قانونی که در دست دادگستری آمریکاست

محدودسازی فروش داده‌ آمریکایی‌ها به خارج از کشور

سمیه مهدوی‌پیام

وزارت دادگستری ایالات متحده، قوانین جدیدی را پیشنهاد کرده که از فروش و انتقال داده‌های حساس شهروندان آمریکایی به کشورهای متخاصم، جلوگیری یا آن را محدود می‌کند.

به گزارش سایبراسکوپ (cyberscoop)، این مقررات پیشنهادی، که ابتدا در مارس مطرح شد، از یک فرمان اجرایی صادرشده توسط دولت بایدن در فوریه نشأت می‌گیرد و مجموعه‌ای از محدودیت‌ها را بر نحوه فروش داده‌های حساس شهروندان آمریکایی‌ در شش دسته اعمال می‌کند. داده‌های شخصی شامل: شماره گواهینامه رانندگی، شماره تامین اجتماعی، داده‌های مکان‌یابی دقیق، شناسگرهای بیومتریک، داده‌های ژنتیکی انسانی مانند DNA، اطلاعات بهداشتی و اطلاعات مالی.

همچنین فروش این داده‌های انبوه به 6 کشور چین، روسیه، ایران، کره‌شمالی، کوبا و ونزوئلا، که به‌عنوان «کشورهای مورد نگرانی» شناخته می‌شوند، به‌طور کلی، ممنوع است، زیرا دستیابی آنها به داده‌های شخصی آمریکایی‌ها، خطر بالقوه‌ای برای امنیت ملی محسوب می‌شود.

البته نسخه بازبینی‌شده قوانین که اخیرا منتشر شد، استثناهای جدید برای خدمات مخابراتی، داده‌های آزمایش‌های بالینی که برای دریافت تاییدیه به منظور تحقیق یا بازاریابی داروها یا تجهیزات پزشکی در کشور مورد نگرانی نیاز است و نیز داده‌های آزمایش‌های بالینی لازم برای درخواست‌های سازمان غذا و داروی آمریکا (FDA) درباره داروها و تجهیزات پزشکی، اضافه کرده است.

قوانین اصلاح‌شده همچنین شرکت‌ها را موظف می‌کند مشارکت طرف‌های ثالث در یک معامله را گزارش و توضیح دهند این قوانین چگونه با دیگر نهادهای فدرال، مانند کمیته سرمایه‌گذاری خارجی در ایالات متحده (CFIUS) هماهنگی دارد، و نمونه‌های بدون طبقه‌بندی از معاملات یا رفتارهای غیرمجاز ارائه دهند.

یک مقام ارشد وزارت دادگستری اظهار داشت: «طبق قانون پیشنهادی، افراد و نهادهای آمریکایی که با این نوع داده‌ها سروکار دارند، باید برنامه‌ای برای رعایت مقررات بر اساس پروفایل ریسک فعالیت‌های خود تدوین کنند. آنها باید انواع و حجم داده‌هایی که معامله می‌کنند، افرادی که با آنها تجارت می‌کنند و نحوه استفاده از داده‌ها را درک کنند و همچنین اقداماتی را که برای کنترل دسترسی به این داده‌ها انجام می‌دهند، بشناسند.»

آمریکایی‌ها به طور مکرر از طریق شبکه‌های اجتماعی، خرید آنلاین، مراجعات پزشکی یا دریافت خدمات دولتی، اطلاعات شخصی گسترده‌ای را به اشتراک می‌گذارند. شرکت‌ها این داده‌ها را جمع‌آوری و به کارگزاران بزرگِ داده می‌فروشند تا پروفایل‌های دقیق و جامع از مصرف‌کنندگان تهیه کرده و آنها را به بالاترین قیمت‌گذار به فروش برسانند.

این مقررات، مانعِ آن می‌شود که افراد یا شرکت‌های آمریکایی، داده‌های شخصی را به ‌طور مستقیم به نهادهای خارجی که حداقل ۵۰ درصدِ آنها متعلق به کشورهای مورد نگرانی هستند یا در آن کشورها مستقرند، به کارکنان خارجی پیمانکاران، به افرادی که در این کشورها ساکن هستند یا به اشخاص مشخص‌شده توسط وزارت دادگستری (DOJ)، به ‌عنوان افراد تحت پوشش بفروشند.

بر اساس این قانون، خرید و فروش داده‌ها به‌ صورت عمده و انتقال داده‌های ژنومی انسانی یا نمونه‌های زیستی به هریک از کشورهای فهرست‌شده، ممنوع است. قراردادهای فروشنده، استخدام و سرمایه‌گذاری‌های غیرفعال نیز باید از شرایط امنیتی که توسط آژانس امنیت سایبری و زیرساخت‌های ایالات متحده (CISA) توسعه داده می‌شود، عبور کنند. این شرایط، شامل رمزنگاری، به حداقل رساندن داده‌ها، کنترل‌های دسترسی فیزیکی و منطقی و حفظ حریم خصوصی است.

یک مقام ارشد وزارت امنیت داخلی اظهار داشت که الزامات امنیتی طبق چارچوب‌های امنیت سایبری و حریم خصوصی موسسه ملی استانداردها و فناوری (NIST) تعیین شده‌اند و تلاش می‌کنند امنیت ملی و اصول اقتصاد بازار آزاد را برقرار کنند.

وی افزود: «هدف ما این است که تا حد امکان بدون اختلال در جریان آزاد داده‌ها میان مرزها، به این اهداف دست یابیم؛ از جمله ارائه انعطاف‌ برای انواع مختلف معاملات محدودشده، در حالی که اهداف سیاست‌های امنیتی را تضعیف نمی‌کنیم.»

هرکدام از داده‌های تحت پوشش در این مقررات، بر اساس حساسیت داده‌ها، دارای آستانه‌های مختلف است. به‌عنوان مثال، فروش داده‌های مکان‌یابی بیش از 1000 دستگاه ایالات متحده به شرکتی که در چین مستقر است، ممنوع خواهد بود یا استخدام یک آزمایشگاه در چین برای تجزیه و تحلیل نمونه‌های DNA بیش از ۱۰۰ نفر از شهروندان آمریکا، امکان‌پذیر نیست.

از سوی دیگر، شرکتی که داده‌های مالی یا بهداشتی بیش از 10 هزار نفر از شهروندان آمریکایی را نگهداری می‌کند، چنانچه به سرمایه‌گذاری روسی اجازه شراکت بدهد یا شرکت چینی را برای ذخیره‌سازی و پردازش داده‌ها به‌کار گیرد یا کارکنانی استخدام کند که عمدتا در چین اقامت دارند، باید از الزامات امنیتی CISA پیروی کند.

وزارت دادگستری، همراه با وزارتخانه‌های امور خارجه، بازرگانی و امنیت داخلی، اختیار صدور مجوزهایی برای دور زدن قوانین پیشنهادی را دارد اما دولت پیش‌بینی می‌کند این کار، تنها در «موارد نادر» انجام شود.

ایالات متحده نسبت به اروپا و سایر نقاط جهان در به‌روزرسانی قوانین حفظ حریم خصوصی برای عصر دیجیتال و کنترل کارگزاران داده‌ای که حجم عظیمی از داده‌های شخصی آمریکایی‌ها را برای تبلیغ‌کنندگان، بازاریابان و کشورهای خارجی، خریداری و تجمیع می‌کنند و به فروش می‌رسانند، عقب مانده است.

مقامات ارشد وزارت دادگستری در گفت‌وگوی تلفنی با خبرنگاران اظهار داشتند که این وزارتخانه، ۶۷ نظر درباره قانون پیشنهادی پیشرفته دریافت کرده و از بالغ بر ۱۰۰ شرکت، گروه‌های صنعتی و سایر ذینفعان، بازخورد گرفته است.

براندون پاف، مدیر امنیت سایبری و تهدیدات نوظهور در اندیشکده راست‌گرای موسسه R Street، به سایبراسکوپ گفت که مقررات جدید پیشنهادی یک «راه‌حل جزئی»، برای مشکل گردآوری داده‌های شخصی آمریکایی‌ها توسط کشورهای خارجی است.

او خاطرنشان کرد که قوانین فعلی حریم خصوصی داده‌ها در ایالات متحده، همچنان مسیرهای متعددی را برای دستیابی به همین هدف ارائه می‌دهد.

پاف بیان کرد: «راه‌های زیادی وجود دارد که دشمنان… می‌توانند به این داده‌ها دسترسی پیدا کنند و این مقررات، تمام آنها را پوشش نمی‌دهد. آنها می‌توانند این داده‌ها را سرقت کنند، به داده‌های رخنه‌های امنیتی اتکا کنند یا خودشان رخنه‌های امنیتی را ایجاد نمایند.»

در سال جاری، یک گروه دو حزبی در کنگره تلاش کردند بر سر لایحه جامع حریم خصوصی به توافق برسند. بر اساس این لایحه، داده‌هایی که کسب‌وکارها می‌توانند از مشتریان خود جمع‌آوری کنند، محدود و صنعتِ عمدتا غیرقانونی کارگزاران داده، شفاف‌تر خواهد شد.

با این حال، پس از خوش‌بینی اولیه درباره پیشرفت لایحه، این حرکت به دلیل اختلافات و درگیری‌های داخلی متوقف شد. انتظار نمی‌رود با توجه به نزدیک بودن انتخابات ریاست‌جمهوری و کنگره، این لایحه امسال، پیشرفت بیشتری داشته باشد.

نوشته های مرتبط

مدیرکل دفتر نظارت بر خدمات پستی تاکید کرد

رئیس مرکز توسعه تجارت الکترونیک تاکید کرد:

اخبار روز