«تنظيم الاتصالات»: مشروع قانون جديد لحماية البيانات الشخصية للمستخدمين

عاطف عبدالله (أبوظبي) تعكف الهيئة العامة لتنظيم قطاع الاتصالات، حالياً، على إعداد مشروع قانون جديد لحماية البيانات الشخصية للمستخدمين في دولة الإمارات، وفق أعلى المعايير العالمية في هذا المجال. وقالت الهيئة في ردها على أسئلة «الاتحاد»، إن القانون الإماراتي الجديد يتكفل بحماية بيانات المستخدمين في الإمارات، وسيكون نطاق تطبيقه داخل الدولة، لينضم بذلك إلى القوانين النافذة في هذا الشأن المعنية بحماية البيانات. وشددت على أن مسؤولية تطبيق بنود قانون حماية بيانات المستخدمين تعود على الشركات والمؤسسات التي تمتلك البيانات أو تخزنها أو تعالجها. وأفادت بأن هذه النوعية من التشريعات تنظم بشكل عام علاقة العمل بين الشركات والمؤسسات التي تعالج وتخزن البيانات، من جهة، وأصحاب تلك البيانات من جهة أخرى، كما أنها توفر مبادئ ومفاهيم من شأنها أن توضح وتيسر أطر العمل والتنسيق. وعما إذا كان القانون الأوروبي لحماية البيانات «GDPR» يفرض تحديات على شركات التكنولوجيا الوطنية، قالت إن بنود القانون تسري على جميع الشركات التي تتداول أو تعالج أو تخزن بيانات متعلقة بمستخدمين ضمن الاتحاد الأوروبي، فنطاق تنفيذها محصور لحماية البيانات المتعلقة بالأفراد والشركات في الاتحاد الأوروبي. وأضافت الهيئة أن هناك تنسيقاً بينها ونظيراتها من المؤسسات ذات العلاقة في الاتحاد الأوروبي وفي العالم بشكل عام، فيما يتعلق بتشريعات حماية البيانات وتداولها، كقانون حماية بيانات المستخدمين الذي دخل حيز التنفيذ في الاتحاد الأوروبي نهاية شهر مايو الماضي. من جانبهم، أكد خبراء في تقنية المعلومات، أهمية وجود قانوني صارم لحماية البيانات الشخصية للمستخدمين في دولة الإمارات، على غرار اللائحة الأوروبية لحماية البيانات GDPR أو قانون الخصوصية الصادر مؤخراً عن ولاية كاليفورنيا الأميركية. وقال هؤلاء لـ «الاتحاد» إن البيانات الشخصية للمستخدم، لم تعتد تقتصر على الاسم والصورة ورقم التليفون كما كان الوضع عند ظهور الإنترنت، بل اتسعت لتشمل البيانات الحيوية مثل بصمة العين والوجه واليد، فضلاً عن البيانات الصحية، بالإضافة إلى موقعه الجغرافي الحالي وأماكن تنقلاته، والعديد من المعلومات الشخصية الأخرى مثل نوعية الأطعمة والمشروبات والملابس والأفلام والكتب والموسيقى، التي يفضلها المستخدم. وأشاروا إلى أن العصر الحالي يتسم بـ «البيانات الضخمة»، والناتجة من خلال الاستخدام المطرد للأجهزة الرقمية، والحاسبات، وكل ما هو متصل بشبكة الإنترنت، خاصة في ظل عصر إنترنت الأشياء والمنازل الذكية، الأمر الذي يتطلب تنظيم استخدام هذه البيانات وحمايتها. انتشار الإنترنت وقال إيهاب خليفة رئيس وحدة التطورات التكنولوجية بمركز المستقبل للأبحاث والدراسات المتقدمة، إنه في بداية انتشار الإنترنت في تسعينيات القرن الماضي وبداية الألفية، ظهرت بعض القوانين التي تحمي بيانات الأفراد عبر الشبكة الدولية، وكانت البيانات في هذه الفترة محدودة تقتصر على الاسم والصورة ورقم التليفون، لكن مع التطورات التكنولوجية المستمرة وزيادة اعتماد الأفراد على التقنيات الذكية، زاد معدل بيانات الأفراد الشخصية التي يمكن الحصول عليها عبر الإنترنت، حيث تمتد لتشمل بيانات الأفراد الحيوية، والصحية، بالإضافة إلى مواعيد عمله ونومه وغذائه، وتحديد شبكة أصدقائه وأفراد عائلته، بصورة تساعد في تكوين رسم تفصيلي عن حياة الفرد اليومية بفضل المعلومات الشخصية المتوافرة عن الفرد على الإنترنت. وأضاف أن البيانات هي أساس العالم الرقمي الحالي، وجمعها ضروري للشركات بهدف تحسين الخدمات التي تقدمها لعملائها، سواء خدمات البحث عن المفضلات أو خدمة الإعلانات، فضلاً عن استخدامها في تطبيقات الذكاء الاصطناعي وتعلم الآلات والسيارات ذاتية القيادة وغيرها، لكن بسبب سوء استخدام الشركات للبيانات الشخصية للأفراد، ما دفع الاتحاد الأوروبي إلى إصدار «اللائحة العامة لحماية البيانات» المعروفة اختصاراً بـ (GDPR) في نهاية مايو الماضي، لرسم إطار عمل واضح وقياسي لأجل التعامل مع بيانات المستخدمين داخل الاتحاد، ليشمل القانون جميع الشركات التي ترغب في التعامل مع مواطني دول الاتحاد الأوروبي أو تتواجد في أرضها. بيد أنه قال، إن هناك عقبات تنفيذية تقف أمام تطبيق اللائحة، أو تجعل منها فخاً للشركات التكنولوجية ستقع فيه قريباً، وذلك بسبب التداخل بين المعلومات الشخصية التي تتطلب إذن من الأفراد للحصول عليها، وبين المعلومات الأساسية المطلوبة للحصول على الخدمة، موضحاً أن الحصول على الموقع الجغرافي للشخص قد يكون أمراً شخصياً وخاصاً، ولكنه في الوقت نفسه ضروري إذا رغب في الحصول على خدمات خرائط جوجل أو خدمات أوبر، فهل من حق الشركة هنا أن تحصل على المعلومات أم لا؟. وأضاف «ما يقلق الشركات هنا أن تحقيق الالتزام الكامل بالقانون غير واضح لها حتى الآن، ولكن القانون مازال في بداية تطبيقه وسوف يحدث تعاون بين الشركات والمشرعين قبل الدخول في مشكلة الغرامات، كما أن هذا القانون سوف يغير ملامح التعامل مع بيانات المستخدمين حول العالم حتى لا تتكرر واقعة Cambridge Analytica أو غيرها من وقائع التسريب أو القرصنة، وفي النهاية فإن القانون هو أول قانون يسعى لحماية البيانات في العصر السيبري، ويمثل نواة حقيقية يمكن البناء عليها والاستفادة منها في بناء إطار قانوني شامل يحفظ للأفراد خصوصيتهم وحقوقهم في مواجهة استغلال الشركات». حماية الخصوصية بدوره، قال ديمتريس رايكوس، المدير العام لدى شركة إسيت الشرق الأوسط، إن حماية البيانات يجب أن تكون جزءًا من أهداف الشركات وليس مجرد رسم تخطيطي شكلي للنظم، فغالباً ما يكون لخرق الإطار القانوني عقوبات شديدة، بالإضافة إلى احتمالية تضرر سمعة الشركة في حالة تسرب البيانات، وهو ما يجبر الشركات على فهم واستيعاب أهمية البيانات وحماية خصوصيتها. وقال إن حوادث القرصنة المختلفة على وسائل التواصل الاجتماعي قد تدفع الحكومات على حماية مواطنيها وإعادة السيطرة على بياناتهم الشخصية، بالإضافة إلى أن وجود تنظيم مشترك بين دول الشرق الأوسط سوف يساعد أيضاً الأعمال التجارية الدولية على المضي قدما تحت مظلة قانون تعامل موحد. وأضاف إذا ما طُبقت لوائح لحماية بيانات المستخدمين في الإمارات والشرق الأوسط، فستكون وسيلة جيدة للغاية لإقامة بعض حملات التوعية لكي يعرف المواطنون والمقيمون حقوقهم ولمعرفة الشركات بمسؤولياتهم. وعن جهوزية الشركات لحماية بيانات مستخدميها، قال رايكوس : إن العام السابق شهد أحداثاً مؤسفة في مجال الأمن السيبراني، مضيفاً أن هذه الحوادث أثرت مالياً على المؤسسات الخاصة والحكومية، ولقد تعلمت المؤسسات بشكل خاص الدرس، وتعد هذه السنة أفضل من ناحية الاستعداد للكشف عن حوادث الأمن السيبراني والاستجابة لها، ومن ناحية أخرى، لا تزال الشركات الصغيرة والمتوسطة تكافح بسبب القيود على الموارد التي يمكن تخصيصها للأمن، وللأسف، لا يوجد نشاط تجاري كبير أو صغير جداً لا يمكن استهدافه فالجميع مستهدف. ونوه بأن الشركات تحتاج إلى التفكير المنطقي والمعتمد على أصولها لكي تتمكن من تحديد ما يلزم تأمينه، مضيفاً أن: الاستعداد للأسوأ دائماً يساعد على تحقيق أفضل مسار للحيلولة دون وقوع الحوادث الأمنية وخروقات البيانات، مرة واحدة أو مرتين في السنة، تحتاج الشركة إلى اختبار استراتيجيتها من خلال محاكاة الحادث، والذهاب خلال خطوات الاستجابة لذلك. وقال إنه في عصر إنترنت الأشياء والمنازل الذكية، يتعين على الأفراد توخي الحذر الشديد لضمان عدم وجود جهاز أو برنامج آمن يحتوي على نقاط ضعف محتملة، وقبل شراء أي جهاز مثل الكاميرات والساعات الذكية وأجهزة الاستشعار وأنظمة إدارة المنزل، يحتاج المستخدمون إلى قراءة سياسة خصوصية الجهاز بعناية وإجراء بحث حول مدى سهولة العثور على البرامج الثابتة للجهاز وترقيتها. وأضاف :في اختبار حديث أجريناه لأجهزة إنترنت الأشياء وجدنا ثغرات أمنية في كل هذه الأجهزة التي قد تجمع أنواعاً مختلفة من البيانات الشخصية بداية مقاييس الجسم والحالة الصحية، إلى الأصوات والعادات، وبالتالي، من المهم جداً أن يكون المستخدم حذراً. قانون العقوبات الاتحادي من جانبه، قال أميت روي، نائب الرئيس التنفيذي والرئيس الإقليمي لأوروبا والشرق الأوسط وأفريقيا، لدى شركة بالاديون، إن اللائحة الأوروبية لحماية البيانات أحد أكثر الإجراءات المتطورة لحماية خصوصية البيانات الشخصية، وأي منطقة، بما في ذلك الشرق الأوسط، يمكن أن تستفيد من تدابير مماثلة لتلك وكذلك حماية خصوصية مواطنيها. وأضاف أن العديد من دول الشرق الأوسط تقدمت بالفعل في إجراءات تتعلق بالأطر القانونية لحماية البيانات، معتبراً أن دولة الإمارات العربية المتحدة لها باع طويل في هذا المجال. وأوضح أن قوانين حماية البيانات الإماراتية تمثل حقاً عاماً في الخصوصية للمواطنين والمقيمين، وعلى وجه التحديد، فإن المادة 378 من قانون العقوبات الاتحادي رقم 3 لعام 1987، تُجرم نشر بيانات شخصية تتعلق بحياة الفرد الخاصة أو العائلية. وقال: مقارنةً بلائحة GDPR، قد لا يضع الإطار القانوني للإمارات حتى الآن نفس الشروط على الشركات لتثبيت تدابير أمنية قابلة للتدقيق لحماية بيانات الأفراد. وعن أكثر القطاعات تأثراً بتطبيق أو سن قانون لحماية البيانات على غرار المعمول بها في أوروبا، قال روي إنها القطاعات التي تتعامل أكثر مع البيانات الشخصية، مثل الرعاية الصحية، وتجارة التجزئة، والخدمات المالية والتمويلية، وبمجرد بدء الشركة في التعامل مع بيانات الأفراد، ستخضع لقوانين حماية البيانات المشابهة لـGDPR، ويشمل ذلك بيانات الموظفين وكذلك بيانات العملاء، وبالتالي معظم الشركات والقطاعات ستصبح خاضعة لتطبيق القانون. وبالنسبة للتحديات التي تواجهها الشركات أثناء توفير حلول حماية البيانات، قال إنه لا يوجد ضمان دائم لحماية أمن البيانات مع وجود تحديات ومتغيرات جديدة كل يوم، فالمؤسسات بحاجة إلى الاهتمام المستمر لمواكبة التغيرات في ظروف العمل والتهديدات. وأوضح أنه حتى إذا كانت المؤسسات والشركات مجهزة بشكل مناسب لمواجهة مخاطر اختراق البيانات والمخاطر الأمنية اليوم، فليس هناك ما يضمن أن يكون هذا هو الحال غداً. وعن النصائح التي يقدمها إلى المستخدمين الأفراد وللمؤسسات من أجل حماية بياناتهم، قال : قارن بين شركتك أو عاداتك الأمنية الشخصية مع أفضل الممارسات. قم بإجراء التغييرات حسب الحاجة. تقييد الوصول إلى المعلومات لمن هم مصرح لهم وإلى أولئك الذين «يحتاجون إلى المعرفة» فقط. حقوق المستخدمين تتيح اللائحة الأوروبية لحماية البيانات GDPR للمستخدمين القدرة على التحكم في بياناتهم الشخصية عبر الإنترنت، تعطيهم الحق في أي وقت طلب حذف بياناتهم فوراً، وطلب معلومات حول أسلوب وسبب تجميع البيانات التي تحوزها الشركة، ولهم طلب نسخ من بياناتهم بتنسيق يمكن قراءته آلياً حتى يتمكنوا من نقله، وعلى الشركات التي تجمع البيانات إذا علمت بحدوث اختراق لها، إخطار العملاء بما حدث في غضون 72 ساعة. وبموجب القانون يحق لجميع مواطني الاتحاد الأوروبي أن يطالبوا الشركات التي تجمع معلومات عنهم، سواء كانت في أوروبا أو خارجها، بمعرفة مجالات استخدام هذه المعلومات، مع الحق في الحصول عليها في أي وقت أو طلب حذفها وعدم استخدامها، والشركات التي لن تستجيب لهذه الطلبات سيتم توقيع غرامات عليها قد تصل إلى مليارات الدولارات.