ما هي مبادئ ممارسة المعلومات العادلة (FIPPs)؟

ممارسات المعلومات العادلة ، والمعروفة أيضًا باسم مبادئ ممارسات المعلومات العادلة (FIPPs) ، هي مجموعة من ثمانية مبادئ تتعلق باستخدام البيانات وجمعها وخصوصيتها . تم نشرها في عام 1980 من قبل منظمة التعاون الاقتصادي والتنمية (OECD) ووافق عليها عدد من الدول من حيث المبدأ.

على الرغم من أنها ليست جزءًا رسميًا من أي تشريع خاص بالخصوصية ، إلا أن هذه المبادئ لا تزال ذات صلة ومؤثرة اليوم. تستخدمها العديد من المنظمات كدليل لكيفية التعامل مع البيانات الشخصية. يتم تضمين العديد من المبادئ المدرجة في FIPPs في أطر الخصوصية الهامة مثل اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA) .

المبادئ الثمانية لممارسة المعلومات العادلة هي:

1. مبدأ تقييد التحصيل. يجب أن تكون هناك قيود على جمع البيانات الشخصية ويجب الحصول على أي من هذه البيانات بوسائل قانونية وعادلة ، وعند الاقتضاء ، بمعرفة أو موافقة صاحب البيانات.
2. مبدأ جودة البيانات. يجب أن تكون البيانات الشخصية ذات صلة بالأغراض التي سيتم استخدامها من أجلها ، ويجب أن تكون دقيقة وكاملة ومحدثة بالقدر اللازم لتلك الأغراض.
3. مبدأ مواصفات الغرض. يجب تحديد الأغراض التي يتم جمع البيانات الشخصية من أجلها في موعد لا يتجاوز وقت جمع البيانات والاستخدام اللاحق يقتصر على تحقيق تلك الأغراض أو غيرها من الأغراض التي لا تتعارض مع تلك الأغراض وكما هو محدد في كل مناسبة للتغيير الغرض.
4. استخدم مبدأ التقييد. يجب عدم الكشف عن البيانات الشخصية أو إتاحتها أو استخدامها بطريقة أخرى لأغراض أخرى غير تلك المحددة وفقًا [لمبدأ تحديد الغرض] باستثناء: أ) بموافقة صاحب البيانات ؛ أو ب) سلطة القانون.
5. مبدأ الضمانات الأمنية. يجب حماية البيانات الشخصية بضمانات أمنية معقولة ضد مخاطر مثل فقدان البيانات أو الوصول غير المصرح به أو تدميرها أو استخدامها أو تعديلها أو الكشف عنها.
6. مبدأ الانفتاح. يجب أن تكون هناك سياسة عامة للانفتاح حول التطورات والممارسات والسياسات المتعلقة بالبيانات الشخصية. يجب أن تكون الوسائل متاحة بسهولة لإثبات وجود وطبيعة البيانات الشخصية ، والأغراض الرئيسية لاستخدامها ، بالإضافة إلى الهوية والإقامة المعتادة لمراقب البيانات.
7. مبدأ المشاركة الفردية. يجب أن يكون للفرد الحق في:
   1. للحصول من مراقب البيانات ، أو خلاف ذلك ، على تأكيد ما إذا كان مراقب البيانات لديه بيانات تتعلق به أم لا ؛
   2. أن يكون قد أبلغه بالبيانات المتعلقة به في غضون فترة زمنية معقولة ؛ بتهمة ، إن وجدت ، غير مفرطة ؛ بطريقة معقولة وبصيغة يسهل فهمها له ؛
   3. أن يتم إبداء الأسباب في حالة رفض الطلب المقدم بموجب الفقرتين الفرعيتين (أ) و (ب) ، والقدرة على الطعن في هذا الرفض ؛ و
   4. للطعن في البيانات المتعلقة به ، وإذا نجح التحدي ، يتم مسح البيانات أو تصحيحها أو إكمالها أو تعديلها.
8. مبدأ المساءلة. يجب أن يكون مراقب البيانات مسؤولاً عن الامتثال للتدابير التي تؤدي إلى تفعيل المبادئ المذكورة أعلاه.

كيف تطورت ممارسات المعلومات العادلة؟

تستند FIPPs كما تظهر حاليًا إلى التوصيات التي اقترحتها لجنة استشارية إلى وزارة الصحة والتعليم والرعاية الاجتماعية الأمريكية في عام 1973.

وأشار تقرير اللجنة إلى أن “الضمانات الخاصة بالخصوصية الشخصية القائمة على مفهوم التبادلية في حفظ السجلات

من شأنها تتطلب التزام منظمات حفظ السجلات ببعض المبادئ الأساسية لممارسة المعلومات العادلة “. ثم انتقل بعد ذلك إلى وصف عدة مبادئ لحماية البيانات.

في عام 1980 ، وسعت منظمة التعاون الاقتصادي والتنمية تلك التوصيات وقسمتها إلى مجالات FIPPs الثمانية المذكورة أعلاه. منذ ذلك الحين ، تمت الإشارة إلى FIPPs عدة مرات ،

خاصة في الولايات المتحدة. يستمرون في تشكيل جزء مهم من إرشادات خصوصية البيانات وحماية البيانات.

هل ممارسات المعلومات العادلة جزء من أي تشريع خصوصية؟

لا تعد FIPPs جزءًا من أي متطلبات رسمية أو قانونية. ومع ذلك ، فقد كانت الأساس للعديد من إرشادات الخصوصية المختلفة. كما أنها تعكس العديد من مبادئ الخصوصية المقبولة على نطاق واسع والتي تظهر في أطر الخصوصية الرسمية الأخرى.

على سبيل المثال

 يسرد مبدأ المشاركة الفردية (رقم 7) عددًا من الحقوق التي يجب أن يتمتع بها الأشخاص. 

صنف قانون حماية خصوصية المستهلك في كاليفورنيا (CCPA) بعضًا منها في قانون: فهو يتضمن “الحق في المعرفة” ، على غرار ما هو موصوف في الجزأين (أ) و (ب) من مبدأ المشاركة الفردية.

 يتضمن القانون العام لحماية البيانات (GDPR) أيضًا ” الحق في المحو ” ، على غرار القدرة على “محو البيانات” كما هو موضح في الجزء د) من مبدأ المشاركة الفردية.

كمثال آخر ، فإن مبدأ جودة بيانات FIPPs له نظير في اللائحة العامة لحماية البيانات: تتطلب المادة 5 أن تكون البيانات الشخصية “دقيقة ،

وعند الضرورة ، يجب تحديثها ؛ يجب اتخاذ كل خطوة معقولة لضمان أن البيانات الشخصية غير دقيقة ،

مع مراعاة الأغراض التي يتم معالجتها من أجلها أو محوها أو تصحيحها دون تأخير “.

من المهم ملاحظة أن أطر عمل الخصوصية هذه لا تتطابق تمامًا مع FIPPs

في أوصافها ومتطلباتها. تحتاج المنظمات التي ترغب في الامتثال للقانون العام لحماية البيانات (GDPR) أو قانون حماية خصوصية المستهلك (CCPA)

أو أي تشريع خصوصية آخر إلى التأكد من اتباعها لمتطلبات تلك التشريعات المحددة ، وليس فقط FIPPs.