2020, kişisel gizlilik korumasında devrim yılı
Yeni yılda, gizlilik koruması gibi bir şeyler değişecek ve daha iyi hale gelecektir.
1 Ocak 2020'de Kaliforniya CCPA resmi olarak uygulandı. "CCPA" nın tam adı "2018 Kaliforniya Tüketici Gizliliği Yasası" dır. Bu yasanın amacı, teknoloji şirketleri veri topladığında ve kullandığında insanlara bilgi ve veriler üzerinde daha fazla kontrol sağlamaktır.
"CCPA" nın yayınlanması, California'nın Amerika Birleşik Devletleri'nde eksiksiz kullanıcı gizlilik yasalarına sahip ilk eyalet olduğunu gösterir. Bu yasanın kapsamlılığı ve yüksek kapsamı göz önüne alındığında, yalnızca Kaliforniya vatandaşları için geçerli olsa da, hükümlerinin her birinin kişisel veri toplama ve işleme ile uğraşan şirketler üzerinde büyük bir etkisi vardır.
AB "GDPR" vatandaşların gizliliğini korumak için iyi bir başlangıç yaptıysa, Kaliforniya'nın "CCPA" sı devam edecek.
Hepimizin bildiği gibi, AB'nin GDPR'si (yani, Genel Veri Koruma Yönetmeliği) 25 Mayıs 2018'de yürürlüğe girdi. Bu "büyük yasa" sadece 1995 Veri Koruma Direktifinin ve AB üye devletleri tarafından formüle edilen ilgili yönetmeliklerin yerini almakla kalmadı, aynı zamanda kişisel mahremiyetin korunmasında da büyük bir adım attı.
"GDPR" ihlal edildiğinde, sonuçları ciddidir.
Örneğin, 8 Temmuz 2019'da İngiltere Bilgi Düzenleme Kurumu, British Airways'in "GDPR" yi ihlal ettiği için 183,39 milyon £ (yaklaşık 1,58 milyar RMB) para cezasına çarptırıldığını belirten bir bildiri yayınladı.
AB'nin "GDPR", gizlilik koruması için yeni bir çağ başlattı ve California "CCPA", gizlilik korumasını etkiden bir adım öteye taşıyabilir.
Silikon Vadisi teknoloji şirketlerinin tutumu
Kaliforniya'nın benzersiz konumu göz önüne alındığında, "CCPA" nın potansiyel etkisini görebiliriz.
Kaliforniya'nın gelişmiş bir ekonomisi var. ABD Ticaret Bakanlığı'nın 2018'deki verilerine göre, Kaliforniya'nın GSYİH'si 2,747 trilyon ABD doları kadar yüksek. Bunu bağımsız bir ekonomi olarak kabul ederseniz, Kaliforniya'nın ekonomisi dünyada beşinci sırada yer alabilir ve ABD ve hatta küresel ekonomi üzerinde büyük bir etkisi olacaktır.
Daha da önemlisi Kaliforniya, Google, Facebook, Hewlett-Packard, Intel, Apple, Cisco, Nvidia, Oracle ve Tesla gibi büyük teknoloji şirketlerini ve birçok startup'ı bir araya getiren Silikon Vadisi'nin koltuğu.
Şu anda, bazı şirketler platform uyumluluğunu artırmak için ilgili önlemleri almıştır.
Twitter:
Aralık 2019'da Twitter, gizlilik politikasını güncellemek için yeni bir "Gizlilik Merkezi" duyurdu.
Google:
"CCPA" ya yanıt olarak Google, kişilerin bilgilerini toplamak için Google Analytics'i devre dışı bırakmasına olanak tanıyan bir Chrome eklentisi başlattı.
Mozilla:
"Kendini talep eden" Mozilla, 1 Ocak 2020'de, yalnızca Kaliforniya vatandaşları için değil, yeni yılda "CCPA" ile küresel olarak uyum sağlamayı planladığını duyurdu. Ve Mozilla, çok az kullanıcı verisi topladığına dikkat çekti. Yaklaşan bir güncellemede Mozilla, kullanıcıların telemetri verilerini Mozilla sunucularından silmesine izin vermeyi planlıyor.
Facebook:
Facebook, teknik olarak kullanıcı verilerini "satmayacağını" ancak reklam hedefleme için kullanacağını belirttiği için politikayı değiştirmeye gerek olmadığını belirtti.
California tarafından yayınlanan bir rapora göre, Teknoloji şirketlerinin uyumluluğu sağlamak için yaklaşık 55 milyar ABD doları harcamaları bekleniyor .
Yüksek uyum maliyetleri belirli teknoloji şirketlerinin gelişimini geçici olarak etkileyecek olsa da, uyum mümkün olan en kısa sürede elde edilirse, bu teknoloji şirketleri "daha uzun yaşayabilir".
California "CCPA" VS AB "GDPR"
California'daki "CCPA", veri erişim hakları, veri silme hakları ve veri taşınabilirlik hakları gibi AB'nin GDPR'nin bazı kavramlarını benimsemiş olsa da, birçok yön ilgili AB düzenlemelerinden daha belirgindir.
Elbette, AB düzenlemelerinde Kaliforniya Yasasında bulunmayan bazı unsurlar var. İkisi arasındaki benzerlik ve farklılıklara bakabiliriz.
1. Hangi şirketler düzenleniyor?
California "CCPA" : Aşağıdaki koşullardan birini karşılayan Kaliforniya işletmeleri bu yasanın uygulama kapsamındadır:
- Yıllık gelir 25 milyon ABD dolarını aşıyor;
- 50.000'den fazla tüketici, ev veya cihaz hakkında iş verilerine sahip olun;
- Tüketici kişisel verilerinin satışı, yıllık gelirin yarısından fazlasını oluşturmaktadır.
Bu yasa aynı zamanda aşağıdaki şirketler için de geçerlidir: yukarıda belirtilen şirketin holding şirketi veya kontrol edilen şirketi; markayı yukarıda belirtilen şirketle paylaşan şirket, örneğin, paylaşılan şirket adı, hizmet markası veya tescilli ticari marka.
Bu yasanın bazı hükümleri ayrıca şunlar için de geçerlidir: hizmet sağlayıcılar ve üçüncü şahıslar.
AB "GDPR":
- Veri denetleyicileri ve veri işlemcileri için:
- Veri işlemenin AB içinde gerçekleşip gerçekleşmediğine bakılmaksızın, bir AB ülkesi girişimi olduğu sürece, kişisel verileri AB kurumlarının faaliyetleri bağlamında işlemek;
- AB dışındaki bir ülke teşebbüsü olsa bile, AB veri sahibinin kendisi tarafından işlenen kişisel verileri AB içindeki ürün veya hizmetlerle veya davranış izleme ile ilgili olduğu sürece;
Hepsi bu düzenlemelere uymalıdır.
Karşılaştırma: Karşılaştırmadan sonra, AB'nin GDPR'sinin uygulamasının ve coğrafi kapsamının çok daha büyük olduğunu gördük. Düzenlenen şirketlerin kapsamı da oldukça farklıdır.
2. Kim korunur?
California "CCPA" : Bu yasayla korunan Kaliforniya'da ikamet edenler aşağıdaki koşullardan herhangi birini karşılamalıdır:
- Kaliforniya'da bulunan ve geçici olarak kalmayan kişiler;
- Kaliforniya'da yaşayan ancak geçici olarak Kaliforniya'da bulunmayan kişiler;
Bu yasayla korunan tüketici grupları şunları içerir:
- Ev eşyaları ve ev hizmetleri tüketicileri;
- işçiler;
- İşletmeler arası işlemler (B2B işlemleri)
AB "GDPR" :
- Veri sahibi, özellikle kişisel verilerle ilgili olarak tanımlanmış veya tanımlanabilir bir kişiyi ifade eder.
Zıtlık: İki yasa, tanımlama açısından büyük ölçüde farklılık gösterir, ancak etki eşit derecede geniştir; iki yasa tarafından odaklanan veriler, tanımlanabilir gerçek kişilerle ilgili olsa da, verilerin tanımı farklıdır; iki yasanın her ikisi de bölge dışındaki nesneler için vardır Potansiyel etki, yetki alanı dışındaki şirketler de etkilenir.
3. Hangi bilgiler korunur?
California "CCPA" :
- Belirli bir tüketicinin veya ailenin kişisel bilgileri Bilgi türü temel olarak tanımlanabilen, tanımlanabilen, bağlanabilen veya doğrudan ve dolaylı olarak ilişkilendirilebilen bilgileri içerir;
- Yasal tanım, bir dizi özel kişisel bilgiyi içerir;
- Kişisel bilgiler, resmi devlet kayıtlarını içermez.
Ayrıca bu yasa, diğer düzenlemelerin kapsadığı kişisel bilgileri de kapsamaz.
AB "GDPR" :
- Tanımlanmış veya tanımlanabilir veri konusu ile ilgili tüm kişisel veriler;
- Meşru nedenler olmadıkça, AB GDPR herhangi bir özel kişisel veri türünün işlenmesini yasaklar.
Karşılaştırma: Bilginin tanımında iki yasa temelde benzerdir. Tek fark, California'nın "CCPA" sının ev ve cihaz düzeyindeki bilgileri de kapsamasıdır.
4. Gizlilik beyanı veya bilme hakkı ile ilgili hükümler
California "CCPA" : Şirketler tüketicileri aşağıdaki konularda bilgilendirmelidir:
- İşletme tarafından toplanan kişisel bilgi türleri;
- Her kategorinin kullanım amacı;
Şirketin aşağıdaki operasyonları varsa, daha fazla bildirim gereklidir:
- İşletmenin toplaması gereken ek kişisel bilgilerin türü;
- Kişisel bilgileri ilgisiz diğer amaçlarla toplamak;
"CCPA", şirketlerin tüketicilere belirli bilgiler sağlamasını ve teslimat gereksinimlerini belirlemesini gerektirir; üçüncü taraflar da tüketicilere diğer şirketlerden veri alırken açık bildirimler vermelidir, böylece tüketiciler kişisel bilgileri yeniden satmadan önce vazgeçme fırsatına sahip olur.
AB "GDPR" :
- Veri denetleyicisi, kişisel verilerin toplanması ve işlenmesi hakkında ayrıntılı bilgi sağlamalıdır. Tüketiciler, bilgilerin doğrudan veri sahibinden mi yoksa üçüncü bir şahıstan mı toplandığı konusunda bilgilendirilmelidir.
Karşılaştırıldı:
İki yasa, belirli bilgileri elde etme ve iletme yöntemlerinin farklı olması dışında, bilgi ifşa düzenlemeleri açısından benzerdir; "CCPA", tüketicilerin talep etmesi halinde, şirketlerin tüketicilere kişisel bilgileri ifşa ettiğini göstermesi veya üçüncü bir tarafa satması gerektiğini belirtir. İlgili bilgiler, ancak içerik yalnızca tüketicinin talebinden önceki 12 ayı kapsar.
5. Veri güvenliği
California "CCPA" :
"CCPA" veri güvenliği hükümlerini zorunlu kılmaz, ancak bu yasa, şirketlerin Kaliforniya yasal risklerini görmezden gelmesi ve veri güvenliği çalışma kurallarını ihlal etmesinden kaynaklanan veri sızıntısına karşı dava açma hakkı sağlar.
AB "GDPR" :
"GDPR", veri denetleyicilerinin ve veri işleyicilerinin, riskle eşleşen bir güvenlik düzeyi sağlamak için makul yöntemler ve kurumsal önlemler benimsemesini gerektirir.
Zıtlık: Yargı yöntemleri temelde aynıdır, ancak organizasyonel ortam ve düzenleyici kurumların anlayışı farklı olduğundan, makul güvenlik önlemleri bir dereceye kadar farklıdır.
6. Çocuk haklarına ilişkin hükümler
California "CCPA" :
"CCPA", şirketlerin 16 yaşın altındaki tüketicilerin kişisel bilgilerini izinsiz satmasının yasak olduğunu, 13-16 yaş arasındaki çocukların doğrudan şirketin onayını verebileceğini öngörür. 13 yaşın altındaki çocuklar ebeveyn izni almalıdır. Açık olması gereken şey, bu yasanın Federal Çocuk Çevrimiçi Gizliliğini Koruma Yasası tarafından sağlanan koruma hükümlerine uygun olduğudur.
AB "GDPR" :
"GDPR" varsayılanı, 16 yaşına ulaşmış çocukların kişisel bilgilerini nasıl kullanacaklarına karar verme hakkına sahiptir, ancak AB üye devletlerinin yasal yaşı 13-16'dır. 13 yaşın altındaki çocuklar, vasilerinin onay alma hakkını vermesini sağlamalı; çocuklar yaşlarına uygun bir gizlilik bildirimi almalıdır; çocukların kişisel verileri, üst düzey güvenlik gereksinimleri tarafından denetlenmelidir.
Karşılaştırıldı:
Yaş aralıklarındaki benzerliğe ek olarak, iki yasa oldukça farklıdır. "CCPA" yalnızca kişisel verilerin satışı için ebeveyn iznini gerektirirken "GDPR" tüm veri işleme için ebeveyn iznini gerektirir.
7. Bilgileri silme veya unutulma hakkı
California "CCPA" :
- Bazı istisnalar dışında, tüketiciler şirketler tarafından toplanan kişisel verileri silme hakkına sahiptir;
- Şirketler ayrıca ilgili verileri silmek için servis sağlayıcılarını bilgilendirmelidir.
AB "GDPR" :
- Altı durumda, veri konusu kişisel verileri silme hakkına sahiptir;
- Veri denetleyicisi, verileri işleyen diğer veri denetleyicilerini bilgilendirmek için makul önlemler almalıdır.
Karşılaştırma: İki kanunda veri silme hakkına ilişkin benzer hükümler vardır; AB "GDPR" yalnızca verileri silme hakkının uygulanmasıyla ilgili altı durum şart koşarken "CCPA" daha geniştir; AB "GDPR", şirketlerin aşağı akış verilerini bildirmekle yükümlü olduğunu şart koşar Alıcının kişisel verileri silmesi, nispeten geniş bir uygulama kapsamına sahiptir.
8. Ayrımcılıkla mücadele düzenlemeleri
California "CCPA" :
- Şirketler tüketici verilerini işlerken tüketicilere karşı ayrımcılık yapmamalı;
- Tüketiciler tarafından sağlanan verilerin değerinde bir farklılık olmadıkça, şirketin fiyatlandırması ayrımcılık nedeniyle birbirlerine karşı önyargılı olamaz;
- Finansal teşvikler şartlarda veya çevrimiçi gizlilik politikalarında sunulursa ve tüketicilerin oybirliğiyle rızası gerekirse, şirketler tüketicilere finansal teşvikler sağlayabilir.
AB "GDPR" :
- Benzer ayrımcılıkla mücadele kuralları "GDPR" de daha üstü kapalı. İlgili kuruluşların, veri sahiplerinin hak ve özgürlüklerini etkileyen veri işlemeyi yasaklamak gibi haklarını kullanırken veri sahiplerine karşı ayrımcılık yapamayacakları ile ilgili düzenlemelerde açıkça belirtilmemiştir.
Kontrast: İki yasa bu açıdan aynı kavramı somutlaştırır, ancak yükümlülükler konusunda farklı hükümleri vardır.
9. Cezalandırma tedbirleri (özel dava hakkı)
California "CCPA" :
- Kısmi bilgi ifşası dahil olmak üzere veri ihlalleri için, "CCPA" cezaları çok geniş değildir.
- Bir veri sızıntısı meydana gelirse, şirketin onu onarmak için 30 günü vardır; tüketiciler, tek bir olay için 100 ABD Doları ile 750 ABD Doları arasında değişen fiili tazminat veya yasal tazminat talep edebilir. Mahkeme ayrıca emir veya ilan şeklinde işletmeleri azaltabilir veya muaf tutabilir.
AB "GDPR" :
- "GDPR", veri denetleyicileri veya veri işlemcileri maddi veya maddi olmayan kayıplar için cezalandırabilir.
Zıtlık: İki kanunun uygulama kapsamı oldukça farklıdır, ancak yönetmelik ihlalleri büyük ekonomik sorumluluklara neden olacaktır.
10. Ceza tedbirleri (medeni para cezaları)
California "CCPA" :
California Başsavcısının her ihlal için verdiği sivil para cezası yaklaşık 2500 ABD Dolarıdır ve kasıtlı ise maksimum tutar 7500 ABD Doları olabilir. Bununla birlikte, bu yasa, şirketlerin veri ihlallerini onarmak için 30 günü olduğunu şart koşmaktadır.
AB "GDPR" :
İdari cezalar 20 milyon Euro veya şirketin yıllık gelirinin% 4'ü kadar yüksek olabilir; AB'nin GDPR 83. Maddesine göre, AB üye ülkeleri ulusal idari cezalar yerine düzenlemelerin "GDPR" ihlallerine uymalıdır. .
Karşılaştırma: Para cezalarının hesaplanma yöntemi farklı olsa da, AB GDPR'nin cezaları açıkça daha ağırdır.
Çin'e geri dönüp bakmak
Kişisel mahremiyet açısından, başlıca iki kötü olay vardır: Birincisi, bazı uygulamaların yasa dışı olarak toplanması, kullanıcının kişisel bilgilerini kullanması ve makul olmayan bir şekilde kullanıcı hakları talep etmesi gibi kullanıcı gizliliğinin ihlalidir; ikincisi, kişisel verilerin satın alınması ve satılmasıdır.
Daha önce, yazar siber güvenlik endüstrisinde teknik bir uzmanla röportaj yaptığında şunları söyledi: Birkaç yıl önce, kişisel verilerin veya bilgilerin satışı çok fazlaydı ve bunların birçoğu, cep telefonu numarasının ne kadar olduğu, kimlik numarasının ne kadar olduğu ve bir banka kartı numarasının ne kadar olduğu gibi açıkça işaretlenmişti, hepsi açıkça işaretlenmişti.
Yazar, AB'nin GDPR'sinden sonra Kaliforniya'nın "CCPA" nın görüneceğine ve "CCPA" dan sonra ilgili Çin yasalarının yayınlanacağına inanıyor.
2019 yılının sonunda, Sanayi ve Bilgi Teknolojileri Bakanlığı, uygulama kullanıcı haklarının ve çıkarlarının ihlali için özel bir düzeltme toplantısı düzenledi ve kullanıcı kişisel bilgilerinin yasa dışı olarak toplanması, kullanıcı kişisel bilgilerinin yasa dışı kullanımı, kullanıcı hakları için makul olmayan taleplere odaklanacak ve standartlaştırılmış düzeltme çalışmalarını yürütmek için kullanıcı hesabı iptali için engeller koyacak.
Gizliliğin korunması açısından, Çin'in "Kişisel Bilgilerin Korunması Yasası" ve "Veri Güvenliği Yasası" nı formüle ettiği bildirildi.
Avrupa Birliği'nden, Amerika Birleşik Devletleri'nden Çin'e, kişisel gizliliğin korunması İnternet çağında önemli bir teklif haline geldi. Bu önermenin dayanağı, verilerin yeni çağın "petrolü" olarak görülmesi ve sınırsız değerinin olmasıdır. Ekonomik çıkarlar tarafından yönlendirilen ve teknolojinin kötüye kullanılmasıyla birlikte, kişisel veriler çılgınca yağmalandı ve bunların tümü kişisel gizlilik korumasını "karanlık bir döneme" getirdi . "GDPR", "CCPA" ve Çin'in yürürlüğe koyduğu yasalar karanlığı kırmak için bir ışık ışını olabilir.
(Bu makaleye katkısı için InfoQ editörü Yue Wei'ye teşekkürler)
