Önde gelen bir teknoloji ve insan hakları grubu, Ottawa’nın işletmelerin Kanadalıların kişisel verilerini nasıl toplayıp kullandığını düzenleyen federal mevzuatı elden geçirmeye yönelik ikinci girişiminin hala özel sektörü kayırdığını söylüyor.
Toronto Üniversitesi Vatandaş Laboratuvarı bugün kritik bir analiz yayınladı Önerilen Tüketici Mahremiyetini Koruma Yasası’nın (CPPA, C-27 olarak da bilinir), adından da anlaşılacağı gibi “özel bireylerin ve toplulukların verilerinin ekonomi ve benzer şekilde toplum yararına kullanılmasına” izin verdiğinden şikayet ederek: tüketicileri korumak.
Rapor, federal mahremiyet komiserinin yetki ve sorumluluklarının genişletilmesi; Komisere, suçlu olduğu iddia edilen kişileri özel bir mahkemeye götürmek yerine, eylemi ihlal ettiği için para cezası verme yetkisi verilmesi; tanımlanmamış ve anonim veriler arasında önerilen ayrımdan kurtulmak; kişilerin rızası olmadan veri toplayan işletmelere tanınan muafiyetlerin kaldırılması; ve Yerli gruplara veri egemenliği vermek.
C-27’nin ifadelerinde önerilen 19 değişiklik var, bu da grubun hükümetin Kanadalılara mahremiyet hakkı vererek başlayarak her şeye yeniden başlaması gerektiğini söylemesine yetecek kadar.
Ortak yazar Christopher Parsons bir röportajda, “Yasanın geri çekilip yeniden getirilmesinin en iyisi olacağını düşünüyoruz” dedi.
“Muhtemelen hükümet bunu yapmayacak,” diye itiraf etti, bu nedenle tavsiyelerin amacı “olabildiğince çok keskin kenarı ortadan kaldırmaktır.”
“Hükümetin ticari ve sosyal açıdan faydalı kullanımlarını mümkün kılmak için neler yapılabileceğini görmesine izin vermek anlamına geliyor. [personal] hükümetin eğilimli göründüğü veriler, aynı zamanda mevzuatın şu anda yazılma şekline bağlı olarak gelebilecek en kötü zararlardan bazılarını hafifletmeye çalışıyor.
Parsons, “Mevzuatın prensipte mahremiyet düşünülerek tasarlandığını düşünmüyorum” diye ekledi. “Mevzuata ilişkin analizimiz, bunun çok kasıtlı olarak iş dünyasına çok dost olacak ve bilgi ekonomisinin hizmetinde kişisel bilgilerin serbest akışını sağlayacak şekilde tasarlandığını gösteriyor.”
Citizen Lab analizi, geçen ay yayınlanan bir raporu takip ediyor kar amacı gütmeyen Dijital Haklar Merkezi tarafından, C-27’nin “sadece genişlemekle kalmayıp [business] gözetleme, vatandaşların mahremiyetini şirket kârlarının önünde bir engel olarak ele alıyor.”
Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasasını (PIPEDA) güncellemeyi amaçlayan CPPA, Haziran ayında yeniden tanıtıldı. Liberal hükümet bunu ilk kez 2020’de C-11 olarak tanımlandığında önerdi. Ancak, o zamanki Gizlilik Komiseri Daniel Therrien’in eleştirileri ve Eylül 2021 federal seçim çağrısı karşısında öldü. Eleştirilere rağmen, yeniden seçilen hükümet CPPA’yı büyük ölçüde 2020 versiyonuyla aynı bıraktı. PIPEDA’nın, şirketleri Kanadalılara mahremiyet hakkı vermek yerine mahremiyet ilkelerine uymaya mecbur eden çerçevesini devam ettiriyor.
Hükümet, mahremiyetin korunmasının öneminden bahsedildiğine karşı çıkıyor yasanın önsözünde.
C-27, ayrıntılı inceleme için bir komiteye havale edilmeden önce Avam Kamarasında ikinci kez okunuyor. Tasarının hangi komiteye gideceği belli değil: Bir Muhafazakârın başkanlık ettiği Etik ve Mahremiyet Komitesi’ne mi, yoksa bir Liberalin başkanlık ettiği Endüstri komitesine mi? Yıl sonundan önce bir komiteye gidebilir.
C-27, yapay zeka uygulamalarının kullanımını düzenleyen bir yasa tasarısı da dahil olmak üzere önerilen üç mevzuattan oluşur, ancak Citizen Lab raporu yalnızca CPPA ile ilgilenir.
İlgili içerik: CPPA hakkında daha fazla bilgi
Tasarının sponsoru olan İnovasyon Bakanı François-Philippe Champagne, 4 Kasım’da Parlamento’ya yaptığı bir konuşmada, yasanın “Kanada Gizlilik Komiserine önemli ölçüde daha fazla yetki vererek, Kanadalıların, özellikle de reşit olmayanların verilerini daha iyi koruyarak Kanadalılar için mahremiyet korumasını güçlendireceğini” söyledi. ve Kanada kuruluşlarını verileri sorumlu bir şekilde kullanırken yenilik yapmaya teşvik etmek için net bir kurallar dizisi oluşturmak.”
Muhafazakar Rick Perkins yanıt olarak, “Gizlilik temel bir insan hakkıdır. Bu yasa tasarısında tanınması gerekir, ancak değildir.” Muhafazakar Ryan Williams, C-27’nin “gizliliği düzgün bir şekilde korumak için büyük yeniden yazımlara ve değişikliklere ihtiyacı olduğunu” söyleyerek daha da ileri gitti.
Liberal azınlık hükümetinin C-27’yi değiştirmeden geçirecek oylara sahip olup olmadığı henüz belli değil. Liberaller, hükümeti 2025’e kadar güven ve para faturaları konusunda desteklemek için NDP ile bir anlaşma yaptı. Anlaşmanın NDP destekli C-27’yi içerip içermediğine dair herhangi bir haber yok. Muhafazakarlar C-27’de büyük değişiklikler talep ederse, Yeni Demokratlar tarafından desteklenip desteklenmeyecekleri veya tam tersi bilinmiyor. Bu iki tarafın ortaklığı, Liberallerin değişikliklere yönelik itirazlarını geçersiz kılabilir.
Citizen Lab raporu, büyük ölçüde şirketlerin mobil cihazlardan veri toplama, kullanma ve ifşa etme sorunlarıyla ilgileniyor. Temel telekomünikasyon cihazları olarak akıllı telefonları, dizüstü bilgisayarları ve tabletleri giderek daha fazla kullanan bireylerle, bu veriler işletmeler ve hükümetler için değerlidir.
Rapor şu konulara odaklanıyor: Geçen Aralık ayında patlak veren kamuoyu tartışması Telus ve BlueDot adlı bir veri analitiği firmasının, virüsün nasıl ve nereye yayıldığını anlamaya yardımcı olmak için COVID-19 salgınının başlarında Kanada Halk Sağlığı Kurumuna kimliği belirsiz veriler ve toplu veriler verdiği haberi çıktığında. Raporda, kimlik bilgileri kaldırılan ve belirli şekillerde bir araya getirilen verilerin muhtemelen yeniden tanımlanamayacağı belirtiliyor.
Citizen Lab, veri toplamanın PIPEDA kapsamında muhtemelen yasal olduğunu savunuyor, ancak Ottawa, Telus ve BlueDot’un kişisel verilerinin yeniden kullanımı konusunda bireylerden anlamlı bir onay almasını sağlayamadı.
Citizen Lab, CPPA değiştirilmezse bunun tekrar olacağını savunuyor. Parsons’a göre endişe, başka bir hükümetin özel sektör hareketlilik verilerini alması (veya satın alması) ve kaç kadının aile sağlığı merkezlerine gittiği gibi daha müdahaleci şeyleri öğrenmek için kullanmasıdır.
Rapor, “Hareketlilik bilgileri son derece hassas olabilir” diyor. “Bireylerin ve toplulukların yaşam kalıplarını ortaya çıkarabilir ve katılımcıların kendileri farkına varmadan derneksel eğilimleri ortaya çıkarabilir.”
Raporun şikayetleri arasında, CPPA’nın anonim verilerin korunması (kişilerin yeniden kimliğinin tespit edilememesi için kişisel tanımlayıcılardan arındırılmış veriler) ile kimlik bilgileri kaldırılmış veriler (kişilerin ele geçirilmesine izin verecek daha az katı bir şekilde işlenen veriler) arasında bir ayrım yapması yer alıyor. yeniden tanımlandı). Anonimleştirilmiş veriler CPPA kapsamında olmayacaktır. Şirketler, kimlik bilgileri kaldırılmış verileri işlerken CPPA’nın korumalarına uymak zorunda kalacaktı – ancak bazı durumlarda işletmelerin bunları anonimleştirilmiş veriler olarak ele almasına izin veren istisnalar olabilir. Citizen Lab, bu muafiyetlerin kaldırılması gerektiğini söylüyor.
Rapora göre kaldırılması gereken bir diğer muafiyet, bir kuruluşun, sağlık, kamu tesislerinin veya altyapının iyileştirilmesi gibi “sosyal açıdan yararlı bir amaç” için yapılırsa, kimlik bilgileri kaldırılan verileri bir devlet kurumuna ifşa etmesine izin verecek bir muafiyettir. çevrenin korunması, “veya öngörülen başka herhangi bir amaç”.
Rapora göre, hükümet bununla devam etmek istiyorsa, her bireye söylenmeli ve çekilme seçeneği sunulmalı ve federal gizlilik komiseri ifşayı onaylamalı.
CPPA, bir işletmenin, bir kişinin kişisel bilgilerini, kişinin bilgisi veya açık rızası olmadan toplayabileceğini veya kullanabileceğini, eğer firmanın “birey üzerindeki potansiyel olumsuz etkilerden daha ağır basan” meşru bir menfaatinin olduğu bir faaliyet içinse, kişisel bilgiler sürece, toplayabileceğini veya kullanabileceğini önermektedir. kişinin davranışlarını veya kararlarını etkilemek amacıyla toplanmaz veya kullanılmaz. Citizen Lab, bu durumda insanlara söylenmesi ve vazgeçme hakkı verilmesi gerektiğini söylüyor.
CPPA, bir işletme tarafından toplanan kişisel verilerin paylaşılmasının belirli koşullar altında kabul edilebilir olduğunu söylüyor. Önerilen mevzuat, kişisel bilgilerin hassasiyeti ve amaçların temsil edip etmediği de dahil olmak üzere üç faktörün dikkate alınması gerektiğini söylüyor.
kuruluşun meşru iş ihtiyaçları. Citizen Lab, firmaların yeni bir faktörü dikkate almaları gerektiğini öneriyor: Şirket, bilgideki mahremiyet menfaatinin hassasiyetinin ve “türetilebilecek kaliteyi etkileyen çıkarımların hassasiyeti” olarak adlandırdığı şeyin bir analizini yapmalıdır. veya kişisel bilgilerle ilişkili.”
Ve bir firma, topladığı kişisel bilgilerin yeni bir amaçla ifşa edileceğini tespit ederse, kullanılmadan önce kişilerden onay yükümlülüğünü yenilemek zorundadır.
Son olarak, CPPA, gizlilik komisyoncusu yanlış bir davranış tespit ettikten sonra bireylere firmaları yasayı ihlal ettikleri için dava etme hakkı verirken, Citizen Lab, komisyon üyesinin bir rapor yayınlaması biraz zaman alabileceği için koşulun kaldırılması gerektiğini söylüyor.
Kaynak : https://www.itworldcanada.com/article/proposed-privacy-law-lets-personal-data-be-exploited-by-canadian-firms-citizen-lab/514607