संवेदनशील व्यक्तिगत डेटा पर कार्यकारी आदेश को तोड़ना

राष्ट्रपति बिडेन ने एक जारी किया कार्यकारी आदेश “अमेरिकियों के संवेदनशील व्यक्तिगत डेटा को चिंता वाले देशों द्वारा शोषण से बचाना।” संक्षेप में, यह आदेश कंपनियों को अमेरिकियों के संवेदनशील डेटा को अज्ञात “चिंता के देशों” में बेचने, साझा करने या स्थानांतरित करने से रोककर राष्ट्रीय सुरक्षा जोखिम को कम करने का प्रयास करता है, जैसा कि न्यूयॉर्क टाइम्स ने बताया है। रिपोर्टों चीन, रूस, ईरान, उत्तर कोरिया, क्यूबा और वेनेजुएला हैं।

चिंता के छह देशों तक सीमित होना इस बात की पुष्टि करता है कि यह उपभोक्ताओं के डेटा की सुरक्षा की तुलना में राष्ट्रीय सुरक्षा और प्रति-खुफिया के बारे में अधिक है। लेकिन राष्ट्रीय सुरक्षा का दृष्टिकोण नया है और संघीय गोपनीयता कानून को प्रेरित कर सकता है जो इस कार्यकारी आदेश से अधिक व्यापक है।

आदेश जोखिम के दो क्षेत्रों को संबोधित करता है

यह आदेश संवेदनशील डेटा को सामान्य संदिग्धों के रूप में परिभाषित करता है – जीनोमिक और बायोमेट्रिक डेटा, वित्तीय डेटा, व्यक्तिगत स्वास्थ्य डेटा – लेकिन इसमें जियोलोकेशन डेटा और “कुछ प्रकार की व्यक्तिगत पहचान योग्य जानकारी” भी शामिल है। कार्यकारी आदेश मजबूत डेटा गोपनीयता सुरक्षा की कमी को दो कोणों से जोखिम के रूप में बताता है:

1. एक राष्ट्रीय सुरक्षा जोखिम. आदेश में कई संदर्भ दिए गए हैं कि वाणिज्यिक डेटा दलाल और अन्य कंपनियां उपभोक्ता डेटा की इन श्रेणियों को कैसे बेच सकती हैं, जो अंततः विदेशी सरकारों, सेनाओं और खुफिया सेवाओं तक पहुंच सकती हैं। बदले में, आदेश का तर्क है, इस डेटा की बिक्री से “महत्वपूर्ण गोपनीयता, प्रतिवाद, ब्लैकमेल जोखिम और अन्य राष्ट्रीय सुरक्षा जोखिम” बढ़ जाते हैं।
2. नागरिक स्वतंत्रता खतरे में है. लक्षित डेटा खरीदने या डेटा एकत्र करने के प्रयासों से, चिंता वाले देश “कार्यकर्ताओं, शिक्षाविदों, पत्रकारों, असंतुष्टों, राजनीतिक हस्तियों और गैर-सरकारी संगठनों और हाशिए पर रहने वाले समुदायों के सदस्यों” से संबंधित संवेदनशील डेटा तक पहुंच सकते हैं। ब्लैकमेल और ऊपर उल्लिखित अन्य जोखिमों के साथ, यह संभावित रूप से बुरे अभिनेताओं को असंतुष्टों और प्रभावशाली आवाजों को डराने या चुप कराने का मौका दे सकता है, जिससे उनकी अभिव्यक्ति की स्वतंत्रता पर अंकुश लग सकता है।

बिडेन ने डेटा गोपनीयता और सुरक्षा संबंधी चिंताओं की तीव्र लहर का जवाब दिया

यह कार्यकारी आदेश उपभोक्ता डेटा पर चल रही जांच और कांग्रेस की सुनवाई की एक अप्रत्याशित प्रतिक्रिया है। पिछले साल कई अमेरिकी राज्यों में बायोमेट्रिक्स डेटा कानून लंबित थे, इलिनोइस के बायोमेट्रिक सूचना गोपनीयता अधिनियम से संबंधित दो ऐतिहासिक मामले, डेटा उल्लंघन 23और मैंऔर के महत्वपूर्ण उल्लंघन प्रमुख टेल्को कंपनियां (टी-मोबाइल, कॉमकास्ट, एटीएंडटी, वेरिज़ोन)।

रणनीतिक प्राथमिकता के रूप में गोपनीयता, सुरक्षा और जोखिम को दोगुना करें

कार्यकारी आदेश बिडेन प्रशासन द्वारा डेटा गोपनीयता और सुरक्षा और जोखिम को प्राथमिकता देने के बारे में एक महत्वपूर्ण संकेत भेजता है। यह व्यापक नहीं है, लेकिन यह सही दिशा में एक कदम है। कार्यकारी आदेश एक ट्रिकल-डाउन प्रभाव पैदा करते हैं, क्योंकि वे उन कंपनियों को प्रभावित करते हैं जो सरकार के साथ काम करते हैं और विक्रेताओं और उद्यमों के बीच परिवर्तन को प्रभावित करते हैं – जैसे कि 2021 में, बिडेन के साथ जीरो ट्रस्ट पर कार्यकारी आदेश. इस कार्यकारी आदेश के साथ, इन पर नज़र रखें:

• संवेदनशील व्यक्तिगत डेटा का नया विनियमन। आदेश में न्याय विभाग (डीओजे) से उपभोक्ताओं के संवेदनशील डेटा की सुरक्षा करने वाले नियम जारी करने का आह्वान किया गया है। यह डीओजे से सरकार से संबंधित संवेदनशील डेटा की बेहतर सुरक्षा करने का भी आह्वान करता है, जिसमें सेना के सदस्यों का डेटा और संवेदनशील साइटों पर जियोलोकेशन डेटा शामिल है। यह व्यापक प्रभाव पैदा करेगा क्योंकि डेटा ब्रोकर उस डेटा की संवेदनशीलता पर विचार करते हैं जिसे वे बेच रहे हैं और संभवतः भविष्य में पहुंच या बिक्री को प्रतिबंधित कर देंगे।
• आपके तृतीय-पक्ष पारिस्थितिकी तंत्र के साथ डेटा साझा करने के आपके पैरामीटर। आपकी कंपनी ग्राहकों, कर्मचारियों और साझेदारों के डेटा के लिए सीधे तौर पर ज़िम्मेदार है जो “चिंता के देशों” के हाथों में जाता है। उन सभी तृतीय-पक्ष संस्थाओं को सूचीबद्ध करें जिनके पास है इस डेटा तक पहुंचशामिल विपणन प्रौद्योगिकियाँएजेंसियां, और ओपन-सोर्स ऐप्स, और सुनिश्चित करें कि आपका संगठन आपके ग्राहकों और आपके ब्रांड की सुरक्षा के लिए तृतीय-पक्ष जोखिम प्रबंधन सर्वोत्तम प्रथाओं का पालन कर रहा है। ऐसे मामलों में जहां आप तीसरे पक्ष के साथ डेटा साझा कर रहे हैं, विश्वास अंतर को कम करने के लिए हमारे विश्वसनीय डेटा साझाकरण ढांचे का उपयोग करें।
• बच्चों के डेटा का आपका प्रबंधन। कार्यकारी आदेश का अंतिम वाक्य बच्चों की सुरक्षा की रक्षा करने की अनुमति देता है। 2023 में, शीर्ष 35 वैश्विक गोपनीयता का दुरुपयोग, जुर्माना और उल्लंघन हमने विश्लेषण कियाचार जुर्माने – कुल लगभग $424 मिलियन – डेटा संग्रह और प्रसंस्करण के लिए पारदर्शिता, नोटिस और सहमति की कमी के अलावा, बच्चों के डेटा के दुरुपयोग और प्रतिधारण से संबंधित हैं।
• विनियमों के रूप में आपकी आवश्यकताएं साइबर सुरक्षा उपायों को लागू करती हैं। यह आदेश निजी क्षेत्र में साइबर सुरक्षा आवश्यकताओं की आड़ में स्थापित की गई एक और उदाहरण है राष्ट्रीय सुरक्षा संबंधी चिंताएँ. जैसा कि प्रशासन “चिंताजनक देशों द्वारा पहुंच को रोकने के लिए उच्च सुरक्षा मानकों को स्थापित करने” के लिए काम करता है, संगठनों को इन मानकों को निजी क्षेत्र तक पहुंचने के लिए तैयार रहना चाहिए। जिन सरकारों के साथ कंपनियां जुड़ी हुई हैं, उन्हें सूचीबद्ध करना और उनमें से प्रत्येक क्षेत्र में डेटा को कैसे नियंत्रित और एक्सेस किया जाता है, यह महत्वपूर्ण है क्योंकि इस तरह के और भी ऑर्डर स्थापित किए गए हैं।
• निर्णय लेने के लिए आपके द्वारा जियोलोकेशन और आईपी पते का उपयोग। कई यूरोपीय देशों और कनाडा में जीपीएस और आईपी एड्रेस जियोलोकेशन, डिवाइस प्रतिष्ठा/फिंगरप्रिंटिंग और व्यवहारिक बायोमेट्रिक्स डेटा को व्यक्तिगत जानकारी माना जाता है। यह विपणन और बिक्री लक्ष्यीकरण उद्देश्यों के लिए उनके उपयोग पर रोक लगाता है लेकिन सुरक्षा और धोखाधड़ी प्रबंधन उद्देश्यों के लिए उनके उपयोग की अनुमति देता है। हम उम्मीद करते हैं कि यह कार्यकारी आदेश अमेरिकी कानून के लिए मार्ग प्रशस्त करेगा जो प्रति-उपयोग-मामले के आधार पर व्यक्तिगत जानकारी के अनुमत उपयोग और साझाकरण को निर्धारित करता है। यह देखा जाना बाकी है कि खुदरा विक्रेता, बैंक और अन्य फर्मों की लॉबी ऐसे कानून पर कैसे प्रतिक्रिया देती है।

इस कार्यकारी आदेश में जो दिखता है उससे कहीं अधिक है। हम इस आदेश के प्रभाव की निगरानी करना (और इसके बारे में ब्लॉग करना!) जारी रखेंगे। इस बीच, यदि आप गहराई से जानना चाहते हैं तो एक मार्गदर्शन सत्र स्थापित करें।