تحولات کلیدی جهان در حوزه داده‌ها، حریم خصوصی و امنیت سایبری-2024-2023(ایالات متحده آمریکا)

تحولات بنیادی حوزه داده‌ها

تحولات کلیدی جهان در حوزه داده‌ها، حریم خصوصی و امنیت سایبری

در سال‌های 2024-2023

قسمت آخر

در چهار قسمت گذشته گزارشی درخصوص تغییر و تحولات در حوزه  حریم خصوصی و امنیت سایبری ر افریقا، چین، اتحادیه اروپا ، خاورمیانه و انگلستان در سال 2023 ارائه شد و انتظاراتی از اینکه در سال 2024 باید دراین حوزه ها  بر شمرده شد .در اخرین قسمت این گزارش به وضعیت قانونی مقررات در ایالات متحده امریکا می پردازد.

 ایالات متحده

 تحولات کلیدی 2023

1- قانون جدید حفظ حریم خصوصی ایالتی:

ایالت‌ها همچنان مسئولیت قوانین حفظ حریم خصوصی در ایالات متحده را بر عهده دارند. هفت ایالت در سال 2023 قوانین جامع حفظ حریم خصوصی را تصویب کردند و حداقل 20 ایالت دیگر قوانین مشابهی را معرفی و بررسی کردند.  قوانین مونتانا، تگزاس، فلوریدا و اورگان در سال 2024 اجرایی می شوند؛ در حالی که قوانین سایر ایالت‌ها در سال‌های بعدی لازم‌الاجرا می‌شوند. به طور کلی، این قوانین حفظ حریم خصوصی ایالتی شامل الزامات اعلان حریم خصوصی قوی، حقوق موضوع داده‌ها، حفاظت بیشتر از داده‌های حساس و الزامات انصراف برای فروش داده‌های شخصی یا پردازش داده‌های شخصی برای تبلیغات هدفمند است. در سال 2023، کالیفرنیا قانون حذف را تصویب کرد که انتظار می‌رود در آگوست 2026 اجرایی شود که الزامات گزارش‌دهی پیشرفته‌تری را اجرا می‌کند و آژانس حفاظت از حریم خصوصی کالیفرنیا را ملزم می‌کند تا مکانیزم متمرکزی را برای درخواست حذف داده‌های شخصی از کارگزاران داده ایجاد کند. یعنی مشاغلی که اطلاعات شخصی مصرف‌کننده‌ای را که تجارت با او رابطه مستقیمی ندارد، آگاهانه جمع‌آوری و به اشخاص ثالث بفروشد.

ایالت ها در سال 2023 مقررات رسانه‌های اجتماعی را برای افراد زیر سن قانونی، به دنبال قانون کد طراحی مناسب سن کالیفرنیا در سال 2022 (AADC) معرفی کردند. در این میان، یوتا، آرکانزاس و تگزاس قوانینی را وضع کردند که قبل از اینکه شرکت‌های رسانه‌های اجتماعی حساب‌های کاربری را برای خردسالان ارائه دهند، رضایت صریح والدین یا قیم را الزامی می‌کردند. علاوه بر این، یوتا قانونی را وضع کرد که مسئولیتی را برای شرکت‌های رسانه‌های اجتماعی ایجاد می‌کند که خدماتی را ایجاد می‌کنند که برای خردسالان اعتیادآور است. قرار است قوانین یوتا در مارس 2024 اجرایی شود. قانون تگزاس قرار است در سپتامبر 2024 اجرایی شود. دادگاه‌های فدرال، قوانین آرکانزاس و کالیفرنیا را مسدود کردند و قانون کالیفرنیا در انتظار تجدید نظر است.

با طراحی و امنیت زنجیره تأمین  به‌روزرسانی‌های پیشنهادی FTC برای قانون اطلاع‌رسانی نقض بهداشت و قانون COPPA و همچنین به‌روزرسانی‌های نهایی قانون پادمان‌هایGLBA، به دنبال اقدامات اجرایی FTCدر بسیاری از بخش‌های صنعتی است که بر اطلاع‌رسانی نقض و مسائل امنیت داده‌ها تمرکز دارند و سایر تنظیم‌کننده‌ها، هم در تلاش‌های اجرایی و هم در اجرای قوانین فعال بودند؛ از جمله ایالات متحده. کمیسیون بورس و اوراق بهادار که قوانین گزارش‌دهی و افشای امنیت سایبری مدت‌ها پیش‌بینی‌شده خود را برای شرکت‌های سهامی عام منتشر کرد؛ علاوه بر این، در سال 2023 اقدامات اجرایی با محوریت سایبری بالا را دنبال کرد. علاوه بر این، وزارت خدمات مالی نیویورک اصلاحات خود را نهایی کرد. مقررات امنیت سایبری که شرکت‌های مالی و بیمه دارای مجوز را ملزم می‌کند تا از وظایف نظارتی و گزارش‌دهی اضافی امنیت سایبری پیروی کنند.

تحولات بنیادی حوزه داده‌ها

۲- افزایش دعاوی ردیابی وب:

سال 2023 موجی از اصحاب دعوی خصوصی را به همراه داشت که بر اساس استفاده از خدمات مختلف وب و فناوری‌های تحلیلی، از جمله پیکسل‌ها، ویژگی‌های چت و ابزارهای پخش مجدد جلسه، علیه مشاغل ادعا می‌کردند. متصدیان این موضوع با عناوین مختلف از جمله جرایم مربوط به حریم خصوصی و قوانین ایالتی و فدرال استراق سمع را دنبال کردند. در حالی که متهمان باید دفاع‌های متنوعی در برابر این نوع دعاوی داشته باشند وکلای شاکی به شدت این نوع دعاوی را پیگیری کردند و در مقاومت در برابر درخواست‌های رد درخواست‌ها موفقیت‌هایی داشتند.

تحولات بنیادی حوزه داده‌ها

۳- قوانین جدید حفاظت از داده‌های سلامت مصرف‌کننده:

ایالت واشنگتن و نوادا قوانینی را برای محافظت از داده‌های سلامت مصرف‌کننده وضع کردند که در سال 2024 اجرایی می‌شود و کانکتیکات قانون جامع حریم خصوصی خود را اصلاح نمود تا محافظت‌های بیشتر بر داده‌های سلامت مصرف‌کننده اضافه شود. تعدادی از ایالت‌ها، از جمله مونتانا، ویرجینیا، تگزاس و تنسی، قوانین حفظ حریم خصوصی ژنتیکی را در سال 2023 تصویب کردند که به نظر می‌رسد شرکت‌های آزمایش ژنتیک مستقیم به مصرف‌کننده را هدف قرار داده‌اند، اگرچه قانون مونتانا دامنه وسیع‌تری دارد.

تحولات بنیادی حوزه داده‌ها

۴- داده‌های مربوط به خردسال:

قانون حفاظت از حریم خصوصی کودکان و نوجوانان آنلاین (COPPA 2.0) در اواسط دسامبر 2023 در تقویم قانونی سنا قرار گرفت – در صورت تصویب، حمایت‌های موجود را گسترش می‌دهد تا افراد زیر سن 13 تا 16 سال را شامل شود و تبلیغات هدفمند را ممنوع می‌کند. به این اطلاعات جمعیتی و محدود کردن اطلاعات شخصی که شرکت‌ها می‌توانند جمع‌آوری و نگهداری کنند. در سطح ایالت، چندین ایالت در سال 2023 مقررات رسانه‌های اجتماعی را برای افراد زیر سن قانونی به دنبال قانون کد طراحی مناسب سن کالیفرنیا در سال 2022 (AADC) معرفی کردند. در این میان، یوتا، آرکانزاس و تگزاس قوانینی را وضع کردند که قبل از اینکه شرکت‌های رسانه‌های اجتماعی حساب‌های کاربری را برای خردسالان ارائه دهند، رضایت صریح والدین یا قیم را الزامی می‌کردند. علاوه بر این، یوتا قانونی را وضع کرد که مسئولیتی را برای شرکت‌های رسانه‌های اجتماعی ایجاد می‌کند که خدماتی را ایجاد کنند که برای خردسالان اعتیادآور است. قرار است قوانین یوتا در مارس 2024 و قانون تگزاس در سپتامبر 2024 اجرایی شوند. دادگاه‌های فدرال قوانین آرکانزاس و کالیفرنیا را مسدود کردند و قانون کالیفرنیا در انتظار تجدید نظر است.

تحولات بنیادی حوزه داده‌ها

۵ – اجرای بیشتر در مورد حریم خصوصی بیومتریک:

پیشرفت‌هایی در اجرای حریم خصوصی بیومتریک در هر دو سطح فدرال و ایالتی وجود داشته است. در 18 مه 2023، کمیسیون تجارت فدرال بیانیه‌ای را منتشر کرد که در آن به خطرات ناشی از سوء استفاده از اطلاعات بیومتریک مصرف‌کنندگان برای مصرف‌کنندگان پرداخته و رویه‌هایی را که ناعادلانه یا فریبنده می‌دانست، برجسته کرد. در ماه دسامبر، کمیسیون شکایتی علیه Rite Aid مبنی بر استفاده شرکت از فناوری تشخیص چهره برای شناسایی و جلوگیری از سرقت احتمالی فروشگاه ارائه کرد و تا حدی مدعی شد که عدم رسیدگی Rite Aid به خطرات برای مصرف کنندگان ناشی از استفاده Rite Aid از چنین فناوری، ناعادلانه است.  علاوه بر این، دادگاه عالی ایلینویز در کوترون علیه قلعه سفید اعلام کرد که ادعاهای تحت قانون حفظ حریم خصوصی اطلاعات بیومتریک ایالت در غیاب رضایت آگاهانه قبلی به هر مجموعه‌ای از داده‌های محافظت‌شده تعلق می‌گیرد. این حکم خساراتی را که اصحاب دعوای خصوصی می‌توانند طبق قانون پیگیری کنند، برجسته کرده است. همچنین توجه داشته باشید که داده‌های بیومتریک تحت قوانین داده‌های سلامت مصرف‌کننده تنظیم می‌شوند.

تحولات بنیادی حوزه داده‌ها

۶- زمینه قانون حفظ حریم خصوصی و برخی با کاربرد محدود:

پانزده ایالت و پورتوریکو قوانین یا قطعنامه‌هایی را در مورد جنبه‌های مختلف هوش مصنوعی از جمله دستورات ارزیابی، نظارت بر توسعه و استقرار هوش مصنوعی و ممنوعیت داشتن شخصیت حقوقی هوش مصنوعی را تصویب کردند. آژانس حفاظت از حریم خصوصی کالیفرنیا قوانین پیش‌نویسی را پیشنهاد کرد که به مصرف‌کنندگان این امکان را می‌دهد تا اطلاعات بیشتری در مورد استفاده از فناوری هوش مصنوعی به‌دست آورند و از اجازه دادن به شرکت‌ها برای توسعه هوش مصنوعی با استفاده از اطلاعات شخصی مصرف‌کنندگان خودداری کنند. در عرصه بین‌المللی، مقامات امنیت سایبری آمریکا و انگلیس با حمایت آژانس‌های بیش از 15 کشور جهان دستورالعمل‌هایی را با هدف تضمین توسعه ایمن و امن اعلام کردند.

تحولات بنیادی حوزه داده‌ها

7- استقرار فناوری‌های هوش مصنوعی:

الزامات جدید امنیت سایبری  رویکرد بخش خاص ایالات متحده برای امنیت سایبری و الزامات اعلان نقض در طول سال 2023 به تکامل خود ادامه داد و الزامات اعلان نقض گسترده‌تر (و سریع‌تر) و همچنین الزامات امنیتی داده‌های خاص‌تر را در تعدادی از بخش‌های صنعت تحمیل کرد. پس از انتشار استراتژی ملی امنیت سایبری به‌روز شده در ماه مارس که از آژانس‌های فدرال خواست تا از اختیارات خود برای تنظیم اقدامات امنیت سایبری در بخش‌های مربوط خود استفاده کنند، رگولاتورهای متعددی از جمله FCC (برای ارائه‌دهندگان ارتباطات از راه دور) و FTC (برای داده‌های بهداشتی خاص، مالی) داده‌ها و داده‌های کودکان، به‌روزرسانی‌هایی را برای الزامات امنیت سایبری خاص بخش یا استانداردهای اعلان نقض پیشنهاد یا نهایی کرد، در حالی که CISA دستورالعمل‌های دقیقی را در مورد موضوعات کلیدی امنیت سایبری مانند امنیت با طراحی و امنیت زنجیره تأمین منتشر کرد. به‌روزرسانی‌های پیشنهادی FTC برای قانون اطلاع‌رسانی نقض بهداشت و قانونCOPPA و همچنین به‌روزرسانی‌های نهایی قانون پادمان‌های GLBA، به دنبال اقدامات اجرایی FTC در بسیاری از این بخش‌های صنعتی است که بر اطلاع‌رسانی نقض و مسائل امنیت داده‌ها تمرکز داشتند.  رگولاتور‌های دیگر هم در تلاش‌های اجرایی و هم در اجرای قوانین فعال بودند؛ از جمله کمیسیون بورس و اوراق بهادار ایالات‌متحده که قوانین مربوط به افشای امنیت سایبری و گزارش‌دهی طولانی‌مدت خود را برای شرکت‌های سهامی عام منتشر کرد. علاوه بر این، اقدامات اجرایی برجسته متمرکز بر سایبری را در سال 2023 دنبال نمود. علاوه بر این، دپارتمان خدمات مالی نیویورک، اصلاحاتی را در مقررات امنیت سایبری خود نهایی کرد که شرکت‌های مالی و بیمه دارای مجوز را ملزم می‌کند تا از قوانین نظارتی و گزارش‌دهی امنیت سایبری اضافی پیروی کنند.

تحولات بنیادی حوزه داده‌ها

چه چیزی در سال 2024 انتظار می‌رود؟

1- قوانین و مقررات ایالتی بیشتر:

قانون‌گذار نیوجرسی اولین نهاد ایالتی بود که در سال 2024 با تصویب SB 332 در 8 ژانویه 2024، قانون جامع حریم خصوصی را تصویب کرد. این لایحه، توسط فرماندار مورفی در 16 ژانویه 2024 امضا شد  و در ژانویه 2025 اعمال خواهد شد، برای آن دسته از مشاغلی که داده‌های شخصی حداقل 100000 مصرف‌کننده نیوجرسی را کنترل یا پردازش می‌کنند یا آن دسته از مشاغلی که داده‌های شخصی حداقل 25000 مصرف‌کننده نیوجرسی را کنترل یا پردازش می‌کنند. علاوه بر این، آژانس حفاظت از حریم خصوصی کالیفرنیا به بررسی قوانین جدیدی که به نمایه‌سازی و تصمیم‌گیری خودکار و ارزیابی خطرات حریم خصوصی می‌پردازد، ادامه می‌دهد.

تحولات بنیادی حوزه داده‌ها

۲–  قوانین حفاظت از داده‌های سلامت مصرف‌کننده به اجرا در می‌آیند:

کسب‌وکارها در حال آماده شدن برای پیروی از قوانین جدید داده‌های سلامت مصرف‌کننده در واشنگتن و نوادا هستند که از 31 مارس 2024 اجرایی می‌شوند. به‌عنوان مثال، قانون داده‌های من سلامتی واشنگتن (MHMD) چندین تعهد حفظ حریم خصوصی را بر نهادهای تحت نظارت تحمیل می‌کند، از جمله رضایت انتخاب کردن برای جمع‌آوری داده‌های سلامت مصرف‌کننده، رضایت جداگانه برای به اشتراک‌گذاری داده‌های سلامت مصرف‌کننده و الزامات خط‌مشی حفظ حریم خصوصی داده‌های سلامت مصرف‌کنندهMHMD. شامل یک حق عمل خصوصی است. همچنین این امکان وجود دارد که ما همچنان شاهد اجرای FTC و فعالیت قانونی اضافی متمرکز بر داده‌های سلامت مصرف‌کننده باشیم.

تحولات بنیادی حوزه داده‌ها

۳ – اجرای هوش مصنوعی:

در سال 2023، FTC  برای تسهیل تحقیقات خود در مورد محصولات و خدمات مرتبط با هوش مصنوعی، به تصویب یک فرایند جدید پرداخت و تحقیقات در مورد استفاده از داده‌های شخصی در زمینه هوش مصنوعی پرداخت. این احتمال وجود دارد که آن‌ها با اهرم فرایندهایی که در سال گذشته آغاز کرده‌اند، چنین اقداماتی را ادامه دهند. علاوه بر این، تحولات سیاست فدرال که در حال حاضر بر بخش عمومی متمرکز شده است، می‌تواند بهترین شیوه‌ها را برای حکمرانی هوش مصنوعی در بخش خصوصی تحت تأثیر قرار دهد. رئیس جمهور (جو بایدن) یک فرمان اجرایی صادر کرد و دفتر مدیریت و بودجه یادداشت پیشنهادی را منتشر نمود- که هر دو بر توسعه استانداردهای استفاده از هوش مصنوعی و مدیریت برای مدیریت خطرات مرتبط با استفاده از هوش مصنوعی تمرکز دارند.

۴ – الزامات جدید امنیت سایبری به اجرا در می‌آیند:

به دنبال موج مقررات جدید و پیشنهادی امنیت سایبری در سال 2023، بسیاری از این الزامات جدید در سال 2024 لازم‌الاجرا می‌شوند و شبکه پیچیده‌تری از امنیت سایبری و الزامات اطلاع‌رسانی حوادث ایجاد می‌کنند که نهادها باید برای رعایت آن آماده باشند. بسیاری از این تنظیم‌کننده‌ها، از جمله SEC و FTC، علاقه‌مندی خود را به اقدامات اجرایی مرتبط با امنیت سایبری نشان داده‌اند که ممکن است در سال 2024 ادامه یابد. زیرا نهادهای نظارتی ملزم به گزارش حوادث به تنظیم‌کننده‌ها هستند. علاوه بر این، طبق قانون گزارش‌دهی رویدادهای سایبری برای زیرساخت‌های حیاتی سال 2022 (CIRCIA)، انتظار می‌رود آژانس امنیت سایبری و امنیت زیرساخت (CISA) تا 15 مارس 2024 اعلامیه‌ای درباره قوانین پیشنهادی منتشر یا پیشنهاد ‌کند. گزارشی از انواع حوادث امنیت سایبری و پرداخت‌های باج‌افزار. تا جایی که قوانین CISA الزامات گزارش‌دهی رویداد موجود، از جمله قوانین FCC را تکرار می‌کند، سال 2024 ممکن است نشان‌دهنده تغییرات در الزامات گزارش حادثه باشد؛ زیرا آژانس‌ها تلاش می‌کنند مکانیزم‌های اشتراک‌گذاری اطلاعات را هماهنگ کنند و الزامات امنیت سایبری خاص بخش را هماهنگ کنند.

۵- قوانین حفظ حریم خصوصی که با احکام ردیابی وب شکل گرفته‌اند:

موج ادعاهای خصوصی در سال 2023 علیه مشاغل مبتنی بر استفاده از خدمات مختلف وب و فناوری‌های تحلیلی احتمالاً در سال 2024 منجر به احکامی خواهد شد که به توسعه قانون حفظ حریم خصوصی ادامه می‌دهد. احکام پیش‌بینی‌شده نشان می‌دهد که دادگاه‌ها چگونه به وضعیت و سایر مسائل آستانه خاص واکنش نشان خواهند داد.