Do You need Data Shredder!| حول قوانين حماية البيانات
دائماً مانسمع أن “البيانات هي نفط القرن الواحد والعشرين” هذه المقولة رغم تحفضي عليها ^_^ يروج لها دلالة على أهمية الإستثمار في البيانات وفي حفظها وتحليلها، وظهرت بناء على ذلك عدد من الأبحاث والدراسات التي توجه بأهمية هذا القطاع كان ابرزها عربياً ماصدر عن عن المركز العربي لابحاث الفضاء الالكتروني بعنوان"البيانات الشخصية:الصراع على 'نفط' القرن الحادي والعشرين".
ولكن على الصعيد المقابل يشكل الأستثمار في البيانات مخاطرة ضخمة على الصعيدين التجاري والامني لما تشكل من أهمية كبرى في دراسة سلوك الافراد وأتخاذ القرارات داخل المنظمات وتطوير حلول الذكاء الذكاء الاصطناعي وبناء عليه ظهرت العديد من التشريعات “الأنظمة” التي تحد بشكل واضح من إستخدام وتخزين البيانات كان اكثرها تأثيراً “ قانون حماية البيانات الأوربي - GDPR” الذي دخل حيز التنفيذ عام 2018، ولايعد هو الأول في الأتحاد الأوربي حيث بدأت الجهود في تقنين حفظ واستخدام البيانات إلى التسعينات الميلادية وذلك بإصدار European Data Protection Directive المتعلق بحماية بيانات الأفراد عام 1995، ورغم نضج التجربة الأوربية الحالي ولكنها لاتعد أول التجارب حيث بدأت محاولات تقنين حفظ واستخدام بيانات المواطنين منذ نشأة الأنترنت في نطاق حق الفرد بالخصوصية بداية من Privacy Act الصادر عام 1974 ، وتلاه ECPA عام 1986، واخيراً CCPA الذي يدخل حيز التنفيذ مع بداية عام 2020 في الولايات المتحدة الأمريكية التي تمتلك تاريخ حافل! في تقنين الانترنت *_^ ،
ولكن على صعيد محلي لا نمتلك هذا المستوى في النضج التشريعي فيما يتعلق في خصوصية المستخدمين وحماية البيانات، لذلك تتعامل الكثير من الجهات مع البيانات وأي أنظمة تعمل على تخزينها “ خارج جدران المؤسسة “ وكأنها قنبلة موقوته!
في هذا المقال سأحاول الحديث عن الجانب الغير محبوب من الإستثمار في البيانات:
*المسؤولية الناتجة عن وجود البيانات!
*الجانب الأخلاقي لحماية البيانات.
*وضع البيانات في المملكة العربية السعودية.
المسؤولية الناتجة عن وجود البيانات :
البيانات من منظور قانوني هي مجموعة من القيم التي يقدمها لك الشخص لغرض محدد سواء بمقابل او دون مقابل وفق اتفاق محدد بين الطرفين (المستخدم ومزود الخدمة) - تتضح بنود الاتفاق في سياسة الاستخدام والخصوصية التي لايقرأها احد عادةً 😆- ويقابلها التزامك بالأتفاق بالإضافة إلى الألتزام بالقوانين والأنظمة المتعلقة بحماية بيانات هذا المستخدم واستخدامها فقط حسب ماقدمت له( وفي حال استخدامها لغير ذلك حتى اذا كان لغرض تحسين تجربة المستخدم يجب “النص” على ذلك في سياسة الخصوصية).
وبناء على هذه الالتزامات واعتماد القطاع التقني بشكل على اساسي على مزودي الخدمات من شركات اجنبية بداية من الإستضافة وحتى أدوات التطوير يتخوف القانونيين دائماً من حفظ وتخزين البيانات بل ويسعون بالغالب إلى تدمير البيانات مباشرة عند عدم الحاجة إليها، حتى الورقية منها فلا يكاد يخلو مكتب من (paper shredder- جهاز اتلاف المستندات).🤓
و يخشى الأغلب من استخدام الخدمات السحابية ويأتي كل ذلك انطلاقاً من المسئولية تجاه البيانات حيث يعد هذا المجال قائماً على الأمانة والموثوقية فقد نص نظام المحاماة على عقوبات تصل إلى وقف ترخيص المحاماة حال أفشاء بيانات الموكلين ( في المملكة العربية السعودية) .
بالإضافة إلى التحدي الذي يواجهه القانونيين في الشركات الكبيرة وشركات المحاماة حول حماية البيانات التي تصنف كـ”بيانات سرية” وهو مصطلح يستخدم في العلاقات التعاقدية لحماية كافة المعلومات والبيانات التي تتطلب المصلحة حمايتها،من اسرار تجارية وآليات عمل وبيانات ربط الأنظمة وآليات حمايتها وتنشئ إلتزام قانوني ببذل العناية اللازمة لحمايتها وعدم الأفصاح عنها.
وكلما ازدات التقنيات المستخدمة في المنظمة من أنظمة دخول وخروج وكاميرات مراقبة و أنظمة عمل داخلية من مشتريات وإدارة عقود وإدارة مشاريع وغيرها … زادت البيانات الناتجة عنها وارتفعت المسؤولية القانونية على الجهة بحمايتها سواء بالالتزام بعدم الافصاح عنها واستخدامها وفق ما قدمت له بالإضافة إلى حمايتها من الأختراق أو تسريب البيانات( ويأتي هذا مع كثير من التكاليف🤕)، وفي هذا المجال تجدر الإشارة دائماً إلى قضية الهجوم على أنظمة DLA Piper عام 2017 وايقافها عن العمل وهي أحد شركات المحاماة العالمية التي تمتد لتتواجد في 40 دولة حول العالم وتمتلك احدث الأنظمة التقنية وعدد ظخم من بيانات العملاء والذين يتمثلون بشركات عالمية وحكومات،كانت كارثة شكلت خسائر مالية كبيرة تطلب تجاوزها وقتاً طويلاً! و تعد الأن هذه القضية درس لشركات الأخرى حيث نشرتLMA مقال حول الدروس المستفادة من الهجوم على أنظمة DLA Piper .
Where there is data smoke, there is business fire
Thomas Redman
تخيل العالم بدون أنظمة حماية البيانات:
تعد أكبر الشركات التقنية مثل قوقل وفيسبوك اليوم قائمة على البيانات ( بيع ، ترويج ، تحليل ودراسة..).
تعمل هذه الشركات بشكل رئيسي على جمع البيانات حول “حياتك” وتقديمها لشركات لتطور بناء عليها المنتجات والحلول لتحديات التي تواجهك أو تروج لمنتجاتها التي بدورها أيضاً تجمع المزيد من البيانات.
ونرحب جميعاً دون استثناء بتقديم هذه البيانات طالما تضمنت تحسين تجربتنا وتقديم خدمات أفضل لنا، لكن بالمقابل قدمت هذه الشركات البيانات لعدد من الدول وساهمت بالقبض وتجريم عدد لابأس به من المستفيدين من خدماتها بالإضافة إلى قضايا تسريب واختراق البيانات والتي تتضمن بيانات شخصية او الحساسة ( الحالة الصحية على سبيل المثال والتي تؤثر سلباً على العمل ، تكلفة التأمين، والحياة الشخصية) مما يؤثر سلباً وبشكل مباشر على الأفراد ويصعب تلافيه.
أيضاً تجمع عدد من الجهات البحثية البيانات بشكل ضخم وهائل لأغراض بناء الأنظمة وتطوير التقنيات مما يفرض مسار محدد لهذه التقنيات دون أي حدود واضحة لضبطها.
مثل هذه الممارسات قد تعرضك شخصياً للخطر بشكل مباشر ، وتعرضك للمساهمة بخطأ اكبر عندما يتعلق الموضوع بتطوير تقنيات قد تكون متحيزة او لا اخلاقية تجاه الاخرين بناء على تحيزات بياناتنا المدخلة!
وبعيد عن الصورة الكبيرة ، فمثل هذه التحديات اثرها اكبر على الفرد فعلى سبيل المثال ملفك المهني في جهة عملك والذي يحوي بيناتك الشخصية ، الائتمانية، ودخلك وبيانات عائلتك لو لم تلتزم جهة العمل بحمايته فوجود مثل هذه المعلومات متاحة للعامة قد تسبب لك مشاكل لاتحصى وفي هذا المجال تعد أبرز القضايا التي حدث عام 2018 قضية Various Claimants v W M Morrison Supermarkets حيث تسبب موظف ( مراجع تقنية معلومات - IT auditor) بنشر بيانات مايزيد على 5000 من زملائه على الانترنت وبالنظر لضرر الذي تسببت به هذه البيانات للموظفين فقد اقيمت عليه دعوى بطلب التعويض للمتظررين .
وهنا يأتي دور الدولة في حماية رعايها وفضائها الأمني( رغم أني وبشكل شخصي ضد المزيد من الأنظمة التي تقيد حرية الأفراد في الاختيار ولكن يجب أن توضع ضوابط وخطوط اخلاقية عريضة للمجال) وذلك بضبط وتقنين تخزين واستخدام البيانات فوجود مثل هذه البيانات على الأنترنت يحتم حمايتها كواجب اخلاقي اولاً و أمني ثانياً،نظراً لأنه بدون أنظمة تؤكد على حماية البيانات قد يصعب أو يستحيل أن صح التعبير عليك منع وقوع الأضرار الناتجة عن افشاء الجهات لبياناتك بالإضافة لصعوبة التحكم بماذا يحفظ وكيف يستخدم .
هيئة متخصصة في حماية البيانات :
لانمتلك في المملكة العربية السعودية تاريخاً جيداً فيما يتعلق بحماية البيانات على الأنترنت ولكن في المقابل يقدر النظام بشكل قاطع واستناداً لشريعة الأسلامية “ حق الفرد في الخصوصية”. ولكن تزامناً مع التقدم التقني الهائل والدعم الحكومي الكبير لتشجيع ريادة الأعمال في المجال التقني،عملت هيئة الاتصالات وتقنية المعلومات بجهد تشكر عليه على وضع أسس نظامية تضبط اخلاقيات تطوير المنتجات التقنية حيث اصدرت نظام التعاملات الإلكترونية ، بالإضافة إلى نظام مكافحة الجرائم المعلوماتية وعدد من الأطر التشريعية التي تضبط التقنيات المتقدمة مثل الحوسبة السحابية.
وصدر خلال العام الماضي (2019) أمر ملكي بإنشاء “الهيئة السعودية للبيانات والذكاء الاصطناعي”
والتي نتطلع منها لوجود نظام موحد و واضح لحماية كافة اشكال البيانات على مختلف مصادرها والتقنيات المستخدمة في تجميعها وإدارتها👯.
ولكن حتى الأن تتوزع القواعد المتعلقة بالتعامل مع البيانات في المملكة العربية السعودية بين عدد من الأنظمة وفق الآتي:
نظام مكافحة جرائم المعلوماتية
الصادر بقرار مجلس الوزراء بتاريخ 7 ربيع الأول 1428هـ والذي يتطرق في المادة الرابعة والخامسة منه لحماية البيانات المتعلقة بالملكية بالإضافة إلى تشديد المنع فيما يتعلق بإتلاف البيانات الغير المشروعة.
ولكن النظام لم يتطرق لحدود المسؤولية عن تلف البيانات، والحالات الخاصة لتعامل بالبيانات والتي من الممكن أن تسبب تلف البيانات والمتعلقة بربط وتعدد أنظمة تشغيل وتخزين البيانات.
نظام التعاملات الإلكترونية
الصادر بقرار مجلس الوزراء رقم 80 وتاريخ 7/3/1428هـ، والذي يعرف بشكل أساسي في المادة الأولى منه "البيانات الإلكترونية"، "منظومة البيانات الإلكترونية" وفي المادة الخامسة منه تطرق لحجية البيانات الإلكترونية القانونية، وحددت اللائحة التنفيذية الاشتراطات الخاصة بحفظ البيانات وتطرق النظام أيضاً للتعاقد الإلكتروني بين منظومتي بيانات.
الإطار التنظيمي لأنترنت الأشياء
الصادر عن هيئة الأتصالات وتقنية المعلومات بتاريخ 1/1441 ، والذي يتضمن في المادتين السابعة والثامنه على ضوابط إدارة البيانات في تطبيقات انترنت الاشياء “ والذي يقصد به تمكين الاشياء المادية والإفتراضية من الاتصال ببعضها البعض وإرسال و استقبال البيانات لأداء وظائف محددة من خلال شبكة الأنترنت .
ونص النظام أيضاً على ضرورة توعية المستخدمين بقواعد أمن المعلومات وحماية البيانات.
الإطار التنظيمي للحوسبة السحابية
الصادر عن هيئة الاتصالات وتقنية المعلومات الصادر بتاريخ 7/6/1440هـ والذي تطرق في الفقرة 3-3 منه لأمن المعلومات وصنف المحتوى الخاص بالمشترك بالحوسبة السحابية وفق حساسيته على أربع مستويات لتوضيح متطلبات الحماية، بالإضافة لذلك تطرق في الفقرة 3-4 على حماية بيانات المشترك في خدمات الحوسبة السحابية.
نظام التجارة الإلكترونية
الصادر بالمرسوم الملكي رقم ( م/126 ) وتاريخ 1440/11/7هـ . عرف النظام البيانات في المادة الاولى، ونص في المادة الخامسة /1 من النظام مسؤولية مقدم الخدمة عن بيانات المستخدمين،التي اشارات أيضاً إلى الاحتفاظ بالبيانات ، حيث نصت على أنه يجب على مقدمي الخدمة عدم الاحتفاظ بالبيانات الشخصية لفترة أطول مما هو مطلوب لأغراض المعاملة.
بالإضافة إلى حضر استخدام بيانات العملاء الشخصية لأغراض "غير مرخصة أو غير مصرح بها" ، ومن الكشف عن البيانات الشخصية لأطراف ثالثة دون موافقة العميل.
اخيراً، تجدر الإشارة أن الأنظمة المذكوره اعلاه تتعلق فقط في مجال تقنية المعلومات ( كلٌ في حدوده) ولايمكن تطبيقها بشكل عام.
لكن على الصعيد المقابل توجد أحكام الشريعه العامة والانظمة المرعية والتي تشدد على حماية خصوصية الفرد وسمعته حيث اشار النظام الأساسي للحكم في المملكة العربية السعودية على على حرمة الاتصالات وأنها مصونة في المادة (40) التي تنص على أن (المراسلات البرقية والبريدية والمخابرات الهاتفية وغيرها، من وسائل الاتصال مصونة ولا يجوز مصادرتها أو تأخيرها أو الاطلاع عليها أو الاستماع إليها إلا في الحالات التي يبينها النظام). بالإضافة إلى الأنظمة المحلية والدولية المرتبطة في مجالات متخصصة مثل المالية،الصحة،التعليم،والبحث وغيرها والتي تعد ذات طبيعة خاصة نظراً لحساسيتها ويتم الرجوع إليها وفق كل مجال.