حریم خصوصی داده ها چیست؟

حریم خصوصی داده ها چیست؟

۱,۲۰۶

این روزها داده‌ها به یک موضوع حیاتی برای کسب‌وکارهای دیجیتال تبدیل شده‌اند. با حذف گزارش‌ها و آمار کاغذی و جایگزینی نسخه‌‌های دیجیتالی، دیگر داده‌ها یک سرمایه‌ی حساس و گریزناپذیر برای کسب‌وکارها هستند. حجم تولید داده‌های جدید چندرسانه‌ای و یا محتوای متنی، روزانه همانند توابع نمایی رشد می‌کند؛ به طوری که در هر ثانیه چندین مگابایت داده‌‌ی جدید تولید می‌شود! داده‌هایی که بی‌شک، نیاز به حریمی خصوصی و امن دارند...

آن‌چه در این بلاگ‌پست خواهید خواند:

نشت داده‌های کاربران، یک خبر تکراری مهم!

چند سوال مهم، که لازم است به‌عنوان یک کسب‌وکار، از خود بپرسید.

حریم خصوصی داده‌ها یعنی چه؟

حریم خصوصی داده‌ها یا امنیت داده‌ها؛ تفاوت آن‌ها در چیست؟

۳ اصل مهم در حریم خصوصی داده‌ها

چه قوانینی برای حریم خصوصی داده‌ها وضع شده‌اند؟

چند پیشنهاد برای ایجاد حریمی امن برای داده‌ها

نشت داده‌های کاربران، یک خبر تکراری مهم!

احتمالا شما هم در اخبار، چشمتان به اخبار مربوط به هک سامانه‌ی کسب‌وکارها و نشت گسترده‌ی داده‌های کاربران خورده است! نشت‌هایی که در آن‌ها، اطلاعات کاربران به‌راحتی منتشر شده‌اند! اطلاعاتی چون: نام، نام‌خانوادگی، نام پدر، تاریخ تولد، محل تولد، شماره ملی، شماره‌کارت بانکی، شماره‌ تلفن‌همراه، شهر، استان، آدرس، کدپستی، رمز کاربری، آدرس ایمیل و … ! یا هک‌هایی که درآن‌ها، هکرها به اطلاعات محرمانه‌ی کسب‌وکارها دسترسی یافته‌اند. تابه‌حال سری به صفحه‌ی نشت‌های عمده در لیکفا زده‌اید؟ حتی می‌توانید با استفاده از قابلیت جست‌وجوی نشت، بررسی کنید که اطلاعات شخصی شما، به‌عنوان یک کاربر، در امن و امان مانده‌اند؟ یا در برخی هک‌ها، برخی اطلاعات شما نیز نشت پیدا کرده‌اند؟

پیشنهاد خواندنی: افزایش حملات سایبری؛ شائبه یا واقعیت؟!

چند سوال مهم، که لازم است به‌عنوان یک کسب‌وکار، از خود بپرسید.

اطلاعات محرمانه در کسب‌وکار شما، شامل چه داده‌هایی می‌‎شوند؟

در کسب‌و کار شما چه اطلاعاتی و یا خدماتی حیاتی محسوب می‌شوند؟ چه داده‌های در سطح طبقه‌بندی‌شده و محرمانه قرار می‌گیرند؟

چه میزان از اطلاعات مشتریانتان در سامانه‌های شما ذخیره می‌شود؟ 

چه مقدار از این اطلاعات مربوط به حریم شخصی افراد است؟ 

برای به جاآوردن مسئولیت امانت‌داری و مراقبت از اطلاعات مشتریانتان، چه اقداماتی کرده‌اید؟ 

حریم خصوصی داده‌ها یعنی چه؟

به طور خلاصه؛ این‌که از داده‌های خصوصی خود مراقبت کنید، اجازه‌ی دسترسی افراد غیرمجاز به آن‌ها را ندهید و حریم امنی برای داده‌های حساس ایجاد کنید، حفظ حریم خصوصی داده‌ها نامیده می‌شود. وجود حریم خصوصی داده‌ها، یک اصل اساسی برای همه‌ی فعالیت‌های کسب‌وکارهاست. برای تمام فعالیت‌هایی که به طور مستقیم یا حتی غیرمستقیم مرتبط با داده‌های کسب‌وکار است.

حریم خصوصی داده‌ها یا امنیت داده‌ها؛ تفاوت آن‌ها در چیست؟

حریم خصوصی داده‌ها و امنیت داده‌ها دو عبارتی هستند که معمولا به جای هم استفاده می‌شوند، اما در واقع تفاوت‌هایی با یک‌دیگر دارند. "امنیت داده‌ها" بر خلاف "حریم خصوصی داده‌ها" ، مرتبط با خودِ داده‌ها نیست. صرفا دفاعی از داده‌ها در برابر نفوذگران دیجیتالی را امنیت داده‌ها می‌نامند. در مقابل، حریم خصوصی داده‌ها در جهت ایجاد یک حریم امن برای داده‌هاست، تا داده‌ها از چشم نفوذگران دور بماند. اگر بخواهیم از زاویه‌ی دیگری به تفاوت این دو مفهوم نگاهی بیندازیم، امنیت داده‌ها را می‌توان محافظت از داده‌ها در هنگام حمله و بحران از جمله حملات هکری و بدافزاری معنا کرد. اما حریم خصوصی داده‌ها را نحوه‌ی ذخیره‌سازی و استفاده از داده‌ها به صورت ایمن، در شرایطی که امنیت نسبی برقرار است، دانست.

پیشنهاد خواندنی: چرا کسب‌وکارهای ایران امنیت اطلاعات را جدی نمی‌گیرند؟ (میزگرد راه‌پرداخت)

۳ اصل مهم در حریم خصوصی داده‌ها

در مبحث حریم خصوصی داده‌ها سه رکن وجود دارد:

• داده‌ها چگونه جمع‌آوری و ذخیره شده‌اند؟

• آیا داده‌ها با مجموعه‌های Third Party هم به اشتراک گذاشته شده‌اند یا خیر؟ و اگر پاسخ مثبت است چه اطلاعاتی؟

• چه قوانینی در جهت حفظ حریم خصوصی داده‌ها وضع شده‌اند؟

آن‌چه اهمیت دارد این است که، چه در نحوه‌ی جابه‌جایی داده‌ها، چه در فرآیند جمع‌آوری و چه در فرآیند ذخیره‌ی آن‌ها، باید اصل محرمانگی رعایت شود.

چه قوانینی برای حریم خصوصی داده‌ها وضع شده‌اند؟

در دهه‌های اخیر، وضع قوانین برای حفظ حریم خصوصی داده‌ها، این موضوع را به مسئله‌ی حقوقی جدی‌تر تبدیل کرده است. اغلب قوانینی که تا کنون وضع شده‌اند نوع داده‌ی خاص و مکان جغرافیایی خاصی را پوشش داده‌اند. به عنوان مثال، بعضی قوانین فقط بر روی داده‌های مالی تمرکز دارند و بعضی قوانین فقط در اتحادیه‌ی اروپا از جنبه‌ی حقوقی برخوردارند. در ادامه به ذکر مشهورترین قوانین حریم خصوصی داده‌ها می‌پردازیم:

حریم خصوصی داده‌ها در حوزه‌ی بهداشت و سلامت:

در سال ۱۹۹۶ میلادی، کنگره‌ی آمریکا قانون جدیدی به نام HIPAA را تصویب کرد؛ در این قانون اهمیت حفظ حریم خصوصی داده‌ها در حوزه‌ی بهداشت و اطلاعات سلامت بیماران ذکر شده و سازوکار مناسبی از نظر حقوقی در جهت حمایت از حفظ حریم خصوصی داده‌های بیماران ارائه شده بود. این قانون در اواخر سال ۲۰۰۰ میلادی اجرایی شد و تا کنون در حال اجراست. شایان ذکر است که اطلاعات سلامت بیماران، به دلیل اهمیت و حساسیت این نوع اطلاعات که در صورت دسترسی سودجویان به این اطلاعات و سوء استفاده از این اطلاعات، امکان ایجاد زمینه یک بحران در سیستم سلامت یک کشور را فراهم می‌کند چندین برابر بیشتر اطلاعات حساب بانکی ارزش دارد و از این بابت، ایجاد این قانون گام بسیار بزرگی در جهت حفظ حریم خصوصی داده‌ها در حوزه بهداشت و سلامت به شمار می‌رود.

حریم خصوصی داده‌ها برای یک مکان جغرافیایی خاص

در اواسط سال ۲۰۱۸ میلادی، اتحادیه‌ی اروپا قانون GDPR را تصویب کرد؛ بر اساس آن، حفظ حریم خصوصی داده‌های شهروندان کشورهای عضو اتحادیه اروپا به رسمیت شناخته شده است. این قانون با توجه به مفاد آن، اثرات وسیع و گوناگونی بر شرکت‌های اروپایی گذاشت اما به واسطه‌ی این قانون، اهمیت حریم خصوصی داده‌ها در کشورها بیش از پیش افزایش یافت و کشورهای عضو اتحادیه اروپا ملزم شدند که قوانین داخلی خود را با این قانون جدید حریم خصوصی داده‌ها سازگار کنند.

دو قانونی که به‌طور مختصر به آن‌ها پرداختیم از مشهورترین قوانینی هستند که از زمان تصویب آن‌ها هم‌چنان در جهت حفظ حریم خصوصی داده‌ها از آن‌ها استفاده می‌شود. هر کشور و یا جامعه‌ای قوانین خاص خود را برای حفظ حریم خصوصی داده‌های شهروندان دارد، اما جامعیت آن قانون و سنجش امکان‌ اعمال آن باید بر اساس شرایط همان جامعه باشد. بر همین اساس، قوانینی که در حال حاضر برای حفظ حریم خصوصی داده‌ها وجود دارند تفاوت‌های ریز و درشت بسیاری با یک‌دیگر دارند ولی همه‌ی آن‌ها یک اصل را دنبال می‌کنند. آن اصل همان حفاظت از حریم خصوصی داده‌های شهروندان است. به طور خلاصه، عملکرد این قوانین به این صورت است که کاربران بدانند که چه حقوقی نسبت به حفظ حریم خصوصی داده‌های خود دارند و در صورت مشاهده‌ی تخلف بتوانند از حریم خصوصی داده‌های خود دفاع کنند. این حقوق می‌تواند شامل حق درخواست حذف داده‌ها از پلتفرم و شرکت باشد یا درخواست دسترسی به تمام داده‌هایی که از کاربر در آن پلتفرم و شرکت ثبت شده است. در نقطه‌ی مقابل، شرکت‌ها و پلتفرم‌ها ملزم خواهند بود طبق قانون حریم خصوصی داده‌ها، تمام موارد لازم را جهت حفظ حریم خصوصی داده‌های کاربران و مشتریان خود به کار بگیرند و در صورت تخلف، مجازات خواهند شد. هر کدام از این قوانین چالش‌هایی را نیز با خود برای شرکت‌ها به ارمغان آورده‌اند، به عنوان نمونه در قانون GDPR کاربران باید بتوانند در صورت درخواست دسترسی به داده‌های خودشان، همه داده‌هایی که از آن‌ها در شرکت‌ها ثبت شده است را به صورت کامل ببینند اما بسیاری از شرکت‌ها نمی‌توانند به راحتی داده‌های کاربران را به صورت کامل به کاربر ارائه کنند. پراکندگی داده‌های ذخیره شده، پیوستگی داده‌ها و مواردی از این دست چالش‌های موجود برای پاسخ به درخواست کاربران طبق قانون هستند.

اهمیت حریم خصوصی داده‌ها در روزهایی که در آن قرار داریم در حال ایجاد یک دغدغه برای افراد حقوقی و حقیقی است. البته باید این را هم در نظر بگیریم که تا زمان نگارش این مطلب، هنوز قانونی در زمینه حفاظت از حریم خصوصی داده‌های شهروندان در مجلس شورای اسلامی به تصویب نرسیده است و با جست‌وجو در وب، تنها می‌توان به یک لایحه‌ی مهیاشده در حفاظت از حریم خصوصی داده‌ها توسط وزارت ارتباطات و فناوری اطلاعات که در سال ۹۶ رونمایی شده، دست یافت.

چند پیشنهاد برای ایجاد حریمی امن‌تر برای داده‌ها

برخی ازاقدامات مفیدی که یک کسب‌وکار می‌تواند انجام دهد، از این قرارند:

کدنویسی امن:

هرچه کدهای یک سامانه امن‌تر نوشته شوند، به‌دنبال آن امنیت بیش‌تری برای آن سامانه و تمامی اطلاعاتش به ارمغان خواهند آورد.

پیشنهاد خواندنی: کتابچه‌ی راهنمای برنامه‌نویسی امن

آموزش نیروی انسانی در جهت حفظ حریم خصوصی داده‌ها:

در بسیاری از موارد نشت اطلاعات بر اثر خطای نیروی انسانی و در حمله‌های مهندسی اجتماعی صورت می‌گیرد.

ز گهواره تا گور، امنیت بجوی:

به‌طور مداوم و مستمر، در راستای ارتقای امنیت سامانه‌ی کسب‌وکار خود، از راهکارهای مختلف بهره بگیرید. تا امن‌ترین حالت ممکن را برای سامانه‌ی خود و اطلاعات مشتریانتان، فراهم آورید.

استفاده از راهکارهای موجود در ابزارهای امنیتی معتبر:

ابزارهای امنیتی معتبر، خود را هم‌گام با بروز خطرها و تهدیدهای جدید به‌روز نگه می‌دارند و از روش‌های استاندارد و حرفه‌ای برای جلوگیری از خطرهای جدید استفاده می‌کنند استفاده از این ابزارها می‌تواند نقش موثری در حفظ حریم خصوصی داده‌ها ایفا کند.

رصد منظم تمام ارتباطات ترافیکی شبکه شرکت:

با بررسی تمام درخواست‌‌های ارسالی به سمت تجهیزات زیرساخت شبکه شرکت و کشف موارد مشکوک، می‌توان در لحظات اولیه و پیش از رخداد خاصی، از بروز یک حادثه زیان‌بار جلوگیری کرد.

دریافت اطلاعات ضروری موردنیاز از کاربر:

تنها اطلاعات موردنیاز خود را از کاربران بگیرید. یک اقدام مسئولیت‌پذیرانه در قبال اطلاعات کاربر، می‎‌تواند این باشد که در ساختار سامانه‌ی کسب‌وکار خود، در پی این باشید که تنها اطلاعات لازم را از کاربر دریافت کنید و از کاربر اطلاعات اضافی نخواهید.

سخن آخر:

شما برای امنیت بیش‎تر داده‌ها در کسب‌وکار خود چه کرده‌اید؟

بلاگ‌پست‌های مرتبط:

گپ‌وگفتی با یاشار شاهین‌زاده درباره‌ی حریم خصوصی داده‌ها

چرا کسب‌وکارها به امنیت سایبری نیاز دارند؟

نقاط آسیب پذیر رایج در سامانه‌ی کسب‌وکارها

رفتارهای ناامنی که برای مراقبت از امنیت مجازی‌مان، نباید بکنیم. (قسمت اول)