داده یا همان طلای قرن ۲۱ توسط چه کسانی کنترل می‌شود

داده یا همان طلای قرن ۲۱ توسط چه کسانی کنترل می‌شود
داده یا دیتا به‌عنوان طلای قرن ۲۱، ارزش وصف‌نشدنی دارد. سوال مهم این است که شرکت‌ها، چگونه داده‌های کاربران را ذخیره و از آنها استفاده می‌کنند.
داده یا دیتا به‌عنوان طلای قرن ۲۱، ارزش وصف‌نشدنی دارد. سوال مهم این است که شرکت‌ها، چگونه داده‌های کاربران را ذخیره و از آنها استفاده می‌کنند.









یک تحقیق میدانی در ایالات متحده‌ی آمریکا ثابت کرد که هر فرد آمریکایی به‌طور میانگین روزانه ۲۶۰۰ بار گوشی همراه خود را لمس می‌کند. این آمار در سال به حدود یک میلیون و برای برخی کاربران تا دو میلیون لمس می‌رسد.

هر یک از تعاملات لمسی با گوشی‌های هوشمند از جمله ضربه زدن، کشیدن و جابه‌جا کردن المان‌ها، نشان‌دهنده‌ی نمونه‌ای از رفتارهای عامدانه‌ی ما است. گوشی‌های هوشمند ما تنها ابزارهایی برای منظم کردن بهتر کارهای روزانه نیستند. آنها دستگاه‌های پیچیده‌ی نظارتی هستند که ما با ارتباطات خود با آنها و با فرض خصوصی بودن این ارتباطات، آنها را تغذیه می‌کنیم.
ما صادقانه‌ترین سوالاتمان را از گوگل می‌پرسیم
به‌عنوان مثال، سوالی که ما از گوگل می پرسیم، صادقانه‌تر از سوال‌هایی است که اطرافیان و حتی همسر خود می‌پرسیم؛ این ادعا توسط کارمند سابق گوگل و نویسنده‌ی کتاب «همه دروغ می‌گویند: کلان داده، داده‌ی جدید و آن‌چه که اینترنت در مورد شخصیت حقیقی ما می‌داند» یعنی سث استیونز عنوان شده است.


تنها کافی است این داده‌ها را از نقاط داده (دیتا پوینت‌ها) جمع‌آوری کرده و آنها را با داده‌های دستگاه‌های دیگر ترکیب کنید. دستگاه‌هایی همچون تلویزیون‌های هوشمند، پایش‌گرهای سلامتی و کوکی‌ها که در سرتاسر وب به‌دنبال ما می‌آیند. این ترکیب، یک فرآیند جمع‌آوری اطلاعات از عادت‌ها و رفتارهای ما است که همیشه ادامه دارد و روزانه حدود ۲.۵ کوینتیلیون (۱۰ به‌توان ۳۰) بایت داده را شامل می‌شود.

این حجم عظیم از داده، بین شبکه‌ای از مشارکت‌کنندگان در اینترنت، محققان و تبلیغ‌دهندگان تقسیم شده و پخش می‌شود. به‌عنوان مثال شرکت Acxiom برای هریک از ۵۰۰ میلیون نفر موجود در پایگاه داده‌اش، به ۱۵۰۰ دیتا پوینت دسترسی دارد. در چند ماه گذشته، فیسبوک از دانشکده‌ی پزشکی دانشگاه استنفورد و تعدادی بیمارستان درخواست کرده تا داده‌های پزشکی بیماران را با داده‌های این سرویس به‌اشتراک گذاشته و هماهنگ کنند (البته این پروژه فعلا تعلیق شده است). مثال‌های متعدد دیگری از این جمع‌آوری و اشتراک داده میان شرکت‌ها وجود دارد که مورد توجه‌ترین آن برای آمریکایی‌ها، استفاده از اطلاعات شخصی برای هدف‌‌گیری تبلیغات انتخاباتی دونالد ترامپ بوده است.



در تعریف ساده، ارتباط نزدیک ما با دستگاه‌های هوشمندمان، تنها شامل ما و دستگاه‌هایمان نیست. در اینجا باید بپرسیم تکلیف یک شهروند قرن ۲۱ که برای حریم خصوصی خود ارزش زیادی قائل بوده و در کنار آن، به حضور در جامعه‌ی متصل به هم این قرن علاقه‌مند است، چیست؟ با توجه به موارد گفته‌شده، به‌نظر می‌رسد توجه به قانون جامع حفاظت از داده‌ی اتحادیه‌ی اروپا (GDPR) بیش از همیشه برای مردم مهم باشد. قانونی محکم، پیچیده و صریح در ارتباط با حریم خصوصی که در تاریخ ۲۵ می سال جاری، به تصویب رسید.
یکی از قوانین کلیدی ذکرشده در این بیانیه، شامل دسترسی به اطلاعات شخصی، توضیح الگوریتم‌هایی که زندگی شهروندان را شکل می‌دهند، قابلیت جابه‌جایی داده و پاک کردن آن است. این قانون، کسب‌وکار تمامی سازمان‌های جهانیِ فعال در اتحادیه‌ی اروپا را تحت تاثیر قرار می‌دهد. در نتیجه‌ی آن، شرکت‌های سرتاسر جهان باید میلیون‌های دلار هزینه کرده تا قوانین حریم خصوصی خود را با این قانون هماهنگ کنند. برخی از آنها حتی روش‌های خود را در خارج از این اتحادیه نیز اصلاح کرده‌اند.


نویسندگان و کارمندان سرویس engadget تصمیم گرفتند تا اجرای این بخش از قانون GDPR را در شرکت‌های مختلف آزمایش کنند. تیمی ۹ نفره از گزارشگران این سرویس در شهرهای لندن، پاریس، نیویورک و سان‌فرانسیسکو، بیش از ۱۵۰ فرم درخواست اطلاعات شخصی را به بیش از ۳۰ شرکت مشهور دنیای فناوری ارسال کردند. این شرکت‌ها از شبکه‌های اجتماعی تا اپلیکیشن‌های دوستیابی و سرویس‌های استریم را شامل می‌شدند. این گزارشگران، درخواست‌های خود را قبل و بعد از تاریخ ۲۵ می (تاریخ اجرایی شدن GDPR) ارسال کردند تا روند اجرای آن را بررسی کنند.

اتحادیه‌ی اروپا از سال ۱۹۹۵ قوانینی برای حفاظت از داده وضع کرده بود اما تحقیقات متعدد نشان داد که آن قوانین به‌اندازه‌ی کافی قوی نبودند. قانون جدید نیز از سال ۲۰۱۶ وضع شده بود؛ اما امسال و با اضافه کردن جریمه‌های سنگین، اجرای آن الزامی‌تر شد. این جریمه‌ها تا ۴ درصد از درآمد جهانی سالانه‌ی شرکت‌ها را شامل می‌شود.


در واقع، تاریخ امنیت داده‌ها پر از داستان‌هایی شامل نقض قانون و اجرا نشدن عدالت است. به‌عنوان مثال شرکت اعتباری Equifax که زمانی اطلاعات کاربران را در اثر هک شدن از دست داده بود، هنوز در حال فعالیت است. مشتریان این شرکت نیز هنوز توانسته‌اند غرامت مناسبی از آنها دریافت کنند. در داستانی‌ تازه‌تر، فیسبوک در جریان ‌کمبریج آنالاتیکا در انگلستان به پرداخت ۵۰۰ هزار پوند جریمه (حداکثر جریمه‌ی موجود در قانون آن زمان) محکوم شد. این مقدار جریمه، با درآمد این شرکت در ۵ دقیقه‌ونیم، برابر است!


اگر بحران کمبریح آنالاتیکا امروز اتفاق می‌افتاد، جریمه‌ی فیسبوک به میلیاردها دلار می‌رسید. درحال حاضر، حدود ۱۰۰۰ وبسایت خبری آمریکایی مانند لس‌آنجلس تایمز و شیکاگو تریبون در اروپا در دسترس نیستند. آخرین تحقیقات نیز نشان می‌دهد که تنها یک سوم شرکت‌ها توانسته‌اند با قانون جدید هماهنگ شوند.
کارشناسان امیدوارند قانون جدید، استانداردی برای بررسی و نظارت بر قدرت شرکت‌های بزرگ دنیای فناوری باشد. شرکت‌هایی که ارزش بازارشان از تولید ناخالص ملی برخی از کشورهای جهان بیشتر است. نکته‌ی جالب این است که همین کشورهای ضعیف‌تر، در حال تلاش برای افزایش مسئولیت‌پذیری غول‌های فناوری هستند.
GDPR شرکت‌ها را ملزم به ارائه‌ی داده‌های شخصی کاربران می‌کند
گزارشگران در این تحقیق، از طریقی ایمیل، نامه یا بخش‌هایی که خود سرویس‌ها به‌منظور دسترسی به داده‌ها تعبیه کرده‌ بودند، نسبت به درخواست اطلاعات خود اقدام کردند. به‌عنوان مثالاینستاگرامدر آن تاریخ تنها یک آدرس ایمیل برای درخواست اطلاعات اختصاص داده و به نامه‌ی کتبی این گزارشگران پاسخ نداده است. متن این درخواست‌های کتبی با استفاده از الگویی که دفتر کمیسر اطلاعات انگلستان فراهم کرده، آماده شده است. در متن نامه به قوانین تصویب‌شده نیز اشاره‌ای شده است. به‌هرحال این خبرنگاران اطلاعاتی در مورد خود داده‌ها، منبع آنها، مقصد ارسالی و همچنین پروفایل تشکیل‌شده (اطلاعات به‌دست‌آمده از تحلیل داده‌های فرد) بر اساس آنها از شرکت‌ها درخواست کرده‌اند.

درخواست‌های خبرنگاران از ایمیل‌های شخصی و همراه با آدرس خانه ارسال شده تا در حد امکان، شرکت‌ها آنها را به‌عنوان کاربران عادی تلقی کنند. البته در اکثر مواقع، آنها ایمیل‌های بعدی را نیز ارسال کرده و خود را به‌عنوان خبرنگار معرفی کرده‌اند.


هادی اصغری استادیار دانشگاه Delft هلند در مورد قوانین اتحادیه‌ی اروپا در بخش حریم خصوصی و اجرای آنها تحقیقاتی انجام داده و پایبندی به آنها را ناچیز توصیف کرده است. او در اظهارنظری عنوان کرده است:
درخواست داده از از شرکت‌ها، مانند پنجره‌ای به روح آنها است.
در این میان، خبرنگاران حاضر در این مقاله به نتایج جالبی دست پیدا کردند: داده‌های به‌هم‌ریخته و نامنظمی که Acxiom از یکی از کاربران داشته است. یک اپلیکیشن دیگر، روش‌های امنیتی نامناسبی را اجرا می‌کرده و سرویس دوستیابی دیگر نیز اطلاعات یک فرد دیگر را برای آنها ارسال کرده است. همه‌ی این شواهد، همان پنجره‌هایی به درون این سازمان‌ها را در برابر خبرنگاران قرار داده است. در کنار همه‌ی این موارد، برداشت‌ها اجراهای متفاوت شرکت‌ها از GDPR را نیز اضافه کنید. در نهایت به این نکته می‌رسیم که اطلاعات شخصی افراد، آن دارایی است که به‌عنوان سوخت اقتصاد کلان داده استفاده می‌شود. در نتیجه، مانند تمام دارایی‌ها یک جنگ برای به‌دست آوردن و کنترل آن در جریان است.
سیاست‌های حریم خصوصی

در این میان باید به نکته‌ای اشاره کنیم که ابهام موضوع را بیشتر می‌کند. مفهوم حریم خصوصی در داده، برای کاربران عادی غیرقابل فهم و خسته‌کننده است. سیاست‌های حریم خصوصی، سنگ‌بنای فهم حقوق داده است. این سیاست‌ها، اسنادی چندهزار کلمه‌ای و مهروموم‌شده به‌صورت قانونی هستند که زیرساخت تبادل داده را روشن می‌کنند. خود شرکت‌‌ها نیز در بسیاری از موارد، توانایی ردگیری این تبادلات را ندارند.




محققان دانشگاه کارنگی-ملون‌‌، ۱۰ سال پیش تحقیقی در مورد زمان مورد نیاز برای خواندن سیاست‌های حریم خصوصی انجام دادند. آنها نتیجه گرفتند که خواندن همه‌ی این متن‌ها در یک سال، ۷۶ روز زمان می‌گیرد. فراموش نکنید که این آمار مربوط به ۱۰ سال پیش است و امروزه کاربران از اپلیکیشن‌های بسیار بیشتری استفاده می‌کنند. در نهایت، نخواندن سیاست‌های حریم خصوصی از طرف کاربران، یک رفتار عادی است.
اغلب کاربران، متن قوانین حریم خصوصی شرکت‌ها را نمی‌خوانند
این رفتار، پارادوکسی با نام حریم خصوصی دیجیتال ایجاد می‌کند. عموم مردم در نظرسنجی‌ها، اهمیت بالایی برای حریم خصوصی قائل هستند؛ اما در واقعیت برای دریافت کوچکترین هدیه از شرکت‌ها، حاضرند اطلاعات و آدرس ایمیل دوستان خود را در اختیارشان قرار دهند.
بیایید به تجربه‌ی عملی درخواست اطلاعات خبرنگاران بازگردیم. صرف‌نظر از اطلاعات دریافت‌شده از شرکت‌ها و قابل فهم بودن یا نبودن آنها و همچنین معنادار بودن این اطلاعات ارسال‌شده، فرمت اطلاعات به صورت‌های بسیار متنوعی بوده است. شرکت‌ها، اطلاعات درخواستی را با روش‌هایی از ایمیل تا فایل‌هایی در فرمت‌های اکسل و پی‌دی‌اف ارائه کرده بودند.
به‌عنوان مثال، نتفلیکس، داده‌ها را به‌صورت یک فایل پی‌دی‌اف تکی شامل فهرستی از جداول خود برای کاربران ارسال کرد. در مقابل، اسپاتیفای داده‌ها را به‌صورت یک فانکشن دانلود ارسال کرده است. خبرنگار انگلیسی دریافت این داده‌ها را امتحان کرده و ۱۰۱ فایل JSON دریافت کرده است. در‌ حالی که خبرنگار دیگر، ۹۰ فایل دریافت کرده است.

اگرچه اطلاعات ارائه‌شده توسط اسپاتیفای، به‌نظر جامع می‌آیند؛ اما عموما این نوع از داده، بخش‌هایی از دیتابیس هستند که تنها توسط کامپیوترها خوانده می‌شوند. به بیان دیگر، کاربر عادی حتی توانایی درک نام این فایل‌ها را نیز ندارد. خبرنگاران در این بخش نیز تماسی با اسپاتیفای داشتند، اما توضیحی در مورد نام فایل‌ها دریافت نکردند. سخنگوی این شرکت نیز اعلام کرده است که آنها قابلیت ارائه‌ی اطلاعات در یک زمینه‌ی مشخص از داده را دارند، اما لغت‌نامه‌ای برای تفسیر نام فایل‌ها آماده نکرده‌اند.


خبرنگار دیگری از آمریکا با شرکت اسپاتیفای ارتباط برقرار کرده و تنها ۷ فایل دریافت کرده است. این فایل‌ها تنها حاوی اطلاعاتی از روش‌های پرداخت او و همچنین پلی‌لیست‌ها و فالورها بوده‌اند. سخنگوی اسپاتیفای اعلام کرده که هیج تفاوتی میان اطلاعات به‌اشتراک گذاشته‌شده با کاربران وجود ندارد و آنها می‌توانند با تماس با واحد مشتریان، هر فایل مورد نظر خود را دریافت کنند. سوالی که ایجاد می‌شود این است که چگونه درخواست فایلی را بدهیم که از وجود یا عدم وجود آن بی‌اطلاع هستیم؟
فایل‌های ارائه شدن توسط شرکت‌ها، بعضا غیرقابل فهم هستند
اینستاگرام نیز علاوه‌بر عکس‌ها و ویدیوهای کاربر، اطلاعات را به‌صورت فایل‌های JSON ارسال کرده است. سخنگوی این شرکت، دلیل ارسال فایل به این صورت را، پرتابل‌تر بودن فرمت JSON عنوان کرده است. البته باید به این نکته اشاره کنیم که پرتابل بودن فایل‌ها، موضوعی جدا از دسترسی به داده‌ها است.
به‌هرحال، اسپاتیفای و اینستاگرام، اطلاعاتی حداقلی را برای کاربران ارسال کرده‌اند. در حالی که اپلیکیشن دوستیابی Bumble به خبرنگار انگلیسی تنها اطلاعاتی اولیه مانند نام، سن و زبان، عکس‌های آپلودشده و گزارش یک‌ساله‌ی IPهای او را ارسال کرده است. یک خبرنگار آمریکایی نیز برای این شرکت درخواستی را ارسال کرده و پس از ۱۲ هفته، پاسخ خود را دریافت کرده است.

یکی از موارد مشترک دیگر از طرف شرکت‌ها، ارسال پاسخی شامل بندهای سیاست حریم خصوصی آنها بوده است. این شرکت‌ها در پاسخ خود، تنها اشاره‌ای به سیاست‌های خود در بخش استفاده از داده کرده‌اند. آنها هیچ اطلاعی از سرنوشت داده‌های کاربران، به آنها ارائه نکرده‌اند.
به‌عنوان مثالی از رویکرد بالا، اسنپ‌چتخبرنگاران را به سیاست حریم خصوصی خود ارجاع داده است. آنها در متن این سیاست به این نکته اشاره کرده‌اند که اجازه‌ی جمع‌آوری اطلاعات در مورد کاربران و از منابع مختلف و همچنین ارائه‌ی آن به شرکت‌های دیگر را داشته، اما تعهدی برای ارائه‌ی فهرست این شرکت‌ها به کاربران ندارند. اپلیکیشن تیندر نیز روندی مشابه داشته و واحد روابط عمومی آنها نیز پاسخ روشنی به این موارد نداده است.




گروهی به نام The Article 29 Working Party یک گروه مشاوره‌ای متشکل از نمایندگان اتحادیه‌ی اروپا و متخصصان داده در مورد قوانین حریم خصوصی است. این گروه پیش از این عنوان کرده بود که استفاده از کلماتی مانند may، might، some، often و possible در متن سیاست‌های حریم خصوصی شرکت‌ها باید ممنوع شود. از لحاظ قانونی نیز GDPR به این نکته اشاره می‌کند که هر ارتباطی میان شرکت و کاربر باید در فرمی مختصر، شفاف، قابل فهم و به‌آسانی قابل دسترس باشد. به‌علاوه، زبان گفتگو نیز باید ساده و روشن باشد. تجربیات خبرنگاران از تعامل با شرکت‌ها، کاملا ناسازگار با این قوانین بوده است.
یک تیم تحقیقاتی متشکل از متخصصان سازمان مصرف‌کنندگان اروپا (BEUC) و موسسه‌ی دانشگاهی اروپایی فلورانس در ماه جولای گذشته، تحقیقاتی را برای بررسی متن سیاست‌های حریم خصوصی شرکت‌ها انجام دادند. آنها در این تحقیق، ۱۴ متن را از شرکت‌های مختلف از جمله آمازون، مایکروسافت و اوبرتوسط هوش مصنوعی مطالعه کردند تا هم‌خوانی آن با قانون GDPR را بسنجند. در نتیجه‌ی این تحقیق، یک سوم عبارت‌های موجود در این متون، پتانسیل فهم اشتباه و ایجاد مشکل برای کاربران را داشتند یا اطلاعات ناکافی ارائه می‌کردند.

استفاده داده‌های کاربران

کلید فهم این مسئله که استفاده از اطلاعات ما چگونه انجام می‌شود، فهم روش تحلیل و آنالیز آنها است. دسته‌بندی‌هایی که کاربران در آنها قرار می‌گیرند و چگونگی مدل‌سازی رفتار آنها، اثر عمیقی روی چگونگی استفاده‌ی آنها از فناوری دارد. جای تعجب نیست که شرکت‌ها، به‌طور کامل اطلاعات این فرآیند را نزد خود نگه می‌دارند.


قانون GDPR، شرکت‌ها را به ارائه‌ی توضیح کامل این فرآیندها ملزم کرده است. به‌علاوه آنها باید امکان خروج کاربر از برنامه‌های اتوماتیک تصمیم‌گیری ماشینی و تحلیل اطلاعات اشخاص (که اثرات قانونی یا قابل توجهی دارند) را فراهم کنند. در اینجا دقیقا مشخص نیست که شرکت‌ها، بخش دوم این قانون را چگونه اجرا خواهند کرد.
بدین ترتیب و به‌عنوان مثال، نتفلیکس، در مورد چرایی پیشنهاد برخی فیلم‌های خاص به کاربران، به این توضیح اکتفا کرده است که این اطلاعات بر اساس فعالیت مشاهده‌ی فیلم کاربران و تعامل آنها با سرویس ارائه می‌شوند. اینستاگرام نیز در مورد رتبه‌بندی پست‌ها می‌گوید که زمان ارسال پست، ارتباط ما با فرد صاحب اکانت و احتمال علاقه‌مند بودن ما به آن محتوا، فاکتورهای تاثیرگذاری هستند. تیندر نیز پاسخی تقریبا مشابه ارائه کرده و به بهانه‌ی حفظ ملکیت معنوی روش‌های خود، از توضیح بیشتر خودداری کرده است.
شرکت‌ها برای نمایش تبلیغ در شبکه‌های اجتماعی، ایمیل شما را دنبال می‌کنند
یکی از بهترین مثال‌ها برای درک روش تحلیل داده‌های کاربران، از گزارش فیسبوک در مورد دسته‌بندی علایق کاربر برای تبلیغ‌دهندگان استنباط می‌شود.این شرکت در داده‌های یکی ازخبرنگاران، ۳۵۷ دسته‌بندی را ارائه کرده که اطلاعات او برای دسترسی تبلیغ‌دهندگان، در این گروه‌ها دسته‌بندی شده است. برخی از این دسته‌بندی‌ها مانند شغل یا تیم فوتبال مورد علاقه، قابل درک هستند؛ اما برخی دیگر مانند دسته‌‌ی «واقعیت» یا «یاغی»، معنای خاصی ندارند.
فیسبوک هیچ توضیحی در مورد اینکه چرا این خبرنگار را در این دسته‌ها قرار داده، ارائه نکرده است. البته کاربران این سرویس می‌توانند از این دسته‌بندی‌ها خارج شوند. سخنگوی این شرکت تنها به گفتن این مورد اکتفا کرده است که این دسته‌بندی‌ها بر اساس تعامل کاربر با فیسبوک تنظیم می‌شوند. البته او هیچ اشاره‌ای به احتمال استفاده‌ی این شرکت از اطلاعاتی دیگر مانند موقعیت جغرافیایی یا تاریخچه‌ی مرورگر نکرده است.
در بخش دیگری از اطلاعات فیسبوک، امکان مشاهده‌ی شرکت‌های تبلیغاتی که اطلاعات تماس کاربر را از جای دیگر داشته‌اند، وجود داشته است. به‌عنوان مثال، شعبه‌های کشورهای دیگر سرویس‌هایی که این کاربر عضو بوده و جاهای دیگر که او ایمیلش را برای آنها ارسال کرده بوده است. برای توضیح این بخش تصور کنید شما در یک سرویس یا فروشگاه آنلاین، با ایمیل خود ثبت‌نام می‌کنید. سپس با همین ایمیل نیز حسابی در فیسبوک می‌سازید. حال، شرکت اولیه می‌تواند از عضویت شما در فیسبوک مطلع شده و تبلیغاتش را در آنجا برای شما نمایش دهد.




خبرنگار نویسنده‌ی این مقاله، پیش و پس از تاریخ ۲۵ می، اطلاعات خود را از فیسبوک درخواست کرده است. این اطلاعات در این دو تاریخ تفاوت زیادی با هم داشته‌اند. تعداد تبلیغ‌دهندگان دارای اطلاعات تماس از ۱۰ به ۱۸۰ رسیده است. تعداد دسته‌بندی‌های علایق برای نمایش تبلیغات نیز از ۱۹۸ به ۳۵۷ تغییر کرده است. دو مسئول فیسبوک در پاسخ به مکاتبات این خبرنگار، دو دلیل متفاوت را به او اعلام کرده‌اند. اولی، باگ سیستمی در نمایش تعداد تبلیغ‌دهندگان و دومی اشکال در سیستم دسته‌بندی را به‌عنوان دلیل اعلام کرده است. جالب این که هیچ‌کدام از آنها، GDPR را دلیل افزایش حجم اطلاعات ندانسته‌اند.
پیچیده‌ترین داده‌ها، از تحلیل و ترکیب داده‌های اولیه به‌دست می‌آیند
برای عمیق‌تر شدن در موضوع داده، بهتر است دسته‌بندی آن را نیز بشناسیم. فردریک کالثونر متخصص داده و امنیت در شرکت غیرانتفاعی لندنی Privacy International، داده را به ۳ نوع تقسیم می‌کند. اولین نوع، داده‌ای است که به‌صورت آگاهانه به شرکت‌ها می‌دهیم: نام، آدرس ایمیل، تاریخ تولد. دسته‌ی دوم به‌صورت اتوماتیک مشاهده شده و جمع‌آوری می‌شوند: مکانی که از آن لاگین می‌کنید، زمان لاگین کردن، مکان‌های دیگری که از آنجا به مرور وب می‌پردازید. سومین دسته و دشوارترین دسته برای جمع‌آوری، داده‌هایی است که از داده‌های دیگر مدل‌سازی شده یا پیش‌بینی می‌شوند: تخمین عددی جذابیت یا امانت‌داری شما!
کالثونر معتقد است اکثر شرکت‌ها، داده‌های مدل‌سازی‌شده را داده‌های شخصی نمی‌دانند. کاربران تنها به اطلاعاتی که به‌صورت فعال به اشتراک می‌گذارند، فکر می‌کنند. از طرفی شرکت‌ها نیز تنها همین اطلاعات را در خبرهای خود مدنظر قرار می‌دهند. به‌همین دلیل، بحران کمبریج آنالاتیکا نقطه‌ی عطفی در تاریخ حریم خصوصی شد. در تعریف ساده، کاربران پیش از این حادثه نیز می‌دانستند که داده‌هایشان توسط شرکت‌ها جمع‌آوری می‌شود؛ اما از چگونگی تاثیر آن بر زندگی‌هایشان آگاه نبودند.


وقتی ما تمام اطلاعات ذخیره‌شده از خودمان را از شرکت‌ها درخواست می‌کنیم، آنها تنها داده‌هایی که خودمان در اختیارشان گذاشته‌ایم را ارسال می‌کنند. در نتیجه، آنها نه‌تنها جزئیات تاثیرگذار را حذف می‌کنند؛ بلکه این ایده را پرورش می‌دهند که تنها اطلاعات مورد استفاده، همین موارد ساده هستند.


ما عموما تصور می‌کنیم که اشتراک اطلاعات شخصی، برای دریافت خدمات است. به‌عنوان مثال موقعیت خود را به سرویس نقشه‌ی گوگل می‌دهیم تا آدرس جایی را به ما نشان دهد. اما چگونگی انجام فرآیند روی این اطلاعات مشخص نیست. فرآیندی که با استفاده از محل حضور ما، ترافیک احتمالی و راه‌های بسته‌شده را به کاربران دیگر نمایش می‌دهد. حتما فراموش نکرده‌اید که گوگل حتی در زمان خاموش بودن قابلیت مکان‌یابی نیز کاربران را مکان‌یابی می‌کند.
فیسبوک نیز اخیرا به‌خاطر اقدامی مشابه، مورد حمله‌ی منتقدان قرار گرفت. این شرکت در حال تحقیق برای کشف روشی بود تا احساسات کاربران را دستکاری کند و به‌علاوه، زمان‌هایی که آنها در موقعیت‌های احساسی آسیب‌پذیر هستند را کشف کند. کشف دیگر در مورد این شرکت آن است که آنها، کاربران را از لحاظ اعتبار رتبه‌سنجی می‌کنند و البته مانند همیشه، جزئیات چگونگی این دسته‌بندی را فاش نمی‌کنند. در نهایت باید به این نکته اشاره کنیم که داده، ارز موردتبادل ما در دنیای فناوری است؛ اما خودمان نمی‌دانیم که روزانه چه مقدار از آن را خرج می‌کنیم.





اشتراک‌گذاری داده بین شرکت‌ها

در بخش آخر این مقاله، به پاسخ شرکت‌ها در برابر سوالی ساده از طرف کاربران پرداخته شده است: چه فرد یا شرکت دیگری به داده‌های من دسترسی دارد؟
شرکت‌ها، داده‌های ما را با چه کسانی به اشتراک می‌گذارند؟
به‌عنوان مثال، Evernote فهرستی آنلاین از ۱۷ تامین‌کننده‌ی خود شامل شرکت‌هایی همچون پی‌پال و زن‌دسک دارد. به‌علاوه، توضیح اینکه هر شرکت چه ارتباطی با آنها دارد نیز در این فهرست وجود دارد. در مقابل، تیندر چنین فهرستی ندارد و تنها به این نکته اشاره می‌کند که شرکت‌های دیگر و تبلیغ‌دهندگان اجازه‌ی دسترسی به داده‌های کاربر را دارند. تحقیقات اخیر Deloitte نشان می‌دهد که ۵۶ درصد از شرکت‌ها هنوز سازوکاری برای روشن کردن داده‌های به‌اشتراک‌گذاشته با دیگر شرکت‌ها ندارند یا هنوز تاثیر قانون جدید بر آن را متوجه نشده‌اند. ۱۰ درصد دیگر نیز هیچ اطلاعاتی در مورد هم‌خوانی قوانینشان در این بخش با GDPR ارائه نکرده‌اند.

برت کوهن یکی از شرکای شرکت حقوقی Hogan Lovells در این مورد می‌گوید:
پیش از اجرایی شدن GDPR، شرکت‌ها روندی برای ساختن نقشه‌ای از داده‌های کاربران و مقصد ارسالی آن نداشتند. این قانون موجب شد تا شرکت‌ها نگاهی عمیق‌تر به روند کاری خود و فرآیند‌های انجام‌شده با آن داشته باشند. به بیان دیگر این قانون، انگیزه‌ی آنها را افزایش داد.
پروفسور هادی اصغری نیر در تحقیقات خود به نتیجه‌ای در این مورد نرسیده است. او معتقد است بسیاری از شرکت‌ها، خودشان نیز از مقصد اطلاعات کاربران اطلاع ندارند.


یک نکته‌ی دیگر در این تحقیق،‌ روند تایید هویت شرکت‌ها برای ارائه‌ی اطلاعات شخصی به کاربران بوده است. هیچ‌ روند استانداردی برای این مسئله تعبیه نشده است؛ به‌عنوان مثال Bumble برای تایید هویت، دو سند هویتی را به‌صورت ایمیل درخواست کرده است. این اپلیکیشن، اسنادی همچون گواهینامه‌ی رانندگی، پاسپورت، گواهی تولد و موارد مشابه را پیشنهاد داده است. اسپاتیفای، ۴ رقم آخر کارت اعتباری را درخواست کرده و تاکید کرده است که تمام رقم‌های کارت نوشته نشوند. شرکت‌هایی همچون گوگل، توییتر و لینکدیننیز تنها پس از ورود به حساب کاربری، از خبرنگاران خواسته‌اند که فرم‌های مخصوص درخواست اطلاعات را پر کنند.
روند تایید هویت برای ارائه‌ی اطلاعات شخصی نیز کمبودهایی دارد
روش‌های متفاوت شرکت‌ها در ارائه‌ی اطلاعات شخصی، این نگرانی را ایجاد می‌کند که اطلاعات ما به‌آسانی قابل هک شدن هستند. سوال این است که آیا اگر فردی به ایمیل شما دسترسی داشته باشد یا یکی از حساب‌های کاربری شما را هک کند، شرکت‌ها تمامی داده‌هایتان را در اختیار او خواهند گذاشت؟
جیوان کیم سراتو، مدیر حفاظت اطلاعات، حریم خصوصی و امنیت سایبری در شرکت حقوقی Norton Rose Fulbright در این مورد می‌گوید:
نکته‌ی مهم این است که شرکت‌ها نباید اطلاعاتی بیش از نیاز خود را جمع‌آوری کنند. به‌عنوان مثال اگر کسب‌وکار شما ارتباطی به کپی مدارکی همچون گواهینامه‌ی رانندگی یا عکس پاسپورت‌ ندارد، نیازی به جمع‌آوری آنها ندارید.
کوچک کردن داده‌ها، زیربنای مفهوم حریم خصوصی است. شما باید تنها داده‌هایی را نگهداری کنید که ارزش افزوده‌ای برای کاربر داشته باشد. اگر داده، زمانی ارزش خود را برای کاربر از دست بدهد، نگهداری آن تنها برای شرکت هزینه خواهد داشت.
اظهار نظر این متخصص، رویکردی کاملا جدید در مورد جمع‌آوری داده را پیشنهاد می‌کند. روند عادی شرکت‌ها تا پیش از این بر آن بوده که هرگونه داده یا محتوای قابل دسترسی را (بدون توجه به هدف یا فایده‌ی آن برای شرکت)، جمع‌آوری کنند. سراتو در ادامه توضیح می‌دهد که ذخیره‌سازی داده در حال ارزان شدن است و احتمالا، پاک کردن داده‌ها به‌صورت منظم، برای شرکت‌ها هزینه‌ای بیش از نگهداری همیشگی آنها خواهد داشت.




اما GDPR قصد دارد این هزینه‌ها را برعکس کند. طبق این قانون، هزینه‌ی نگهداری اطلاعات باارزش، در صورتی که شرکت اطلاع دقیقی از فایده و کارایی آنها نداشته باشد، بسیار بالا خواهد بود. البته شایان ذکر است که این قانون هنوز در مراحل اولیه قرار دارد و اجرا کردن آن بر اساس قوانین محلی کشورها و آزمون و خطا، زمان می‌طلبد.
البته کارشناسان معتقدند شرکت‌هایی که خود را در نوک پیکان این قانون می‌بینند، از هر اقدامی برای هماهنگ شدن با آن استفاده می‌کنند؛ اما برخی شرکت‌ها هنوز در مرحله‌ی انتظار مانده‌اند. می‌توان گفت تنها دلیل انتظار آنها، ترس از عواقب اعتراض به قانون است.
متخصصان انتظار دارند که مقامات قانونی ابتدا شرکت‌های بزرگ فناوری، خصوصا آنهایی که به‌صورت مستقیم با مصرف‌کننده در ارتباط هستند را هدف قرار دهند. رسانه‌های اجتماعی، اپلیکیشن‌های موبایل، سرویس‌های سلامتی، تبلیغات و خودروهای خودران و همچنین شرکت‌هایی که بازار هدفشان کودکان هستند.


قانون‌گذاران بحث داده در انگلستان، ایرلند و فرانسه ادعا کرده‌اند که تعداد شکایات در مورد نفوذ داده‌ای، از زمان تصویب GDPR افزایش سریعی داشته است. در ایالات متحده‌ی آمریکا، ایالت کالیفرنیا در این مسیر پیش‌قدم شده و قانون حریم خصوصی دیجیتال را تصویب کرده است که از ژانویه‌ی ۲۰۲۰ اجرایی خواهد شد. این قانون به‌عنوان قدمی بزرگ در پیشرفت حفاظت از داده در آمریکا شناخته می‌شود؛ چرا که هیج قانون جامع و صریحی در این مورد در این کشور وجود ندارد.


در نهایت باید به این نکته اشاره کنیم که مقامات رسمی در مورد جریمه کردن شرکت‌ها، اظهاراتی صریح داشته و عزم خود را جزم‌تر از همیشه نشان می‌دهند. جیوانی بوتارلی سرپرست حفاظت داده‌ی اتحادیه‌ی اروپا در این مورد می‌گوید:
کاملا واضح است که سوءاستفاده از کاربران به روندی عادی تبدیل شده بود. آژانس حفاظت از داده‌ی اروپا که من مدیر آن هستم، برای پایان دادن به این وضع عمل می‌کند. مردم به‌زودی و پیش از پایان سال، نتایج اولیه‌ی این اقدامات را شاهد خواهند بود.
در حال حاضر نگاه افکار عمومی منتظر اولین پرونده‌ی قانونی است که علیه یک شرکت بزرگ فناوری به جریان می‌افتد. آنها منتظرند تا مقدار جریمه‌‌ی آن شرکت احتمالی نیز مشخص شود. به بیان دیگر، این اقدام، بهترین نشانه از اثرگذار بودن قانون GDPR در حفاظت از اطلاعات کاربران در برابر احتکارکنندگان قدرتمند طلای قرن ۲۱ است.