تحولات کلیدی جهان در حوزه داده‌ها، حریم خصوصی و امنیت سایبری-2024-2023(اتحادیه اروپا)

تحولات کلیدی جهان در حوزه داده‌ها، حریم خصوصی و امنیت سایبری

در سال‌های 2024-2023

قسمت دوم

در قسمت قبل تحولات اساسی در سال  2023 در حوزه انتشار اطلاعات شخصی در فضای مجازی در آفریقا و چین آمد اکنون در ادامه گزارش این تحولات در اروپا را می خوانیم.

اتحادیه اروپا

 تحولات کلیدی 2023

1-تحولات قانونی هوش مصنوعی و اجرای آن:

در 9 دسامبر، اتحادیه اروپا به یک توافق سیاسی در مورد قانون هوش مصنوعی اتحادیه اروپا دست یافت.  این توافق در سالی صورت پذیرفت که در آن هوش مصنوعی بیشترین توجه را از سوی تنظیم‌کننده‌ها به خود جلب کرد.  به ویژه، مقامات حفاظت از داده‌های ایتالیا، اسپانیا و هلند نگرانی‌هایی را در مورد انطباق با GDPR برخی ابزارهای هوش مصنوعی مولد، از جمله مبنای قانونی برای پردازش داده‌ها برای آموزش هوش مصنوعی، مطرح کردند. همچنین در سطح اتحادیه اروپا، هیئت حفاظت از داده اروپا یک کارگروه برای نظارت بر تحولات در این زمینه ایجاد کرد.

تحولات کلیدی جهان در

 ۲– مکانیزم جدید برای انتقال داده‌های بین‌المللی به ایالات متحده:

در 10 ژوئیه 2023، کمیسیون اروپا چهارچوب حفاظت از داده‌های اتحادیه اروپا- ایالات متحده (DPF)  را تصویب کرد. ایالات متحده سطح مناسبی از حفاظت را برای داده‌های شخصی منتقل شده از  EEA  به شرکت‌های آمریکایی دارای گواهینامه DPF را ضمانت می‌کند. وزارت بازرگانی ایالات متحده تأیید کرده است که سازمان‌هایی که گواهینامه خود را در سپر حریم خصوصی اتحادیه اروپا-ایالات متحده حفظ کرده‌اند، به شرط رعایت اصول DPF، نیازی به تأیید مجدد به DPF  برای استناد به آن ندارند.

تحولات کلیدی جهان در

۳ – تبلیغات هدفمند به عنوان بخشی از مدل کسب و کار «پرداخت یا رضایت»:

در 4 ژوئیه 2023، دادگاه دادگستری اروپا حکم داد که تبلیغات شخصی که با آن یک شبکه اجتماعی آنلاین فعالیت خود را تأمین مالی می‌کند، در صورت عدم رضایت موضوع داده، توجیه‌ناپذیر است. پردازش داده‌های مورد نظر به‌عنوان یک منافع مشروع (C-252/21). بنابراین شرکت‌های مربوط به اتحادیه اروپا مدل کسب‌وکار «پرداخت یا رضایت» را در پیش گرفتند که شامل ارائه دو نسخه از یک سرویس است:

1. رایگان اما با تبلیغات هدفمند (و مشروط به رضایت فرد)؛
2. پولی اما بدون تبلیغات هدفمند EDPB .

البته قانونی بودن این مدل در حال ارزیابی است.  برخی از مقامات حفاظت از داده اتحادیه اروپا در مورد شرایط تکیه بر مدل «پرداخت یا رضایت» راهنمایی صادر کرده‌اند.

تحولات کلیدی جهان در

4- قوانین جدید امنیت سایبری:

مؤسسات اتحادیه اروپا توجه خود را بر توسعه و اجرای طرح‌های جدید امنیت سایبری متمرکز کرده‌اند، از جمله:

1- لازم‌الاجرا شدن دستورالعمل اقدامات برای ایجاد سطح بالای امنیت سایبری در سراسر اتحادیه (NIS2) و قانون مقاومت عملیاتی دیجیتال (DORA) در 16 ژانویه 2023 که باید توسط کشورهای عضو اتحادیه اروپا به ترتیب تا 17 اکتبر 2024 و 17 ژانویه 2025 اجرا شود.

2- توافقنامه سیاسی در مورد قانون مقاومت سایبری (CRA)، که تعهدات جدید امنیت سایبری را برای طیف وسیعی از محصولات دیجیتال فروخته‌شده در اتحادیه اروپا معرفی می‌کند و انتظار می‌رود در سه ماهه اول سال 2024 نهایی شود.

3- بحث‌های باز در مورد طرح‌های صدور گواهینامه امنیت سایبری (ECCS)که در حال حاضر ادامه دارد و بر اجرای NIS2  تأثیرگذار است. به عنوان مثال، کشورهای عضو اتحادیه اروپا ممکن است از شرکت‌ها بخواهند از محصولات دارای گواهی ECCS استفاده کنند. همچنین کمیسیون اروپا ممکن است از سازندگان برخی از محصولات «بسیار حیاتی» بخواهد که تحت ECCS تأیید شوند و یا این که طرح امنیت سایبری برای ارائه دهندگان ابری اجرا گردد؛ به این ترتیب که به جای محصولات فناوری اطلاعات، خدمات ابری را پوشش ‌دهند.

تحولات کلیدی جهان در

5- افزایش تمرکز بر حریم خصوصی کودکان:

طرفداران تغییر در اتحادیه اروپا بر ابتکارات حفظ حریم خصوصی کودکان، به‌ویژه در حوزه اقدامات اجرایی تمرکز می‌کنند. انگیزه این تغییر به سمت اجرا نیز تا حدودی با تصویب قانون خدمات دیجیتال (DSA)  بود که تعهدات مربوط به حمایت از کودکان را تحمیل می‌کند؛ مانند:

• اطمینان از اینکه خدمات تحت پوشش سطح بالایی از حریم خصوصی و امنیت را فراهم می‌کند و ایمنی برای خردسالان (به‌عنوان مثال، اتخاذ تنظیمات ویژه حریم خصوصی و امنیتی به طور پیش فرض و همچنین تنظیم کنترل‌های والدین، تأیید سن و سایر ابزارها برای محافظت از کودکان)؛
• منع استفاده از تبلیغات هدفمند و الگوهای تاریک در رابطه با کودکان.

6- دادگاه عدالت اتحادیه اروپا (CJEU) شفاف‌سازی دکترین‌های کلیدی GDPR:

سال 2023 سال فعالی برای پرونده‌های CJEU بود که شامل احکامی است که دکترین‌های GDPR مربوط به خسارات غیر مادی، حق غرامت، حق دسترسی به اشخاص و حق دریافت کپی از داده‌های شخصی تحت GDPR .

برای مثال، دادگاه دیوان عدالت اداری حکم می‌کند که:

• صرف نقض GDPR برای جبران خسارت به موضوع داده کافی نیست (C-300/21) ؛
• ارائه گزیده‌هایی از اسناد یا پایگاه‌های اطلاعاتی یا حتی کل اسناد ممکن است برای برآورده کردن درخواست‌های دسترسی موضوع داده ضروری باشد (C-487/21) و گیرندگان داده شخص ثالث باید به‌طور خاص در اطلاعات ارائه‌شده در پاسخ به درخواست دسترسی نام برده شوند، مگر اینکه ارائه این اطلاعات غیرممکن باشد یا درخواست آشکارا بی اساس یا بیش از حد باشد (C-154/21).

برای برخی از حوزه‌های قضایی، مانند آلمان، دادگاه حکم می‌کند که:

• اعمال جریمه GDPR بدون شواهد مشخص مبنی بر تقصیر از سوی یک فرد خاص امکان‌پذیر است
  (C-807/21)؛
• یک ماده در قانون حفاظت از داده‌ها و اطلاعات در مورد پردازش داده‌های کارکنان (که مشابه ماده‌ای در قانون حفاظت از داده‌های فدرال آلمان است) هست که احتمالاً نامعتبر است (C-34/21).

7- به نگرانی‌های اتحادیه اروپا در مورد نفوذ فزاینده پلتفرم‌های آنلاین در بحث‌های سیاسی، کمپین‌های اطلاعات نادرست، انتشار اخبار جعلی در آستانه انتخابات و تأثیر اجتماعی سخنان نفرت‌انگیز می‌پردازد. 

هر کدام در کنار GDPR عمل می‌کنند و این باعث ایجاد برخی سؤالات حقوقی چالش‌برانگیز در سال‌های آینده خواهد شد.  علاوه بر این، دیوان عدالت اداری مجبور شده است صلاحیت مقامات رقابت اتحادیه اروپا را برای بررسی موضوعات مرتبط با GDPR در نظر بگیرد.  در 4 ژوئیه 2023، CJEU حکم داد که مقامات رقابت کشورهای عضو، این اختیار را دارند که ضمن بررسی موضوع، تشخیص دهند که آیا نقض GDPR رخ داده است یا خیر؟ (برای تعیین اینکه آیا یک شرکت موقعیت غالب خود را در بازار داشته است، لازم است؟ (C-252/21) . مثال دیگر بیانیه مشترک CNIL فرانسه و سازمان رقابت فرانسه برای تعمیق همکاری‌های خود در تاریخ 12 دسامبر 2024 است.

تحولات کلیدی جهان در

چه چیزی در سال 2024 انتظار می‌رود؟

1- افزایش همکار‌های مشترک در اروپا:

احتمالاً شاهد اجرای قانون DSA و DMA از سوی طرفداران تغییر و همچنین همکاری بیشتر بین آن‌ها درخصوص حریم خصوصی، رقابت و حمایت از مصرف‌کننده خواهیم بود. کمیسیون اروپا به همکاری با مقامات ملی برای بهبود اجرای قوانین کلیدی اتحادیه اروپا مانند DSA یا قانون هوش مصنوعی ادامه خواهد داد.  در رابطه با DSA، به‌عنوان مثال در 19 دسامبر 2023، کمیسیون اروپا یک توافقنامه اداری را با مقام رقابت و حمایت از مصرف‌کننده هلند امضا کرد تا از اختیارات نظارتی و اجرایی کمیسیون تحت DSA، به‌ویژه در رابطه با موارد بسیار بزرگ آنلاین حمایت کند. این همکاری بر تبادل عملی اطلاعات، داده‌ها، بهترین شیوه‌ها، روش‌شناسی، سیستم‌ها و ابزارهای فنی با مقامات هلندی متمرکز خواهد بود و ترتیبات مشابهی با کشورهای دیگر مانند فرانسه، ایرلند و ایتالیا امضا شده است. علاوه بر این، کمیسیون اروپا ممکن است امسال مقررات جنبه‌های رویه‌ای GDPR را تصویب کند که جنبه‌های رویه‌ای تحقیقات حفاظت از داده‌ها را ساده‌تر می‌کند و انتظار می‌رود مکانیزم «فروشگاه یک‌جا GDPR» مؤثرتر شود.

تحولات کلیدی جهان در

۲– اقدامات طبقه‌بندی حریم خصوصی اتحادیه اروپا Uptick :

دستورالعمل اتحادیه اروپا در مورد اقدامات نمایندگی بسیاری از کشورهای عضو را ملزم می‌کند که قوانین رویه‌ای خود را برای تسهیل رسیدگی به دادرسی دسته‌جمعی اصلاح کنند. این دستورالعمل احتمالاً شتاب بیشتری به سمت جبران خسارت جمعی در اتحادیه اروپا خواهد داشت. پرونده‌های اخیر دیوان عدالت قضایی در مورد خسارت‌های غیر مادی و به‌ویژه تصمیم آن که تأیید می‌کند هیچ آستانه جدی برای خسارت غیر مادی برای مطالبه غرامت تحت GDPR وجود ندارد، احتمالاً منجر به پذیرش دعاوی جبران خسارت جمعی شود.  تعدادی از پرونده‌های حفظ حریم خصوصی در حال حاضر در انتظار هستند.  به عنوان مثال، در سپتامبر 2023، دو سازمان غیرانتفاعی یک شکایت دسته جمعی علیه گوگل در هلند تنظیم کردند و این شرکت را به نقض قوانین حریم خصوصی اروپا متهم کردند، از گوگل خواستند ردیابی و پروفایل مصرف‌کنندگان را متوقف کند و به‌دنبال غرامت باشد. – مقیاس نقض حریم خصوصی، رژیم حفاظت از داده اتحادیه اروپا.

از دسامبر 2023، یک شرکت فناوری جهانی در هلند با شکایتی مبنی بر قرار دادن غیرقانونی کوکی‌ها و اشتراک‌گذاری داده‌ها با یک شکایت بزرگ در خصوص حفظ حریم خصوصی روبه‌رو شد. یک سازمان غیرانتفاعی به نمایندگی از 7 میلیون کاربر اینترنت در کشور شکایت کرد و خواستار غرامت شد و از این شرکت خواست که داده‌هایی را که به طور غیرقانونی از این کاربران جمع‌آوری کرده است، حذف نماید.

تحولات کلیدی جهان در

۳– توضیح بیشتر CJEU در مورد تفسیر دکترین‌های کلیدی GDPR:

در سال 2024، ما انتظار داریم چندین قضاوت و پرونده از CJEU مرتبط با GDPR صادر شود.  در حال حاضر بیش از 50 پرونده حفاظت از داده‌ها در دادگاه در حال رسیدگی است.  برخی از این موارد مربوط به موارد زیر است:

الف- آیا افرادی که اطلاعات شخصی آن‌ها به‌طور غیرقابل برگشت توسط یک کنترل‌کننده منتقل شده است، این حق را دارند که در صورت عدم درخواست از کنترل‌کننده برای پاک کردن داده‌ها، دستور ممنوعیتی علیه کنترل‌کننده در مورد منع انتقالات بعدی زیان‌آور دریافت کنند(C-655/23) ؛

ب-  چه اطلاعات «معنی» در مورد پروفایل باید توسط یک کنترل‌کننده داده در پاسخ به درخواست دسترسی افشا شود (C-203/22) .

علاوه بر این، ما انتظار داریم موجی از پرونده‌های جدید مرتبط با حریم خصوصی در اجرای سایر قوانین کلیدی مانند قانون داده، قانون خدمات دیجیتال، قانون بازارهای دیجیتال یا حتی قانون AI وجود داشته باشد.

۴ –دستورالعمل‌ها و اجرای بیشتر در مورد موضوعات کلیدی حریم خصوصی، مانند هوش مصنوعی، حریم خصوصی کودکان و کوکی‌ها:

برنامه کاری شورای حفاظت از داده‌های اروپا (EDPB) 2023-2024 بیان می‌کند که EDPB در نظر دارد دستورالعمل‌هایی را درباره:

• داده‌های کودکان منتشر کند؛
• پردازش داده‌ها برای اهداف پزشکی و تحقیقات علمی.
• بلاک چین.

مقامات حفاظت از داده‌ها همچنان در جبهه اجرا فعال خواهند بود، همان‌طور که در سال 2023 با افزایش استفاده از رویه‌های الزام‌آور فوری توسط چندین کشور عضو اتحادیه اروپا در زمینه تبلیغات هدفمند مشاهده شد.  لازم‌الاجرا شدن قوانین DSA، DMA، قانون داده‌ها و قانون هوش مصنوعی ممکن است راه را برای افزایش اقدامات اجرایی در مواردی که داده‌های شخصی درگیر است هموار کند.  با توجه به هوش مصنوعی، EDPB  در اوایل سال 2023، گروه‌های ضربتی هوش مصنوعی، مانند ChatGPT Task Force  را تأسیس کرد تا ربات‌های گفتگوی هوش مصنوعی و فناوری‌های مرتبط با هوش مصنوعی آینده را تحت کنترل داشته باشد.  در سطح ملی، کشورهای عضو اتحادیه اروپا در مورد موضوعات خاص هوش مصنوعی، مانند هوش مصنوعی مولد (به فرانسه، آلمان، لوکزامبورگ، اسپانیا مراجعه کنید) راهنمایی صادر کرده‌اند تا از توسعه قابل اعتماد و استفاده از سیستم‌های هوش مصنوعی قبل از پذیرش و اجرا اطمینان حاصل کنند. در سال 2024 در اتحادیه اروپا، قانون‌گذاری در حوزه هوش مصنوعی و اجرای بیشتر موضوعات در این حوزه انتظار می‌رود.

 

ادامه دارد…