لماذا لا تحقق لوائح الخصوصية الغرض منها دائماً؟

في البدء، أقرت ولاية كاليفورنيا تشريعاً هاماً للخصوصية في يونيو/حزيران، ثم في أواخر سبتمبر/أيلول، نشرت إدارة ترامب المبادئ الرسمية لمعيار وطني واحد للخصوصية. ولكي لا يظلوا بمنأى عن الأمر، عرض ديمقراطيو مجلس النواب "قانون الحقوق" الخاص بهم المتعلق بالإنترنت في أكتوبر/تشرين الأول.

هذا يعني باختصار، أن لوائح الخصوصية ستكتسح على الأرجح الولايات المتحدة، وهو ما ينبغي أن يمثل خبراً ساراً نظراً لقلة، أو حتى انعدام حقنا في الخصوصية في العصر الحديث. ولكن كل خطوة جديدة لتنظيم البيانات تصاحبها مخاطر جدية؛ فهذه اللوائح يمكن أن تؤدي إلى نتائج عكسية، على سبيل المثال، من خلال ترسيخ شركات التكنولوجيا المهيمنة أصلاً، أو عن طريق الإخفاق في مساعدة المستهلكين في التحكم الفعلي بالبيانات التي ينتجونها (وهو ما يفترض أنه الهدف الرئيسي لأي تشريع جديد).

وهنا يدخل برنت أوزار على الخط.

يدير أوزار شركة استشارات تقنية صغيرة في كاليفورنيا، توفر التدريب وتشخيص الخلل وإصلاحه في نظام إدارة قواعد البيانات المعروف باسم خادم مايكروسوفت "أس كيو أل" (Microsoft SQL Server). يعمل في شركة أوزار فريق مكون من أربعة أشخاص، ولذلك فهي شركة صغيرة الحجم نسبياً، ولكن لديها قاعدة عملاء دوليين صغيرة، أو على الأقل كان لديها قاعدة عملاء حتى بدأت هيئات إنفاذ القانون الأوروبية في مايو/أيار بتطبيق قانون الخصوصية المسمى "اللائحة العامة لحماية البيانات" (GDPR)، والتي يمكن أن تفرض غرامات تصل إلى 4٪ من الإيرادات العالمية.

أعلن أوزار قبل بضعة أشهر من البدء بإنفاذ اللائحة العامة لحماية البيانات الأوروبية، أن هذه الأنظمة اضطرت شركته، على حد قوله، إلى "وقف البيع إلى أوروبا". كتب أوزار أنه يحبذ كمستخدم تلك اللوائح، ولكن كصاحب شركة، لم يكن في وسعه تحمل تكاليف الامتثال لهذه اللوائح، أو مخاطر الوقوع في الخطأ.

ولم يكن أوزار الوحيد الذي اتخذ مثل هذا القرار؛ فحتى الشركات الدولية الكبرى، مثل لوس أنجلوس تايمز وشيكاغو تريبيون، إلى جانب أكثر من ألف موقع إخباري، حجبت أي مستخدم من الدخول إليها من عنوان بروتوكول انترنت (IP) أوروبي، مخافة تحمل تكاليف اللائحة الأوروبية لحماية البيانات.

إذن، ما الذي يجعل لهذه المسألة دوراً رئيساً في الضغط من أجل سنّ قوانين جديدة للخصوصية هنا في الولايات المتحدة؟

لأن شركة أوزار هي مثال على الكلفة الباهظة المترتبة على أنظمة الخصوصية؛ تمثل قوانين الخصوصية، في أحد جوانبها، تكلفة المعاملة المفروضة على جميع تفاعلاتنا مع التقنيات الرقمية. حيث تكون هذه التكاليف ضئيلة أحياناً، لكنها يمكن في أحيان أخرى أن تكون باهظة.

وهكذا وباختصار، فإن قوانين الخصوصية قد تكون خطيرة.

إذن كيف يمكننا التقليل من هذه المخاطر؟

أولاً، وفيما ينظر المشرعون بشكل أكثر جدية تجاه سن قوانين جديدة لحماية الخصوصية في الولايات المتحدة الأميركية، سوف يميلون إلى تطبيق لوائح عامة واسعة بدلاً من إضافة أنظمة محددة إلى المنظومة القانونية. ولكن على الرغم من أنه من الأسهل دائماً، في عالم التكنولوجيا الذي يشهد تطوراً سريعاً، صياغة قواعد عامة بدلاً من توصيات أكثر تحديداً، يجب عليهم تجنب مثل هذ الأمر قدر الإمكان.

يمكن أن تؤدي اللوائح التنظيمية واسعة النطاق، التي تعامل جميع الشركات على قدم المساواة، إلى تشجيع "احتكار البيانات"، حيث سيتمكن عدد قليل من الشركات من الاستفادة من كافة بياناتنا. وبذلك، ستمتلك بعض الشركات الموارد التي تتيح لها الامتثال للقوانين المعقدة والغامضة بشكل كبير، أما الشركات الأخرى (مثل شركة أوزار) فلن تتمكن من ذلك.

وهذا يعني أنه ينبغي أن يكون العبء المتأتي من تطبيق اللوائح المتعلقة بالبيانات متبايناً تبعاً للشركات المختلفة، بحيث لا تكون تكاليف الامتثال متساوية بين الشركات مختلفة الأحجام. ففي ولاية كاليفورنيا، يسعى قانون خصوصية المستهلك لحل هذه المشكلة مباشرةً عن طريق إعفاء قطاعات أعمال محددة؛ مثل العديد من المؤسسات الصغيرة. يجب ألا تمنح تكاليف الامتثال لأي لوائح جديدة مزايا إضافية لشركات التكنولوجيا العالمية المهيمنة أصلاً.

ثانياً، تزداد هيمنة عدد محدود من الشركات باضطراد على نسبة كبيرة من بياناتنا، وهو ما يمثل خطراً كبيراً على خصوصيتنا وعلى الابتكار التكنولوجي على حد سواء. كما يجب أن يُعنى أي قانون جديد للخصوصية بتوفير حوافز للشركات الأصغر حجماً لمشاركة البيانات أو تجميعها حتى تتمكن من التنافس مع الشركات الأكبر التي تعتمد على البيانات.

يتمثل أحد الحلول الممكنة لهذه المشكلة في تشجيع استخدام ما يسمى "تقنيات تعزيز الخصوصية" (PETs)، مثل الخصوصية التفاضلية؛ وهي سمة الحفاظ على الخصوصية عبر إخفاء الهوية (differential privacy)، والتشفير التماثلي (homomorphic encryption)، والتعلم الآلي التجميعي داخل الأجهزة الذكية (federated learning)، وغيرها. تساعد تقنيات تعزيز الخصوصية، التي طالما حبذها المدافعون عن الخصوصية، في الموازنة بين الاستفادة من البيانات من جهة وخصوصيتها وأمنها من جهة أخرى.

وأخيراً، لم يعد يمكن لموافقة المستخدم، وهي الفكرة القائمة على أن يوافق المستخدمون على جمع بياناتهم في وقت معين، أن تلعب دوراً مركزياً في حماية خصوصيتنا. لقد مثّل ذلك جانباً مهيمناً لأطر الخصوصية الرئيسة لفترة طويلة (فكر في كل أزرار "أوافق" التي نقرت عليها للدخول إلى مواقع مختلفة). ولكن في عصر البيانات الضخمة وتعلّم الآلة، لا يمكننا معرفة قيمة المعلومات التي نتخلى عنها في الوقت الذي تُجمع فيه.

تكمن القيمة الكاملة لتعلّم الآلة في قدرتها على تحديد الأنماط على نطاق واسع. ففي أي وقت من الأوقات، يكون ثمن التنازل عن قدر صغير من البيانات ضئيل بالنسبة إلى خصوصيتنا، ولكن بمرور الوقت، يمكن أن يصبح هذا الثمن كبيراً. ومن أحد الأمثلة الكثيرة على هذا الأمر، المثال المعروف لمعرفة متاجر "تارغت" الأميركية الكبرى (Target) بحَمل مراهقة قبل أن تعرف عائلتها بالأمر، وذلك بمجرد الاستناد إلى عادات التسوق لديها.

ونتيجة لذلك، فإن من الخطأ أن نفترض أننا مدركين تماماً للخصوصية التي نتخلى عنها في أي وقت من الأوقات؛ حيث يجب أن يتمكن المستهلك من الاحتفاظ بحقوقه تجاه بياناته حتى بعد فترة طويلة من جمعها، ويجب أن تتضمن هذه الحقوق تحكّمه في كيفية استخدامها.

نحن نواجه الآن مخاطر حقيقية، إلا إذا تمكننا من تكييف القوانين مع التقنيات الرقمية الجديدة بشكل صحيح (وإلا إذا استطعنا من خلال هذه القوانين الموازنة بين تكلفة الامتثال وقيمة حقوق الخصوصية التي تسعى إلى دعمها). إذ يمكن بكل بساطة أن نطبق قوانين جديدة تفشل في الحفاظ على خصوصيتنا، وتعوِّق كذلك استخدام التكنولوجيا الجديدة في الوقت ذاته.