خصوصية البيانات Data privacy هدف متحرك. تستقبل المؤسسات كميات هائلة بشكل متزايد من البيانات - حول العملاء والشركاء والمستخدمين والبائعين والموظفين. في الوقت نفسه، تتغير القوانين المحلية والوطنية والدولية التي تحكم خصوصية البيانات وحمايتها باستمرار تقريبًا.
في ظل هذه الخلفية، يقول Mark Cockerill، نائب رئيس الشؤون القانونية في أوروبا والشرق الأوسط وأفريقيا ورئيس الخصوصية العالمية في ServiceNow، إننا نفتقر إلى إجماع عالمي حول ماهية خصوصية البيانات وكيفية التعامل معها. يقول: "تتشكل الأشخاص من خلال تجاربهم، لذا فإن لدى العديد من البلدان والمناطق أفكارًا مختلفة حول مدى أهمية خصوصية البيانات، أو حتى ما تعنيه".
ومع ذلك، يتفق محللو وفرق الأمان على أنه يجب على الشركات الاستثمار في البنية التحتية لخصوصية البيانات التي تتضمن "الخصوصية حسب التصميم privacy by design". بدلاً من أخذ البيانات ومحاولة تأمينها لاحقًا، تعمل الخصوصية حسب التصميم على بناء حماية خصوصية البيانات في عملية جمع البيانات.
لتحقيق هذه الغاية، تستخدم المؤسسات أدوات مثل الذكاء الاصطناعي (AI) artificial intelligence والتعلم الآلي (ML) machine learning لتحليل وتأمين كميات هائلة من البيانات أثناء جمعها. ولكن كيف يتم ذلك؟ لماذا يهم؟ عندما تتلامس الآلات مع البيانات البشرية، ما هي الأسئلة الأخلاقية التي تُطرح؟
الأدوات اليدوية تعقد الامتثال Manual tools complicate compliance
تقوم المؤسسات الآن بمعالجة الكثير من البيانات بحيث يتعذر على العمليات البشرية تحليلها وتأمينها. هذه مشكلة. إذا وقعت المعلومات الشخصية أو معلومات التعريف الشخصية (PII) Personally Identifiable Information- فكر في أرقام بطاقات الائتمان أو إحداثيات GPS - في الأيدي الخطأ، فيمكن للجهات الفاعلة السيئة سرقة البيانات المالية أو الانخراط في سرقة الهوية. لكن لا يمكن للمنظمات تأمين بياناتها إذا لم تكن تعرف ما لديها أو مكان تخزينها. ومع تدفق الكثير من البيانات طوال الوقت، تفقد الشركات الرؤية في البنية التحتية للبيانات الخاصة بها.
أجرت ServiceNow و BigID استطلاعًا لقادة تكنولوجيا المعلومات والهندسة لفهم كيفية تعاملهم مع الخصوصية في مؤسساتهم؛ شراكة BigID مع ServiceNow لإدارة البيانات الحساسة والخاصة. أظهر الاستطلاع أن الشركات تكافح من أجل الامتثال للمبادئ التوجيهية التنظيمية والامتثال.
تمثل اللائحة العامة لحماية البيانات General Data Protection Regulation، أو GDPR، تحديًا بشكل خاص. وذلك لأن الامتثال للائحة العامة لحماية البيانات يتطلب توثيقًا معقدًا وتعاونًا عبر المؤسسة لتحديد البيانات التي تمتلكها الشركة ومن يمتلكها وكيفية معالجتها. على الرغم من الكميات الهائلة من مؤسسات البيانات التي تتعامل معها، لا يزال الكثير منها يستخدم الأدوات والعمليات اليدوية لتتبعها.
وفقًا لبيانات المسح، تستخدم الشركات في الغالب أوراق Excel (53%) وأدوات تعيين البيانات أو التصور مثل Vizio (41%). مع الاعتماد الشديد على الأدوات اليدوية، يقوم العديد من المستجيبين ببساطة بمسح البيانات وتحديدها في مصادر منظمة (40%)، ولا يزال يتعين عليهم تحليل البيانات في كل من المواقع المهيكلة وغير المهيكلة (12%)، أو ليس لديهم أي مبادرة لمسح البيانات الحساسة (4%). هذا الاعتماد الكبير على الأدوات اليدوية جعل من الصعب على الشركات إدارة البيانات المنظمة وتتبعها بشكل استباقي، وهو أمر حيوي للامتثال للائحة العامة لحماية البيانات واللوائح الأخرى.
لا يبدو أن الكثيرين يبنون بشكل استباقي الخصوصية عن طريق التصميم في عملياتهم ومنتجاتهم. تقول ثلث المؤسسات إنها تتفاعل ببساطة مع مشهد الخصوصية المتغير دون اتخاذ خطوات لتحسين برنامج الخصوصية الخاص بها، بينما يقول 10% إنهم ليسوا حتى في وضع يسمح لهم بالرد.
مستقبل خصوصية البيانات Future of data privacy
هذا هو المكان الذي يمكن أن تساعد فيه شركات مثل BigID. تستفيد BigID من الذكاء الاصطناعي والتعلم الآلي لإزالة الغموض عن أنواع مختلفة من البيانات. يقول Dimitri Sirota، الرئيس التنفيذي لشركة BigID، إن الهدف هو بناء خريطة لكل نقطة بيانات تنتمي إلى هوية معينة. يسمح ذلك للشركات بإزالة الغموض عن بياناتها: معرفة ما لديها، ومكان تخزينها، وما إذا كانت تحتوي على معلومات شخصية.
يقول Sirota: "يوجد مثل هذا الحجم الكبير". "البيانات المهيكلة وغير المهيكلة، والبيانات السحابية والمحلية ... كيف تحصل [الشركات] على صورة عن البيانات والبيانات التي تمتلكها؟ الطريقة الوحيدة الممكنة هي الاستفادة من التعلم الآلي بأنواعه المختلفة. هذا يتعلق بتحسين الشفافية والثقة".
احصل على سير العمل في صندوق الوارد الخاص بك Get Workflow in your inbox
يستخدم BigID الذكاء الاصطناعي بطريقتين. أولاً، يمشط الذكاء الاصطناعي من خلال البنية التحتية لبيانات المؤسسة، حتى الأجزاء غير المرئية للمؤسسة نفسها. تتعرف الخوارزميات على مكان البيانات ونوعها وما إذا كانت تنتمي إلى فرد معين. ثانيًا، يعمل الذكاء الاصطناعي على أتمتة جمع البيانات ومعالجتها. يمكن للعملاء أو المستخدمين الأفراد تقديم طلب لمعرفة ما إذا كانت الشركة قد جمعت بياناتهم، ونوع البيانات التي تمتلكها المؤسسة، وكيف تخطط الشركة لاستخدامها. يضمن الذكاء الاصطناعي وجود تدفقات العمل التي تسهل على العملاء والشركات والمدققين تتبع تلك البيانات.
يقول Sirota إن الذكاء الاصطناعي يضمن للمؤسسات (والأفراد) إمكانية الحصول على عرض شامل لبياناتهم. "تاريخيًا، كان يتم عرض البيانات بطريقة منعزلة: كان للقانوني رأي واحد حول البيانات، وللأمان وجهة نظر أخرى، وللحوكمة وجهة نظر أخرى. نعتقد أنه من المهم النظر إلى البيانات من منظور موحد".
حقول الألغام الأخلاقية Ethical minefields
للوهلة الأولى، لا يبدو استخدام الذكاء الاصطناعي والتعلم الآلي لتصنيف المعلومات الشخصية أمرًا شائكًا من الناحية الأخلاقية مثل استخدام التعلم الآلي، على سبيل المثال، لتحديد من يحصل على قرض مصرفي أو المدة التي ينبغي أن تستغرقها عقوبة السجن. لكن Cockerill يقول إنه لا تزال هناك أسئلة يجب مراعاتها.
يوضح قائلاً: "عندما تبدأ في استخدام الذكاء الاصطناعي والتعلم الآلي لتحديد مجموعات البيانات الشخصية، تبدأ التحديات الأخلاقية في الظهور بناءً على المكان الذي تجري فيه هذا التحليل". "هل تقوم بإجراء هذا التحليل في نفس الموقع حيث يتم تخزين هذه البيانات، أم أنك تقوم بنقلها إلى قاعدة بيانات مركزية؟ هل تُجري هذا التقييم لمجرد تحديد البيانات، أم أنك بعد ذلك تستخدم مجموعة البيانات لأسباب أخرى؟".
يقول Cockerill أنه عندما يقوم شخص ما بتسليم بياناته إلى شركة، فقد لا يفهم تمامًا جميع الطرق التي سيتم بها استخدام البيانات. يقول Cockerill إن المشكلة تكمن في أنه عندما تجمع منظمة البيانات لسبب واحد، غالبًا ما تستخدم المؤسسة تلك البيانات لسبب مختلف أيضًا - ولكن قد لا يكون العميل أو الموظف على دراية بذلك. يقول: "قد يرغب شخص ما في معرفة ما إذا كان يتم نقل معلوماته أو استخدامها بطريقة لم تكن في الاتفاقية الأصلية". "إنه شيء يجب مراعاته".
علاوة على ذلك، عندما يتصل ML أو AI بالبيانات البشرية، فهناك احتمال أن يؤثر التحيز على النتائج. يقول Cockerill: "لا يمكنك أبدًا إزالة التحيز تمامًا لأن لديك دائمًا مطورًا يتخذ قرارات بشأن الخوارزميات الخاصة بك". يقرر المطور ما هي البيانات المستخدمة لتدريب الخوارزميات، على سبيل المثال. يقول Cockerill إن احتمالية التحيز والنتائج الخاطئة تتضخم عندما يتم تحديد الهوية الشخصية باللغة الإنجليزية ومع ذلك تحاول الخوارزمية تحليل البيانات بلغة مختلفة.
الضوابط والتوازنات Checks and balances
من المبادئ الأساسية للخصوصية حسب التصميم توقع تحديات تصنيف البيانات - الأسئلة الأخلاقية، واحتمال حدوث نتائج غير دقيقة - والعمل على التخفيف منها مبكرًا في دورة حياة معالجة البيانات.
يقول Cockerill أنه في المحادثات حول خصوصية البيانات، يتحدث الجميع عن دورة حياة البيانات - جمعها واستخدامها وتخزينها وحذفها - لكنه يدعو المؤسسات لإعادة صياغة المحادثة. "أريد أن أعيدها إلى سؤالين أساسيين: ماذا تفعل بالبيانات؟ من يقوم بالوصول إليها؟ و أين؟"
يؤكد Cockerill أن "الضوابط والتوازنات" ضرورية. إنه يريد أن يرى المزيد من الشركات تطلب من لجان الأخلاقيات الداخلية مراجعة كيفية استخدام المنظمة للذكاء الاصطناعي والتعلم الآلي. ويقول إن تقييمات الأثر الحسابية يمكن أن تساعد في تحديد ما إذا كانت المؤسسات تتخذ القرارات الصحيحة المستندة إلى القيمة. يجب دمج أفضل الممارسات هذه في عملية جمع البيانات.
يقول Cockerill: "الخصوصية حسب التصميم هي حقًا الطريقة الصحيحة للنظر إليها".
في ظل هذه الخلفية، يقول Mark Cockerill، نائب رئيس الشؤون القانونية في أوروبا والشرق الأوسط وأفريقيا ورئيس الخصوصية العالمية في ServiceNow، إننا نفتقر إلى إجماع عالمي حول ماهية خصوصية البيانات وكيفية التعامل معها. يقول: "تتشكل الأشخاص من خلال تجاربهم، لذا فإن لدى العديد من البلدان والمناطق أفكارًا مختلفة حول مدى أهمية خصوصية البيانات، أو حتى ما تعنيه".
ومع ذلك، يتفق محللو وفرق الأمان على أنه يجب على الشركات الاستثمار في البنية التحتية لخصوصية البيانات التي تتضمن "الخصوصية حسب التصميم privacy by design". بدلاً من أخذ البيانات ومحاولة تأمينها لاحقًا، تعمل الخصوصية حسب التصميم على بناء حماية خصوصية البيانات في عملية جمع البيانات.
لتحقيق هذه الغاية، تستخدم المؤسسات أدوات مثل الذكاء الاصطناعي (AI) artificial intelligence والتعلم الآلي (ML) machine learning لتحليل وتأمين كميات هائلة من البيانات أثناء جمعها. ولكن كيف يتم ذلك؟ لماذا يهم؟ عندما تتلامس الآلات مع البيانات البشرية، ما هي الأسئلة الأخلاقية التي تُطرح؟
الأدوات اليدوية تعقد الامتثال Manual tools complicate compliance
تقوم المؤسسات الآن بمعالجة الكثير من البيانات بحيث يتعذر على العمليات البشرية تحليلها وتأمينها. هذه مشكلة. إذا وقعت المعلومات الشخصية أو معلومات التعريف الشخصية (PII) Personally Identifiable Information- فكر في أرقام بطاقات الائتمان أو إحداثيات GPS - في الأيدي الخطأ، فيمكن للجهات الفاعلة السيئة سرقة البيانات المالية أو الانخراط في سرقة الهوية. لكن لا يمكن للمنظمات تأمين بياناتها إذا لم تكن تعرف ما لديها أو مكان تخزينها. ومع تدفق الكثير من البيانات طوال الوقت، تفقد الشركات الرؤية في البنية التحتية للبيانات الخاصة بها.
أجرت ServiceNow و BigID استطلاعًا لقادة تكنولوجيا المعلومات والهندسة لفهم كيفية تعاملهم مع الخصوصية في مؤسساتهم؛ شراكة BigID مع ServiceNow لإدارة البيانات الحساسة والخاصة. أظهر الاستطلاع أن الشركات تكافح من أجل الامتثال للمبادئ التوجيهية التنظيمية والامتثال.
تمثل اللائحة العامة لحماية البيانات General Data Protection Regulation، أو GDPR، تحديًا بشكل خاص. وذلك لأن الامتثال للائحة العامة لحماية البيانات يتطلب توثيقًا معقدًا وتعاونًا عبر المؤسسة لتحديد البيانات التي تمتلكها الشركة ومن يمتلكها وكيفية معالجتها. على الرغم من الكميات الهائلة من مؤسسات البيانات التي تتعامل معها، لا يزال الكثير منها يستخدم الأدوات والعمليات اليدوية لتتبعها.
وفقًا لبيانات المسح، تستخدم الشركات في الغالب أوراق Excel (53%) وأدوات تعيين البيانات أو التصور مثل Vizio (41%). مع الاعتماد الشديد على الأدوات اليدوية، يقوم العديد من المستجيبين ببساطة بمسح البيانات وتحديدها في مصادر منظمة (40%)، ولا يزال يتعين عليهم تحليل البيانات في كل من المواقع المهيكلة وغير المهيكلة (12%)، أو ليس لديهم أي مبادرة لمسح البيانات الحساسة (4%). هذا الاعتماد الكبير على الأدوات اليدوية جعل من الصعب على الشركات إدارة البيانات المنظمة وتتبعها بشكل استباقي، وهو أمر حيوي للامتثال للائحة العامة لحماية البيانات واللوائح الأخرى.
لا يبدو أن الكثيرين يبنون بشكل استباقي الخصوصية عن طريق التصميم في عملياتهم ومنتجاتهم. تقول ثلث المؤسسات إنها تتفاعل ببساطة مع مشهد الخصوصية المتغير دون اتخاذ خطوات لتحسين برنامج الخصوصية الخاص بها، بينما يقول 10% إنهم ليسوا حتى في وضع يسمح لهم بالرد.
مستقبل خصوصية البيانات Future of data privacy
هذا هو المكان الذي يمكن أن تساعد فيه شركات مثل BigID. تستفيد BigID من الذكاء الاصطناعي والتعلم الآلي لإزالة الغموض عن أنواع مختلفة من البيانات. يقول Dimitri Sirota، الرئيس التنفيذي لشركة BigID، إن الهدف هو بناء خريطة لكل نقطة بيانات تنتمي إلى هوية معينة. يسمح ذلك للشركات بإزالة الغموض عن بياناتها: معرفة ما لديها، ومكان تخزينها، وما إذا كانت تحتوي على معلومات شخصية.
يقول Sirota: "يوجد مثل هذا الحجم الكبير". "البيانات المهيكلة وغير المهيكلة، والبيانات السحابية والمحلية ... كيف تحصل [الشركات] على صورة عن البيانات والبيانات التي تمتلكها؟ الطريقة الوحيدة الممكنة هي الاستفادة من التعلم الآلي بأنواعه المختلفة. هذا يتعلق بتحسين الشفافية والثقة".
احصل على سير العمل في صندوق الوارد الخاص بك Get Workflow in your inbox
يستخدم BigID الذكاء الاصطناعي بطريقتين. أولاً، يمشط الذكاء الاصطناعي من خلال البنية التحتية لبيانات المؤسسة، حتى الأجزاء غير المرئية للمؤسسة نفسها. تتعرف الخوارزميات على مكان البيانات ونوعها وما إذا كانت تنتمي إلى فرد معين. ثانيًا، يعمل الذكاء الاصطناعي على أتمتة جمع البيانات ومعالجتها. يمكن للعملاء أو المستخدمين الأفراد تقديم طلب لمعرفة ما إذا كانت الشركة قد جمعت بياناتهم، ونوع البيانات التي تمتلكها المؤسسة، وكيف تخطط الشركة لاستخدامها. يضمن الذكاء الاصطناعي وجود تدفقات العمل التي تسهل على العملاء والشركات والمدققين تتبع تلك البيانات.
يقول Sirota إن الذكاء الاصطناعي يضمن للمؤسسات (والأفراد) إمكانية الحصول على عرض شامل لبياناتهم. "تاريخيًا، كان يتم عرض البيانات بطريقة منعزلة: كان للقانوني رأي واحد حول البيانات، وللأمان وجهة نظر أخرى، وللحوكمة وجهة نظر أخرى. نعتقد أنه من المهم النظر إلى البيانات من منظور موحد".
حقول الألغام الأخلاقية Ethical minefields
للوهلة الأولى، لا يبدو استخدام الذكاء الاصطناعي والتعلم الآلي لتصنيف المعلومات الشخصية أمرًا شائكًا من الناحية الأخلاقية مثل استخدام التعلم الآلي، على سبيل المثال، لتحديد من يحصل على قرض مصرفي أو المدة التي ينبغي أن تستغرقها عقوبة السجن. لكن Cockerill يقول إنه لا تزال هناك أسئلة يجب مراعاتها.
يوضح قائلاً: "عندما تبدأ في استخدام الذكاء الاصطناعي والتعلم الآلي لتحديد مجموعات البيانات الشخصية، تبدأ التحديات الأخلاقية في الظهور بناءً على المكان الذي تجري فيه هذا التحليل". "هل تقوم بإجراء هذا التحليل في نفس الموقع حيث يتم تخزين هذه البيانات، أم أنك تقوم بنقلها إلى قاعدة بيانات مركزية؟ هل تُجري هذا التقييم لمجرد تحديد البيانات، أم أنك بعد ذلك تستخدم مجموعة البيانات لأسباب أخرى؟".
يقول Cockerill أنه عندما يقوم شخص ما بتسليم بياناته إلى شركة، فقد لا يفهم تمامًا جميع الطرق التي سيتم بها استخدام البيانات. يقول Cockerill إن المشكلة تكمن في أنه عندما تجمع منظمة البيانات لسبب واحد، غالبًا ما تستخدم المؤسسة تلك البيانات لسبب مختلف أيضًا - ولكن قد لا يكون العميل أو الموظف على دراية بذلك. يقول: "قد يرغب شخص ما في معرفة ما إذا كان يتم نقل معلوماته أو استخدامها بطريقة لم تكن في الاتفاقية الأصلية". "إنه شيء يجب مراعاته".
علاوة على ذلك، عندما يتصل ML أو AI بالبيانات البشرية، فهناك احتمال أن يؤثر التحيز على النتائج. يقول Cockerill: "لا يمكنك أبدًا إزالة التحيز تمامًا لأن لديك دائمًا مطورًا يتخذ قرارات بشأن الخوارزميات الخاصة بك". يقرر المطور ما هي البيانات المستخدمة لتدريب الخوارزميات، على سبيل المثال. يقول Cockerill إن احتمالية التحيز والنتائج الخاطئة تتضخم عندما يتم تحديد الهوية الشخصية باللغة الإنجليزية ومع ذلك تحاول الخوارزمية تحليل البيانات بلغة مختلفة.
الضوابط والتوازنات Checks and balances
من المبادئ الأساسية للخصوصية حسب التصميم توقع تحديات تصنيف البيانات - الأسئلة الأخلاقية، واحتمال حدوث نتائج غير دقيقة - والعمل على التخفيف منها مبكرًا في دورة حياة معالجة البيانات.
يقول Cockerill أنه في المحادثات حول خصوصية البيانات، يتحدث الجميع عن دورة حياة البيانات - جمعها واستخدامها وتخزينها وحذفها - لكنه يدعو المؤسسات لإعادة صياغة المحادثة. "أريد أن أعيدها إلى سؤالين أساسيين: ماذا تفعل بالبيانات؟ من يقوم بالوصول إليها؟ و أين؟"
يؤكد Cockerill أن "الضوابط والتوازنات" ضرورية. إنه يريد أن يرى المزيد من الشركات تطلب من لجان الأخلاقيات الداخلية مراجعة كيفية استخدام المنظمة للذكاء الاصطناعي والتعلم الآلي. ويقول إن تقييمات الأثر الحسابية يمكن أن تساعد في تحديد ما إذا كانت المؤسسات تتخذ القرارات الصحيحة المستندة إلى القيمة. يجب دمج أفضل الممارسات هذه في عملية جمع البيانات.
يقول Cockerill: "الخصوصية حسب التصميم هي حقًا الطريقة الصحيحة للنظر إليها".
