دشواریهای اروپا برای وضع قانون جدید حفاظت از اطلاعات
ندا لهردی – دنیای اقتصاد : کتابخانهها و باشگاههای کتابخوانی معمولا فضای مناسبی برای بحث و تبادل نظر درباره ادبیات و هنر هستند. اعضای DataKind -گروهی متشکل از داوطلبان برای کمک به موسسات خیریه هستند تا با استفاده از اطلاعات و دادهها خدماتشان را بهبود بدهند- در لندن دور هم جمع شدهاند تا روی یک پیشنویس حقوقی و قانونی مطالعه کنند. مقررات حفاظت از دادههای عمومی (GDPR) که قرار است روز بیست و پنجم ماه میبه اجرا دربیاید، قطعا پیچیدهترین بخش مقررات اتحادیه اروپاست که تا به حال وضع شده است. نسخه چاپی قطور این پیشنویس شامل ۹۹ مقاله و ۱۷۳ اظهارنظر مقدماتی است. «جیانفرانکو سیکونی» متخصص علوم داده که این مباحث را رهبری میکند، با دقت بخشی را که با مداد قرمز در آن حاشیهنویسی کرده است میخواند و بررسی میکند.
بعد از سالها مشورت و بررسی روی بهترین شیوه محافظت از اطلاعات و دادههای شخصی، اتحادیه اروپا قوانین سختگیرانهای را وضع کرده است. این قوانین وضع شدهاند تا کنترل بیشتری روی شیوه ذخیره و استفاده از اطلاعات به افراد بدهند و شرکتها را ملزم کنند تا از اطلاعات شخصی که از کاربرانشان در اختیار دارند، با دقت بیشتری محافظت کنند. اخیرا خبرهایی منتشر شد که نشان میداد شرکت Cambridge Analytica که یک شرکت مشاوره و پردازش دادههای سیاسی است، دستکم اطلاعاتی از کاربران فیسبوک را احتمالا به روش غیرقانونی بهدست آورده است. روز چهارم ماه آوریل فیسبوک که ابتدا تخمین زده بود تعداد این کاربران ۵۰ میلیون نفر بوده، این تخمین را به ۸۷ میلیون نفر افزایش داد و پذیرفت که احتمالا تعداد بسیار بیشتری هدف این شرکت قرار گرفتهاند. جیانفرانکو سیکونی در این تلاش برای بررسی مقررات حفاظت از دادههای عمومی، تنها نیست. ریشههای حساس و دقیق این مقررات جدید به ورای مرزهای اروپا هم میرسد. این قوانین درباره بنگاههای تجاری و سازمانهای سراسر جهان در صورتی که اطلاعات شخصی ساکنان اتحادیه اروپا را جمعآوری کرده یا پردازش کنند، هم اعمال میشود.
با این حال بسیاری از شرکتها علیه پیچیدگیهای این قانون جدید و بوروکراسی که به آنها تحمیل میکند، اعتراض کردهاند. انتقادات همچنین این موضوع را هم مطرح میکنند که GDPR یا مقررات حفاظت از دادههای عمومی مانع رشد نوآوری در اروپا خواهند شد. برای مثال، این قوانین توسعه خدمات وابسته به هوش مصنوعی -به خصوص آنهایی که اطلاعات ورودی اصلیشان است- را برای شرکتها بسیار مشکلتر میکنند. وقتی شرکتها یک محصول یا خدمت جدید را معرفی میکنند، احتمالا باید دوباره از افراد بپرسند که میتوانند از اطلاعات آنها حتی اگر قبلا آنها را ذخیره کرده باشند، استفاده کنند یا خیر. این در حالی است که مقررات GDPR در بعضی موارد اجازه استفاده از اطلاعات را برای اهداف علمی و تحقیقاتی بدون اجازه مجدد میدهد.
با این همه و در میان این انتقادات، واکنشهای مثبتی هم به این مقررات وجود دارند. جیانفرانکو سیکونی از گروه DataKind در این مورد میگوید: «پیشنویس این قانون واقعا بسیار ساده و قابل فهم است و این باعث میشود تا سازمانها و بنگاههای تجاری درست مثل ما درباره اطلاعاتی که در اختیار دارند، آگاهی پیدا کنند». «دانیل رز» وکیل شرکت آمریکایی Allscripts که به بیمارستانها و پزشکان برای مدیریت سوابق پزشکیشان کمک میکند، با این تحلیل موافق است. «ویکتور شونبرگر» از دانشگاه آکسفورد اما معتقد است که این قوانین دو وجه دارند؛ در حالی که باعث تحمیل هزینه میشوند، اما ساختاری و موثر هستند. این قوانین جدید اغلب توسط متخصصان آلمانی حریم خصوصی نوشته شدهاند. رضایت برای جمعآوری و پردازش اطلاعات شخصی حالا به الزام قابل پذیرش و برای اهداف خاص تبدیل شده و به این معناست که دسترسی به تمام اطلاعات باید با اجازه و رضایت افراد انجام شود و تنها عبارت «اطلاعات شما برای بهبود خدمات مورد استفاده قرار میگیرند» دیگر کافی نیست. تمام مراحل دسترسی به اطلاعات شخصی، نسخهبرداری از آنها، اصلاح یا حتی پاک کردن آنها باید با اجازه و رضایت خود فرد انجام بشود.
قوانین و مقررات GDPR در واقع چشمانداز آینده روش تعامل سازمانها با اطلاعات و دادههای شخصی افراد است. آنها باید یک ناظر حفاظت اطلاعات (DPO) را منصوب کنند، بازرسی که مستقیما به مقامات مدیریتی رده بالا گزارش میدهد و نمیتواند برای کاری که انجام میدهد جریمه شود. آنها باید به تمام جزئیات توجه کنند، چون فرآیند حفاظت از اطلاعات ارزیابیها و بررسیها را تحت تاثیر قرار میدهد. آنها همچنین باید روند پردازش اطلاعات را به دقت مورد بررسی قرار دهند تا بتوانند بر کار حفاظت از اطلاعات شخصی نظارت کرده و در صورت بروز نفوذ و رخنه به این اطلاعات، در طول ۷۲ ساعت مقامات را مطلع کنند. شرکتهایی که مصرانه از این قوانین و مقررات جدید سرپیچی کنند، با جریمههای سنگینی مواجه میشوند که به بیش از ۲۰ میلیون یورو (۲۵ میلیون دلار) یا ۴ درصد از فروش جهانی سالانهشان میرسد.
در نتیجه قوانین GDPR تضمین میکنند که تمام سازمانهایی که اطلاعات را جمعآوری و نگهداری میکنند، نمیتوانند به راحتی از آنها استفاده یا سوءاستفاده بکنند. در واقع جریمههایی که در این قوانین برای سازمانها و نهادهای سرپیچیکننده در نظر گرفته شده است، بسیار بیشتر از میزانی است که در قوانین ابتدایی در سال ۱۹۹۵ وضع شده بود. در حقیقت قوانین جدید ریسک سوءاستفادههای هرچند ناچیز از اطلاعات شخصی افراد را هم بالا برده و این موضوعی است که سازمانها و شرکتها نمیتوانند به سادگی آن را نادیده بگیرند. با این اوصاف است که بسیاری از مقامهای مسوول امنیت اطلاعات و حریم شخصی در شرکتها و سازمانها حالا تحت فشار قرار گرفتهاند و مسوولیت بیشتری به عهدهشان گذاشته شده است.
قوانین GDPR سازمانها را مجبور میکند تا فهرستی از اطلاعات شخصی که در اختیار دارند، تهیه کنند. در حالی که ذخیره اطلاعات بهصورت دیجیتالی ارزان و ارزانتر میشود، شرکتها اغلب صدها پایگاه داده در اختیار دارند که بسیاری از آنها سالهاست به فراموشی سپرده شده است. برای هماهنگی با این مقررات جدید شرکتها باید جدیتر درباره «سلامت دادهها»، شیوه حفاظت از آنها و اینکه اجباری برای ذخیره آنها ندارند، فکر کنند. برای مثال شرکت بزرگ Mastercard پورتالهایی برای مالکان کارتهای اعتباریاش ایجاد کرده است تا به وسیله آنها اطلاعاتی را که نگهداری میشوند، کنترل کند. «جوآن استونیر» مدیر ارشد حفاظت از دادههای شرکت Mastercard در این مورد میگوید: «تلاشها و اقداماتی از این قبیل باعث شده است که این شرکت بیشتر مراقب آنچه اطلاعات شخصی مشتریانش را تهدید میکنند، باشد». حالا گویا این ملاحظات در حال گسترش و همهگیر شدن است تا به این ترتیب فرآیند حفاظت از اطلاعات شخصی افراد به شکلی جدی و دقیقتر انجام شده و در نهایت رعایت این قوانین به شکلی خودکار و پیشفرض انجام شود.
منبع: اکونومیست