داده یا همان طلای قرن ۲۱ توسط چه کسانی کنترل میشود
یک تحقیق میدانی در ایالات متحدهی آمریکا ثابت کرد که هر فرد آمریکایی بهطور میانگین روزانه ۲۶۰۰ بار گوشی همراه خود را لمس میکند. این آمار در سال به حدود یک میلیون و برای برخی کاربران تا دو میلیون لمس میرسد.
هر یک از تعاملات لمسی با گوشیهای هوشمند از جمله ضربه زدن، کشیدن و جابهجا کردن المانها، نشاندهندهی نمونهای از رفتارهای عامدانهی ما است. گوشیهای هوشمند ما تنها ابزارهایی برای منظم کردن بهتر کارهای روزانه نیستند. آنها دستگاههای پیچیدهی نظارتی هستند که ما با ارتباطات خود با آنها و با فرض خصوصی بودن این ارتباطات، آنها را تغذیه میکنیم.
ما صادقانهترین سوالاتمان را از گوگل میپرسیم
تنها کافی است این دادهها را از نقاط داده (دیتا پوینتها) جمعآوری کرده و آنها را با دادههای دستگاههای دیگر ترکیب کنید. دستگاههایی همچون تلویزیونهای هوشمند، پایشگرهای سلامتی و کوکیها که در سرتاسر وب بهدنبال ما میآیند. این ترکیب، یک فرآیند جمعآوری اطلاعات از عادتها و رفتارهای ما است که همیشه ادامه دارد و روزانه حدود ۲.۵ کوینتیلیون (۱۰ بهتوان ۳۰) بایت داده را شامل میشود.
این حجم عظیم از داده، بین شبکهای از مشارکتکنندگان در اینترنت، محققان و تبلیغدهندگان تقسیم شده و پخش میشود. بهعنوان مثال شرکت Acxiom برای هریک از ۵۰۰ میلیون نفر موجود در پایگاه دادهاش، به ۱۵۰۰ دیتا پوینت دسترسی دارد. در چند ماه گذشته، فیسبوک از دانشکدهی پزشکی دانشگاه استنفورد و تعدادی بیمارستان درخواست کرده تا دادههای پزشکی بیماران را با دادههای این سرویس بهاشتراک گذاشته و هماهنگ کنند (البته این پروژه فعلا تعلیق شده است). مثالهای متعدد دیگری از این جمعآوری و اشتراک داده میان شرکتها وجود دارد که مورد توجهترین آن برای آمریکاییها، استفاده از اطلاعات شخصی برای هدفگیری تبلیغات انتخاباتی دونالد ترامپ بوده است.
در تعریف ساده، ارتباط نزدیک ما با دستگاههای هوشمندمان، تنها شامل ما و دستگاههایمان نیست. در اینجا باید بپرسیم تکلیف یک شهروند قرن ۲۱ که برای حریم خصوصی خود ارزش زیادی قائل بوده و در کنار آن، به حضور در جامعهی متصل به هم این قرن علاقهمند است، چیست؟ با توجه به موارد گفتهشده، بهنظر میرسد توجه به قانون جامع حفاظت از دادهی اتحادیهی اروپا (GDPR) بیش از همیشه برای مردم مهم باشد. قانونی محکم، پیچیده و صریح در ارتباط با حریم خصوصی که در تاریخ ۲۵ می سال جاری، به تصویب رسید.
یکی از قوانین کلیدی ذکرشده در این بیانیه، شامل دسترسی به اطلاعات شخصی، توضیح الگوریتمهایی که زندگی شهروندان را شکل میدهند، قابلیت جابهجایی داده و پاک کردن آن است. این قانون، کسبوکار تمامی سازمانهای جهانیِ فعال در اتحادیهی اروپا را تحت تاثیر قرار میدهد. در نتیجهی آن، شرکتهای سرتاسر جهان باید میلیونهای دلار هزینه کرده تا قوانین حریم خصوصی خود را با این قانون هماهنگ کنند. برخی از آنها حتی روشهای خود را در خارج از این اتحادیه نیز اصلاح کردهاند.
نویسندگان و کارمندان سرویس engadget تصمیم گرفتند تا اجرای این بخش از قانون GDPR را در شرکتهای مختلف آزمایش کنند. تیمی ۹ نفره از گزارشگران این سرویس در شهرهای لندن، پاریس، نیویورک و سانفرانسیسکو، بیش از ۱۵۰ فرم درخواست اطلاعات شخصی را به بیش از ۳۰ شرکت مشهور دنیای فناوری ارسال کردند. این شرکتها از شبکههای اجتماعی تا اپلیکیشنهای دوستیابی و سرویسهای استریم را شامل میشدند. این گزارشگران، درخواستهای خود را قبل و بعد از تاریخ ۲۵ می (تاریخ اجرایی شدن GDPR) ارسال کردند تا روند اجرای آن را بررسی کنند.
اتحادیهی اروپا از سال ۱۹۹۵ قوانینی برای حفاظت از داده وضع کرده بود اما تحقیقات متعدد نشان داد که آن قوانین بهاندازهی کافی قوی نبودند. قانون جدید نیز از سال ۲۰۱۶ وضع شده بود؛ اما امسال و با اضافه کردن جریمههای سنگین، اجرای آن الزامیتر شد. این جریمهها تا ۴ درصد از درآمد جهانی سالانهی شرکتها را شامل میشود.
در واقع، تاریخ امنیت دادهها پر از داستانهایی شامل نقض قانون و اجرا نشدن عدالت است. بهعنوان مثال شرکت اعتباری Equifax که زمانی اطلاعات کاربران را در اثر هک شدن از دست داده بود، هنوز در حال فعالیت است. مشتریان این شرکت نیز هنوز توانستهاند غرامت مناسبی از آنها دریافت کنند. در داستانی تازهتر، فیسبوک در جریان کمبریج آنالاتیکا در انگلستان به پرداخت ۵۰۰ هزار پوند جریمه (حداکثر جریمهی موجود در قانون آن زمان) محکوم شد. این مقدار جریمه، با درآمد این شرکت در ۵ دقیقهونیم، برابر است!
اگر بحران کمبریح آنالاتیکا امروز اتفاق میافتاد، جریمهی فیسبوک به میلیاردها دلار میرسید. درحال حاضر، حدود ۱۰۰۰ وبسایت خبری آمریکایی مانند لسآنجلس تایمز و شیکاگو تریبون در اروپا در دسترس نیستند. آخرین تحقیقات نیز نشان میدهد که تنها یک سوم شرکتها توانستهاند با قانون جدید هماهنگ شوند.
کارشناسان امیدوارند قانون جدید، استانداردی برای بررسی و نظارت بر قدرت شرکتهای بزرگ دنیای فناوری باشد. شرکتهایی که ارزش بازارشان از تولید ناخالص ملی برخی از کشورهای جهان بیشتر است. نکتهی جالب این است که همین کشورهای ضعیفتر، در حال تلاش برای افزایش مسئولیتپذیری غولهای فناوری هستند.
GDPR شرکتها را ملزم به ارائهی دادههای شخصی کاربران میکند
گزارشگران در این تحقیق، از طریقی ایمیل، نامه یا بخشهایی که خود سرویسها بهمنظور دسترسی به دادهها تعبیه کرده بودند، نسبت به درخواست اطلاعات خود اقدام کردند. بهعنوان مثال اینستاگرام در آن تاریخ تنها یک آدرس ایمیل برای درخواست اطلاعات اختصاص داده و به نامهی کتبی این گزارشگران پاسخ نداده است. متن این درخواستهای کتبی با استفاده از الگویی که دفتر کمیسر اطلاعات انگلستان فراهم کرده، آماده شده است. در متن نامه به قوانین تصویبشده نیز اشارهای شده است. بههرحال این خبرنگاران اطلاعاتی در مورد خود دادهها، منبع آنها، مقصد ارسالی و همچنین پروفایل تشکیلشده (اطلاعات بهدستآمده از تحلیل دادههای فرد) بر اساس آنها از شرکتها درخواست کردهاند.
درخواستهای خبرنگاران از ایمیلهای شخصی و همراه با آدرس خانه ارسال شده تا در حد امکان، شرکتها آنها را بهعنوان کاربران عادی تلقی کنند. البته در اکثر مواقع، آنها ایمیلهای بعدی را نیز ارسال کرده و خود را بهعنوان خبرنگار معرفی کردهاند.
هادی اصغری استادیار دانشگاه Delft هلند در مورد قوانین اتحادیهی اروپا در بخش حریم خصوصی و اجرای آنها تحقیقاتی انجام داده و پایبندی به آنها را ناچیز توصیف کرده است. او در اظهارنظری عنوان کرده است:
درخواست داده از از شرکتها، مانند پنجرهای به روح آنها است.
در این میان، خبرنگاران حاضر در این مقاله به نتایج جالبی دست پیدا کردند: دادههای بههمریخته و نامنظمی که Acxiom از یکی از کاربران داشته است. یک اپلیکیشن دیگر، روشهای امنیتی نامناسبی را اجرا میکرده و سرویس دوستیابی دیگر نیز اطلاعات یک فرد دیگر را برای آنها ارسال کرده است. همهی این شواهد، همان پنجرههایی به درون این سازمانها را در برابر خبرنگاران قرار داده است. در کنار همهی این موارد، برداشتها اجراهای متفاوت شرکتها از GDPR را نیز اضافه کنید. در نهایت به این نکته میرسیم که اطلاعات شخصی افراد، آن دارایی است که بهعنوان سوخت اقتصاد کلان داده استفاده میشود. در نتیجه، مانند تمام داراییها یک جنگ برای بهدست آوردن و کنترل آن در جریان است.
سیاستهای حریم خصوصی
در این میان باید به نکتهای اشاره کنیم که ابهام موضوع را بیشتر میکند. مفهوم حریم خصوصی در داده، برای کاربران عادی غیرقابل فهم و خستهکننده است. سیاستهای حریم خصوصی، سنگبنای فهم حقوق داده است. این سیاستها، اسنادی چندهزار کلمهای و مهرومومشده بهصورت قانونی هستند که زیرساخت تبادل داده را روشن میکنند. خود شرکتها نیز در بسیاری از موارد، توانایی ردگیری این تبادلات را ندارند.
محققان دانشگاه کارنگی-ملون، ۱۰ سال پیش تحقیقی در مورد زمان مورد نیاز برای خواندن سیاستهای حریم خصوصی انجام دادند. آنها نتیجه گرفتند که خواندن همهی این متنها در یک سال، ۷۶ روز زمان میگیرد. فراموش نکنید که این آمار مربوط به ۱۰ سال پیش است و امروزه کاربران از اپلیکیشنهای بسیار بیشتری استفاده میکنند. در نهایت، نخواندن سیاستهای حریم خصوصی از طرف کاربران، یک رفتار عادی است.
اغلب کاربران، متن قوانین حریم خصوصی شرکتها را نمیخوانند
این رفتار، پارادوکسی با نام حریم خصوصی دیجیتال ایجاد میکند. عموم مردم در نظرسنجیها، اهمیت بالایی برای حریم خصوصی قائل هستند؛ اما در واقعیت برای دریافت کوچکترین هدیه از شرکتها، حاضرند اطلاعات و آدرس ایمیل دوستان خود را در اختیارشان قرار دهند.
بیایید به تجربهی عملی درخواست اطلاعات خبرنگاران بازگردیم. صرفنظر از اطلاعات دریافتشده از شرکتها و قابل فهم بودن یا نبودن آنها و همچنین معنادار بودن این اطلاعات ارسالشده، فرمت اطلاعات به صورتهای بسیار متنوعی بوده است. شرکتها، اطلاعات درخواستی را با روشهایی از ایمیل تا فایلهایی در فرمتهای اکسل و پیدیاف ارائه کرده بودند.
بهعنوان مثال، نتفلیکس، دادهها را بهصورت یک فایل پیدیاف تکی شامل فهرستی از جداول خود برای کاربران ارسال کرد. در مقابل، اسپاتیفای دادهها را بهصورت یک فانکشن دانلود ارسال کرده است. خبرنگار انگلیسی دریافت این دادهها را امتحان کرده و ۱۰۱ فایل JSON دریافت کرده است. در حالی که خبرنگار دیگر، ۹۰ فایل دریافت کرده است.
اگرچه اطلاعات ارائهشده توسط اسپاتیفای، بهنظر جامع میآیند؛ اما عموما این نوع از داده، بخشهایی از دیتابیس هستند که تنها توسط کامپیوترها خوانده میشوند. به بیان دیگر، کاربر عادی حتی توانایی درک نام این فایلها را نیز ندارد. خبرنگاران در این بخش نیز تماسی با اسپاتیفای داشتند، اما توضیحی در مورد نام فایلها دریافت نکردند. سخنگوی این شرکت نیز اعلام کرده است که آنها قابلیت ارائهی اطلاعات در یک زمینهی مشخص از داده را دارند، اما لغتنامهای برای تفسیر نام فایلها آماده نکردهاند.
خبرنگار دیگری از آمریکا با شرکت اسپاتیفای ارتباط برقرار کرده و تنها ۷ فایل دریافت کرده است. این فایلها تنها حاوی اطلاعاتی از روشهای پرداخت او و همچنین پلیلیستها و فالورها بودهاند. سخنگوی اسپاتیفای اعلام کرده که هیج تفاوتی میان اطلاعات بهاشتراک گذاشتهشده با کاربران وجود ندارد و آنها میتوانند با تماس با واحد مشتریان، هر فایل مورد نظر خود را دریافت کنند. سوالی که ایجاد میشود این است که چگونه درخواست فایلی را بدهیم که از وجود یا عدم وجود آن بیاطلاع هستیم؟
فایلهای ارائه شدن توسط شرکتها، بعضا غیرقابل فهم هستند
اینستاگرام نیز علاوهبر عکسها و ویدیوهای کاربر، اطلاعات را بهصورت فایلهای JSON ارسال کرده است. سخنگوی این شرکت، دلیل ارسال فایل به این صورت را، پرتابلتر بودن فرمت JSON عنوان کرده است. البته باید به این نکته اشاره کنیم که پرتابل بودن فایلها، موضوعی جدا از دسترسی به دادهها است.
بههرحال، اسپاتیفای و اینستاگرام، اطلاعاتی حداقلی را برای کاربران ارسال کردهاند. در حالی که اپلیکیشن دوستیابی Bumble به خبرنگار انگلیسی تنها اطلاعاتی اولیه مانند نام، سن و زبان، عکسهای آپلودشده و گزارش یکسالهی IPهای او را ارسال کرده است. یک خبرنگار آمریکایی نیز برای این شرکت درخواستی را ارسال کرده و پس از ۱۲ هفته، پاسخ خود را دریافت کرده است.
یکی از موارد مشترک دیگر از طرف شرکتها، ارسال پاسخی شامل بندهای سیاست حریم خصوصی آنها بوده است. این شرکتها در پاسخ خود، تنها اشارهای به سیاستهای خود در بخش استفاده از داده کردهاند. آنها هیچ اطلاعی از سرنوشت دادههای کاربران، به آنها ارائه نکردهاند.
بهعنوان مثالی از رویکرد بالا، اسنپچت خبرنگاران را به سیاست حریم خصوصی خود ارجاع داده است. آنها در متن این سیاست به این نکته اشاره کردهاند که اجازهی جمعآوری اطلاعات در مورد کاربران و از منابع مختلف و همچنین ارائهی آن به شرکتهای دیگر را داشته، اما تعهدی برای ارائهی فهرست این شرکتها به کاربران ندارند. اپلیکیشن تیندر نیز روندی مشابه داشته و واحد روابط عمومی آنها نیز پاسخ روشنی به این موارد نداده است.
گروهی به نام The Article 29 Working Party یک گروه مشاورهای متشکل از نمایندگان اتحادیهی اروپا و متخصصان داده در مورد قوانین حریم خصوصی است. این گروه پیش از این عنوان کرده بود که استفاده از کلماتی مانند may، might، some، often و possible در متن سیاستهای حریم خصوصی شرکتها باید ممنوع شود. از لحاظ قانونی نیز GDPR به این نکته اشاره میکند که هر ارتباطی میان شرکت و کاربر باید در فرمی مختصر، شفاف، قابل فهم و بهآسانی قابل دسترس باشد. بهعلاوه، زبان گفتگو نیز باید ساده و روشن باشد. تجربیات خبرنگاران از تعامل با شرکتها، کاملا ناسازگار با این قوانین بوده است.
یک تیم تحقیقاتی متشکل از متخصصان سازمان مصرفکنندگان اروپا (BEUC) و موسسهی دانشگاهی اروپایی فلورانس در ماه جولای گذشته، تحقیقاتی را برای بررسی متن سیاستهای حریم خصوصی شرکتها انجام دادند. آنها در این تحقیق، ۱۴ متن را از شرکتهای مختلف از جمله آمازون، مایکروسافت و اوبر توسط هوش مصنوعی مطالعه کردند تا همخوانی آن با قانون GDPR را بسنجند. در نتیجهی این تحقیق، یک سوم عبارتهای موجود در این متون، پتانسیل فهم اشتباه و ایجاد مشکل برای کاربران را داشتند یا اطلاعات ناکافی ارائه میکردند.
استفاده دادههای کاربران
کلید فهم این مسئله که استفاده از اطلاعات ما چگونه انجام میشود، فهم روش تحلیل و آنالیز آنها است. دستهبندیهایی که کاربران در آنها قرار میگیرند و چگونگی مدلسازی رفتار آنها، اثر عمیقی روی چگونگی استفادهی آنها از فناوری دارد. جای تعجب نیست که شرکتها، بهطور کامل اطلاعات این فرآیند را نزد خود نگه میدارند.
قانون GDPR، شرکتها را به ارائهی توضیح کامل این فرآیندها ملزم کرده است. بهعلاوه آنها باید امکان خروج کاربر از برنامههای اتوماتیک تصمیمگیری ماشینی و تحلیل اطلاعات اشخاص (که اثرات قانونی یا قابل توجهی دارند) را فراهم کنند. در اینجا دقیقا مشخص نیست که شرکتها، بخش دوم این قانون را چگونه اجرا خواهند کرد.
بدین ترتیب و بهعنوان مثال، نتفلیکس، در مورد چرایی پیشنهاد برخی فیلمهای خاص به کاربران، به این توضیح اکتفا کرده است که این اطلاعات بر اساس فعالیت مشاهدهی فیلم کاربران و تعامل آنها با سرویس ارائه میشوند. اینستاگرام نیز در مورد رتبهبندی پستها میگوید که زمان ارسال پست، ارتباط ما با فرد صاحب اکانت و احتمال علاقهمند بودن ما به آن محتوا، فاکتورهای تاثیرگذاری هستند. تیندر نیز پاسخی تقریبا مشابه ارائه کرده و به بهانهی حفظ ملکیت معنوی روشهای خود، از توضیح بیشتر خودداری کرده است.
شرکتها برای نمایش تبلیغ در شبکههای اجتماعی، ایمیل شما را دنبال میکنند
یکی از بهترین مثالها برای درک روش تحلیل دادههای کاربران، از گزارش فیسبوک در مورد دستهبندی علایق کاربر برای تبلیغدهندگان استنباط میشود.این شرکت در دادههای یکی ازخبرنگاران، ۳۵۷ دستهبندی را ارائه کرده که اطلاعات او برای دسترسی تبلیغدهندگان، در این گروهها دستهبندی شده است. برخی از این دستهبندیها مانند شغل یا تیم فوتبال مورد علاقه، قابل درک هستند؛ اما برخی دیگر مانند دستهی «واقعیت» یا «یاغی»، معنای خاصی ندارند.
فیسبوک هیچ توضیحی در مورد اینکه چرا این خبرنگار را در این دستهها قرار داده، ارائه نکرده است. البته کاربران این سرویس میتوانند از این دستهبندیها خارج شوند. سخنگوی این شرکت تنها به گفتن این مورد اکتفا کرده است که این دستهبندیها بر اساس تعامل کاربر با فیسبوک تنظیم میشوند. البته او هیچ اشارهای به احتمال استفادهی این شرکت از اطلاعاتی دیگر مانند موقعیت جغرافیایی یا تاریخچهی مرورگر نکرده است.
در بخش دیگری از اطلاعات فیسبوک، امکان مشاهدهی شرکتهای تبلیغاتی که اطلاعات تماس کاربر را از جای دیگر داشتهاند، وجود داشته است. بهعنوان مثال، شعبههای کشورهای دیگر سرویسهایی که این کاربر عضو بوده و جاهای دیگر که او ایمیلش را برای آنها ارسال کرده بوده است. برای توضیح این بخش تصور کنید شما در یک سرویس یا فروشگاه آنلاین، با ایمیل خود ثبتنام میکنید. سپس با همین ایمیل نیز حسابی در فیسبوک میسازید. حال، شرکت اولیه میتواند از عضویت شما در فیسبوک مطلع شده و تبلیغاتش را در آنجا برای شما نمایش دهد.
خبرنگار نویسندهی این مقاله، پیش و پس از تاریخ ۲۵ می، اطلاعات خود را از فیسبوک درخواست کرده است. این اطلاعات در این دو تاریخ تفاوت زیادی با هم داشتهاند. تعداد تبلیغدهندگان دارای اطلاعات تماس از ۱۰ به ۱۸۰ رسیده است. تعداد دستهبندیهای علایق برای نمایش تبلیغات نیز از ۱۹۸ به ۳۵۷ تغییر کرده است. دو مسئول فیسبوک در پاسخ به مکاتبات این خبرنگار، دو دلیل متفاوت را به او اعلام کردهاند. اولی، باگ سیستمی در نمایش تعداد تبلیغدهندگان و دومی اشکال در سیستم دستهبندی را بهعنوان دلیل اعلام کرده است. جالب این که هیچکدام از آنها، GDPR را دلیل افزایش حجم اطلاعات ندانستهاند.
پیچیدهترین دادهها، از تحلیل و ترکیب دادههای اولیه بهدست میآیند
برای عمیقتر شدن در موضوع داده، بهتر است دستهبندی آن را نیز بشناسیم. فردریک کالثونر متخصص داده و امنیت در شرکت غیرانتفاعی لندنی Privacy International، داده را به ۳ نوع تقسیم میکند. اولین نوع، دادهای است که بهصورت آگاهانه به شرکتها میدهیم: نام، آدرس ایمیل، تاریخ تولد. دستهی دوم بهصورت اتوماتیک مشاهده شده و جمعآوری میشوند: مکانی که از آن لاگین میکنید، زمان لاگین کردن، مکانهای دیگری که از آنجا به مرور وب میپردازید. سومین دسته و دشوارترین دسته برای جمعآوری، دادههایی است که از دادههای دیگر مدلسازی شده یا پیشبینی میشوند: تخمین عددی جذابیت یا امانتداری شما!
کالثونر معتقد است اکثر شرکتها، دادههای مدلسازیشده را دادههای شخصی نمیدانند. کاربران تنها به اطلاعاتی که بهصورت فعال به اشتراک میگذارند، فکر میکنند. از طرفی شرکتها نیز تنها همین اطلاعات را در خبرهای خود مدنظر قرار میدهند. بههمین دلیل، بحران کمبریج آنالاتیکا نقطهی عطفی در تاریخ حریم خصوصی شد. در تعریف ساده، کاربران پیش از این حادثه نیز میدانستند که دادههایشان توسط شرکتها جمعآوری میشود؛ اما از چگونگی تاثیر آن بر زندگیهایشان آگاه نبودند.
وقتی ما تمام اطلاعات ذخیرهشده از خودمان را از شرکتها درخواست میکنیم، آنها تنها دادههایی که خودمان در اختیارشان گذاشتهایم را ارسال میکنند. در نتیجه، آنها نهتنها جزئیات تاثیرگذار را حذف میکنند؛ بلکه این ایده را پرورش میدهند که تنها اطلاعات مورد استفاده، همین موارد ساده هستند.
ما عموما تصور میکنیم که اشتراک اطلاعات شخصی، برای دریافت خدمات است. بهعنوان مثال موقعیت خود را به سرویس نقشهی گوگل میدهیم تا آدرس جایی را به ما نشان دهد. اما چگونگی انجام فرآیند روی این اطلاعات مشخص نیست. فرآیندی که با استفاده از محل حضور ما، ترافیک احتمالی و راههای بستهشده را به کاربران دیگر نمایش میدهد. حتما فراموش نکردهاید که گوگل حتی در زمان خاموش بودن قابلیت مکانیابی نیز کاربران را مکانیابی میکند.
فیسبوک نیز اخیرا بهخاطر اقدامی مشابه، مورد حملهی منتقدان قرار گرفت. این شرکت در حال تحقیق برای کشف روشی بود تا احساسات کاربران را دستکاری کند و بهعلاوه، زمانهایی که آنها در موقعیتهای احساسی آسیبپذیر هستند را کشف کند. کشف دیگر در مورد این شرکت آن است که آنها، کاربران را از لحاظ اعتبار رتبهسنجی میکنند و البته مانند همیشه، جزئیات چگونگی این دستهبندی را فاش نمیکنند. در نهایت باید به این نکته اشاره کنیم که داده، ارز موردتبادل ما در دنیای فناوری است؛ اما خودمان نمیدانیم که روزانه چه مقدار از آن را خرج میکنیم.
اشتراکگذاری داده بین شرکتها
در بخش آخر این مقاله، به پاسخ شرکتها در برابر سوالی ساده از طرف کاربران پرداخته شده است: چه فرد یا شرکت دیگری به دادههای من دسترسی دارد؟
شرکتها، دادههای ما را با چه کسانی به اشتراک میگذارند؟
بهعنوان مثال، Evernote فهرستی آنلاین از ۱۷ تامینکنندهی خود شامل شرکتهایی همچون پیپال و زندسک دارد. بهعلاوه، توضیح اینکه هر شرکت چه ارتباطی با آنها دارد نیز در این فهرست وجود دارد. در مقابل، تیندر چنین فهرستی ندارد و تنها به این نکته اشاره میکند که شرکتهای دیگر و تبلیغدهندگان اجازهی دسترسی به دادههای کاربر را دارند. تحقیقات اخیر Deloitte نشان میدهد که ۵۶ درصد از شرکتها هنوز سازوکاری برای روشن کردن دادههای بهاشتراکگذاشته با دیگر شرکتها ندارند یا هنوز تاثیر قانون جدید بر آن را متوجه نشدهاند. ۱۰ درصد دیگر نیز هیچ اطلاعاتی در مورد همخوانی قوانینشان در این بخش با GDPR ارائه نکردهاند.
برت کوهن یکی از شرکای شرکت حقوقی Hogan Lovells در این مورد میگوید:
پیش از اجرایی شدن GDPR، شرکتها روندی برای ساختن نقشهای از دادههای کاربران و مقصد ارسالی آن نداشتند. این قانون موجب شد تا شرکتها نگاهی عمیقتر به روند کاری خود و فرآیندهای انجامشده با آن داشته باشند. به بیان دیگر این قانون، انگیزهی آنها را افزایش داد.
پروفسور هادی اصغری نیر در تحقیقات خود به نتیجهای در این مورد نرسیده است. او معتقد است بسیاری از شرکتها، خودشان نیز از مقصد اطلاعات کاربران اطلاع ندارند.
یک نکتهی دیگر در این تحقیق، روند تایید هویت شرکتها برای ارائهی اطلاعات شخصی به کاربران بوده است. هیچ روند استانداردی برای این مسئله تعبیه نشده است؛ بهعنوان مثال Bumble برای تایید هویت، دو سند هویتی را بهصورت ایمیل درخواست کرده است. این اپلیکیشن، اسنادی همچون گواهینامهی رانندگی، پاسپورت، گواهی تولد و موارد مشابه را پیشنهاد داده است. اسپاتیفای، ۴ رقم آخر کارت اعتباری را درخواست کرده و تاکید کرده است که تمام رقمهای کارت نوشته نشوند. شرکتهایی همچون گوگل، توییتر و لینکدین نیز تنها پس از ورود به حساب کاربری، از خبرنگاران خواستهاند که فرمهای مخصوص درخواست اطلاعات را پر کنند.
روند تایید هویت برای ارائهی اطلاعات شخصی نیز کمبودهایی دارد
روشهای متفاوت شرکتها در ارائهی اطلاعات شخصی، این نگرانی را ایجاد میکند که اطلاعات ما بهآسانی قابل هک شدن هستند. سوال این است که آیا اگر فردی به ایمیل شما دسترسی داشته باشد یا یکی از حسابهای کاربری شما را هک کند، شرکتها تمامی دادههایتان را در اختیار او خواهند گذاشت؟
جیوان کیم سراتو، مدیر حفاظت اطلاعات، حریم خصوصی و امنیت سایبری در شرکت حقوقی Norton Rose Fulbright در این مورد میگوید:
نکتهی مهم این است که شرکتها نباید اطلاعاتی بیش از نیاز خود را جمعآوری کنند. بهعنوان مثال اگر کسبوکار شما ارتباطی به کپی مدارکی همچون گواهینامهی رانندگی یا عکس پاسپورت ندارد، نیازی به جمعآوری آنها ندارید.کوچک کردن دادهها، زیربنای مفهوم حریم خصوصی است. شما باید تنها دادههایی را نگهداری کنید که ارزش افزودهای برای کاربر داشته باشد. اگر داده، زمانی ارزش خود را برای کاربر از دست بدهد، نگهداری آن تنها برای شرکت هزینه خواهد داشت.
اظهار نظر این متخصص، رویکردی کاملا جدید در مورد جمعآوری داده را پیشنهاد میکند. روند عادی شرکتها تا پیش از این بر آن بوده که هرگونه داده یا محتوای قابل دسترسی را (بدون توجه به هدف یا فایدهی آن برای شرکت)، جمعآوری کنند. سراتو در ادامه توضیح میدهد که ذخیرهسازی داده در حال ارزان شدن است و احتمالا، پاک کردن دادهها بهصورت منظم، برای شرکتها هزینهای بیش از نگهداری همیشگی آنها خواهد داشت.
اما GDPR قصد دارد این هزینهها را برعکس کند. طبق این قانون، هزینهی نگهداری اطلاعات باارزش، در صورتی که شرکت اطلاع دقیقی از فایده و کارایی آنها نداشته باشد، بسیار بالا خواهد بود. البته شایان ذکر است که این قانون هنوز در مراحل اولیه قرار دارد و اجرا کردن آن بر اساس قوانین محلی کشورها و آزمون و خطا، زمان میطلبد.
البته کارشناسان معتقدند شرکتهایی که خود را در نوک پیکان این قانون میبینند، از هر اقدامی برای هماهنگ شدن با آن استفاده میکنند؛ اما برخی شرکتها هنوز در مرحلهی انتظار ماندهاند. میتوان گفت تنها دلیل انتظار آنها، ترس از عواقب اعتراض به قانون است.
متخصصان انتظار دارند که مقامات قانونی ابتدا شرکتهای بزرگ فناوری، خصوصا آنهایی که بهصورت مستقیم با مصرفکننده در ارتباط هستند را هدف قرار دهند. رسانههای اجتماعی، اپلیکیشنهای موبایل، سرویسهای سلامتی، تبلیغات و خودروهای خودران و همچنین شرکتهایی که بازار هدفشان کودکان هستند.
قانونگذاران بحث داده در انگلستان، ایرلند و فرانسه ادعا کردهاند که تعداد شکایات در مورد نفوذ دادهای، از زمان تصویب GDPR افزایش سریعی داشته است. در ایالات متحدهی آمریکا، ایالت کالیفرنیا در این مسیر پیشقدم شده و قانون حریم خصوصی دیجیتال را تصویب کرده است که از ژانویهی ۲۰۲۰ اجرایی خواهد شد. این قانون بهعنوان قدمی بزرگ در پیشرفت حفاظت از داده در آمریکا شناخته میشود؛ چرا که هیج قانون جامع و صریحی در این مورد در این کشور وجود ندارد.
در نهایت باید به این نکته اشاره کنیم که مقامات رسمی در مورد جریمه کردن شرکتها، اظهاراتی صریح داشته و عزم خود را جزمتر از همیشه نشان میدهند. جیوانی بوتارلی سرپرست حفاظت دادهی اتحادیهی اروپا در این مورد میگوید:
کاملا واضح است که سوءاستفاده از کاربران به روندی عادی تبدیل شده بود. آژانس حفاظت از دادهی اروپا که من مدیر آن هستم، برای پایان دادن به این وضع عمل میکند. مردم بهزودی و پیش از پایان سال، نتایج اولیهی این اقدامات را شاهد خواهند بود.
در حال حاضر نگاه افکار عمومی منتظر اولین پروندهی قانونی است که علیه یک شرکت بزرگ فناوری به جریان میافتد. آنها منتظرند تا مقدار جریمهی آن شرکت احتمالی نیز مشخص شود. به بیان دیگر، این اقدام، بهترین نشانه از اثرگذار بودن قانون GDPR در حفاظت از اطلاعات کاربران در برابر احتکارکنندگان قدرتمند طلای قرن ۲۱ است.