ما قانون خصوصية المستهلك في كاليفورنيا (CCPA)؟

منظر من زاوية عالية لسد في الغابة السوداء

ما قانون خصوصية المستهلك في كاليفورنيا (CCPA)؟

قانون كاليفورنيا للمستهلكين للخصوصية (CCPA) هو قانون ولاية كاليفورنيا الذي صدر في عام 2020 والذي يحمي حقوق سكان كاليفورنيا فيما يتعلق بخصوصية المعلومات الشخصية للمستهلكين (PI) ويضمن تنفيذها.

ففي العالم الرقمي، يقدر مسؤولو التسويق بيانات المستهلكين بالذهب، مدركين لقيمتها المحتملة الهائلة. ولكن، على الرغم من رغبات الشركات في استخراج البيانات، هناك حركة متنامية تؤكد على أن المستهلكين الذين تجري دراستهم بواسطة هذه البيانات يجب أن يكون لهم رأي في كيفية استخدام أو عدم استخدام المعلومات التي أنشؤوها.

وفي كاليفورنيا، تحولت أهداف تلك الحركة إلى قانون، من خلال تطبيق قانون خصوصية المستهلك في كاليفورنيا (CCPA). وقد وجه ضربة قوية لصالح حقوق المستهلك والأمن السيبراني من خلال منح ولاية كاليفورنيا إطار العمل لتطبيق قوانين خصوصية البيانات ولوائحها. حيث يوفر لسكان كاليفورنيا إمكانية اللجوء إلى الحق في اتخاذ إجراءات قانونية، بهدف المطالبة بالتعويض عن عمليات اختراق أمن البيانات.

تعزيز الذكاء الأمني لديك  

ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.  

حقوق المستهلك وحمايته وفقًا لقانون قانون خصوصية المستهلك في كاليفورنيا (CCPA)

صُممت إرشادات قانون خصوصية المستهلك في كاليفورنيا (CCPA) لمنح مستهلكي كاليفورنيا مجموعة من الحقوق التي تتعامل صراحة مع خصوصية البيانات الشخصية وتوفر لهم ضمانات أمنية معقولة. تشمل هذه الحقوق قدرة سكان كاليفورنيا على تقديم طلبات مستهلكين بخصوص بياناتهم. يمكن أن تتضمن هذه الطلبات كيفية:

منع بيع معلوماتهم الشخصية إلى شركات تابعة لجهات خارجية (أي الحق في منع إعادة البيع) من خلال إصدار ما يسمى بتوجيه "عدم بيع معلوماتي الشخصية"
طلب الحصول على بيانات حول أي معلومات شخصية تم جمعها (الحق في الوصول)
طلب حذف جميع البيانات التي تم جمعها عن ذلك المستهلك (الحق في النسيان)

تتأكد وكالة حماية الخصوصية في كاليفورنيا (CPPA) من أن سكان كاليفورنيا يتمتعون أيضًا بإجراءات حماية وتعلمهم بتغييرات البيانات التي تؤثر فيهم بطريقة مناسبة. كما تفرض قواعد لمكافحة التمييز التي تنص على عدم إخضاع الأشخاص أو معاقبتهم بأي شكل من الأشكال لأنهم يختارون ممارسة هذه الحقوق.

Mixture of Experts | 12 ديسمبر، الحلقة 85

فك تشفير الذكاء الاصطناعي: تقرير إخباري أسبوعي

انضمّ إلى نخبة من المهندسين والباحثين وقادة المنتجات وغيرهم من الخبراء وهم يقدّمون أحدث الأخبار والرؤى حول الذكاء الاصطناعي، بعيدًا عن الضجيج الإعلامي.

شاهد جميع حلقات برنامج Mixture of Experts

ما فئات المعلومات الشخصية الخاضعة للتنظيم؟

على الرغم من أن معظم المستهلكين لديهم فكرة عامة عما يعنيه مصطلح "البيانات الشخصية"، فإن العبارة يمكن أن تعني أشياء مختلفة لأشخاص مختلفين، وأشياء أكثر بكثير مما كان متصورًا في البداية.

في سياق قانون خصوصية المستهلك في كاليفورنيا (CCPA)، تُعرَّف البيانات الشخصية بأنها "المعلومات التي تحدد مستهلكًا أو أسرة معينة أو تتعلق بهما أو تصفهما أو يمكن نسبتها إليهما، بطريقة مباشرة أو غير مباشرة، بصورة معقولة."¹

تغطي إرشادات قانون خصوصية المستهلك في كاليفورنيا (CCPA) هذه الأمثلة المحددة للبيانات الشخصية:

الاسم
العنوان
رقم الهاتف
عنوان البريد الإلكتروني
عنوان IP
تاريخ الميلاد
رقم الضمان الاجتماعي
رقم رخصة القيادة
رقم جواز السفر
معلومات الحساب المصرفي
أرقام بطاقات الائتمان أو بطاقات الخصم
بيانات التعليم وبيانات الاعتماد

يجد المسوقون أن البيانات الشخصية تصبح أكثر قيمة عند دمج كل نوع من المعلومات من خلال تحليلات البيانات. ويمكنهم استخدامها لإنشاء رؤى مركبة لمستهلكين معينين أو مجموعات من المستهلكين. ويمكنهم أيضًا استخلاص استنتاجات أوسع نطاقًا حول اتجاهات التسويق الاستهلاكي، على سبيل المثال. يمكن أن تكون بعض الأنواع الأخرى من المعلومات الشخصية التي تجمع بصورة روتينية كاشفة، بما في ذلك:

تفضيلات التسوق للمستهلك
سجلات التصفح الشخصية
المعتقدات الشخصية الواضحة
السلوكيات الشخصية المحددة

هناك مجال آخر مثير للقلق يتعلق بملفات تعريف الارتباط وكيفية استخدامها كمعرفات فريدة من قِبل مواقع الويب. يتضمن ذلك ملفات تعريف الارتباط للطرف الأول، والتي صُممت لحذف نفسها بمجرد انتهاء غرض عملها. وهناك ملفات تعريف الارتباط التابعة لجهات خارجية، والتي لا تحذف نفسها تلقائيًا. تحتوي ملفات تعريف الارتباط التابعة لجهات خارجية على وظيفة جمع أنواع مختلفة من البيانات الشخصية، بما في ذلك المعلومات الشخصية الحساسة.

نظرًا إلى احتمال إساءة استخدام مواقع الويب لملفات تعريف الارتباط التابعة لجهات الخارجية، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يعتبر البيانات المجمعة عبر موقع إلكتروني من خلال استخدام ملفات تعريف الارتباط معلومات شخصية (PI) ومن ثَمَّ تستحق الحماية.

إستراتيجيات الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA)

لا تتعامل معظم المؤسسات المتأثرة مع الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA) كخطوة واحدة بل كعملية بأكملها. غالبًا ما ينطوي الجزء الأول من هذه العملية على تحول في طريقة التفكير بما يراعي المستهلك، وإدراك أن احتياجات الخصوصية الخاصة به مهمة وأن له حقوقًا قابلة للتنفيذ.

يتضمن الحفاظ على الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA) دعم مختلف المستهلكين في كاليفورنيا من خلال تزويدهم بخيارات حول كيفية إدارة جرد بياناتهم الشخصية (بما في ذلك اختيارات الاشتراك). كما أنه يعني أيضًا مواكبة أي تغييرات تطورية في قانون خصوصية المستهلك في كاليفورنيا (CCPA) من أجل مواكبة التقنية الجديدة (مثل القياسات الحيوية) ومراجعة سياسات قانون خصوصية المستهلك في كاليفورنيا (CCPA).

يتطلب الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA) مجموعة من الخطوات التي قد تتطلب ستة أشهر أو حتى عامًا لتحقيقها بالكامل. ومع ذلك، فإن كلاً منها يؤدي دورًا حيويًا في تحقيق الامتثال لقانون خصوصية المستهلك في كاليفورنيا (CCPA). (نظرًا إلى أنه يمكن تنفيذ متطلبات امتثال معينة في وقت واحد، فإننا نستخدم في الخطوات التعداد النقطي وليس الرقمي).

تحديد موقع جميع بيانات العميل

تتمثل الخطوة الأولى في الحصول على فكرة دقيقة عن البيانات التي يجب جمعها، بالإضافة إلى فهرسة مواقعها المختلفة. وتتعلق هذه البيانات بكل من بيانات المستهلكين "الخارجية" المجمعة من المستهلكين خارج الشركة وبيانات المستهلكين المجمعة "داخليًا" من موظفي الشركة والمتقدمين للوظائف.

حماية جميع البيانات المجمعة

من الضروري الحفاظ على مكان آمن لحفظ جميع البيانات الشخصية المجمعة، سواء كانت من المستهلكين أو المتقدمين للوظائف. هناك أيضًا بنود إضافية تتعلق بحماية المعلومات المجمعة من القاصرين.

تنبيه المستهلكين بأنه قد تم جمع بياناتهم

يجب إصدار بيان "إشعار عند الجمع" لجميع المستهلكين (أو حتى الموظفين في الشركة والباحثين عن عمل). والأهم من ذلك، أنه يجب إرسال إشعار الخصوصية هذا قبل أو في وقت بدء أنشطة جمع البيانات—وليس بعد أن تكون قد بدأت بالفعل.

وضع سياسة خصوصية للشركة والإعلان عنها

تضع معظم المؤسسات الآن سياسة بيانات خاصة ومفصلة لشركتهم، وتنشرها على موقعهم الإلكتروني.

تحديد كيفية إدارة طلبات بيانات المستهلكين

من المهم أيضًا تكوين وسيلة فعالة ومناسبة زمنيًا للتعامل مع أي طلبات تتعلق بمعلومات المستهلك.

تقييد كمية المعلومات الشخصية المجمعة بما هو مطلوب فقط

يجب وضع قواعد لتقليل البيانات إلى الحد الأدنى وتنفيذها لضمان جمع المؤسسة الحد الأدنى من المعلومات الشخصية اللازمة لتحقيق غرض معين. يجب على المؤسسات أيضًا النظر في المخاطر المحتملة التي قد يتعرض لها المستهلكون في حال اختراق البيانات المجمعة وتنفيذ التدابير الوقائية المناسبة (على سبيل المثال، الحذف التلقائي للبيانات المجمعة بعد استخدامها).

إبقاء الجميع على اطلاع دائم

يتمثل أحد الجوانب الرئيسية لتحقيق الامتثال في التأكد من أن مديري الشركة وجميع الموظفين على دراية بمتطلبات قانون خصوصية المستهلك في كاليفورنيا (CCPA)، وخاصة المتطلبات التي تؤثر في نطاق عملهم مباشرة. يمكن إبقاء الجميع على اطلاع بالمستجدات من خلال جلسات تدريبية وندوات عبر الإنترنت.

البقاء على اطلاع بمستجدات قانون خصوصية المستهلك في كاليفورنيا (CCPA)

غالبًا ما تكون القوانين واللوائح عرضة للتغيير والتعديل. (وخضع قانون خصوصية المستهلك في كاليفورنيا نفسه لمثل هذه التعديلات قبل إعادة إطلاقه في عام 2023). ومن ثَمَّ، من الجيد أن تظل على اطلاع دائم بمستجدات قانون خصوصية المستهلك في كاليفورنيا (CCPA).

إنفاذ قانون خصوصية المستهلك في كاليفورنيا (CCPA) وعقوبات عدم الامتثال

تُعد وساطة البيانات—وهي شراء البيانات الشخصية وبيعها—مجالاً مزدهرًا، حيث قدر الخبراء قيمته بنحو 240 مليار دولار أمريكي عالميًا في عام 2021. ومن المتوقع أن يتضاعف هذا المبلغ تقريبًا ليصل إلى أكثر من 450 مليار دولار أمريكي سنويًا بحلول نهاية العقد.²

ويجب حماية أي شيء ذي قيمة مثل البيانات بشدة. وبناءً على ذلك، فإن وكالة حماية الخصوصية في كاليفورنيا (CPPA) مخولة بالتأثير في الأداء المالي للشركات التي تنتهك قانون خصوصية المستهلك في كاليفورنيا (CCPA). وتُحدَّد عقوبات قانون خصوصية المستهلك في كاليفورنيا (CCPA) بمعدل منخفض نسبيًا يبلغ 2500 دولار أمريكي للمخالفات غير المقصودة أو 7500 دولار أمريكي للانتهاك المتعمد. تجدر الإشارة إلى أن عقوبات قانون خصوصية المستهلك في كاليفورنيا (CCPA) هذه تنطبق على جريمة واحدة فقط، مثل اختراق أمن البيانات الذي يشمل شخصًا واحدًا.

لكن الحقيقة هي أن اختراقات أمن البيانات نادرًا ما تشمل طرفًا واحدًا متأثرًا. وبدلاً من ذلك، فهي عادةً ما تكون أحداثًا جماعية تتضمن الآلاف أو حتى مئات الآلاف من المستهلكين. لذا، إذا ضاعفت غرامات قانون خصوصية المستهلك في كاليفورنيا (CCPA) في عدد كبير من سكان كاليفورنيا، فقد تجد نفسك تحسب عقوبات ضخمة.

يوفر قانون خصوصية المستهلك في كاليفورنيا (CCPA) للشركات المخالفة طريقة للتخلص من دفع هذه الغرامات الباهظة، من خلال منح الجناة فترة سماح مدتها 30 يومًا لتصحيح الخطأ الذي ارتكبوه. إذا تمكن الجاني من تعزيز تدابير الأمن الخاصة به و"حل" المشكلة في غضون شهر، فيمكن عندئذٍ التنازل عن رسوم العقوبة. بالطبع هذه الشركات ملزمة ماليًا بتسوية مثل هذه المخالفات، ولكن قد يكون ذلك صعبًا أو حتى مستحيلاً في بعض الحالات. ذلك لأن الجرائم مثل اختراق أمن البيانات غالبًا ما تتضمن الكشف عن البيانات وهو أمر لا يمكن تداركه

أخبار واتجاهات قانون خصوصية المستهلك في كاليفورنيا (CCPA) الأخيرة

يستمر نطاق قانون خصوصية المستهلك في كاليفورنيا (CCPA) في التوسع والتطور من أجل مواكبة النمو الهائل للتقنية، مثل إنترنت الأشياء (IoT).

على سبيل المثال، أعلنت وكالة حماية الخصوصية في كاليفورنيا (CPPA) مؤخرًا عن توجه جديد يركز على —المركبات "المتصلة" (CVs) المجهزة بآليات جمع البيانات. تمتلك المركبات الحديثة وسائل لجمع كمية شاملة من المعلومات عن السائق بالإضافة إلى بيانات تحديد الموقع الجغرافي ونقل تلك البيانات. يوجد في كاليفورنيا أكثر من 35 مليون سيارة مسجلة، ما يجعلها مهمة ضخمة. ولكن وفقًا للمدير التنفيذي لوكالة حماية الخصوصية في كاليفورنيا (CPPA)، فإنها تُعد ضرورة تتطلب الاهتمام.

صرح Ashkan Soltani في شهر يوليو عام 2023 أن "المركبات الحديثة هي في الواقع أجهزة كمبيوتر متصلة مزودة بعجلات". "يمكنها جمع قدر كبير من المعلومات عبر التطبيقات المدمجة، والحساسات، والكاميرات، والتي يمكنها مراقبة الأشخاص داخل المركبة وبالقرب منها."³

وتجدر الإشارة إلى عبارة "بالقرب من المركبة". فهي تعني أن حماية البيانات لا تقتصر على السائق فحسب، بل أيضًا على التخطيط المستمر والأشخاص والعمليات أي شخص قد يكون راكبًا في تلك المركبة وحتى الأفراد الذين يسيرون بالقرب منها. يمكن للكاميرات الموجودة على متن المركبات التقاط صور لحظية لهؤلاء الأشخاص.

يبدو هذا الإعلان مهمًا أيضًا لأنه يظهر استخدام قانون خصوصية المستهلك في كاليفورنيا (CCPA) لسلطته لحماية البيانات الشخصية التي يولدها إنترنت الأشياء (IOT)، في هذه الحالة، من المركبات المتصلة. قد يكون الإعلان أكثر أهمية إذا أشار إلى نية الوكالة في إصدار أحكام في عدد متزايد من القضايا المتعلقة بإنترنت الأشياء (IOT) في السنوات القادمة.

قانون خصوصية المستهلك في كاليفورنيا (CCPA) في مقابل اللائحة العامة لحماية البيانات (GDPR)

عندما سنّ الاتحاد الأوروبي (EU) اللائحة العامة لحماية البيانات (GDPR) في مايو 2018، أطلق الاتحاد الأوروبي (EU) أكثر إطار عمل استباقي ممكن لحماية المعلومات الشخصية و/أو معلومات المستهلك. أصبح قانون خصوصية المستهلك في كاليفورنيا (CCPA) معروفًا بأنه أكثر سياسات خصوصية البيانات صرامة في الولايات المتحدة. لذا يرغب بعض المراقبين في معرفة كيفية مقارنة المعيارين.

بوجه العموم، المعياران متشابهان إلى حد كبير. كل من اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA):

يسترشد بغريزة حماية المواطن وتمكينه
يمنح المستهلك الحق في الاعتراض على البيانات التي تم جمعها وتصحيحها، إذا كانت البيانات التي تم جمعها خاطئة
يمنح المستهلك الحق في الوصول إلى معلوماته الشخصية أو تغيير مكانها أو (في حالة اختيار ذلك) محوها نهائيًا
يطالب بإخطار المستهلكين شخصيًّا في حالة انتهاك أمن بياناتهم التي تم جمعها

وهناك أيضًا اختلافات. تتضمن اللائحة العامة لحماية البيانات (GDPR) متطلبات تحويل عبر الحدود ليست ضرورية في ولاية كاليفورنيا بمفردها. وبالمثل، فإن قانون خصوصية المستهلك في كاليفورنيا (CCPA) يطبق قيودًا على بيع المعلومات الشخصية (PI)، وهو ما لا تفعله اللائحة العامة لحماية البيانات.

ومع ذلك، لا تزال أوجه التشابه بين اللائحة العامة لحماية البيانات وقانون خصوصية المستهلك في كاليفورنيا (CCPA) تفوق أوجه الاختلاف. يواجه كلا المعيارين تحديات مع المخاطر المرتبطة بالجهات الخارجية. ينشأ هذا التحدي عندما تستعين إحدى الشركات بشركات خارجية لإدارة بياناتها الشخصية بصورة أساسية. يجب أن تكون تلك الشركة التابعة لجهة خارجية جاهزة وقادرة قانونيًا على تحمل المسؤوليات نفسها المستندة إلى قانون خصوصية المستهلك في كاليفورنيا (CCPA) للمعلومات الشخصية (PI). هذه هي المسؤوليات نفسها التي تكبدتها الشركة الأصلية بعد جمع البيانات المعنية أو شرائها في الأصل. يتطلب كل من قانون خصوصية المستهلك في كاليفورنيا (CCPA) واللائحة العامة لحماية البيانات (GDPR) من الشركات مشاركة فئة الأطراف الثالثة التي تشارك المعلومات معها، وما هي المعلومات التي تشاركها مع كل منها، ولماذا.

تشترك لائحة GDPR وقانون خصوصية المستهلك في كاليفورنيا (CCPA) أيضًا في سمة رئيسية أخرى—وهي القدرة على معاقبة مزودي الخدمات والشركات الأخرى التي ترتكب مخالفات عدم الامتثال. وقد أظهروا مؤخرًا هذه القدرة بطريقة دراماتيكية من خلال فرض أكبر غرامة مالية تتعلق بخصوصية البيانات على الإطلاق.

في مايو عام 2023، فرضت لجنة حماية البيانات الأيرلندية (DPC) غرامة قياسية قدرها 1.2 مليار يورو (حوالي 1.3 مليار دولار أمريكي) ضد Meta (Facebook سابقًا). وكانت هذه الغرامة بسبب استخدام البيانات الأوروبية بصورة غير قانونية داخل شركاتها الأمريكية، والتي تشمل Instagram.

تقرير تكلفة خرق البيانات لعام 2025

وصلت تكاليف اختراق أمن البيانات إلى مستوى مرتفع جديد. احصل على أحدث الرؤى حول تهديدات الأمن السيبراني وتأثيراتها المالية على المؤسسات.

الموارد

تعرف على سبب تصنيف KuppingerCole لشركة IBM كشركة رائدة

يقدِّم تقرير منصات أمن البيانات من KuppingerCole إرشادات وتوصيات للعثور على منتجات حماية البيانات الحساسة وإدارتها التي تلبي احتياجات العملاء بشكل أفضل.

IBM X-Force® threat intelligence index 2025

احصل على رؤى للاستعداد والاستجابة للهجمات الإلكترونية بسرعة وفاعلية أكبر باستخدام IBM X-Force Threat Intelligence Index.

الأثر الاقتصادي الكلي لحماية بيانات Guardium®

اكتشف الفوائد وعائد الاستثمار لحل IBM® Security Guardium لحماية البيانات في هذه الدراسة التي أجرتها شركة Forrester حول التأثير الاقتصادي الكلي (TEI).

Gartner® Market Guide for AI TRiSM

يمكنك الوصول إلى تقرير Gartner® هذا لتتعرف على كيفية إدارة قائمة الذكاء الاصطناعي بالكامل، وتأمين أعباء عمل الذكاء الاصطناعي من خلال الضوابط، والحد من المخاطر، وإدارة عملية الحوكمة لتحقيق الثقة في الذكاء الاصطناعي لجميع حالات استخدامه في مؤسستك.

التنقل بين المشهد التنظيمي والتأثير في حماية البيانات وتخزينها

تعرَّف على استراتيجيات تبسيط وتسريع خارطة طريق مرونة البيانات الخاصة بك مع الالتزام بأحدث متطلبات الامتثال التنظيمي.

وسِّع مهاراتك من خلال البرامج التعليمية الأمنية المجانية

اتَّبِع خطوات واضحة لإكمال المهام وتعرَّف على كيفية استخدام التقنيات بفاعلية في مشاريعك.

ما المقصود بإدارة الهوية والوصول؟

تُعَد إدارة الهوية والوصول (IAM) أحد مجالات الأمن الإلكتروني وهي تختص بالتحكم في وصول المستخدمين وأذونات الموارد.

الحواشي

¹ "4 أنواع من البيانات الشخصية ضمن قانون خصوصية المستهلك في كاليفورنيا (CCPA)،" Eric Andrews، موقع securiti

² "توقعات سوق وسطاء البيانات لعام 2031،" سوق وسطاء البيانات، موقع Transparency Market Research

³ "وكالة CPPA ستراجع ممارسات الخصوصية المتعلقة بالمركبات المتصلة والتقنيات ذات الصلة،" ورد في 23 يوليو 2023 على موقع وكالة حماية الخصوصية في كاليفورنيا