تفاوت CCPA با CPRA چیست؟
قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا (CCPA) و قانون حقوق حفظ حریم خصوصی کالیفرنیا (CPRA) دو قانون ایالتی هستند که برای تقویت حقوق حریم خصوصی داده ها و حمایت از مصرف کننده طراحی شده اند. دو قانون حفظ حریم خصوصی که توسط ایالت کالیفرنیا تصویب شد، چشم انداز حریم خصوصی را عمیقاً تغییر داده است.
CCPA در سال 2018 امضا شد و در 1 ژانویه 2020 لازمالاجرا شد. از سوی دیگر، CPRA در نوامبر 2020 تصویب شد و انتظار میرود از اول ژانویه 2023 اجرایی شود، در حالی که انتظار میرود حدود آوریل 2023 مقررات نهایی اعمال شود.
CCPA چیست؟
CCPA یک قانون حفظ حریم خصوصی است که به ساکنان کالیفرنیا حقوق مصرف کننده و کنترل بیشتری بر داده های شخصی آنها اعطا می کند. این قانون عمدتاً با دو جنبه مشخص می شود:
- حقوق مصرف کنندگان
- مقررات کسب و کار
طبق مقررات CCPA ، مصرف کنندگان دارای حقوق زیر هستند:
- حق دانستن اینکه اطلاعات شخصی که سازمان ها جمع آوری میکنند، چگونه استفاده میشوند و چگونه به اشتراک گذاشته میشوند.
- حق حذف داده های شخصی جمع آوری شده در سایت ها.
- حق امتناع از فروش اطلاعات شخصی آنها.
- حق عدم تبعیض.
CCPA همچنین برای مشاغلی اعمال می شود که در کالیفرنیا فعالیت می کنند، و درآمد ناخالص سالانه بیش از 25 میلیون دلار آمریکا دارند، اطلاعات شخصی 50000 مصرف کننده یا بیشتر را مدیریت می کنند و بیش از نیمی از درآمد سالانه خود را از فروش اطلاعات شخصی مصرف کنندگان به دست می آورند.
طبق مقررات CCPA، کسب و کارها موظفند از طریق اطلاعیه های خاص، مصرف کنندگان را در مورد شیوه های حفظ حریم خصوصی خود آگاه کنند.
CPRA چیست؟
CPRA که گاهی به عنوان پیشنهاد 24 شناخته می شود، یک قانون ایالتی کالیفرنیا است که قصد دارد از حریم خصوصی ساکنان خود محافظت کند و حفظ حقوق آنها را بهبود ببخشد.
مشابه CCPA، اجرای CPRA شامل موارد زیر می شود:
حقوق مصرف کننده
- حق دانستن اینکه چه کسی اطلاعات شخصی آنها را جمع آوری می کند، چگونه از آنها استفاده می شود و برای چه کسانی افشا می شود.
- حق محدود کردن استفاده از اطلاعات شخصی حساس خود.
- حق تصحیح، حذف و انتقال اطلاعات شخصی حساس خود از یک سازمان به سازمان دیگر.
- مصرف کنندگان باید بتوانند از طریق ابزارهای سهل الوصول و بدون جریمه شدن از این حقوق استفاده کنند.
- مصرف کنندگان می توانند یک سازمان را به دلیل عدم محافظت از اطلاعات شخصی حساس خود مسئول بدانند.
- مصرف کنندگان باید از استفاده از اطلاعات شخصی خود بهره مند شوند.
- حریم خصوصی کارکنان و پیمانکاران نیز باید حفظ شود.
مسئولیت های کسب و کار
- سازمان ها باید مصرف کنندگان را در مورد نحوه جمع آوری و پردازش اطلاعات شخصی و همچنین نحوه استفاده از انتخاب ها و حقوق خود آگاه کنند.
- سازمان ها فقط باید اطلاعات شخصی مصرف کنندگان خود را برای مقاصد افشا شده قانونی جمع آوری کنند.
- سازمان ها فقط باید اطلاعات شخصی مصرف کنندگان خود را تا حدی مرتبط جمع آوری کنند.
- سازمان ها باید به مصرف کنندگان خود اجازه دهند اطلاعات شخصی خود را ببینند، حذف کنند، تصحیح کنند، از فروش انصراف دهند و به اشتراک بگذارند.
- سازمان ها نباید مصرف کنندگان خود را به دلیل استفاده از حقوق قانونی خود جریمه کنند.
- سازمان ها باید اقدامات احتیاطی را برای محافظت از اطلاعات شخصی مصرف کنندگان خود انجام دهند.
- اگر سازمانها حقوق حریم خصوصی مصرفکنندگان خود را نقض کنند، باید پاسخگو و مجازات شوند.
CPRA برای سازمان هایی اعمال می شود که درآمد ناخالص سالانه آنها بیش از 25 میلیون دلار است، سازمان هایی که داده های شخصی حداقل 100000 ساکن کالیفرنیا را خریداری، می فروشند یا به اشتراک می گذارند و 50٪ یا بیشتر از درآمد سالانه خود را از اشتراک گذاری یا فروش داده های شخصی به دست می آورند.
تفاوت CCPA با CPRA
CCPA و CPRA دو قانونی هستند که اغلب با یکدیگر مقایسه می شوند، با این حال، مهم است که روشن شود که آنها کاملاً از هم جدا نیستند و جایگزین یکدیگر نمی شوند. به جای اینکه به عنوان متفاوت توصیف شود، دقیق تر است که به CPRA به عنوان اصلاحیه CCPA اشاره کنیم. در واقع، CPRA گاهی اوقات به عنوان “CCPA 2.0” نامیده می شود، و این سخت ترین قانون حفظ حریم خصوصی در کالیفرنیا است.
تفاوت های اصلی بین CCPA و CPRA عبارتند از:
- دامنه – تفاوت بین CCPA و CPRA این است که از یک طرف CCPA برای سازمان هایی اعمال می شود که اطلاعات شخصی بیش از 50000 مصرف کننده را جمع آوری می کنند و از طرف دیگر CPRA برای سازمان هایی اعمال می شود که داده های بیش از 100000 مصرف کننده را جمع آوری می کنند. تفاوت مشابه دیگر این است که CCPA برای سازمان هایی اعمال می شود که 50٪ یا بیشتر از درآمد سالانه خود را از فروش اطلاعات شخصی به دست می آورند، در حالی که CPRA این معیار را نه تنها به فروش بلکه به اشتراک گذاری اطلاعات شخصی نیز گسترش می دهد.
- اطلاعات شخصی حساس – CPRA شامل اطلاعات شخصی حساس به عنوان یک دسته جدید است که شبیه «پردازش دسته های ویژه داده های شخصی» تحت پوشش مقررات عمومی حفاظت از داده ها (GDPR) است و با طبقهبندی آن در CCPA متفاوت است.
- اطلاعات شخصی حساس شامل امنیت اجتماعی مصرف کنندگان، گواهینامه های رانندگی، شناسه، شماره پاسپورت، حساب های ورود به سیستم، حساب های مالی و اعتباری، موقعیت جغرافیایی دقیق، داده های مربوط به مبدأ و اعتقادات فرد و غیره است. تحت CCPA، این داده ها به عنوان اطلاعات شخصی طبقه بندی می شوند. .
- جریمه ها – بر اساس CCPA، تخلفات در مورد افراد زیر 16 سال 2500 دلار آمریکا به ازای هر تخلف جریمه خواهد داشت، همان طور که برای نقض اطلاعات شخصی بزرگسالان. طبق CPRA، این جریمه 7500 دلار آمریکا برای هر تخلف است.
- درخواستهای مصرفکننده – CPRA دامنه اطلاعاتی را که مصرف کنندگان میتوانند از کسب وکارها درخواست کنند، گسترش میدهد که شامل دسته هایی از اطلاعات شخصی، دسته های منابع جمع آوری، هدف جمع آوری، دسترسی شخص ثالث و اطلاعات خاص جمع آوری شده است.
- حقوق مصرف کننده – CPRA چهار حقوق مصرف کننده جدید را اضافه کرده است، مانند حق اصلاح، حق محدود کردن اطلاعات شخصی حساس، حق دسترسی و انصراف، و حق انتقال داده ها.
- حق حذف – CPRA قدرت این حق را افزایش داده است و میخواهد هر زمان که درخواست حذف دریافت میشود، سازمان ها باید به اشخاص ثالثی که اطلاعات شخصی مصرف کننده را با آنها به اشتراک گذاشته اند اطلاع دهند و به آن ها دستور دهند تا از این درخواست پیروی کنند.
آژانس حفاظت از حریم خصوصی کالیفرنیا
آژانس حفاظت از حریم خصوصی کالیفرنیا (CPPA) یک آژانس دولتی ایالتی است که توسط CPRA ایجاد شده و CPRA و CCPA را اجرا می کند. CPPA همچنین مسئول راه اندازی کمپین های عمومی برای افزایش آگاهی و درک حقوق حریم خصوصی است.
به طور کلی، CPPA مسئول حفاظت از حقوق حریم خصوصی ساکنان کالیفرنیا است و دارای چهار عملکرد اصلی است: آموزش، تدوین قوانین، اجرا و صدور گواهینامه.
پیامدهای عدم انطباق
همه سازمان هایی که ممکن است از CCPA و CPRA پیروی نکنند، با عواقبی مانند مجازات های مدنی، خسارات، و کمک های غیرنقدی مواجه خواهند شد.
چرا حفظ حریم خصوصی داده ها مهم است؟
از آنجایی که بسیاری از اطلاعات شخصی به صورت آنلاین پردازش میشوند و به دلایل مختلف توسط سازمان ها جمع آوری میشوند، خطر در معرض خطر قرار گرفتن این داده ها و گنجاندن آن ها در فعالیت های مخرب مانند هک، نقض داده ها، فیشینگ، سرقت هویت و غیره افزایش یافته است. به همین دلیل است که برای سازمان ها مهم است که اقدامات حفظ حریم خصوصی داده ها را اجرا کنند و با قوانین و استانداردهایی که حفاظت از داده ها را تضمین می کند، پیروی کنند.
اگر چنین اطلاعاتی به خوبی محافظت نشود، می تواند به یکپارچگی شخصی، ایمنی فیزیکی و امنیت مالی مصرف کنندگان آسیب برساند. ارائه حریم خصوصی دادهها نه تنها از پیامدهای مخرب جلوگیری میکند، بلکه مزایای زیادی از جمله افزایش اعتماد، اعتبار و یکپارچگی، افزایش مدیریت دادهها، حفاظت از شهرت، جلوتر ماندن از رقبا، کاهش هزینهها، مدیریت تهدیدات و رعایت استانداردهای مربوطه را به همراه دارد.
حریم خصوصی داده ها و ISO/IEC 27701
ISO/IEC 27701 سیستم مدیریت اطلاعات حریم خصوصی (PIMS) استانداردی است که الزامات و راهنمایی هایی را در مورد نحوه ایجاد، نگهداری و بهبود مستمر PIMS خود در اختیار سازمان ها قرار می دهد. این به آنها کمک می کند تا از دارایی های اطلاعات خصوصی محافظت کنند و با قوانین حریم خصوصی و حفاظت از داده ها مطابقت داشته باشند.
ISO/IEC 27701 توسعه الزامات ISO/IEC 27001 و راهنمای ISO/IEC 27002 است، دو استانداردی که بر امنیت اطلاعات تمرکز دارند.
سوالات متداول
CCPA چیست؟
CCPA یک قانون حفظ حریم خصوصی است که به ساکنان کالیفرنیا حقوق مصرف کننده و کنترل بیشتری بر داده های شخصی آنها اعطا می کند. این قانون عمدتاً با دو جنبه مشخص می شود:
1. حقوق مصرف کنندگان
2. مقررات کسب و کار
CPRA چیست؟
CPRA که گاهی به عنوان پیشنهاد 24 شناخته می شود، یک قانون ایالتی کالیفرنیا است که قصد دارد از حریم خصوصی ساکنان خود محافظت کند و حفظ حقوق آنها را بهبود ببخشد.