رايت رايتس
متابعات و تقارير

وكالة حماية الخصوصية في كاليفورنيا وعمليات التدقيق السيبراني وتقييم المخاطر

الديسك المركزي
كتبه الديسك المركزي تعليق 13 دقيقة قراءة
13 دقيقة قراءة
الأمن السيبراني

تسعى وكالة حماية الخصوصية في كاليفورنيا “CPPA” ” إلى الحصول على تعليقات أولية حول وضع القواعد المقترحة لتقييم المخاطر وتدقيق الأمن السيبراني لأنشطة معالجة البيانات عالية المخاطر، وحقوق المستهلك المتعلقة بتقنيات صنع القرار الآلي (ADM)

- مساحة اعلانية-

تسعى CPPA للحصول على مدخلات من أصحاب المصلحة في تطوير واقتراح لوائح محددة لتنفيذ تعديلات قانون حقوق الخصوصية في كاليفورنيا “CPRA” هذه على الوكالة.

لكل موضوع تم تناوله،عمليات تدقيق الأمن السيبراني ، وتقييمات المخاطر، و ADM يطرح إشعار وضع القواعد أسئلة محددة للمعلقين ويدعو أصحاب المصلحة لاقتراح لغة محددة للوائح جديدة.

- مساحة اعلانية-

أصدرت الوكالة طلب التعليقات في 10 فبراير 2023، والتعليقات مستحقة في 27 مارس 2023.

 أدناه، نلخص المتطلبات القانونية ذات الصلة وطلب التعليقات على كل من الموضوعات الثلاثة التي تم تناولها.

الأعمال التي من المحتمل أن تغطيها CCPA  بشكل عام ، الكيانات الربحية التي تمارس الأعمال التجارية في كاليفورنيا والتي: لديها إجمالي إيرادات سنوية تزيد عن 25 مليون دولار؛ شراء أو بيع أو مشاركة المعلومات الشخصية لـ 100،000 أو أكثر من المقيمين أو الأسر المعيشية في كاليفورنيا ؛ أو الحصول على 50 في المائة أو أكثر من عائداتهم السنوية من بيع أو مشاركة المعلومات الشخصية للمستهلكين في كاليفورنيا،  ويُنصح باتباع وضع القواعد هذا عن كثب، وبمجرد الانتهاء من هذه القواعد ، يمكن أن تفرض متطلبات مهمة على كيفية تصميم الشركات لبرامج الأمن السيبراني وتنفيذها ، وتقييم وتخفيف مخاطر معالجة المعلومات الشخصية، ونشر تقنيات ADM .

- مساحة اعلانية-

تدقيقات الأمن السيبراني

بموجب تعديلات CPRA، يجب على CPPA إصدار لوائح تتطلب الشركات المشمولة “التي تمثل معالجتها للمعلومات الشخصية للمستهلكين خطرًا كبيرًا على خصوصية المستهلكين أو أمنهم” لإجراء عمليات تدقيق الأمن السيبراني السنوية “,

ويجب على الشركات المطلوبة لإجراء عمليات تدقيق الأمن السيبراني “إنشاء عملية لضمان أن تكون عمليات التدقيق شاملة ومستقلة.”

يسعى طلب التعليقات من CPPA للحصول على معلومات حول القوانين الأخرى التي تتطلب “عمليات تدقيق الأمن السيبراني” ومدى توافق متطلبات هذه القوانين مع CCPA، الإجابات على هذه الأسئلة ليست واضحة، لأن القوانين الحالية لا تحتوي على المصطلح الدقيق لـ “عمليات تدقيق الأمن السيبراني” ويمكن فهم هذا المصطلح على أنه يعني معاني أخرى.

في مجال الأمن السيبراني ، يشير “التدقيق” عادةً إلى تقييم ضوابط أمان الشركة مقابل مجموعة محددة من المتطلبات أو المعايير، وغالبًا ما يتم إجراؤها بواسطة شركة خارجية أو وظيفة داخلية مخصصة.

ولكن يمكن أن يشير المصطلح أيضًا إلى أنواع أخرى من تقييمات الأمن السيبراني، مثل التقييمات الأوسع للفعالية الشاملة لبرنامج الأمن،

وتحتوي القوانين الحالية على متطلبات مختلفة يمكن فهمها على أنها أو على الأقل مرتبطة بعمليات تدقيق الأمن السيبراني. وتشمل تلك:

  • المتطلبات بموجب بعض قوانين الولايات، مثل تلك الموجودة في ماساتشوستس ونيويورك وأوريجون ، لتقييم مدى كفاية برنامج أمان الشركة بانتظام واختبار فعالية ضوابط الأمان الرئيسية ؛
  • المتطلبات بموجب قاعدة الضمانات الصادرة عن لجنة التجارة الفيدرالية، والتي تم تبنيها وفقًا لقانون Gramm-Leach-Bliley (“GLBA”) ولوائح الأمن السيبراني لإدارة الخدمات المالية في نيويورك “NYDFS” لمراجعة ضوابط الوصول الفنية والمادية بشكل دوري، والاختبار المنتظم لفعالية الضمانات الرئيسية، على سبيل المثال من خلال تدابير المراقبة المستمرة واختبار الاختراق وتقييمات الضعف؛
  • المتطلبات بموجب قانون التأمين الصحي لقابلية النقل والمساءلة “HIPAA” لقاعدة الأمان “لمراجعة وتعديل الإجراءات الأمنية … حسب الحاجة لمواصلة توفير الحماية المعقولة والمناسبة للمعلومات الصحية المحمية الإلكترونية” و “تنفيذ الإجراءات لمراجعة سجلات نشاط نظام المعلومات بانتظام، مثل سجلات التدقيق وتقارير الوصول وتقارير تتبع الحوادث الأمنية “؛ و
  • لوائح الأمن السيبراني المقترحة الصادرة عن لجنة الأوراق المالية والبورصات لمستشاري الاستثمار والأموال التي تتطلب من الكيانات المشمولة “[إعادة] مراجعة وتقييم تصميم وفعالية سياسات وإجراءات الأمن السيبراني” و ” تقرير مكتوب يفيد كحد أدنى، وصف المراجعة والتقييم وأي اختبارات رقابة تم إجراؤها، ويشرح نتائجها، ويوثق أي حادث للأمن السيبراني وقع منذ تاريخ التقرير الأخير، ويناقش أي تغييرات جوهرية في السياسات والإجراءات منذ تاريخ التقرير الأخير “.
  • كما أصدرت لجنة التجارة الفيدرالية مؤخرًا إشعارًا مسبقًا بوضع القواعد المقترحة (“ANPR”)، والتي طلبت مدخلات بشأن عمليات التدقيق والتقييمات الأخرى في سياق “المراقبة التجارية وأمن البيانات.

عند تطوير لوائحها، ستحتاج CPPA إلى تحديد معايير التدقيق التي ستطلب من الشركات استخدامها عند إجراء “تدقيق الأمن السيبراني”.

هل ستحتاج الشركات إلى تدقيق برامجها للامتثال لمجموعة محددة من ضوابط الأمن السيبراني؟ أو هل سيسمح للشركات بتطوير وتدقيق برامجها مقابل متطلباتها المصممة حسب الطلب؟

الجدير بالذكر أن جميع قوانين أمان البيانات المذكورة أعلاه تتخذ عمومًا النهج الأخير، فهي تطلب من الكيانات المشمولة إجراء تقييمات للمخاطر المتعلقة بالأمن ثم تقييم برامجها الأمنية بناءً على قدرتها على معالجة المخاطر المحددة، كما نناقش بمزيد من التفصيل أدناه، في حين أن CCPA وطلب التعليقات تشير إلى “تقييمات المخاطر” يفعلون ذلك في سياق مخاطر خصوصية البيانات ومعالجتها وليس أمن البيانات على وجه التحديد.

يبقى أن نرى ما إذا كانت CPPA ستتبع النهج القائم على المخاطر في التقييمات الأمنية التي تتخذها قوانين أمان البيانات الأخرى، أو ستتبنى متطلبات “تدقيق” مفهومة بشكل أكثر تقليدية، حيث يتعين على الأعمال التجارية تقييم امتثالها لضوابط أمنية محددة.

يطلب طلب التعليقات أيضًا الحصول على معلومات حول “عمليات تدقيق أو تقييمات الأمن السيبراني” غير المطلوبة التي تقوم بها الشركات حاليًا ، وحول أفضل الممارسات ذات الصلة. تقوم الشركات في كثير من الأحيان بإجراء “عمليات تدقيق” وتقييمات أخرى لبرامجها الأمنية باستخدام أطر صناعية مشتركة، بما في ذلك: 

  • ISO / IEC 27001 والمعايير ذات الصلة لإدارة أمن المعلومات ؛
  • المعهد الأمريكي لأنظمة المحاسبين القانونيين والضوابط التنظيمية (“SOC”) 2 – SOC للمنظمات الخدمية: معايير خدمات الثقة يشار إليها عادةً بتقرير “SOC 2”؛
  • منشور NIST الخاص (“SP”) 800-53 ، ضوابط الأمان والخصوصية لأنظمة المعلومات والمنظمات ، والتي تستهدف الوكالات الفيدرالية والمتعاقدين معها ؛
  • ضوابط مركز أمن الإنترنت (“CIS”) ، التي ذكرها المدعي العام في كاليفورنيا سابقًا كمسار للوفاء بمتطلبات “الأمان المعقول” بموجب قانون كاليفورنيا ؛
  • إطار عمل الأمن السيبراني NIST (“NIST CSF”) ، الذي تم تطويره لمعالجة أمن البنية التحتية الحيوية ولكنه قابل للتطبيق على أي منظمة ويتضمن معايير أخرى قابلة للتطبيق بشكل عام ؛ و
  • إطار العمل الأمني ​​المشترك HITRUST (“HITRUST CSF”) ، والذي نشأ عن الجهود المبذولة لتحسين الأمن السيبراني في قطاع الرعاية الصحية ولكنه ينطبق عبر الصناعات.

مع بعض الاختلاف، تدعو هذه الأطر إلى اعتماد إجراءات وقائية أمنية محددة، ومن المحتمل أن يكون لـ “تدقيقات الأمن السيبراني” باستخدام هذه الأطر شكل ومظهر “عمليات تدقيق” أكثر تقليدية، أي أنها ستكون تقييمات لما إذا كانت الشركة قد تبنت ضوابط أمنية تم تعدادها.

يسأل طلب التعليقات أيضًا عن “الثغرات أو نقاط الضعف” الموجودة في متطلبات وممارسات تدقيق الأمن السيبراني الحالية، وكيفية ضمان أن تكون عمليات التدقيق “شاملة ومستقلة”.

تقييم المخاطر

كما توجه تعديلات CPRA قانون حماية المستهلك إلى إصدار لوائح تتطلب الشركات المشمولة “التي تمثل معالجتها للمعلومات الشخصية للمستهلكين مخاطر كبيرة على خصوصية المستهلكين أو أمنهم” لإجراء تقييمات منتظمة للمخاطر “فيما يتعلق بمعالجتهم للمعلومات الشخصية “.

يجب أن تأخذ تقييمات المخاطر هذه في الاعتبار “ما إذا كانت المعالجة تتضمن معلومات شخصية حساسة” ويجب أن تحدد وتزن “الفوائد الناتجة عن المعالجة للشركة والمستهلك وأصحاب المصلحة الآخرين والجمهور، مقابل المخاطر المحتملة على حقوق المستهلك المرتبطة بهذه المعالجة ” بموجب CCPA .

يسعى طلب التعليقات للحصول على معلومات حول قوانين خصوصية المستهلك الأخرى التي تتطلب تقييمات للمخاطر ، بالإضافة إلى أنواع المعلومات الشخصية التي تشكل مخاطر كبيرة على خصوصية المستهلكين أو أمنهم و “تحديد مزايا ومخاطر هذه المعالجة وتقييمها”، ويسأل طلب التعليقات تحديدًا عن مناهج تقييم المخاطر الموضحة في إرشادات مجلس حماية البيانات الأوروبي بشأن تقييم تأثير حماية البيانات وفي قانون خصوصية كولورادو (“CPA”) ، بما في ذلك مزايا وعيوب استخدام هذه التقييمات لتلبية متطلبات قانون حماية خصوصية المستهلك.مثل قوانين الخصوصية في ولاية كونيتيكت وفيرجينيا ، وتتطلب اتفاقية السلام الشامل من المتحكمين إجراء تقييمات حماية البيانات (DPAs) لأنشطة المعالجة التي تشكل خطرًا متزايدًا لإلحاق الأذى بالمستهلكين، وستتطلب مسودة القواعد بموجب اتفاقية السلام الشامل من المتحكمين تحليل البيانات الشخصية ” ضروري بشكل معقول “لغرض المعالجة، ونقاط الضعف الفريدة، وأي أنشطة معالجة بديلة يمكن أخذها في الاعتبار.

يطلب طلب التعليقات أيضًا تقديم مدخلات بشأن شكل تقييمات المخاطر، بما في ذلك ما إذا كانت اتفاقية حماية المستهلك تتطلب تقديم تقييمات المخاطر إلى الوكالة على أساس منتظم ، وما إذا كان ينبغي أن تكون متطلبات كل من تقييمات المخاطر وعمليات تدقيق الأمن السيبراني مختلفة وكيفية ذلك. للشركات التي يقل إجمالي إيراداتها السنوية عن 25 مليون دولار.

تقنية صنع القرار الآلي

يسعى طلب التعليقات أيضًا إلى الحصول على مدخلات بشأن التنظيم الجديد المحتمل لتقنيات صنع القرار الآلي (ADM). لا يحدد قانون خصوصية المستهلك في كاليفورنيا (CCPA) تقنيات ADM أو ADM ، مما يترك للوكالة تحديد المدى الذي قد تصل إليه هذه اللوائح.

ليس هناك شك في أن نية CCPA هي الوصول إلى الكيانات المشمولة باستخدام أنظمة تمكين AI / ML لاتخاذ قرارات مهمة واتخاذ إجراءات أخرى في العديد من قطاعات الاقتصاد المختلفة بما في ذلك التمويل والرعاية الصحية والإسكان والتوظيف، وعلى الرغم من أن CCPA تستثني من تغطيتها العديد من جوانب التمويل الشخصي ومعلومات الرعاية الصحية للمستهلكين.

توجه تعديلات CPRA قانون CPPA لإصدار لوائح جديدة تحكم “حقوق الوصول وإلغاء الاشتراك فيما يتعلق باستخدام الشركات لتكنولوجيا [ADM] ، …” ينص القانون على أن هذا يجب أن يتضمن “التنميط” ويشير إلى أن الكيانات المشمولة تستجيب لـ ” طلبات الوصول “يجب أن تتضمن” معلومات مفيدة حول المنطق المتضمن في عمليات صنع القرار هذه ، … “و” وصف النتيجة المحتملة للعملية فيما يتعلق بالمستهلك “.

تشير اللغة القانونية إلى أن عمل الوكالة سينتج عنه قواعد تفرض عدة التزامات جديدة على الشركات التي يغطيها قانون حماية خصوصية المستهلك.

أولاً، من المحتمل أن يُطلب من الشركات التي تستخدم تقنيات ADM السماح للأفراد “بالانسحاب” على الأقل بعض القرارات المؤتمتة التي تتخذها مثل هذه العمليات، مثل تلك التي تعتبر “تنميطًا”، وقد يتطلب حق الانسحاب تدخلاً بشريًا أو إشرافًا على أنظمة معينة.

ثانيًا، من المرجح أن تفرض القواعد الجديدة بعض واجبات الشفافية الجديدة (القابلية للتفسير أو التفسير) على الشركات التي تستخدم تقنيات ADM لاتخاذ القرارات التي تؤثر على الأفراد ، الأمر الذي يتطلب من الشركات تزويد الأفراد بمعلومات مفصلة حول كيفية اتخاذ تقنيات ADM للقرارات، والمنطق ووصف “النتيجة المحتملة للعملية فيما يتعلق بالمستهلك” كما أوضحنا سابقًا ، وهناك قدر كبير من عدم اليقين بشأن الكيفية التي يمكن بها لهذه الحقوق أن تقوض أو تؤثر على أنظمة الذكاء الاصطناعي / تعلم الآلة التي تخضع لهذه اللوائح الجديدة.

والجدير بالذكر أن طلب التعليقات يطرح عددًا من الأسئلة الأساسية حول النطاق والمدى المحتمل لهذه التفويضات الجديدة، على سبيل المثال ، يسأل طلب التعليقات كيف يتم تعريف مصطلح “تقنية صنع القرار الآلي” في قوانين أو لوائح أو أفضل الممارسات الأخرى ، وما إذا كانت هذه السلطات تحكم بالفعل استخدام ADMs وكيف يمكن أن تحكم ، علاوة على ذلك ، تطلب CPPA من المعلقين شرح كيف تحكم السلطات الأخرى “حقوق الوصول والانسحاب” لتقنيات ADM ، وما إذا كانت هذه السلطات تعالج أو لا تعالج ما يسمى “التمييز الخوارزمي”، وهو سؤال طرحه صانعو السياسة الآخرون.

على سبيل المثال، أصدر مكتب سياسة العلوم والتكنولوجيا بالبيت الأبيض ” وثيقة الحقوق”، “بما في ذلك بيان مفاده أن المستهلكين يجب ألا يواجهوا تمييزًا من خلال الخوارزميات “، بما في ذلك التأثيرات التي تسبب إزعاجًا للأشخاص على أساس العرق واللون والجنس ، أو الدين ، أو العمر ، أو الأصل القومي، أو الإعاقة، أو حالة المخضرم، أو المعلومات الجينية، أو أي تصنيف آخر يحميها القانون ، ويدعو إلى “تقييمات الإنصاف الاستباقية” التي تضمن إمكانية الوصول للأشخاص ذوي الإعاقة.

المصدر: Jdsupra

تم وضع علامة:
شارك هذه المقالة
المقال السابق موسكو- تل أبيب وثائقي جديد
المقال التالي محاكمتان في لندن وباريس لشخصين من تنظيم داعش
ترك تقييم
Black Code
Play
Create Responsive
Websites
Mancon House
Play
Improving Your
Investments