مفید و کاربردی
لینک های مفید و کاربردی برای شما

بررسی قانون GDPR و امنیت حریم خصوص کاربران در سطح اینترنت

قانون GDPR
40

شاید بتوان گاف بزرگ فیس بوک در نشت اطلاعات کاربران را بهترین گزینه برای تصویب قوانین GDPR و گام بزرگی در جهت امنیت داده‌های کاربران محسوب نمود. ولی کنترل ریسک‌های نشت اطلاعات کاربران در اینترنت، هنوز به اقدامات وسیع‌تری نیاز دارد. در ادامه همراه با آی تی من باشید.

پیشنهادی :

امروزه بازاریابی خوب، متکی به داده‌های صحیح و دقیق مشتریان است و جای تعجب نیست که شرکت‌ها روی جمع‌آوری اطلاعات مشتریان خود سرمایه‌گذاری می‌کنند. به‌عنوان‌مثال آمازون دائماً رفتار ۱۰۰ میلیون عضو پرایم خود را به‌عنوان «داده‌های شخص اول» پیگیری می‌کند.

بسیاری از شرکت‌ها دریافته‌اند که به اشتراک گذاشتن اطلاعات مشتریان با شرکت‌های دیگر، بین آن‌ها همکاری متقابلی برقرار می‌کند. مخصوصاً با افزایش داده‌های اینترنت اشیا که از سنسورهای GPS، ابزارهای اندازه‌گیری هوشمند، دستگاه‌های فیتنس و نظیر آن به دست می‌آیند و داده‌های «شخص دوم» نامیده می‌شوند.

درنهایت نیز بسیاری از شرکت‌ها داده‌های شخص ثالث را از شرکت‌هایی نظیر Acxiom خریداری می‌کنند، که در هرلحظه تا ۱۵۰۰ داده را از ۷۰۰ میلیون مشتری در سراسر دنیا جمع‌آوری می‌کند.

GDPR چیست؟

مقررات عمومی حفاظت از داده اتحادیه اروپا (The General Data Protection Regulation (GDPR) (EU) 2016/679) مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شده‌است. هدف این مقررات اساساً، برای اعطای کنترل دادها به شهروندان و ساکنان این منطقه و ساده‌سازی محیط مقررات گذاری برای کسب و کارهای بین‌المللی از طریق یکسان‌سازی مقررات است.

این مقررات جایگزین قانون حفاظت از داده اتحادیه اروپا (۹۵/۴۶/EC) شده‌است و شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا می‌شود و در خصوص همه کسب و کارهایی که با این منطقه اقتصادی مراوده کاری دارند، صرف نظر از مکان استقرارشان، می‌شود. بدین ترتیب، فرایندهای کسب و کار که اطلاعات شخصی را اداره می‌کنند، باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و به‌طور پیش فرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بی‌نام سازی ذخیره شود و و حداکثر محرمانگی به‌طور پیش فرض در نظر گرفته شود، به گونه ای که داده‌ها بدون رضایت صریح به‌طور عمومی در دسترس نباشد و بدون اطلاعات اضافی جداگانه برای تعیین هویت اشخاص قابل استفاده نباشد.

هیچ اطلاعات شخصی نمی‌تواند پردازش شود، مگر آنکه تحت مبنای قانونی که به وسیله مقررا مشخص شده، انجام شود یا آنکه کنترل‌کننده یا پردازنده داده‌ها اجازه صریح مختارانه صاحب داده‌ها را دریافت کرده باشد. صاحب داده‌ها می‌تواند در هر زمانی این اجازه را لغو کند.

این قانون در ۱۴ آوریل ۲۰۱۶ وضع شد. و بعد از سپری شدن دو سال به عنوان دوره گذار، از ۲۵ مه ۲۰۱۸ به اجرا درآمد. اعمال این قانون نیازمند تصویب قانون جداگانه در کشورهای عضو اتحادیه نمی‌باشد و به‌طور خودکار در همه آنها لازم‌الاجراست.

دامنه قانون

در صورتی که کنترل‌کننده (سازمانی که داده‌ها را از افراد مقیم اروپا گردآوری می‌کند)، یا پردازنده (سازمانی که داده را به نمایندگی از کنترل‌کننده پردازش می‌کند مانند فراهم کننده خدمات ابری)، یا موضوع داده (شخص) در اروپا باشد، مقررات قانون نافذ خواهد بود. اکر سازمانی خارج از اتحادیه اروپا داده‌های شخصی افراد درون اروپا را گردآوری یا پردازش کند، تحت برخی شرایط مقررات قانون بر آن سازمان نیز قابل اعمال است.

دلایل موجه پردازش داده‌ها

جز با رضایت شخص موضوع داده و تنها در یک یا دو موردی که او اجازه داده نباید داده‌های شخصی پردازش شوند مگر حداقل یکی از مقدمات قانونی زیر فراهم باشد:

  • برای منافع مشروع کنترل‌کننده داده یا یک شخص ثالث، مگر اینکه این منافع با منشور حقوق بنیادی اتحادیه اروپا در تعارض باشد. (به ویژه در مورد کودکان)
  • برای اجرای وظیفه ای در خدمت عموم یا یک مرجع رسمی
  • برای رعایت تکالیف قانونی کنترل‌کننده داده
  • برای تحقق الزامان قراردادی با شخص موضوع داده
  • برای ایفای تعهداتی که به واسطه درخواست شخص موضوع داده که در فرایند عقد قرارداد یا کنترل‌کننده داده قراردارد.
  • برای حفاظت از منافع حیاتی شخص موضوع داده یا یک شخص دیگر

قانون GDPR به زبان ساده تر !

GDPR مخفف عبارت General Data Protection Regulation به معنی «مقررات محافظت از داده‌های عمومی» است. قانون GDPR در پارلمان اتحادیه اروپا به تصویب رسیده و به همین خاطر در کشورهای عضو این اتحادیه و کشورهای وابسته لازم‌الاجرا است. اتحادیه اروپا در سال‌های گذشته همواره قوانینی را برای حفظ حریم خصوصی و جلوگیری از سوءاستفاده‌ی شرکت‌ها از داده‌های شخصی کاربران به تصویب رسانده است.

حالا این قانون، دست شرکت‌ها را برای سوءاستفاده از داده‌های شهروندان اروپا، تا حد زیادی می‌بندد. طبق این قانون، شهروندان اروپایی مالک داده‌های خود هستند و شرکت‌هایی که این داده‌ها را جمع‌آوری می‌کنند، برای این داده‌ها از حق مالکیت بهره نمی‌برند.

با اجرایی شدن این قانون، شرکت‌هایی که مرتکب خلاف شوند، تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی جهانی خود (هرکدام که بیشتر باشد) جریمه می‌شوند. طبق این قانون، شرکت‌ها باید بدانند که چه اطلاعاتی را و چرا جمع‌آوری می‌کنند. همچنین برای استفاده از داده‌های شخصی کاربران، باید به زبان روشن و ساده از کاربران اروپایی خود اجازه بگیرند.

علاوه بر این، کاربران می‌توانند از شرکت موردنظر بخواهند که داده‌های شخصی آن‌ها را ارائه دهد و در صورت درخواست کاربران، شرکت مذکور باید توضیح دهد که چنین داده‌هایی در چه مواردی مورد استفاده قرار گرفته است. علاوه بر این، شرکت‌ها باید داده‌های جمع‌آوری شده از کاربران را هر چند وقت یک‌بار از بین ببرند.

کمپانی‌ها باید ثابت کنند که از داده‌های کاربران به‌خوبی مراقبت می‌کنند، که این به معنای افزایش نظارت بر این شرکت‌ها است. در هنگام رخنه به سیستم، این شرکت‌ها باید به تمام کاربران اروپایی خود در مورد این رخنه و وسعت آن اطلاع دهند. این موارد تنها بخش کوچکی از بندهای قانون GDPR محسوب می‌شوند.

قانون GDPR چه تاثیراتی خواهد داشت؟

هرچند این قانون کار شرکت‌های بزرگی مانند گوگل و فیسبوک را از گذشته سخت‌تر می‌کند، اما در حقیقت این شرکت‌های کوچک هستند که برای تبعیت از این قانون با مشکلات بسیار بزرگ‌تری مواجه می‌شوند؛ زیرا تبعیت از این قوانین هزینه‌های زیادی را بر شرکت‌ها تحمیل می‌کند.

در این میان غول‌های بزرگ تکنولوژی مشکلی در این زمینه ندارند، اما شرکت‌های کوچک نمی‌توانند از پس این هزینه‌ها بربیایند. برخی از سازنده‌های بازی‌های آنلاین اعلام کرده‌اند که برای جلوگیری از دردسرهای متعدد، دسترسی کاربران اروپایی به بازی‌های خود را مسدود می‌کنند. بر اساس نظر بسیاری از متخصصین، چنین قوانینی هرچند به‌نفع کاربران اروپایی است، اما منجر به حذف شدن تعداد بسیاری زیادی از شرکت‌های کوچک و قدرتمندتر شدن شرکت‌های بزرگ می‌شود.

قانون GDPR
قانون GDPR

هرچند اطلاعاتی که از این پایگاه‌های داده به دست می‌آید، پتانسیل بازاریابی مؤثر را بسیار بالا می‌برد، اما درعین‌حال نگرانی‌های مربوط با حفظ حریم شخصی کاربران، هیچ زمان تا به این حد جدی نبوده است. هک‌های گسترده و شایعی که نمونه‌ی آن را در رسوایی فیس‌بوک – آنالیتیکا شاهد بودیم، باعث شده مشتریان تمایلی برای به اشتراک گذاشتن داده‌های خود نداشته باشند و حتی به برندهای مشهور هم اعتماد نکنند. طبیعتاً شرکت‌ها بزرگ‌ترین بازنده‌ی این میدان هستند.

به‌عنوان‌مثال هک سه میلیارد حساب کاربری یاهو باعث شد ورایزن قیمت پیشنهادی خرید این شرکت را تا ۳۵۰ میلیون دلار پایین بیاورد.

همان‌طور که مطالعات نشان می‌دهد، مصرف‌کنندگان متمایلند اطلاعات خود را در اختیار شرکتی قرار دهند که اطمینان دارند از این اطلاعات محافظت می‌کند. این روزها مقررات بیشتری برای پاسخگو نگه‌داشتن شرکت‌ها وضع‌شده و کاربران می‌توانند اطلاعات خود را ویرایش، حذف یا منتقل کنند و همچنین یک نسخه از تمامی داده‌های خود را در اختیار داشته باشند.

بهترین مثال فعلی نیز مقررات حفاظت از اطلاعات عمومی (GDPR) است که از ۲۵ ماه می در اتحادیه اروپا به مرحله‌ی اجرا درآمد و آمریکا نیز با دقت روندهای آن را زیر نظر گرفته است.

حالا سؤال تریلیون دلاری این است که آیا کسب‌وکارها، می‌توانند هم‌زمان با حفظ حریم خصوصی داده‌های مشتریان، از مزایای بازاریابی مبتنی بر داده بهره‌مند شوند؟

رویکردهای فعلی برای حفاظت از داده‌ها

در حال حاضر رایج‌ترین رویکرد محافظتی کسب‌وکارها، محدود کردن دسترسی به داده‌های جمع‌آوری‌شده است. البته کنترل دسترسی، به دلایل متعددی یک رویکرد کاملاً اطمینان‌بخش محسوب نمی‌شود. زیرا به‌محض اینکه یک شرکت داده‌ها را (چه به صورت داخلی و چه خارجی) به اشتراک می‌گذارد، قدرت کنترل دسترسی را تا حد زیادی از دست می‌دهد. به‌علاوه اقداماتی نظیر متخلص سازی یا Pseudonymization که یکی از قوانین GDPR نیز هست، همان‌طور که در ادامه‌ی مقاله توضیح می‌دهم، امنیت داده‌ها را تضمین نمی‌کنند.

یادآوری: متخلص سازی به این معنا است که داده‌های شخصی به شیوه‌ای پردازش شوند که بدون استفاده از برخی اطلاعات اضافی، نتوان آن‌ها را به‌عنوان داده‌های یک موضوع خاص تشخیص داد.

مثال زیر را در نظر بگیرید. دو خرده‌فروشی تصمیم می‌گیرند از طریق به اشتراک‌گذاری متقابل داده‌های شخص دوم، با یکدیگر مشارکت کنند. اگرچه خرده‌فروشی B همه‌ی اطلاعات قابل‌شناسایی شخصی را از داده‌های خود حذف کرده است، ولی نمی‌توان گفت که داده‌ها واقعاً ناشناس هستند.

زیرا داده‌هایی که ترکیبی از محدوده سنی، نشانگر زمانی، جنسیت و کد پستی هستند، یک رکورد جمعیتی منحصربه‌فرد را خلق می‌کنند که مرتبط کردن آن با اطلاعات اضافی خرده‌فروشی B، غیرممکن نیست. بنابراین گرچه این خرده‌فروشی‌ها قوانین تصویب‌شده را رعایت می‌کنند، ولی طی این پروسه، داده‌های مصرف‌کنندگان با ریسک بسیار بالایی روبرو است.

قانون GDPR
قانون GDPR

نقش داده‌های ترکیبی در حفاظت حریم شخصی

در اغلب کشورها آژانس‌های دولتی که اطلاعات حساسی را جمع‌آوری می‌کنند، طبق قانون موظف‌اند داده‌ها را به‌صورت عمومی به اشتراک بگذارند. این آژانس‌ها داده‌های اصلی را طی یک پروسه، به داده‌های محافظت‌شده تبدیل و سپس منتشر می‌کنند. در این رویکرد، متغیرهای حساس داده‌ها به‌طور سیستماتیک و از طریق یکی از روش‌های زیر، تعدیل می‌شوند. بیایید مثال خرده‌فروشی‌هایی را دنبال کنیم که می‌خواهند داده‌های فروش هفتگی را با یکدیگر به اشتراک بگذارند:

  • اضافه کردن نویز تصادفی: مشاهدات در دهک‌های مبتنی بر فروش گروه‌بندی می‌شوند و یک رقم رندوم به هر دهک اضافه می‌شود.
  • گرد کردن: فروش به نزدیک‌ترین رقم صدگان گرد می‌شود.
  • کدگذاری بالا: تمام اقلامی که ارزش آن‌ها از یک حد آستانه (مثلاً ۱۰۰) بالاتر است، معادل ۱۰۰ در نظر گرفته می‌شوند.
  • تعویض: مشاهدات به چندین گروه تقسیم می‌شوند و داده‌های فروش گروه‌های مختلف باهم جابجا می‌شود.
  • تجمیع: مجموع فروش هفتگی و میانگین قیمت‌ها و پروموشن‌ها را به همه‌ی فروشگاه‌های حاضر در یک بازار نسبت می‌دهند.
قانون GDPR
قانون GDPR

ایجاد داده‌های مصنوعی : شبیه سازی یک توزیع احتمالی

سازمان‌های بزرگ غالباً با استفاده از این پروسه‌ها که «اختلال در داده‌ها» نامیده می‌شوند، اطلاعات مفید را در میان داده‌های اصلی محفوظ نگه می‌دارند و درعین‌حال، شانس نقض حریم خصوصی را کاهش می‌دهند. داده‌های اصلی در یک فضای دسترسی امن نگه‌داشته می‌شوند، مگر اینکه زمانی حذف برخی از آن‌ها ضروری باشد. کارشناسان معتقدند که شرکت‌ها نیز باید برای تقویت شیوه‌های محافظت از داده‌های خود، نگاهی هم به رویکردهای فوق داشته باشند.

یکی از راه‌های تبدیل داده‌های اصلی بازاریابی به داده‌های ترکیبی، استفاده از مدل‌های آماری است. ایده‌ی اصلی مدل‌های آماری، این است که اهداف بازاریابی (که داده‌های مربوط به آن جمع‌آوری‌شده) در یک پروسه‌ی هم‌گذاری مفروض شوند و سپس داده‌های کاهشی و افزایشی را با دقت روی آن اعمال کنند.

به‌عنوان‌مثال، یک فرم متداول از داده‌هایی را که به‌طور گسترده مورداستفاده قرار می‌گیرند، در نظر بگیرید: داده‌های فروش نقطه‌ای خرده‌فروشی‌ها. معمولاً شرکت‌های تحقیقات بازار، این داده‌ها را از سطح فروشگاه‌ها جمع‌آوری می‌کنند. سپس با روش تجمیع همه‌ی داده‌ها را ترکیب می‌کنند تا هیچ فروشگاه خاصی به‌طور مجزا قابل‌شناسایی نباشد.

خریداران این داده‌ها عمدتاً شرکت‌های بزرگ بسته‌بندی محصولات مصرفی هستند. مدیران برندها نیز به کمک همین داده‌ها عملکرد برند و متریک‌های بازاریابی نظیر کشش قیمتی و فاکتورهای ارتقای تبلیغات را ارزیابی می‌کنند. اما رویکرد تجمیع ممکن است متریک‌هایی را که مبنای تصمیم‌گیری‌های مهم مدیران هستند (مانند تعیین بودجه‌ی تبلیغات تجاری) دچار انحراف کنند.

اینجا هم یکی از روش‌های محافظت از هویت فروشگاه‌ها این است که با استفاده از یک مدل آماری، داده‌های اصلی را به داده‌های مصنوعی یا ترکیبی تبدیل کنیم. تحقیقات نشان می‌دهد که این روش داده‌های به‌مراتب صحیح‌تری را به مدیران عرضه می‌کند و درعین‌حال هویت فروشگاه‌ها را محفوظ نگه می‌دارد.

جمع‌بندی نهایی: کسب‌وکارها در صورتی می‌توانند از مزایای عالی بازاریابی مبتنی بر داده بهره ببرند که راهی برای غلبه بر ریسک‌های آن و به‌ویژه جلوگیری از افشای ناخواسته‌ی اطلاعات بیابند. رویکردهای کنونی نظیر کنترل سطح دسترسی و حذف اطلاعات شخصی قابل‌شناسایی، ریسک‌های نشت اطلاعات را کاملاً مهار نمی‌کنند.

رویکردهایی مانند روش تجمیع نیز کیفیت اطلاعات را شدیداً پایین می‌آورند. بهترین پیشنهاد فعلی کارشناسان این است که شرکت‌ها با استفاده از مدل‌های آماری، داده‌های اصلی را به داده‌های ترکیبی تبدیل کنند، تا هم تصمیمات بازاریابی بر اساس داده‌های معتبری انجام شود و هم امنیت داده‌ها محفوظ بماند.

نظرشما درباره این قانون و تاثیرات آن چیست؟ آیا می تواند به صورت گسترده جلوی بسیاری از نشت های اطلاعاتی را بگیرد؟ نظرات خود را با آی تی من درمیان بگذارید.

از طريق جلال ترابی آی تی من

40
دیدگاه بگذارید

avatar
20 فعالیت های نظردهی
20 واکنش به پاسخ دهی
19 دنبال کننده گان
 
بیشترین نظر دیده شده
داغ ترین بخش نظرات
21 نویسندگان نظرات
جلال ترابیمژگانستارهاشراقیستایش آخرین نظرات ارسالی
  عضویت  
جدید ترین قدیمی ترین بیشتری بازدید
هشدار به وسیله :
مهدی موسوی
مهمان عزیز
مهدی موسوی

در ایران هم متن همه پیام ها، تماس‌ها، وب سایتهایی که مشاهده کرده اید و… بدون هیچ اجازه ای از شما ذخیره می شوند!!!

مجید
مهمان عزیز
مجید

مجازات های درنظرگرفته شده برای متخلفان به حدی سنگین است که غول هایی نظیر گوگل سریعا بروزرسانی قوانین داخلی، بازنویسی قراردادها و توسعه ابزارهای داده جدید را در دستور کار خود قرار داده
و برخی دیگر از سازمان ها که زمان کافی برای تطابق با این قوانین نداشته اند، سایت های خود را در اروپا به حالت تعلیق درآورده اند.

hamed
مهمان عزیز
hamed

قوانین قوی برای حفظ حریم شخصی کاربران است. امیدوارم مشابه این قوانین در ایران “اجرایی” شوند.

فاطمه
مهمان عزیز
فاطمه

اتحادیه اروپا در انتها خاطر نشان کرد که روح اینباکس ای میل کاربران شاد باد.

سید محمد
مهمان عزیز
سید محمد

تلگرام هم این قوانین رو اجرا کرده
میتونین تو سایت تلگرام ببینید
ربات gdpr هم به هم منظور راه اندازی کرده
هنگام ثبت نام هم از کاربر میخواد تیک موافقت با قوانین را بزند

ساسان
مهمان عزیز
ساسان

سلام ممنون از مطلب خوب تون آقای ترابی . منم یه سری توضیحات بدم در این زمینه : قانون حفاظت از اطلاعات (General Data Protection Regulation) یا GDPR قانون جدیدی است که اتحادیه اروپا سال ۲۰۱۶ تصویب کرد و روز ۲۵ مه ۲۰۱۸ اجرایی می‌شه، و شرکت‌های دنیا تا اون تاریخ باید امکانات لازم برای اجرای این قانون رو داشته باشند. قانون GDPR برای حفاظت از اطلاعات و حریم خصوصی شهروندان و افراد مقیم اتحادیه اروپا تصویب شده و جایگزین قانون قبلی حفاظت از داده‌هاست. تمام شرکت‌های دنیا که می‌خوان به شهروندان اتحادیه اروپا خدمات رسانی کنن باید این قانون… ادامه نظر »

نیلوفر
مهمان عزیز
نیلوفر

اتحادیه اروپا دارای پارلمانی است که مقرراتی را با نام Regulation (مقرره) تصویب میکند. مقره‌ها بدون آنکه نیازی به تصویب در مجلس قانون‌گذاری کشورهای عضو اتحادیه داشته باشند، مستقیما برای کشورهای عضو اتحادیه اروپا لازم‌الاجرا هستند. مقرره حفاظت از اطلاعات (General Data Protection Regulation) یا GDPR یکی از همان مقرراتی است که برای اعضای اتحادیه اروپا لازم‌الاجراست. این مقرره که در سال 2016 تصویب شده است و تا چند روز دیگر لازم‌الاجرا می‌شود، در خصوص حفظ حریم خصوصی و جلوگیری از سوء استفاده‌ی شرکت‌ها از داده‌های شخصی کاربران به ویژه شهروندان اروپا است. اتحادیه اروپا پیش از این مقرره نیز،… ادامه نظر »

نانسی
مهمان عزیز
نانسی

عالی بود

shakira
مهمان عزیز
shakira

خیلی خوب بود

نارین
مهمان عزیز
نارین

مطلب کاربردی و خوبی بود

نازنین
مهمان عزیز
نازنین

خیلی عالی بود

سوسن
مهمان عزیز
سوسن

ممنونم از شما

صدیق
مهمان عزیز
صدیق

مقاله عالی بود

شفایی
مهمان عزیز
شفایی

مقاله تون خوب بود
میتونم منتشر کنم ؟

سایا
مهمان عزیز
سایا

بازم خدا پدر فیس بوکو بیامرزه که این گاف بزرگ رو داد

مهناز
مهمان عزیز
مهناز

خیلی خوب بود

ستایش
مهمان عزیز
ستایش

عالی بود آقای ترابی

اشراقی
مهمان عزیز
اشراقی

قانون خوبیه اما جای کار داره

ستاره
مهمان عزیز
ستاره

تو ایران اجرایی شده؟

مژگان
مهمان عزیز
مژگان

اطلاع رسانی خوبیه
کاش داخل ایران هم اجرایی بشه