مقررات داده که هر توسعه‌دهنده API باید با آن‌ها آشنا باشد چه هستند؟

مدت‌ها، کسب‌وکارها هرگاه که امکان داشت، رویکرد زیر را برای جمع‌آوری داده‌ها در پیش می‌گرفتند: «همین حالا آنچه می‌توانیم جمع کنیم و بعداً تصمیم می‌گیریم با آن چه کنیم.» مفهوم حریم خصوصی داده‌ها تا حدی بعداً مورد توجه قرار می‌گرفت، اما این وضعیت به تازگی تغییر کرده است.

به قول ویلی وونکا (با کمی تغییر): «با من بیا و وارد دنیای مقررات داده‌ها خواهیم شد.»

هر روز ایالت‌های بیشتری در آمریکا و کشورهای دیگر مقررات حریم خصوصی داده‌ها وضع می‌کنند و تعداد بیشتری هم در دست بررسی هستند. نادیده گرفتن این قوانین می‌تواند منجر به واکنش عمومی، جریمه‌های سنگین و حتی اقدامات قانونی شود. به عبارت دیگر، این قوانین را نباید سبک گرفت.

هکرها به طور فزاینده‌ای روی APIها تمرکز می‌کنند، زیرا آن‌ها ابزار اصلی تبادل داده‌ها هستند. در نتیجه، بسیاری از توسعه‌دهندگان API نگران هستند که مسئولیت نشت داده‌ها یا عدم رعایت قوانین حریم خصوصی بر عهده آن‌ها قرار گیرد.

نمونه‌های قابل توجه از چنین مشکلات API شامل بهره‌برداری‌ای است که داده‌های کاربران (حدود ۷۰۰ میلیون کاربر) را از API لینکدین در سال ۲۰۲۱ جمع‌آوری کرد، و یک آسیب‌پذیری در API فیسبوک که شماره تلفن بیش از ۵۰۰ میلیون کاربر را فاش کرد.

رعایت مقررات نه تنها برای حفاظت از داده‌های کاربران و اجتناب از اقدامات قانونی حیاتی است، بلکه برای جلوگیری از از دست رفتن اعتماد به کسب‌وکار و واکنش منفی نیز اهمیت دارد. در ادامه، ده مقررات حریم خصوصی و امنیت داده‌ها که هر توسعه‌دهنده API باید بداند، معرفی شده است. حتی اگر اکنون برای شما مرتبط نباشند، سرعت تغییر مقررات داده‌ها ممکن است به زودی آن‌ها را مرتبط کند.

۱. GDPR (مقررات عمومی حفاظت از داده‌ها) و دستورالعمل ePrivacy

اگرچه اولین قانون داده‌ای نبود — سازمان حفاظت داده سوئد از سال ۱۹۷۳ استفاده غیرمجاز از داده‌های شخصی را ممنوع کرده بود — GDPR وقتی در ۲۰۱۸ اجرا شد، تغییری اساسی ایجاد کرد.

این قانون نحوه جمع‌آوری داده‌ها با رضایت صریح کاربران را مشخص می‌کند، حق حذف داده‌ها را به کاربران می‌دهد و شرکت‌ها را ملزم به اطلاع‌رسانی درباره نقض داده‌ها می‌کند. اگر API شما داده‌های شهروندان اتحادیه اروپا را جمع‌آوری یا پردازش کند، صرف‌نظر از محل استقرار شما، GDPR اعمال می‌شود.

دستورالعمل ePrivacy اتحادیه اروپا، یا همان قانون کوکی‌ها، برای کاهش بازاریابی مزاحم یا ناخواسته طراحی شده است. اگر API شما با کوکی‌ها کار می‌کند یا اطلاعات کاربران را جمع‌آوری می‌کند، باید رضایت کاربران را برای رعایت این قانون و GDPR در نظر بگیرید.

۲. CCPA (قانون حریم خصوصی مصرف‌کنندگان کالیفرنیا) و CPRA (قانون حقوق حریم خصوصی کالیفرنیا)

CCPA در حال حاضر تنها برای کسب‌وکارهای بزرگ اعمال می‌شود — کسب‌وکارهایی با درآمد ده‌ها میلیون دلار، یا پردازش اطلاعات شخصی بیش از ۱۰۰ هزار ساکن/خانوار کالیفرنیا، یا کسب ۵۰٪ درآمد سالانه از فروش اطلاعات شخصی ساکنان کالیفرنیا. با این حال، ممکن است در آینده تغییر کند.

CPRA با تشدید محدودیت‌ها در اشتراک‌گذاری داده و گسترش تعریف «اطلاعات حساس شخصی» CCPA را گسترش داده است. توسعه‌دهندگان API باید مکانیزم‌های حذف یا درخواست انصراف را پیاده‌سازی کنند و اطمینان حاصل کنند که داده‌های حساس با محافظت‌های مناسب مدیریت می‌شوند.

۳. HIPAA (قانون قابلیت حمل و پاسخگویی بیمه سلامت)

برخی تصور می‌کنند HIPAA تنها شامل ارائه‌دهندگان خدمات بهداشتی یا مراجع سلامت عمومی است، اما این درست نیست. هر API که اطلاعات سلامت محافظت‌شده (PHI) را پردازش می‌کند، باید مطابق با HIPAA باشد.

PHI می‌تواند شامل شناسه‌های بیومتریک مانند اثر انگشت باشد، اگرچه به این معنا نیست که هر API که با داده‌های بیومتریک کار می‌کند، نیازمند HIPAA است. این موضوع نشان می‌دهد که ارائه‌دهندگان باید در ایجاد، ارسال یا دریافت داده‌های سلامت بسیار محتاط باشند. به عنوان مثال، یک API فین‌تک که برای پردازش پرداخت‌های درمانی استفاده می‌شود، باید مطابق با HIPAA باشد.

۴. FERPA (قانون حقوق و حریم خصوصی خانواده در آموزش)

FERPA مشابه HIPAA است اما به جای داده‌های سلامت، شامل سوابق آموزشی می‌شود. اطلاعات مرتبط با سلامت در محیط آموزشی، مانند بازدید از درمانگاه مدرسه، تحت FERPA قرار دارد. مدارس می‌توانند با ارائه مجوز کتبی دانش‌آموز یا والدین، اطلاعات را با ارائه‌دهندگان خدمات بهداشتی به اشتراک بگذارند و همچنان مطابق با قانون باشند.

اگرچه این قانون ممکن است به نظر محدود برسد، توسعه‌دهندگان API ممکن است در صورتی که کاربران آن‌ها شامل سن مدرسه یا دانشگاه باشد، نیاز به رعایت آن داشته باشند.

۵. PSD2 (دستورالعمل خدمات پرداخت بازبینی‌شده)

این قانون اتحادیه اروپا بر APIها و بانکداری باز تمرکز دارد. اگر به عنوان توسعه‌دهنده API با موسسات مالی یا پردازش پرداخت کار می‌کنید، باید با PSD2 آشنا باشید. PSD2 در برخی کشورهای اروپایی احراز هویت مشتری قوی (SCA) و امنیت سطح بانکی را در تمام APIهای دسترسی شخص ثالث الزامی می‌کند.

۶. استاندارد بانکداری باز بریتانیا و فراتر از آن

مشابه PSD2، استاندارد بانکداری باز بریتانیا بانک‌ها را ملزم می‌کند داده‌ها و قابلیت‌های مالی مشخصی را برای ارائه‌دهندگان شخص ثالث مجاز باز کنند. انتظارات در دستور CMA آمده و توسط Open Banking Limited (OBL) نظارت می‌شود.

فراتر از بریتانیا، قوانین مشابه بانکداری باز در کشورهای دیگر از جمله مکزیک، برزیل، استرالیا و … ظاهر شده است. در آمریکا، بخش ۱۰۳۳ ممکن است پایه‌ای برای الزامات بانکداری باز فراهم کند.

۷. LGPD (قانون عمومی حفاظت از داده‌ها برزیل)

LGPD برزیل که در ۲۰۲۰ اجرا و در ۲۰۲۱ اجرایی شد، نیاز به رضایت برای پردازش داده‌ها دارد و با GDPR اتحادیه اروپا هماهنگ است. مانند GDPR، این قانون شامل کاربران برزیلی می‌شود، صرف‌نظر از مکان استقرار شرکت یا API.

LGPD بر اساس شش مبنای قانونی GDPR، مواردی از جمله تحقیق، امور قضایی، حفاظت از سلامت و حفاظت از اعتبار را نیز اضافه کرده است. از فوریه ۲۰۲۲، حفاظت از داده‌ها به عنوان یک حق اساسی در قانون اساسی برزیل شناخته شده است.

۸. PIPEDA (قانون حفاظت از اطلاعات شخصی و اسناد الکترونیکی کانادا)

بر خلاف آمریکا، که مقررات داده‌ای عمدتاً ایالتی است، کل کانادا تحت پوشش PIPEDA قرار دارد. استان‌های آلبرتا، بریتیش کلمبیا و کبک مقررات خصوصی اضافی دارند.

دولت کانادا اعلام می‌کند که تمام کسب‌وکارهایی که در کانادا فعالیت می‌کنند و اطلاعات شخصی را در مرزهای استانی یا ملی پردازش می‌کنند، مشمول PIPEDA هستند. بنابراین رعایت آن هنگام پردازش داده‌های کانادایی‌ها اهمیت دارد.

۹. PIPL (قانون حفاظت از اطلاعات شخصی چین)

PIPL که در اواخر ۲۰۲۱ اجرا شد، قوانین جمع‌آوری، استفاده، ذخیره، انتقال و افشای اطلاعات کاربران را مشخص می‌کند. مشابه GDPR، شفافیت، کاهش داده و محدودیت هدف را ترویج می‌دهد و از داده‌های کاربران مستقر در چین محافظت می‌کند، صرف‌نظر از مکان پردازشگر داده.

برای سرویس‌های میزبانی یا دسترسی در چین، ارائه‌دهندگان API باید ثبت ICP (محتوای اینترنتی) اجباری را دریافت کنند.

۱۰. DPDP (قانون حفاظت از داده‌های شخصی دیجیتال هند)

DPDP هند که در ۲۰۲۳ تصویب شد، در حال پیاده‌سازی مرحله‌ای است. اوایل ۲۰۲۵، پیش‌نویس مقررات DPDP برای نظر عمومی منتشر شد. مشابه GDPR، تمرکز بر اطلاع‌رسانی، اقدامات امنیتی و گزارش نقض داده‌هاست.

هر ارائه‌دهنده یا مصرف‌کننده API که با داده‌های هندی سروکار دارد، باید توجه دقیق به این پیش‌نویس داشته باشد، زیرا انتظار می‌رود در سال جاری ادامه پیاده‌سازی داشته باشد.

آینده مقررات داده و APIها

لیست فوق کامل نیست و با سرعت زیادی در حال رشد است. در آمریکا، ایالت‌های دیگر مقررات حریم خصوصی مشابه CCPA و CPRA را تصویب می‌کنند. به عنوان مثال، در نیویورک، قانون Stop Hacks and Improve Electronic Data Security (SHIELD) اجرا شده است.

حدود نیمی از ایالت‌های آمریکا در حال حاضر قوانین حریم خصوصی را تصویب یا در حال بررسی دارند و انتظار می‌رود ایالت‌های دیگر نیز به دنبال آن بیایند.

در سایر کشورها، مقررات جدید برای تکمیل GDPR یا ایجاد قوانین خاص خود، مانند BDSG آلمان، POPIA آفریقای جنوبی یا قانون حفاظت از داده امارات (DPL 2021) ظاهر شده است.

اگر فکر می‌کنید رعایت مقررات داده یک میدان مین است، خبر خوب این است که اگرچه نام و دامنه متفاوت است، اکثر این قوانین هدف مشابهی دارند: رضایت کاربر، محدودیت هدف، محافظت معقول و اطلاع‌رسانی نقض داده‌ها.

با رعایت بهترین شیوه‌های توسعه API — رمزگذاری تمام ترافیک، احراز هویت و مجوزدهی مناسب با OAuth 2.0 یا مشابه، استفاده از اصل حداقل دسترسی، و کاهش افشای داده — اغلب می‌توان الزامات قانونی را رعایت کرد یا حداقل بخش عمده آن را پوشش داد.

همان‌طور که مشاهده شد، مدیریت مقررات داده کاری یک‌باره و فراموشی‌پذیر نیست. قوانین جدید مرتباً معرفی می‌شوند و پیگیری مستمر رعایت مقررات باید بخشی از فرآیند باشد، زیرا عدم رعایت آن می‌تواند بسیار پرهزینه باشد.