خصوصية البيانات، التي تُعرَف أيضًا باسم "خصوصية المعلومات"، هي المبدأ الذي ينص على أن للفرد الحق في التحكم في بياناته الشخصية، بما في ذلك القدرة على اتخاذ قرار بشأن كيفية جمعها وتخزينها واستخدامها من قِبَل المؤسسات.
تجمع الشركات بانتظام بيانات المستخدمين مثل عناوين البريد الإلكتروني والبيانات البيومترية وأرقام بطاقات الائتمان. بالنسبة إلى المؤسسات في اقتصاد البيانات هذا، يعني دعم خصوصية البيانات اتخاذ خطوات مثل الحصول على موافقة المستخدم قبل معالجة البيانات، وحماية البيانات من سوء الاستخدام، وتمكين المستخدمين من إدارة بياناتهم بشكل نشط.
يتحمل العديد من المؤسسات التزامًا قانونيًا بحماية حقوق خصوصية البيانات بموجب قوانين مثل اللائحة العامة لحماية البيانات (GDPR). حتى في حال عدم وجود تشريع رسمي لخصوصية البيانات، قد تستفيد المؤسسات من تبنّي استخدام تدابير الخصوصية. يمكن لنفس الممارسات والأدوات التي تحمي خصوصية المستخدم أن تدافع عن البيانات والأنظمة الحساسة من المتسللين الخبيثين.
تُعَد خصوصية البيانات وأمن البيانات تخصصين مختلفين ولكنهما مرتبطان. يشكِّل كلاهما عنصرين أساسيين ضمن استراتيجية حوكمة البيانات الأوسع للشركة.
تركِّز خصوصية البيانات على الحقوق الفردية لأصحاب البيانات، أي المستخدمين الذين يمتلكون البيانات. بالنسبة إلى المؤسسات، فإن ممارسة خصوصية البيانات تعني تنفيذ سياسات وإجراءات تمكِّن المستخدمين من التحكم في بياناتهم بما يتوافق مع القوانين واللوائح ذات الصلة بخصوصية البيانات.
يركِّز أمن البيانات على حماية البيانات من الوصول غير المصرح به وسوء الاستخدام. بالنسبة إلى المؤسسات، تتعلق ممارسة أمن البيانات بشكل كبير بنشر الضوابط لمنع المتسللين وعناصر التهديد من العبث بالبيانات.
يعزز أمن البيانات خصوصية البيانات من خلال ضمان أن الأشخاص المناسبين فقط هم من يمكنهم الوصول إلى البيانات الشخصية للأسباب الصحيحة. تعزز خصوصية البيانات أمن البيانات من خلال تحديد "الأشخاص المناسبين" و"الأسباب الصحيحة" لأي مجموعة من البيانات.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
في العديد من المؤسسات، يتم الإشراف على خصوصية البيانات من قِبَل فريق متعدد التخصصات يضم ممثلين من الأقسام القانونية والامتثال وتكنولوجيا المعلومات والأمن الإلكتروني. تعمل هذه الفِرق على صياغة سياسات إدارة البيانات التي تحدِّد كيفية جمع المؤسسات للبيانات الشخصية واستخدامها وحمايتها مع مراعاة حقوق الخصوصية للمستخدمين. كما تعمل على تصميم عمليات تمكِّن المستخدمين من ممارسة حقوقهم، وتنفيذ ضوابط تقنية لحماية البيانات.
يمكن للمؤسسات استخدام مجموعة متنوعة من أطر عمل خصوصية البيانات لتوجيه سياساتها المتعلقة بالبيانات، بما في ذلك إطار خصوصية البيانات من NIST1 ومبادئ ممارسات المعلومات العادلة.2 علاوةً على ذلك، تعتمد تفاصيل استراتيجية حوكمة البيانات لأي مؤسسة بشكل كبير على قوانين الخصوصية التي يتعين على الشركة الامتثال لها، إن وجدت.
مع ذلك، هناك بعض المبادئ العامة لخصوصية البيانات التي تتكرر في معظم الأطر واللوائح. تساهم هذه المبادئ في صياغة سياسات وإجراءات وضوابط خصوصية البيانات لدى العديد من المؤسسات.
يحق للمستخدمين معرفة البيانات التي تحتفظ بها الشركة. يجب أن يكون المستخدمون قادرين على الوصول إلى بياناتهم الشخصية عند الطلب. يجب أن يكونوا قادرين على تحديث تلك البيانات أو تعديلها حسب الحاجة.
للمستخدمين الحق في معرفة من يملكون بياناتهم وماذا يفعلون بها. في مرحلة جمع البيانات، يجب على المؤسسة أن تعلن بوضوح تام ما تجمعه من بيانات وكيف تنوي استخدامها. بعد جمع البيانات، يجب على المؤسسة إبقاء المستخدمين على علم بالتفاصيل الرئيسية لمعالجة البيانات، بما في ذلك أي تغييرات في كيفية استخدام البيانات وأي جهات خارجية تتم مشاركة البيانات معها.
داخليًا، يجب على المؤسسة الاحتفاظ بمخزون محدَّث دائمًا لجميع البيانات التي تحتفظ بها. يجب تصنيف البيانات على أساس النوع ومستوى الحساسية ومتطلبات الامتثال وغيرها من العوامل ذات الصلة. يجب تطبيق سياسات التحكم في الوصول والاستخدام بناءً على هذه التصنيفات.
يجب أن تحصل المؤسسات على موافقة المستخدم على تخزين البيانات أو جمعها أو مشاركتها أو معالجتها كلما أمكن ذلك. إذا احتفظت مؤسسة ما بالبيانات الشخصية أو استخدمتها دون موافقة الشخص المعني، يجب أن يكون لديها سبب مقنع للقيام بذلك، مثل الاستخدام للمصلحة العامة أو بموجب التزام قانوني.
يجب أن يكون لدى أصحاب البيانات طريقة لرفع الشكاوى بشأن طريقة معالجة بياناتهم أو الاعتراض عليها. ويجب أن يكونوا قادرين على سحب موافقتهم في أي وقت.
يجب أن تسعى المؤسسات إلى ضمان دقة البيانات التي تجمعها وتحتفظ بها. يمكن أن يؤدي عدم الدقة إلى انتهاكات للخصوصية. على سبيل المثال، إذا كان لدى إحدى المؤسسات عنوان قديم في الملف، فقد ترسل مستندات حساسة عن طريق الخطأ إلى الشخص الخطأ.
يجب أن يكون للمؤسسة غرض محدد لأي بيانات تجمعها. وينبغي أن تُبلغ هذا الغرض للمستخدمين وأن تستخدم البيانات لهذا الغرض فقط. يجب على المؤسسة أن تجمع فقط الحد الأدنى من البيانات اللازمة لغرضها المُعلن وأن تحتفظ بالبيانات فقط حتى يتم تحقيق هذا الغرض.
يجب أن تكون الخصوصية هي الحالة الافتراضية لكل نظام وعملية داخل المؤسسة. يجب أن تتعامل أي منتجات تعمل المؤسسة على تصميمها أو تنفيذها مع خصوصية المستخدم كميزة أساسية واهتمام رئيسي. يجب أن يتم جمع البيانات ومعالجتها بمبدأ الموافقة على الاشتراك وليس إلغاء الاشتراك. يجب أن يمتلك المستخدمون القدرة على التحكم في بياناتهم في كل خطوة.
يجب على المؤسسات تنفيذ العمليات ووضع الضوابط التي من شأنها حماية سرية بيانات المستخدم وسلامتها.
على مستوى العملية، يمكن للمؤسسات اتخاذ خطوات مثل تدريب الموظفين على متطلبات الامتثال والعمل فقط مع البائعين ومقدِّمي الخدمات الذين يحترمون خصوصية المستخدم.
على مستوى الضوابط الفنية، يمكن للمؤسسات استخدام عدد من الأدوات لحماية البيانات. يمكن لحلول إدارة الهوية والوصول (IAM) فرض سياسات التحكم في الوصول حسب الدور، بحيث يقتصر الوصول إلى البيانات الحساسة على المستخدمين المصرح لهم فقط. يمكن لتدابير المصادقة الصارمة مثل تسجيل الدخول الموحَّد (SSO) والمصادقة متعددة العوامل (MFA) منع المتسللين من الاستيلاء على حسابات المستخدمين الشرعيين.
يمكن لأدوات منع فقدان البيانات (DLP) اكتشاف البيانات وتصنيفها، ومراقبة استخدامها، ومنع المستخدمين من تعديلها أو مشاركتها أو حذفها بشكل غير مناسب. يمكن لحلول النسخ الاحتياطي وأرشفة البيانات مساعدة المؤسسات على استعادة البيانات المفقودة أو التالفة.
قد تستخدم المؤسسات أيضًا أدوات أمن البيانات المصممة خصوصًا للامتثال التنظيمي. غالبًا ما تتضمن هذه الأدوات ميزات مثل التشفير، وأتمتة تطبيق السياسات، وسجلات التدقيق التي تتعقب جميع أنشطة البيانات ذات الصلة.
تجمع المؤسسات متوسطة الحجم اليوم كمية هائلة من بيانات المستهلكين. وتقع على عاتق المؤسسة مسؤولية ضمان خصوصية هذه البيانات - ليس من منطلق طيبة قلوبهم، ولكن من باب الامتثال التنظيمي والوضع الأمني والميزة التنافسية.
تعترف مؤسسات مثل الأمم المتحدة3 بالخصوصية كحق أساسي من حقوق الإنسان، وقد اعتمد العديد من الدول لوائح لحماية الخصوصية تضمن هذا الحق قانونيًا. تأتي معظم هذه اللوائح مصحوبةً بعقوبات صارمة في حال عدم الامتثال.
تُعَد اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) أحد أكثر قوانين خصوصية البيانات شمولًا في العالم. فهي تضع قواعد صارمة يجب على أي شركة -داخل أو خارج أوروبا- اتباعها عند معالجة بيانات المقيمين في الاتحاد الأوروبي. يمكن تغريم المخالفين بغرامة تصل إلى 20 مليون يورو أو 4% من الإيرادات العالمية للشركة.
وتطبّق الدول خارج الاتحاد الأوروبي متطلبات تنظيمية مماثلة، بما في ذلك اللائحة العامة لحماية البيانات في المملكة المتحدة، وقانون حماية المعلومات الشخصية والوثائق الإلكترونية في كندا (PIPEDA)، وقانون حماية البيانات الشخصية الرقمية في الهند.
ليس لدى الولايات المتحدة أي قوانين فيدرالية لحماية البيانات تتمتع بالشمولية التي تتمتع بها اللائحة العامة لحماية البيانات، ولكن لديها بعض التشريعات الأكثر استهدافًا. قانون حماية خصوصية الأطفال على الإنترنت (COPPA) يضع قواعد لجمع ومعالجة البيانات الشخصية للأطفال دون سن 13 عامًا. يغطي قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) كيفية تعامل مؤسسات الرعاية الصحية ذات الصلة مع معلومات السلامة الشخصية.
يمكن أن تكون العقوبات بموجب هذه القوانين كبيرة. في عام 2022، على سبيل المثال، تم تغريم شركة Epic Games مبلغًا قياسيًا قدره 275 مليون دولار أمريكي بسبب انتهاكات قانون حماية خصوصية الأطفال على الإنترنت (COPPA).4
تمتلك الولايات المتحدة أيضًا لوائح خصوصية على مستوى الولايات، مثل قانون خصوصية المستهلك في كاليفورنيا (CCPA)، الذي يمنح المستهلكين في كاليفورنيا مزيدًا من السيطرة على كيفية وموعد معالجة بياناتهم. بينما يُعَد CCPA ربما أشهر قوانين الخصوصية على مستوى الولايات، فقد ألهم قوانين أخرى مثل قانون حماية بيانات المستهلك في فرجينيا (VCDPA) وقانون الخصوصية في كولورادو (CPA).
تجمع المؤسسات اليوم كميات كبيرة من معلومات التعريف الشخصية (PII)، مثل أرقام الضمان الاجتماعي وتفاصيل الحسابات المصرفية للمستخدمين. تُعَد هذه البيانات هدفًا للمتسللين، الذين قد يستخدمونها في سرقة الهوية أو اختلاس الأموال أو بيعها على الشبكة الخفية.
بالإضافة إلى ذلك، فإن الشركات لديها بيانات حساسة خاصة بها قد يسعى المتسللون وراءها، مثل الملكية الفكرية أو البيانات المالية.
وفقًا لتقرير تكلفة خرق البيانات لعام 2025 من IBM، يبلغ متوسط تكلفة أي اختراق للشركة 4.44 ملايين دولار أمريكي. وهناك العديد من العوامل التي تساهم في هذا الثمن، بما في ذلك الأعمال المفقودة بسبب فترة التعطل وتكاليف اكتشاف الاختراق ومعالجته.
يمكن للعديد من الأدوات نفسها التي تدعم خصوصية البيانات أن تقلل أيضًا من خطر الاختراقات وتعزز وضع الأمن الإلكتروني بشكل عام. على سبيل المثال، يمكن أن تساعد حلول إدارة الهوية والوصول (IAM) التي تمنع الوصول غير المصرح به على إيقاف المتسللين وفرض سياسات الخصوصية. يمكن لأدوات أمن البيانات في كثير من الأحيان اكتشاف الأنشطة المشبوهة التي قد تُشير إلى وقوع هجوم إلكتروني، ما يسمح لفريق الاستجابة للحوادث بالتصرف بشكل أسرع.
وعلى نحو مماثل، يستطيع الموظفون والمستهلكون الدفاع ضد بعض هجمات الهندسة الاجتماعية الأكثر ضررًا من خلال تبنّي أفضل الممارسات لخصوصية البيانات. غالبًا ما يقوم المحتالون بتفحص تطبيقات وسائل التواصل الاجتماعي للعثور على بيانات شخصية يمكنهم استخدامها لإنشاء اختراق مقنع للبريد الإلكتروني للأعمال (BEC) وحِيَل التصيد الموجَّه. من خلال مشاركة معلومات أقل وتأمين حساباتهم، يمكن للمستخدمين حرمان المحتالين من مصدر قوي للاستغلال.
إن احترام حقوق خصوصية المستخدمين قد يمنح المؤسسة في بعض الأحيان ميزة تنافسية.
قد يفقد المستهلكون الثقة في الشركات التي لا تحمي بياناتهم الشخصية بشكل كاف. على سبيل المثال، تعرَّضت سمعة Facebook لضربة كبيرة في أعقاب فضيحة Cambridge Analytica.5 وغالبًا ما يكون المستهلكون أقل استعدادًا لمشاركة بياناتهم القيّمة مع الشركات التي فشلت في حماية الخصوصية في السابق.
وعلى العكس من ذلك، فإن الشركات التي تتمتع بسمعة طيبة في حماية خصوصية البيانات قد يكون من الأسهل عليها الحصول على بيانات المستخدمين والاستفادة منها.
علاوةً على ذلك، في الاقتصاد العالمي المترابط، غالبًا ما تتنقل البيانات بين المؤسسات. قد تُرسِل الشركة البيانات الشخصية التي تجمعها إلى قاعدة بيانات سحابية لتخزينها أو إلى شركة استشارية لمعالجتها. يمكن أن يساعد تبنّي مبادئ وممارسات خصوصية البيانات المؤسسات على حماية بيانات المستخدمين من سوء الاستخدام حتى عند مشاركتها مع أطراف ثالثة. بموجب بعض اللوائح، مثل اللائحة العامة لحماية البيانات (GDPR)، تتحمّل المؤسسات المسؤولية القانونية لضمان حفاظ البائعين ومقدِّمي الخدمات على أمن البيانات.
أخيرًا، يمكن للتقنيات الجديدة للذكاء الاصطناعي التوليدي أن تطرح تحديات كبيرة تتعلق بخصوصية البيانات. أي بيانات حساسة يتم تزويد هذه النماذج بها قد تصبح جزءًا من بيانات تدريب الأداة، وقد لا تتمكن المؤسسة من التحكم في كيفية استخدامها. على سبيل المثال، سرَّب مهندسو شركة Samsung عن غير قصد الكود المصدر الخاص بالشركة عند إدخاله في ChatGPT بغرض تحسينه.6
بالإضافة إلى ذلك، إذا لم تحصل المؤسسة على إذن من المستخدمين لتشغيل بياناتهم من خلال الذكاء الاصطناعي التوليدي، فقد يشكِّل ذلك انتهاكًا للخصوصية بموجب لوائح معينة.
يمكن لسياسات وضوابط خصوصية البيانات الرسمية أن تساعد المؤسسات على اعتماد أدوات الذكاء الاصطناعي هذه وغيرها من التقنيات الجديدة دون خرق القانون أو فقدان ثقة المستخدم أو تسريب معلومات حساسة عن طريق الخطأ.