المقالات >

في إطار تعزيز الوعي بأهمية حماية البيانات والخصوصية، نظّمت جمعية إدارة البيانات لقاءً مميزًا يوم الاثنين،٤ شعبان ١٤٤٦ هـ الموافق 3 فبراير 2025 م، تناول موضوع “نظرة على تحديات خصوصية البيانات”. استضاف اللقاء الأستاذ وليد الراشد، مدير إدارة حماية البيانات والخصوصية، حيث تناول اللقاء التحديات الرئيسية في خصوصية البيانات، واستعرض منهجيات تصنيفها، وأهمية الامتثال للأنظمة، إضافةً إلى الحلول التقنية المتقدمة لمواجهة هذه التحديات. كما قدم الحضور مناقشات قيّمة حول تأثير تسريبات البيانات، ومسؤوليات الجهات المختلفة في حماية المعلومات، والاستراتيجيات الفعالة لاكتشاف البيانات وتصنيفها.

أكد الأستاذ وليد الراشد أن حماية البيانات الشخصية لم تعد مجرد التزام قانوني، بل أصبحت ضرورة استراتيجية لضمان ثقة العملاء وتحقيق استدامة الأعمال. وأشار إلى أن المملكة العربية السعودية قطعت أشواطًا متقدمة في مجال حماية البيانات والخصوصية، حيث أصدرت خلال السنوات الأخيرة أكثر من 20 وثيقة تنظيمية تعكس التزامها بتطوير البيئة التشريعية لحماية البيانات.

كما استعرض أ. الراشد خلال اللقاء بعض الإحصائيات العالمية التي تؤكد تصاعد الاهتمام بالخصوصية، وفقًا لتقرير IAPP Privacy and Consumer Trust Report:

• 68% من المستهلكين حول العالم يشعرون بالقلق تجاه خصوصيتهم على الإنترنت.
• 80% من العملاء يتوقفون عن التعامل مع الشركات التي تعرضت لتسريب بياناتهم الشخصية.
• 29% من المستهلكين لا يعلمون كيف تحمي الشركات معلوماتهم بعد إدخالها في التطبيقات والمواقع الإلكترونية.

توضح هذه الأرقام أن عدم الامتثال لحماية البيانات لم يعد خيارًا، بل قد يؤدي إلى فقدان العملاء وتضرر سمعة العلامة التجارية وأحيانًا إلى إفلاس الشركات.

وتطرق اللقاء إلى التأثير القانوني الكبير لتسريبات البيانات، حيث يمكن أن تواجه الشركات المخالفة:

• غرامات مالية ضخمة.
• مصادرة الإيرادات المحققة من الأنشطة المخالفة.
• إجراءات قانونية قد تصل إلى السجن، وهو ما يميز التشريعات السعودية عن معظم الأنظمة العالمية.

لماذا نحتاج إلى اكتشاف وتصنيف البيانات؟

تطرق آ. الراشد إلى أهمية تصنيف البيانات كخطوة أساسية نحو حمايتها، حيث تشهد المؤسسات تزايدًا هائلًا في حجم البيانات، مما يجعل إدارتها بشكل غير منظم مصدرًا لمخاطر عديدة. وأكد أن اكتشاف البيانات وتصنيفها يسهم في:

• تحقيق الامتثال التنظيمي للوائح مثل نظام حماية البيانات الشخصية.
• تحسين الأمن السيبراني من خلال تقليل فرص الاختراقات وتسرب البيانات.
• تعزيز كفاءة إدارة البيانات التشغيلية، مما يؤدي إلى تسريع عمليات التحليل واتخاذ القرار.
• تمكين مبادرات التحول الرقمي، مثل الذكاء الاصطناعي وتحليلات البيانات المتقدمة.

التحديات التي تواجه المؤسسات في تصنيف البيانات

على الرغم من الفوائد الكبيرة لتصنيف البيانات، إلا أن المؤسسات تواجه العديد من التحديات، من بينها:

• عدم وضوح نطاق البيانات داخل الأنظمة المختلفة.
• مقاومة الفرق الداخلية للتغيير، خاصة عند فرض سياسات جديدة.
• تعقيد عمليات التصنيف وصعوبة تبني الأدوات المناسبة.
• التأخير في تنفيذ المشاريع نتيجة عدم وضوح الأهداف أو غياب التنسيق بين الإدارات.

ولمواجهة هذه التحديات، أوصى أ. الراشد بضرورة فهم بيئة البيانات داخل المؤسسات، ووضع سياسات واضحة، وتبني حلول تقنية متقدمة تساعد في تسريع التصنيف وتحقيق الدقة.

المنهجية المتكاملة لاكتشاف وتصنيف البيانات

استعرض أ. الراشد مراحل اكتشاف وتصنيف البيانات، والتي تتطلب تخطيطًا دقيقًا وتنفيذًا تدريجيًا لضمان الامتثال والحماية الفعالة. تشمل هذه المراحل:

1. اكتشاف البيانات

يتضمن تحديد مصادر البيانات داخل الأنظمة المختلفة، سواء كانت مهيكلة (Structured) أو غير مهيكلة (Unstructured)، مثل المستندات ورسائل البريد الإلكتروني.

2. تصنيف البيانات وفق معايير محددة

• حسب الأثر: عام ومقيد وسري أو سري للغاية.
• حسب النوع: بيانات شخصية ومالية وتشغيلية.
• حسب الاستخدام: تشغيلية أو تحليلية.
• حسب مستوى المشاركة: بيانات داخلية أو خارجية.

3. تطبيق سياسات الحماية المناسبة

بما في ذلك تحديد مستويات الوصول إلى البيانات، ووضع ضوابط تخزين آمنة، وتطبيق سياسات الأتمتة لتقليل الأخطاء البشرية.

4. المراقبة والتقييم المستمر

• تحديث التصنيفات بشكل دوري لضمان الامتثال لأحدث المعايير.
• تنفيذ عمليات تدقيق دورية لمراقبة الالتزام وحماية البيانات الحساسة.

استراتيجيات فعالة لاكتشاف وتصنيف البيانات

استعرض اللقاء استراتيجيتين رئيسيتين تستخدمهما المؤسسات لتصنيف بياناتها:

1. نهج تقني (Bottom-Up Approach)

يتم خلاله استخدام أدوات الذكاء الاصطناعي وتعلم الآلة لمسح وتحليل البيانات بشكل تلقائي، مما يساعد في تحديد البيانات الحساسة بدقة عالية.

2. نهج أعمال (Top-Down Approach)

يتضمن عقد ورش عمل مع الإدارات المختلفة لفهم كيفية استخدام البيانات داخل المؤسسة، والتأكد من توافق التصنيف مع الاحتياجات التشغيلية.

حيث أن الحل الأمثل هو دمج النهجين لضمان دقة التصنيف وتحقيق التكامل بين فرق العمل والتكنولوجيا.

استخدام تقنيات الذكاء الاصطناعي في تصنيف البيانات

ناقش اللقاء كيف يمكن للذكاء الاصطناعي تحسين كفاءة تصنيف البيانات، حيث يساعد في:

• تحديد البيانات الحساسة تلقائيًا.
• تحليل أنماط الاستخدام لاكتشاف المخاطر المحتملة.
• تحسين عمليات الامتثال من خلال التصنيف التلقائي للبيانات.

كما تم التطرق إلى بعض أشهر الأدوات المتقدمة في هذا المجال، مثل:

• Informatica
• Microsoft
• BigID

والتي توفر حلولًا ذكية لتحليل وتصنيف البيانات وحمايتها.

ركز اللقاء على مجموعة من التوصيات الهامة لضمان نجاح مشاريع تصنيف البيانات:
✔ ابدأ بمراحل صغيرة: ركّز على البيانات الأكثر حساسية أولًا.

✔ حافظ على استمرارية المشروع: حدّث التصنيفات بانتظام.

✔ ادمج الخصوصية في العمليات اليومية: اجعل تصنيف البيانات جزءًا من الأنشطة التشغيلية.

✔ استخدم الأدوات المناسبة: اجمع بين التكنولوجيا والإجراءات التنظيمية لضمان تحقيق النتائج المرجوة.

✔ بناء ثقافة الوعي بالخصوصية: درّب الموظفين على أهمية حماية البيانات وكيفية التعامل معها بأمان.

اختتم أ. الراشد اللقاء على أنه “You Can’t Protect What You Don’t Know” – لا يمكنك حماية ما لا تعرفه، مما يبرز أهمية تبني استراتيجيات متكاملة لاكتشاف وتصنيف البيانات داخل المؤسسات. فمن خلال فهم أصول البيانات، وتحديد تصنيفاتها، وتطبيق السياسات المناسبة، يمكن للشركات تحقيق الامتثال التنظيمي، وتعزيز الأمن السيبراني، والاستفادة القصوى من أصولها الرقمية.

أسئلة الجمهور وأجوبة الضيف

كيف يمكن التمييز بين مسؤوليات الأمن السيبراني ومسؤوليات خصوصية البيانات عند حدوث تسرب للبيانات؟

يتمثل الفرق بين مسؤوليات الأمن السيبراني وخصوصية البيانات عند تسرب البيانات في أن مسؤول خصوصية البيانات يجب عليه إبلاغ الجهة المختصة خلال 72 ساعة وإخطار الأفراد المتأثرين فورًا إذا كان هناك خطر عليهم، وفقًا للأنظمة والتشريعات. أما الأمن السيبراني، فيركز على تحديد مصدر الاختراق، تقييم البيانات المتضررة، واتخاذ التدابير اللازمة لمنع تكرار الحادث وتأمين الأنظمة.

من المسؤول عن تصنيف حقول قواعد البيانات (Database Fields) في المؤسسات الصغيرة، وهل تقع المسؤولية على تقنية المعلومات أم جهة الأعمال؟

تصنيف البيانات، وخاصة حقول قواعد البيانات، مسؤولية مشتركة، لكن الجهة الرئيسية التي تتحمل هذه المسؤولية هي مالك البيانات، والذي يكون عادةً من قطاع الأعمال. فمالك البيانات هو الأقدر على تحديد طبيعة البيانات ومستوى حساسيتها. ومع ذلك، فإن العملية تتطلب تنسيقًا بين عدة جهات لضمان نجاحها.

1. مالك البيانات (الأعمال): يحدد التصنيف ومستوى الحساسية بناءً على طبيعة البيانات واستخدامها.
2. تقنية المعلومات (Custodian): تدعم عملية التصنيف من خلال توفير البيانات وإدارتها فنيًا، لكنها ليست المسؤولة عن تحديد مستوى الحساسية.
3. مسؤول حماية البيانات الشخصية: يضمن توثيق التصنيفات ونشرها بوضوح، لضمان الامتثال والتنظيم.
4. الأمن السيبراني: يضمن تنفيذ الضوابط الأمنية بناءً على التصنيف المحدد.

أفضل نهج هو التكامل بين هذه الجهات، حيث يقوم مالك البيانات بتحديد التصنيف، بينما تدعم تقنية المعلومات من خلال تقديم البيانات وهيكلتها، مع وجود إطار تنظيمي يشرف عليه الأمن السيبراني ومسؤول حماية البيانات.

هل التحدي في تصنيف البيانات يتلخص في الجانب التشريعي من حيث بناء العمليات والحوكمة، أم في الجانب التقني من حيث الأنظمة والقدرات؟

التحدي يكمن في الجانبين معًا. بعض الأشخاص يركزون فقط على الجانب التقني مثل وجود نظام يصنف البيانات، لكن الأهم هو أن يكون هناك أيضًا إجراءات وسياسات موثقة يتم تنفيذها. في حال كان هناك بيانات جديدة نتيجة لتطوير خدمات، يجب أن يتم إجراء تقييم تأثير الخصوصية (PIA) في مرحلة التصنيف، ويجب تصنيف البيانات وتوثيق البيانات الوصفية بشكل صحيح. إذا لم يتوافر هذان العنصران معًا، ستكون هناك مشكلة.

في المنهجية المعتمدة على التصنيف من الأعلى للأسفل (top-down)، إذا كانت نسبة التطبيق عالية في الأعمال، هل يشمل التصنيف البيانات المهيكلة وغير المهيكلة، أم يقتصر على البيانات المهيكلة فقط؟

التصنيف يجب أن يكون موحدًا للبيانات المهيكلة وغير المهيكلة بناءً على “business attribute” أو “logical name”، سواء كانت البيانات في قاعدة بيانات أو ملف. في البيانات المهيكلة، مثل القوائم المالية، قد يكون هناك تفاصيل إضافية تتغير بعد الإصدار. أما في البيانات غير المهيكلة، التحدي يكمن في التعرف عليها وحمايتها باستخدام كلمات رئيسية أو أسماء تقارير، خاصة في سياق DLP والأمن السيبراني.

بعد تصنيف البيانات، كيف يمكن تنفيذ التصنيف على مستوى الأنظمة أو الجهة بالكامل؟ هل يكون التنفيذ مع مكتب إدارة البيانات أم مع الأمن السيبراني؟

 يعتمد التنفيذ على الجهة، لكن في النهاية يجب تحديد الضوابط والإرشادات بوضوح. عادة، مسؤول حماية البيانات الشخصية ليس لديه الذراع التقني أو الأنظمة الخاصة بالتنفيذ. لذلك، من الأفضل أن يكون هناك تنسيق واضح بين الأمن السيبراني، مكتب إدارة البيانات، والجهة التقنية، مع تحديد أدوار ومسؤوليات مكتوبة وموثقة لكل طرف. لا يوجد حل بسيط يعالج هذا الموضوع، بل يتطلب تعاونًا متكاملًا بين الأطراف المعنية.

بعد انتهاء العلاقة مع العميل أو الموظف، هل توجد معايير محددة لحفظ البيانات الشخصية؟ وما هي المدة التي يمكن الاحتفاظ بها وفقًا لهذه المعايير؟ وهل تختلف هذه المدة حسب الاتفاق أو الأنظمة القانونية؟

لا توجد فترة ثابتة لحفظ البيانات، بل يعتمد ذلك على السبب القانوني أو التنظيمي لجمعها. بعض الجهات تطلب حفظ بيانات العملاء لمدة عشر سنوات. إذا كانت هناك قضايا قانونية أو شكاوى، يجب الاحتفاظ بالبيانات لفترة أطول. بالنسبة لطلبات مسح البيانات، عادةً ما يتم رفضها تلقائيًا إذا كانت مرتبطة بخدمة قائمة. يجب أن يكون هناك مرجع قانوني وثيقة حفظ بيانات، ويتم التعامل مع طلبات الحذف بناءً على الأنظمة والظروف، وعند الحاجة للتعامل مع حالات معينة، يتم المعالجة يدويًا مع القسم القانوني.

إذا كان لدي أنظمة متعددة في المنظمة، هل يجب تقسيم المشروع بحيث يبدأ بمرحلة اكتشاف البيانات أولًا ثم يليه مرحلة تصنيف البيانات، أم يمكن القيام بهما بشكل متوازي؟

الإجابة تعتمد على حجم النظام والبيانات. إذا كانت الأنظمة محدودة والبيانات قليلة، يمكن البدء باكتشاف البيانات أولًا ثم التصنيف. ولكن إذا كانت الأنظمة متعددة والبيانات ضخمة، قد يستغرق اكتشاف البيانات وقتًا طويلًا، لذلك يُفضل العمل على مراحل صغيرة، حيث يمكن اكتشاف البيانات وتصنيفها معًا بشكل تدريجي بناءً على الأهمية، هذا النهج أفضل من الانتظار حتى انتهاء مشروع الاكتشاف قبل التصنيف، إلا إذا كان حجم البيانات صغيرًا.

كيف يمكن ضمان أن البيانات السحابية تم مسحها بعد انتهاء العلاقة التعاقدية بين المنظمة والشركة الأخرى، خصوصًا إذا كانت هناك بنود ضمن العقد تشير إلى حذف البيانات؟

لضمان مسح البيانات، يجب أن يتضمن العقد مع الشركة الأخرى اتفاقية حول إدارة البيانات، مثل اتفاقية معالجة البيانات (Data Processing Agreement) أو اتفاقية حماية البيانات (Data Protection Agreement) إذا كانت البيانات شخصية. من المهم أن تكون هذه البنود واضحة في العقد، وتنص على مسح البيانات بعد انتهاء التعاقد. بالإضافة إلى ذلك، يمكن تضمين هذه العملية ضمن إجراءات الشركة الداخلية، مثل التأكد من أن المقاول يوقع على وثيقة تؤكد مسح جميع البيانات قبل إصدار الفاتورة النهائية.

إذا كانت شركة تشارك البيانات معك وتقول إنها لا تستطيع حذفها بسبب وجود تدقيق عليها أو التزامات قانونية، ما هو الإجراء الذي يجب اتخاذه في هذه الحالة؟ 

إذا كان هناك خلاف حول عدم القدرة على مسح البيانات، يمكن تقديم شكوى عبر منصة حوكمة البيانات، حيث يمكن لأي صاحب بيانات رفع شكوى تتعلق بخصوصية البيانات. تتولى الجهات التنظيمية التحقيق في الموضوع. إذا كانت العلاقة بين شركتين (B2B) وتشمل بيانات شخصية، يجب توقيع اتفاقية معالجة بيانات (DPA) بين الطرفين، وفي حال وجود خلافات، يمكن تحويل الأمر إلى الشكاوى أو القضايا القانونية.

بالنسبة للتصنيف باستخدام الذكاء الاصطناعي، هل يعتمد على البيانات الوصفية فقط، خاصة أن الكثير من الحلول الحالية تعاني من نقص في البيانات الوصفية؟ أم أنه يعتمد أيضًا على المحتوى نفسه؟

 التصنيف باستخدام الذكاء الاصطناعي يعتمد على كل من البيانات الوصفية والمحتوى. بعض يمكنها التصنيف باستخدام عدة أنواع من البيانات، مثل البيانات الوصفية واسم العمود، بالإضافة إلى تحليل المحتوى نفسه.