19 ديسمبر 2023
خصوصية البيانات، والتي تسمى أيضًا "خصوصية المعلومات"، وهو المبدأ الذي ينص على ضرورة أن يتحكم الشخص في بياناته الشخصية، بما في ذلك القدرة على تحديد كيفية جمع المؤسسات للبيانات وتخزينها واستخدامها.
تجمع الشركات بانتظام بيانات المستخدمين، مثل العنوان والبيانات الحيوية وأرقام بطاقات الائتمان. بالنسبة للمؤسسات العاملة في اقتصاد البيانات هذا، فإن دعم خصوصية البيانات يعني اتخاذ خطوات مثل الحصول على موافقة المستخدم قبل معالجة البيانات، وحماية البيانات من سوء الاستخدام، وتمكين المستخدمين من إدارة بياناتهم بفعالية.
لدى العديد من المؤسسات التزام قانوني تجاه دعم حقوق خصوصية البيانات بموجب قوانين مثل اللائحة العامة لحماية البيانات (GDPR). حتى في حالة عدم وجود تشريع رسمي لخصوصية البيانات، قد تستفيد المؤسسات من تبني استخدام تدابير الخصوصية. يمكن لنفس الممارسات والأدوات التي تحمي خصوصية المستخدم أن تدافع عن البيانات والأنظمة الحساسة من المخترقين الخبيثين.
خصوصية البيانات مقابل أمن البيانات
خصوصية البيانات وأمن البيانات تخصصان منفصلان، لكنهما مرتبطان. كلاهما عنصران أساسيان في استراتيجية إدارة البيانات الأوسع نطاقًا لأي شركة.
تركز خصوصية البيانات على الحقوق الفردية لأصحاب البيانات، أي المستخدمين الذين يمتلكون البيانات. بالنسبة إلى المؤسسات، فإن ممارسة خصوصية البيانات هي مسألة تنفيذ سياسات وعمليات تسمح للمستخدمين بالتحكم في بياناتهم وفقًا للوائح خصوصية البيانات ذات الصلة.
يركز أمن البيانات على حماية البيانات من الوصول غير المصرح به وسوء الاستخدام. بالنسبة إلى المؤسسات، فإن ممارسة أمن البيانات هي إلى حد كبير مسألة نشر عناصر التحكم لمنع المخترقين والتهديدات الداخلية من العبث بالبيانات.
يعزز أمن البيانات خصوصية البيانات من خلال ضمان أن الأشخاص المناسبين فقط هم من يمكنهم الوصول إلى البيانات الشخصية للأسباب الصحيحة. تعزز خصوصية البيانات أمن البيانات من خلال تحديد "الأشخاص المناسبين" و "الأسباب الصحيحة" لأي مجموعة من البيانات.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
في العديد من المؤسسات، يتم الإشراف على خصوصية البيانات من قبل فريق متعدد التخصصات يضم ممثلين من الإدارة القانونية وإدارات الامتثال وتكنولوجيا المعلومات والأمن السيبراني. تقوم هذه الفرق بصياغة سياسات إدارة البيانات التي تحكم كيفية جمع مؤسساتهم للبيانات الشخصية واستخدامها وحمايتها في ضوء حقوق خصوصية المستخدمين. كما تصمم عمليات للمستخدمين لممارسة حقوقهم وتنفيذ عناصر التحكم الفنية لتأمين البيانات.
يمكن للمؤسسات استخدام مجموعة متنوعة من أُطر عمل خصوصية البيانات لتوجيه سياسات خصوصية البيانات الخاصة بها، بما في ذلك إطار عمل الخصوصية الصادر عن المعهد الوطني للمعايير والتكنولوجيا (NIST)1 ومبادئ الممارسة العادلة للمعلومات.2 علاوة على ذلك، تعتمد تفاصيل الإستراتيجية الخاصة بإدارة البيانات لأي مؤسسة بشكل كبير على قوانين الخصوصية التي يجب على الشركة الامتثال لها، إن وجدت.
ومع ذلك، هناك بعض مبادئ خصوصية البيانات العامة التي تظهر في معظم أُطر العمل واللوائح التنظيمية. هذه المبادئ توجه السياسات والعمليات وعناصر التحكم المتعلقة بخصوصية البيانات لدى العديد من المؤسسات.
يحق للمستخدمين معرفة البيانات التي تحتفظ بها الشركة. يجب أن يكون المستخدمون قادرين على الوصول إلى بياناتهم الشخصية عند الطلب. يجب أن يكونوا قادرين على تحديث تلك البيانات أو تعديلها حسب الحاجة.
للمستخدمين الحق في معرفة من يملكون بياناتهم وماذا يفعلون بها. في مرحلة جمع البيانات، يجب على المؤسسة أن تعلن بوضوح تام ما تقوم بجمعه من بيانات وكيف تنوي استخدامها. بعد جمع البيانات، يجب على المؤسسة إبقاء المستخدمين على علم بالتفاصيل الرئيسية لمعالجة البيانات، بما في ذلك أي تغييرات في كيفية استخدام البيانات وأي جهات خارجية تتم مشاركة البيانات معها.
داخليًا، يجب على المؤسسة الاحتفاظ بمخزون محدث دائمًا لجميع البيانات التي تحتفظ بها. يجب تصنيف البيانات على أساس النوع ومستوى الحساسية ومتطلبات الامتثال وغيرها من العوامل ذات الصلة. يجب تطبيق سياسات التحكم في الوصول والاستخدام بناءً على هذه التصنيفات.
يجب أن تحصل المؤسسات على موافقة المستخدم على تخزين البيانات أو جمعها أو مشاركتها أو معالجتها كلما أمكن ذلك. إذا احتفظت مؤسسة ما بالبيانات الشخصية أو استخدمتها دون موافقة الشخص المعني، يجب أن يكون لديها سبب مقنع للقيام بذلك، مثل الاستخدام للمصلحة العامة أو بموجب التزام قانوني.
يجب أن يكون لدى أصحاب البيانات طريقة لرفع الشكاوى بشأن طريقة معالجة بياناتهم أو الاعتراض عليها. يجب أن يكونوا قادرين على سحب موافقتهم في أي وقت.
يجب أن تسعى المؤسسات إلى ضمان دقة البيانات التي تجمعها وتحتفظ بها. يمكن أن يؤدي عدم الدقة إلى انتهاكات للخصوصية. على سبيل المثال، إذا كان لدى إحدى المؤسسات عنوان قديم في الملف، فقد ترسل مستندات حساسة عن طريق الخطأ إلى الشخص الخطأ.
يجب أن يكون للمؤسسة غرض محدد لأي بيانات تجمعها. وينبغي أن تبلغ هذا الغرض للمستخدمين وأن تستخدم البيانات لهذا الغرض فقط. يجب على المؤسسة أن تجمع فقط الحد الأدنى من البيانات اللازمة لغرضها المعلن وأن تحتفظ بالبيانات فقط حتى يتم تحقيق هذا الغرض.
يجب أن تكون الخصوصية هي الحالة الافتراضية لكل نظام وعملية داخل المؤسسة. يجب أن تتعامل أي منتجات تقوم المؤسسة بتصميمها أو تنفيذها مع خصوصية المستخدم كميزة أساسية واهتمام رئيسي. يجب أن يتم جمع البيانات ومعالجتها بمبدأ الموافقة على الاشتراك وليس إلغاء الاشتراك. يجب أن يمتلك المستخدمون القدرة على التحكم في بياناتهم في كل خطوة.
يجب على المؤسسات تنفيذ العمليات وعناصر التحكم التي من شأنها حماية سرية وسلامة بيانات المستخدم.
على مستوى العملية، يمكن للمؤسسات اتخاذ خطوات مثل تدريب الموظفين على متطلبات الامتثال والعمل فقط مع البائعين ومقدمي الخدمات الذين يحترمون خصوصية المستخدم.
على مستوى عناصر التحكم الفنية، يمكن للمؤسسة استخدام عدد من الأدوات لحماية البيانات. يمكن لحلول إدارة الهوية والوصول (IAM) فرض نهج التحكم في الوصول المستند إلى الأدوار بحيث يمكن للمستخدمين المصرح لهم فقط الوصول إلى البيانات الحساسة. يمكن أن تمنع إجراءات المصادقة الصارمة مثل تسجيل الدخول الموحد (SSO) والمصادقة متعددة العوامل (MFA) المخترقين من اختطاف حسابات المستخدمين الشرعيين.
يمكن لأدوات منع فقدان البيانات (DLP) اكتشاف البيانات وتصنيفها؛ ومراقبة الاستخدام؛ ومنع المستخدمين من تغيير البيانات أو مشاركتها أو حذفها بشكل غير ملائم. يمكن أن تساعد حلول النسخ الاحتياطي للبيانات والأرشفة المؤسسات على استعادة البيانات المفقودة أو التالفة.
قد تستخدم المؤسسات أيضًا أدوات أمن البيانات المصممة خصيصًا للامتثال للوائح التنظيمية. غالبًا ما تتضمن هذه الأدوات ميزات مثل التشفير، والتطبيق المؤتمت للسياسات، ومسارات التدقيق التي تتتبع جميع أنشطة البيانات ذات الصلة.
تجمع المؤسسات متوسطة الحجم اليوم كمية هائلة من بيانات المستهلكين. تقع على عاتق المؤسسة مسؤولية ضمان خصوصية هذه البيانات - ليس من منطلق طيبة قلوبهم، ولكن من باب الامتثال التنظيمي والوضع الأمني والميزة التنافسية.
الامتثال التنظيمي
تعترف مؤسسات مثل الأمم المتحدة3 بالخصوصية كحق أساسي من حقوق الإنسان، وقد تبنت العديد من الدول لوائح الخصوصية التي تكرس هذا الحق في القانون. تأتي معظم هذه اللوائح مع عقوبات قاسية لعدم الامتثال.
تُعد اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) أحد أكثر قوانين خصوصية البيانات شمولاً في العالم. فهي تضع قواعد صارمة يجب على أي شركة - داخل أو خارج أوروبا - اتباعها عند معالجة بيانات المقيمين في الاتحاد الأوروبي. يمكن تغريم المخالفين بغرامة تصل إلى 20 مليون يورو أو 4% من الإيرادات العالمية للشركة.
وتطبّق الدول خارج الاتحاد الأوروبي متطلبات تنظيمية مماثلة، بما في ذلك اللائحة العامة لحماية البيانات في المملكة المتحدة، وقانون حماية المعلومات الشخصية والوثائق الإلكترونية في كندا (PIPEDA)، وقانون حماية البيانات الشخصية الرقمية في الهند.
ليس لدى الولايات المتحدة أي قوانين فيدرالية لحماية البيانات تتمتع بالشمولية التي تتمتع بها اللائحة العامة لحماية البيانات، ولكن لديها بعض التشريعات الأكثر استهدافًا. قانون حماية خصوصية الأطفال على الإنترنت (COPPA) يضع قواعد لجمع ومعالجة البيانات الشخصية للأطفال دون سن 13 عامًا. يغطي قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) كيفية تعامل مؤسسات الرعاية الصحية ذات الصلة مع المعلومات الصحية الشخصية.
يمكن أن تكون العقوبات بموجب هذه القوانين كبيرة. في عام 2022، على سبيل المثال، تم تغريم شركة Epic Games رقماً قياسياً قدره 275 مليون دولار أمريكي بسبب انتهاكات قانون حماية خصوصية الأطفال على الإنترنت (COPPA).4
يوجد في الولايات المتحدة أيضًا لوائح خصوصية على مستوى الولاية مثل California Consumer Privacy Act (CCPA)، والذي يمنح المستهلكين في كاليفورنيا مزيدًا من التحكم في كيفية معالجة بياناتهم وتوقيت معالجتها. في حين أن California Consumer Privacy Act (CCPA) (قانون خصوصية المستهلك في كاليفورنيا) ربما يكون هو أكثر قوانين الخصوصية شهرة على مستوى الولاية، إلا أنه كان نواة لقوانين أخرى، مثل قانون حماية بيانات المستهلك في فرجينيا (VCDPA) وقانون الخصوصية في كولورادو (CPA).
الموقف الأمني
تجمع المؤسسات اليوم كميات هائلة من معلومات التعريف الشخصية (PII)، مثل أرقام الضمان الاجتماعي للمستخدمين وتفاصيلهم المصرفية. تُعد هذه البيانات هدفًا للمخترقين، الذين قد يستخدمونها لسرقة الهوية أو سرقة الأموال أو بيعها على الشبكة الخفية.
بالإضافة إلى ذلك، فإن الشركات لديها بيانات حساسة خاصة بها قد يسعى المخترقون وراءها، مثل الملكية الفكرية أو البيانات المالية.
بحسب تقرير تكلفة اختراق أمن البيانات 2023 الصادر عن IBM، فإن متوسط تكلفة اختراق أمن البيانات على الشركة يصل إلى 4.45 مليون دولار أمريكي. تساهم العديد من العوامل في هذا الثمن، بما في ذلك فرص الأعمال التجارية الضائعة بسبب فترة التعطل وتكاليف اكتشاف اختراق أمن البيانات ومعالجته.
يمكن للعديد من الأدوات التي تدعم خصوصية البيانات أن تُقلل أيضًا من خطر الاختراقات وتُعزز وضع الأمن السيبراني العام. على سبيل المثال، تُساعد حلول إدارة الهوية والوصول (IAM) التي تمنع الوصول غير المصرح به في إيقاف المخترقين إلى جانب تطبيق سياسات الخصوصية. غالبًا ما تتمكن أدوات أمن البيانات من اكتشاف الأنشطة المشبوهة التي قد تُشير إلى احتمالية وجود هجوم إلكتروني قيد التنفيذ، مما يُمكّن فريق الاستجابة للحوادث من العمل بشكل أسرع.
وبالمثل، يمكن للموظفين والمستهلكين الدفاع عن أنفسهم ضد بعضٍ من أخطر هجمات الهندسة الاجتماعية باتباع أفضل ممارسات حماية البيانات. غالبًا ما يتصفح المحتالون تطبيقات التواصل الاجتماعي بحثًا عن بيانات شخصية يمكنهم استخدامها في حيل اختراق البريد الإلكتروني للشركات (BEC) والتصيد الاحتيالي. من خلال تقليل مشاركة المعلومات وإغلاق حساباتهم، يمكن للمستخدمين قطع الطريق على المحتالين من مصدرٍ قويٍّ للذخيرة.
الميزة التنافسية
إن احترام حقوق خصوصية المستخدمين قد يمنح المؤسسة في بعض الأحيان ميزة تنافسية.
قد يفقد المستهلكون الثقة في الشركات التي لا تحمي بياناتهم الشخصية بشكل كاف. على سبيل المثال، تعرضت سمعة فيسبوك لضربة كبيرة في أعقاب فضيحة Cambridge Analytica.5 غالباً ما يكون المستهلكون أقل استعداداً لمشاركة بياناتهم القيمة مع الشركات التي فشلت في احترام الخصوصية في الماضي.
وعلى العكس من ذلك، فإن الشركات التي تتمتع بسمعة طيبة في حماية خصوصية البيانات قد يكون من الأسهل عليها الحصول على بيانات المستخدمين والاستفادة منها.
علاوة على ذلك، في الاقتصاد العالمي المترابط، غالباً ما تتدفق البيانات بين المؤسسات. قد ترسل مؤسسة ما البيانات الشخصية التي تجمعها إلى قاعدة بيانات سحابية للتخزين أو شركة استشارية للمعالجة. يمكن أن يساعد اعتماد مبادئ وممارسات خصوصية البيانات المؤسسات على حماية بيانات المستخدم من إساءة الاستخدام حتى عند مشاركة هذه البيانات مع جهات خارجية. بموجب بعض اللوائح، مثل اللائحة العامة لحماية البيانات (GDPR)، تكون المؤسسة مسؤولة قانوناً عن ضمان الحفاظ على أمن البيانات بواسطة البائعين ومقدمي الخدمات التابعين لها.
أخيرًا، قد تُشكّل تقنيات الذكاء الاصطناعي التوليدي الجديدة تحديات كبيرة تتعلق بخصوصية البيانات. فأي بيانات حساسة تُغذّى بها هذه الأنظمة قد تُصبح جزءًا من بيانات تدريب الأداة، وقد لا تتمكن المؤسسة من التحكم في كيفية استخدامها. على سبيل المثال، سرّب مهندسو سامسونج، دون قصد، مصدر رمز برمجي خاص عن طريق إدخاله في ChatGPT لتحسينه.6
بالإضافة إلى ذلك، إذا لم تحصل المؤسسة على إذن من المستخدمين لتشغيل بياناتهم من خلال الذكاء الاصطناعي التوليدي، فقد يشكل ذلك انتهاكًا للخصوصية بموجب لوائح معينة.
يمكن لسياسات وعناصر التحكم في خصوصية البيانات الرسمية أن تساعد المؤسسات على اعتماد أدوات الذكاء الاصطناعي هذه وغيرها من التقنيات الجديدة دون خرق القانون أو فقدان ثقة المستخدم أو تسريب معلومات حساسة عن طريق الخطأ.
الموارد
الحواشي
1 NIST Privacy Framework, NIST.
2 Fair Information Practice Principles, Federal Privacy Council.
(3 ) الإعلان العالمي لحقوق الإنسان، الأمم المتحدة.
4 صانعة لعبة الفيديو Fortnite، Epic Games، تدفع أكثر من نصف مليار دولار بسبب مزاعم لجنة التجارة الفيدرالية (FTC) بانتهاكات الخصوصية والرسوم غير المرغوب فيها، لجنة التجارة الفيدرالية، 19 ديسمبر 2022.
5 ملفات Cambridge Analytica، جريدة The Guardian.
6 مفاجأة، قام موظفو سامسونجبتسريب أسرار تجارية عن طريق الخطأ عبر ChatGPT، Mashable، 6 أبريل 2023.