حماية البيانات الشخصية وأنظمتها برؤية القانون

البيانات والمعلومات أيهما أعلى قيمة في العصر الرقمي؟ 

 إذا تَقَدَّمَ إليكَ شخصٌ يُعرِّفُ عن نَفسِهِ كخبيرٍ في مهنةٍ مُعيَّنةٍ، وأنَّه يَنتَمِي إلى مدرسةٍ علميةٍ مُعيَّنةٍ، ويتمتَّعُ بخبراتٍ عمليةٍ في حقلٍ مُعيَّنٍ؛ فهذه عبارةٌ عن “معلوماتٍ” “Information” يُقدِّمُهَا الشخص عن نَفسِهِ.

أمَّا إذا طَلَبتَ من هذا الشخص بياناتِهِ الشخصية من هويَّتِهِ وشهادَاتِهِ المُعتَمَدَةِ، وقُمْتَ بجَمعِ هذه البيانات، ثم تحليلها، واستقراءِ مدى كفاءة هذا الشخص من خلال نَقلِ بياناتِهِ إلى جهةٍ خبيرةٍ بالموارد البشرية مثلاً، وجاءت النتيجة بأنَّ هذا الشخص مُتَوَسِّطُ الإمكانيات؛ فهذا ما يُسمَّى بجَمعِ ونَقلِ ومُعَالَجِةِ “البيانات” “Data”.

فإذاً، البيانات هي المادة الخام للمعلومات، وهي التي تَسمَحُ للشخص بتنفيذ عملية تقييمٍ جديدةٍ، دون أيّ معلوماتٍ جاهزةٍ، لذا فإننا نُخلص إلى أن البيانات هي إحدى المُمكّنات الرقمية لمستقبل الأعمال في تحسين نتائجها، والحكومات التي تسعى إلى تعزيز كل عوامل التنمية لتحقيق مكانه استراتيجية بامتطاء صهوة البيانات. 

كيف أصبحتْ البيانات جُزءَاً من الرؤى التنموية الاستراتيجية للدول؟

إذا رَغِبَتْ أية دولةٍ بتَطوِيرِ خَدَمَاتِهَا، وتَنمِيَةِ قُدُرَاتِهَا، وزيادَةِ دَخلِهَا القوميِّ، وجَذبِ الاستثمارات إليها، ورَفعِ مستوى تَنَافُسِيَّتِهَا، فَعَلَيهَا أولاً بتطبيق برنامجٍ للتحوُّلِ الرقميِّ؛ أي أن تَتَحَوَّلَ الدوائر الحكومية إلى منصَّاتٍ الكترونيةٍ.

هذا التحوُّل يَحتَاجُ إلى تخزين المستندات على حواسيبٍ عملاقةٍ، ثم إنشاء منصَّاتٍ الكترونيةٍ ذات أمانٍ سيبرانيٍّ قياسيٍّ؛ بحيث تستطيعُ هذه المنصَّات مُعَالَجَةَ البيانات المُخَزَّنَةِ فيها، وتَقدِيم خدمَاتِهَا بصيغةٍ الكترونيةٍ.

وعليه، فقد أصبَحَ التحوُّل الرقميُّ جزءاً من الرؤى التنموية الاستراتيجية طويلة المدى؛ ولن يتمَّ هذا التحوُّل دون وجود قدرةٍ فعليةٍ على جمع وتخزين ومعالجة البيانات.

فلم يعدْ يمكن الفصل بين علم البيانات وبين التنمية أبداً، بل إنَّ جودة التعامل مع البيانات أصبَحَ يُشكِّلُ الضمانة الأساسية لقيام مُجتَمَعٍ عَصرِيٍّ، وهكذا فقد تَحَوَّلت البيانات إلى جسرٍ بين الطموح والواقع.

نظام حماية البيانات الشخصية..

مبدأ الخصوصية.. في مواجهة التنمية الحكومية والتسويق التجاري

لا يُمكنُ أن تَقبَلَ الدولة بانتهاكِ خصوصيةِ أفرَادِهَا، لذا فقد انتبهت الدول في هذا العصر إلى ضرورة عدم استغلال بيانات الأشخاص دون إذنِهِم، مهما كانت الفوائد من معالجة هذه البيانات، وسواءً أكانت المعالجة بهدف تنمية الحكومة الالكترونية أم بهدف التسويق التجاري.

ومن هذا المُنطَلَقِ، فقد صَدَرَ في المملكة نظام حماية البيانات الشخصية بالمرسوم رقم م/19-1443 والمُعدَّل بالمرسوم رقم م/148-1444، ومن أهمِّ المبادئ التي رسَّخها هذا النظام:

أولاً: “معرفة الفرد من خلال البيانات” هو معيار تحديد البيانات الشخصية المَحمِيَّة: أي أنَّ النظام له نطاقُ تطبيقٍ يَنحَصِرُ بأيِّ بيانٍ يمكن أن يُؤدِّي إلى التعريف بالفرد، أمَّا البيانات التي لا يُمكِنُ أن تُؤَدِّي إلى معرفة الفرد، فلا تكون محلاًّ لحماية النظام؛ مثل البيانات المُخزَّنة على الهاتف أو الحاسوب والتي يَحُوزُهَا الفرد دون أن يكون لها أيَّ ارتباطٍ بهويَّتِهِ وشَخصِيَّتِهِ؛ فإذا تمَّ الاستيلاء على هذه البيانات فهذا الفعل لا يَخضَعُ لنظام حماية البيانات الشخصية، بل هو جريمة اختراق إلكتروني يُنَظِّمُ مُعَاقَبَتِهَا نظام مكافحة جرائم المعلوماتية.

كذلك البيانات التي يَتَنَاقَلُهَا الفرد مع عَائِلَتِهِ مثل الصور العائلية ومقاطع الفيديو على تطبيق الواتساب مثلاً، دون مشاركة هذه البيانات مع الجمهور على وسائل التواصل الاجتماعي؛ فهذه الوقائع لا تَخضَعُ لنظام حماية البيانات الشخصية أيضاً؛ لأنَّ استِخدَامَهَا يَنحَصِرُ في الإطار العائلي دون مُشَارَكَتِهَا مع جهةٍ عامةٍ، ولا شركةٍ خارج إطار العائلة.

لكن تعريف البيانات الشخصية لم يَربِطْ هذه البيانات بالبيانات ذات الصفة الرسمية مثل رقم الهوية أو الصور الشخصية فقط، بل خَتَمَ النظام تَعرِيفَهُ لهذه البيانات بجُملَةِ: “وغير ذلك من البيانات ذات الطابع الشخصي”؛ وهذا ما يَجعَلُ بياناتٍ مثل التفضيلات، والهوايات، والمواهب، وغيرها من الأمور المُرتَبِطَةِ بالشخصية والتي يمكن الاستفادة منها تسويقياً، ضمن البيانات المَشمُولَةِ بالحماية.

ثانياً: “العلم، والوصول، والحصول، والتصحيح، والإتلاف” هي حقوق صاحب البيانات: مَنَحَ النظام مجموعةً واسِعَةً من الحقوق لصاحب البيانات حِرصَاً على خُصُوصِيَّتِهِ ورِضَاهُ عمَّا يتمُّ فِعلُهُ بِبَيَانَاتِهِ، وذلك ضمن الحقوق التالية:

(1) العلم: حيث يجب أن يكون الفرد عَالِمَاً بالبيانات التي يتمُّ جَمعُهَا عنه، والمسوِّغ النظامي، والغرض من جَمعِهَا؛ فمثلاً إذا طَلَبَ تطبيق شركة وكالة لماركةٍ مُعيَّنةٍ من السيارات، الأرقامَ الخاصَّةَ بالسيارة حتى يَستَطِيعَ العميل الاستفادة من التطبيق، فيجب أن يتمَّ الإشارة إلى أنَّ الحصول على هذه الأرقام غَايَتُهَا تحديد السيارة التي اشتَرَاهَا الشخص، وتسهيل عملية التصنيف والربط الالكتروني بين الوكالة والعميل؛ وبَعدَهَا يكون للعميل الحق بالاستفادة من الخدمات بعد تقديم المعلومات المطلوبة أو رفض تَقدِيمِهِ لهذه المعلومات وفقاً لاقتِنَاعِهِ بالمسوِّغ النظامي للحصول عليها والغَرَضِ من جَمعِهَا.

(2) الوصول: يجب أن يكون بمَقدُورِ الفرد الوصول للبيانات التي جَمَعتْهَا عنه الجهة التي تَتَحَكَّمُ بالبيانات، مثل المتجر الالكتروني الذي يَجمَعُ عن الشخص مجموعةً من البيانات الشخصية والتفضيلات الاستهلاكية، وذلك ضَمَانَاً لصِحَّةِ وشفافية هذه البيانات.

(3) الحصول: أي حقَّ الفرد بالحصول على البيانات المُخزَّنَةِ عنه بصيغةٍ مقروءةٍ وواضحةٍ؛ فيَحِقُّ للشخص الحصول على كافَّة المستندات الشخصية المُخزَّنَةِ عنه في الخوادم الإلكترونية.

(4) التصحيح: وهي من الحقوق البديهية لصاحب البيانات، بل من الواجبات التي عليه بمُجَرَّدِ اكتشافه أيَّ بيانٍ شخصيٍّ خاطئٍ مُخزَّنٍ عنه.

(5) الإتلاف: أي حقَّ صاحب البيانات بطَلَبِ إتلَافِهَا، مثل قيام الشخص بإغلاق حسابه على موقع التواصل الاجتماعي، فمِن غير المقبول استمرار الشركة التي تُدِيرُ الموقع بالاحتفاظ ببيانات الحساب الشخصية حتى بعد إغلاقِهِ.

ثالثاً: “الحد الأدنى” هو الضابط الأساس لجَمعِ البيانات: فلا يجوز للجهة التي تَجمَعُ البيانات إلاَّ أن تَطلُبَ البيانات الضرورية لعَمَلِهَا وفق تَرخِيصِهَا وبالحدِّ الأدنى، وأن تُحَافِظَ على سِريَّتِهَا طبعاً؛ فمثلاً لا يجوز أن تَحصَلَ منصَّةٍ خاصَّةٍ ببيع المركبات على بيانات تتجاوَزُ التعريف بهوية الشخص ومَركَبَتِهِ وبَيَانَاتِهَا، أما إذا طَلَبَت المنصة بياناتٍ شخصيةٍ لا علاقةَ لها بالمركبة، فهذا الأمر يُخَالِفُ النظام.

وقد تَصِلُ العقوبة إلى الحبس إلى سنتين و/أو الغرامة 3 مليون ريال تَجَاهَ كلِّ مَن أفصَحَ أو نَشَرَ بياناتٍ شخصيةٍ للإضرار بصاحب البيانات أو تحقيق مَنَافِعٍ شخصيةٍ، فيما تَصِلُ عقوبة الشخص الاعتباري إلى الغرامة 5 مليون ريال.

رابعاً: “القبول” هو الضابط الأساس لمُعَالَجَةِ البيانات: فلا يجوزُ البدءُ بمعالجة البيانات الشخصية التي تمَّ جَمعُهَا إلاَّ بمُوَافَقَةِ صَاحِبِهَا؛ كأن يُرسِلَ المُتَصَفِّحُ الالكتروني رسالةً إلى صاحب الجهاز مَفَادُهَا أنَّ المُتَصَفِّحُ يُرِيدُ تَتَبُّعَ بيانات التَصَفُّح التاريخية له بِغرَضِ اقتراح مواقع وصفحات تواصلٍ وملصقاتٍ تُرَاعِي اهتِمَامَاتِهِ؛ فإذا وَافَقَ الشخص، يقوم المُتَصَفِّحُ بمعالجة البيانات، وتقديم المحتوى الأقرب لاهتمامات الشخص بغرض تحسين تجربة المستخدم للمُتَصَفِّحِ.

وبالمُحَصِّلَةِ، يكون صاحب البيانات مَحمِيَّاً من أيِّ انتهاكٍ لحُقُوقِهِ والضمانات المذكورة في النظام، لكن تَظهُرُ هنا مشكلةً عمليةً قد تَجعَلُ هذه الحقوق والضمانات في خطر ألا وهي حالة نقل البيانات.

الرؤية المستقبلية لجَمعِ ومُعَالَجَة البيانات التي تَتَنَاسَبُ مع المملكة 2030

مع اقتراب اكتمال رؤية المملكة 2030؛ تبدو مسألة تخزين ومُعَالَجَة البيانات الوطنية أمرَاً فَائِقَ الأهمية لمستقبل المملكة الاستراتيجي.

ولا تُشَكِّلُ عملية نقل البيانات إلى جهات مُعَالَجَةٍ خارجيةٍ إلاَّ مرحلةً انتقاليةً قبل وصول المملكة إلى مرحلة الاعتماد الكامل على النفس في قطاع البيانات.

وفي هذا الإطار، فقد انتَشَرَ مُؤَخَّراً خَبَرُ نية شركة جوجل افتتاحَ مركز بياناتٍ لها في المملكة، سَيُشَكِّلُ منطقة تخزينٍ سَحَابِيَّةٍ ضمن أرَاضِي المملكة، وهو ما يُمَهِّدُ لمرحلة الاكتفاء الذاتي من تقنيات تخزين ومعالجة البيانات.

وهكذا ستكون المملكة -يوماً ما بمشيئة الله- أهمَّ مركزٍ لتخزين ومُعَالَجَةِ البيانات في المنطقة؛ إدرَاكَاً منها لأهمية البيانات لأنها نفط الزمن القادم.