درحالیکه شمار زیادی از نمایندگان و سناتورهای دو حزب کنگره درحال تلاش برای تدوین و تصویب یک قانون جامع فدرال برای حریم خصوصی و حفاظت از داده هستند، مجالس ایالتی معطّل نمانده و بهسرعت درحال ارائۀ لوایح ایالتی هستند. میتوان ادعا کرد که هرچه لوایح ایالتی بیشتری به تصویب برسد، مسیر تصویب قانون فدرال دشوارتر میگردد؛ زیرا لوایح فدرال عموماً و بهطور خاص لایحۀ در دست بررسیِ قانون حریم خصوصی و حفاظت از دادۀ ایالات متحده[۱] موسوم به ADPPA حاوی مقرراتی است که اجراییشدن آن، قوانین ایالتی را تحتالشعاع قرار میدهد. قواعد و مقررات موجود در قانون فدرال حسب مورد ممکن است برخی از قواعد ایالتی که از پیش لازمالاجرا شدهاند را نسخ کند، برخی دیگر را صراحتاً تخصیص زده و یا بر عموم و اطلاق قواعد آن حکومت کند. ازاینرو، درصورتی که قوانین ایالتی متعددی به تصویب برسد، منافع ایالتهایی که قانون وضع کردهاند در ۱. عدم تصویب قانون فدرالی که مقررات ایالتی را به حاشیه رانده یا الغاء نماید ۲. محدود و حداقلی بودن مقررات فدرال بهمنظور عدم تداخل و تعارض با مقررات ایالتی خواهد بود. این تعارض منافع ایالتها و منافع ملّی نسبت وضع قانون جامع فدرال که تمامی ابعاد حریم خصوصی داده و اطلاعات و پیشرفتهای این حوزه را دربرگیرد، در عمل چالشهای تصویب قانون جامع ملّی را دوچندان نموده است.
انجمن بینالمللی متخصصین حریم خصوصی[۲] در تاریخ ۲۶ می ۲۰۲۳ تصویری از نقشۀ ردیابی قانونگذاری حریم خصوصی در ایالتهای آمریکا به همراه نمودار تحلیلی آن منتشر نمود. یادداشت حاضر به بررسی این تصویر و تأثیرات تصویب لوایح ایالتی بر قانونگذاری فدرال میپردازد.
نظم ایالتی حاکم بر مقررات حریم خصوصی و حفاظت از داده
تا تاریخ ۲۰ خرداد ۱۴۰۲ مقارن با ۱۰ ژوئن ۲۰۲۳، نُه ایالت آمریکا (همانطور که در تصویر دیده میشود) دارای قانون حریم خصوصی یا حفاظت از داده و اطلاعات هستند[۳]. ایالت کالیفرنیا اولین ایالتی است که در سال ۲۰۱۸ قانون حریم خصوصی مصرفکنندۀ کالیفرنیا[۴] را به تصویب رساند؛ این قانونِ پیشرو در ۱ ژانویۀ ۲۰۲۰ لازمالاجرا شد. کالیفرنیا افزون بر قانون مذکور در سال ۲۰۲۰ قانون حقوق حریم خصوصی کالیفرنیا[۵] را به تصویب رساند؛ این قانون در جهت اصلاح برخی از مقررات قانون حریم خصوصی مصرفکننده تدوین شد و طبق برنامۀ از پیش تعیینشده در ۱ ژانویۀ ۲۰۲۳ اجرایی شد؛ بااینحال در این قانون به کسبوکارها و نهادهای مشمول اجازه داده شده است که تا تاریخ ۱ جولای ۲۰۲۳ خود را با الزامات قانون وفق دهند. درحقیقت ضمانت اجراهای قانون مذکور بعد از این تاریخ قابل اعمال است.
ایالت ویرجینیا قانون حفاظت از دادۀ مصرفکننده[۶] را در سال ۲۰۲۱ به تصویب رساند. این قانون بهعنوان دومین قانون لازمالاجرای ایالتی همزمان با قانون حریم خصوصی کالیفرنیا که اصلاحی بر قانون پیشین این ایالت است در ۱ ژانویۀ ۲۰۲۳ اجرایی شد. در ایالت کلرادو همزمان با ویرجینیا قانون حریم خصوصی کلرادو[۷] در سال ۲۰۲۱ تصویب شد که از یک جولای ۲۰۲۳ اجرایی میشود. ایالت کنتیکت ملقب به ایالت قانون اساسی در سال ۲۰۲۲ قانون حریم خصوصی داده کانتیکت[۸] را به تصویب رساند. این قانون در ۱ جولای ۲۰۲۳ اجرایی میشود. ایالت یوتا در جنوب غربی آمریکا نیز در سال ۲۰۲۲ قانون حریم خصوصی مصرفکننده را به تصویب رساند که در ۳۱ دسامبر ۲۰۲۳ اجرایی میگردد. ایالت تِنسی نیز قانون حفاظت از اطلاعات[۹] خود را در سال جاری میلادی (۲۰۲۳) به تصویب رساند که در تاریخ ۱ جولای ۲۰۲۴ اجرایی میگردد. در ایالت مونتانا در سال ۲۰۲۳ قانون حفاظت از دادۀ مصرفکننده[۱۰] به تصویب رسید که در تاریخ ۱ اکتبر ۲۰۲۴ به اجرا در خواهد آمد.
آیووا در لیست فعلی هشتمین ایالتی است که قانون آن لازمالاجرا میگردد. این ایالت قانون حفاظت از دادۀ مصرفکننده[۱۱] را در سال جاری (۲۰۲۳) به تصویب رسانده است که از تاریخ ۱ ژانویۀ ۲۰۲۵ اجرایی خواهد شد. ایالت ایندیانا از حیث زمانبندیِ اجراییشدن مقررات ایالتی درحال حاضر آخرین ایالتی است که قانون مربوط به حریم خصوصی آن در میان قوانین موجود لازمالاجرا میشود. در این ایالت قانون حفاظت از دادۀ مصرفکننده[۱۲] در سال ۲۰۲۳ به تصویب رسیده و از تاریخ ۱ ژانویۀ ۲۰۲۶ اجرایی میشود. بااینحال ممکن است ایالاتی که در فرایند تصویب قانون هستند زمان لازمالاجرا شدنِ قوانین خود را مقدم بر زمانهای فوقالذکر مقرر نمایند و از این حیث بر ایالات متقدم پیشی گیرند.
افزون بر ایالتهای پیشگفته که هماکنون دارای قانون هستند، دو مجلس نمایندگان و سنای ایالت تگزاس نیز در تاریخ ۲۸ می ۲۰۲۳ مقارن با ۷ خرداد ۱۴۰۲ لایحۀ قانون حریم خصوصی داده و امنیت تگزاس[۱۳] را به تصویب رساندند[۱۴] و این مصوبه هماکنون بر روی میز فرماندار ایالت تگزاس آقای گِرگ اَبوت[۱۵] است تا با امضای وی به دهمین قانون ایالتی در این حوزه مبدل گردد. به غیر از این ده ایالت، سایر ایالات در تصویب لوایح جامع در حوزۀ حریم خصوصی و یا حفاظت از داده در سطح هر دو مجلس توفیقی نداشتهاند. بااینحال در میان ایالتهای اخیرالذکر، ایالت نیوهمپشایر گوی سبقت را از دیگران ربوده است. لایحۀ مربوط به توقع حریم خصوصی[۱۶] این ایالت در سال ۲۰۲۳ به تصویب مجلس سنا رسید و هماکنون درحال بررسی در کمیتههای مجلس نمایندگان است[۱۷].
نُه ایالت دیگر اعم از نیویورک، پنسیلوانیا، نیوجرسی، اوریگان، لوییزیانا، کارولینای شمالی، دلاویر، مِین و رودآیلند لوایحی در کمیسیونهای مجالس دارند[۱۸]. در ایالت ماساچوست نیز پنج لایحه در حوزۀ حریم خصوصی، حفاظت از داده و حقوق اینترنت تدوین و ارائه شده که هنوز در کمیسیونهای مجالس ایالتی به جریان درنیامده است[۱۹]. به استثنای این ۲۱ ایالت سایر ۲۹ ایالتِ آمریکا یا فاقد لایحۀ جامع ارائهشده هستند[۲۰] و یا لوایح ارائه شده آنها از دستورکار خارج شده است[۲۱].
جمعبندی
روند سریع تصویب لوایح ایالتی در سالهای ۲۰۲۱ تا ۲۰۲۳ احتمالا در شش ماه دوم سال جاری، همچنین سالهای پیشرو ادامه یابد. تا زمان ارائۀ لایحۀ فدرال ADPPA تنها قانون حریم خصوصی مصرفکنندۀ کالیفرنیا لازمالاجرا شده بود، ازاینرو مخالفت عمده با لایحۀ فدرال مذکور از سوی نمایندگان و سناتورهای کالیفرنیا همچنین آژانس حفاظت از حریم خصوصی کالیفرنیا انجام گرفت. حال اما علاوهبر دو قانون کالیفرنیا، قانون ویرجینیا نیز اجرایی شده و مقررۀ مربوط به حریم خصوصی ایالت کنتیکت نیز تا ابتدای ماه بعدی میلادی به اجرا در خواهد آمد. ازاینرو، پیشبینی میشود چالشهای تصویب قانون فدرال حریم خصوصی داده در ایالات متحده آمریکا رو به افزایش است.
