امنیت ملی چگونه با امنیت داده گره می خورد
به گزارش خبرنگار مهر، شاید ۲۰ سال قبل کسی تصور نمیکرد آنچه میخوریم، چه زمان میخوابیم و بیدار میشویم، از کجا خرید میکنیم، برند پنیر صبحانه مورد علاقه مان و … چیست یا روزهای تعطیل در کجا تفریح میکنیم، چنان اهمیتی بیابد که کشورها برای محفوظ نگه داشتن آنها مجبور به وضع قوانینی شوند.
دادههای شخصی به ظاهر ساده امکان ارائه تبلیغات هدفمند و حکمرانیهای جدید را فراهم میکنند و به منبع سود سرشاری برای شرکتهای بزرگ فناوری و اعمال حاکمیت تبدیل شده اند.
در سالهای اخیر و در پی رسواییهای متعدد شرکتهای بزرگ فناوری در خصوص سواستفاده از اطلاعات کاربران و همچنین اهمیت یافتن امنیت دادههای کاربران و عدم دسترسی کشورهای متخاصم به دادههای کاربران، کشورهای مختلف جهان سعی دارند جریان انتقال داده به خارج را کنترل و شرکتهای فناوری را وادار کنند آنها را داخل کشور ذخیره کنند. برخی دیگر نیز توافقنامههایی برای این جریان، شیوه استفاده و موارد استفاده آن تعیین کرده اند.
درهمین راستا آنچه در زیر میخوانید بخشی از اقداماتی است که کشورهای مختلف برای قانونمندسازی جریان اطلاعات کاربرانشان به خارج از کشور انجام داده اند:
محدودسازی دسترسی آمریکا به دادههای اروپا
اتحادیه اروپا در سالهای اخیر در زمینه تصویب قوانین مخصوص حفاظت از حریم خصوصی کاربران بسیار پیشرو بوده است. یکی از این موارد نیز ذخیره دادههای کاربران اروپایی داخل منطقه و عدم انتقال آن به آمریکا بوده است.
در همین راستا در جولای ۲۰۱۶ میلادی چهارچوب « Privacy Shield» را تصویب کرد و تحت آن جریان داده کاربران اروپایی به شرکتهای تأیید شده در آمریکا منتقل میشد. اما در جولای ۲۰۲۰ میلادی دیوان دادگستری اتحادیه اروپا این چهاچوب را لغو کرد. بنابراین Privacy Shield یا سپر حریم خصوصی دیگر مکانیزمی مناسب برای انتقال دادههای کاربران اروپایی به آمریکا نبود.
این درحالی بود که شرکتهای فناوری بزرگ از جمله متا برای تبلیغات هوشمند و کسب وکار خود به شدت به این دادهها نیاز داشتند و سعی کردند با لابیهای مختلف از مسدودسازی آن جلوگیری کنند.
پس از آن مذاکرات بین کمیسیون اتحادیه اروپا و دولت آمریکا آغاز شد تا توافقنامهای جایگزین چهارچوب مذکور شود که مورد تأیید دیوان دادگستری اتحادیه اروپا نیز باشد. در نهایت در مارس ۲۰۲۲ میلادی اتحادیه اروپا و ایالات متحده آمریکا اعلام کردند درباره اصول اولیه چهارچوب «حریم خصوصی ترنس آتلانتیک» به توافق رسیده اند.
چهارچوب جدید که در ماه مارس اعلام شد به دنبال بررسی نگرانیهای حریم خصوصی است که دادگستری اتحادیه اروپا در ۲۰۲۰ و پس از ملغی کردن پروتکل قبلی به نام « Privacy shield framework» اعلام کرده بود.
در اکتبر سال جاری نیز جوبایدن رئیس جمهور آمریکا دستوری اجرایی مبنی بر افزایش اقدامات ایمنی برای فعالیتهای اطلاعاتی ایالات متحده آمریکا امضا کرد. همراه آن، قوانینی که در ماه مارس درباره آنها توافق شده بود نیز وارد مرحله اجرا شد. برهمین اساس اتحادیه اروپا یک پیش نویس چهارچوب جدید ارائه و فرایند خاص خود را اجرا میکند.
هدف این چهارچوب برطرف کردن نگرانیهای دادگستری اتحادیه اروپا(CJEU) است که به ملغی شدن توافق قبلی اتحادیه اروپا- آمریکا برای انتقال دادهها در جولای ۲۰۲۰ میلادی منجر شد.
چهارچوب جدید اقدامات حفاظتی بیشتری برای محدود کردن دسترسی آمریکا به دادههای خصوصی شهروندان اروپایی درنظر میگیرد و به ساکنان این منطقه اجازه میدهد تا از طریق یک دادگاه مستقل بررسی حفاظت از داده خواستار غرامت شوند.
قوانین جدید و بندهای الزام آور، دسترسی مقامات اطلاعاتی آمریکا را به دادههای مورد نیاز و متناسب با حفظ امنیت ملی محدود میکند. همچنین سازمانهای اطلاعات باید فرایندهای خاصی را در پیش بگیرند تا بر اجرای استانداردهای جدید حریم خصوصی و آزادیهای مدنی نظارت شود.
یک سیستم تنظیم شکایت دوطبقه ای مستقل از جمله دادگاه بررسی حفاظت از داده اید درباره شکایات شهروندان اروپایی درباره دسترسی مقامات اروپایی به دادههای خصوصی آنها ایجاد شود.
در این میان و پس از خارج شدن انگلیس از اتحادیه اروپا گمانه زنیهای متعددی درباره وضعیت انتقال دادههای کاربران این کشور توسط شرکتهای آمریکایی به وجود آمد. شرکتهای آمریکایی به خصوص فیس بوک نگران شیوه انتقال این داده بودند.
از سوی دیگر در ۲۱ جولای ۲۰۲۲ میلادی دولت انگلیس اعلام کرد توافقنامهای با دولت آمریکا به نام «توافقنامه دسترسی داده» امضا کرده که از ۳ اکتبر ۲۰۲۲ میلادی اجرایی میشود.
چهارچوب جدید که «سپر حریم خصوصی»(Privacy Shield) نامیده میشود یک مکانیسم انتقال داده معتبر تحت قانون اتحادیه اروپا است.
آمریکا و جدال داده در یک اپلیکیشن چینی
شرکتهای آمریکایی برای انتقال دادههای کاربران انگلیسی و اروپایی به کشور خود با قوانین سختگیرانه ای روبرو هستند. این درحالی است که مقامات این کشور نیز در موارد مختلف از انتقال دادههای کاربران به کشورهای دیگر به خصوص چین ابراز نگرانی کرده و آن را یک مسئله امنیت ملی قلمداد کرده اند. یکی از مثالهای این امر جدال رئیس جمهور پیشین آمریکا با اپلیکیشن چینی تیک تاک بود.
تیک تاک یک شبکه اجتماعی چینی برای اشتراک گذاری ویدئوهای کوتاه است که وسعت محبوبیت آن حتی از فیس بوک و اینستاگرام نیز در حال پیشی گرفتن است.
اما این شرکت نیز با چالشهای متعددی در سراسر جهان روبرو است که یکی از آنها ذخیره اطلاعات کاربران آمریکایی در سرورهایی واقع در چین است.
در زمان ریاست جمهوری دونالد ترامپ، این شبکه اجتماعی محبوب با حدود ۱۰۰ میلیون کاربر در آمریکا با محدودیتهایی روبرو شد. زیرا دولت آمریکا ادعا میکرد اطلاعات کاربران ممکن است در اختیار مقامات چینی قرار گیرد و از آنها سواستفاده شود.
حتی ترامپ قصد داشت این شرکت را وادار کند کسب و کار خود را در آمریکا به یک شرکت داخلی بفروشد و دستور عدم فعالیت این شبکه اجتماعی نیز صادر شد. اما تیک تاک همچنان برعدم انتقال دادههای آمریکایی به چین و مقامات دولتی تاکید داشت.
این درحالی است که تیک تاک قبلاً اطلاعات کاربران آمریکایی را در مراکز داده خود واقع در ایالت ویرجینیا و یک نسخه بک آپ آنها را در سنگاپور ذخیره میکرد.
۲ سال قبل یک پنل امنیت ملی در آمریکا به بایت دنس (شرکت مادر تیک تاک) دستور داد سرمایه گذاری در شاخه آمریکایی اپ را متوقف کند.
در سال جاری میلادی تیک تاک اعلام کرد اطلاعات کاربران آمریکایی را به سرورهای داخل این کشور منتقل میکند. به این ترتیب تیک تاک دادههای خصوصی کاربران آمریکایی را از مراکز داده خود پاک میکند و به طور کامل به سرورهای شرکت اوراکل در آمریکا انتقال خواهد داد.
امنیت دادهها خط قرمز چین
چین یکی از کشورهای پیشرو در زمینه انتقال دادههای کاربرانش به خارج از کشور است. اداره فضای مجازی این کشور چندی قبل پیش نویس قانونی را منتشر کرد که شامل شرکتهایی میشد که اطلاعات بیش از یک میلیون کاربر را جمع آوری میکنند و به خارج میفرستند. طبق این قانون شرکتها باید در زمینه انتقال دادههای کاربران گزارشی فراهم کنند و برای بررسی امنیتی به رگولاتوری چین ارائه دهند.
علاوه بر آن باید ماهیت اطلاعات خصوصی جمع آوری شده نیز ارزیابی و همچنین مشخص شود آیا اطلاعات مذکور پس از انتقال به خارج از کشور باید همچنان تحت حفاظت باقی بمانند یا خیر.
لایحه مذکور روشهای کنترل دادههای خصوصی توسط واحدهای فراوری داخلی و دریافت کنندگان خارجی را نیز پوشش میدهد.
در حقیقت لایحه جدید برای تقویت یک قانون امنیت داده طراحی شده که سال گذشته میلادی اجرا شد. براساس قانون مذکور تمام شرکتهای فعال در چین باید دادههایی که کنترل میکنند را در چند دسته بررسی و بر شیوه ذخیره سازی و انتقال آنها به طرفهای دیگر نظارت داشته باشند.
طبق این قانون تاییدیه دریافتی از سوی شرکتها دوسال اعتبار دارد و ۶۰ روز قبل از اتمام آن لازم است تا بازبینی امنیتی مجدد انجام شود.
سازمانها نیز برای انتقال دادههای اصلی و دادههای مهم به خارج از کشور باید از طریق مکانیسمی خاص تاییدیه دریافت کنند.
طبق آخرین اخبار موجود در این زمینه قانون مذکور از سپتامبر سال جاری برای انتقال دادهها به خارج از مرزهای کشور چین اجرا شده است.
علاوه برآن بر اساس این مقررات اگر «اپراتورهای زیرساخت اطلاعات حیاتی» یا هر شرکت دیگر نیاز به انتقال دادههای مهم داشته باشند باید مهر تأیید ناظر اینترنت را داشته باشند.
روسیه و اهرم جریمه مالی برای حفاظت از دادههای ملی
روسیه یکی دیگر از کشورهایی است که سعی دارد جریان اطلاعات کاربران داخلی را که شرکتهای فناوری خارجی به خارج از مرزهایش انتقال میدهند، کنترل کند. طبق قانون فدرال روسیه، شرکتهای خارجی باید دادههای شهروندان این کشور را برای ثبت و جمع آوری در مخازنی ذخیره کنند که در حوزه این کشور قرار دارد.
این الزام بسیار کلی است و شرکتهای محلی و خارجی را شامل میشود که دادههای شهروندان روسی را جمع آوری میکنند. البته این قانون فقط چند استثنا محدود دارد. به عنوان مثال اگر فراوری دادههای خصوصی یک کاربر برای اجرای یک پیمان بین المللی با روسیه لازم باشد، در این صورت قانون مذکور کارآمد نخواهد بود. برهمین اساس اطلاعاتی که برای رزرو بلیت هواپیما ارائه میشود لازم نیست به طور محلی ذخیره شود.
از سوی دیگر روسیه سعی دارد شرکتهای خارجی را به هر روی که میتواند وادار به ذخیره دادههای کاربران داخل مرزهایش کند.
درهمین راستا واتس اپ و اسنپ (مالک اسنپ چت) را به دلیل سرباز زدن از ذخیره دادههای کاربران روسی داخل این کشور به ترتیب ۱۸ و یک میلیون روبل جریمه کرد. از سوی دیگر گوگل نیز به دلیل سرپیچی از این قانون ۱۵ میلیون روبل جریمه شده است.
سرورهای محلی آمازون، اپل و مایکروسافت در هند
در همین حال دولت هند نیز مشغول تهیه و تنظیم قوانینی است تا از شرکتهای تهیه کننده اینترنت و خدمات اینترنتی بخواهد اطلاعات کاربران را در سرورهایی داخل کشور ذخیره کنند. در همین راستا اخیراً دولت این کشور لایحهای که در سال ۲۰۱۹ برای حفاظت از داده و حریم خصوصی به پارلمان کشور ارائه کرده بود را پس گرفت و اعلام کرد مشغول تهیه یک قانون جامع جدید است.
قانون سال ۲۰۱۹ سختگیریهای متعددی بر جریان انتقال دادههای کاربران به خارج از مرز کشور پیشنهاد کرده بود و به دولت هند اختیاراتی میداد تا دادههای کاربران را از شرکتها بخواهد.
دولت تصمیم دارد لایحه جدید را تأیید و تا اوایل ۲۰۲۳ میلادی به قانون تبدیل کند.
یکی از اهداف هند در این زمینه کمک به سازمانهای مجری قانون است تا هنگام تحقیقات به اطلاعات دسترسی داشته باشند. در صورتی که چنین قانوین تصویب شود شرکتهای بزرگ مانند اپل، آمازون و مایکروسافت باید سرورهای محلی در هند بسازند.
شرکتهای فناوری موظف به تأسیس دفتر در ویتنام
یکی از کشورهای آسیایی که اخیراً در این زمینه قانونی وضع کرده ویتنام است. دولت این کشور به شرکتهای فناوری دستور داده، اطلاعات کاربران را به صورت محلی ذخیره و علاوه بر آن دفاتری محلی نیز راه اندازی کنند.
این قوانین برای مبنای حکمی جدید در آگوست ۲۰۲۲ میلادی صادر شد و طبق آن شبکههای اجتماعی مانند گوگل، فیس بوک و اپراتورهای مخابراتی موظف به رعایت آن هستند.
برهمین اساس دادههای همه کاربران اینترنت از سوابق مالی و دادههای بیومتریک گرفته تا اطلاعات قومیتی و دیدگاههای مردمی یا هر دادهای که کاربران هنگام گشت و جستجو در اینترنت ایجاد میکنند باید داخل ویتنام ذخیره شود.
شرکتهای خارجی پس از دریافت دستورالعملهای وزیر امنیت عمومی ویتنام ۱۲ ماه فرصت دارند دفاتر ذخیره سازی و نمایندگی دادههای محلی را راه اندازی کنند.
تاکید به حفاظت از دادهها در قانون اساسی کره جنوبی
حریم خصوصی و حفاظت از داده هم اکنون یک عامل مهم در کنترل جریان دادهها در خارج از مرزهای کره جنوبی به شمار میرود. این کشور در ژوئن ۲۰۱۷ میلادی به سیستم قوانین حریم خصوصی خارج مرزی(CBPR) پیوسته که مربوط به سازمان همکاریهای اقتصادیه آسیا و اقیانوسیه است.
حریم خصوصی و حفاظت از دادهها به طور کلی در مواد ۱۶،۱۷ و ۱۸ قانون اساسی کره جنوبی تاکید شده اند.
طی ۲۰ سال گذشته چند قانون درباره حفاظت از دادهها در کره جنوبی اجرا شده اند که جریان داده تحت تأثیر آنها قرار دارد. کره جنوبی قانون حفات از اطلاعات خصوصی(PIPA) را در مارس ۲۰۱۱ میلادی اجرا کرد. این قانون قرار بود قانون کلی حفاظت از دادههای خصوصی و عمومی در کره جنوبی باشد. اما قانون دیگری به نام «قانون شبکه» در سال ۲۰۱۶ وضع شد که تأثیرات وسیعتری روی بخش خصوصی داشت زیرا بر حفاظت از اطلاعات شخصی فراوری شده توسط تهیه کنندگان سرویسهای اطلاعات و ارتباطات در محیطهای اینترنتی تاکید داشت. طبق ۳ بند این قانون که از ۹ ژانویه ۲۰۲۰ میلادی اجرا شده ، PIPA به قانون اصلی حفاظت از اطلاعات تبدیل شده که قانون شبکه را نیز دربر میگیرد.
قوانین حفاظت از داده کره جنوبی از جمله PIPA مانعی برای هر شرکت یا سازمان دولتی است که سعی دارد دادههای خصوصی را به خارج از مرزهای کشور منتقل کند. این دادهها ( به غیر از دادههای شخصی) تحت قوانین نظارت بر مالکیت فکری کره جنوبی قرار دارند. دولت آمریکا و صنایع مختلف معتقدند محدودیتهایی که طبق قانون PIPA بر جریان دادههای غیر خصوصی وضع شده بسیار سختگیرانه هستند.
انتقال دادههای خصوصی براساس دو دسته قانون انجام میشود. نخست فراهم کردن اطلاعات خصوصی برای طرفهای ثالث در سراسر جهان برون سپاری فراوری دادههای خصوصی در خارج از کشور.
در بیشتر موارد فراهم کردن اطلاعات خصوصی برای طرفهای ثالث براساس منافع دریافت کننده داده انجام میشود و از سوی دیگر برون سپاری فراوری این دادهها به نفع انتقال دهنده است.
طبق قانونPIPA شرکتها برای فراهم کردن دادههای خصوصی کاربران برای طرفهای ثالث در خارج از کره جنوبی باید رضایت کاربر را دریافت کنند. برای این منظور کنترل کننده دادههای خصوصی باید فرایندهایی را طی کند که برای اطلاع رسانی درباره احتمال انتقال دادههای آنها به طرفهای ثالث به کار میرود.
در هر دو مورد کاربران باید در این باره هشدار دریافت کنند و بدانند دادههای خصوصی شأن به کجا منتقل میشود و هدف استفاده از دادههای خصوصی چیست.
علاوه بر آن شرکتهای ارتباطاتی برای انتقال دادههای کاربران به خارج از مرزها باید قوانین مهمی را رعایت کنند. تهیه کنندگان این سرویسها اگر قصد فراهم کردن، برون سپاری فراوری یا ذخیره اطلاعات خصوصی کاربران را دارند باید به آنها هشدار دهند و مشخص کنند چه اطلاعاتی از آنها منتقل میشود، به کدام کشور انتقال مییابد، تاریخ انتقال و روشهای آن باید مشخص باشد.
تغییر چشمانداز جهانی حکمرانی داده و توجه به محلیسازی دادهها
در همین زمینه سید رضا حسینی، پژوهشگر حکمرانی فضای مجازی در یادداشتی به مهر عنوان کرده است: «انقلاب چهارم و توسعه شگرف فناوری اطلاعات در عصر حاضر، زمینهساز بروز تحولات شگرفی در بسیاری از مفاهیم بنیادین از جمله ژئوپلیتیک و حریم خصوصی شده است. این روزها، اغلب دولتهای جهان، دادهها را بخشی از ارزندهترین داراییهای ملی تلقی میکنند و از همین رو در پی تنظیم روند خروج دادهها از مرزهای جغرافیایی کشورها و توسعه فرایند محلیسازی دادهها هستند.
علیرغم مزایای قابل توجه انتقال آزاد دادهها برای شرکتهای فناوری چندملیتی، دهها کشور موانعی را برای جریان فرامرزی دادهها ایجاد کردهاند. ایجاد الزام قانونی جهت استقرار دادهها در داخل مرزهای جغرافیایی کشورها، یکی از بارزترین مصادیق تلاش دولتها جهت انطباق خود با تحولات شتابان حوزه فناوری اطلاعات، به شمار میرود.
ایجاد الزام قانونی جهت استقرار دادهها در داخل مرزهای جغرافیایی کشورها، یکی از بارزترین مصادیق تلاش دولتها جهت انطباق خود با تحولات شتابان حوزه فناوری اطلاعات، به شمار میرود بهطورکلی، محلیسازی دادهها، میتواند صراحتاً و به موجب قوانین تدوین شده، محقق شود یا از طریق سیاستهای کلان محدودکننده انتقال داده، به حدی دشوار گردد که عملاً امکان آن وجود نداشته باشد؛ به عبارت دیگر، بسیاری از دولتها، شرکتها ملزم به ذخیره و پردازش دادهها در داخل مرزهای جغرافیایی خود میکنند. در ادامه این نوشتار کوتاه، به بررسی نمونههایی از الزامات محلیسازی دادهها، پرداخته میشود.
نقشه زیر، نشاندهنده کشورهایی است که در حوزه تنظیمگری محلیسازی دادهها وارد شده و اقداماتی در این زمینه داشتهاند. قواعد محلیسازی دادهها به اشکال گوناگونی در کشورهای مختلف جهان، اجرا میشوند. برخی از دولتها، انتقال دادهها به خارج از مرزهای ملی خود را به طور کلی ممنوع کردهاند و برخی دیگر، محدودیتهای جدی برای خروج طیف گستردهای از دادههای حیاتی خود، وضع کردهاند.
اگرچه این روزها و با جدی شدن موضوع تصویب و اجرای قانون بسته خدمات دیجیتال در اتحادیه اروپا، بسیاری از کارشناسان به ناکامی مقررات عمومی حفاظت از دادهها، «GDPR»، اذعان داشتهاند، اما اتحادیه، با مقررات عمومی حفاظت از دادهها، «GDPR»، گامی جدی در عرصه محلیسازی دادههای قاره سبز برداشت. این قانون، وظیفه تنظیم پردازش دادههای شخصی شهروندان اتحادیه اروپا را بر عهده دارد. بر اساس مجموعه قوانین یادشده، همه سازمانها، نهادها و شرکتهایی که اطلاعات شخصی، استخدامی، مالی، سلامت و سوابق پرداخت شهروندان اتحادیه اروپا دریافت و نگهداری میکنند، ملزم به ذخیره ایمن دادهها در داخل مرزهای جغرافیایی این نهاد بینالمللی هستند و اگر در شرایط خاص انتقال داده اجتنابناپذیر باشد، اطلاعات تنها میتواند در اختیار کشورها و سازمانهای مورد تأیید اتحادیه قرار گیرد.
«قانون حفظ حریم خصوصی مصرفکنندگان کالیفرنیا» (CCPA)، به صورت صریح، اشارهای به مسئله محلیسازی دادهها و نحوه ذخیره اطلاعات نداشته است و انتقال داده را در قالب مفهوم عام فروش اطلاعات قرار میدهد؛ بنابراین، طیف گستردهای از اقدامات مانند انتقال، انتشار، افشای اطلاعات در زمره مصادیق فروش داده قرار میگیرند. بنا بر مقررات موجود، فرایند انتقال داده باید به صورت شفاف و با اطلاع صاحبان داده صورت پذیرد. بر همین اساس و مطابق با حقوق مصرفکنندگان، حق اطلاع، دسترسی و اعتراض به انتقال دادهها، برای صاحبان داده، محفوظ است و آنها میتوانند اجازه انتقال داده را ندهند.
آغاز تلاش روسیه برای ورود به عرصه حفاظت از دادههای ملی به ژوئیه سال ۲۰۰۶ بازمیگردد. کرملین قوانین اساسی در زمینه نحوه حفاظت از اطلاعات خود، با عنوان «قوانین حفاظت از داده» (DPA) را در تاریخ ۲۷ ژوئیه ۲۰۰۶، تصویب کرد. بر اساس این قانون، همه اطلاعات شناسایی، دارایی، مالی، سرمایهگذاری و سلامت شهروندان روسیه، در زمره دادههای مشمول این قانون، قرار میگیرد. اگرچه، قوانین روسیه، پردازش دادههای خود در خارج از مرزهای این کشور را به کلی منع نمیکند، اما شرکتها و سازمانها ملزم هستند که حتماً دادهها را به صورت کامل در روسیه ذخیره و بهروزرسانی کنند. این قوانین، شامل حال همه مؤسسات و شرکتهای فعال یا دارای نمایندگی در داخل روسیه و همچنین شرکتهایی که از خارج، در بازار این کشور حضور دارند، میشود؛ بنابراین، هر شرکتی که در روسیه یا با طرفهای روس تجارت میکند ممکن است تحت تأثیر قانون قرار گیرد، حتی اگر در روسیه ثبت نشده باشد.
رویکرد امارات متحده عربی به انتقال دادهها
امارات متحده عربی، با وجود قوانین متعدد در حوزه حفاظت از دادهها، رویکردی متفاوت به مسئله انتقال دادهها دارد. دادههای مدنظر تنظیمگران امارات، اطلاعات هویتی، دارایی، تراکنشهای مالی و سلامت را شامل میشود. بر اساس قوانین موجود، انتقال اغلب دادههای مربوط به این کشور، در صورت اعلام رضایت کتبی ذینفعان جهت انتقال، بلامانع است. این در حالی است که دارندگان مجوز باید اطمینان حاصل کنند که اشخاص ثالث تمام اقدامات معقول و مناسب را برای محافظت از محرمانه بودن و امنیت اطلاعات مشترک انجام میدهند. علاوه بر این، متولی انتقال داده نیز اطمینان حاصل کند که تمام اقدامات معقول برای محافظت از حریم خصوصی اطلاعات، صورت گرفته است.
بااینوجود، اطلاعات مالی شرایط متفاوتی نسبت به سایر دادهها دارند. بر اساس چارچوب مقرراتی برای دادههای مربوط به سیستمهای پرداخت الکترونیکی و سایر اطلاعات مالی، همه اپراتورهای سیستم پرداخت (PSP)، از سوی بانک مرکزی امارات متحده عربی، موظف هستند که همه دادههای کاربران و تراکنشها را منحصراً در داخل مرزهای امارات و پایگاه داده این بانک ذخیره و نگهداری کنند.
محلیسازی دادهها؛ رویکردی جهانی و درحالتوسعه
اگرچه تعاریف متعددی از مفهوم حریم خصوصی در جهان وجود دارد؛ اما اصل موضوع اهمیت حفظ حریم خصوصی، تقریباً از سوی همه دولتمردان جهان، مورد تأیید است. به همین دلیل، آمار قوانین و مقررات تصویب شده در زمینه محلیسازی دادهها، در طول سالهای اخیر، حکایت از رشد محسوس دغدغه یاد شده در میان دولتهای اقصی نقاط جهان دارد.
بیشک وجود این دست قواعد و احترام شرکتها به آنها، حامل دو پیام جدی و اثرگذار برای کاربران است:
- کسبوکارهای فعال در زمینه محلیسازی دادهها، به حریم خصوصی کاربران احترام بیشتری میگذارند.
- کسبوکارهایی که حامی این فرایند هستند، بهتر از دیگر ارائهدهندگان خدمات میتوانند الزامات حفاظت از دادهها و حریم خصوصی را محقق سازند.
این روزها مسئله حفاظت از دادههای ملی حتی برای دموکراتیکترین جوامع غربی نیز به دغدغهای اساسی بدل شده است و هر روز، شرکتهای بیشتری برای تداوم فعالیت خود، ملزم به پیروی از قواعد ملی در زمینه حفاظت از اطلاعات و محلیسازی دادهها میشوند؛ بنابراین، باید انتظار داشت که این روند ادامه یافته و در آیندهای نزدیک، مسئله حفاظت از دادههای ملی به یکی از عناصر کلیدی حکمرانی کشورها در فضای مجازی و حقیقی، بدل شود.»