امنیتاینترنت و شبکهعلم و دانش

GDPR چیست و چرا باید احتیاط کنید؟

به تازگی یک چارچوب جدید برای حفاظت از اطلاعات کاربران در اروپا تعریف شده است. مقررات حفاظت از داده‌های عمومی (General Data Protection Regulation) که به اختصار با GDPR شناخته می شود، یک استاندارد جدید را برای جمع آوری، ذخیره سازی و استفاده از داده ها در میان همه ی شرکت هایی که در اروپا فعالیت دارند تنظیم می کند. این قانون، چگونگی عملکرد شرکت ها برای حفظ حریم خصوصی کاربران را تغییر خواهد داد و برای افراد، حقوق جدیدی برای دسترسی و کنترل اطلاعات شخصیشان در اینترنت قايل می شود.

GDPR فقط بر اتحادیه ی اروپا تاثیر گذار است و قوانین مندرج در آن برای کشورهای دیگر ترجمه نمی شود (به استثنای بریتانیا که با وجود برکسیت، این قوانین در آن اعمال می شود). مردم در ایالات متحده ی آمریکا از حقوق و حمایت های یکسانی برخوردار نیستند اما این بدان معنی نیست که افراد خارج از اتحادیه اروپا می توانند GDPR را بطور کامل نادیده بگیرند. مزایای پنهان دیگری برای آن ها وجود خواهد داشت و درک اینکه چگونه قانون، امنیت اطلاعات خصوصی اروپایی ها را تغییر می دهد، آن ها را به جاهایی که حقوق دیجیتالی برای افراد هنوز در آن رعایت نمی شود متمرکز می کند.

GDPR چیست؟

GDPR مجموعه ای از مقررات است که حقوق دیجیتال را برای شهروندان اتحادیه اروپا تدوین می کند. این قانون برگرفته از یک سیاست قدیمی به نام دستورالعمل حفاظت از اطلاعات (Data Protection Directive) است که اروپا در سال ۱۹۹۵ تصویب کرد. بسیاری از ایده هایی که در GDPR مشخص شده اند از همان مقررات و حتی از مجموعه قوانین قدیمی تری که Fair Information Practices نامیده می شوند می آید و شامل مواردی است که نشان می دهد چطور باید اطلاعات کاربر مورد استفاده قرار گیرد. این شیوه ها همچنین سیاست های ایالات متحده را نیز شکل داده اند، هرچند نتایج متفاوت است. از لحاظ تاریخی ایالات متحده قوانین جزیی را برای حریم خصوصی در زمینه های مراقبت پزشکی، اسناد مالی و ارتباطات فدرال تنظیم کرده است. هیچ چیز قابل مقایسه ای با GDPR در ایالات متحده وجود ندارد و به نظر می رسد به این زودی ها هم وجود نخواهد داشت.

GDPR در اروپا یکی از محکم ترین قوانین حفظ حریم خصوصی در دنیا است. این قانون همچنین به افراد این حق را می دهد تا شرکت ها را مورد سوال قرار دهند که چگونه اطلاعات شخصی آن ها جمع آوری و ذخیره سازی می شود و حتی خواستار حذف اطلاعات شوند. همچنین شرکت ها باید به روشنی نحوه ذخیره کردن و استفاده از داده های خود را توضیح دهند و قبل از جمع آوری اطلاعات رضایت شما را کسب کنند. منظور از اطلاعات شخصی، نام، ایمیل و آدرس IP و همچنین اطلاعات مستعاری (pseudonymized information) است که می توانند ردیابی شوند. افراد همچنین می توانند با استفاده از اطلاعات شخصیشان که برای اهداف خاص مانند بازاریابی مستقیم مورد استفاده قرار می گیرد مخالفت کنند. اگر شما از یک خرده فروش، به صورت آنلاین یک جفت کفش خریداری کنید و پس از آن، تبلیغات مربوط به آن کفش را ببینید، شما می توانید از آن خرده فروش بخواهید، استفاده از اطلاعات شخصیتان را با هدف بازاریابی مستقیم متوقف کند. زیر نظر مقررات GDPR، حقوق افراد تضمین می شود.

برای شهروندان اروپایی این حقوق به صورت قانونی اعمال می شود اما برخی شرکت ها ممکن است این حقوق را برای سایر نقاط نیز قایل شوند. ریچارد فرونو، یک محقق امنیت سایبری و معاون آن از مرکز UMBC در این باره می گوید:

برخی شرکت ها معتقدند به جای اینکه GDPR یک سیاست واحد برای شهروندان اروپایی باشد، یک سیاست برای سایر نقاط جهان نیز باشد و بهتر است GDPR را برای تمام کاربران خود استفاده کنند.

برای مثال شرکت مایکروسافت اعلام کرد که به تمام کاربران خود حق کنترل اطلاعات خود را زیر نظر قوانین جدید اتحادیه ی اروپا داده است. از جمله اینکه یک داشبورد حفظ امنیت خصوصی در اختیار کاربران خود قرار داده که به هر کاربر اجازه می دهد اطلاعات شخصی خود را مدیریت کند. شرکت های دیگر مانند فیس بوک تنظیمات حریم خصوصی و ابزارهایی را برای کاربران خود در سطح جهان تغییر می دهند اما کاربران، از همه ی حقوقی که کاربران اروپایی دارند برخوردار نیستند.

هنوز معلوم نیست که دیگر کشورهای جهان چقدر از مقررات GDPR بهره مند خواهند شد. اما یانا ولیندر، یکی از همکاران در مرکز اینترنت و جامعه ی دانشکده حقوق استنفورد می گوید:

شرکت ها حتی اگر تلاش می کردند، نمی توانستند برخی از حقوق را به اروپایی ها بدهند.

مثلا شرکت ها مجبور خواهند شد طی ۷۲ ساعت پس از وقوع نقض اطلاعات شخصی، به نمایندگی اروپایی اطلاع دهند. اگر این نقض، تهدید جدی را برای کاربر به دنبال داشته باشد شرکت همچنین باید به کاربران بصورت مستقیم اطلاع رسانی کند. اما این نوع قوانین می تواند منافع زیادی برای افراد خارج از اروپا داشته باشد و همچنین می تواند تاثیری بر نحوه انجام معاملات تجاری بدون در نظر گرفتن کشور داشته باشد.

آنچه که می توانید انجام دهید

اگر در اروپا زندگی می کنید اولین گام این است که با فهرست قوانین کمیسیون اروپا که تحت عنوان GDPR ارایه شده است، آشنایی پیدا کنید. راهنمایی های گام به گام را برای مواردی مثل زمانی که می خواهید یک شرکت در مورد نوع اطلاعاتی که در مورد شما جمع آوری کرده است پاسخگو باشد دریافت می کنید تا پردازش این داده ها را متوقف کنند یا این داده ها را بطور کامل حذف کنند. همچنین این راهنمایی ها به شما نشان می دهد که اگر اطلاعات شخصی شما افشا شد چگونه شکایتی را تنظیم کنید و برای طرح شکایت در مورد کودکان هم قوانینی دارد.

به نظر ساده می آید، درست است؟ اما اینطور نیست.

شرکت ها سال هاست که در حال آماده شدن برای مقررات GDPR بوده اند اما بیشتر آن ها هنوز هم در حال معرفی ابزارهای کاربردی برای اجرای این قوانین جدید هستند. وودرو هارتزوگ یکی از محققان علوم کامپیوتر و حقوق در دانشگاه شمال شرقی و نویسنده ی کتاب طرح حفظ حریم خصوصی: نبرد برای کنترل طراحی فن آوری های جدید، می گوید:

شرکت ها همچنان در حال تلاش برای ارايه ابزار برای کمک به کاربران هستند. این طرح به گونه ای نیست که روز بعد از GDPR به اجرا دربیاید.

کاری که می توانید انجام دهید این است که از شرکت ها درباره ی اطلاعات شخصی ای که از شما جمع آوری کرده اند؛ سوال کنید. اگر در اروپا زندگی می کنید نسبت به ایالات متحده می توانید مطالبات بیشتری داشته باشید. برای اینکه این موضوع را در عمل ببینید نیویورک تایمز آزمایش گسترده ای انجام داده است.

و اما ایمیل ها!

مهم نیست کجا زندگی می کنید، احتمالا سونامی ای از ایمیل هایی مربوط به GDPR دریافت کرده اید: بیشتر شرکت ها برای اینکه راجع به این سیاست به روز رسانی شده در راستای مطابقت با مقررات جدید اروپا اطلاع رسانی کنند، به کاربران خود ایمیل فرستادند تا قبل از جمع آوری اطلاعات از کاربران، رضایتشان را دریافت کنند. البته روشن نیست که آیا فرستادن همه ی این ایمیل ها از لحاظ قانونی الزامی است یا خیر اما شرکت ها با توجه به قوانین جدید احتیاط می کنند.

آیا فرصت خواندن ایمیل ها را ندارید؟ئهرتزوگ می گوید:

به طور کلی، من فکر نمی کنم که کاربران حتی اگر بخواهند، بتوانند توانایی ذهنی درگیر شدن با این سیل از ایمیل ها را داشته باشند.

حتی اگر شرکت های شخصی این اطلاعات را تکمیل کنند، کاربران باز هم با انبوهی از ایمیل ها مواجه می شوند.

به سادگی ایمیل های خود را حذف کنید به ویژه اگر تمایل ندارید با فروشندگان ارتباط برقرار کنید یا در خبرنامه های ایمیل اشتراک داشته باشید. اگر مایلید بدانید شرکت ها چگونه باید از مقررات امنیت اطلاعات شخصی پیروی کنند می توانید از این سیاست ها استفاده کنید. برای مثال توییتر یک سیاست حفظ حریم خصوصی جدیدی را ارائه داده که به کاربران اجازه می دهد تا چگونگی به اشتراک گذاری اطلاعات شخصی خود را با تبلیغ کنندگان کنترل کنند.

ولیندر می گوید:

در حقیقت، اکثر سیاست های حفظ حریم خصوصی هنوز کاملا انعطاف پذیر و کاربردی نیستند.

اما این سیاست ها می تواند به تغییرات جدیدی در حفظ حریم خصوصی اشاره کند و یا راه هایی برای جلوگیری از پردازش و به اشتراک گذاری اطلاعات شخصی شما بوسیله ی شرکت ها ارایه دهد. اطلاعاتی که ممکن است باارزش باشند و با یک جست جوی ساده قابل دستیابی باشند. هرتزوگ نیز می گوید:

این یک فضایی است که ما برای کاربرانی که به دنبال مدیریت کردن زندگی دیجیتالی خود هستند در نظر می گیریم هرچند که تقریبا نمی توانیم کاری از پیش ببریم.

هرتزوگ برای افرادی که شهروند اتحادیه اروپا نیستند و به دنبال راه هایی برای حفاظت و کنترل اطلاعات شخصیشان هستند روش های دیگری پیشنهاد می کند: به قوانین و قانون گذارانی که دیدگاه شما را نسبت به حریم خصوصی به اشتراک می گذارند، رای دهید. ایالت متحده ممکن است هیچ وقت سیاستی را که با GDPR رقابت کند نداشته باشد اما تعدادی از پیشنهادهای جدید نشان می دهد که قانون گذاران آمریکایی در مورد امنیت خصوصی داده ها به روش های جدید فکر می کنند.

امتیاز کاربر: ۴.۵۷ ( ۳ رای)
برچسب ها

هنگامه بحرکاظمی

کارشناسی ارشد شیمی دانشگاه صنعتی اصفهان

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن
بستن