مهندس یادگیری ماشین
آشنایی مقدماتی با قوانین GDPR
شما هم احتمالا وارد هر سایت خارجی میشوید یک بنر باز میشود و از شما درخواست قبول کردن کوکیها را میدهد. حال بعضی صرفا یک پیغام ساده نمایش میدهند یا گزینههایی برای انتخاب نمایش میدهند. این پیغامها چیست و از کجا شروع شد و به چه منظور است؟ در این مقاله به بررسی آن میپردازیم.
قوانین GDPR (The General Data Protection Regulation) چیست؟
برگرفته از ویکیپدیا فارسی:
مقررات عمومی حفاظت از داده اتحادیه اروپا مقرراتی است که در مورد حفاظت از داده و محرمانگی همه اشخاص و خروج داده در اتحادیه اروپا و منطقه اقتصادی اروپا وضع شدهاست. هدف این مقررات اساساً، برای اعطای کنترل داده ها به شهروندان و ساکنان این منطقه و سادهسازی محیط مقررات گذاری برای کسب و کارهای بینالمللی از طریق یکسانسازی مقررات است.
این قوانین (تاریخ تصویب: ۱۴ آوریل ۲۰۱۶ و تاریخ اجرا: ۲۵ مه ۲۰۱۸) با هدف محدود کردن سرویسهای بزرگ موجود مانند گوگل و فیسبوک در نحوه استفاده کردن از اطلاعات کاربران وضع شد.
اما جرقه وضع این قوانین از کجا شروع شد؟
در اوایل سال ۲۰۱۸، نقض دادههای Facebook-Cambridge Analytica رخ داد (که به رسوایی کمبریج آنالیتیکا معروف است) که میلیونها داده شخصی کاربران فیسبوک بدون رضایت توسط کمبریج آنالیتیکا جمع آوری شد تا بیشتر برای تبلیغات سیاسی مورد استفاده قرار گیرد. این نقض دادهها بزرگترین نشت شناخته شده در تاریخ فیسبوک میباشد. دادهها از طریق برنامهای ساخته شده توسط دکتر الكساندر كوگان، در سال ۲۰۱۳ جمع آوری شده و شامل یک سوال برای ساخت پروفایلهای روانشناختی برای كاربران بود. این برنامه نه تنها دادههای شخصی کاربرانی که سوالات را تکمیل کردهاند بلکه همچنین دوستان فیسبوک کاربران نیز جمعآوری کرد. کمبریج آنالیتیکا به دنبال فروش دادههای رایدهندگان آمریکایی به کمپینهای سیاسی بود و در نهایت کمک های لازم و تحلیلی را برای فعالیت های تد کروز و دونالد ترامپ ارائه داد.
اما کلیات این قوانین چیست؟
۱) اگر سرویس شما در حال جمعآوری داده میباشد، چرا و برای چی این کار صورت میگیرد؟ راه حل: قابلیت ردیابی کردن باید از اطلاعات حذف شود. به عنوان مثال بجای اینکه در تحلیلها بگوییم: طاده دوست دارد x را، بگوییم y دوست دارد x را.
۲) اگر سرویس شما به جمعآوری میپردازد، باید در نگهداری آن کوشا باشد و مسئولیت نگهداری آن را بپذیرد. که این کار در وب معنایی بسیار اهمیت دارد، چون در آن به شناسایی رفتار کاربران و نشان دادن تبلیغات هدفمند میپردازیم.
۳) سرویس شما حق اشتراکگذاری اطلاعات قابل شناسایی مانند ایمیل، MAC Address و IP را به هیچ وجه با هیچکس ندارد.
چطور با این قوانین تطابق پیدا کنیم؟
اگر استارتاپ یا سرویس آنلاین شما بطور بینالملل فعالیت میکند (منظور از فعالیت بینالمللی این است که یا خود شرکت در اتحادیه اروپا باشد و یا حتی یک مشتری (رایگان حتی) از اتحادیه اروپا داشته باشد)، حتما و هرچه زودتر برای جلوگیری از ایجاد مشکلات قانونی باید سایت خود را با این قوانین تطبیق دهید. چند قدم ساده برای این کار وجود دارد اما بسته به خدمتی که ارائه میدهید ممکن است این قدمها متفاوت باشد که با کمی جستجو به زبان انگلیسی منابع زیادی میتوان یافت.
اما این چند قدم ساده را در نظر داشته باشید:
۱) هر Web Service ای که به جمعآوری داده میپردازد باید آن را به کاربران خود اطلاع دهد. همانطور که که در تصویر اول و نمونه توییتر میبینید.
۲) اگر از tracker هایی مانند Hotjar و Google Analytics و غیره استفاده میکنید، باید به کاربر اطلاع دهید.
حال شاید این سوال پیش بیاید که سرویسهایی مانند Hotjar خود چگونه اطلاعات کاربر را پنهان میکنند. درست است که شما به عنوان صاحب خدمت قابل هستید رفتار کاربر خود را در قالب ویدیو مشاهده کنید اما این ویدیو قابل شناسایی توسط چه کاربر نیست.
۳) از دادهای که ذخیره میشود باید مراقبت شود. رمزعبورها قابل شناسایی نباشند و اگر لو رفتند hash شده باشند. نباید تمام اطلاعات مربوط به یک کاربر در یک جا ذخیره شود.
اما آنالیز داده چطور..؟
حال اگر شما و یا سرویس شما قصد تبادل داده به منظور انجام تحلیل داده خارج از سرویس را داشته باشد، این داده رد و بدلی چگونه باید باشد؟ در قوانین GDPR دو نوع موجودیت برای این حالت تعریف شده: Controller که صاحب دادهها میباشد و Processor که کسی است که داده را پردازش میکند (میتواند در خود سرویس یا خارج از سرویس باشد).
داده ارسالی در این صورت باید طوری باشد که داده از جایی که داده خام نگهداری میشود، به صورت غیرقابلشناسایی تبدیل شود و به تحلیلگر داده ارسال شود.
جمعبندی
اهمیت اجرای قانون خصوصا در اتحادیه اروپا بسیار مهم میباشد و اگر استارتاپ یا سرویس شما قصد ورود به بازارهای بینالمللی را دارد (منظور از ورود به بازار بینالملل این است که یا خود شرکت در اتحادیه اروپا باشد و یا حتی یک مشتری (رایگان حتی) از اتحادیه اروپا داشته باشد) حتما در اجرای درست این قوانین، به خصوص مقررات عمومی حفاظت از داده اتحادیه اروپا، کوشا باشید. برای مطالعه بیشتر میتوانید به لینک زیر مراجعه کنید:
مطلبی دیگر از این انتشارات
چجوری ارباب زمانمون بشیم؟
مطلبی دیگر از این انتشارات
شروع مسیر جدید و سندروم خودویرانگری
مطلبی دیگر از این انتشارات
تاثیر مهارتهای نرم در رسیدن به هدفهای شخصی و تیمی