יש סעיף בחוק הגנת הצרכן של קליפורניה (CCPA) על מזעור נתונים שהרולינג סטונס יכלו לכתוב. זה אומר שכעסק, אתה לא תמיד יכול לקבל את הנתונים שאתה רוצה, אבל אתה מקבל את מה שאתה צריך. מזעור נתונים פירושו רק איסוף מספיק נתונים למטרה הנחוצה, ולא יותר. כדוגמה קיצונית, אם אתה רוצה לשלוח למישהו ניוזלטר אלקטרוני, תוכל לבקש את כתובת הדואר האלקטרוני שלו אך לא לקבל עותק סרוק של רישיון הנהיגה שלו.
שש שנים לאחר שקבעה מזעור נתונים בחוק, הסוכנות להגנת הפרטיות של קליפורניה (CPPA) פרסמה ייעוץ לאכיפה מסביר עד כמה הוא לוקח את הנושא הזה ברצינות.
ה-CCPA מאפשר לצרכנים לבקש מארגונים גישה לנתונים המוחזקים אודותיהם, ולתקן או למחוק אותם במידת הצורך. הייעוץ של 2 באפריל מדווח שארגונים רבים ביקשו יותר מדי מידע בעת מילוי בקשות אלה. המסר ברור: חתוך את זה.
עושים כמו האירופים
הגישה של ה-CPPA כאן משקפת היטב את זו של אירופה, לדברי אודיה קגן, שותפה ויו"ר GDPR Compliance & International Privacy Practice ב-Fox Rothschild LLP.
"הכלל לגבי אי השימוש במידע שאתה מקבל בקשר לבקשות למטרות אחרות ורק לאסוף את מה שאתה צריך הוא זהה לחלוטין באירופה", היא אומרת ל-ISMS.online. "יש לנו הנחיות של הרשות האירופית להגנת מידע בנושא זה."
אז למה חברות לא פשוט מיישמות מזעור נתונים כפי שמתבקש בעת עיבוד בקשות? זה לא פשוט לא פשוט, מציין קגן; זה איזון בין נוחות ובטיחות. זה חשוב במיוחד בעת עיבוד בקשות לגישה ומחיקה של מידע.
"מחיקה וגישה חשובות יותר כי אתה נותן מידע שעלול להיות מסוכן לאדם אם ייפגע", היא אומרת.
נתוני מיקום גיאוגרפי הם דוגמה טובה. אם מישהו מתחזה לבעלים הלגיטימי של נתוני מיקום גיאוגרפי ומבקש גישה, הוא עלול לגלות מידע רגיש. כפי שמציין קגן, זה יכול לכלול אם הם הלכו למרפאת הפלות - נושא רגיש במיוחד בארה"ב כיום.
גם בקשות מחיקה מסוכנות. "מה אם מישהו יבקש למחוק תמונות משפחתיות?" היא מוסיפה. מחיקת תמונות ב-drive-by אולי לא מסכנות חיים, אבל הן עדיין מטרידות מאוד - ועלולות להזיק משפטית למחזיק הנתונים.
התחזות היא איום אמיתי
התחזות בעת ביצוע בקשות גישה לנתונים מהווה איום ממשי, כפי שהוכיח חוקר אוניברסיטת אוקספורד ג'יימס פבור בשנת 2019. באישור ארוסתו, הוא העמיד פנים להיות היא בעת הגשת בקשות לגישה לנתונים במסגרת תקנות ה-GDPR.
כמעט רבע מ-83 החברות שאליהן פנה שהחזיקו נתונים סיפקו אותם מבלי לאמת כלל את זהותו, בעוד 16% ביקשו תעודה מזהה מסוג מזויף בקלות. נמסרו לו תוצאות בדיקות הרישום הפלילי, יחד עם רישומי נסיעות וציוני בית הספר.
חברות חייבות לעשות את בדיקת הנאותות שלהן, אבל אסור להגביל מדי, מסביר קגן.
"אתה לא רוצה להקשות מדי על ביצוע הבקשה ואתה לא רוצה להסתבך עם נתונים רגישים", היא מציינת. איסוף נתונים רגישים מדי כדי לאמת את זהותו של מישהו לא רק מעמיד אותו בסכנה של פעולה רגולטורית; זה גם מסתכן באחריות רבה יותר אם נתוני האימות הללו יופרו לאחר מכן.
איך ללכת על הקו
אז איך חברות יכולות לעמוד על הגבול מבלי לעבור עליו? ייעוץ האכיפה מספק שתי דוגמאות כיצד חברות המקבלות בקשות יכולות לציית לכללים אלה.
הדוגמה הראשונה היא בקשת ביטול ממכירת מידע אישי. זה הכי קל לנווט, מכיוון שעיבוד יישומי ביטול הסכמה אינו מצריך אימות זיהוי בכלל במסגרת ה-CCPA. זה רק צריך את המידע הדרוש כדי להתייחס ללקוח, כגון כתובת דואר אלקטרוני.
הדוגמה השנייה כוללת מישהו שמבקש מחברה למחוק את המידע האישי שלו, כאשר אין לו חשבון בארגון. עסק זה אכן חייב לאמת את זהותו של האדם.
השאלות הבסיסיות ביותר מפורטות ב 11 CCR § 7002(c)-(d) והם בעצם אלה:
- האם המידע שאנו אוספים יותר מהמינימום שאנו צריכים?
- מהן ההשפעות השליליות הפוטנציאליות על אנשים של איסוף או עיבוד המידע?
- האם יש אמצעי הגנה (כגון הצפנה או מחיקת אוטומציה) שעשויים להגן על הצרכנים?
בדוגמאות שניתנו, הייעוץ מזהיר את העסק לשאול את עצמו האם הם צריכים לאסוף מידע נוסף ממה שכבר יש להם מהצרכן. ה-CCPA בדרך כלל מזעיף את פניו בבקשת מידע נוסף לאימות, אלא אם כן הכרחי לחלוטין, ואומר לעסקים למחוק אותו אם נאסף.
הגיע הזמן להכין
קגן מזהירה את לקוחותיה להתכונן לשאלות אלו על ידי ביצוע ניתוח סיכונים. זה כולל הערכת הנתונים שיש לארגון על האדם, יחד עם הרגישות של הנתונים הללו. הם יכולים לקבוע את רמת האימות המתאימה בהתחשב באופי הבקשה, ויכולים להחליט אם הם יכולים להשתמש בנתונים שכבר יש להם כדי לסייע באימות אדם.
חברות צריכות להתייחס למזעור נתונים ברצינות, היא אומרת, מכיוון שזה הופך לנושא מרכזי בטיפול בנתונים. למשרד נציב המידע הבריטי (ICO) יש משלו הדרכהוכך גם מדינות שונות בארה"ב. גם נציבות הסחר הפדרלית של ארה"ב החלה להתעניין יותר ויותר בנושא, תוך עדיפות למזעור נתונים במקרה שלה נגד שירות משלוחי האלכוהול Drizly, ולפי הדיווחים מתמקדים בנקודה בחוק המעקב המסחרי ואבטחת המידע הקרוב שלו.
לתחומי שיפוט שונים יש לרוב אותה דרישה: שהנתונים שנאספו נחוצים למטרה המיועדת.
"העובדה שזה נפוץ ופשוט לא אומר שזה קל", מסכם קגן. "זה לא קל ליישום בכלל. אבל הסטנדרט נפוץ למדי כרגע".
