تصاعد الجدل عالميًّا حول حماية البيانات، خصوصًا بعد تكرار حوادث التسريب والاختراقات وسوء الاستخدام، وكان من أشهر تلك الحوادث "كامبريدج أناليتيكا" Cambridge Analytica، حيث سرب موقع التواصل الاجتماعي Facebook بيانات ما يُقارب 87 مليون مستخدم لشركة Cambridge Analytica التي كانت تعمل لصالح الحملة الانتخابية للرئيس الأمريكي "دونالد ترامب".
ومنذ وقوع تلك الحوادث أصبحت حماية البيانات الشخصية هدفًا تسعى إليه العديد من الدول والمؤسسات، حيث تم تطبيق "اللائحة العامة لحماية البيانات" General Data Protection Regulation المعروفة اختصارًا بـ (GDPR) في نهاية مايو عام 2018، وقد أعدها البرلمان الأوروبي ومجلس الاتحاد الأوروبي لرسم إطار عمل واضح وقياسي لأجل التعامل مع بيانات المستخدمين داخل الاتحاد. وتأتي هذه اللائحة الجديدة لتحل محل "توجيه حماية البيانات" (Data Protection Directive) الذي تم إقراره عام 1995 وتطبيقه في عام 1998، وقد ركز هذا التوجيه على أن معالجة البيانات الشخصية تتم عند استيفاء شروط رئيسية يحددها التوجيه.
وتكمن أهمية اللائحة الجديدة في أنها تُعد تطويرًا للقانون السابق، بحيث يمتد عبر الاتحاد الأوروبي كقانون موحد، ويكون الأول من نوعه كمبادرة عالمية التأثير. وتُمكِّن اللائحة الجديدة المستخدمين من الاتحاد الأوروبي من السيطرة بشكل أفضل على بياناتهم الشخصية، بالإضافة إلى تحديدها كيفية تعامل الشركات مع بيانات مستخدميها المخزنة لديها، وتستهدف الشركات التكنولوجية العملاقة، مثل: Google وFacebook وAmazon وغيرها، خاصة تلك التي يكون مستخدموها من داخل الاتحاد الأوروبي.
دوافع التطوير:
يُعد أحد الأهداف الرئيسية من إنشاء "توجيه حماية البيانات" DPD هو تأمين البيانات الشخصية لمواطني الاتحاد الأوروبي من سوء الاستخدام، بيد أن التطور التكنولوجي السريع تسبب في تغيرات كبيرة في عالم البيانات والمعلومات وطرق جمعها ومعالجتها، إضافةً إلى نشأة نماذج أعمال وشركات تعتمد في عملها على جمع البيانات الشخصية، سواء بطرق مشروعة أو غير مشروعة والمتاجرة بها والاستفادة منها، لذلك أصبحت هناك ضرورة لتطوير قوانين حماية البيانات الشخصية. ويشير الخبراء إلى تغيرات مهمة أدخلها المشرعون على لائحة GDPR لزيادة حماية البيانات الشخصية، والتي يمكن توضيحها فيما يلي:
1- البيانات الشخصية: أصبح للبيانات الشخصية تعريف أوسع بكثير بعد أن كان قاصرًا فقط على: الاسم، والصورة، وعنوان البريد الإلكتروني، ورقم الهاتف، ومحل الإقامة، حيث امتد ليشمل عنوان المستخدم على الشبكة (IP)، ومعرّفات الأجهزة المحمولة، والبيانات البيومترية مثل (البصمات، وفصيلة الدم، والحمض النووي.. إلخ) والمواقع الجغرافية (GPS Location) وغيرها الكثير. ويرى الخبراء أن إعادة التعريف تحاكي تطور البيانات وتعدد أنواعها، لكنها تُعقّد على الشركات طرق جمع البيانات لأعراض التسويق لأنها تُصعّب عليها إنشاء الملفات الشخصية (profiles) للمستخدمين من خلال جمع بيانات التصفح والاطلاع على تاريخ مشتريات المستخدمين.
2- موافقة المستخدم: حيث أصبح من اللازم موافقة المستخدم للاحتفاظ ببياناته ومعالجتها، وأن تكون واضحة لا لبس فيها، كما أن هذا التغيير يحظر على الشركات إرغام المستخدمين على الموافقة على أي شروط إضافية، وأن عليها مراجعة سياسات الاستخدام لديها، وبسبب تنوع البيانات تفرض اللائحة على الشركات الحصول على موافقة من المستخدمين على كل نوع، وتشير إلى أنه في حالة عدم الحصول على رد من المستخدم فإنه لا يمكن افتراض موافقته، وتكفل اللائحة الحق للمستخدمين داخل الاتحاد الأوروبي بأن يطالبوا باسترجاع بياناتهم أو إعدامها أو تعديلها في خلال مدة محددة، وإذا لم تتم الاستجابة لمطالب المستخدمين فستتعرض الشركات لعقوبات مالية.
3- تقاسم المسئوليات: يوجد نوعان من الشركات التي تتعامل ببيانات المستخدمين، النوع الأول شركات تتحكم في بيانات المستخدمين وتحدد كيفية معالجتها والهدف منها (Data Controllers)، والنوع الثاني شركات تعالج البيانات فقط كطرف مساعد (Data Processors). سابقًا كان توجيه DPD يضع المسئولية فقط على عاتق النوع الأول عند حدوث الأخطاء أو الاختراقات، أما لائحة GDPR فتشير إلى مسئولية كلا النوعين، هذا بالإضافة إلى أن الشركات سيجب عليها عمل سياسات حماية البيانات والحفاظ على سجل لأنشطة معالجة البيانات، كما أنها تطالب الشركات بإجراء تقييمات لمخاطر الاختراقات بشكل مستمر.
4- حوكمة البيانات والمعلومات: تشترط اللائحة أخذ حماية البيانات الشخصية في الاعتبار عند تصميم المنتجات أو الخدمات الإلكترونية، حيث تقدم اللائحة توجيهات تساعد الشركات في ذلك منذ بداية إنشائها والتخطيط لمنتجاتها، مثل التخلص من بيانات المستخدمين في حال عدم الحاجة لها أو الانتهاء من معالجتها منعًا لقرصنتها. وفي حال إخفاق الشركة في تطبيق هذا البند تُغرَّم ما يقدر بحوالي 2% من إجمالي أرباحها.
5- الإبلاغ عن الاختراقات: حيث تفرض اللائحة على الشركات الإفصاح للجهات المختصة عند تعرض بيانات المستخدمين المخزنة لديها للقرصنة خلال 72 ساعة، وتحدد في الإفصاح طبيعة الاختراق والعدد التقريبي للمستخدمين المتأثرين بالاختراق، وتنبه المستخدمين بوقوع الاختراق حتى يتسنى لهم أخذ احتياطاتهم، على عكس ما كان مقررًا في توجيه DPD السابق الذي يُعطي الحرية لدول أعضاء الاتحاد الأوروبي في سن قوانين الإخطار المختلفة التي قد لا تجبر الشركات على الإفصاح فورًا، وهذا يعني أنه عندما تُخترق شركة ما فإنها تمتثل لقوانين الإفصاح في الدولة التي تعمل بها.
ويطال تأثير هذه اللائحة الشركات التي تتعامل بالبيانات الشخصية للمقيمين في دول الاتحاد الأوروبي حتى ولو كانت الشركات نفسها تعمل من خارج دول الاتحاد، وهو ما يجعل تأثيرها عالميًّا على عكس توجيه DPD السابق الذي كان يغطي حدود الاتحاد الاوروبي فقط. فإذا تم إثبات أن أي شركة قد خرقت اللائحة عندها فإنه يمكن أن يتم تغريمها ما يصل إلى 4% من أرباحها أو ما يصل إلى 20 مليون يورو.
تحديات محتملة:
يترافق مع إصدار القوانين والتشريعات الجديدة في بعض الأحيان صعوبات وتحديات. وفي هذا الإطار، توجد عدة تحديات تفرضها لائحة GDPR ينبغي على الشركات الاستعداد لها، وهو ما يمكن توضيحه فيما يلي:
1- خصوصية بيانات المستخدمين: يجب على الشركات عمل تغييرات داخلية لتطوير استراتيجيات لحماية المعلومات الشخصية للمستخدمين من خلال تقييم المخاطر باستمرار وتحسين آليات اتخاذ القرار والانتباه لأنواع البيانات التي شملتها اللائحة، والامتناع عن جمع أي بيانات شخصية والعمل عليها دون الحصول على موافقة مسبقة من المستخدم، بالإضافة إلى تعيين موظف لحماية البيانات (Data Protection Officer) بحيث يكون مسئولًا عن تطوير استراتيجيات حماية البيانات، والعمل على امتثال الشركة للائحة، والتأكد من وجود خطة طوارئ لإخطار الجهات المعنية عند حدوث أي اختراق للبيانات. وهو ما ينطبق أيضًا على مواقع التواصل الاجتماعي التي سيتحتم عليها عمل إجراءات لضمان الالتزام بلائحة GDPR. فعلى سبيل المثال، أنشأ موقع Facebook مجموعة من الأدوات التي تمنح المستخدمين مزيدًا من التحكم في خصوصية بياناتهم، وتم وضع شروط وسياسات استخدام جديدة لتوضيح استخدامات هذه البيانات.
2- غموض مواد اللائحة: طبقًا للخبراء فإن لائحة GDPR تشتمل على بعض المبادئ الواسعة التي قد لا تتوافق دائمًا مع طريقة معالجة البيانات اليوم، فعلى سبيل المثال تطالب اللائحة الشركات بتحمل المسئولية عن طريق الحد من جمع البيانات ومعالجة فقط ما هو ضروري لغرض محدد، ومنع الاستخدامات الأخرى، لكن هناك مجالات هامة ومفيدة لم تحدد اللائحة كيفية التعامل معها، مثل "تعلم الآلة" (machine learning) الذي يُستغل في صناعة الإعلانات الموجهة للمستخدمين، وصناعة السيارات ذاتية القيادة وغيرها التي تعمد في عملها على كمية ضخمة من البيانات لتدريب أنظمة الكمبيوتر على اتخاذ القرارات التي لا يمكن تحديدها مسبقًا.
ويشير الخبراء إلى وجود بعض الغموض في عدد من مواد اللائحة، فعلى سبيل المثال يتعين على الشركات إخطار الجهات المختصة عند حدوث اختراق، ولكن ما ستفعله الجهات المختصة بعد ذلك ليس واضحًا تمامًا، وقد لا تكون الجهات المختصة بالضرورة مستعدة لتدقيق ومراجعة إجراءات الأمن بالشركات، ومعرفة ما يجب فعله لمساعدة المستخدمين المتضررين من الاختراق.
بالإضافة إلى أن اللائحة تشير إلى عدد من حقوق المستخدمين، بيد أن التحدي يكمن في معرفة تحت أي ظروف يمكن ممارسة تلك الحقوق وما هي حدودها، فمن المهم فهم العواقب المحتملة لإساءة استخدام هذه الحقوق.
3- تدريب مسئولي البيانات: لا يقتصر الأمر على تعيين موظف لحماية البيانات، بل يمتد إلى إعداد وتدريب موظفي الشركة على فهم حقوق المستخدمين وأخذ هذه الحقوق في الاعتبار عند تقديم الخدمة لهم، وما هي المعلومات أو البيانات التي يمكن الكشف عنها وتحت أي ظروف، وما هي الأنشطة المسموح بها وغير المسموح بها في معالجة البيانات، وكيفية الحصول على موافقة المستخدم بشكل صحيح.
4- التخطيط لميزانيات جديدة: ستضطر بعض الشركات إلى إعادة النظر في ميزانياتها من أجل توفير الدعم الملائم لعمليات تأمين البيانات، وقد يكون هناك مزيد من الإنفاق الإضافي الموجه إلى البحث والتطوير وتطبيق الإجراءات الجديدة وتوفير الكوادر اللازمة للعمل.
ختامًا، يمكن القول إن تطبيق اللائحة العامة لحماية البيانات (GDPR) وغيرها من القوانين التي تهدف إلى الحفاظ على خصوصية المستخدمين في العالم السيبراني قد ساهمت في كشف حقيقة أن تجميع البيانات الشخصية للمستخدمين أصبح نموذج العمل لشركات كثيرة على شبكة الإنترنت، حيث إن عددًا كبيرًا من وسطاء البيانات (Data Brokers) يقومون بجمعها وبيعها في أسواق لا يعلم عنها المستخدمون أي شيء، ويتوقع الخبراء أن تُسنَّ قوانين أخرى حول العالم لمواجهة مثل هذه الأسواق الخفية.
