حل جميع مشاكل Windows والبرامج الأخرى

خمسة مبادئ أساسية للخصوصية

أعيد طبعه من الخصوصية للأعمال: مواقع الويب والبريد الإلكتروني ، نشرت من قبل دريفا هيل ذ م م ، جميع الحقوق محفوظة. .

مبادئ ممارسة المعلومات العادلة



تمت مناقشة المبادئ الأساسية لخصوصية البيانات قبل وقت طويل من تسويق الإنترنت. في عام 1998 ، كررت لجنة التجارة الفيدرالية الأمريكية هذه المبادئ في سياق الإنترنت عندما أصدرت ، بناءً على طلب الفرع التشريعي ، وثيقة تسمى 'الخصوصية عبر الإنترنت: تقرير إلى الكونجرس'. بدأ التقرير بملاحظة:



على مدار ربع القرن الماضي ، درست الوكالات الحكومية في الولايات المتحدة وكندا وأوروبا الطريقة التي تقوم فيها الكيانات بجمع واستخدام المعلومات الشخصية - 'ممارسات المعلومات' الخاصة بهم - والضمانات المطلوبة لضمان أن هذه الممارسات عادلة وتوفر حماية خصوصية كافية. وكانت النتيجة سلسلة من التقارير والمبادئ التوجيهية ورموز النموذج التي تمثل المبادئ المقبولة على نطاق واسع فيما يتعلق بممارسات المعلومات العادلة.

منذ نشره ، ساعد هذا التقرير في تشكيل دور 'إنفاذ الخصوصية' الحالي للجنة التجارة الفيدرالية. في هذا الفصل ، نركز على المبادئ الأساسية الخمسة لحماية الخصوصية التي قررت لجنة التجارة الفيدرالية أنها 'مقبولة على نطاق واسع' ، وهي: الإشعار / الوعي ، والاختيار / الموافقة ، والوصول / المشاركة ، والنزاهة / الأمن ، والإنفاذ / التعويض.

أهم اختراعات القرن العشرين

إشعار / وعي



الإشعار هو مفهوم يجب أن يكون مألوفًا لمتخصصي الشبكات. تقوم العديد من الأنظمة ، بما في ذلك العديد من مواقع الويب ، بإخطار المستخدمين فيما يتعلق بالملكية والأمان وشروط الاستخدام. قد يكون هذا الإشعار عبارة عن لافتة تظهر أثناء تسجيل الدخول إلى الشبكة ، محذرة من أن الوصول إلى الشبكة يقتصر على المستخدمين المصرح لهم. قد تكون صفحة البداية لموقع ويب لإعلام الزائرين بأن النقر للدخول يشكل موافقة على شروط الاستخدام. في سياق خصوصية موقع الويب ، يعني الإشعار أنه يجب عليك إبلاغ زوار موقعك بسياساتك فيما يتعلق بالبيانات الشخصية التي تقوم بمعالجتها. كما تضعها لجنة التجارة الفيدرالية:

يجب إخطار المستهلكين بممارسات معلومات الكيان قبل جمع أي معلومات شخصية منهم. بدون إشعار ، لا يمكن للمستهلك اتخاذ قرار مستنير بشأن ما إذا كان سيتم الكشف عن المعلومات الشخصية وإلى أي مدى. علاوة على ذلك ، فإن ثلاثة من المبادئ الأخرى (الاختيار / الموافقة ، والوصول / المشاركة ، والإنفاذ / التعويض) تكون ذات مغزى فقط عندما يكون لدى المستهلك إشعار بسياسات الكيان ، وحقوقه فيما يتعلق بها.

من الناحية العملية ، فإن الوسيلة الأساسية لتقديم إشعار الخصوصية لزوار موقع الويب هي بيان الخصوصية. بالنسبة للمواقع البسيطة التي لا تعيّن ملفات تعريف ارتباط أو لا تتلقى أي مدخلات من المستخدم ، فإن مثل هذا البيان يسهل صياغته. كلما كان الموقع أكثر تعقيدًا وتفاعلًا ، زاد العمل المطلوب لصياغة بيان يغطي جميع القواعد. فيما يلي النقاط الرئيسية التي يجب تغطيتها:

  • تحديد الجهة التي تجمع البيانات.
  • تحديد الاستخدام المقصود للبيانات.
  • تحديد أي متلقين محتملين للبيانات.
  • طبيعة البيانات التي تم جمعها والوسائل التي يتم جمعها بها ، إن لم تكن واضحة (على سبيل المثال ، بشكل سلبي ، عن طريق المراقبة الإلكترونية ، أو بشكل فعال ، عن طريق مطالبة المستهلك بتوفير المعلومات).
  • ما إذا كان توفير البيانات المطلوبة طوعيًا أم مطلوبًا ، وعواقب رفض تقديم المعلومات المطلوبة.
  • الخطوات التي اتخذها جامع البيانات لضمان سرية وسلامة وجودة البيانات.

بالطبع ، قد لا تكون مهمتك هي جمع هذه المعلومات معًا والتوصل إلى بيان الخصوصية - في السنوات الأخيرة ، عيّنت العديد من المؤسسات الكبيرة مسؤولي الخصوصية للإشراف على إنشاء سياسات الخصوصية للمؤسسة ومواقع الويب الخاصة بها. ومع ذلك ، إذا كنت مسؤولاً عن موقع الويب ، فقد يُطلب منك القيام ببعض الأعمال ، لا سيما توثيق نشاط التسجيل واستخدام ملفات تعريف الارتباط. الأقسام التالية تناقش بإيجاز هذه القضايا.



نشاط التسجيل: تحتاج إلى السماح لزوار موقعك بمعرفة ما إذا كنت تستخدم أدوات آلية لتسجيل معلومات حول زياراتهم (معلومات مثل نوع المتصفح ونظام التشغيل الذي استخدموه للوصول إلى موقعك وتاريخ ووقت وصولهم إلى الموقع والصفحات التي قاموا باستخدامها المشاهدة والمسارات التي سلكوها من خلال الموقع).

استخدام أخطاء الويب ومنارات الويب: يجب الإفصاح عن استخدام هذه الأساليب ، إلى جانب بيان واضح لكيفية ولماذا يتم استخدامها ، وما هي المعلومات التي يتتبعونها.

استخدام ملفات تعريف الارتباط: يجب الكشف عن استخدام ملفات تعريف الارتباط ويجب التمييز بين ملفات تعريف الارتباط للجلسة ، والتي تنتهي صلاحيتها عندما يغلق المستخدم متصفح الويب ، وملفات تعريف الارتباط الدائمة ، التي يتم تنزيلها على جهاز المستخدم لاستخدامها في المستقبل على الموقع.

الاختيار / الموافقة

مثل الإشعار / الوعي ، يجب التعامل مع هذا المبدأ الثاني بأمانة وحساسية. يعني الاختيار إعطاء المستهلكين خيارات بشأن كيفية استخدام أي معلومات شخصية يتم جمعها منهم. يتعلق هذا بالاستخدامات الثانوية للمعلومات ، والتي تصفها لجنة التجارة الفيدرالية بأنها 'استخدامات تتجاوز تلك اللازمة لإكمال المعاملة المتوخاة'. تلاحظ لجنة التجارة الفيدرالية أن 'هذه الاستخدامات الثانوية يمكن أن تكون داخلية ، مثل وضع المستهلك على القائمة البريدية لشركة التحصيل من أجل تسويق منتجات أو عروض ترويجية إضافية ، أو خارجية ، مثل نقل المعلومات إلى أطراف ثالثة'.

سواء كنت مشتركًا في تحديد استخدام المعلومات الشخصية التي تأتي من موقع الويب الخاص بك أم لا ، فأنت بحاجة إلى معرفة ما إذا كنت ستعطي مستخدمي الموقع أي خيار في هذا الشأن ، حتى لو كان شيئًا بسيطًا مثل مربع اختيار يقول 'يمكنك مراسلتي عبر البريد الإلكتروني بشأن العروض الخاصة على المنتجات ذات الصلة'. كما قد تتوقع ، يفضل دعاة الخصوصية نموذج الموافقة على الاشتراك ، حيث يطلب الأشخاص تحديدًا إدراجهم في قائمة بريدية ، بدلاً من إلغاء الاشتراك ، مما يضيف الأشخاص إلى القائمة افتراضيًا ، حتى يحين الوقت الذي يطلبونه ليتم إزالتها.

الوصول / المشاركة

الهدف من الوصول والمشاركة هو السماح للأشخاص الذين لديك معلومات عنهم بمعرفة ماهية تلك المعلومات ، والطعن في دقتها واكتمالها إذا اعتقدوا أنها خاطئة. تفتقر العديد من الأنظمة عبر الإنترنت حاليًا إلى الوسائل اللازمة لتنفيذ مثل هذه العمليات بشكل آمن. ومع ذلك ، يعتبر الوصول عنصرًا أساسيًا في ممارسات المعلومات العادلة وحماية الخصوصية. في سياق مواقع الويب الخاصة بالأعمال ، تتمثل العقبة الرئيسية أمام توفير الوصول والمشاركة في الافتقار إلى الأساليب الرخيصة والآمنة لتحديد موضوعات البيانات بشكل موثوق ، أي المصادقة.

يتم الامتثال لقوانين الولايات المتحدة التي تفرض الوصول ، مثل قانون الإبلاغ عن الائتمان العادل ، في الوقت الحالي من خلال المزيد من قنوات الاتصال التقليدية ، مثل الرسائل والفاكسات. كلاهما يتطلب مشاركة بشرية ومراجعة. ما لم يكن لديك مستوى عالٍ من التأكيد بأنك تمنح حق الوصول عبر الإنترنت إلى الشخص المناسب - مثل المصادقة متعددة العوامل - فهناك خطر جسيم يتمثل في أن توفير الوصول لدعم الخصوصية سيؤدي في الواقع إلى انتهاكات الخصوصية (على سبيل المثال ، من خلال الكشف غير المصرح به لشخص يتظاهر بأنه موضوع البيانات).

احترس: تجد المزيد والمزيد من الشركات أن تكلفة التواصل مع العملاء عبر الويب والبريد الإلكتروني أقل بكثير من تكلفة الاتصال الصوتي أو الورقي. وبالتالي ، سترغب الإدارة في استكشاف ، عاجلاً أم آجلاً ، وصول موضوع البيانات إلى قواعد بيانات PII الخاصة بالشركة من خلال موقع الويب و / أو البريد الإلكتروني. لسوء الحظ ، إلى أن يتحسن أمان التكنولوجيا الأساسية ، فإن هذه الاستراتيجية محفوفة بالمخاطر ، مثل الكشف غير المصرح به من خلال الانتحال أو الذريعة أو اعتراض البريد الإلكتروني غير المشفر. لا تحاول ما لم تكن الإدارة مدركة تمامًا للمخاطر ومستعدة لتمويل مستويات مناسبة من الأمان الإضافي.

النزاهة / الأمن

المبدأ الرابع المقبول على نطاق واسع هو أن تكون البيانات دقيقة وآمنة. لضمان تكامل البيانات ، يجب على جامعي البيانات ، مثل مواقع الويب ، اتخاذ خطوات معقولة ، مثل استخدام مصادر البيانات ذات السمعة الطيبة فقط والإحالة المرجعية للبيانات ضد مصادر متعددة ، وتوفير وصول المستهلك إلى البيانات وتدمير البيانات في وقت مبكر أو تحويلها إلى نموذج مجهول. يشمل الأمن كلاً من الإجراءات الإدارية والفنية للحماية من الضياع والوصول غير المصرح به إلى البيانات أو إتلافها أو استخدامها أو الكشف عنها. تشمل التدابير الإدارية التدابير التنظيمية الداخلية التي تحد من الوصول إلى البيانات وتضمن أن هؤلاء الأفراد الذين لديهم حق الوصول لا يستخدمون البيانات لأغراض غير مصرح بها. تتضمن إجراءات الأمان الفنية لمنع الوصول غير المصرح به ما يلي:

  • تقييد الوصول من خلال قوائم التحكم في الوصول (ACL) وكلمات مرور الشبكة وأمان قاعدة البيانات وطرق أخرى
  • تخزين البيانات على خوادم آمنة لا يمكن الوصول إليها عبر الإنترنت أو المودم
  • تشفير البيانات أثناء النقل والتخزين (تعتبر طبقة المقابس الآمنة ، أو SSL ، مقبولة عند إرسال المعلومات عبر موقع ويب - ولكن لاحظ أنه ما لم يكن لدى نظام العميل شهادة رقمية أو مصادقة أخرى يمكن للخادم الاعتماد عليها ، يجوز لـ SSL غير مقبول للإفصاح من الخادم إلى العميل).

الإنفاذ / الإنصاف

لاحظت لجنة التجارة الفيدرالية أن 'المبادئ الأساسية لحماية الخصوصية لا يمكن أن تكون فعالة إلا إذا كانت هناك آلية مطبقة لإنفاذها'. تعتمد هذه الآلية لموقع الويب الخاص بك على عدة عوامل. قد يتعين على موقع الويب الخاص بك الامتثال لقوانين الخصوصية المحددة. قد تشترك مؤسستك في رمز الممارسة الصناعية أو برنامج ختم الخصوصية ، وكلاهما قد يشتمل على آليات تسوية المنازعات وعواقب عدم الامتثال لمتطلبات البرنامج. من الممكن أيضًا اتخاذ إجراء خاص ضد مؤسستك إذا تبين أن المنظمة مسؤولة عن انتهاك الخصوصية الذي تسبب في إلحاق الضرر بأحد الأفراد. كما تم رفع دعاوى قضائية جماعية ، بدعوى انتهاك الخصوصية.

أعيد طبعه من الخصوصية للأعمال: مواقع الويب والبريد الإلكتروني ، التي نشرتها Dreva Hill LLC ، جميع الحقوق محفوظة. لطلب المعلومات قم بزيارة drevahill.com/cw أو اتصل على 6553-247-800-1 .

استخدم المجلد الخاص

صداع الامتثال

القصص في هذا التقرير:

  • صداع الامتثال
  • حفر الخصوصية
  • الاستعانة بمصادر خارجية: فقدان السيطرة
  • رؤساء مسؤولي الخصوصية: ساخن أم لا؟
  • مسرد الخصوصية
  • التقويم: الخصوصية
  • الخوف من الخصوصية RFID مبالغ فيه
  • اختبر معلوماتك بشأن الخصوصية
  • خمسة مبادئ أساسية للخصوصية
  • مردود الخصوصية: بيانات أفضل للعملاء
  • قانون الخصوصية في كاليفورنيا هو Yawner حتى الآن
  • تعلم (تقريبا) أي شيء عن أي شخص
  • خمس خطوات يمكن لشركتك اتخاذها للحفاظ على خصوصية المعلومات