17 يناير 2025
سيادة البيانات هو المبدأ الذي ينص على أن للدول سلطة قانونية وتنظيمية على البيانات التي يتم إنشاؤها أو معالجتها داخل حدودها الوطنية. بينما يشير مكان وجود البيانات إلى الموقع الجغرافي للبيانات - أي المكان المادي الذي توجد فيه مراكز البيانات أو الخوادم أو الأنظمة الأخرى التي تخزن البيانات أو تتعامل معها.
الفرق الأساسي هو أن سيادة البيانات هو مفهوم قانوني، ومكان وجود البيانات هو مفهوم جغرافي. بيد أن المفهومين مرتبطان ارتباطًا وثيقًا.
غالبًا ما يحدد موقع البيانات سيادة البيانات. على سبيل المثال، إذا قامت شركة ما بتخزين البيانات في مركز بيانات في أيرلندا، فإن تلك البيانات تكون موجودة في أيرلندا. ونظرًا لتواجد البيانات في أيرلندا، فإن أيرلندا تتمتع بالسيادة عليها. يجب أن تمتثل الشركة لأي قوانين لحماية البيانات وخصوصية البيانات والمتطلبات التنظيمية الأخرى التي تفرضها الحكومة الأيرلندية.
ومع ذلك، فإن المكان ليس العامل الوحيد في تحديد مَن له الولاية القضائية على البيانات. فقد تؤدي عوامل أخرى، مثل المكان الذي جُمعت فيه البيانات في الأصل أو الشخص الذي تنتمي إليه، دورًا أيضًا.
تُعد سيادة البيانات وموقع البيانات من المفاهيم المهمة لحوكمة البيانات بالنسبة إلى المؤسسات اليوم. حيث تقوم الشركات بجمع بيانات ومعالجتها أكثر من أي وقت مضى، وغالبًا ما تستخدم الحوسبة السحابية وتطبيقات البرمجيات كخدمة (SaaS) للقيام بذلك.
وكانت النتيجة زيادة هائلة في تدفقات البيانات الدولية. فقد تجمع الشركات البيانات من أشخاص في أحد البلدان، وتخزنها في مركز بيانات في بلد ثانٍ وتعالجها باستخدام تطبيق سحابي يعمل في بلد ثالث. وقد يتعين أن تخضع البيانات لمتطلبات قانونية مختلفة في كل من هذه المواقع.
تحتاج المؤسسات إلى معرفة مكان وجود بياناتها في كل مرحلة من مراحل دورة حياتها والقواعد التي يجب أن تتبعها في كل منطقة محلية. إذ يمكن أن تتعرض الشركات لعقوبات كبيرة لخرق قوانين البيانات المحلية.
تعزيز الذكاء الأمني لديك
ابقَ على اطلاع على التهديدات من خلال الأخبار والرؤى حول الأمن والذكاء الاصطناعي والمزيد، أسبوعياً في رسائل Think الإخبارية.
مكان وجود البيانات هو الموقع المادي للبيانات. ويُقال إن البيانات موجودة في دولة أو ولاية أو مكان معين في حال كانت مراكز البيانات أو الخوادم أو غيرها من الأجهزة التي تضم البيانات أو تعالجها موجودة فعليًا في ذلك المكان.
نظرًا إلى أن بيانات الشركة يمكن أن تتنقل كثيرًا، فقد يكون لبيانات المؤسسة الواحدة أماكن وجود متعددة.
لنفترض أن شركة يقع مقرها في الولايات المتحدة، وتجمع البيانات الشخصية من مستهلكين أمريكيين وتخزن البيانات على خوادم في الولايات المتحدة. فمن الواضح أن البيانات توجد في الولايات المتحدة.
لنفترض الآن أن المؤسسة نفسها تستخدم تطبيق البرمجيات كخدمة (SaaS) لمعالجة هذه البيانات، وتقع خوادم التطبيق في كندا. فأي بيانات تُنقل إلى الخوادم الكندية للمعالجة قد تكون موجودة الآن في كندا، وقد تخضع لقوانين البيانات الكندية.
غالبًا ما تنشأ متطلبات توطين البيانات من متطلبات السياسة الداخلية للمؤسسة أو الالتزامات التعاقدية، بغض النظر عن أي متطلبات تنظيمية لتوطين البيانات.
ومع ذلك، لا تملك المؤسسات دائمًا خيارًا بشأن مكان وجود بياناتها. فبعض المناطق لديها قوانين تتضمن متطلبات توطين البيانات، والتي تفرض على المؤسسات الاحتفاظ ببياناتها أو معالجتها في مكان معين.
أماكن وجود البيانات وتوطين البيانات
في حين أن هذين المصطلحين يُستخدمان أحيانًا بالتبادل، فإنهما يشيران إلى مفهومين مختلفين. يصف مكان وجود البيانات مكان الاحتفاظ بالبيانات، بينما يشير توطين البيانات إلى المتطلبات القانونية للاحتفاظ بالبيانات في مكان إنشائها - أي الاحتفاظ بالبيانات محليًا.
ولدى بعض البلدان متطلبات توطين البيانات، والتي يجب على المؤسسات بموجبها الاحتفاظ بالبيانات التي تم إنشاؤها في ذلك البلد داخل حدوده. يمكن أن تتراوح هذه المتطلبات من مجرد الاحتفاظ بنسخة من البيانات في البلد إلى حظر نقل البيانات خارج البلد.
يقصد بسيادة البيانات أن البيانات تخضع لقوانين الدولة أو المنطقة التي يتم إنشاؤها أو معالجتها فيها. فإذا كان لدولة ما ”سيادة“ على جزء من البيانات، فهذا يعني أن هذه الدولة تتمتع بسلطة قانونية على تلك البيانات، بما في ذلك لأغراض الأمن القومي.
غالبًا ما يتم تحديد سيادة البيانات من خلال مكان وجودها. فإذا كانت البيانات موجودة في مكان ما، فإنها عادة ما تخضع لقوانين ذلك المكان.
تتبع بعض قوانين سيادة البيانات مسار البيانات في كل مكان، حيث تنطبق على البيانات بغض النظر عن المكان الذي تنتقل إليه. على سبيل المثال، يمكن أن تنطبق اللائحة العامة لحماية البيانات (GDPR) الخاصة بالاتحاد الأوروبي (EU) على البيانات المحفوظة أو المعالجة خارج الاتحاد الأوروبي إذا كانت تلك البيانات تتعلق بسكان الاتحاد الأوروبي.
لذا، لا يتعلق الأمر فقط بمكان وجود البيانات التي يمكن أن تكون ذات صلة، ولكن أيضًا بالمكان الذي جُمعت فيه أو الشخص الذي تنتمي إليه.
وبالطريقة نفسها التي تجعل للبيانات أماكن متعددة، يمكن أن تندرج أيضًا تحت سيادات متعددة. على سبيل المثال، يجب أن تلتزم البيانات الموجودة في إحدى دول الاتحاد الأوروبي بالقوانين المحلية لتلك الدولة واللائحة العامة لحماية البيانات على مستوى الاتحاد الأوروبي.
يمكن أن تختلف متطلبات سيادة البيانات:
- تقيّد بعض الدول أنواع البيانات الحساسة التي يمكن للشركة جمعها وكيفية جمعها.
- تفرض بعض الدول قيودًا على كيفية استخدام المؤسسات لأنواع معينة من البيانات.
- تفرض بعض الدول ضوابط معينة للأمن الإلكتروني وتطلب من المؤسسات اتباع عمليات محددة في حالة حدوث اختراق أمني للبيانات.
- تمنح بعض لوائح الخصوصية أصحاب البيانات الكثير من الحقوق على بياناتهم، بما في ذلك القدرة على حذفها.
قد يؤدي عدم الامتثال لقوانين البيانات المحلية إلى فرض غرامات أو عقوبات قانونية أخرى. كما يمكن أن يتسبب أيضًا في الإضرار بالسمعة. وإذا استهانت مؤسسة ما بلوائح خصوصية البيانات، فقد يتجه العملاء إلى مكان آخر.
يمكن أن تشكل متطلبات أماكن وجود البيانات وسيادة البيانات قرارات المؤسسة بشأن أنواع البيانات التي تجمعها وطريقة استخدامها لها والبنية التحتية لتكنولوجيا المعلومات التي تبنيها.
البنية التحتية السحابية
تجمع المؤسسات اليوم الكثير من أنواع البيانات (بيانات العملاء والبيانات التشغيلية وبيانات المعاملات) من الكثير من مصادر البيانات (تطبيقات الويب وأنظمة الأعمال وأجهزة إنترنت الأشياء) حول العالم. وتستخدم العديد من المؤسسات الخدمات السحابية لتخزين البيانات ومعالجتها وتحليلها وأعباء العمل الرئيسية الأخرى.
بينما تتحرك البيانات عبر البنية التحتية لتكنولوجيا المعلومات المتصلة بالسحابة الخاصة بالمؤسسة، يمكن أن تعبر العديد من الحدود. وأينما تذهب البيانات، يمكن أن تخضع لقوانين جديدة. عند العمل مع مقدمي الخدمات السحابية، تحتاج المؤسسات إلى أن تكون على دراية بالمكان الذي تذهب إليه بياناتها لأغراض التخزين والنسخ الاحتياطي والمعالجة.
قد تختار المؤسسات العمل مع مقدمي الخدمات السحابية العامة الذين لديهم بنية تحتية في مكان المؤسسة نفسه. تعتمد بعض المؤسسات على السحابة الخاصة مع وجود الأجهزة حيثما احتاجت إليها.
تتبع العديد من المؤسسات نهجًا هجينًا متعدد السحابة، باستخدام مقدمي خدمات وبيئات سحابية عامة وخاصة متعددة. يمكن أن يساعد هذا النهج الهجين المؤسسة على بناء البنية التحتية التي تحتاجها للامتثال لقوانين البيانات المختلفة في مواقع مختلفة.
أدت تعقيدات موقع البيانات وسيادتها في السحابة إلى تطوير السحابة السيادية، وهو نوع من الحوسبة السحابية مصمم لمساعدة المؤسسات على الامتثال للمتطلبات القانونية والتنظيمية لمختلف المناطق.
تختار بعض المؤسسات أنظمة البيانات المحلية بدلاً من التخزين والمعالجة السحابية. يمكن أن يحد الاحتفاظ بالبيانات في أماكن العمل من بعض مشكلات الامتثال، ولكن هذه الترتيبات يمكن أن تكون مكلفة وأقل قابلية للتوسع مقارنة بالسحابة.
إجراءات أمن البيانات
تفرض بعض الدول على المؤسسات اتخاذ خطوات معينة لتأمين البيانات، مثل تطبيق ضوابط وصول محددة وتقنيات كشف التهديدات.
على الرغم من أن منع الوصول غير المصرح به إلى المعلومات الحساسة هو أولوية بالنسبة إلى معظم المؤسسات بالفعل، فإن موقع البيانات وسيادتها يمكن أن تملي عليها الخطوات المحددة التي يجب أن تتخذها في مجال أمن البيانات.
عمليات إدارة البيانات
تحدد بعض قوانين البيانات ما يمكن للمؤسسات فعله بالبيانات التي لديها.
على سبيل المثال، تحظر بعض القوانين استخدام البيانات الحساسة ما لم يتم استيفاء شروط تقييدية محددة. تمنح بعض القوانين الأشخاص حقوقًا كبيرة على بياناتهم الشخصية، بما في ذلك الحق في حذفها عند الطلب.
يجب على المؤسسات التي تخضع لهذه القوانين أن تضع آليات لضمان استخدام البيانات بشكل مناسب وأن يتمكن المستهلكون من ممارسة حقوقهم بسهولة.
الذكاء الاصطناعي السيادي
يمكن أن يكون لمتطلبات موقع البيانات وسيادتها آثار في أحمال تشغيل الذكاء الاصطناعي (AI) والتعلم الآلي (ML).
تقيد بعض الدول استخدامات معينة للذكاء الاصطناعي على أنواع معينة من البيانات. على سبيل المثال، يحظر قانون الاتحاد الأوروبي للذكاء الاصطناعي أمورًا مثل أنظمة التسجيل الاجتماعي وأنظمة الذكاء الاصطناعي التي تستغل بعض نقاط الضعف، مثل نقاط الضعف الناجمة عن العمر أو الإعاقة.
إلى جانب ذلك، ثمة عدد قليل من المؤسسات اليوم التي تبني نماذج الذكاء الاصطناعي الخاصة بها من الصفر. ويستخدم العديد منها أنظمة الذكاء الاصطناعي من مزودي الجهات الخارجية المستضافة في السحابة. يمكن أن تقدم هذه الأنظمة التعقيدات نفسها التي تقدمها الخدمات السحابية الأخرى.
وقد أدت المخاوف بشأن الاستخدام الآمن للذكاء الاصطناعي إلى زيادة الاهتمام بالذكاء الاصطناعي السيادي، أي الجهود التي تبذلها الدول لتطوير أنظمة الذكاء الاصطناعي الخاصة بها وإدارة الذكاء الاصطناعي داخل حدودها.
يمكن أن تساعد أدوات حوكمة الذكاء الاصطناعي المؤسسات على اكتساب المزيد من الرؤية والتحكم في كيفية ومكان نشر حلول الذكاء الاصطناعي في مجموعات تكنولوجيا المعلومات الخاصة بها. يتيح هذا الوضوح والتحكم المتزايدان للمؤسسات ضمان أن تقدم تطبيقات الذكاء الاصطناعي والتعلم الآلي لديها قيمة مع الامتثال للوائح التنظيمية ذات الصلة.
إخلاء المسؤولية: العميل مسؤول عن ضمان الامتثال لجميع القوانين واللوائح المعمول بها.لا تقدم شركة IBM مشورة قانونية، ولا تتعهد ولا تضمن قدرة خدماتها أو منتجاتها على إلزام العميل بالامتثال لأي قانون أو لائحة.
الموارد
اكتشف الفوائد وعائد الاستثمار لحل IBM Security Guardium Data Protection من خلال هذه الدراسة التي أجرتها شركة Forrester حول التأثير الاقتصادي الكلي (TEI).
تعرَّف على استراتيجيات تبسيط وتسريع خارطة طريق مرونة البيانات الخاصة بك مع الالتزام بأحدث متطلبات الامتثال التنظيمي.
وصلت تكاليف اختراق أمن البيانات إلى مستوى مرتفع جديد. احصل على معارف أساسية لمساعدة فِرق الأمن وتقنية المعلومات على إدارة المخاطر، وتقليل الخسائر المحتملة بأفضل شكل ممكن.
اتَّبِع خطوات واضحة لإكمال المهام وتعرَّف على كيفية استخدام التقنيات بفاعلية في مشاريعك.
تابع دائمًا أحدث التوجهات والأخبار المتعلقة بأمن البيانات.
تُعَد إدارة الهوية والوصول (IAM) أحد مجالات الأمن الإلكتروني وهي تختص بالتحكم في وصول المستخدمين وأذونات الموارد.