سمیه مهدویپیام
وزارت دادگستری ایالات متحده، قوانین جدیدی را پیشنهاد کرده که از فروش و انتقال دادههای حساس شهروندان آمریکایی به کشورهای متخاصم، جلوگیری یا آن را محدود میکند.
به گزارش سایبراسکوپ (cyberscoop)، این مقررات پیشنهادی، که ابتدا در مارس مطرح شد، از یک فرمان اجرایی صادرشده توسط دولت بایدن در فوریه نشأت میگیرد و مجموعهای از محدودیتها را بر نحوه فروش دادههای حساس شهروندان آمریکایی در شش دسته اعمال میکند. دادههای شخصی شامل: شماره گواهینامه رانندگی، شماره تامین اجتماعی، دادههای مکانیابی دقیق، شناسگرهای بیومتریک، دادههای ژنتیکی انسانی مانند DNA، اطلاعات بهداشتی و اطلاعات مالی.
همچنین فروش این دادههای انبوه به 6 کشور چین، روسیه، ایران، کرهشمالی، کوبا و ونزوئلا، که بهعنوان «کشورهای مورد نگرانی» شناخته میشوند، بهطور کلی، ممنوع است، زیرا دستیابی آنها به دادههای شخصی آمریکاییها، خطر بالقوهای برای امنیت ملی محسوب میشود.
البته نسخه بازبینیشده قوانین که اخیرا منتشر شد، استثناهای جدید برای خدمات مخابراتی، دادههای آزمایشهای بالینی که برای دریافت تاییدیه به منظور تحقیق یا بازاریابی داروها یا تجهیزات پزشکی در کشور مورد نگرانی نیاز است و نیز دادههای آزمایشهای بالینی لازم برای درخواستهای سازمان غذا و داروی آمریکا (FDA) درباره داروها و تجهیزات پزشکی، اضافه کرده است.
قوانین اصلاحشده همچنین شرکتها را موظف میکند مشارکت طرفهای ثالث در یک معامله را گزارش و توضیح دهند این قوانین چگونه با دیگر نهادهای فدرال، مانند کمیته سرمایهگذاری خارجی در ایالات متحده (CFIUS) هماهنگی دارد، و نمونههای بدون طبقهبندی از معاملات یا رفتارهای غیرمجاز ارائه دهند.
یک مقام ارشد وزارت دادگستری اظهار داشت: «طبق قانون پیشنهادی، افراد و نهادهای آمریکایی که با این نوع دادهها سروکار دارند، باید برنامهای برای رعایت مقررات بر اساس پروفایل ریسک فعالیتهای خود تدوین کنند. آنها باید انواع و حجم دادههایی که معامله میکنند، افرادی که با آنها تجارت میکنند و نحوه استفاده از دادهها را درک کنند و همچنین اقداماتی را که برای کنترل دسترسی به این دادهها انجام میدهند، بشناسند.»
آمریکاییها به طور مکرر از طریق شبکههای اجتماعی، خرید آنلاین، مراجعات پزشکی یا دریافت خدمات دولتی، اطلاعات شخصی گستردهای را به اشتراک میگذارند. شرکتها این دادهها را جمعآوری و به کارگزاران بزرگِ داده میفروشند تا پروفایلهای دقیق و جامع از مصرفکنندگان تهیه کرده و آنها را به بالاترین قیمتگذار به فروش برسانند.
این مقررات، مانعِ آن میشود که افراد یا شرکتهای آمریکایی، دادههای شخصی را به طور مستقیم به نهادهای خارجی که حداقل ۵۰ درصدِ آنها متعلق به کشورهای مورد نگرانی هستند یا در آن کشورها مستقرند، به کارکنان خارجی پیمانکاران، به افرادی که در این کشورها ساکن هستند یا به اشخاص مشخصشده توسط وزارت دادگستری (DOJ)، به عنوان افراد تحت پوشش بفروشند.
بر اساس این قانون، خرید و فروش دادهها به صورت عمده و انتقال دادههای ژنومی انسانی یا نمونههای زیستی به هریک از کشورهای فهرستشده، ممنوع است. قراردادهای فروشنده، استخدام و سرمایهگذاریهای غیرفعال نیز باید از شرایط امنیتی که توسط آژانس امنیت سایبری و زیرساختهای ایالات متحده (CISA) توسعه داده میشود، عبور کنند. این شرایط، شامل رمزنگاری، به حداقل رساندن دادهها، کنترلهای دسترسی فیزیکی و منطقی و حفظ حریم خصوصی است.
یک مقام ارشد وزارت امنیت داخلی اظهار داشت که الزامات امنیتی طبق چارچوبهای امنیت سایبری و حریم خصوصی موسسه ملی استانداردها و فناوری (NIST) تعیین شدهاند و تلاش میکنند امنیت ملی و اصول اقتصاد بازار آزاد را برقرار کنند.
وی افزود: «هدف ما این است که تا حد امکان بدون اختلال در جریان آزاد دادهها میان مرزها، به این اهداف دست یابیم؛ از جمله ارائه انعطاف برای انواع مختلف معاملات محدودشده، در حالی که اهداف سیاستهای امنیتی را تضعیف نمیکنیم.»
هرکدام از دادههای تحت پوشش در این مقررات، بر اساس حساسیت دادهها، دارای آستانههای مختلف است. بهعنوان مثال، فروش دادههای مکانیابی بیش از 1000 دستگاه ایالات متحده به شرکتی که در چین مستقر است، ممنوع خواهد بود یا استخدام یک آزمایشگاه در چین برای تجزیه و تحلیل نمونههای DNA بیش از ۱۰۰ نفر از شهروندان آمریکا، امکانپذیر نیست.
از سوی دیگر، شرکتی که دادههای مالی یا بهداشتی بیش از 10 هزار نفر از شهروندان آمریکایی را نگهداری میکند، چنانچه به سرمایهگذاری روسی اجازه شراکت بدهد یا شرکت چینی را برای ذخیرهسازی و پردازش دادهها بهکار گیرد یا کارکنانی استخدام کند که عمدتا در چین اقامت دارند، باید از الزامات امنیتی CISA پیروی کند.
وزارت دادگستری، همراه با وزارتخانههای امور خارجه، بازرگانی و امنیت داخلی، اختیار صدور مجوزهایی برای دور زدن قوانین پیشنهادی را دارد اما دولت پیشبینی میکند این کار، تنها در «موارد نادر» انجام شود.
ایالات متحده نسبت به اروپا و سایر نقاط جهان در بهروزرسانی قوانین حفظ حریم خصوصی برای عصر دیجیتال و کنترل کارگزاران دادهای که حجم عظیمی از دادههای شخصی آمریکاییها را برای تبلیغکنندگان، بازاریابان و کشورهای خارجی، خریداری و تجمیع میکنند و به فروش میرسانند، عقب مانده است.
مقامات ارشد وزارت دادگستری در گفتوگوی تلفنی با خبرنگاران اظهار داشتند که این وزارتخانه، ۶۷ نظر درباره قانون پیشنهادی پیشرفته دریافت کرده و از بالغ بر ۱۰۰ شرکت، گروههای صنعتی و سایر ذینفعان، بازخورد گرفته است.
براندون پاف، مدیر امنیت سایبری و تهدیدات نوظهور در اندیشکده راستگرای موسسه R Street، به سایبراسکوپ گفت که مقررات جدید پیشنهادی یک «راهحل جزئی»، برای مشکل گردآوری دادههای شخصی آمریکاییها توسط کشورهای خارجی است.
او خاطرنشان کرد که قوانین فعلی حریم خصوصی دادهها در ایالات متحده، همچنان مسیرهای متعددی را برای دستیابی به همین هدف ارائه میدهد.
پاف بیان کرد: «راههای زیادی وجود دارد که دشمنان… میتوانند به این دادهها دسترسی پیدا کنند و این مقررات، تمام آنها را پوشش نمیدهد. آنها میتوانند این دادهها را سرقت کنند، به دادههای رخنههای امنیتی اتکا کنند یا خودشان رخنههای امنیتی را ایجاد نمایند.»
در سال جاری، یک گروه دو حزبی در کنگره تلاش کردند بر سر لایحه جامع حریم خصوصی به توافق برسند. بر اساس این لایحه، دادههایی که کسبوکارها میتوانند از مشتریان خود جمعآوری کنند، محدود و صنعتِ عمدتا غیرقانونی کارگزاران داده، شفافتر خواهد شد.
با این حال، پس از خوشبینی اولیه درباره پیشرفت لایحه، این حرکت به دلیل اختلافات و درگیریهای داخلی متوقف شد. انتظار نمیرود با توجه به نزدیک بودن انتخابات ریاستجمهوری و کنگره، این لایحه امسال، پیشرفت بیشتری داشته باشد.