,

چالش‌های‌ حریم خصوصی برای هویت دیجیتال

چالش‌های‌ حریم خصوصی برای هویت دیجیتال

پیش از ورود به بحث چالش‌های‌ حریم خصوصی برای هویت دیجیتال لازم است دو اصطلاح داده‌های شخصی و حریم خصوصی تعریف شوند.

داده شخصی: اطلاعات مربوط به یک شخص حقیقی (مالک داده) شناخته شده یا قابل‌ شناسایی هستند. منظور از فرد حقیقی قابل ‌شناسایی فردی است که با ارجاع به یک شناسه (مانند نام، شماره ملی، داده مکانی یا …) یا یک عامل هویتی ویژه (مانند عامل‏‌های هویتی فیزیکی، عاطفی، اقتصادی، فرهنگی و …) به‌ صورت مستقیم یا غیرمستقیم می‌‏تواند شناسایی شود.

حریم خصوصی: به‌ طور کلی به تمایل افراد به حفظ فضا و موضوعات شخصی حریم خصوصی می‌گویند. در فضای دیجیتال حریم خصوصی بیانگر استفاده مناسب از اطلاعات شخصی بر اساس شرایط و ضوابط مشخص است. اینکه چه استفاده‌ای مناسب است به مواردی مانند زمینه، قوانین، توقعات فرد و نیز حق فرد برای کنترل، جمع‌آوری، استفاده و افشای اطلاعات شخصی او وابسته است.

چالش‌های حریم خصوصی برای هویت دیجیتال

حفاظت از اطلاعات شخصی و حریم خصوصی افراد

حفاظت از افراد و عموم جامعه در مقابل انواع تهدیدها از مهم‏ترین مسائل حکومت‌ها و نهادهای حاکمیتی است. در همین راستا یکی از مهم‌‏ترین مباحث روز دنیا حفاظت از اطلاعات شخصی و حریم خصوصی افراد (علی‌الخصوص افراد حقیقی) است. با ظهور اینترنت موضوع حریم خصوصی دائماً حساس‌تر شده است؛ زیرا از یک سو ارتباط با افراد در سراسر دنیا آسان‌تر شده و از سوی دیگر حجم انبوهی از گردش اطلاعات به وجود آمده است.

در واقع اگر در گذشته تبادل داده صرفاً میان دو طرف تبادل انجام می‌گرفت، اما امروزه پلتفرم‌‏های رایانه‌ای متمرکز (مانند موتورهای جستجو، رسانه‌های اجتماعی و …) این امکان را فراهم کرده‌‏اند که حجم وسیعی از داده‌‏های شخصی جمع‌آوری شوند که حتی بیشتر از نیاز هدف استفاده و اغلب بدون اطلاع مشتری هستند. داده‌‏های شخصی ارزش اقتصادی یافته‏‌اند و این داده‌‏ها به‌منزله نفت عصر معاصر هستند!

پیش‌‏بینی می‏‌شود بازار داده‏‌های شخصی تا سال 2020 به 84 میلیون دلار برسد. بر همین اساس تلاش‏‌هایی انجام شده است تا مالکان داده کنترل بیشتری بر داده‏‌های خود داشته باشند و مقررات عمومی حفاظت از داده در اتحادیه اروپا (GDPR) و قانون حریم خصوصی کالیفرنیا (CCPA) دقیقاً در همین راستا هستند. بسیاری از اصول این دو قانون با یکدیگر شباهت دارند و مبتنی بر ارزش‌های یکسان هستند.

cppa در برابر gdpr

بیشتر بخوانید: مزایا و کاربردهای مدیریت هویت و دسترسی

در ادامه به اصول محوری این قوانین اشاره می‌شود:

رضایت: برای پردازش یا اشتراک‌گذاری داده‌های شخصی باید رضایت مالک داده اخذ شود. در صورت لزوم برای هر بخش از داده باید رضایت جداگانه دریافت شود. همچنین در اشتراک‌گذاری‌ها و پردازش‌های بعدی که با هدفی متفاوت از پردازش اول هستند باید رضایت مالک مجدداً دریافت شود. مالک باید این امکان را داشته باشد که رضایت خود را لغو و یا اصلاح نماید.

اعلام به کاربر: درصورتی‌که داده‏‌های شخصی مالک داده ذخیره شوند، باید ذخیره‌‏سازی و نوع داده به او اطلاع‌رسانی شود. همچنین اگر مالک درخواست کند تا داده‏‌های ذخیره‏‌سازی شده را ببیند این موضوع باید برای او محقق شود.

محدودسازی هدف: داده‏‌های شخصی باید برای اهداف تعریف‌شده، صریح و قانونی جمع‌آوری شوند و نباید طوری پردازش شوند که متناقض با اهداف مذکور باشند.

محدودسازی داده: با توجه به هدف پردازش، داده‏‌های شخصی باید به میزان محدود، مرتبط و مکفی برای ضرورت مورد باشند. در واقع بیشتر از میزان مورد نیاز نباید باشند.

محدود بودن ذخیره‏‌سازی: باید به شکلی ذخیره‏‌سازی و نگهداری شوند که امکان تعیین هویت مالکان داده بیشتر از مدت‌زمان موردنیاز و ضروری میسر نباشد.

حریم خصوصی از لحظه طراحی: در حین تعیین ابزار پردازش داده‌‏های شخصی و همچنین در زمان پردازش این داده‏‌ها، اقدامات فنی و سازمانی مناسبی باید پیاده‌سازی و اجرا شوند تا تضمین شود که اصول حفاظت از داده اجرا می‏‌شوند و این اصول در پردازش داده یکپارچه هستند.

حریم خصوصی به‌صورت پیش‌فرض: باید اقدامات فنی و سازمانی مناسب پیاده‌‏سازی و اجرا شوند تا تضمین شود که به‌صورت پیش‌فرض فقط داده‌‏های شخصی لازم پردازش می‌‏شوند.

GDPR VS CCPA

چالش‌های‌ حریم خصوصی برای هویت دیجیتال / منبع

الزامات حریم خصوصی در فضای مجازی

مقررات GDPR و قانون کالیفرنیا مجازات نقدی و غیرنقدی قابل توجهی را برای عدم رعایت و عدم انطباق با این اصول و قوانین در نظر گرفته‌اند. در صورتی‌ که حریم خصوصی افراد نقض شود شرکت‌ها موظف هستند مراتب را به مالکان داده اعلام کنند و خسارت‌های آن‌ها را جبران کنند.

همچنین شرکت‌هایی که نشت داده‌ای داشته‌اند موظف‌اند طی مدتی مشخص مشکل و نقص را برطرف کنند، در غیر این صورت مجدداً جریمه خواهند شد. مالکان داده نیز در صورت نقض شدن حقوق و حریم خصوصی خود این حق را دارند که از مسببین شکایت کنند و درخواست خسارت نمایند.

الزامات اکوسیستم هویت آمریکا

اثرات متقابل مدیریت هویت و دسترسی و حریم خصوصی

مدیریت هویت و دسترسی و حریم خصوصی اثرات متقابل دارند و یک رابطه برد-برد میان آن‌ها حاکم است:

  1. با توجه به اینکه مدیریت هویت و دسترسی با اطلاعات و داده‎‌‏های شخصی سروکار دارد، باید با اصول حریم خصوصی کاملاً منطبق باشد. نمود این امر را در سند الزامات اکوسیستم هویت ایالات‌متحده می‏‌توان مشاهده کرد. حریم خصوصی یکی از 4 محور اصلی الزامات تعریف شده در این سند است که 15 الزام برای آن تعریف شده است و همه راهکارهای مدیریت هویت و دسترسی موظف به رعایت و محقق ساختن آن‌ها هستند.
  2. با توجه به اینکه داده‏‌های شخصی اکثراً از جنس داده‌‏های هویتی هستند محافظت از داده‏‌های شخصی و حریم خصوصی به‌واسطه اصول و راهکارهای مدیریت هویت و دسترسی میسر می‏‌شود. چارچوب حریم خصوصی سازمان جهانی استاندارد (ISO/IEC 29101) بر این مهم صحه گذاشته است.

حریم خصوصی در سیستم‌های فناوری اطلاعات