يتصل من أجل التشريعات الاتحادية إلى جانب بايدن الذكاء الاصطناعي (AI) الأمر التنفيذي ويسلط حوالي 12 نظامًا مختلفًا في الولايات المتحدة وحدها الضوء على البيئة التنظيمية العالمية المتعلقة بخصوصية البيانات والتي من المقرر أن تظل بمثابة خليط.
تستمر أنظمة مختلفة في الظهور في بلدان مختلفة وعبرها، ومن غير المرجح إلى حد كبير وجود تبرير أو إجماع عالمي، كما يقول أليكس هازل، رئيس قسم الخصوصية والشؤون القانونية في المملكة المتحدة في شركة أكسيوم، مورد منصة التسويق السحابي، وتحتاج المنظمات إلى إيلاء اهتمام وثيق.
ويقول: “إن تحقيق الامتثال الكامل أمر صعب ومعقد للغاية”. “ما عليك سوى إلقاء نظرة على Amazon Web Services” [AWS’s] مجموعة من الأوراق ل اللائحة العامة لحماية البيانات نقل ومعالجة (GDPR) – العديد من المستندات، التي تحتوي على روابط لمستندات أخرى، وما إلى ذلك.
بحلول عام 2021، بحسب الأمم المتحدة. على الأقل 137 البلدان لديها تشريعات سارية المفعول.
إن مطابقة الممارسات والسياسات واللوائح التنظيمية المحددة قد يعني مشاركة أعمق مع المحامين ومتخصصي الامتثال للتنقيب عن التفاصيل حول النهجين الرئيسيين – وهو أمر من غير المرجح أن يكون بمثابة موسيقى لآذان الشركات.
يقول هازل: “يمكنك اللجوء إلى أعلى المعايير القانونية، والالتزام بها كإجراء امتثال داخلي”. “المشكلة في القيام بذلك هي أنك تفقد الميزة التنافسية في تلك البلدان التي تتبع نهجًا أكثر مرونة. أو يمكنك الالتزام بالمعايير القانونية في كل بلد.
وقد يكون النهج الأخير هو الخيار الوحيد عندما تختلف المعايير القانونية في ولاية قضائية ذات صلة بشكل جذري عن أخرى، خاصة عندما تتوقف الاختلافات على الفلسفات الوطنية والسياسة و”أحكام القيمة”. وبطبيعة الحال، قد يؤدي هذا أيضًا إلى جعل الامتثال ليس أكثر تكلفة وتعقيدًا فحسب، بل قد يصبح أيضًا مكلفًا للشركات الصغيرة أو الشركات الناشئة.
النهج القائم على المخاطر
ومع ذلك، يضيف أن “الحقيقة على أرض الواقع” هي أن المؤسسات تتخذ أحيانًا نهجًا قائمًا على المخاطر ليس فقط فيما يتعلق بكيفية القيام بأعمالها، ولكن أيضًا فيما يتعلق بجوانب الامتثال، خاصة عندما تكون هناك مناطق رمادية أو “لم يتم تحديدها بعد”.
يقول هازل: “على سبيل المثال، إذا كان القانون نادرًا ما يتم تطبيقه وتجاهله على نطاق واسع – وهو ما يسمى “القانون السيئ” – فقد يتبع البعض الحشد، على افتراض السلامة في الأعداد”.
“قد تتبنى إحدى الشركات وجهة نظر معينة، وقد تتبنى شركة أخرى وجهة نظر مختلفة. وطالما كان ذلك معقولا، وفي غياب التحقق القضائي، فإن المنظمات ستستمر في اللعب في تلك المنطقة الرمادية.
في الاتحاد الأوروبي (EU) اللائحة العامة لحماية البيانات (اللائحة العامة لحماية البيانات)، على سبيل المثال، يتم وضع سابقة قضائية، ولكن لا تزال هناك بعض المجالات التي قد لا يتم تحديد الممارسة فيها، حتى قبل أن تبدأ في التفكير في قانون الاتحاد الأوروبي الجديد مثل قانون الخدمات الرقمية، حيث لا يوجد حتى الآن أي سوابق قضائية سابقة.
هل تخاطر المنظمات بـ”غرامة ضخمة“، كما هو الحال في النسبة المئوية للحد الأقصى لعقوبة الدوران العالمي في اللائحة العامة لحماية البيانات، أو مجرد موسيقى الراب غير الرسمية على المفاصل؟ ما هو احتمال رفع دعوى جماعية، على سبيل المثال، على خلفية العقوبات التنظيمية؟
عند تطوير نظام الامتثال الخاص بك، انظر أيضًا إلى إمكانية التسبب في مشاكل. يقول هازل: “ضع الجانب الفردي في مقدمة ومركز جميع اعتبارات السياسة الداخلية”. “هل هناك ضرر حقيقي يمكن أن يحدث بسبب جزء من المعالجة، وإذا كان الأمر كذلك، ما هي وسائل التخفيف التي يجب اتخاذها؟”
يوافق جوناثان جوزيف، رئيس قسم الحلول في شركة Ketch لبرمجيات خصوصية البيانات، على نطاق واسع، لكنه يؤكد على أنه يجب الاعتراف رسميًا بخصوصية البيانات في جميع أنحاء العالم بطريقة أو بأخرى، حتى لو تم توضيح ذلك فقط في مشروع قانون. حقوق الانساننهج من النوع، كثقل موازن للوتيرة الهائلة للابتكار التكنولوجي.
يزيد انتشار الذكاء الاصطناعي والتعلم الآلي من المخاطر
في حين أن الذكاء الاصطناعي له أغراض صالحة ومفيدة، فإن استخدام الكثير من البيانات يمكن أن يشكل تهديدًا للأفراد، بما في ذلك خصوصيتهم. يقول جوزيف: “علينا أن ندرك أن الناس لديهم حقوق البيانات”.
وعادة ما يلعب التنظيم دوراً في اللحاق بركب الابتكار التكنولوجي. ويقول إنه بدلًا من عرقلة الابتكار، ينبغي للسلطات القضائية التحرك بسرعة أكبر في هذا الشأن، مما يمنح المنظمات والكيانات الأخرى فرصة حقيقية للتخطيط ومعالجة أي مشكلات.
“إذا تم الاعتراف بالحق في خصوصية البيانات في جميع أنحاء العالم، فما عليك سوى السماح للبلدان بذلك سيادة يقول جوزيف: “الكيانات تقرر التفاصيل بنفسها فيما يتعلق بسلطتها القضائية”. “في أوروبا، هل تحتفظون ببيانات المواطنين الأوروبيين في السحابة الأوروبية، على سبيل المثال؟”
ويشير إلى أن اللائحة العامة لحماية البيانات “فتحت الباب” على الخصوصية، لكن “الشقوق موجودة في [opt-in consent] نموذج”. كيف يمكن أن يكون الاشتراك مفيدًا حقًا، نظرًا للصفحات القانونية المتعددة التي تصاحب عادةً عمليات الاشتراك والشروط والأحكام الخاصة بالبرامج الجديدة أو المحدثة؟
وجد أحد التحليلات أن الشروط والأحكام الخاصة بالتطبيقات على “هاتف متوسط” يمكن أن تستغرق 17 ساعة فقط لقراءتها إذا تمت طباعتها، مما يسلط الضوء على الحاجة إلى إعادة التفكير في “كل هذه المبادئ”.
يقول جوزيف: “إن إرهاق المستخدم أمر حقيقي”. “هل هذا موافقة مسبقة؟ يجب أن يكون هناك خيار حقيقي للقول لا”.
تقول صوفي ستالا بورديلون، مستشارة الخصوصية الأولى والمهندسة القانونية في شركة أمن البيانات العالمية Immuta، إن مبادئ التعامل مع البيانات وإدارتها للمساعدة في الخصوصية لا تزال بحاجة إلى التركيز على المشكلات بما في ذلك الضرر الناتج عن طفرة البيانات، وتقييد التخزين، ودقة البيانات، وجودة البيانات، بما في ذلك المزيد بشكل وثيق مع الممارسة.
وتقول: “إذا كنت بناءًا ومنفتحًا، فيجب أن تكتشف ضوابط لهذه المبادئ”. “إذا كنت تعمل مع قائمة شاملة إلى حد ما من المبادئ مثل اللائحة العامة لحماية البيانات، فيجب أن تكون في مكان جيد جدًا للامتثال لأكثر من قانون واحد.”
يحتاج المنظمون إلى موارد لقضاء المزيد من الوقت في معالجة هذه القضايا، والعمل على كيفية استيعاب النهج القائم على المخاطر والذي يتماشى مع مبادئ حقوق الإنسان الحالية، مع تحول وجهات النظر على المستوى الدولي من المنظور “التقليدي” التجارة الحرة، لا قيود، والتدفقات الحرة لموقف البيانات.
يبدو هذا بمثابة “خطوة في الاتجاه الصحيح” لأن ما يتم اتخاذه يمكن أن يكون له عواقب وخيمة، كما يقول ستالا بورديلون، لذلك تحتاج الوكالات الفيدرالية إلى نهج حتى لو لم يكن هناك التزام قانوني. تظل اللائحة العامة لحماية البيانات “إحدى الطرق” للتعامل مع خصوصية البيانات وحمايتها، مع احتمال ظهور حقوق الهوية وحقوق الملكية الفكرية لمعالجة المخاطر التي يشكلها الذكاء الاصطناعي والذكاء الاصطناعي. نماذج لغوية كبيرة.
كن شفافًا مع البيانات
وتضيف: “من المهم أن تتحدث الفرق مع بعضها البعض الآن. التحلي بالشفافية بشأن ممارساتهم الخاصة، والبدء في تكوين صورة صادقة لأنشطة الشراء داخل المؤسسة، ومن ثم إلى مجموعة التكنولوجيا.
يقول ستالا بورديلون: “من الناحية العملية، تحتاج إلى تدفقات من البيانات والبيانات المركزية والبحيرات وما إلى ذلك، ولكنك تحتاج إلى حلول لكل من متطلبات الحوكمة والمتطلبات الفنية”. “وفي الواقع، في كثير من الأحيان، لا تسمح التكنولوجيا بالشفافية فيما يتعلق بتدفقات البيانات.”
ريك جود، كبير مسؤولي المعلومات والمؤسس المشارك للبريد الإلكتروني و نقل الملف يؤكد مزود الأمن Zivver، أن الامتثال يمكن أن يؤدي إلى “فوضى تامة”، خاصة بالنسبة للمؤسسات التي تعمل عبر متطلبات مختلفة. ويعاني كبار المسؤولين بالفعل، حتى مع قدرتهم على اللجوء إلى النظام الأوروبي الصارم.
يقول جود: “دعونا نأمل في حدوث تغيير أو توسيع لما لدينا بدلاً من شيء جديد تمامًا، لأن ذلك سيكون تحديًا حقيقيًا”. “لحسن الحظ، عندما تجري محادثة بناءً على المحتوى، يمكنك رؤية الكثير من الأرضية المشتركة وفهم كل منكما لموقف الآخر.”
ويؤكد أن جعل التكنولوجيا آمنة للغاية وتركز على الخصوصية لا يمثل في حد ذاته مشكلة، مع وجود صراعات نموذجية، إن وجدت، تتعلق أكثر بالتوازن بين حماية خصوصية شخص ما وإدارة الخصوصية في الممارسة العملية. ويشير إلى أنه يمكن أن يكون هناك تضارب في المصالح بين الموردين، حيث تعتمد نماذج الأعمال “التكنولوجية الكبيرة” في كثير من الأحيان على الوصول إلى البيانات “بمحض إرادتهم”.
يقول جود: “بالنسبة لي، يجب أن يركز التشريع على ما يُسمح لك بتخزينه نيابة عن المستخدمين، وكيف يمكنك استخدام الأشياء المخزنة”، مضيفًا أن السبب الرئيسي لتسرب البيانات لا يزال قائمًا. بريد إلكتروني يخطئ. “تتحدث تقارير وسائل الإعلام عن القرصنة أو البرامج الضارة أو برامج الفدية، لأن هذا أكثر إثارة.”
