دشواری‌های اروپا برای وضع قانون جدید حفاظت از اطلاعات

ندا لهردی - دنیای اقتصاد : کتابخانه‌ها و باشگاه‌های کتاب‌خوانی معمولا فضای مناسبی برای بحث و تبادل نظر درباره ادبیات و هنر هستند. اعضای DataKind -گروهی متشکل از داوطلبان برای کمک به موسسات خیریه هستند تا با استفاده از اطلاعات و داده‌ها خدمات‌شان را بهبود بدهند- در لندن دور هم جمع شده‌اند تا روی یک پیش‌نویس حقوقی و قانونی مطالعه کنند. مقررات حفاظت از داده‌های عمومی (GDPR) که قرار است روز بیست و پنجم ماه می‌به اجرا دربیاید، قطعا پیچیده‌ترین بخش مقررات اتحادیه اروپاست که تا به حال وضع شده است. نسخه چاپی قطور این پیش‌نویس شامل ۹۹ مقاله و ۱۷۳ اظهارنظر مقدماتی است. «جیانفرانکو سیکونی» متخصص علوم داده که این مباحث را رهبری می‌کند، با دقت بخشی را که با مداد قرمز در آن حاشیه‌نویسی کرده است می‌خواند و بررسی می‌کند.
 
 
بعد از سال‌ها مشورت و بررسی روی بهترین شیوه محافظت از اطلاعات و داده‌های شخصی، اتحادیه اروپا قوانین سختگیرانه‌ای را وضع کرده است. این قوانین وضع شده‌اند تا کنترل بیشتری روی شیوه ذخیره و استفاده از اطلاعات به افراد بدهند و شرکت‌ها را ملزم کنند تا از اطلاعات شخصی که از کاربرانشان در اختیار دارند، با دقت بیشتری محافظت کنند. اخیرا خبرهایی منتشر شد که نشان می‌داد شرکت Cambridge Analytica که یک شرکت مشاوره و پردازش داده‌های سیاسی است، دست‌کم اطلاعاتی از کاربران فیس‌بوک را احتمالا به روش غیرقانونی به‌دست آورده است. روز چهارم ماه آوریل فیس‌بوک که ابتدا تخمین زده بود تعداد این کاربران ۵۰ میلیون نفر بوده، این تخمین را به ۸۷ میلیون نفر افزایش داد و پذیرفت که احتمالا تعداد بسیار بیشتری هدف این شرکت قرار گرفته‌اند. جیانفرانکو سیکونی در این تلاش برای بررسی مقررات حفاظت از داده‌های عمومی، تنها نیست. ریشه‌های حساس و دقیق این مقررات جدید به ورای مرزهای اروپا هم می‌رسد. این قوانین درباره بنگاه‌های تجاری و سازمان‌های سراسر جهان در صورتی که اطلاعات شخصی ساکنان اتحادیه اروپا را جمع‌آوری کرده یا پردازش کنند، هم اعمال می‌شود.
 
با این حال بسیاری از شرکت‌ها علیه پیچیدگی‌های این قانون جدید و بوروکراسی که به آنها تحمیل می‌کند، اعتراض کرده‌اند. انتقادات همچنین این موضوع را هم مطرح می‌کنند که GDPR یا مقررات حفاظت از داده‌های عمومی مانع رشد نوآوری در اروپا خواهند شد. برای مثال، این قوانین توسعه خدمات وابسته به هوش مصنوعی -به خصوص آنهایی که اطلاعات ورودی اصلی‌شان است- را برای شرکت‌ها بسیار مشکل‌تر می‌کنند. وقتی شرکت‌ها یک محصول یا خدمت جدید را معرفی می‌کنند، احتمالا باید دوباره از افراد بپرسند که می‌توانند از اطلاعات آنها حتی اگر قبلا آنها را ذخیره کرده باشند، استفاده کنند یا خیر. این در حالی است که مقررات GDPR در بعضی موارد اجازه استفاده از اطلاعات را برای اهداف علمی و تحقیقاتی بدون اجازه مجدد می‌دهد.
 
با این همه و در میان این انتقادات، واکنش‌های مثبتی هم به این مقررات وجود دارند. جیانفرانکو سیکونی از گروه DataKind در این مورد می‌گوید: «پیش‌نویس این قانون واقعا بسیار ساده و قابل فهم است و این باعث می‌شود تا سازمان‌ها و بنگاه‌های تجاری درست مثل ما درباره اطلاعاتی که در اختیار دارند، آگاهی پیدا کنند». «دانیل رز» وکیل شرکت آمریکایی Allscripts که به بیمارستان‌ها و پزشکان برای مدیریت سوابق پزشکی‌شان کمک می‌کند، با این تحلیل موافق است. «ویکتور شونبرگر» از دانشگاه آکسفورد اما معتقد است که این قوانین دو وجه دارند؛ در حالی که باعث تحمیل هزینه می‌شوند، اما ساختاری و موثر هستند.  این قوانین جدید اغلب توسط متخصصان آلمانی حریم خصوصی نوشته شده‌اند. رضایت برای جمع‌آوری و پردازش اطلاعات شخصی حالا به الزام قابل پذیرش و برای اهداف خاص تبدیل شده و به این معناست که دسترسی به تمام اطلاعات باید با اجازه و رضایت افراد انجام شود و تنها عبارت «اطلاعات شما برای بهبود خدمات مورد استفاده قرار می‌گیرند» دیگر کافی نیست. تمام مراحل دسترسی به اطلاعات شخصی، نسخه‌برداری از آنها، اصلاح یا حتی پاک کردن آنها باید با اجازه و رضایت خود فرد انجام بشود.
 
 
قوانین و مقررات GDPR در واقع چشم‌انداز آینده روش تعامل سازمان‌ها با اطلاعات و داده‌های شخصی افراد است. آنها باید یک ناظر حفاظت اطلاعات (DPO) را منصوب کنند، بازرسی که مستقیما به مقامات مدیریتی رده بالا گزارش می‌دهد و نمی‌تواند برای کاری که انجام می‌دهد جریمه شود. آنها باید به تمام جزئیات توجه کنند، چون فرآیند حفاظت از اطلاعات ارزیابی‌ها و بررسی‌ها را تحت تاثیر قرار می‌دهد. آنها همچنین باید روند پردازش اطلاعات را به دقت مورد بررسی قرار دهند تا بتوانند بر کار حفاظت از اطلاعات شخصی نظارت کرده و در صورت بروز نفوذ و رخنه به این اطلاعات، در طول ۷۲ ساعت مقامات را مطلع کنند. شرکت‌هایی که مصرانه از این قوانین و مقررات جدید سرپیچی کنند، با جریمه‌های سنگینی مواجه می‌شوند که به بیش از ۲۰ میلیون یورو (۲۵ میلیون دلار) یا ۴ درصد از فروش جهانی سالانه‌شان می‌رسد.
 
در نتیجه قوانین GDPR تضمین می‌کنند که تمام سازمان‌هایی که اطلاعات را جمع‌آوری و نگهداری می‌کنند، نمی‌توانند به راحتی از آنها استفاده یا سوءاستفاده بکنند. در واقع جریمه‌هایی که در این قوانین برای سازمان‌ها و نهادهای سرپیچی‌کننده در نظر گرفته شده است، بسیار بیشتر از میزانی است که در قوانین ابتدایی در سال ۱۹۹۵ وضع شده بود. در حقیقت قوانین جدید ریسک سوءاستفاده‌های هرچند ناچیز از اطلاعات شخصی افراد را هم بالا برده و این موضوعی است که سازمان‌ها و شرکت‌ها نمی‌توانند به سادگی آن را نادیده بگیرند. با این اوصاف است که بسیاری از مقام‌های مسوول امنیت اطلاعات و حریم شخصی در شرکت‌ها و سازمان‌ها حالا تحت فشار قرار گرفته‌اند و مسوولیت بیشتری به عهده‌شان گذاشته شده است.
 
قوانین GDPR سازمان‌ها را مجبور می‌کند تا فهرستی از اطلاعات شخصی که در اختیار دارند، تهیه کنند. در حالی که ذخیره اطلاعات به‌صورت دیجیتالی ارزان و ارزان‌تر می‌شود، شرکت‌ها اغلب صدها پایگاه داده در اختیار دارند که بسیاری از آنها سال‌هاست به فراموشی سپرده شده است. برای هماهنگی با این مقررات جدید شرکت‌ها باید جدی‌تر درباره «سلامت داده‌ها»، شیوه حفاظت از آنها و اینکه اجباری برای ذخیره آنها ندارند، فکر کنند. برای مثال شرکت بزرگ Mastercard پورتال‌هایی برای مالکان کارت‌های اعتباری‌اش ایجاد کرده است تا به وسیله آنها اطلاعاتی را که نگهداری می‌شوند، کنترل کند.  «جوآن استونیر» مدیر ارشد حفاظت از داده‌های شرکت Mastercard در این مورد می‌گوید: «تلاش‌ها و اقداماتی از این قبیل باعث شده است که این شرکت بیشتر مراقب آنچه اطلاعات شخصی مشتریانش را تهدید می‌کنند، باشد». حالا گویا این ملاحظات در حال گسترش و همه‌گیر شدن است تا به این ترتیب فرآیند حفاظت از اطلاعات شخصی افراد به شکلی جدی و دقیق‌تر انجام شده و در نهایت رعایت این قوانین به شکلی خودکار و پیش‌فرض انجام شود.
 
منبع: اکونومیست