتبار ، لا تملك الشركات الأمريكية الكثير من الوقت على الإطلاق. تم اعتماد الناتج المحلي الإجمالي في أبريل 2016 ، وكان أمام الشركات ما يزيد قليلاً عن عامين كاملين للتكيف والامتثال للوائح. بما أن CCPA تدخل حيز التنفيذ في بداية عام 2020 ، فإن هذا يعني أن الشركات الكبرى لديها الآن 18 شهرًا فقط للاستعداد.

ومن المحتمل أن يجعل هذا الموعد النهائي أكثر مهنيي التكنولوجيا خبرة. "إن حجم العمل الذي يجب القيام به في 18 شهرًا أكبر من اللازم بالنسبة إلى إجمالي الناتج المحلي ، مع وقت أقل للقيام بذلك ، ومع وصول الشركات الأمريكية إلى مستوى أقل من نضج الخصوصية مقارنة بأوروبا" ، كما يحذر تسوبانيس.

للامتثال ، يوصي المخضرم الأمني ​​الشركات بالعناية المناسبة في تطوير عملياتها. "في الأشهر الستة المقبلة ، ما تحتاج المنظمات إلى القيام به هو تطوير نوع من طريقة لتتبع المعلومات الشخصية في جميع أنحاء المنظمة" ، قال تسوبانيس. "إنهم بحاجة إلى وسيلة للوصول بسهولة إلى المعلومات الشخصية التي تم إرسالها إلى أي طرف ثالث وفي أي وقت ، ومن ثم يجب أن يكونوا قادرين على تتبع ذلك على مدى فترة 12 شهرًا حتى التنفيذ ، وأن يكونوا على استعداد لتقديم هذه المعلومات عند الطلب عندما التنظيم يأتي في اللعب.

"سوف يتطلب الأمر بشكل أساسي أن تقوم جميع الشركات الأمريكية الكبرى تقريباً بإجراء أنشطة تحديد البيانات الرئيسية ، وتكون قادرة على أتمتة والاستجابة لطلبات الوصول إلى موضوع البيانات من سكان كاليفورنيا في تاريخ الإنفاذ" ، تابع تسوبانيس. "من المهم أيضًا أن نلاحظ أنه عندما يصدر القانون في عام 2020 ، يجب أن يكونوا قادرين على تقديم تقرير عن معلومات المستخدم في الأشهر الـ 12 السابقة. وهذا يعني فعليًا ضرورة قيام الشركات بتتبع تلك البيانات في 1 يناير 2019."

من الناحية القانونية ، يقول بومان إنه يمكن إجراء بعض التغييرات قبل الموعد النهائي. وقالت "نتوقع أننا سنرى بعض التعديلات على القانون قبل سريانه". "نظرًا لأنه تمت صياغته بسرعة إلى حد ما ، حتى بعد سريان مفعوله ، قد تكون هناك بعض المناطق الرمادية التي لا تزال معلقة من حيث فهمنا لها. بعد كل شيء ، استغرق الناتج المحلي الإجمالي سنوات لصياغة ، وما زالت هناك أجزاء متعددة من الناتج المحلي الإجمالي التي هي غامضة ".