משנת 2026, החיים יהיו הרבה יותר קשים לברוקרי נתונים שעושים עסקים בקליפורניה. החל מה-1 באוגוסט של אותה שנה, עליהם לציית לחוק חדש שמחייב אותם למחוק נתונים של צרכן על סמך בקשה אחת.
SB 362, שנחתם בחוק על ידי המושל גאווין ניוסום ב-10 באוקטובר, ידוע גם כחוק המחיקה. החוק החדש מחמיר את הכללים שהוטלו במקור על מתווכים בנתונים על ידי חוק פרטיות הצרכן של קליפורניה (CCPA) ב-2019.
ה-CCPA כבר הגן על תושבי המדינה בכך שאילץ את מתווך הנתונים למחוק מידע אישי של אדם על פי בקשה. עם זאת, אנשים היו צריכים להגיש את הבקשות הללו בנפרד.
חוק המחיקה, שהוצג לבית המחוקקים באפריל השנה, החליף ניסיון חקיקתי ראשוני לפתור בעיה זו (SB 1059). היא שואפת לפשט את מחיקת הנתונים עבור צרכנים על ידי הצעת נקודת גישה אחת, המאפשרת לאזרחים לבקש מחיקה המונית של המידע שלהם בכל מתווך הנתונים הרשומים לפי החוק.
הסוכנות להגנת הפרטיות של קליפורניה, הרגולטור העצמאי שהוקם על ידי המדינה כדי ליישם את חוק זכויות הפרטיות של קליפורניה משנת 2020, חייבת לבנות את מערכת המחיקה ההמונית הזו עד 1 בינואר 2026. כל מתווכים בנתונים חייבים להתחיל לציית לדרישות המחיקה עד לא יאוחר מאוגוסט 1, 2026.
מהו ברוקר נתונים?
חוק המחיקה מתאר ברוקר נתונים כ"עסק שאוסף ומוכר ביודעין לצדדים שלישיים מידע אישי של צרכן שאין לעסק קשר ישיר עמו".
עם זאת, ישנן כמה החרגות משמעותיות עבור חברות המכוסות בתקנות אחרות. אלה כוללים סוכנויות לדיווח צרכנים כמו לשכות אשראי, מוסדות פיננסיים, חברות ביטוח וסוכניהן, וספקי שירותי בריאות או עסקים אחרים המכוסים על ידי HIPAA.
דרישות ברוקר נתונים
מתווכים נתונים טהורים המכוסים בחוק ישלמו עבור הרישום של הרגולטור באמצעות דמי רישום שנכנסים לקרן ייעודית. לצד פרטי ההתקשרות שלהם, עליהם לחשוף מידע אחר במהלך הרישום, כולל האם הם אוספים מידע על קטינים, נתוני מיקום גיאוגרפי או נתוני בריאות הרבייה.
החוק מחייב את מתווך הנתונים למחוק נתונים על אנשים בתוך 45 יום מהבקשה. דרישה זו חוזרת על עצמה; הם חייבים להמשיך למחוק נתונים כל 45 ימים לאחר מכן כדי להבטיח שהם לא בונים מחדש מאגר נתונים אישיים על אדם לאחר מעשה. כמו כן, עליהם להורות לכל אחד מספקי השירותים והקבלנים שלהם למחוק את הנתונים של הפרט לאחר בקשה.
אם מתווך הנתונים אינו יכול לאמת בקשה, עליו להתייחס אליה כאילו הצרכן ביטל את הסכמתו למכור או לשתף נתונים כלשהם בעתיד. הסטטוס של כל בקשה נשאר על כנו עד שהצרכן יאמר אחרת.
מתן הוכחה לתאימות
החוק נושא גם כמה דרישות דיווח משמעותיות ממתווכים נתונים. עד ה-1 ביולי של כל שנה, עליהם לדווח על מספר בקשות המחיקה שקיבלו, יחד עם הפעולות שנקטו. כמו כן, עליהם לדווח על זמן התגובה הממוצע לבקשות, מספר הבקשות שדחו ומדוע. כל המידע הזה חייב להתפרסם באתר האינטרנט שלהם.
2026 היא לא שנת אבן הדרך היחידה עבור מתווכים נתונים לפי חוק המחיקה. כל שלוש שנים מה-1 בינואר 2028, עליהם לעבור גם ביקורת מצד שלישי בלתי תלוי כדי להוכיח את עמידתם בדרישות החוק.
עונשים בגין הפרת החוק
ברוקרי נתונים שלא מצליחים להיכנס לרישום החדש של הממשלה צפויים לקנס של עד 200 דולר ליום. החוק גם מאיים עליהם בקנסות נוספים של עד 200 דולר על כל בקשת מחיקה שהם לא מכבדים. עם זאת, יש דאגות לכך קליפורניה עשתה מעט כדי לרדוף ולקבוע ברוקרים שלא הצליחו לרשום את עצמם ברישום הנוכחי ושזה עשוי לעודד ברוקרים להתחמק גם מהרישום הזה, בתקווה לעוף מתחת לרדאר. הטענה הנגדית היא שהחוק החדש מסיר את השליטה במרשם ממחלקת המשפטים של המדינה לרגולטור הפרטיות. אולי זה האחרון יתמקד יותר?
ההימור גבוה, מכיוון שהממשל הפדרלי של ארה"ב חוסר ברגולציה של ברוקר נתונים מקשה לקבוע כמה יש בארץ. הרישום הנוכחי של קליפורניה שהוקם תחת חקיקת CCPA כולל למעלה מ-500 מתווכים בנתונים, כולל שחקני תעשיית IT מוכרים כמו אורקל, שעושה עסקים בריאים במכירות נתונים אישיים. המדינה ממתינה לעשרות אחרים שהגישו בקשה לרישום אך טרם שילמו.
מתווכים יכולים לאסוף כמות מדאיגה של נתונים, כולל לא רק פרטי התקשרות אלא מידע על כל דבר, החל מהכנסותיהם והעדפותיהם הפוליטיות ועד הנדל"ן שבבעלותם וההתנהגות המקוונת שלהם. זה הוביל לכמה הפרות פרטיות מדהימות. בשנת 2021, ערוץ חדשות מקוון קנה נתוני מיקום ממתווך נתונים שהראה מתי והיכן אנשים השתמשו באפליקציית החיבור ההומואים Grindr. זֶה הוביל ליציאתו של כומר קתולי והתפטרותו לאחר מכן.
אמצעים אחרים של המדינה
בקונגרס האחרון, החברים הציעו שלוש הצעות חוק שנועדו לשלוט בפרקטיקות של ברוקרי נתונים - חוק פרטיות והגנת הנתונים האמריקאי, חוק ביטול הנתונים והגבלת מעקב והחלפה נרחבים (DELETE), שאינו קשור לחוק קליפורניה. אחר, חוק פרטיות נתוני הבריאות והמיקום, ביקש למנוע מכירה של נתוני בריאות ומיקום על ידי מתווכים. אף אחד לא הגיע לשולחנו של הנשיא.
מכיוון שה-Hill נפגע לכאורה כתוצאה ממאבקים פוליטיים ובחירות פדרליות בעוד פחות משנה, לא סביר שהממשלה הפדרלית תתגבר מיידית עם חוקים לאומיים כלשהם שישלטו בברוקרים. בינתיים, מדינות לוקחות את העניין לידיים עם חוקי ברוקרים מקומיים. לדלאוור יש בית ביל 262, בעוד שלוורמונט יש 9 VSA § 2430. מושל טקסס גרג אבוט חתם SB 2015 במאי.
יש אחרים בעבודות. מסצ'וסטס עדיין בוחנת את זה חוק פרטיות ואבטחת מידע (Bill S.2687), בעוד אורגון שוקלת בית ביל 4017. למרות שלכל אמצעי ברמת המדינה יש את החוזקות והחולשות שלו, כולם צריכים לשלוח איתות ברור לברוקרי נתונים: להתכונן לבדיקה מעמיקה יותר ולמעקות בטיחות רגולטוריים.
