ارتفع عدد الولايات الأمريكية الفردية التي لديها تشريعات محلية لخصوصية البيانات في دفاتر قوانينها بسرعة في عام 2025، مع دخول تسع قوانين ولاية أخرى حيز التنفيذ هذا العام ومن المقرر أن تبدأ ثلاث ولايات أخرى – إنديانا وكنتاكي ورود آيلاند – في تطبيق قواعدها الخاصة في 1 يناير 2026.”http://iapp.org/resources/article/us-state-privacy-laws-overview/” الهدف=”_blank” rel=”noopener”>وفقًا لتقرير أعدته الرابطة الدولية لمحترفي الخصوصية (إياب).
منذ تقديم”https://www.techtarget.com/searchcio/definition/California-Consumer-Privacy-Act-CCPA” الهدف=”_blank” rel=”noopener”>قانون خصوصية المستهلك التاريخي في كاليفورنيا لعام 2020، تولى السياسيون في عواصم الولايات في جميع أنحاء الولايات المتحدة بفارغ الصبر عصا حماية البيانات، حيث قدمت كل من كولورادو وكونيتيكت ويوتا وفيرجينيا قوانين شاملة للخصوصية في عام 2023؛ ومونتانا وأوريجون وتكساس في عام 2024؛ وديلاوير وأيوا وميريلاند ومينيسوتا ونبراسكا ونيو هامبشاير ونيوجيرسي وتينيسي هذا العام.
وتناقش 16 ولاية أخرى حاليًا مشاريع قوانين شاملة تتعلق بالخصوصية، بما في ذلك الولايات ذات القوة الاقتصادية مثل ماساتشوستس ونيويورك.
يلتقط التقرير الناتج صورة متعمقة لكل من قوانين الخصوصية المنفصلة في كل ولاية، مع الهدف العام وهو تحديد الخطوط العريضة لكل ولاية لتقديم إرشادات أكثر فائدة للمؤسسات. لقد كان IAPP يتتبع بنشاط التعديلات على قوانين الخصوصية بالولاية – قامت كل من ولايات كونيتيكت ومونتانا وأوريجون بإجراء تغييرات خلال العام لتوسيع نطاق التطبيق وتعزيز حقوق المستهلك ووضع المزيد من التزامات العمل حول التحكم ومعالجة البيانات الشخصية، على سبيل المثال.
من أين تبدأ؟
قام موجي فازليوغلو، الباحث الرئيسي في IAPP، في قانون وسياسة الخصوصية، بتتبع هذه التطورات. ووصفت خليطًا متزايد التعقيد من الامتثال للمنظمات العاملة في الولايات المتحدة.
وقالت لمجلة Computer Weekly: “يمكن تقييم قابلية تطبيق قانون الخصوصية لكل ولاية أمريكية من خلال عملية متعددة الخطوات حيث أن كل قانون ولاية له نطاق فريد يعتمد على مجموعة متنوعة من الحدود”. “ترتبط هذه الحدود باختصاص الكيان وإيراداته وحجم معالجة البيانات الشخصية والإيرادات المستمدة من بيع البيانات الشخصية.”
وللتعمق أكثر في مدى اختلاف القوانين، توجد الآن خمس عتبات مختلفة في الولايات المتحدة لمعالجة البيانات الشخصية للمقيم. ولا تشمل هذه العتبة في نبراسكا وتكساس؛ 25000 أو أكثر من المستهلكين الفريدين في مونتانا؛ 35000 في كونيتيكت وديلاوير وماريلاند ونيو هامبشاير ورود آيلاند؛ 100.000 في كاليفورنيا وكولورادو وإنديانا وأيوا وكنتاكي ومينيسوتا ونيوجيرسي وأوريجان ويوتا وفيرجينيا؛ و 175000 في تينيسي. لذا، فإن أي منظمة تحتفظ ببيانات عن أي من سكان تكساس تصبح خاضعة للتطبيق، ولكن يجب أن تحتفظ ببيانات عن 0.6% من سكان ولاية ماريلاند، أو 3.3% من سكان ولاية ديلاوير الصغيرة.
ثم هناك عتبات لبيع البيانات الشخصية. هنا، مرة أخرى، نبراسكا وتكساس هما الأكثر صرامة، حيث تحكمان بأن التحكم في أي بيانات شخصية أو معالجتها أو بيعها يخضع لقوانين الخصوصية في الولاية، وإن كان ذلك مع استثناءات للشركات الصغيرة. وفي الوقت نفسه، في كاليفورنيا، تقع المؤسسات ضمن النطاق إذا كانت تتحكم في أي بيانات شخصية أو تعالجها وتستمد 50% أو أكثر من إيراداتها من بيع البيانات. تشمل كل من كولورادو ونيوجيرسي الحدود السكانية مرة أخرى – 25000 مستهلك فريد أو أكثر، وتحصل المؤسسات داخل النطاق على أي إيرادات أو خصم على سعر أي سلع أو خدمات من بيع البيانات الشخصية.
عندما يتعلق الأمر بالإعفاءات، فإن كل قانون من قوانين الولاية التسعة عشر يستبعد مختلف الكيانات وأنواع البيانات التي تحتفظ بها – والأكثر شيوعًا، الوكالات الحكومية والمؤسسات غير الربحية ومؤسسات التعليم العالي؛ والمنظمات الخاضعة بالفعل للتشريعات الوطنية والقطاعية،”https://www.techtarget.com/healthtechsecurity/feature/Key-HIPAA-compliance-considerations-for-agentic-AI-tools” الهدف=”_blank” rel=”noopener”> مثل قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA).
وتكثر الخلافات مرة أخرى. على سبيل المثال، لا تعفي قوانين كولورادو وديلاوير ومينيسوتا ومونتانا ونيوجيرسي وأوريجون المؤسسات غير الربحية. كاليفورنيا وماريلاند تعفيان المؤسسات غير الربحية ولكنهما لا تعفيان مؤسسات التعليم العالي، وهكذا. توجد فروق دقيقة حتى هنا – ولاية ديلاوير، على سبيل المثال، تعفي فقط بعض المنظمات غير الربحية ولا تنطبق قوانينها على تلك التي تتعامل مع البيانات التي تحتفظ بها المنظمات غير الربحية التي تعمل مع ضحايا إساءة معاملة الأطفال أو العنف المنزلي أو الاتجار بالبشر أو الاعتداء الجنسي. تعفي ولاية ماريلاند المجاورة أولئك الذين يقومون بمعالجة البيانات الشخصية أو مشاركتها لمساعدة المستجيبين الأوائل في حالات الطوارئ، أو جهات إنفاذ القانون التي تحقق في الاحتيال أو الجرائم المتعلقة بالتأمين.
عندما يتعلق الأمر بالتزامات الأعمال بموجب قوانين الخصوصية بالولاية، تطلب جميع الولايات من الكيانات الخاضعة للتنظيم تزويد المستهلكين بإشعارات الإفصاح عن ممارسات الخصوصية – تطلب كاليفورنيا ذلك عند نقطة التجميع، وتفرض جميع ولايات رود آيلاند ويوتا قيودًا على الحد الأدنى والغرض من جمع البيانات أو معالجتها. وهذا عادةً ما يقيد جمع بيانات المستهلك واستخدامها والاحتفاظ بها ومشاركتها بما هو مناسب وذو صلة وضروري بشكل معقول. تتطلب معظم الولايات – باستثناء آيوا ويوتا – ذلك”https://www.techtarget.com/searchcio/definition/data-protection-impact-assessment-DPIA” الهدف=”_blank” rel=”noopener”> تقييمات تأثير حماية البيانات (DPIAs)، ولكن في ديلاوير وإنديانا وفيرجينيا، تكون تقييمات DPIA مطلوبة خصيصًا للإعلانات المستهدفة أو بيع البيانات الشخصية أو التصنيف الفردي.
وبطبيعة الحال، تتطلب جميع الدول الموافقة على معالجة البيانات الحساسة، ولكنها تحدد مرة أخرى فئات مختلفة من البيانات على أنها حساسة. تغطي معظم قوانين الولاية مجموعة بيانات قياسية مألوفة لدى معظم الأشخاص، وتصنف بيانات الأطفال والبيانات المتعلقة بالخلفية العرقية والدين والتوجه الجنسي على أنها حساسة. ومع ذلك، فإن بعض الولايات تذهب إلى أبعد من ذلك، حيث تعترف ميريلاند وأوريغون أيضًا بالمعلومات المتعلقة بالأصل القومي باعتبارها معلومات حساسة، في حين تتضمن خمس ولايات – كونيتيكت وديلاوير وميريلاند ونيوجيرسي وأوريجون – بيانات قد تكشف عن حالة الفرد باعتباره غير ثنائي أو متحول جنسيًا.
في الوقت نفسه، لدى ماريلاند القانون الوحيد على مستوى الولاية الذي لا يصنف بيانات الصحة العقلية أو الجسدية على أنها حساسة، في حين أن كاليفورنيا تحرث ثلمًا فريدًا وتصنف المعتقدات الفلسفية كفئة محمية، وتحمي الوجوديين، والوضعيين المنطقيين، والعدميين، والرواقيين على حد سواء.
أخيرًا، وبالانتقال إلى حقوق المستهلك في الوصول إلى البيانات الموجودة عليه وتصحيحها وحذفها، فإن الأمور أبسط قليلاً ولكن لا تزال هناك اختلافات يجب أخذها في الاعتبار. في جميع الولايات، يمكن للمستهلكين الوصول إلى البيانات وتصحيحها وحذفها – باستثناء ولاية أيوا، حيث لا يمكنهم تصحيحها؛ وإنديانا، حيث لا يمكنهم تصحيح ذلك إلا إذا قدموه في المقام الأول.
أوجه التشابه مع اللائحة العامة لحماية البيانات
قد تميل المنظمات التي تعمل خارج المملكة المتحدة أو الاتحاد الأوروبي إلى النظر في الممارسات والمبادئ التي تم وضعها بالفعل بموجب”https://www.computerweekly.com/opinion/GDPRs-7th-anniversary-in-the-AI-age-privacy-legislation-is-still-relevant” الهدف=”_blank” rel=”noopener”>اللائحة العامة لحماية البيانات (GDPR) كدليل مفيد للمتاهة المتنامية من القواعد والشروط والاستثناءات في الولايات المتحدة.
ومع ذلك، قال فازليوغلو إنه في حين أن متطلبات الأنظمة الأمريكية المختلفة المتعلقة بحقوق المستهلك، وتقليل البيانات، والحد من غرض جمع البيانات ومعالجتها، وما إلى ذلك، قد تبدو مألوفة لدى المنظمات المتوافقة بالفعل مع القانون العام لحماية البيانات (GDPR) للوهلة الأولى، يجب على متخصصي خصوصية البيانات أن يكونوا حذرين من استنتاج الكثير من هذا، وسيكون من الخطأ الفادح الاعتماد بشكل كبير عليها.
وقالت: “كما نعلم في عالم الخصوصية والحوكمة الرقمية، يتطلب العمل المتعلق بالامتثال رسم خريطة مستمرة للمشهد الحالي ومراقبة التغييرات وإجراء التحديثات والتعديلات اللازمة”. “عندما يتعلق الأمر بالتداخل بين اللائحة العامة لحماية البيانات وقوانين الخصوصية في الولايات المتحدة، هناك الكثير مما يجب تحديده وتقييمه وترجمته وأخذه في الاعتبار. لا توجد قائمة مرجعية أو صيغة بسيطة لتأكيد التوافق… تحتاج المؤسسات إلى فحص مدى قانون الخصوصية لكل ولاية وتقييم ما إذا كانت ممارساتها الحالية كافية.”
وقال فازليوغلو إن فهم نطاق وخصوصية كل قانون، بما في ذلك فئات البيانات الحساسة أو كيفية تعريف المصطلحات المختلفة مثل “البيع”، أمر بالغ الأهمية.
وقالت إنه على الرغم من أن هذا قد يبدو معقدًا ومرهقًا، إلا أن التفاعل بين القوانين والمجالات المختلفة واللائحة العامة لحماية البيانات قد يفيد المستهلكين في نهاية المطاف. وقالت: “إنه يشجع على الاهتمام بشكل أعمق بمفترق الطرق بين حماية المستهلك والتقنيات الناشئة”.
القوانين الفيدرالية موضوع للنقاش
بالتوازي مع سن التشريعات على مستوى الولاية في الولايات المتحدة، تتواصل الدعوات إلى واشنطن العاصمة لطرح قانون فيدرالي للخصوصية. في حين أن المراقبين البريطانيين والأوروبيين غير الغارقين في التقاليد السياسية الأمريكية قد يشعرون بطبيعة الحال بالميل إلى تفضيل معيار وطني لحماية البيانات، فإن هذا ليس مطلبًا بسيطًا بالنسبة للنظام الفيدرالي الأمريكي.
قال فضل أوغلو: “إنه مفضل للبعض وغير مفضل للآخرين”. “على سبيل المثال، خلال المناقشات حول قانون حقوق الخصوصية الأمريكي لعام 2024 وقانون خصوصية وحماية البيانات الأمريكية لعام 2023، لاحظنا ردود فعل مختلفة من مجموعات مختلفة – فقد أيد البعض مشاريع القوانين هذه لتبسيط المشهد، بينما أكد البعض الآخر على خطر إضعاف الحماية التي تقدمها المجالس التشريعية للولايات حاليًا.”
يتتبع IAPP التطورات في هذا الصدد، ويدرس القضايا الخلافية مثل الشراكة بين الحزبين، وحق العمل الخاص، والشفعة. وقال فازليوغلو إنه كان من الصعب التنبؤ بما إذا كان القانون الفيدرالي يمكن أن يتقدم عبر الكونجرس الأمريكي أم لا، ولكن من خلال تحليل المحاولات السابقة، من الممكن أن نرى أن القوانين التي تتضمن حق العمل الخاص وبنود الشفعة يمكن أن تؤثر على قدرة مشروع القانون على جذب دعم الديمقراطيين والجمهوريين.
وأضاف فازلي أوغلو: “السؤال ليس فقط ما إذا كان تشريع الخصوصية الفيدرالي هو الأفضل، ولكن أيضا ما إذا كان مثل هذا القانون يجب أن يعمل كسقف أو أرضية. ويزعم أنصار الشفعة أن القانون الفيدرالي يجب أن يكون بمثابة سقف – تحديد معيار موحد يطغى على قوانين الولايات. وفي المقابل، يعتقد مؤيدو الحفاظ على قوانين الخصوصية في الولايات أن القانون الفيدرالي يجب أن يكون بمثابة حد أدنى – وهو الحد الأدنى من المعايير التي يمكن للولايات البناء عليها”.
ولهذا السبب، قال فازليوغلو، إنه من المهم النظر في تطورات قانون الخصوصية على مستوى الولاية وعلى المستوى الفيدرالي من أجل رؤية الصورة الكاملة. وقالت: “أعتقد أن ديناميكيات الولايات الفيدرالية تؤثر على بعضها البعض. لذا، في حين أنه من غير المؤكد ما إذا كنا سنرى قانونًا فيدراليًا للخصوصية، أتوقع استمرار المناقشات على المستوى داخل الولاية وبين الأطر الفيدرالية والولائية. وستستمر هذه المحادثات معًا في تشكيل النهج الأمريكي تجاه قانون وسياسة الخصوصية في السنوات القادمة”.
اقرأ المزيد عن الخصوصية وحماية البيانات
- “https://www.computerweekly.com/rms/onlineimages/security_a218339023_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/rms/onlineimages/security_a218339023_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/rms/onlineimages/security_a218339023.jpg 1280w” البديل>
مستشفى ميريلاند يتعرض لهجوم Ransomware
بواسطة: جيل ماكيون
- “https://www.computerweekly.com/rms/onlineimages/folder-files08_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/rms/onlineimages/folder-files08_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/rms/onlineimages/folder-files08.jpg 1280w” البديل>
ما الذي يميز HIEs عن أدوات البيانات الصحية (HDUs)؟
بواسطة: هانا نيلسون
- “https://www.computerweekly.com/rms/onlineimages/security_a386211215_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/rms/onlineimages/security_a386211215_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/rms/onlineimages/security_a386211215.jpg 1280w” البديل>
جمع بيانات TikTok والعلاقات مع الصين تحفز الحظر
بواسطة: ماكنزي هولاند
- “https://www.computerweekly.com/rms/onlineimages/code_g1304896250_searchsitetablet_520X173.jpg” srcset=”https://www.computerweekly.com/rms/onlineimages/code_g1304896250_searchsitetablet_520X173.jpg 960w,https://www.computerweekly.com/rms/onlineimages/code_g1304896250.jpg 1280w” البديل>
الولايات تدرس قوانين سلطة الممارسة الكاملة للممرض الممارس
“https://www.computerweekly.com/rms/onlineImages/heath_sara.jpg” البديل=”SaraHeath”>
بواسطة: سارة هيث