داده يا همان طلاي قرن ۲۱ توسط چه كساني كنترل ميشود
يك تحقيق ميداني در ايالات متحدهي آمريكا ثابت كرد كه هر فرد آمريكايي بهطور ميانگين روزانه ۲۶۰۰ بار موبايل همراه خود را لمس ميكند. اين آمار در سال به حدود يك ميليون و براي برخي متخصصان تا دو ميليون لمس ميرسد.
هر يك از تعاملات لمسي با موبايلهاي هوشمند از جمله ضربه زدن، كشيدن و جابهجا كردن المانها، نشاندهندهي نمونهاي از رفتارهاي عامدانهي ما است. موبايلهاي هوشمند ما تنها ابزارهايي براي منظم كردن بهتر كارهاي روزانه نيستند. آنها دستگاههاي پيچيدهي نظارتي هستند كه ما با ارتباطات خود با آنها و با فرض خصوصي بودن اين ارتباطات، آنها را تغذيه ميكنيم.
ما صادقانهترين سوالاتمان را از گوگل ميپرسيم
بهعنوان مثال، سوالي كه ما از گوگل مي پرسيم، صادقانهتر از سوالهايي است كه اطرافيان و حتي همسر خود ميپرسيم؛ اين ادعا توسط متخصص سابق گوگل و نويسندهي جزوه رايگان «همه دروغ ميگويند: كلان داده، دادهي جديد و آنچه كه اينترنت در مورد شخصيت حقيقي ما ميداند» يعني سث استيونز عنوان شده است.
تنها كافي است اين دادهها را از نقاط داده (ديتا پوينتها) جمعآوري كرده و آنها را با دادههاي دستگاههاي ديگر تركيب كنيد. دستگاههايي همچون تلويزيونهاي هوشمند، پايشگرهاي سلامتي و كوكيها كه در سرتاسر وب بهدنبال ما ميآيند. اين تركيب، يك فرآيند جمعآوري اطلاعات از عادتها و رفتارهاي ما است كه هميشه ادامه دارد و روزانه حدود ۲.۵ كوينتيليون (۱۰ بهتوان ۳۰) بايت داده را شامل ميشود.
اين حجم عظيم از داده، بين شبكهاي از مشاركتكنندگان در اينترنت، محققان و تبليغدهندگان تقسيم شده و پخش ميشود. بهعنوان مثال شركت Acxiom براي هريك از ۵۰۰ ميليون نفر موجود در پايگاه دادهاش، به ۱۵۰۰ ديتا پوينت دسترسي دارد. در چند ماه گذشته، فيسبوك از دانشكدهي پزشكي دانشگاه استنفورد و تعدادي بيمارستان درخواست كرده تا دادههاي پزشكي بيماران را با دادههاي اين سرويس بهاشتراك گذاشته و هماهنگ كنند (البته اين پروژه فعلا تعليق شده است). مثالهاي متعدد ديگري از اين جمعآوري و اشتراك داده ميان شركتها وجود دارد كه مورد توجهترين آن براي آمريكاييها، استفاده از اطلاعات شخصي براي هدفگيري تبليغات انتخاباتي دونالد ترامپ بوده است.
در تعريف ساده، ارتباط نزديك ما با دستگاههاي هوشمندمان، تنها شامل ما و دستگاههايمان نيست. در اينجا بايد بپرسيم تكليف يك شهروند قرن ۲۱ كه براي حريم خصوصي خود ارزش زيادي قائل بوده و در كنار آن، به حضور در جامعهي متصل به هم اين قرن علاقهمند است، چيست؟ با توجه به موارد گفتهشده، بهانديشه متخصصين ميرسد توجه به قانون جامع حفاظت از دادهي اتحاديهي اروپا (GDPR) بيش از هميشه براي مردم مهم باشد. قانوني محكم، پيچيده و صريح در ارتباط با حريم خصوصي كه در تاريخ ۲۵ مي سال جاري، به تصويب رسيد.
يكي از قوانين كليدي ذكرشده در اين بيانيه، شامل دسترسي به اطلاعات شخصي، توضيح الگوريتمهايي كه زندگي شهروندان را شكل ميدهند، قابليت جابهجايي داده و پاك كردن آن است. اين قانون، كسبوكار تمامي سازمانهاي جهانيِ فعال در اتحاديهي اروپا را تحت تاثير قرار ميدهد. در نتيجهي آن، شركتهاي سرتاسر جهان بايد ميليونهاي دلار هزينه كرده تا قوانين حريم خصوصي خود را با اين قانون هماهنگ كنند. برخي از آنها حتي روشهاي خود را در خارج از اين اتحاديه نيز اصلاح كردهاند.
نويسندگان و متخصصان سرويس engadget تصميم گرفتند تا اجراي اين بخش از قانون GDPR را در شركتهاي مختلف آزمايش كنند. تيمي ۹ نفره از گزارشگران اين سرويس در شهرهاي لندن، پاريس، نيويورك و سانفرانسيسكو، بيش از ۱۵۰ فرم درخواست اطلاعات شخصي را به بيش از ۳۰ شركت مشهور دنياي فناوري ارسال كردند. اين شركتها از شبكههاي اجتماعي تا اپليكيشنهاي دوستيابي و سرويسهاي استريم را شامل ميشدند. اين گزارشگران، درخواستهاي خود را قبل و بعد از تاريخ ۲۵ مي (تاريخ اجرايي شدن GDPR) ارسال كردند تا روند اجراي آن را مطالعه كنند.
اتحاديهي اروپا از سال ۱۹۹۵ قوانيني براي حفاظت از داده وضع كرده بود اما تحقيقات متعدد نشان داد كه آن قوانين بهاندازهي كافي قوي نبودند. قانون جديد نيز از سال ۲۰۱۶ وضع شده بود؛ اما امسال و با اضافه كردن جريمههاي سنگين، اجراي آن الزاميتر شد. اين جريمهها تا ۴ درصد از درآمد جهاني سالانهي شركتها را شامل ميشود.
در واقع، تاريخ امنيت دادهها پر از داستانهايي شامل نقض قانون و اجرا نشدن عدالت است. بهعنوان مثال شركت اعتباري Equifax كه زماني اطلاعات متخصصان را در اثر هك شدن از دست داده بود، هنوز در حال فعاليت است. مشتريان اين شركت نيز هنوز توانستهاند غرامت مناسبي از آنها دريافت كنند. در داستاني تازهتر، فيسبوك در جريان كمبريج آنالاتيكا در انگلستان به پرداخت ۵۰۰ هزار پوند جريمه (حداكثر جريمهي موجود در قانون آن زمان) محكوم شد. اين مقدار جريمه، با درآمد اين شركت در ۵ دقيقهونيم، برابر است!
اگر بحران كمبريح آنالاتيكا امروز اتفاق ميافتاد، جريمهي فيسبوك به ميلياردها دلار ميرسيد. درحال حاضر، حدود ۱۰۰۰ وبسايت خبري آمريكايي مانند لسآنجلس تايمز و شيكاگو تريبون در اروپا در دسترس نيستند. آخرين تحقيقات نيز نشان ميدهد كه تنها يك سوم شركتها توانستهاند با قانون جديد هماهنگ شوند.
متخصص كارشناسان اميدوارند قانون جديد، استانداردي براي مطالعه و نظارت بر قدرت شركتهاي بزرگ دنياي فناوري باشد. شركتهايي كه ارزش بازارشان از توليد ناخالص ملي برخي از كشورهاي جهان بيشتر است. نكتهي جالب اين است كه همين كشورهاي ضعيفتر، در حال تلاش براي افزايش مسئوليتپذيري غولهاي فناوري هستند.
GDPR شركتها را ملزم به ارائهي دادههاي شخصي متخصصان ميكند
گزارشگران در اين تحقيق، از طريقي رايانامه، نامه يا بخشهايي كه خود سرويسها بهمنظور دسترسي به دادهها تعبيه كرده بودند، نسبت به درخواست اطلاعات خود اقدام كردند. بهعنوان مثال اينستاگرام در آن تاريخ تنها يك آدرس رايانامه براي درخواست اطلاعات اختصاص داده و به نامهي كتبي اين گزارشگران پاسخ نداده است. متن اين درخواستهاي كتبي با استفاده از الگويي كه دفتر كميسر اطلاعات انگلستان فراهم كرده، آماده شده است. در متن نامه به قوانين تصويبشده نيز اشارهاي شده است. بههرحال اين خبرنگاران اطلاعاتي در مورد خود دادهها، منبع آنها، مقصد ارسالي و همچنين پروفايل تشكيلشده (اطلاعات بهدستآمده از تحليل دادههاي فرد) بر اساس آنها از شركتها درخواست كردهاند.
درخواستهاي خبرنگاران از رايانامههاي شخصي و همراه با آدرس خانه ارسال شده تا در حد امكان، شركتها آنها را بهعنوان متخصصان عادي تلقي كنند. البته در اكثر مواقع، آنها رايانامههاي بعدي را نيز ارسال كرده و خود را بهعنوان خبرنگار معرفي كردهاند.
هادي اصغري استاديار دانشگاه Delft هلند در مورد قوانين اتحاديهي اروپا در بخش حريم خصوصي و اجراي آنها تحقيقاتي انجام داده و پايبندي به آنها را ناچيز توصيف كرده است. او در اظهارانديشه متخصصيني عنوان كرده است:
درخواست داده از از شركتها، مانند پنجرهاي به روح آنها است.
در اين ميان، خبرنگاران حاضر در اين مقاله به نتايج جالبي دست پيدا كردند: دادههاي بههمريخته و نامنظمي كه Acxiom از يكي از متخصصان داشته است. يك اپليكيشن ديگر، روشهاي امنيتي نامناسبي را اجرا ميكرده و سرويس دوستيابي ديگر نيز اطلاعات يك فرد ديگر را براي آنها ارسال كرده است. همهي اين شواهد، همان پنجرههايي به درون اين سازمانها را در برابر خبرنگاران قرار داده است. در كنار همهي اين موارد، برداشتها اجراهاي متفاوت شركتها از GDPR را نيز اضافه كنيد. در نهايت به اين نكته ميرسيم كه اطلاعات شخصي افراد، آن دارايي است كه بهعنوان سوخت اقتصاد كلان داده استفاده ميشود. در نتيجه، مانند تمام داراييها يك جنگ براي بهدست آوردن و كنترل آن در جريان است.
سياستهاي حريم خصوصي
در اين ميان بايد به نكتهاي اشاره كنيم كه ابهام موضوع را بيشتر ميكند. مفهوم حريم خصوصي در داده، براي متخصصان عادي غيرقابل فهم و خستهكننده است. سياستهاي حريم خصوصي، سنگبناي فهم حقوق داده است. اين سياستها، اسنادي چندهزار كلمهاي و مهرومومشده بهصورت قانوني هستند كه زيرساخت تبادل داده را روشن ميكنند. خود شركتها نيز در بسياري از موارد، توانايي ردگيري اين تبادلات را ندارند.
محققان دانشگاه كارنگي-ملون، ۱۰ سال پيش تحقيقي در مورد زمان مورد نياز براي خواندن سياستهاي حريم خصوصي انجام دادند. آنها نتيجه گرفتند كه خواندن همهي اين متنها در يك سال، ۷۶ روز زمان ميگيرد. فراموش نكنيد كه اين آمار مربوط به ۱۰ سال پيش است و امروزه متخصصان از اپليكيشنهاي بسيار بيشتري استفاده ميكنند. در نهايت، نخواندن سياستهاي حريم خصوصي از طرف متخصصان، يك رفتار عادي است.
اغلب متخصصان، متن قوانين حريم خصوصي شركتها را نميخوانند
اين رفتار، پارادوكسي با نام حريم خصوصي ديجيتال ايجاد ميكند. عموم مردم در انديشه متخصصينسنجيها، اهميت بالايي براي حريم خصوصي قائل هستند؛ اما در واقعيت براي دريافت كوچكترين هديه از شركتها، حاضرند اطلاعات و آدرس رايانامه دوستان خود را در اختيارشان قرار دهند.
بياييد به تجربهي عملي درخواست اطلاعات خبرنگاران بازگرديم. صرفانديشه متخصصين از اطلاعات دريافتشده از شركتها و قابل فهم بودن يا نبودن آنها و همچنين معنادار بودن اين اطلاعات ارسالشده، فرمت اطلاعات به صورتهاي بسيار متنوعي بوده است. شركتها، اطلاعات درخواستي را با روشهايي از رايانامه تا فايلهايي در فرمتهاي اكسل و پيدياف ارائه كرده بودند.
بهعنوان مثال، نتفليكس، دادهها را بهصورت يك فايل پيدياف تكي شامل فهرستي از جداول خود براي متخصصان ارسال كرد. در مقابل، اسپاتيفاي دادهها را بهصورت يك فانكشن دانلود ارسال كرده است. خبرنگار انگليسي دريافت اين دادهها را امتحان كرده و ۱۰۱ فايل JSON دريافت كرده است. در حالي كه خبرنگار ديگر، ۹۰ فايل دريافت كرده است.
اگرچه اطلاعات ارائهشده توسط اسپاتيفاي، بهانديشه متخصصين جامع ميآيند؛ اما عموما اين نوع از داده، بخشهايي از ديتابيس هستند كه تنها توسط كامپيوترها خوانده ميشوند. به بيان ديگر، متخصص عادي حتي توانايي درك نام اين فايلها را نيز ندارد. خبرنگاران در اين بخش نيز تماسي با اسپاتيفاي داشتند، اما توضيحي در مورد نام فايلها دريافت نكردند. سخنگوي اين شركت نيز اعلام كرده است كه آنها قابليت ارائهي اطلاعات در يك زمينهي مشخص از داده را دارند، اما لغتنامهاي براي تفسير نام فايلها آماده نكردهاند.
خبرنگار ديگري از آمريكا با شركت اسپاتيفاي ارتباط برقرار كرده و تنها ۷ فايل دريافت كرده است. اين فايلها تنها حاوي اطلاعاتي از روشهاي پرداخت او و همچنين پليليستها و فالورها بودهاند. سخنگوي اسپاتيفاي اعلام كرده كه هيج تفاوتي ميان اطلاعات بهاشتراك گذاشتهشده با متخصصان وجود ندارد و آنها ميتوانند با تماس با واحد مشتريان، هر فايل مورد انديشه متخصصين خود را دريافت كنند. سوالي كه ايجاد ميشود اين است كه چگونه درخواست فايلي را بدهيم كه از وجود يا عدم وجود آن بياطلاع هستيم؟
فايلهاي ارائه شدن توسط شركتها، بعضا غيرقابل فهم هستند
اينستاگرام نيز علاوهبر عكسها و ويديوهاي متخصص، اطلاعات را بهصورت فايلهاي JSON ارسال كرده است. سخنگوي اين شركت، دليل ارسال فايل به اين صورت را، پرتابلتر بودن فرمت JSON عنوان كرده است. البته بايد به اين نكته اشاره كنيم كه پرتابل بودن فايلها، موضوعي جدا از دسترسي به دادهها است.
بههرحال، اسپاتيفاي و اينستاگرام، اطلاعاتي حداقلي را براي متخصصان ارسال كردهاند. در حالي كه اپليكيشن دوستيابي Bumble به خبرنگار انگليسي تنها اطلاعاتي اوليه مانند نام، سن و زبان، عكسهاي آپلودشده و گزارش يكسالهي IPهاي او را ارسال كرده است. يك خبرنگار آمريكايي نيز براي اين شركت درخواستي را ارسال كرده و پس از ۱۲ هفته، پاسخ خود را دريافت كرده است.
يكي از موارد مشترك ديگر از طرف شركتها، ارسال پاسخي شامل بندهاي سياست حريم خصوصي آنها بوده است. اين شركتها در پاسخ خود، تنها اشارهاي به سياستهاي خود در بخش استفاده از داده كردهاند. آنها هيچ اطلاعي از سرنوشت دادههاي متخصصان، به آنها ارائه نكردهاند.
بهعنوان مثالي از رويكرد بالا، اسنپچت خبرنگاران را به سياست حريم خصوصي خود ارجاع داده است. آنها در متن اين سياست به اين نكته اشاره كردهاند كه اجازهي جمعآوري اطلاعات در مورد متخصصان و از منابع مختلف و همچنين ارائهي آن به شركتهاي ديگر را داشته، اما تعهدي براي ارائهي فهرست اين شركتها به متخصصان ندارند. اپليكيشن تيندر نيز روندي مشابه داشته و واحد روابط عمومي آنها نيز پاسخ روشني به اين موارد نداده است.
گروهي به نام The Article 29 Working Party يك گروه مشاورهاي متشكل از نمايندگان اتحاديهي اروپا و متخصصان داده در مورد قوانين حريم خصوصي است. اين گروه پيش از اين عنوان كرده بود كه استفاده از كلماتي مانند may، might، some، often و possible در متن سياستهاي حريم خصوصي شركتها بايد ممنوع شود. از لحاظ قانوني نيز GDPR به اين نكته اشاره ميكند كه هر ارتباطي ميان شركت و متخصص بايد در فرمي مختصر، شفاف، قابل فهم و بهآساني قابل دسترس باشد. بهعلاوه، زبان گفتگو نيز بايد ساده و روشن باشد. تجربيات خبرنگاران از تعامل با شركتها، كاملا ناسازگار با اين قوانين بوده است.
يك تيم تحقيقاتي متشكل از متخصصان سازمان مصرفكنندگان اروپا (BEUC) و موسسهي دانشگاهي اروپايي فلورانس در ماه جولاي گذشته، تحقيقاتي را براي مطالعه متن سياستهاي حريم خصوصي شركتها انجام دادند. آنها در اين تحقيق، ۱۴ متن را از شركتهاي مختلف از جمله آمازون، مايكروسافت و اوبر توسط هوش مصنوعي مطالعه كردند تا همخواني آن با قانون GDPR را بسنجند. در نتيجهي اين تحقيق، يك سوم عبارتهاي موجود در اين متون، پتانسيل فهم اشتباه و ايجاد اشكال براي متخصصان را داشتند يا اطلاعات ناكافي ارائه ميكردند.
استفاده دادههاي متخصصان
كليد فهم اين مسئله كه استفاده از اطلاعات ما چگونه انجام ميشود، فهم روش تحليل و آناليز آنها است. دستهبنديهايي كه متخصصان در آنها قرار ميگيرند و چگونگي مدلسازي رفتار آنها، اثر عميقي روي چگونگي استفادهي آنها از فناوري دارد. جاي تعجب نيست كه شركتها، بهطور كامل اطلاعات اين فرآيند را نزد خود نگه ميدارند.
قانون GDPR، شركتها را به ارائهي توضيح كامل اين فرآيندها ملزم كرده است. بهعلاوه آنها بايد امكان خروج متخصص از برنامههاي اتوماتيك تصميمگيري ماشيني و تحليل اطلاعات اشخاص (كه اثرات قانوني يا قابل توجهي دارند) را فراهم كنند. در اينجا دقيقا مشخص نيست كه شركتها، بخش دوم اين قانون را چگونه اجرا خواهند كرد.
بدين ترتيب و بهعنوان مثال، نتفليكس، در مورد چرايي پيشنهاد برخي فيلمهاي خاص به متخصصان، به اين توضيح اكتفا كرده است كه اين اطلاعات بر اساس فعاليت مشاهدهي فيلم متخصصان و تعامل آنها با سرويس ارائه ميشوند. اينستاگرام نيز در مورد رتبهبندي پستها ميگويد كه زمان ارسال پست، ارتباط ما با فرد صاحب اكانت و احتمال علاقهمند بودن ما به آن محتوا، فاكتورهاي تاثيرگذاري هستند. تيندر نيز پاسخي تقريبا مشابه ارائه كرده و به بهانهي حفظ ملكيت معنوي روشهاي خود، از توضيح بيشتر خودداري كرده است.
شركتها براي نمايش تبليغ در شبكههاي اجتماعي، رايانامه شما را دنبال ميكنند
يكي از بهترين مثالها براي درك روش تحليل دادههاي متخصصان، از گزارش فيسبوك در مورد دستهبندي علايق متخصص براي تبليغدهندگان استنباط ميشود.اين شركت در دادههاي يكي ازخبرنگاران، ۳۵۷ دستهبندي را ارائه كرده كه اطلاعات او براي دسترسي تبليغدهندگان، در اين گروهها دستهبندي شده است. برخي از اين دستهبنديها مانند شغل يا تيم فوتبال مورد علاقه، قابل درك هستند؛ اما برخي ديگر مانند دستهي «واقعيت» يا «ياغي»، معناي خاصي ندارند.
فيسبوك هيچ توضيحي در مورد اينكه چرا اين خبرنگار را در اين دستهها قرار داده، ارائه نكرده است. البته متخصصان اين سرويس ميتوانند از اين دستهبنديها خارج شوند. سخنگوي اين شركت تنها به گفتن اين مورد اكتفا كرده است كه اين دستهبنديها بر اساس تعامل متخصص با فيسبوك تنظيم ميشوند. البته او هيچ اشارهاي به احتمال استفادهي اين شركت از اطلاعاتي ديگر مانند موقعيت جغرافيايي يا تاريخچهي مرورگر نكرده است.
در بخش ديگري از اطلاعات فيسبوك، امكان مشاهدهي شركتهاي تبليغاتي كه اطلاعات تماس متخصص را از جاي ديگر داشتهاند، وجود داشته است. بهعنوان مثال، شعبههاي كشورهاي ديگر سرويسهايي كه اين متخصص عضو بوده و جاهاي ديگر كه او رايانامهش را براي آنها ارسال كرده بوده است. براي توضيح اين بخش تصور كنيد شما در يك سرويس يا فروشگاه الكترونيك، با رايانامه خود ثبتنام ميكنيد. سپس با همين رايانامه نيز حسابي در فيسبوك ميسازيد. حال، شركت اوليه ميتواند از عضويت شما در فيسبوك مطلع شده و تبليغاتش را در آنجا براي شما نمايش دهد.
خبرنگار نويسندهي اين مقاله، پيش و پس از تاريخ ۲۵ مي، اطلاعات خود را از فيسبوك درخواست كرده است. اين اطلاعات در اين دو تاريخ تفاوت زيادي با هم داشتهاند. تعداد تبليغدهندگان داراي اطلاعات تماس از ۱۰ به ۱۸۰ رسيده است. تعداد دستهبنديهاي علايق براي نمايش تبليغات نيز از ۱۹۸ به ۳۵۷ تغيير كرده است. دو مسئول فيسبوك در پاسخ به مكاتبات اين خبرنگار، دو دليل متفاوت را به او اعلام كردهاند. اولي، باگ سيستمي در نمايش تعداد تبليغدهندگان و دومي اشكال در سيستم دستهبندي را بهعنوان دليل اعلام كرده است. جالب اين كه هيچكدام از آنها، GDPR را دليل افزايش حجم اطلاعات ندانستهاند.
پيچيدهترين دادهها، از تحليل و تركيب دادههاي اوليه بهدست ميآيند
براي عميقتر شدن در موضوع داده، بهتر است دستهبندي آن را نيز بشناسيم. فردريك كالثونر متخصص داده و امنيت در شركت غيرانتفاعي لندني Privacy International، داده را به ۳ نوع تقسيم ميكند. اولين نوع، دادهاي است كه بهصورت آگاهانه به شركتها ميدهيم: نام، آدرس رايانامه، تاريخ تولد. دستهي دوم بهصورت اتوماتيك مشاهده شده و جمعآوري ميشوند: مكاني كه از آن لاگين ميكنيد، زمان لاگين كردن، مكانهاي ديگري كه از آنجا به مرور وب ميپردازيد. سومين دسته و دشوارترين دسته براي جمعآوري، دادههايي است كه از دادههاي ديگر مدلسازي شده يا پيشبيني ميشوند: تخمين عددي جذابيت يا امانتداري شما!
كالثونر معتقد است اكثر شركتها، دادههاي مدلسازيشده را دادههاي شخصي نميدانند. متخصصان تنها به اطلاعاتي كه بهصورت فعال به اشتراك ميگذارند، فكر ميكنند. از طرفي شركتها نيز تنها همين اطلاعات را در خبرهاي خود مدانديشه متخصصين قرار ميدهند. بههمين دليل، بحران كمبريج آنالاتيكا نقطهي عطفي در تاريخ حريم خصوصي شد. در تعريف ساده، متخصصان پيش از اين حادثه نيز ميدانستند كه دادههايشان توسط شركتها جمعآوري ميشود؛ اما از چگونگي تاثير آن بر زندگيهايشان آگاه نبودند.
وقتي ما تمام اطلاعات ذخيرهشده از خودمان را از شركتها درخواست ميكنيم، آنها تنها دادههايي كه خودمان در اختيارشان گذاشتهايم را ارسال ميكنند. در نتيجه، آنها نهتنها جزئيات تاثيرگذار را حذف ميكنند؛ بلكه اين ايده را پرورش ميدهند كه تنها اطلاعات مورد استفاده، همين موارد ساده هستند.
ما عموما تصور ميكنيم كه اشتراك اطلاعات شخصي، براي دريافت خدمات است. بهعنوان مثال موقعيت خود را به سرويس نقشهي گوگل ميدهيم تا آدرس جايي را به ما نشان دهد. اما چگونگي انجام فرآيند روي اين اطلاعات مشخص نيست. فرآيندي كه با استفاده از محل حضور ما، ترافيك احتمالي و راههاي بستهشده را به متخصصان ديگر نمايش ميدهد. حتما فراموش نكردهايد كه گوگل حتي در زمان خاموش بودن قابليت مكانيابي نيز متخصصان را مكانيابي ميكند.
فيسبوك نيز اخيرا بهخاطر اقدامي مشابه، مورد حملهي منتقدان قرار گرفت. اين شركت در حال تحقيق براي كشف روشي بود تا احساسات متخصصان را دستكاري كند و بهعلاوه، زمانهايي كه آنها در موقعيتهاي احساسي آسيبپذير هستند را كشف كند. كشف ديگر در مورد اين شركت آن است كه آنها، متخصصان را از لحاظ اعتبار رتبهسنجي ميكنند و البته مانند هميشه، جزئيات چگونگي اين دستهبندي را فاش نميكنند. در نهايت بايد به اين نكته اشاره كنيم كه داده، ارز موردتبادل ما در دنياي فناوري است؛ اما خودمان نميدانيم كه روزانه چه مقدار از آن را خرج ميكنيم.
اشتراكگذاري داده بين شركتها
در بخش آخر اين مقاله، به پاسخ شركتها در برابر سوالي ساده از طرف متخصصان پرداخته شده است: چه فرد يا شركت ديگري به دادههاي من دسترسي دارد؟
شركتها، دادههاي ما را با چه كساني به اشتراك ميگذارند؟
بهعنوان مثال، Evernote فهرستي الكترونيك از ۱۷ تامينكنندهي خود شامل شركتهايي همچون پيپال و زندسك دارد. بهعلاوه، توضيح اينكه هر شركت چه ارتباطي با آنها دارد نيز در اين فهرست وجود دارد. در مقابل، تيندر چنين فهرستي ندارد و تنها به اين نكته اشاره ميكند كه شركتهاي ديگر و تبليغدهندگان اجازهي دسترسي به دادههاي متخصص را دارند. تحقيقات اخير Deloitte نشان ميدهد كه ۵۶ درصد از شركتها هنوز سازوكاري براي روشن كردن دادههاي بهاشتراكگذاشته با ديگر شركتها ندارند يا هنوز تاثير قانون جديد بر آن را متوجه نشدهاند. ۱۰ درصد ديگر نيز هيچ اطلاعاتي در مورد همخواني قوانينشان در اين بخش با GDPR ارائه نكردهاند.
برت كوهن يكي از شركاي شركت حقوقي Hogan Lovells در اين مورد ميگويد:
پيش از اجرايي شدن GDPR، شركتها روندي براي ساختن نقشهاي از دادههاي متخصصان و مقصد ارسالي آن نداشتند. اين قانون موجب شد تا شركتها نگاهي عميقتر به روند كاري خود و فرآيندهاي انجامشده با آن داشته باشند. به بيان ديگر اين قانون، انگيزهي آنها را افزايش داد.
پروفسور هادي اصغري نير در تحقيقات خود به نتيجهاي در اين مورد نرسيده است. او معتقد است بسياري از شركتها، خودشان نيز از مقصد اطلاعات متخصصان اطلاع ندارند.
يك نكتهي ديگر در اين تحقيق، روند تاييد هويت شركتها براي ارائهي اطلاعات شخصي به متخصصان بوده است. هيچ روند استانداردي براي اين مسئله تعبيه نشده است؛ بهعنوان مثال Bumble براي تاييد هويت، دو سند هويتي را بهصورت رايانامه درخواست كرده است. اين اپليكيشن، اسنادي همچون گواهينامهي رانندگي، پاسپورت، گواهي تولد و موارد مشابه را پيشنهاد داده است. اسپاتيفاي، ۴ رقم آخر كارت اعتباري را درخواست كرده و تاكيد كرده است كه تمام رقمهاي كارت نوشته نشوند. شركتهايي همچون گوگل، توييتر و لينكدين نيز تنها پس از ورود به حساب متخصصي، از خبرنگاران خواستهاند كه فرمهاي مخصوص درخواست اطلاعات را پر كنند.
روند تاييد هويت براي ارائهي اطلاعات شخصي نيز كمبودهايي دارد
روشهاي متفاوت شركتها در ارائهي اطلاعات شخصي، اين نگراني را ايجاد ميكند كه اطلاعات ما بهآساني قابل هك شدن هستند. سوال اين است كه آيا اگر فردي به رايانامه شما دسترسي داشته باشد يا يكي از حسابهاي متخصصي شما را هك كند، شركتها تمامي دادههايتان را در اختيار او خواهند گذاشت؟
جيوان كيم سراتو، مدير حفاظت اطلاعات، حريم خصوصي و امنيت سايبري در شركت حقوقي Norton Rose Fulbright در اين مورد ميگويد:
نكتهي مهم اين است كه شركتها نبايد اطلاعاتي بيش از نياز خود را جمعآوري كنند. بهعنوان مثال اگر كسبوكار شما ارتباطي به كپي مداركي همچون گواهينامهي رانندگي يا عكس پاسپورت ندارد، نيازي به جمعآوري آنها نداريد.كوچك كردن دادهها، زيربناي مفهوم حريم خصوصي است. شما بايد تنها دادههايي را نگهداري كنيد كه ارزش افزودهاي براي متخصص داشته باشد. اگر داده، زماني ارزش خود را براي متخصص از دست بدهد، نگهداري آن تنها براي شركت هزينه خواهد داشت.
اظهار انديشه متخصصين اين متخصص، رويكردي كاملا جديد در مورد جمعآوري داده را پيشنهاد ميكند. روند عادي شركتها تا پيش از اين بر آن بوده كه هرگونه داده يا محتواي قابل دسترسي را (بدون توجه به هدف يا فايدهي آن براي شركت)، جمعآوري كنند. سراتو در ادامه توضيح ميدهد كه ذخيرهسازي داده در حال ارزان شدن است و احتمالا، پاك كردن دادهها بهصورت منظم، براي شركتها هزينهاي بيش از نگهداري هميشگي آنها خواهد داشت.
اما GDPR قصد دارد اين هزينهها را برعكس كند. طبق اين قانون، هزينهي نگهداري اطلاعات باارزش، در صورتي كه شركت اطلاع دقيقي از فايده و كارايي آنها نداشته باشد، بسيار بالا خواهد بود. البته شايان ذكر است كه اين قانون هنوز در مراحل اوليه قرار دارد و اجرا كردن آن بر اساس قوانين محلي كشورها و آزمون و خطا، زمان ميطلبد.
البته متخصص كارشناسان معتقدند شركتهايي كه خود را در نوك پيكان اين قانون ميبينند، از هر اقدامي براي هماهنگ شدن با آن استفاده ميكنند؛ اما برخي شركتها هنوز در مرحلهي انتظار ماندهاند. ميتوان گفت تنها دليل انتظار آنها، ترس از عواقب اعتراض به قانون است.
متخصصان انتظار دارند كه مقامات قانوني ابتدا شركتهاي بزرگ فناوري، خصوصا آنهايي كه بهصورت مستقيم با مصرفكننده در ارتباط هستند را هدف قرار دهند. رسانههاي اجتماعي، اپليكيشنهاي موبايل، سرويسهاي سلامتي، تبليغات و خودروهاي خودران و همچنين شركتهايي كه بازار هدفشان كودكان هستند.
قانونگذاران مباحثه داده در انگلستان، ايرلند و فرانسه ادعا كردهاند كه تعداد شكايات در مورد نفوذ دادهاي، از زمان تصويب GDPR افزايش سريعي داشته است. در ايالات متحدهي آمريكا، ايالت كاليفرنيا در اين مسير پيشقدم شده و قانون حريم خصوصي ديجيتال را تصويب كرده است كه از ژانويهي ۲۰۲۰ اجرايي خواهد شد. اين قانون بهعنوان قدمي بزرگ در پيشرفت حفاظت از داده در آمريكا شناخته ميشود؛ چرا كه هيج قانون جامع و صريحي در اين مورد در اين كشور وجود ندارد.
در نهايت بايد به اين نكته اشاره كنيم كه مقامات رسمي در مورد جريمه كردن شركتها، اظهاراتي صريح داشته و عزم خود را جزمتر از هميشه نشان ميدهند. جيواني بوتارلي سرپرست حفاظت دادهي اتحاديهي اروپا در اين مورد ميگويد:
كاملا واضح است كه سوءاستفاده از متخصصان به روندي عادي تبديل شده بود. آژانس حفاظت از دادهي اروپا كه من مدير آن هستم، براي پايان دادن به اين وضع عمل ميكند. مردم بهزودي و پيش از پايان سال، نتايج اوليهي اين اقدامات را شاهد خواهند بود.
در حال حاضر نگاه افكار عمومي منتظر اولين پروندهي قانوني است كه عليه يك شركت بزرگ فناوري به جريان ميافتد. آنها منتظرند تا مقدار جريمهي آن شركت احتمالي نيز مشخص شود. به بيان ديگر، اين اقدام، بهترين نشانه از اثرگذار بودن قانون GDPR در حفاظت از اطلاعات متخصصان در برابر احتكاركنندگان قدرتمند طلاي قرن ۲۱ است.
هم انديشي ها