Yeni yılda, gizlilik koruması gibi bir şeyler değişecek ve daha iyi hale gelecektir.
1 Ocak 2020'de Kaliforniya CCPA resmi olarak uygulandı. "CCPA" nın tam adı "2018 Kaliforniya Tüketici Gizliliği Yasası" dır. Bu yasanın amacı, teknoloji şirketleri veri topladığında ve kullandığında insanlara bilgi ve veriler üzerinde daha fazla kontrol sağlamaktır.
"CCPA" nın yayınlanması, California'nın Amerika Birleşik Devletleri'nde eksiksiz kullanıcı gizlilik yasalarına sahip ilk eyalet olduğunu gösterir. Bu yasanın kapsamlılığı ve yüksek kapsamı göz önüne alındığında, yalnızca Kaliforniya vatandaşları için geçerli olsa da, hükümlerinin her birinin kişisel veri toplama ve işleme ile uğraşan şirketler üzerinde büyük bir etkisi vardır.
AB "GDPR" vatandaşların gizliliğini korumak için iyi bir başlangıç yaptıysa, Kaliforniya'nın "CCPA" sı devam edecek.
Hepimizin bildiği gibi, AB'nin GDPR'si (yani, Genel Veri Koruma Yönetmeliği) 25 Mayıs 2018'de yürürlüğe girdi. Bu "büyük yasa" sadece 1995 Veri Koruma Direktifinin ve AB üye devletleri tarafından formüle edilen ilgili yönetmeliklerin yerini almakla kalmadı, aynı zamanda kişisel mahremiyetin korunmasında da büyük bir adım attı.
"GDPR" ihlal edildiğinde, sonuçları ciddidir.
Örneğin, 8 Temmuz 2019'da İngiltere Bilgi Düzenleme Kurumu, British Airways'in "GDPR" yi ihlal ettiği için 183,39 milyon £ (yaklaşık 1,58 milyar RMB) para cezasına çarptırıldığını belirten bir bildiri yayınladı.
AB'nin "GDPR", gizlilik koruması için yeni bir çağ başlattı ve California "CCPA", gizlilik korumasını etkiden bir adım öteye taşıyabilir.
Kaliforniya'nın benzersiz konumu göz önüne alındığında, "CCPA" nın potansiyel etkisini görebiliriz.
Kaliforniya'nın gelişmiş bir ekonomisi var. ABD Ticaret Bakanlığı'nın 2018'deki verilerine göre, Kaliforniya'nın GSYİH'si 2,747 trilyon ABD doları kadar yüksek. Bunu bağımsız bir ekonomi olarak kabul ederseniz, Kaliforniya'nın ekonomisi dünyada beşinci sırada yer alabilir ve ABD ve hatta küresel ekonomi üzerinde büyük bir etkisi olacaktır.
Daha da önemlisi Kaliforniya, Google, Facebook, Hewlett-Packard, Intel, Apple, Cisco, Nvidia, Oracle ve Tesla gibi büyük teknoloji şirketlerini ve birçok startup'ı bir araya getiren Silikon Vadisi'nin koltuğu.
Şu anda, bazı şirketler platform uyumluluğunu artırmak için ilgili önlemleri almıştır.
Twitter:
Aralık 2019'da Twitter, gizlilik politikasını güncellemek için yeni bir "Gizlilik Merkezi" duyurdu.
Google:
"CCPA" ya yanıt olarak Google, kişilerin bilgilerini toplamak için Google Analytics'i devre dışı bırakmasına olanak tanıyan bir Chrome eklentisi başlattı.
Mozilla:
"Kendini talep eden" Mozilla, 1 Ocak 2020'de, yalnızca Kaliforniya vatandaşları için değil, yeni yılda "CCPA" ile küresel olarak uyum sağlamayı planladığını duyurdu. Ve Mozilla, çok az kullanıcı verisi topladığına dikkat çekti. Yaklaşan bir güncellemede Mozilla, kullanıcıların telemetri verilerini Mozilla sunucularından silmesine izin vermeyi planlıyor.
Facebook:
Facebook, teknik olarak kullanıcı verilerini "satmayacağını" ancak reklam hedefleme için kullanacağını belirttiği için politikayı değiştirmeye gerek olmadığını belirtti.
California tarafından yayınlanan bir rapora göre, Teknoloji şirketlerinin uyumluluğu sağlamak için yaklaşık 55 milyar ABD doları harcamaları bekleniyor .
Yüksek uyum maliyetleri belirli teknoloji şirketlerinin gelişimini geçici olarak etkileyecek olsa da, uyum mümkün olan en kısa sürede elde edilirse, bu teknoloji şirketleri "daha uzun yaşayabilir".
California'daki "CCPA", veri erişim hakları, veri silme hakları ve veri taşınabilirlik hakları gibi AB'nin GDPR'nin bazı kavramlarını benimsemiş olsa da, birçok yön ilgili AB düzenlemelerinden daha belirgindir.
Elbette, AB düzenlemelerinde Kaliforniya Yasasında bulunmayan bazı unsurlar var. İkisi arasındaki benzerlik ve farklılıklara bakabiliriz.
California "CCPA" : Aşağıdaki koşullardan birini karşılayan Kaliforniya işletmeleri bu yasanın uygulama kapsamındadır:
Bu yasa aynı zamanda aşağıdaki şirketler için de geçerlidir: yukarıda belirtilen şirketin holding şirketi veya kontrol edilen şirketi; markayı yukarıda belirtilen şirketle paylaşan şirket, örneğin, paylaşılan şirket adı, hizmet markası veya tescilli ticari marka.
Bu yasanın bazı hükümleri ayrıca şunlar için de geçerlidir: hizmet sağlayıcılar ve üçüncü şahıslar.
AB "GDPR":
Hepsi bu düzenlemelere uymalıdır.
Karşılaştırma: Karşılaştırmadan sonra, AB'nin GDPR'sinin uygulamasının ve coğrafi kapsamının çok daha büyük olduğunu gördük. Düzenlenen şirketlerin kapsamı da oldukça farklıdır.
California "CCPA" : Bu yasayla korunan Kaliforniya'da ikamet edenler aşağıdaki koşullardan herhangi birini karşılamalıdır:
Bu yasayla korunan tüketici grupları şunları içerir:
AB "GDPR" :
Zıtlık: İki yasa, tanımlama açısından büyük ölçüde farklılık gösterir, ancak etki eşit derecede geniştir; iki yasa tarafından odaklanan veriler, tanımlanabilir gerçek kişilerle ilgili olsa da, verilerin tanımı farklıdır; iki yasanın her ikisi de bölge dışındaki nesneler için vardır Potansiyel etki, yetki alanı dışındaki şirketler de etkilenir.
California "CCPA" :
Ayrıca bu yasa, diğer düzenlemelerin kapsadığı kişisel bilgileri de kapsamaz.
AB "GDPR" :
Karşılaştırma: Bilginin tanımında iki yasa temelde benzerdir. Tek fark, California'nın "CCPA" sının ev ve cihaz düzeyindeki bilgileri de kapsamasıdır.
California "CCPA" : Şirketler tüketicileri aşağıdaki konularda bilgilendirmelidir:
Şirketin aşağıdaki operasyonları varsa, daha fazla bildirim gereklidir:
"CCPA", şirketlerin tüketicilere belirli bilgiler sağlamasını ve teslimat gereksinimlerini belirlemesini gerektirir; üçüncü taraflar da tüketicilere diğer şirketlerden veri alırken açık bildirimler vermelidir, böylece tüketiciler kişisel bilgileri yeniden satmadan önce vazgeçme fırsatına sahip olur.
AB "GDPR" :
Karşılaştırıldı:
İki yasa, belirli bilgileri elde etme ve iletme yöntemlerinin farklı olması dışında, bilgi ifşa düzenlemeleri açısından benzerdir; "CCPA", tüketicilerin talep etmesi halinde, şirketlerin tüketicilere kişisel bilgileri ifşa ettiğini göstermesi veya üçüncü bir tarafa satması gerektiğini belirtir. İlgili bilgiler, ancak içerik yalnızca tüketicinin talebinden önceki 12 ayı kapsar.
California "CCPA" :
"CCPA" veri güvenliği hükümlerini zorunlu kılmaz, ancak bu yasa, şirketlerin Kaliforniya yasal risklerini görmezden gelmesi ve veri güvenliği çalışma kurallarını ihlal etmesinden kaynaklanan veri sızıntısına karşı dava açma hakkı sağlar.
AB "GDPR" :
"GDPR", veri denetleyicilerinin ve veri işleyicilerinin, riskle eşleşen bir güvenlik düzeyi sağlamak için makul yöntemler ve kurumsal önlemler benimsemesini gerektirir.
Zıtlık: Yargı yöntemleri temelde aynıdır, ancak organizasyonel ortam ve düzenleyici kurumların anlayışı farklı olduğundan, makul güvenlik önlemleri bir dereceye kadar farklıdır.
California "CCPA" :
"CCPA", şirketlerin 16 yaşın altındaki tüketicilerin kişisel bilgilerini izinsiz satmasının yasak olduğunu, 13-16 yaş arasındaki çocukların doğrudan şirketin onayını verebileceğini öngörür. 13 yaşın altındaki çocuklar ebeveyn izni almalıdır. Açık olması gereken şey, bu yasanın Federal Çocuk Çevrimiçi Gizliliğini Koruma Yasası tarafından sağlanan koruma hükümlerine uygun olduğudur.
AB "GDPR" :
"GDPR" varsayılanı, 16 yaşına ulaşmış çocukların kişisel bilgilerini nasıl kullanacaklarına karar verme hakkına sahiptir, ancak AB üye devletlerinin yasal yaşı 13-16'dır. 13 yaşın altındaki çocuklar, vasilerinin onay alma hakkını vermesini sağlamalı; çocuklar yaşlarına uygun bir gizlilik bildirimi almalıdır; çocukların kişisel verileri, üst düzey güvenlik gereksinimleri tarafından denetlenmelidir.
Karşılaştırıldı:
Yaş aralıklarındaki benzerliğe ek olarak, iki yasa oldukça farklıdır. "CCPA" yalnızca kişisel verilerin satışı için ebeveyn iznini gerektirirken "GDPR" tüm veri işleme için ebeveyn iznini gerektirir.
California "CCPA" :
AB "GDPR" :
Karşılaştırma: İki kanunda veri silme hakkına ilişkin benzer hükümler vardır; AB "GDPR" yalnızca verileri silme hakkının uygulanmasıyla ilgili altı durum şart koşarken "CCPA" daha geniştir; AB "GDPR", şirketlerin aşağı akış verilerini bildirmekle yükümlü olduğunu şart koşar Alıcının kişisel verileri silmesi, nispeten geniş bir uygulama kapsamına sahiptir.
California "CCPA" :
AB "GDPR" :
Kontrast: İki yasa bu açıdan aynı kavramı somutlaştırır, ancak yükümlülükler konusunda farklı hükümleri vardır.
California "CCPA" :
AB "GDPR" :
Zıtlık: İki kanunun uygulama kapsamı oldukça farklıdır, ancak yönetmelik ihlalleri büyük ekonomik sorumluluklara neden olacaktır.
California "CCPA" :
California Başsavcısının her ihlal için verdiği sivil para cezası yaklaşık 2500 ABD Dolarıdır ve kasıtlı ise maksimum tutar 7500 ABD Doları olabilir. Bununla birlikte, bu yasa, şirketlerin veri ihlallerini onarmak için 30 günü olduğunu şart koşmaktadır.
AB "GDPR" :
İdari cezalar 20 milyon Euro veya şirketin yıllık gelirinin% 4'ü kadar yüksek olabilir; AB'nin GDPR 83. Maddesine göre, AB üye ülkeleri ulusal idari cezalar yerine düzenlemelerin "GDPR" ihlallerine uymalıdır. .
Karşılaştırma: Para cezalarının hesaplanma yöntemi farklı olsa da, AB GDPR'nin cezaları açıkça daha ağırdır.
Kişisel mahremiyet açısından, başlıca iki kötü olay vardır: Birincisi, bazı uygulamaların yasa dışı olarak toplanması, kullanıcının kişisel bilgilerini kullanması ve makul olmayan bir şekilde kullanıcı hakları talep etmesi gibi kullanıcı gizliliğinin ihlalidir; ikincisi, kişisel verilerin satın alınması ve satılmasıdır.
Daha önce, yazar siber güvenlik endüstrisinde teknik bir uzmanla röportaj yaptığında şunları söyledi: Birkaç yıl önce, kişisel verilerin veya bilgilerin satışı çok fazlaydı ve bunların birçoğu, cep telefonu numarasının ne kadar olduğu, kimlik numarasının ne kadar olduğu ve bir banka kartı numarasının ne kadar olduğu gibi açıkça işaretlenmişti, hepsi açıkça işaretlenmişti.
Yazar, AB'nin GDPR'sinden sonra Kaliforniya'nın "CCPA" nın görüneceğine ve "CCPA" dan sonra ilgili Çin yasalarının yayınlanacağına inanıyor.
2019 yılının sonunda, Sanayi ve Bilgi Teknolojileri Bakanlığı, uygulama kullanıcı haklarının ve çıkarlarının ihlali için özel bir düzeltme toplantısı düzenledi ve kullanıcı kişisel bilgilerinin yasa dışı olarak toplanması, kullanıcı kişisel bilgilerinin yasa dışı kullanımı, kullanıcı hakları için makul olmayan taleplere odaklanacak ve standartlaştırılmış düzeltme çalışmalarını yürütmek için kullanıcı hesabı iptali için engeller koyacak.
Gizliliğin korunması açısından, Çin'in "Kişisel Bilgilerin Korunması Yasası" ve "Veri Güvenliği Yasası" nı formüle ettiği bildirildi.
Avrupa Birliği'nden, Amerika Birleşik Devletleri'nden Çin'e, kişisel gizliliğin korunması İnternet çağında önemli bir teklif haline geldi. Bu önermenin dayanağı, verilerin yeni çağın "petrolü" olarak görülmesi ve sınırsız değerinin olmasıdır. Ekonomik çıkarlar tarafından yönlendirilen ve teknolojinin kötüye kullanılmasıyla birlikte, kişisel veriler çılgınca yağmalandı ve bunların tümü kişisel gizlilik korumasını "karanlık bir döneme" getirdi . "GDPR", "CCPA" ve Çin'in yürürlüğe koyduğu yasalar karanlığı kırmak için bir ışık ışını olabilir.
(Bu makaleye katkısı için InfoQ editörü Yue Wei'ye teşekkürler)