راهبرد ملی -|- nationalstrategyمدیریت دسترسی بانک اطلاعاتی حریم خصوصی در کنار شکل‌گیری هر خدمت اینترنتی خصوصی

مدیریت دسترسی به بانک اطلاعاتی و حریم خصوصی

حقوق دسترسی به اطلاعات، یک حق فردی است که همه افراد جامعه از آن برخوردارند و در برخورداری از این حق، ترجیحی بین اشخاص مختلف وجود ندارد. درکنار مزایا و فرصت‌های ایجادشده به‌واسطه حق دسترسی به اطلاعات که از آن جمله می‌توان به کاهش هزینه‌ها، افزایش کارایی، اثربخشی سازمانی و صرفه‌جویی در منابع انسانی اشاره کرد، در عین‌حال باید تهدیدات و آسیب های این سیاست را هم در نظر داشت.

از زاویه دیگر به اشتراک‌گذاری و استفاده از اطلاعات شخصی شهروندان، توسط افراد و سازمان‌ها، ممکن است موجب نقض حریم خصوصی افراد گردد. در حقیقت به این نکته باید توجه شود که دقیقاً چه اطلاعاتی منتشر می­ شود و چه افرادی به آن دسترسی دارند. طبق اصول مدیریت دسترسی، می­ بایست به فرد ذی­صلاح و یا سامانه­ ی مجاز، اجازه دسترسی به منابع صحیح، در زمان یا مکان مناسب و به دلایل معتبر داده شود؛

در کنار شکل‌گیری هر خدمت اینترنتی خصوصی یا دولتی، به‌خودی‌خود یک بانک اطلاعاتی ایجاد می‌شود و با گذشت زمان و با دریافت و ذخیره‌سازی اطلاعاتِ مشتریان، این اطلاعات کامل می‏ شود و با توسعه و تجمیعِ اطلاعات ارزش آن نیز افزایش می یابد و با پردازش ماشینی این داده‏ ها، اطلاعات جدید و یافته‏ هایی حاصل می‏ شود که از سه وجه، دارای اهمیت است:

1. حراست و حفاظت از اطلاعات در برابر حملات سایبریِ
2. نظارت بر چگونگی حسن ‌استفاده از این داده‏ ها و حفظ حریم‌خصوصی در برابر دسترسی افراد غیرمجاز
3. بهره‌برداری مجاز از این داده‏ ها

در این گزارش، مقصود آن است که به‌صورت مختصر به ابعادِ اشتراک‌گذاری داده در فضای مجازی، از منظر حریم خصوصی پرداخته شود و تمرکز ویژه بر حاکمیت داده و تدوین نظام حاکمیت داده ملی شود.

طیف داده‌ها از منظر اشتراک‌گذاری

شکل 1- طیف داده‌ها از منظر به اشتراک‌گذاری (ODI ,2017)

سه دسته داده از بُعد به اشتراک‌گذاری باید مدنظر قرار گیرند که در شکل 1 نمایش داده شده است و عبارت‌اند از:

• داده‌های باز (Open Data): داده‌ه ایی هستند که هیچ‌گونه محدودیت و ریسکی برای دستیابی به آنها متوجه فرد یا سازمان نیست.
• داده‌های بسته (Closed Data): داده‌هایی هستند که صرفاً در اختیار یک فرد یا سازمان مشخص قرار دارد و دیگران اجازه دسترسی به آنها را ندارند، مگر با رضایت قبلی مالک داده.
• داده‌های به اشتراک‌گذاشته شده (Shared Data): داده‌هایی هستند که بین دو یا چند گروه و سازمان به اشتراک گذاشته‌ شده‌اند. بخشی از این داده‌ها که حساسیت کمتری دارند، با آزادی عمل بیشتری به اشتراک گذاشته می‌شوند، اما بخشی دیگر، تنها در اختیار گروه‌های خاص است که بر اساس توافقات انجام‌شده از طریق مجوزدهی به این گروه‌ها، اجازه دسترسی داده می‌شود.

لازم به ذکر است در طیف های مذکور، داده‌های به اشتراک‌گذاری‌ گذاشته می شود که نیازمند سیاست‌گذاری و برنامه‌ریزی است. برای این سیاست‌گذاری، باید از دو رویکرد متفاوت و در عین‌حال وابسته به یکدیگر بهره گرفت:

رویکرد اول؛ استفاده از نظام مدیریت هویت و دسترسی برای داده است که باید مشخص باشد چه افرادی به چه داده‌هایی با چه هدفی و تا چه زمانی حق دسترسی دارد. در این زمینه لازم است تا از مرجعِ ممیزی بهره گرفته شود.

رویکرد دوم؛ طراحی و پیاده‌سازی یک نظام حاکمیت داده ملی است که فرآیندهای مرتبط با حاکمیت و مدیریت داده در سه سطح راهبردی، مدیریتی و عملیاتی مدنظر قرار می‌گیرد.

مدیریت دسترسی به بانک اطلاعاتی و حریم خصوصی

ابعاد مختلف اشتراک‌گذاری داده و دسترسی به اطلاعات

شکل 2 – مؤلفه‌های به اشتراک‌گذاری داده

درحالت کلی عوامل اصلی موفقیت به اشتراک‌گذاری داده به سه‌بخش تقسیم می­ شود (شکل2) این عوامل عبارت‌اند از:

• ارزش افزایی: هدف به اشتراک‏گذاری داده، اساساً ایجاد ارزش برای بخش دولتی، بخش خصوصی (کسب‌وکارها) و کلیه افراد جامعه است.
• ایجاد اعتماد عمومی: برای همه افراد، این موضوع حائز اهمیت است که تنها در صورتی اشتراک‏ گذاری داده صورت پذیرد که امنیت و حریم خصوصی افراد به مخاطره نیفتد و نیز فرآیندهای به اشتراک­ گذاری داده شود که در عین شفافیت اجرا شود و نسبت به اجرای این فرآیندها، احساس امنیت وجود داشته باشد. در یک‌کلام، اخلاقیات در فرآیند به اشتراک‏ گذاری داده، حفظ گردد.
• اعمال حاکمیت: در حوزه به اشتراک‏ گذاری داده به‌معنای راهبردی آن، قانون­گذاری، رگلاتوری، ممیزی، رصد، نظارت دائم بر چگونگی به اشتراک‏ گذاری داده و اطلاعات است. و عوامل متعددی بر اشتراک‏ گذاری داده تأثیرگذار هستند. اما عوامل حریم خصوصی نسبت به سایر عوامل ارجحیت دارد، لذا نگرش این حقوق در اشتراک‏ گذاری داده­ ها یکی از مهم‌ترین حوزه‌های حاکمیت در این زمینه است (شکل3).

شکل 3 – اهمیت نگرش حریم خصوصی در اشتراک‏ گذاری داده.

این واقعیت را باید پذیرفت که قانون‌گذاری و مدیریت دسترسی به اطلاعات در فضای مجازی، موضوعی پیچیده و چندوجهی است. بسیاری از قوانین به دنبال بافتار زدایی^[1] از داده‌ها هستند که ظاهراً حریم خصوصی افراد را حفظ می‌کند. اما واقعیت آن است که این امکان وجود دارد تا داده‌ها و اطلاعات، بافتاردهی مجدد^[2] شده و حتی اطلاعاتی با ارزش‌تر از گذشته در بافتار مورد نظر به‌دست آید. در حقیقت اشتراک‏ گذاری داده، مثل یک کوه یخ است که معمولاً بخش‌های قابل‌رؤیت آن مدنظر قرار می‌گیرد، غافل از اینکه محتوا می­تواند باعث شناسایی و شکل‌دهی به بافتار گردد.

به‌منظور توضیح بیشتر، می‌توان فرآیند به اشتراک‏ گذاری داده و اطلاعات یا به عبارت بهتر، زنجیره ارزشِ اشتراک‏ گذاری داده را طبق شکل 4 ترسیم نمود.

شکل 4 – زنجیره ارزش به اشتراک‏گذاری داده

خروجی این زنجیره منافع و ارزش‌افزوده‌ای است که برای مردم، کسب‌وکارها به همراه دارد. در این بخش نتایج اولیه مورد انتظار از اشتراک ‏گذاری داده، محقق می‌شود و ظاهراً این زنجیره پایان‌یافته است. اما بخش مهم دیگری از این زنجیره که نتیجه یا اثرات اشتراک‏ گذاری داده است نادیده گرفته می‌شود. این اثرات اغلب بلندمدت و نامحسوس است و تأثیرات حاکمیتی را شامل می ­شود.

برای حل چالش­ های مرتبط با اشتراک ‏گذاری داده و اطلاعات، شکل‌گیری نظام اکوسیستمی حاکمیت داده ملی ضرورت دارد. لازم است، نسبت به طراحی و اجرای اکوسیستم حاکمیت داده ملی اقدام شود.

نظام حاکمیت داده­ ی پیشنهادی، چهار بخش را شامل است:

بخش اول؛ حاکمیت نظام دسترسی آزاد به اطلاعات

در این بخش کلیه دستگاه‌ها و نهادهای دولتی که طبق قانون دسترسی آزاد به اطلاعات، داده‌ها و اطلاعات سازمانی را در دسترس عموم قرار می‌دهند مدنظر قرار می‌گیرند.

بخش دوم: حاکمیت داده‌های به اشتراک ­گذاری شده در بخش خصوصی و دولتی

در این بخش کسب‌وکارهای خصوصی و استارت‌آپ‌ها با یکدیگر یا با بخش‌های دولتی داده­ هایشان را به اشتراک‏ می‌گذارند.

بخش سوم؛ حاکمیت داده‌های اشتراک‏ گذاری شده در سطح دولت از طریق دولت الکترونیک و سامانه‌هایی نظیر GSB[3] 

بخش چهارم، حاکمیت داده‌های به اشتراک‏ گذاری شده در داخل هر سازمان یا دستگاه

بدیهی است که حاکمیت داده در این بخش با توجه به تسلط نسبی سازمان به داده‌ها، دشواری کمتری دارد. در واقع، اگر این چهار بخش، در قالب یک طیف در نظر گرفته شود، هر چه به سمت بخش اول پیش رفته شود، ریسک‌های اشتراک‏ گذاری داده افزایش یافته و بدیهی است اهمیت حاکمیت داده‌ها نیز بیشتر می‌شود. بر این اساس چهار بخش اشاره‌شده را می‌توان در قالب شکل 5 سطح‌بندی نمود.

شکل 5 – سطوح نظام (اکوسیستم) حاکمیت داده و اطلاعات

مدیریت دسترسی به بانک اطلاعاتی و حریم خصوصی

پیشنهاد‌ها

پیشنهاد می ­شود به زنجیره­ ی اشتراک‏ گذاری داده به‌صورت کامل نگریسته شود و به اثرات بلندمدت این موضوع با رویکرد حریم خصوصی و حاکمیتی توجه ویژه شود.

بر اساس پیچیدگی‌های عنوان‌شده، به‌صورت خلاصه، چالش‌های حوزه اشتراک ‏گذاری داده و اطلاعات در سه حوزه مفهوم شناسی، حریم خصوصی، قانون‌گذاری و رگلاتوری قابل‌تقسیم است و توجه به هر بخش با توجه به اهمیت آن ضرورت دارد:

• حوزه مفهوم شناسی به اشتراک‏ گذاری داده و اطلاعات
  • بومی‌سازی استانداردهای جهانی برای به اشتراک ‏گذاری داده؛
  • افزایش قدرت تحلیل داده‌ها و اطلاعات با فناوری‌هایی نظیر هوش مصنوعی و محاسبات کوانتومی بهره‏برداری اطلاعاتی از داده‏های به اشتراک ‏گذاری شده؛
  • آموزش و ترویج فرهنگ مدیریت ریسک (در سطح حاکمیت، دولت و سازمان)؛
  • لزوم تدقیق مفهوم آزادی اطلاعات (تقابل منافع افراد و منافع ملی) و ریسک ذاتی به اشتراک ‏گذاری داده؛
  • لزوم تعریف یا بازتعریف دقیق داده و اطلاعات شخصی و غیرشخصی، داده‌های حساس و حریم خصوصی؛
  • لزوم تفکیک بین داده، فراداده، اطلاعات، اسناد و سوابق، مشخصات افراد.
• در نظر گرفتن الزامات حریم خصوصی در ورود به سامانه‌ها (مانند احراز هویت چندعاملی)
  • آموزش و ترویج فرهنگ استفاده بهینه از فن آوری به صورت عمومی
  • ایجاد بسترهای تعاملی سالم و تعریف شده اجتماعی
  • ایجاد بسترهای اطلاع، پیگیری و رسیدگی سو استفاده از اطلاعات شهروندان
  • ترویج و اطلاع رسانی حقوق شهروندان در زمینه اطلاعات موجود در بانک های اطلاعاتی
• حوزه قانون‌گذاری و رگلاتوری
  • بازنویسی برخی قوانین و مقررات و شفاف‌سازی تعاریف پایه؛
    • قانون دسترسی آزاد به اطلاعات
    • لایحه صیانت از داده‌های شخصی
    • دیگر قوانین مرتبط با این حوزه
  • حل تناقضات قانونی و رگلاتوری حوزه به اشتراک‏ گذاری داده و اطلاعات؛

 [1] De-contextualizing

داده‌های بافتاری یا زمینه­ ای معمولا به داده­ های پیرامون داده محتوای اصلی (یا فرا داده) اطلاق می ­شود. بعنوان مثال: زمان ارسال یا دریافت، ابزار مورد استفاده، آی­ پی فرستنده، میزان محرمانگی، طبقه ­بندی، نوع فرمت، نوع رمزنگاری، محل ارسال، تعداد گیرندگان، اندازه پیام، روش جمع­ آوری و… در واقع بواسطه داده­ های زمینه­ ای، داده معنای واقعی و حقیقی خود را می ­یابد و باعث شناسایی دقیق هویت موجودیت مرتبط با داده می­ شود. با حذف بافتار، امکان درک و شناخت همه جانبه نسبت به داده از بین می ­رود. معمولا قانون­گذاری حاکمیت سعی در حفظ حریم خصوصی با حذف اطلاعات بافتاری می ­نماید (گمنام سازی مالک اصلی اطلاعات). اما امروزه با استفاده از هوش مصنوعی و الگوریتم­ های تحلیل عمیق دادگان عظیم امکان دسترسی به اطلاعات بافتاری مالک اصلی داده وجود دارد که حتّی از ارزش اطلاعاتی بالاتری نسبت به محتوای خود داده برخوردار است .

[2] Re-contextualizing

[3] Government Service Bus (GSB)