ماذا يحدث للشركات التي تسمح بسرقة بياناتنا الشخصية؟ في معظم الأحيان، لا شيء. فأحياناً تكون هناك موجة قصيرة الأمد من الدعاية السيئة، أو انخفاض قصير في أسعار الأسهم، أو دعوى قضائية جماعية، أو تحقيق لـ«لجنة التجارة الفدرالية» يفضي إلى تسوية مالية أو غرامة. ولهذا، فمن غير المرجح أن تواجه فيسبوك أي عواقب جدية وطويلة الأمد نتيجة خرق أمني أُعلن عنه الشهر الماضي، وطال بيانات حسابات 50 مليون مستخدم.
وللوهلة الأولى، قد يبدو غيابُ عواقب تواجهها الشركات على خلفية خرق للبيانات مشكلةً بديهيةً وشيئاً يمكن إصلاحه بسهولة من خلال التقنين والتنظيم المكثفين على غرار «اللائحة العامة لحماية البيانات» التابعة للاتحاد الأوروبي. غير أنه يتبين أن المشكلة أكثر تعقيداً من ذلك. وهناك تحديان يعوقان ردوداً قانونية وتنظيمية على الخروق: تحديد ما إن كانت الشركة مقصّرة في ممارساتها الأمنية، وتحديد كيفية حساب القيمة المالية لبيانات شخصية مسروقة والأضرار التي لحقت بالأشخاص الضحايا.
لكن حقيقة أن معلوماتك الشخصية سُرقت من إحدى الشركات لا يعني بالضرورة أن تلك الشركة قد قصّرت في تأمين بياناتك وبالتالي تستحق أن تُعاقب. فالخرق الذي تعرض له فيسبوك، مثلا، حدث بسبب ثلاث نقاط ضعف برمجية مرتبطة بأدوات المستخدم المتعلقة بالخصوصية وبتحميل فيديوهات عيد الميلاد. نقاط الضعف هذه قد تبدو مشاكل كان ينبغي على فيسبوك رصدها وإصلاحها مبكراً، لكن كل الشركات تعاني من مواضع خلل مثل هذه في برمجياتها.
ربما قام فيسبوك بكل شيء على نحو صحيح ولم يكن موفقاً بكل بساطة. إذا كان الأمر كذلك، فإن معاقبة الشركة بقسوة سيكون أمراً مجحفاً وغير مجدٍ. لكن من جهة أخرى، إذا تبين أن فيسبوك تجاهل عدة إشارات تحذيرية وفشل في فحص اختبار أدواته الجديدة بشكل صحيح قبل الإفراج عنها، فسيكون من الصائب تماماً أن تواجه الشركة غرامة من أجل تحفيزها على أن تكون أكثر انتباها للجوانب الأمنية مستقبلا.
والواقع أنه من غير المرجح أن تأخذ الحكومة الأميركية زمام المبادرة بشأن التحقيق في ما حدث مع فيبسوك ومعرفة ما إن كان الخرق يستوجب أي عقوبات. ومن الوارد أن يستخدم الاتحاد الأوروبي العقوبات المشددة التي تتضمنها «اللائحة العامة لحماية البيانات» لفرض غرامة على فيسبوك تصل 1.63 مليار دولار؛ غير أنه من شبه المؤكد أن الغرامات الحقيقية ستكون أقل من ذلك بكثير، وذلك على اعتبار أن المنظِّمين سيكونون حذرين خشية رحيل الشركة.
لكن، ماذا ينبغي أن يحدث لهذه الشركات؟ السيناريو المثالي هو أن تواجه مزيجاً من العواقب التي تشمل كلا من الغرامات والتدابير الأمنية التصحيحية. والغرامات ينبغي أن تكون كبيرة بما يكفي لتحفيز الشركة على الاستثمار بشكل أكبر في أمن البيانات وتغطية خسائر زبائنها، لكن ليس بدرجة يستحيل معها تطبيق الغرامات أو تضطر الشركة لمغادرة البلاد.
والحاصل أننا عالقون بين خيارين متطرفين: نظام تنظيمي ضعيف في الولايات المتحدة ونظام قائم على فرض الغرامات في أوروبا يُعتبر قاسياً لدرجة أن المنظِّمين لن يستطيعوا فرض العقوبات القصوى المسموح بها. والحال ألا أحد من هذين النظامين يُحدث التوازن الصحيح والمطلوب بين العقوبات المالية والإجراءات الأمنية التصحيحية. وإلى أن يتحقق ذلك، ستواصل الشركات الإفلات من عواقب حقيقية لخروقاتها.
ينشر بترتيب خاص مع خدمة «نيويورك تايمز»
