דצמבר היה חודש ציון דרך עבור כלב השמירה על פרטיות הנתונים של קליפורניה, כאשר הוא העביר קבוצה של תיקונים רגולטוריים מוצעים לשלב ההערות הציבוריות. התיקונים מחזקים חלק מהחשיבה שהפכה את קליפורניה לאחת החלוצות בדיני הפרטיות האזוריים בשנים האחרונות. והם מספקים בהירות נחוצה לעסקים הפועלים במדינה.
היסטוריה קצרה של תקנות הפרטיות הקליפורניות
הסיפור של אלה תיקונים מתחיל בנובמבר 2020 עם אישור הבוחר של הצעה 24, יוזמת הצבעה שהפיקה את חוק זכויות הפרטיות של קליפורניה (CPRA). חוק זה שינה את חוק פרטיות הצרכן של קליפורניה לשנת 2018 (CCPA).
ה-CCPA הציגה הגנות על פרטיות הצרכן - לרבות הזכות לדעת איזה מידע אישי עסק אוסף לגביו ולבקש את מחיקתו, והזכות לבטל את מכירת המידע שלו. ה-CPRA הוסיף הגנות נוספות, כולל הזכות להגביל את השימוש במידע אישי ולתקן רשומות לא מדויקות. זה גם הרחיב את המנדט "לא מוכר" של ה-CCPA לגבי נתוני צרכנים כדי לכסות את שיתוף הנתונים. לבסוף, Prop 24 יצר את הסוכנות להגנת הפרטיות של קליפורניה (CPPA).
זו הייתה רשות נפרדת עם פיקוח על ניהול ואכיפת ה-CCPA; עבודה שטופלה בעבר על ידי משרד היועץ המשפטי לממשלה בלבד.
ביולי 2022, ה-CCPA החלה לקבוע כללים לאימוץ תקנות CPRA אלה, תוך הרמוניה של CCPA ו-CPRA. זה הציג את התקנות המתוקנות באותו נובמבר. הם אושרו ב-29 במרץ על ידי הלשכה למשפט מנהלי, אך אותרו מיד על ידי לשכת המסחר בבית המשפט. היא טענה כי התקנות הסופיות היו אמורות להיות מוסכמות עד 1 ביולי 2022, כאשר האכיפה תתרחש לא מוקדם משנה לאחר נקודה זו, וביקשה מבית המשפט לעכב את התקנות עד שנה לאחר אישורן (29 במרץ 2024).
ה-CCPA לא ישב על הידיים בזמן שהוא ממתין לפקיעה של צו המניעה. ב-1 בדצמבר היא הציגה כמה תיקונים מוצעים חדשים לתקנות ה-CCPA. מערכת ההצעות הזו היא שדנה ב-a ישיבת דירקטוריון ב-8 בדצמבר (סעיף 3) ולאחר מכן התקדם לשלב הבא שלו כאשר הוא נכנס לתהליך יצירת החוקים הרשמי.
פריקת התיקונים המוצעים האחרונים
התיקונים המוצעים האחרונים אינם שנויים במחלוקת ברובם, מסביר קובון צוויפל-קיגן, מנכ"ל DC של האיגוד הבינלאומי לאנשי פרטיות (IAPP).
"רוב אלה אינן יציאות יצירתיות של הסוכנות", הוא אומר ל-ISMS.online. "אני חושב שהם בעיקר נועדו להבהיר ולעדכן תקנים כדי לעשות דברים בהתאם לשינויים שהמחוקק עשה."
הבהרת כללים היו צפויים לסייע באכיפת ה-CCPA וגם ה-CPRA, הוא ממשיך.
"החוק החדש מסמיך באופן מפורש את ה-CPPA להבהיר תקנים מסוימים שאינם מצוינים במפורש בחוק עצמו", מוסיפה צוויפל-קיגן.
אודיה קגן, שותפה בחברת עורכי הדין פוקס רוטשילד LLP, מכנה את התיקונים המוצעים "התקנות החדשות והחדשות". הם מבהירים נקודות שעליהן לא היה הסכמה משותפת, ומתמקדים בניואנסים בתחומים כמו הסכמת צרכנים.
"יש דוגמאות חדשות למה שאינו מהווה הסכמה", היא אומרת ל-ISMS.online.
לדוגמה, התיקונים מציינים במפורש שסגירת חלון קופץ המבקש רשות לאסוף נתונים ולהשתמש בהם במקום לחיצה מפורשת על כפתור "כן" אינה מעידה על הסכמה. זה גם מזהיר מפני טכניקות מטעות כמו הצבת טיימרים לספירה לאחור ליד בחירות הסכמה למשתמשים בפאניקה.
דיבור פשוט, בבקשה
בולטת גם התמקדות בשפה ברורה. התיקונים המוצעים דורשים שפה פשוטה המזהירה עסקים לתאר את קטגוריות המקורות שמהם נאספים הנתונים, יחד עם צדדים שלישיים שאיתם הם עשויים להיות משותפים. כפי שה-CCPA מפרט בהסבר על התיקונים המוצעים, צרכנים צריכים "הבנה משמעותית" של היכן חברות משיגות את הנתונים האישיים שלהן.
תיקונים כאלה יעזרו להפוך את ה-CCPA לידידותי יותר לצרכן, מסביר קגן.
"אם אתה אומר, 'אנחנו אוספים את הסיווגים המוגנים שלך', אף אחד לא מבין מה זה", היא אומרת.
הגנה על זכות המחיקה
אולי אחד התיקונים המוצעים המשמעותיים ביותר משפיע על הזכות למחוק מידע. היא מחייבת שגם עסקים וגם ספקי השירותים והקבלנים שלהם יבטיחו שהמידע יימחק.
"זה מעניין, כי הדברים שאתה מקבל ממתווכים נתונים נמצאים תחת זכוכית המגדלת עכשיו - במיוחד בגלל שה-FTC הוציאה רק שתי החלטות הנוגעות לברוקרי נתונים ולמידע שאתה מקבל מהם", אומר קגן.
החלטות אלו, שתיהן ניתנו בינואר לאחר תיקוני החוק המוצעים של ה-CPPA, התייחסו לנתוני מיקום מדויקים שנמכרו על ידי X-Mode Social ו InMarket Media.
לעמוד בקצב החדשנות הטכנית
יש עוד המון תיקונים מבהירים בהצעות ה-CPPA, שחלקן נראות ספציפיות בצורה מוזרה. לדוגמה, מזהירים שעסקים האוספים נתונים במציאות רבודה או מדומה (AR/VR) חייבים להזהיר את הצרכן לפני שהם נכנסים לסביבת AR/VR. זה הוצג מחדש, לאחר שהושמט בעבר כדי לפשט את היישום. עם זאת, זה לא מפתיע, שכן תפקידה של הסוכנות בחלקו הוא ליצור תקנות ששומרות על חוקי הפרטיות רלוונטיים בנוף טכנולוגי המתפתח במהירות ומשלב חידושים כאלה.
הצורך הזה לעמוד בקצב ההתפתחות הטכנולוגית חל במיוחד על תהליך נוסף של קבלת כללים מתמשך המתמקד בקבלת החלטות אוטומטית, שיראה מערכת נפרדת של תקנות מה-CPPA.
"יש צורך בהבהרה נוספת במצבים אלה כמו טכנולוגיית קבלת החלטות אוטומטית", אומר צוויפל-קיגן. "זה בעצם רק כלל אחד קטן בחוק, אבל יכול להפוך לכל סדרת הכללים מרובה העמודים הזו שעוזרים להסביר אילו דרישות קיימות."
ה-CPPA עובד גם על שני סטים נוספים של כללים בהערכת סיכונים ואבטחת סייבר. כיוון שהוא דוחף את התקנות "החדשות" של דצמבר משלב החפירה לטריטוריה רשמית. יש לה עדיין הרבה עבודה לעשות - ואלה שעושים עסקים בקליפורניה חייבים לעקוב מקרוב אחר מה שהיא עושה.
מה עסקים יכולים לעשות כשהם עוקבים אחר השינויים המתמשכים הללו? בזמנים של חוסר ודאות, חפש שיטות עבודה מומלצות מבוססות היטב שיקרבו אותך - או עד הסוף - למקום שבו תצטרך להיות כשתהליך קביעת החוק יסתיים.
תקנים כמו ISO 27001 לניהול אבטחה, וההרחבה שלו ISO 27701 (המניח את התשתית למערכות ניהול מידע אפקטיביות בנושא פרטיות) מהווים יסודות מוצקים לעמידה בדרישות. הם יכינו עסקים לעמוד בסטנדרטים מתפתחים לניהול והגנה על נתוני צרכנים כפי שהם מופיעים.
