حقوق‌دانان و شرکت‌ها باید با ابزار مستقل کارکنان چه کنند؟

چالش‌ پیام‌رسان‌ها و ملاحظات حفظ داده‌ها

  • توسط نویسنده
  • ۲۹ روز پیش
  • 2

 

سعید میرشاهی

اپلیکیشن‌های پیام‌رسان با میلیاردها کاربر در سراسر جهان به اَشکال فراگیر در حوزه ارتباط، تبدیل شده‌اند. آنها نحوه ارتباط ما و اشتراک‌گذاری اطلاعات با دیگران را در زندگی شخصی و کسب‌وکارمان تغییر داده‌اند؛ به‌طوری که اکنون کارمندان معمولا از این برنامه‌های پیام‌رسان برای امور تجاری استفاده می‌کنند.

اما با افزایش استفاده از اپلیکیشن‌های پیام‌رسان، نیاز به جمع‌آوری داده‌ها از این برنامه‌ها به شیوه کاملا قانونی از طریق سیستم‌های مدیریت‌شده توسط شرکت‌ها و دستگاه‌های تلفن همراه، به دلایل حقوقی یا تحقیقاتی، افزایش یافته است.

سایت حقوقی legal.fronteousa در گزارشی چالش‌های مرتبط با جمع‌آوری داده‌ها از اپلیکیشن‌های پیام‌رسان، انواع داده‌های مرتبط و پیشرفت‌های جدید که بر رویکردها و سیاست‌های حفظ داده‌ها تاثیر می‌گذارند را به طور مشخص در خصوص کشور آمریکا بررسی و مرورد کرده است.

  • چالش‌های جمع‌آوری داده‌ها در پیام‌رسان ثالث

امروزه اکثر کارمندان از برنامه‌های پیام‌رسان و دستگاه‌های تلفن‌ همراه برای امور تجاری استفاده می‌کنند. این امر دستگاه‌های موردنیاز شرکت‌ها را نیز شامل می‌شود. بسیاری از کسب‌وکارها هنوز ملاحظات مرتبط با سیاست BYOD را دنبال می‌کنند. BYOD  مخفف Bring Your Own Device است.

این اصطلاح که به نام‌هایی مانند «دستگاه خود را بیاورید»، «فناوری خود را بیاورید»، «تلفن خود را بیاورید» و «کامپیوتر شخصی خود را بیاورید»، نیز شناخته می‌شود، وضعيتي را توصيف مي‌کند که کارمندان تمايل دارند دستگاه‌هاي سيار شخصي خود مانند موبايل، تبلت، لپ‌تاپ و… را به محل کار بیاورند و از آنها براي دسترسي به منابع مخصوص شرکت مانند ايميل، پايگاه داده‌، اطلاعات و سایر برنامه‌های کاربردی شرکت استفاده کنند.

با این حال، بسته به نوع کار، دستگاه‌ شخصی ممکن است نیازمند بررسی و جمع‌آوری باشد. در هر صورت، استفاده از برنامه‌های پیام‌رسان و دستگاه‌های تلفن همراه، خطر بیشتری را برای شرکت‌ها ایجاد می‌کند، زیرا آنها کنترل یا دسترسی کمتری به ارتباطات مرتبط با تجارت دارند.

اما چالش‌هایی را که اکنون شرکت‌ها برای مدیریت استفاده و جمع‌آوری داده‌ها با آنها مواجه هستند، می‌توان به 2 حوزه کلی تقسیم کرد: (1) مباحث حقوقی مربوط به موبایل (2) اپلیکیشن‌های پیام‌رسان زودگذر و شبه‌زودگذر.

  1. مباحث حقوقی به فرایند دسترسی، بازیابی و تجزیه و تحلیل شواهد دیجیتال از دستگاه‌های تلفن همراه، با استفاده از روش‌های مورد قبول قوانین اشاره دارد. بزرگ‌ترین چالش مباحث حقوقی تلفن همراه، همگامی با سرعت فزاینده تغییرات در هر ورژن است، مانند جدیدترین نسخه Apple iOS که در آن امکان ویرایش، لغو ارسال پیام‌ها و بازیابی پیام‌های اخیرا حذف‌شده را فراهم می‌کند و در نتیجه، داشتن ابزارهای موجود را به چالش می‌کشد و می‌تواند در طول بررسی‌های حساس به زمان، به تمام داده‌های دستگاه‌ها دسترسی داشته باشد.

در حال حاضر، دستگاه‌ها و سیستم‌عامل‌های جدید به‌ طور مداوم منتشر می‌شوند و هرکدام دارای سیستم فایل و روش‌های ذخیره‌سازی داده منحصربه‌فرد هستند که کار را برای کارشناسان حقوقی و قانونی مرتبط با موبایل سخت می‌کند، زیرا باید با آخرین تغییرات همگام باشند.

بسیار مهم است که تحلیلگر و کارشناس حقوقی، درک عمیقی از سیستم‌عامل‌های تلفن همراه و نحوه ذخیره داده‌ها در تلفن همراه داشته باشد تا به تشریح نحوه فعالیت کاربر در سطح کلان کمک کند. به عنوان مثال، این تحلیلگران باید بدانند آیا داده‌ها در اپلیکیشن، در دستگاه ذخیره می‌شود یا در فضای ابری و اینکه آیا اینها رمزگذاری شده یا خیر. آنها همچنین باید بتوانند اطلاعاتی را که به طور خودکار توسط ابزارهای قانونی تجزیه و تحلیل می‌شوند و بیانگر فعالیت کاربر هستند، درک کنند.

  1. اپلیکیشن‌های پیام‌رسان زودگذر به کاربران امکان می‌دهند که به‌طور خودکار پیام‌های درون یک برنامه را حذف کنند. برخلاف نرم‌افزار پیام‌رسان سنتی، که به کاربر اجازه می‌دهد محتوا را در حساب خود حذف کند نه در دستگاه گیرنده اما پیام‌های زودگذر به کاربر امکان می‌دهد که تاریخچه محتوا را، هم برای فرستنده و هم برای گیرنده، کنترل کند.

پیام‌رسان شبه زودگذر نیز به ارتباطاتی گفته می‌شود که برخی از ویژگی‌های تعیین‌کننده پیام‌های زودگذر را تغییر می‌دهد. رایج‌ترین سیستم‌های پیام‌رسان زودگذر، شبه‌زودگذر هستند، زیرا مدیران می‌توانند تنظیمات حفظ و نگهداری داده‌ها را تنظیم کنند که اغلب این کار را در سطح سازمانی انجام می‌دهند. نمونه برنامه‌های پیام‌رسان شبه زودگذر عبارتند از:Microsoft Teams  و Slack.

در اینجا، دلایل کسب‌وکاری قوی برای شرکت‌ها ‌به منظور توجه به اپلیکیشن‌های پیام‌رسان وجود دارد. این برنامه‌ها:

  • کارآیی و صرفه‌جویی در هزینه را افزایش می‌دهند.
  • الزامات حداقل‌سازی داده‌ها در بسیاری از قوانین و مقررات حفظ حریم خصوصی را رعایت می‌کنند.
  • قرار گرفتن در معرض نقض داده‌ها را به حداقل می‌رسانند.
  • با طراحی مناسب، حریم خصوصی را تسهیل می‌کنند.

با این حال، سه مشکل که سازمان‌ها معمولا هنگام جمع‌آوری داده‌ها از برنامه‌های پیام‌رسان با آنها مواجه هستند، عبارتند از:

  1. رمزگذاری: بسیاری از برنامه‌های پیام‌رسان از رمزگذاری سرتاسری استفاده می‌کنند؛ به این معنا که پیام‌ها در دستگاه فرستنده رمزگذاری می‌شوند و فقط می‌توانند توسط دستگاه گیرنده رمزگشایی شوند.
  2. فقدان استاندارد: برخلاف روش‌های ارتباطی سنتی مانند ایمیل و پیامک/ متن، هیچ استاندارد مشخصی برای جمع‌آوری داده‌ها از برنامه‌های پیام‌رسان وجود ندارد. این امر بدان معناست که تیم‌های حقوقی، اغلب باید به ابزارها و تکنیک‌های اختصاصی برای استخراج داده‌ها از برنامه‌های خاص تکیه کنند. با این حال، مقیاس‌بندی آنها دشوار است و هنگام استخراج یا دریافت توسط طرف‌های دریافت‌کننده، به ناکارآمدی می‌انجامد.

‌3. حجم زیاد برنامه‌ها: اپلیکیشن‌های پیام‌رسان زیادی هستند که هرکدام ویژگی‌ها و پایگاه کاربری منحصربه‌فرد خود را دارند. این موضوع، کار را برای تحلیلگران و نهادهای حقوقی دشوار می‌کند، زیرا باید با آخرین برنامه‌ها همراه شوند. علاوه بر این، برنامه‌های جدید، دائما در حال توسعه و انتشار هستند؛ به این معنا که کارشناسان حقوقی، باید متناسب با آخرین فناوری‌ها، به‌روز باشند و به ‌سرعت به اپلیکیشن‌های جدید دسترسی پیدا کنند.

  • سایر پیام‌رسان‌ها و ملاحظات عمومی

بر اساس آنچه ذکر شد، تا اینجا، چالش‌های کلی مربوط به ابزارهای پیام‌رسان زودگذر و شبه زودگذر را بررسی کردیم اما پذیرفتن این واقعیت نیز مهم است که توسعه‌دهندگان اپلیکیشن، همچنان به نوآوری و استفاده از فناوری‌های جدید ادامه می‌دهند. این امر چالش‌های جدیدی را در حوزه حفظ و نگهداری داده‌ها ایجاد می‌کند. به عنوان مثال، در ماه مارس گذشته در نیویورک، جلسه‌ای برگزار شد که در آن اعضای میزگرد درباره مشکلات و پیچیدگی‌های کنونی جمع‌آوری داده‌ها از برنامه‌های پیام‌رسان نسبتا جدید مانند Signal و Discord ابراز تاسف می‌کردند.

اکنون با نگاه به آینده، باید برای انواع داده‌های آینده، اعم از داده‌های جدید و موجود، برنامه‌ریزی کنیم، زیرا این داده‌ها ممکن است به راهکارهای جدید برای حفظ و جمع‌آوری داده‌ها از نظر قانونی نیاز داشته باشند. بلاک‌چین، بیت‌کوین و کریپتو (رمزارز)، مثال‌هایی در این زمینه هستند. مثال دیگر، راه‌حل جدید Salesforce به نام Einstein GPT مبتنی بر ChatGPT است که انتظار می‌رود پس از انتشار، با Slack ادغام شود.

شکی نیست که ذینفعان eDiscovery با چالش‌های آتی که توسط نوآوری‌های اپلیکیشن پیام‌رسان ایجاد می‌شوند، روبرو خواهند شد، همان‌طور که این موضوع در گذشته رخ داده است. اکنون تمرکز بیشتر دولت و حوزه نظارت بر ارتباطات، «خارج از پلتفرم» یا «خارج از کانال» است. این امر پیام‌های متنی، پیام‌های فوری و ارتباطات از طریق برنامه‌های پیام‌رسان شخص ثالث مانند واتس‌اپ یا سایر سرویس‌های چت زودگذر را شامل می‌شود. در این رابطه، تیم‌های حقوقی باید هوشیار باشند و برای مقابله با چالش‌ها ار طریق راه‌حل‌های ارتباطی جدید آماده شوند.

  • روندهای سیاست حفظ داده‌ها

طی دهه‌ها، شرکت‌ها بر حفظ داده‌ها متمرکز بوده‌اند، زیرا این موضوع، بر اساس مقررات و قوانین خاص صنعت موردنیاز بود. اکنون، شرکت‌ها با رژیم‌های حقوقی متناقض دست‌وپنجه نرم می‌کنند که پاکسازی معمول داده‌ها را تشویق می‌کنند.

به عنوان مثال، مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) و نیز قانون حقوق حفظ حریم خصوصی کالیفرنیا (CPRA)، شرکت‌ها را ملزم می‌کند محدودیت ذخیره‌سازی داده‌ها را با دور انداختن ایمن و دائمی داده‌هایی که دیگر هدف تجاری ندارند یا دیگر مشمول تعهد نگهداری نیستند، اعمال کنند.

با این حال، در سال‌های اخیر به دلیل نگرانی‌ها در حوزه امنیت ملی، در زمینه اجرای قانون و حریم خصوصی، روند اپلیکیشن‌های پیام‌رسان به سمت افزایش الزامات نگهداری داده‌ها بوده است. در این رابطه، نهادهایی که استفاده از پیام‌های زودگذر را ممنوع یا محدود کرده یا درباره آن اخطار داده‌اند، عبارتند از:

  • وزارت دادگستری (DOJ): وزارت دادگستری در ابتدا سازمان‌هایی را که درباره موضوعات FCPA بررسی می‌شدند، در سال 2017، از استفاده از پیام‌های زودگذر منع کرد اما در سال 2019، این ممنوعیت را کاهش داد و اجازه استفاده از پیام‌های زودگذر را در مواردی که «راهنما و کنترل‌های مناسب» وجود دارد و در مواردی که «توانایی کسب‌وکار شرکت را به‌ طور مناسب تضعیف نمی‌کند»، مجاز ‌دانست.

سوابق یا ارتباطات یا موارد دیگر، باید با خط‌مشی‌ نگهداری اسناد یا تعهدات قانونی شرکت مطابقت داشته باشد. (DOJ Justice Manual, FCPA Corporate Enforcement Policy § 9-47.120(3)(c), available at justice.gov).

  • کمیسیون بورس و اوراق بهادار (SEC): کمیسیون بورس و اوراق بهادار توصیه می‌کند مشاوران سرمایه‌گذاری، استفاده تجاری از برنامه‌ها و سایر فناوری‌هایی را که به راحتی به کارمندان برای ارسال پیام یا برقراری ارتباط ناشناس اجازه می‌دهد یا برنامه‌هایی که به خاطر امکان تخریب خودکار پیام‌ها یا ممنوعیت مشاهده یا پشتیبان‌گیری از شخص ثالث، مورد سوءاستفاده قرار می‌گیرند، ممنوع کنند.

استفاده از نرم‌افزار پیام‌رسان زودگذر، ذاتا با الزامات نگهداری داده‌ها و پارامترهای تخریبی تحمیل‌شده توسط رگولاتورها، در تضاد است. این موضوع، ممکن است خط‌مشی‌های حفظ سوابق داخلی را در طیف گسترده‌ای از سازمان‌ها نقض کند.

در ایالات متحده، در سال 2021، مدیر بخش اجرایی کمیسیون بورس و اوراق بهادار (SEC) در سخنرانی خود گفت که نهادها «… باید فعالانه درباره بسیاری از مسائل مربوط به انطباق که ناشی از افزایش استفاده از وسایل شخصی و ارتباطات جدید است، مانند کانال‌ها و سایر پیشرفت‌های فناوری از جمله برنامه‌های زودگذر فکر کرده و به آنها رسیدگی کنند.» اندکی پس از سخنرانی 6 اکتبر، نهادهای مختلف دریافتند که عدم رعایت الزامات برای حفظ اسناد، می‌تواند عواقب جدی در پی داشته باشد.

در سپتامبر 2022، SEC  اعلام کرد که 15 کارگزار و یک مشاور سرمایه‌گذاری وابسته را به دلیل ناکامی در حفظ ارتباطات الکترونیکی با افرادی که از اپلیکیشن‌های پیام‌رسان با دستگاه‌های شخصی در حوزه مسائل تجاری استفاده می‌کنند، متهم کرده است. این شرکت‌ها به نقض مقررات ثبت سوابق  SEC، اذعان و موافقت کردند جریمه‌های بیش از 1.1 میلیارد دلار را بپردازند.

وزارت دادگستری (DOJ)، همچنین با ابراز نگرانی درباره استفاده شرکت‌ها از دستگاه‌های شخصی و برنامه‌های شخص ثالث و  نیز توانایی نظارت بر سوءرفتار و بازیابی داده‌های مربوطه در طول تحقیقات، تمرکز خود را بر این حوزه افزایش داد.

این وزارتخانه اعلام کرد: «… دادستان‌ها باید بررسی کنند آیا شرکت‌ها، سیاست‌ها و رویه‌های موثری را درباره استفاده از دستگاه‌های شخصی و پلتفرم‌های پیام شخص ثالث اجرا کرده‌اند یا خیر تا اطمینان یابند داده‌ها و ارتباطات الکترونیکی مرتبط با بیزینس حفظ می‌شود.»

علاوه بر این، توجه به این نکته مهم است که دادگاه‌های ایالات متحده، شروع به رسیدگی به موضوع اسناد حذف‌شده (عمدی) کرده‌اند. به عنوان مثال، مواردی وجود داشته که در آن هیئت منصفه، مجاز به استنتاج منفی با وجود فقدان شواهد بوده‌اند، به این دلیل که فقدان شواهد، ناشی از استفاده از پیام‌های زودگذر است.

  • ملاحظات مربوط به سیاست حفظ داده‌ها

قبلا اسناد در یک درایو شرکتی مشترک با برنامه‌های تاییدشده خاص ذخیره می‌شدند اما از آنجا که برنامه‌هایی مانند Slack  و  Sharepointدر حوزه فناوری تجاری یکپارچه‌تر شده‌اند، ابزار ردیابی، ذخیره‌سازی و اشتراک‌گذاری نیز پیچیده‌تر شده است.

هنگام توسعه، بررسی و اجرای سیاست‌های حفظ داده، شرکت‌ها باید برای تعیین پلتفرم‌هایی که کارکنان برای ارتباطات تجاری استفاده می‌کنند، زمان بگذارند تا سوابق مربوطه، به درستی حفظ شود.

بسته به نوع صنعت، شرکت‌ها ممکن است سیاستی را درنظر بگیرند که ارسال اطلاعات اساسی را از طریق پلتفرم‌های یک پیام‌رسان خاص ممنوع می‌کند. رویکرد دیگر برای جمع‌آوری اطلاعات می‌تواند شامل ایجاد برنامه‌ای برای گردآوری اطلاعات درباره ماهیت ارتباطاتی باشد که کارکنان از طریق اپلیکیشن‌ها تبادل می‌کنند. بنابراین شما می‌توانید جزییات واقعی درباره داده‌هایی که در سراسر سازمان تولید می‌شود، داشته باشید.

هنگامی که جزییات لازم جمع‌آوری شد، اگر سیاست حفظ سوابق وجود داشته باشد، با رویکرد محتاطانه، می‌توان گسترش الزامات نگهداری اطلاعات را برای اعمال آن در همه داده‌های اپلیکیشن‌های پیام‌‌رسان جدید لحاظ کرد تا کارمندان هنگام کسب‌وکار خود آن را مدنظر قرار دهند.

  • نتیجه‌گیری

مسائل، خطرات و چالش‌های مطرح‌شده در این مقاله، ممکن است طاقت‌فرسا به نظر برسند اما بهتر است مطمئن باشید که صنعت eDiscovery/Legal در گذشته نیز با چالش‌های مشابه، مواجه بوده است، مانند زمانی که پیامک/ متن و چت‌های بلومبرگ، جدیدترین قابلیت‌های چت بودند. سال‌ها پیش، راه‌حل‌های جدید حقوقی نیاز بود. اکنون جامعه eDiscovery  شامل متخصصان حقوقی باهوش و باتجربه است که تشخیص می‌دهند محیط برای حفظ و جمع‌آوری داده‌ها با توجه به راه‌حل‌های مقیاس‌پذیر در حوزه فناوری‌های ارتباطی جدید، بسیار واکنش‌گراست یا خیر.

تا زمانی که شرکت‌ها، سیاست‌هایی وضع کنند که نظارت و بازبینی دوره‌ای نحوه تعامل نیروی کار با فناوری برای برقراری ارتباط را شامل شود و هدف آن حفظ روابط نزدیک با ارائه‌دهندگان خدمات eDiscovery قابل اعتماد یا شرکت‌های حقوقی باشد،  سازمان‌ها برای غلبه بر چالش‌های آینده، به خوبی آماده خواهند شد، زیرا پیشرفت‌های اپلیکیشن‌های پیام‌رسان، راه‌های جدیدی را برای تعامل و همکاری در حوزه کسب‌وکار معرفی می‌کند.

  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin

2 نظرات در حال حاضر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *