يحصل بائع التجزئة عبر الإنترنت دائمًا على موافقة صريحة من المستخدمين قبل مشاركة بيانات العملاء مع شركائه. تخفي تطبيقات الملاحة بيانات النشاط قبل تحليلها لمعرفة توجهات السفر. تطلب المدرسة من أولياء الأمور التحقق من هوياتهم قبل إعطاء معلومات الطالب.
هذه ليست سوى بعض الأمثلة على كيفية دعم المؤسسات لخصوصية البيانات، والمبدأ الذي ينص على أنه يجب أن يكون لدى الأشخاص القدرة على التحكم في بياناتهم الشخصية، بما في ذلك تحديد من يمكنه رؤيتها، ومن يمكنه جمعها، وكيف يمكن استخدامها.
لا يمكن المبالغة في أهمية خصوصية البيانات للأعمال في الوقت الحالي. تشمل اللوائح واسعة النطاق مثل اللائحة العامة لحماية البيانات (GDPR) في أوروبا غرامات كبيرة على المؤسسات التي تفشل في حماية المعلومات الحساسة. حيث يمكن أن تؤدي انتهاكات الخصوصية، سواء أكانت ناتجة عن مخترقين ضارين أو إهمال الموظفين، إلى تدمير سمعة الشركة وإيراداتها. وفي الوقت نفسه، يمكن للشركات التي تعطي الأولوية لخصوصية المعلومات بناء الثقة مع المستهلكين واكتساب ميزة على المنافسين الأقل وعيًا بالخصوصية.
ومع ذلك، تواجه العديد من المؤسسات صعوبات في حماية الخصوصية على الرغم من نواياها الحسنة. وخصوصية البيانات لا تقتصر على كونها علمًا فقط، بل هي فن يتعلق بتوازن الالتزامات القانونية، حقوق المستخدمين، ومتطلبات الأمن الإلكتروني دون إعاقة قدرة الأعمال على الاستفادة من البيانات التي تجمعها.
ضع في اعتبارك تطبيق الميزانية الذي يستخدمه الأشخاص لتتبع الإنفاق والمعلومات المالية الحساسة الأخرى. عندما يقوم المستخدم بالتسجيل، يعرض التطبيق إشعار الخصوصية الذي يشرح بوضوح البيانات التي يجمعها وكيفية استخدامه لتلك البيانات. يمكن للمستخدم قبول أو رفض كل استخدام لبياناته بشكل فردي.
على سبيل المثال، يمكنه رفض مشاركة بياناته مع جهات خارجية مع السماح للتطبيق بإنشاء عروض مخصصة.
يقوم التطبيق بتشفير جميع البيانات المالية للمستخدم بشكل كبير. ويمكن فقط للمسؤولين الوصول إلى بيانات العملاء في الجزء الخلفي. وحتى في هذه الحالة، يمكن للمسؤولين استخدام البيانات فقط لمساعدة العملاء على حل مشكلات الحساب، وفقط بموافقة صريحة من المستخدم.
يوضِّح هذا المثال ثلاثة عناصر أساسية لأطر العمل الشائعة لخصوصية البيانات:
يُعَد الامتثال للوائح ذات الصلة الأساس للعديد من الجهود المبذولة لحماية خصوصية البيانات. ورغم اختلاف قوانين حماية البيانات،إلا إنها عادة تحدِّد بشكل عام مسؤوليات المؤسسات التي تجمع البيانات الشخصية وحقوق أصحاب البيانات الذين يمتلكون تلك البيانات.
اللائحة العامة لحماية البيانات هي لائحة خصوصية تابعة للاتحاد الأوروبي تحكم كيفية تعامل المؤسسات داخل أوروبا وخارجها مع البيانات الشخصية لمقيمي الاتحاد الأوروبي. وهي تُعَد من أكثر القوانين صرامةً بالإضافة إلى كونها على الأرجح قانون الخصوصية الأكثر شمولاً. يمكن أن تصل عقوبات عدم الامتثال إلى 20,000,000 يورو أو 4% من إيرادات المؤسسة في جميع أنحاء العالم خلال العام السابق، أيهما أعلى.
قانون حماية البيانات لعام 2018 هو، في الأساس، نسخة المملكة المتحدة من اللائحة العامة لحماية البيانات (GDPR). وهو يحل محل قانون حماية البيانات السابق وينفذ العديد من الحقوق والمتطلبات والعقوبات نفسها مثل نظيره في الاتحاد الأوروبي.
يحكم هذا القانون الكندي كيفية قيام شركات القطاع الخاص بجمع بيانات المستهلكين واستخدامها. يمنح هذا القانون الأفراد قدرًا كبيرًا من السيطرة على بياناتهم، ولكنه ينطبق فقط على البيانات المستخدمة لأغراض تجارية فقط. وتُستثنى البيانات المستخدمة لأغراض أخرى، مثل الصحافة أو البحث.
لدى العديد من الولايات الأمريكية الفردية قوانين خصوصية البيانات الخاصة بها. ومن أبرز هذه القوانين قانون خصوصية المستهلك في كاليفورنيا (California Consumer Privacy Act)، والذي ينطبق على أي مؤسسة تقريبًا لديها موقع إلكتروني بسبب الطريقة التي يحدد بها فعل "ممارسة الأعمال التجارية في كاليفورنيا".
يمكّن هذا القانون سكان كاليفورنيا من منع بيع بياناتهم وحذفها بناءً على طلبهم، بالإضافة إلى حقوق أخرى. حيث تواجه المؤسسات غرامات تصل إلى 7,500 دولار أمريكي لكل انتهاك. ويمكن أن يرتفع هذا السعر سريعًا؛ وذلك لأنه إذا قامت شركة ببيع بيانات المستخدمين دون موافقة، فإن كل سجل تبيعه سيُعتبر انتهاكًا واحدًا.
لا توجد في الولايات المتحدة لوائح شاملة لحماية البيانات على المستوى الوطني، لكنها تطبِّق بعض القوانين الأكثر تخصصًا.
فبموجب قانون حماية خصوصية الأطفال على الإنترنت (COPPA)، يجب على المؤسسات الحصول على إذن من أحد الوالدين قبل جمع البيانات من أي شخص تحت سن 13 ومعالجتها. وقد تصبح القواعد المتعلقة بالتعامل مع بيانات الأطفال أكثر صرامةً إذا أصبح قانون سلامة الأطفال على الإنترنت (KOSA)، الذي يتم النظر فيه حاليًا في مجلس الشيوخ الأمريكي، قانونًا. حيث سيفرض هذا القانون على الخدمات الإلكترونية توفير أعلى مستويات الخصوصية بشكل افتراضي للمستخدمين الذين تقل أعمارهم عن 18 عامًا.
قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA) هو قانون فيدرالي يتعامل مع كيفية قيام مقدمي الرعاية الصحية وشركات التأمين وغيرها من الشركات بحماية المعلومات الصحية الشخصية.
لا يُعَد معيار أمان بيانات صناعة بطاقات الدفع قانونًا، بل هو مجموعة من المعايير التي طورتها مجموعة من شركات بطاقات الائتمان، بما في ذلك شركتَا Visa وAmerican Express. وتحدد هذه المعايير التدابير التي يجب على الشركات اتباعها لحماية بيانات بطاقات الدفع الخاصة بالعملاء.
ورغم أن معيار أمان بيانات صناعة بطاقات الدفع لا يُعَد مطلبًا قانونيًا، يمكن لشركات بطاقات الائتمان والمؤسسات المالية فرض غرامات على الشركات التي تفشل في الامتثال، أو حتى منعها من معالجة بطاقات الدفع.
يُعَد الامتثال للخصوصية مجرد بداية فقط. ورغم أن اتِّباع القانون يمكن أن يساعد على تجنب العقوبات، إلا أنه قد لا يكون كافيًا لحماية معلومات التعريف الشخصية (PII) وغيرها من البيانات الحساسة بشكل كامل من المخترقين وسوء الاستخدام وتهديدات الخصوصية الأخرى.
تتضمن بعض المبادئ والممارسات الشائعة التي تستخدمها مجموعات المؤسسات لتعزيز خصوصية البيانات ما يأتي:
ولإدارة البيانات بشكل فعَّال، تحتاج المؤسسة إلى معرفة أنواع البيانات التي تمتلكها، ومكان وجود هذه البيانات، وكيف يتم استخدامها.
تتطلب بعض أنواع البيانات، مثل القياسات الحيوية وأرقام الضمان الاجتماعي، حماية أقوى من غيرها. وتساعد معرفة كيفية انتقال البيانات عبر الشبكة على تتبُّع الاستخدام واكتشاف النشاط المشبوه وتطبيق التدابير الأمنية بشكل فعَّال.
أخيرًا، يساعد توفُّر رؤية شاملة للبيانات على تسهيل الامتثال لطلبات الأشخاص المعنيين بالبيانات للوصول إلى معلوماتهم، أو تحديثها، أو حذفها. وإذا لم يكن لدى المؤسسة جرد كامل للبيانات، فقد تترك بعض سجلات المستخدمين عن غير قصد بعد طلب الحذف.
يقوم بائع التجزئة الرقمي بتسجيل جميع أنواع بيانات العملاء المختلفة التي يمتلكها، مثل الأسماء، وعناوين البريد الإلكتروني، ومعلومات الدفع المحفوظة. ثم يحدد كيفية انتقال كل نوع من البيانات بين الأنظمة والأجهزة، ومن لديه حق الوصول إليها (بما في ذلك الموظفون والأطراف الثالثة)، وكيف يتم استخدامها. وأخيرًا، يصنِّف بائع التجزئة البيانات بناءً على مستويات الحساسية ويطبِّق ضوابط مناسبة على كل نوع. ثم تُجري الشركة عمليات تدقيق منتظمة للحفاظ على تحديث جرد البيانات.
يمكن للمؤسسات الحد من مخاطر الخصوصية من خلال منح المستخدمين أكبر قدر ممكن من التحكم في جمع البيانات ومعالجتها. وإذا حصلت الشركة دائمًا على موافقة المستخدم قبل القيام بأي شيء ببياناته، فمن الصعب على الشركة انتهاك خصوصية أي شخص.
ومع ذلك، يتعين على المؤسسات في بعض الأحيان معالجة بيانات شخص ما دون موافقته. وفي تلك الحالات، يجب على الشركة التأكد من أن لديها سببًا قانونيًا وجيهًا للقيام بذلك، مثل صحيفة تقوم بالتغطية على الجرائم التي يفضل مرتكبوها إخفاءَها.
يقوم موقع التواصل الاجتماعي بإنشاء بوابة لإدارة بيانات الخدمة الذاتية. يمكن للمستخدمين تنزيل جميع البيانات التي يشاركونها مع الموقع، وتحديث بياناتهم أو حذفها، وتحديد كيفية معالجة الموقع لمعلوماتهم.
على الرغم من أن توسيع نطاق جمع البيانات قد يبدو جذابًا، إلا أن زيادة كمية البيانات الشخصية التي تجمعها الشركة تعني تعرضها لمزيد من المخاطر المتعلقة بالخصوصية. وبدلاً من ذلك، يمكن للمؤسسات اعتماد مبدأ التقييد: تحديد غرض معين لجمع البيانات وجمع الحد الأدنى من البيانات اللازمة لتحقيق هذا الغرض.
كما يجب أن تكون سياسات الاحتفاظ محدودة أيضًا. حيث يتعين على المؤسسة التخلص من البيانات بمجرد تحقيق الغرض المحدد منها.
تُجري وكالة الصحة العامة تحقيقًا حول انتشار مرض في حي معين. لا تجمع الوكالة أي معلومات تعريف شخصية من الأسر المشمولة بالاستطلاع. بل تسجِّل فقط إذا ما كان الشخص مريضًا. وعند اكتمال الاستطلاع وتحديد معدلات الإصابة، تحذف الوكالة البيانات.
يجب على المؤسسات أن تبقي المستخدمين على اطِّلاع بكل ما تفعله ببياناتهم، بما في ذلك أي شيء يقوم به شركاؤها من الأطراف الثالثة.
يرسل البنك إشعارات الخصوصية السنوية إلى جميع عملائه. تحدد هذه الإشعارات جميع البيانات التي يجمعها البنك من أصحاب الحسابات، وكيف يستخدم هذه البيانات لأشياء مثل الامتثال التنظيمي وقرارات الائتمان، ومدة احتفاظه بالبيانات. كما يقوم البنك بتنبيه أصحاب الحسابات إلى أي تغييرات تطرأ على سياسة الخصوصية الخاصة به بمجرد إجرائها.
يمكن أن تساعد إجراءات التحكم في الوصول الصارمة على منع الوصول والاستخدام غير المصرح به. فالأشخاص الذين يحتاجون إلى البيانات لأسباب مشروعة هم فقط من يمكنهم الوصول إليها. ينبغي للمؤسسات استخدام المصادقة متعددة العوامل (MFA) أو تدابير قوية أخرى للتحقق من هويات المستخدمين قبل منحهم حق الوصول إلى البيانات. ويمكن أن تساعد حلول إدارة الهوية والوصول (IAM) على فرض سياسات دقيقة للتحكم في الوصول على مستوى المؤسسة.
تستخدم شركة التكنولوجيا نهج التحكم في الوصول المستند إلى الدور لتعيين امتيازات الوصول بناءً على أدوار الموظفين. يمكن للأشخاص الوصول فقط إلى البيانات التي يحتاجون إليها لتنفيذ مسؤوليات الوظيفة الأساسية، ولا يمكنهم استخدامها إلا بالطرق المعتمدة. على سبيل المثال، يمكن لرئيس الموارد البشرية رؤية سجلات الموظفين، ولكن لا يمكنه رؤية سجلات العملاء. يمكن لممثلي خدمة العملاء الاطِّلاع على حسابات العملاء، ولكن لا يمكنهم الاطِّلاع على بيانات الدفع المحفوظة للعملاء.
يجب على المؤسسات استخدام مجموعة من الأدوات والأساليب لحماية البيانات أثناء التخزين والانتقال والاستخدام.
يقوم مقدم الرعاية الصحية بتشفير تخزين بيانات المرضى ويستخدم نظام كشف التسلل لمراقبة أي حركة إلى قاعدة البيانات. ويستخدم أداة منع فقدان البيانات (DLP) لتتبع كيفية نقل البيانات وكيفية استخدامها. وإذا اكتشفت نشاطًا غير مشروع، مثل حساب موظف ينقل بيانات المريض إلى جهاز غير معروف، تُطلق الأداة إنذارًا وينقطع الاتصال.
تحدد تقييمات تأثير الخصوصية (PIAs) مدى المخاطر التي يشكلها نشاط معين على خصوصية المستخدم. وتحدِّد كذلك كيف يمكن أن تؤدي معالجة البيانات إلى الإضرار بخصوصية المستخدم وتوضح كيفية منع هذه المخاوف المتعلقة بالخصوصية أو التخفيف من حدتها.
تقوم شركة التسويق دائمًا بإجراء تقييم تأثير الخصوصية قبل كل مشروع جديد لأبحاث السوق. وتستغل الشركة هذه الفرصة لتحديد أنشطة المعالجة بوضوح وسد أي ثغرات في أمان البيانات. بهذه الطريقة، يتم استخدام البيانات فقط لغرض معين وحمايتها في كل خطوة. وإذا حددت الشركة مخاطر جسيمة لا يمكنها التخفيف منها بشكل معقول، فإنها تعيد تنظيم مشروع البحث أو تلغيه.
خصوصية البيانات حسب التصميم ومن خلال الإعدادات الافتراضية هي فلسفة تنص على أن الخصوصية يجب أن تكون جزءًا أساسيًا من كل ما تفعله المؤسسة، كل منتج تبنيه وكل عملية تتبعها. ويجب أن يكون الإعداد الافتراضي لأي نظام هو الأكثر ملاءمة للخصوصية.
عندما يشترك المستخدمون في تطبيق لياقة بدنية، تكون إعدادات الخصوصية في التطبيق مضبوطة تلقائيًا على "عدم مشاركة بياناتي مع أطراف ثالثة". ويجب على المستخدمين تغيير إعداداتهم يدويًا للسماح للمؤسسة ببيع بياناتهم.
يمكن أن يساعد الامتثال لقوانين حماية البيانات واعتماد ممارسات الخصوصية المؤسسات على تجنب العديد من مخاطر الخصوصية الكبرى. ومع ذلك، من المفيد استعراض بعض الأسباب والعوامل المساهمة الأكثر شيوعًا في انتهاكات الخصوصية حتى تتمكن الشركات من معرفة ما يجب الانتباه إليه.
عندما لا تتمكّن المؤسسات من تكوين رؤية كاملة لشبكاتها، فإن الفجوات غير المرصودة يمكن أن تصبح موطنًا لانتهاكات الخصوصية. قد يقوم الموظفون بنقل البيانات الحساسة إلى أصول تقنية المعلومات الظلية غير المحمية. وقد يستخدمون البيانات الشخصية بشكل منتظم دون إذن من صاحبها، لأن المشرفين يفتقرون إلى الإشراف الذي يمكِّنهم من اكتشاف هذا السلوك وتصحيحه. وبذلك يستطيع مجرمو الإنترنت التسلل عبر الشبكة دون أن يتم اكتشافهم.
تزامنًا مع تزايد تعقيد الشبكات المؤسسية، التي تجمع بين الأصول المحلية، والعاملين عن بُعد، والخدمات السحابية، يصبح من الأصعب تتبع البيانات عبر النظام البنائي لتقنية المعلومات. يمكن للمؤسسات استخدام أدوات مثل حلول إدارة سطح الهجوم ومنصات حماية البيانات للمساعدة في تبسيط العملية وتأمين البيانات أينما كانت.
تضع بعض اللوائح قواعد خاصة للمعالجة المؤتمتة. على سبيل المثال، تمنح اللائحة العامة لقواعد البيانات (GDPR) الأشخاص الحق في الطعن في القرارات المتخذة من خلال المعالجة المؤتمتة للبيانات.
يمكن أن يتسبب صعود الذكاء الاصطناعي التوليدي يفي حدوث مشكلات أكثر تعقيدًا بشأن الخصوصية. لا يمكن للمؤسسات بالضرورة التحكم في ما تفعله هذه المنصات بالبيانات التي تقوم بإدخالها. قد يساعد إدخال بيانات العملاء إلى منصة مثل ChatGPT في الحصول على رؤى حول الجمهور، لكن الذكاء الاصطناعي قد يدمج تلك البيانات في نماذج تدريبه. وإذا لم يوافق أصحاب البيانات على استخدام معلومات التعريف الشخصية الخاصة بهم لتدريب الذكاء الاصطناعي، فإن هذا يشكل انتهاكًا للخصوصية.
يجب على المؤسسات أن تشرح بوضوح للمستخدمين كيفية معالجة بياناتهم، بما في ذلك أي معالجة الذكاء الاصطناعي، والحصول على موافقة أصحاب البيانات. ومع ذلك، قد لا تعرف المؤسسة كل ما يفعله الذكاء الاصطناعي ببياناتها. لهذا السبب، يجب على الشركات التفكير في العمل مع تطبيقات الذكاء الاصطناعي التي تتيح لها الاحتفاظ بأكبر قدر من التحكم في بياناتها.
وفقًا لتقرير تكلفة اختراق أمن البيانات الصادر عن IBM، فإن الحسابات المسروقة تمثل نقطة انطلاق رئيسية لاختراق أمن البيانات. تعرّض المؤسسات نفسها للخطر عندما تمنح المستخدمين صلاحيات أكثر مما يحتاجون إليه. فكلما زادت صلاحيات الوصول التي يمتلكها المستخدم، زادت الأضرار التي يمكن أن يتسبب بها المتسلل إذا تم اختراق حسابه.
يجب على المؤسسات اتباع مبدأ أقل الامتيازات. حيث يجب أن يحصل المستخدمون على الحد الأدنى فقط من الامتيازات التي يحتاجونها لأداء وظائفهم.
يمكن للموظفين انتهاك خصوصية المستخدم عن طريق الخطأ إذا لم يكونوا على دراية بسياسات المؤسسة ومتطلبات الامتثال. ويمكنهم أيضًا تعريض الشركة للخطر من خلال عدم اتباع عادات الخصوصية الجيدة في حياتهم الشخصية.
على سبيل المثال، إذا أفرط الموظفون في المشاركة على حساباتهم الشخصية على وسائل التواصل الاجتماعي، يمكن لمجرمي الإنترنت استخدام هذه المعلومات لصياغة هجمات مقنعة للتصيد الاحتيالي واختراق البريد الإلكتروني للأعمال.
لا تُعدّ مشاركة بيانات المستخدمين مع جهات خارجية انتهاكًا للخصوصية بشكل تلقائي، ولكنها قد تزيد من احتمالية المخاطر. فكلما زاد عدد الأشخاص الذين لديهم حق الوصول إلى البيانات، زادت الفرص المتاحة للقراصنة، والتهديدات الداخلية، أو حتى إهمال الموظفين للتسبب في حدوث مشكلات.
بالإضافة إلى ذلك، قد تستغل أطراف ثالثة غير أخلاقية بيانات الشركة لأغراضها الخاصة دون تفويض، حيث تقوم بمعالجة البيانات بدون الحصول على موافقة الأفراد المعنيين.
يجب على المؤسسات التأكد من أن جميع ترتيبات مشاركة البيانات تخضع لعقود قانونية ملزمة تضمن تحميل جميع الأطراف المسؤولية عن حماية بيانات العملاء واستخدامها بشكل صحيح.
تُعدّ معلومات التعريف الشخصية هدفًا رئيسيًا لمجرمي الإنترنت، والذين يمكنهم استخدامها لسرقة الهوية أو سرقة الأموال أو بيعها في السوق السوداء. تهدف تدابير أمان البيانات مثل التشفير وأدوات منع فقدان البيانات إلى حماية خصوصية المستخدمين بالقدر نفسه الذي تهدف فيه إلى حماية شبكة الشركة.
تتزايد قيود الخصوصية على مستوى العالم، بينما يزداد نطاق الهجمات الذي تواجهه المؤسسات، كما أن التقدم السريع في الذكاء الاصطناعي يؤثر على طريقة استهلاك البيانات ومشاركتها. وفي ظل هذا الوضع، يمكن أن يكون تطبيق استراتيجية لخصوصية بيانات في المؤسسة عامل تمييز رئيسي يعزز من موقفها الأمني ويميزها عن المنافسين.
من الأمثلة على ذلك، التقنيات مثل التشفير وأدوات إدارة الهوية والوصول (IAM). يمكن أن تساعد هذه الحلول في تقليل الأضرار المالية الناتجة عن الاختراق الناجح لأمن البيانات، ما يوفر للمؤسسات مبلغًا يزيد عن 572,000 دولار أمريكي، بناءً على تقرير تكلفة خرق البيانات. بالإضافة إلى ذلك، يمكن لممارسات خصوصية البيانات السليمة أن تعزز الثقة مع المستهلكين، وتساعد في بناء الولاء للعلامة التجارية (الرابط موجود خارج ibm.com).
مع تزايد أهمية حماية البيانات للأمن ونجاح الأعمال، يتعين على المؤسسات أن تضع مبادئ الخصوصية، والامتثال للتشريعات، وتقليل المخاطر ضمن أولوياتها الرئيسية.