سرخ و صورتی «محلی سازی داده» در ایران و جهان

خبرگزاری مهر - گروه دانش و فناوری، سید رضا حسینی: انقلاب چهارم و توسعه شگرف فناوری اطلاعات در عصر حاضر، زمینه‌ساز بروز تحولات شگرفی در بسیاری از مفاهیم بنیادین از جمله ژئوپلیتیک و حریم خصوصی شده است. این روزها، اغلب دولت‌های جهان، داده‌ها را بخشی از ارزنده‌ترین دارایی‌های ملی تلقی می‌کنند و از همین رو در پی تنظیم روند خروج داده‌ها از مرزهای جغرافیایی کشورها و توسعه فرایند محلی‌سازی داده‌ها هستند.

علیرغم مزایای قابل توجه انتقال آزاد داده‌ها برای شرکت‌های فناوری چندملیتی، ده‌ها کشور موانعی را برای جریان فرامرزی داده‌ها ایجاد کرده‌اند. ایجاد الزام قانونی جهت استقرار داده‌ها در داخل مرزهای جغرافیایی کشورها، یکی از بارزترین مصادیق تلاش دولت‌ها جهت انطباق خود با تحولات شتابان حوزه فناوری اطلاعات به شمار می‌رود.

به‌طورکلی، محلی‌سازی داده‌ها، می‌تواند صراحتاً و به موجب قوانین تدوین شده، محقق شود یا از طریق سیاست‌های کلان محدودکننده انتقال داده به حدی دشوار شود که عملاً امکان آن وجود نداشته باشد؛ به‌عبارت‌دیگر، بسیاری از دولت‌ها، شرکت‌ها ملزم به ذخیره و پردازش داده‌ها در داخل مرزهای جغرافیایی خود می‌کنند. در ادامه این نوشتار کوتاه، به بررسی نمونه‌هایی از الزامات محلی‌سازی داده‌ها، پرداخته می‌شود.

نقشه زیر، نشان‌دهنده کشورهایی است که در حوزه تنظیم‌گری محلی‌سازی داده‌ها ورود کرده و اقداماتی در این زمینه داشته‌اند. قواعد محلی‌سازی داده‌ها به اشکال گوناگونی در کشورهای مختلف جهان، اجرا می‌شوند. برخی از دولت‌ها، انتقال داده‌ها به خارج از مرزهای ملی خود را به‌طور کلی ممنوع کرده‌اند و برخی دیگر، محدودیت‌های جدی برای خروج طیف گسترده‌ای از داده‌های حیاتی خود، وضع کرده‌اند.

الزامات محلی‌سازی داده‌ها در اتحادیه اروپا

اگرچه این روزها و با جدی شدن موضوع تصویب و اجرای قانون بسته خدمات دیجیتال در اتحادیه اروپا، بسیاری از کارشناسان به ناکامی مقررات عمومی حفاظت از داده‌ها، «GDPR»، اذعان داشته‌اند اما اتحادیه با مقررات عمومی حفاظت از داده‌ها، «GDPR»، گامی جدی در عرصه محلی‌سازی داده‌های قاره سبز برداشت. این قانون، وظیفه تنظیم پردازش داده‌های شخصی شهروندان اتحادیه اروپا را بر عهده دارد. بر اساس مجموعه قوانین یادشده، همه سازمان‌ها، نهادها و شرکت‌هایی که اطلاعات شخصی، استخدامی، مالی، سلامت و سوابق پرداخت شهروندان اتحادیه اروپا دریافت و نگهداری می‌کنند، ملزم به ذخیره ایمن داده‌ها در داخل مرزهای جغرافیایی این نهاد بین‌المللی هستند و اگر در شرایط خاص انتقال داده اجتناب‌ناپذیر باشد، اطلاعات تنها می‌تواند در اختیار کشورها و سازمان‌های مورد تأیید اتحادیه قرار گیرد.

آمریکا و برخورد سلبی با داده‌های کاربران تیک تاک

«قانون حفظ حریم خصوصی مصرف‌کنندگان کالیفرنیا» (CCPA) به صورت صریح، اشاره‌ای به مساله محلی‌سازی داده‌ها و نحوه ذخیره اطلاعات نداشته است و انتقال داده را در قالب مفهوم عام فروش اطلاعات قرار می‌دهد؛ بنابراین، طیف گسترده‌ای از اقدامات مانند انتقال، انتشار، افشای اطلاعات در زمره مصادیق فروش داده قرار می‌گیرند. بنا بر مقررات موجود، فرایند انتقال داده باید به صورت شفاف و با اطلاع صاحبان داده صورت پذیرد. بر همین اساس و مطابق با حقوق مصرف‌کنندگان حق اطلاع، دسترسی و اعتراض به انتقال داده‌ها برای صاحبان داده، محفوظ است و آن‌ها می‌توانند اجازه انتقال داده را ندهند.

با این‌وجود، سیاست عملی ایالات‌متحده آمریکا در قبال شرکت‌ها و برنامه‌هایی چون تیک‌تاک، کاملاً بر رویکرد سلبی مبتنی است. فعالیت تیک‌تاک، مدت کوتاهی پس از ورود به بازار آمریکا، مشروط به همکاری بایت دنس، شرکت مالک تیک‌تاک با شرکت آمریکایی اوراکل شد و پس از اعمال فشار فراوان از سوی دولتمردان آمریکایی، مساله الزام این شرکت چینی به ذخیره داده‌های شهروندان آمریکایی در داخل کشور نیز مطرح شد. حال اوراکل، به بهانه پیشگیری از دسترسی دولت چین به اطلاعات کاربران آمریکایی، با نهایت دقت بر فعالیت تیک‌تاک در ایالات‌متحده نظارت دارد و تیک‌تاک نیز در حال انتقال همه داده‌های کاربران آمریکایی به سرورهای ابری اوراکل، مستقر در این کشور است.

آغاز محلی‌سازی داده‌ها در روسیه از ۲۰۰۶

آغاز تلاش روسیه برای ورود به عرصه حفاظت از داده‌های ملی به ژانویه سال ۲۰۰۶ باز می‌گردد. کرملین قوانین اساسی در زمینه نحوه حفاظت از اطلاعات خود با عنوان «قوانین حفاظت از داده» (DPA) را در تاریخ ۲۷ ژانویه ۲۰۰۶، تصویب کرد. بر اساس این قانون، همه اطلاعات شناسایی، دارایی، مالی، سرمایه‌گذاری و سلامت شهروندان روسیه در زمره داده‌های مشمول این قانون، قرار می‌گیرد. اگرچه، قوانین روسیه، پردازش داده‌های خود در خارج از مرزهای این کشور را به کلی منع نمی‌کند اما شرکت‌ها و سازمان‌ها ملزم هستند که حتماً داده‌ها را به صورت کامل در روسیه ذخیره و به‌روزرسانی کنند. این قوانین، شامل حال همه مؤسسات و شرکت‌های فعال یا دارای نمایندگی در داخل روسیه و همچنین شرکت‌هایی که از خارج، در بازار این کشور حضور دارند، می‌شود؛ بنابراین، هر شرکتی که در روسیه یا با طرف‌های روس تجارت می‌کند ممکن است تحت تأثیر قانون قرار گیرد، حتی اگر در روسیه ثبت نشده باشد.

حفظ اصل محرمانگی اطلاعات در امارات متحده عربی

امارات متحده عربی با وجود قوانین متعدد در حوزه حفاظت از داده‌ها، رویکردی متفاوت به مساله انتقال داده‌ها دارد. داده‌های مدنظر تنظیم‌گران امارات، اطلاعات هویتی، دارایی، تراکنش‌های مالی و سلامت را شامل می‌شود. بر اساس قوانین موجود، انتقال اغلب داده‌های مربوط به این کشور، در صورت اعلام رضایت کتبی ذینفعان جهت انتقال، بلامانع است. این در حالی است که دارندگان مجوز باید اطمینان حاصل کنند که اشخاص ثالث تمام اقدامات معقول و مناسب را برای محافظت از محرمانه بودن و امنیت اطلاعات مشترک انجام می‌دهند. علاوه بر این، متولی انتقال داده نیز اطمینان حاصل کند که تمام اقدامات معقول برای محافظت از حریم خصوصی اطلاعات، صورت گرفته است.

بااین‌وجود، اطلاعات مالی شرایط متفاوتی نسبت به سایر داده‌ها دارند. بر اساس چارچوب مقرراتی برای داده‌های مربوط به سیستم‌های پرداخت الکترونیکی و سایر اطلاعات مالی، همه اپراتورهای سیستم پرداخت (PSP)، از سوی بانک مرکزی امارات متحده عربی، موظف هستند که همه داده‌های کاربران و تراکنش‌ها را منحصراً در داخل مرزهای امارات و پایگاه داده این بانک ذخیره و نگهداری کنند.

مجموعه قوانین محلی‌سازی داده‌ها در ویتنام

داده‌های مورد نظر تنظیم‌گران ویتنامی، اطلاعات هویتی، سلامت و شغلی را شامل می‌شود. برخلاف سایر کشورها، در ویتنام، قانون جامع حفاظت از داده‌ها وجود ندارد. در عوض، مقررات حفاظت از داده‌ها بخش‌های مختلف قوانین و اسناد حقوقی این کشور، مورد اشاره قرار گرفته است. در چنین شرایطی، سردرگمی شرکت‌ها و فعالان در مورد اینکه کدام قانون شامل فعالیتشان می‌شود، یکی از ضعف‌های این سیستم به شمار می‌رود.

قانون امنیت سایبری ویتنام، مهم‌ترین سند حقوقی این کشور در زمینه حکمرانی داده به شمار می‌رود. برخلاف سایر قوانین حفاظت داده که از «GDPR» اتحادیه اروپا الهام گرفته شده‌اند، این قانون شباهت‌هایی با قانون امنیت سایبری چین، مصوب سال ۲۰۱۷ دارد. این قانون به جای اعمال حقوق حفظ حریم خصوصی داده‌ها برای کاربران، بر ارایه توانایی کنترل جریان اطلاعات به دولت تمرکز دارد.

شرکت‌های فعال در حوزه داده در ویتنام، ملزم به رعایت تعهدات زیر هستند:

• رضایت صاحب داده‌ها باید پیش از جمع‌آوری، اشتراک‌گذاری، افشا یا انتقال داده‌های شخصی به شخص ثالث اخذ شود.
• اگر داده‌های شخصی به شخص ثالث منتقل شده و توسط آن پردازش می‌شود، در قرارداد با شخص ثالث، باید مقرراتی وجود داشته باشد که مسؤولیت هر یک از طرفین را برای رعایت مقررات مربوطه در مورد حفاظت از داده‌ها به وضوح مشخص کند.
• تهیه اعلامیه حفظ حریم خصوصی و اطمینان از دسترسی آسان افراد به آن
• داده‌های شخصی باید در صورت درخواست صاحب داده یا انقضای دوره استفاده حذف شوند.
• داده‌های تنظیم شده باید به طور ایمن و مطابق با استانداردهای فنی ذخیره شوند.
• در صورت نیاز، بنا به درخواست مقامات محلی ذی‌صلاح، بازرسی می‌تواند به منظور کنترل و اطمینان از امنیت اطلاعات انجام شود.

هند و حفاظت از داده‌های ملی

پارلمان هند طی سال‌های اخیر، روی پیش‌نویس لایحه حفاظت از داده‌های کشور تمرکز کرده است. بی‌شک وجود این دست قوانین برای هند، نیازی اساسی به شمار می‌رود و رشد مراکز داده این کشور باید برای پاسخ به نیاز روزافزون بازار در حال توسعه خود، با شرایط مطابقت یابد.

مقررات کنونی هند در زمینه داده‌ها، مجموعه‌ای از قوانین پراکنده در حوزه‌های گوناگون را شامل می‌شود. به عنوان مثال، بر اساس دستورالعمل بانک مرکزی هند، داده‌های مربوط به سیستم پرداخت کشور، باید حتماً به صورت محلی ذخیره شوند؛ بنابراین، اگرچه هیچ ممنوعیت صریحی برای انتقال داده‌ها به خارج از مرزهای هند وجود ندارد؛ اما داده‌های کارت بانکی و سایر داده‌های شخصی حساس، باید در داخل کشور ذخیره شوند. این رویه طی ماه‌های اخیر مشکلات فراوانی را برای برخی شرکت‌های بین‌المللی مانند «مستر کارت» و «پی‌پال»، ایجاد کرده است.

این در حالی است که در پیش‌نویس جدید قانون جامع حفاظت از داده‌ها، تأکید شده است که داده‌های حیاتی و حساس، نباید از کشور هند، خارج شوند.

ورود کویت به عرصه حکمرانی داده

در اواخر سال ۲۰۲۱، کویت، قانونی جامع برای حفاظت از داده‌ها تصویب کرد. به زعم بسیاری از کارشناسان، اجرای این دست قوانین، نشان‌دهنده عزم کشورهای منطقه برای استفاده از داده‌ها برای تحقق تحول اقتصادی در عصر دیجیتال است.
بر اساس قوانین مصوب سال ۲۰۲۱ کشور کویت، موسوم به «چارچوب نظارتی رایانش ابری» و «مقررات حفاظت از حریم خصوصی داده‌ها»، اگرچه مباحث مرسوم مربوط به حفاظت از داده‌ها، غیرقابل تخطی و دور زدن نیست؛ اما داده‌های حساس و دولتی، نمی‌توانند به خارج از کشور منتقل شوند.
چارچوب‌های قانونی یاد شده، بخشی از کلان پروژه کشور کویت برای بهره‌برداری مؤثر از صنعت فناوری اطلاعات به شمار می‌رود که به‌طورکلی، «پروژه کویت جدید ۲۰۳۵» (New Kuwait ۲۰۳۵)، نامیده می‌شود.

اندونزی و تلاش برای حفاظت از داده‌ها

کشور اندونزی، طی روزهای اخیر، با تصویب نخستین قانون حفاظت از داده‌های شخصی این کشور، گامی بلند در راستای حکمرانی داده‌های ملی خود، برداشت. اندونزی در اواخر ماه سپتامبر ۲۰۲۲، اولین قانون حفاظت از داده‌های شخصی خود، موسوم به «PDP» را پس از سال‌ها بحث و بررسی و به تعویق انداختن، تصویب کرد. قانون «PDP» با تأثیر از مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR)، نگاشته شده است.

بر اساس قانون جدید، خروج داده‌های کاربران اندونزیایی، تنها به مقاصدی مجاز است که دارای شرایط زیر باشند:

• کشوری که دارای مکانیسم‌های حفاظت از داده‌های شخصی برابر یا بالاتر با اندونزی باشد.
• صاحبان داده، باید اطمینان حاصل کنند که حفاظت از داده‌های شخصی به حد کافی وجود دارد.
• در صورت عدم وجود استانداردهای یاد شده، ارایه‌دهنده خدمات، باید رضایت صاحب داده را برای انتقال، جلب نماید.

ذخیره داده در مرزهای کشورها؛ رویکردی جهانی و در حال توسعه

اگرچه تعاریف متعددی از مفهوم حریم خصوصی در جهان وجود دارد؛ اما اصل موضوع اهمیت حفظ حریم خصوصی، تقریباً از سوی همه دولتمردان جهان، مورد تأیید است. به همین دلیل، آمار قوانین و مقررات تصویب شده در زمینه محلی‌سازی داده‌ها، در طول سال‌های اخیر، حکایت از رشد محسوس دغدغه یاد شده در میان دولت‌های اقصی نقاط جهان دارد.

بی‌شک وجود این دست قواعد و احترام شرکت‌ها به آن‌ها، حامل دو پیام جدی و اثرگذار برای کاربران است:

• کسب‌وکارهای فعال در زمینه محلی‌سازی داده‌ها، به حریم خصوصی کاربران احترام بیشتری می‌گذارند.
• کسب‌وکارهایی که حامی این فرایند هستند، بهتر از دیگر ارایه‌دهندگان خدمات می‌توانند الزامات حفاظت از داده‌ها و حریم خصوصی را محقق سازند.

این روزها مساله حفاظت از داده‌های ملی حتی برای دموکراتیک‌ترین جوامع غربی نیز به دغدغه‌ای اساسی بدل شده است و هر روز، شرکت‌های بیشتری برای تداوم فعالیت خود، ملزم به پیروی از قواعد ملی در زمینه حفاظت از اطلاعات و محلی‌سازی داده‌ها می‌شوند؛ بنابراین، باید انتظار داشت که این روند ادامه یافته و در آینده‌ای نزدیک، مساله حفاظت از داده‌های ملی به یکی از عناصر کلیدی حکمرانی کشورها در فضای مجازی و حقیقی، بدل شود.

این روزها مساله حفاظت از داده‌های ملی حتی برای دموکراتیک‌ترین جوامع غربی نیز به دغدغه‌ای اساسی بدل شده است و هر روز، شرکت‌های بیشتری برای تداوم فعالیت خود، ملزم به پیروی از قواعد ملی در زمینه حفاظت از اطلاعات و محلی‌سازی داده‌ها می‌شوند خبرگزاری مهر در این زمینه به گفتگو با حسین زیبنده، پژوهشگر هسته خط‌مشی فضای مجازی مرکز رشد دانشگاه امام صادق علیه‌السلام (سپهرا) پرداخته است. وی سخنان خود را با توضیح زمینه تاریخی محلی‌سازی داده‌ها آغاز کرد و گفت: در ابتدا اگر بخواهیم جایگاه محلی سازی داده‌ها را توضیح دهیم و تحلیلی ناظر بر گذشته و فرایند آن داشته باشیم، می‌توان گفت که در عصر دیجیتال و با توسعه اینترنت، این برآورد وجود داشت که مرزها در حال کمرنگ شدن هستند دولت ملت‌های شکل گرفته در گذشته تحت تأثیر قرار گرفتند و به سمت جهانی شدن حرکت کردیم. ایده جهانی شدن که پیش‌تر شکل گرفته بود با ظهور و توسعه فضای مجازی با سرعت و شدت بیشتری دنبال شد. اکنون فعالیت پلتفرم‌هایی را شاهد هستیم که اساساً نظام‌های اجتماعی را در کشورهای مختلف تحت تأثیر قرار داده‌اند، پایبند به قوانین و مقررات محلی کشورها نیستند و حاکمیت دولت‌ها را در این کشورها به رسمیت نمی‌شناسند. این پلتفرم‌ها عملاً به دنبال ایجاد قدرت‌های جدید فراملی و کمرنگ کردن مرزها در عصر دیجیتال هستند. این روند با توجه به ماهیت بین‌المللی شبکه جهانی اینترنت و ارایه خدمت بین‌المللی، دور از انتظار نیست.

وی افزود: مساله این است که حاکمیت‌ها به واسطه دغدغه‌های عمومی خود و احساس خطری که در برخی موارد متوجه آن‌ها شده، در پی حفظ هویت و قدرت خود و در یک کلام حفظ ظرفیت حکمرانی خود هستند. محلی سازی داده‌ها و مفاهیم مشابه آن، مانند حاکمیت داده‌ها یا حاکمیت دیجیتال، بر همین دغدغه تاکید و تمرکز دارد.

مزایای محلی‌سازی داده‌ها

زیبنده در خصوص دلایل دولت‌ها برای حرکت به سمت محلی‌سازی داده‌ها به معرفی برخی محورهای اساسی پرداخت. وی در این خصوص گفت: یکی از علل مهم محلی سازی یا حاکمیت داده، مساله حفظ امنیت کشورها است. پس از افشاگری‌های اسنودن درباره دسترسی برخی دولت‌ها به داده‌های شهروندان کشورهای مختلف و استفاده آن‌ها از داده‌ها به صورت غیرمجاز برای دخالت در طیف گسترده‌ای از مسایل سیاسی و اجتماعی مانند انتخابات‌ها و تغییر نظام اجتماعی، دغدغه دولت‌ها برای ممانعت از نظارت خارجی و کنترل کشور، به محلی‌سازی داده‌ها و حرکت در خلاف جهت جهانی شدن ناشی از توسعه اینترنت جهانی منجر شد. همین امر سبب شد که آن‌ها به سمت توسعه اینترنت‌های چند پاره حرکت کنند و در راستای محافظت از داده‌ها به محلی سازی روی آورند.

وی همچنین افزود: یکی از دغدغه‌های دیگر در این بحث، مساله امنیت داده‌های حساس داخل کشور است. چالش نخست استفاده از کلان داده‌های ملت‌ها برای ذایقه ‌سنجی و تغییر ذایقه ملت‌ها بود؛ اما در این میان برخی داده‌های حساس محرمانه از جمله داده‌های سلامت، بیولوژیک و بانکی نیز وجود دارند که کشورها در پی نگهداری و حراست از آن‌ها هستند. لذا به واسطه تسهیل جریان تبادل داده ناشی از گسترش فناوری اطلاعات، امکان ذخیره این طیف داده‌ها در داخل کشورها و جلوگیری از خروج آن‌ها اهمیت می‌یابد. به عنوان مثال، حجم عظیمی از داده‌های سلامت شهروندان از طریق ابزارهای پوشیدنی و اپلیکیشن‌های سلامت از کشور خارج می‌شود. همچنین میزبانی برخی سرویس‌های اساسی مانند بیمه سلامت کشور، از سوی شرکت‌های خارجی، سبب ذخیره اطلاعات شهروندان، بیماری‌ها و داروهای کشور در خارج از کشور می‌شود؛ امری که می‌تواند مخاطرات امنیتی بیشماری در پی داشته باشد.

پژوهشگر هسته خط‌مشی فضای مجازی مرکز رشد دانشگاه امام صادق علیه‌السلام (سپهرا) در ادامه گفت: دغدغه بعدی متولیان حوزه محلی‌سازی داده‌ها، حفظ حریم خصوصی شهروندان کشور است و دولت‌ها در راستای تحقق حفاظت از حریم خصوصی افراد، به عنوان یک حق و منفعت عمومی در پی محلی سازی داده‌ها و کنترل فرایند دسترسی به داده‌ها هستند. دلیل دیگر حرکت کشورها به سمت محلی سازی داده‌ها، جلوگیری از جرایم سایبری است. دسترسی به اطلاعات و داده‌های مجرمان سایبری یک کشور، در صورت ذخیره داده‌ها در داخل کشور، به راحتی قابل تحقق است. یکی از مساالی که دولت‌ها با پلتفرم‌هایی چون اینستاگرام و تلگرام دارند، این است که میزان جرایم سایبری در آن‌ها بالا است و به دلیل عدم دسترسی دولت‌ها به داده‌های کاربران این برنامه‌ها و عدم احراز هویت افراد، امکان پیگیری جرایم عملاً وجود ندارد.

وی افزود: مساله دیگر دغدغه ژئوپلیتیک دولت‌ها محسوب می‌شود که ناظر بر تضمین امنیت و حفاظت از داده‌ها در صورت وقوع بحران‌های جغرافیای سیاسی کشورها است. به عنوان مثال در صورت بروز بحران‌هایی چون بلایای طبیعی، جنگ و تحریم، داده‌های ذخیره شده کاربران یک کشور در کشور دیگر، به خطر خواهند افتاد. دولت‌ها با این ملاحظه نیز به سمت محلی سازی داده‌ها حرکت کرده‌اند. از سایر دغدغه‌ها و دلایل حرکت دولت‌ها به سمت محلی سازی داده‌ها همچنین می‌توان به بهبود عملکرد در دسترسی و فراخوانی سریع‌تر داده‌ها و بهبود تجربه کاربری، ایجاد مشاغل و توسعه زیست بوم فناوری از طریق استقرار کسب و کارهای فناوری در داخل کشور و در نتیجه تقویت اقتصاد دیجیتال به واسطه توسعه مشاغل مذکور اشاره کرد.

به عقیده او، یکی دیگر از دلایل برجسته برای گرایش دولت‌ها به محلی سازی داده‌ها نیز موضوع آینده نگری کشورها برای عقب نماندن از روند توسعه فناوری‌هایی چون هوش مصنوعی است. اگر ما به دنبال آن هستیم که در عصر دیجیتال و فناوری‌های نوین تعیین کننده قدرت در این دوره، ناگزیر از محلی سازی داده‌ها خواهیم بود.

آن روی سکه...

حسین زیبنده معتقد است که در محلی سازی داده‌ها در کنار مزایای ذکر شده، معایبی نیز در بر دارد. وی در این خصوص گفت: یکی از این معایب، مساله هزینه بالای توسعه زیرساخت‌ها و مراکز داده داخلی، طراحی شیوه دسترسی به این داده‌ها و تأمین امنیت این داده‌ها است. بی شک مجموع این فرایند، فعالیتی هزینه‌بر محسوب می‌شود.‌

به عقیده او، نکته بعدی پیچیدگی محلی‌سازی داده‌ها است. یکی از چالش‌هایی که حتی قوانین حفاظت از داده اروپا از جمله GDPR نیز با آن رو به رو شده و آن را در مسیر اجرا با مشکلاتی مواجه ساخته، موضوع پیچیدگی اجرای این فرایند است. به عبارت دیگر اقداماتی از جمله بررسی سطح انتقال داده‌های فراملی و اعمال کنترل‌های لازم برای این امر، دارای پیچیدگی‌های فنی است که تحقق این هدف را با دشواری مواجه می‌کند.
مساله و چالش بعدی در بحث محلی‌سازی داده‌ها، محدودیت‌های احتمالی است که این امر می‌تواند در دسترسی و ارایه خدمات ایجاد کند. با حرکت به سمت محلی‌سازی، ممکن است دسترسی به برخی از خدمات مورد نظر کاربر، با محدودیت مواجه شود. امری که مستلزم جایگزینی خدمات مذکور با انواع داخلی است که در برخی موارد قابل تحقق نیست.

چالش دیگری که از سوی این کارشناس فضای مجازی مورد اشاره قرار گرفت، موضوع ورود پلتفرم‌های یک کشور به بازار دیگر کشورها است؛ امری که مجدداً این فرایند را با پیچیدگی‌هایی رو به رو می‌سازد. این هدف که کشور ما نیز در پی تحقق آن است، محلی سازی داده‌ها در کشور مبدا و مقصد را با چالش‌هایی مواجه می‌کند. از سوی دیگر، از بین رفتن رقابت و شکل‌گیری مزیت تبعیض آمیز انحصاری به نفع کسب و کارهای داخلی حوزه داده در یک کشور نیز مساله دیگری است که یکی از چالش‌های محلی سازی داده‌ها به محسوب می‌شود. عدم وجود رقابت و محدودیت در فعالیت بازیگران عرصه داده در داخل یک کشور، می‌تواند سبب کاهش کیفیت یا افزایش تعرفه خدمات و همچنین تحت تأثیر قرار گرفتن ثبات شود. موضوعی که حل آن نیازمند وضع قوانین کارآمد است.

انواع مدل‌های تحقق محلی سازی داده‌ها

محقق هسته خط‌مشی فضای مجازی مرکز رشد دانشگاه امام صادق علیه‌السلام (سپهرا) معتقد است که انواع مدل‌های تحقق محلی سازی داده‌ها که کشورها به سمت آن حرکت می‌کنند، می‌تواند در طیفی از محلی‌سازی مطلق داده‌ها (ذخیره و پردازش همه داده‌ها در داخل مرزهای یک کشور) تا عدم محدودسازی کامل جریان داده و عدم وضع هیچ‌گونه محدودیتی برای خروج داده‌ها دسته بنده شود. انواع مختلفی از محلی‌سازی وجود دارد که کشورها به سمت آن حرکت کردند. این مدل‌ها عبارتند از:

1. منع کامل در انتقال داده و کپی داده به خارج از مرزها و ذخیره‌سازی و پردازش کامل داده در داخل کشور
2. در نظر گرفتن محدودیت در خروج داده‌ها از کشور، با در نظر گرفتن برخی استثنائات از جمله موارد خاص و ذیل توافقات مشخص
3. پذیرش خروج کپی داده‌ها در خارج از کشور به شرط ذخیره‌سازی داخلی داده‌ها
4. مشروط کردن انتقال و خروج داده‌ها از کشور به مجوز کاربران از طریق مقرراتی برای کسب اجازه
5. وضع مقررات سهل‌گیرانه مبتنی بر استانداردسازی و صدور مجوز خروج داده در صورت تحقق استانداردها

وی همچنین گفت: به طور کلی در سطح جهان توافقاتی برای انتقال داده وجود دارد که خروج داده مبتنی بر آن‌ها صورت می‌گیرد. به عنوان مثال، میان اتحادیه اروپا و آمریکا برای انتقال داده توافقاتی صورت گرفته است که از طریق تدوین برخی استانداردهای امنیتی، جریان فرامرزی داده‌ها را تسهیل می‌کند.

موانع بومی‌سازی داده‌ها در ایران

زیبنده بر این عقیده است که بسیاری از موانع و چالش‌هایی که پیش‌تر ذکر شد، در ایران نیز وجود دارد و برای این کشور نیز صادق است. وی در این خصوص گفت: موردی که به صورت خاص می‌توان درباره ایران به آن اشاره کرد، بحث قوانین مقرراتی است که در ایران باید برای حفاظت از داده‌ها وضع شود. بخشی از این قوانین می‌تواند مؤید محلی سازی داده‌ها باشد و به عنوان پشتوانه چنین طرحی در داخل کشور باشد که در حال حاضر متأسفانه قانون مدونی در حوزه حفاظت، اشتراک‌گذاری و محلی سازی داده وجود ندارد.

او همچنین افزود: چالش دیگری که برای ایران در این زمینه وجود دارد، مساله اجتماعی، پیوست رسانه‌ای و افکار عمومی است که باید مورد توجه قرار گیرد. اجرای این قبیل طرح‌ها بدون تبیین اجتماعی مناسب و تنویر افکار عمومی، ممکن است از سوی مردم منفی و محدودکننده تلقی شود. مصداق این چالش را می‌توان الزام شرکت‌های پرداخت به استفاده از دامنه «IR.» و حواشی شکل گرفته پیرامون آن دانست. به صورت کلی نیاز است که پیش از اجرای چنین طرح‌هایی، تبیین صحیح مزایا و آورده‌های آن برای شهروندان اتفاق بیفتد.

وی ادامه داد: در ایران مساله دیگر، توسعه زیرساخت‌های فناوری اطلاعات محسوب می‌شود. وزارت ارتباطات ما در حال حاضر بر توسعه فناوری‌های ارتباطات مانند فیبر نوری تمرکز دارد. اگر در حوزه فناوری اطلاعات اقدام مشابهی صورت نگیرد، عملاً امکان محلی سازی داده‌ها برای ما وجود نخواهد داشت. توسعه فناوری اطلاعات که شامل مواردی از جمله توسعه مراکز داده و فناوری‌های حوزه رایانش ابری می‌شود، به صرف هزینه، در نظر گرفتن پیچیدگی‌ها و اراده سیاسی نیاز دارد.

در ایران مساله دیگر، توسعه زیرساخت‌های فناوری اطلاعات محسوب می‌شود. وزارت ارتباطات ما در حال حاضر بر توسعه فناوری‌های ارتباطات مانند فیبر نوری تمرکز دارد. اگر در حوزه فناوری اطلاعات اقدام مشابهی صورت نگیرد، عملاً امکان محلی سازی داده‌ها برای ما وجود نخواهد داشت
وی همچنین معتقد است موضوع دیگری که ایران به منظور محلی سازی داده ناگزیر از پرداختن به آن است، نقش‌آفرینی فعال در تنظیم‌گری بین‌المللی چنین فعالیت‌هایی محسوب می‌شود. اگرچه جریان داده‌ها میان کشورها برقرار شده، اما لاجرم برای به رسمیت شناخته شدن تنظیم‌گری‌های حوزه محلی سازی داده‌ها، به تنظیم‌گری‌های جهانی و بین‌المللی نیاز است. این هدف می‌تواند در قالب کنوانسیون‌ها، اسناد و تفاهم‌نامه‌های بین‌المللی محقق شود. از این طریق می‌توان پلتفرم‌ها و دولت‌ها را ملزم به پذیرش و به رسمیت شناختن قوانین محلی‌سازی داده‌های یک کشور کرد. این مساله نیز یکی از موانع اساسی پیش روی ما در زمینه محلی سازی داده‌ها است.

اقدامات صورت گرفته در ایران

پژوهشگر هسته خط‌مشی فضای مجازی مرکز رشد دانشگاه امام صادق علیه‌السلام (سپهرا) درخصوص اقدامات صورت گرفته از سوی دولت جمهوری اسلامی ایران در راستای محلی سازی داده‌ها گفت: در کشور ما، طی سال‌های آخر دهه ۸۰ و اوایل دهه ۹۰، در کشاکش شکل‌گیری شبکه ملی اطلاعات، تلاش‌هایی در این حوزه صورت گرفت. در این مقطع زمانی، وزارت ارتباطات و فناوری اطلاعات، سایت‌های دولتی را موظف به انتقال میزبانی خود به داخل کشور کرد. در این سال‌ها همچنین تحرکاتی برای توسعه داخلی مراکز داده صورت گرفت. پس از آن موضوع محلی سازی داده‌ها در سیاست‌های ساماندهی پیامرسان‌های اجتماعی نیز مدنظر قرار گرفت و پیامرسان‌های داخلی ملزم به استفاده از میزبانی داخلی و ذخیره سازی داده‌ها در داخل کشور شدند.

وی افزود: سیاست‌گذاران در طول سال‌های اخیر، دریافته‌اند که برای پیش‌برد شبکه ملی اطلاعات، نیاز داریم که نسبت ترافیک داخلی به خارجی را افزایش داده و آن را به ترافیک غالب کشور تبدیل کنند. علاوه بر این، برخی سیاست‌ها از جمله تعرفه ترجیحی برای ترافیک داخلی، می‌تواند فرایند محلی سازی داده‌ها را تا حدودی تسهیل کند و در نهایت منجر به تحقق اهداف دولت در زمینه حاکمیت داده شود.

نقطه عطف محلی‌سازی داده‌ها در پیشرفت هوش مصنوعی و امنیت ملی

زیبنده در پاسخ به پرسش مطرح شده در خصوص عواقب کم توجهی به محلی سازی داده‌ها گفت: بر اساس گونه شناسی محلی‌سازی داده‌ها که پیش‌تر ذکر شد، ما چه تصمیم بگیریم به سمت محلی سازی مطلق داده‌ها حرکت کنیم، چه بخواهیم آزادسازی جریان داده را دستور کار قرار دهیم، تبعاتی بعضاً نامطلوب برای ما در پی خواهد داشت. لذا در عین به رسمیت شناختن برخی نیازهای بین‌المللی، استفاده از برخی خدمات جهانی، زیست مبتنی بر خدمات خارجی شکل گرفته در فضای مجازی و ضمن تلاش برای وارد کردن آن‌ها به داخلی کشور، باید بحث محلی‌سازی داده‌ها نیز در سطوح و ابعاد مختلف مانند وضع قواعد و قوانین، ایجاد ساختارها و اراده سیاسی دنبال شود.

پژوهشگر هسته خط‌مشی فضای مجازی مرکز رشد دانشگاه امام صادق علیه‌السلام (سپهرا) افزود: همانطور که سایر کشورها این دغدغه را داشته‌اند، دغدغه عقب ماندن از توسعه فناوری‌هایی چون هوش مصنوعی و غالب شدن پلتفرم‌ها و خدمات بین المللی در عرصه فناوری‌های نوظهور مانند هوش مصنوعی و اینترنت اشیا، یکی از خطراتی است که عدم توجه به محلی سازی داده‌ها می‌تواند برای ما داشته باشد. به عبارت دیگر، اگر ما مدل‌های هوش مصنوعی خود را با داده‌های محلی خود آموزش ندهیم و این داده‌ها در اختیار سایر مدل‌ها و ماشین‌های بین‌المللی قرار بگیرد، مزیت خود را برای ارایه خدمات داخلی از دست می‌دهیم و با از دست رفتن داده‌ها، آینده و بازار فناوری ما در اختیار شرکت‌های بین المللی قرار خواهد گرفت. بنابراین اگر این داده‌ها در خدمت زیست بوم ملی قرار نگیرد، ارزش آفرینی آن از سبد اقتصاد کشور خارج خواهد شد.

وی در پایان گفت: بحث حریم خصوصی و حفاظت از کاربران نیز مسأله‌ای است که در این زمینه باید مورد توجه قرار گیرد. ذخیره این داده‌ها در خارج از کشور می‌تواند سبب بروز بحران‌های امنیتی برای کشورمان شود و زمینه را برای شناخت و کنترل رفتار مردم فراهم سازد.