کتابخانه عمومی حسینیه ارشاد در تاریخ 26 فروردین 1397 هفتاد و پنجمین نشست از نشستهای علم اطلاعات و دانششناسی را با موضوع مدیریت انطباق داده از ساعت16:30 با پخش آیاتی از کلامالله مجید، سرود ملی و کلیپ معرفی فعالیتهای کتابخانه آغاز کرد. سخنرانان این نشست آقایان دکتر رضا ایازی و دکتر حسن بان بودند.
صحبتهای آقای مصطفی امینی:
بحث امروز ما یک بحث حقوقی است و به نوعي مي توان گفت به موضوع مدیریت ریسک نزديك است مدیریت انطباق داده (Data Compliance Management). این عبارت بعضا «مدیریت تطبیق داده» يا مديريت مطابقت داده هم خوانده میشود. ما واژه Compliance را «تطبیق» ترجمه کردیم تا با واژه Matching و Mapping اشتباه گرفته نشود.
طبيعتا در هر كشور يكسري نهادهاي بالادستي (حاكميتي يا دولتي يا حتي غيردولتي) وجود دارند كه براي تنظيم فضاي بازار و كسب و كار آن قانونگذاري و سياستگذاري مي كنند. معمولا اين نهادها براي ضمانت اجراي اين قوانين و سياستها يكسري جنبه هاي ضمانتي (مثل جرايم يا ساير انواع شرايطي كه براي شركت متخطي هزينه زا است) در نظر مي گيرند. طبيعتا اگر كسب و كارها و شركتها اين قوانين و سياستها را رعايت نكردند، تنبيه خواهند شد. طبيعي است كه كسب و كارها و شركتها علاقه اي ندارند كه مستحق اين تنبيه ها (خسارتها يا جرايم ) شوند. درگير شدن با اين تنبيه ها براي شركتها ، يك ريسك است. به عنوان مثال بانك مركزي براي بانك هاي عامل ،سياستگذاري و مقررات گذاري مي كند كه سود بانكي بايد يك ميزان مشخص باشد. هر بانكي از اين سياست تخطي كرد ، با جرايم مشخصي مواجه مي شود. شركتها و كسب و كارها مي توانند اين قوانين و مقررات را به شيوه هاي مختلفي رعايت كنند . مخصوصا آن دسته از سياستها، قوانين و مقرراتي كه تفسيرهاي مختلفي مي توان از آنها داشت. وظيفه مديريت انطباق ، رعايت سياستها و مقررات و قوانين بالادستي است بطوريكه نقض نشوند. بطوريكه براي سازمان ايجاد ريسك نكنند.
به عنوان مثال در صنعت بانکداری موضوع ریسک و انطباق در بالاترین سطح سازمان است. یا زیرمجموعه مدیرعامل است یا هیئت مدیره. که در بانكهاي مختلف به آنها عناوين مختلفي مي دهند. مثلا به آن «اداره پولشویی و ریسک» یا «انطباق» یا «اداره کل ریسک و انطباق» یا «اداره کل حقوقي و رگولاتوري» نيز گفته میشود. به هر صورت، با هر عنوانی که باشد باید در سطح راهبردی سازمان قرار گیرد.
در همين راستا،مديريت انطباق داده به معناي تضمين كردن اين نكته است كه فعاليتهايي كه در چرخه عمر مديريت داده (از توليد گرفته تا تحليل و پردازش و مصرف داده) همگي با سياستها و قوانين بالادستي مثلا قوانين حفظ حريم خصوصي مطابقت داشته باشند و آنها را نقض نكنند. به عنوان مثال در اتحاديه اروپا ، مقررات حفاظت اطلاعات عمومی یا GDPR ( برگرفته شده از General Data Protection Regulation ) ، قانون حفاظت داده در سطح كل اتحادیه است که جایگزین دستورالعمل "حفاظت از اطلاعات اتحادیه اروپا" تدوین شده در سال 1995 شده است. همه كسب و كارها موظف به رعايت بندهاي آن هستند و عدول از آن موجب تنبيه هاي مالي و غيرمالي شديدي براي كسب و كارها خواهد شد.
پس دغدغه مدیریت انطباق داده این است که یک کسب و کار داده محور (يا حتي كسب و كار توانمندشده با داده) را با قواعد بالادستی خود منطبق کند. البته قوانین، تفسیری هستند و هرکس ممکن است تفسیرهای مختلفی از یک قانون داشته باشد. در میان باید شما بتوانید یک قانون را به روشهای مختلف بکار گیرید به گونهای که نقض نشود.
ما یک کسب و کار داریم که دیتاهایی به طرق مختلف در آن تولید میشود، سوال اینجاست آیا استفاده از این دادهها، پردازش و مصرف آنها لازم دارد که با قواعد و قوانین بالادستی منطبق باشد؟ در حال حاضر در اتحادیه اروپا قانونی در حال تصویب است که میگوید هر کسب و کاری که میخواهد دادهای را پردازش کند باید حتما با یکسری قوانین منطبق باشد.
امروز دكتر ايازي به جنبه هاي حقوقي مديريت انطباق داده مي پردازند. سپس دكتر بان از منظر فناوريهاي رگولاتوري (RegTech) در صنعت بانكي ، مصاديقي را از مديريت انطباق داده بالاخص با تاكيد بر نقش فينتك ها (FinTech) مطالب شان را بيان مي كنند.
صحبتهای آقای دکتر رضا ایازی:
قوانین و مقرراتی که در کشور شکل گرفته پاسخگوی دغدغه جهانی مدیریت انطباق داده نیست. ما انطباق داده را به معنای مطابقت عمل جمعآوری، دریافت، ارسال، نگهداری، تبادل و به اشتراک گذاشتن یا هرنوع عملیات دیگر اعم از الکترونیک یا غیرالکترونیک که بر داده انجام میشود با قوانین، مقررات و استانداردها میدانیم.
همه نوع اطلاعاتی که به فردی منتسب میشود و وجه مشخصه آن این است که قابلیت شناسایی افراد را منجر میشود.
هر نوع عملی که بر روی داده به منظور تأمین امنیت داده انجام میشود را «حمایت از داده» میگوییم. عبارتی در دستورالعمل حمایت از داده (GDPR) وجود دارد که در ادبیات دادهای باب شده است، کنترلر داده است. هر مجموعهای که دادههایی دارد و بر اساس قانون یا قرارداد، هدف یا چگونگی ثبت و پردازش داده را مشخص کند کنترلر نام دارد. مثلا شرکت تاکسیرانی اینترنتی که مجموعهای از دادهها را دارد و ملک این دادهها است، زمانی که این شرکت بخواهد اطلاعات خود را در اختیار شرکت یاProcessor دیگری قرار دهد و بگوید طبق این قرارداد اطلاعات ما را در جهت خاص با هدف خاص و در زمان خاص پردازش کن. در این حالت میگوییم یک شرکت Controller به یک شرکتProcessor اطلاعات خود را برای پردازش داده است. در فرانسه که عضو اتحادیه اروپا هست در قانونگذاری شان از این عبارات استفاده کرده است. در قوانین دیگر هم دیده میشود که به جایProcessor از واژه «اپراتور دیتا» استفاده شده است که این اپراتورها کار تصدی بر روی دیتا را انجام میدهند.
در حالت کلی اگر ما تفکیک بین کنترلکننده و پردازشگر را که بر اساس مقررات اتحادیه اروپا به وجود آمده است را بپذیریم و متوجه بشویم که یک کنترلگر یا پردازشگر چه قوانین و مقرراتی را دارد و آنها را لیست کنیم خواهیم گفت که یک کنترلر یا پردازشگر که کار انطباق داده را انجام میدهد حواسش باید جمع باشد و به این قوانین پایبند باشد هر چند اجباری برای آن وجود نداشته باشد.
در کشور ما قانون، ماده و مقرره مشخص در رابطه با حریم خصوصی و حفاظت و صیانت از داده نداریم ولی به صورت یک امر هنجاری این قواعد در کشور ما شکل گرفته است. مقام معظم رهبری به بحث حریم خصوصی ورود کرده اند و آن را حرام شرعی اعلام کردهاند.
خلاصه صحبتهای آقای دکتر ایازی (توسط آقای مصطفی امینی):
مطالعه موردی که آقای دکتر ایازی از آن گفتند مرتبط با قانون حفاظت از حریم خصوصی اتحادیه اروپا بود که دو نقش کلیدی پردازشگر و کنترلکننده داده را ذکر کردند. در اتحادیه اروپا با بحث «مدیریت انطباق داده» اکوسیستم اطلاعاتی خود را انظیم میکنند و بین موضوعات غیرفنی مثل حریم خصوصی و موضوعات فنی بیگ دیتا (مصورسازی داده و علم سنجی و ...) توازن برقرار میکنند. گویا دارند نقشهای جدیدی را تعریف میکنند تا کسب و کارهای جدید ایجاد شده را با موضوعات فرهنگی و اجتماعی مثل حریم خصوصی تنظیم میکنند.
صحبتهای آقای دکتر حسن بان:
بحث Compliance در بحث های مالی بحث روز هست. بحث مالی سه بخش بازار سرمایه و بورس، بازارهای پولی و بانکها و بیمه را شامل میشود. همه این بخشها ساختارهای مشابهی دارند. تجربیات چندین ساله در بحث قانونگذاری برای بازار سرمایه و پول به من کمک کرد که در سالهای گذشته توانستم بحث های فینتکی FINTECH را پیش ببرم. بحثهایی که درگیر آن هستم بحثهای Crowdfunding یا جمعسپاری و Cryptocurrency ها است. که این مباحث را با چه ساختار سازمانی با بحثهای قانونی تطابق دهیم.
من بحث را فنی پیش نخواهم برد. فرض کنید من مدیر یک موسسه مالی هستم که قرار است به یک آی تی من یک سناریو بدهم تا نرمافزاری راه بیندازم. در این میان یک سری قوانین و مقررات و خطوط قرمز را باید رعایت بکنم. در نموداری که ملاحظه میکنید (پاورپوینت سخنران) روند تاریخچه Compliance را ارائه دادهام. نسل اول طبق قانون تجارت توسط بانک مرکزی به وجود آمد که بانک مرکزی میخواهد خط قرمزی را مشخص کند که بانک عامل چگونه این تطابقها را با قانون رعایت کند. در آن زمان همه اصول و رویهها به صورت کاغذی بود و شاید نرمافزاری وجود نداشت. بعد این مورد چرخه دوم ایجاد شد که با قانون تجارت الکترونیک و بعد از آن بانکداری الکترونیکی که رخ داد یک سری نرمافزارهای دورن سیستمی که درون لوپ بسته اکوسیستم بانکداری و بورس داریم. به عبارت دیگر اکوسیستم بستهای بود که یک نهاد ناظر داشت و یک سری عامل بوده و با مردم واسطه بودند. بعداز آن فناوریهای جدید همانند ای. تی. ام ها ATM آمدند و بحثهای متعدد Compliance پیش آمد. از سال 1996 تغییرات جدیدی شروع شد به طوری که دیگر «احراز هویت داده» مطرح شد به عبارتی ازKYC به KYD تغییر کردیم. همین تغییر باعث شده ابزارهای Compliance عوض شوند. یعنی قبلا یک سری ابزارهای دیگر برای تطابق استفاده میشد ولی امروز اتفاقات دیگری در حال رخ دادن است. این اتفاقات چه اتفاقاتی هستند؟ در واقع این اتفاقات به خاطر توسعه وب و پلتفرمهای نسل جدید وب اتفاق میافتد. یعنی در بانکداری قبلی که یک نفر دیتا میداد ولی امروز دیتاها تعاملی هستند. قبلا اگر دیتاها به صورت متمرکز بودند، امروز دیگر دارم از کامپیوتر افراد مختلف و یا از نرمافزارهای مختلف استفاده میکنم. پس ابزار تکنولوژیکی که برای این Compliance میخواهم عوض خواهد شد.
در ایران ما بحث جدیدی داریم کخ بعدها توسط بسیاری از کشورهای اسلامی الگوبرداری شد بحث «شریعت کامپلاینس» است یعنی تطابق شرعی داشتن. آیا ابزارهای مالی، پکیجها یا کمپینها، بورس بانکها یا موسسات مالی تعریف میکنند با چک لیستهای شرعی تطابق دارد یا نه؟ این مسئله یه Knowledge جدیدی شد که حتی در کشورهای غیراسلامی هم ارزنده شد چون برای سرمایهگذاری مشتریهای مسلمان برایشان مهم بود.
نسل چهارم که با توجه به پیشبینی ما تقریبا از 1404 تا 1414 به بلوغ خودش خواهد رسید. نسلی است که با برون سپاری و توسعه ریگولار تکنولوژیها که روی فناوریهای ابری هستند شکل خواهد گرفت.
مباحث مطرح شده تاریخچهای بود که در آن تحولاتی که به خاطر استفاده از تکنولوژی در صنعت بانکداری رخ داده است که باعث شد شیوه استفاده از Compliance عوض شود را دربر داشت.
بحث اصلی در تطابق با قانونگذاری حاکم یا ناظر دارای دو طبقهبندی است.
یکی از این طبقهبندیها طبقهبندی 5 سطحی است که در آن Compliance در سطح چهارم قرار دارد. یعنی من با توجه به قوانین از توسعهدهنده یا کدنویس چه میخواهم؟ این 5 چیز را میخواهم. (1) اینکه بتواند گزارش ریگولاتوری دهد، (2) مدیریت ریسک انجام دهد، (3) کنترلگریهای احراز هویت را انجام دهد، (4) در زمان درست و واقعی بتواند Compliance را انجام دهد و در آخر(5) Transaction های مالی را بتواند مانیتور کند.
طبقهبندی بعدی که برای ریگولاتوریها و استارت آپها و فیننکها وجود دارد یک طبقهبندی هفت سطحی است. با طبقهبندی 5 سطحی که گفتیم فرقی زیادی ندارد، فقط اندکی مدل آن متفاوت است.
جمعبندی مباحث (آقای مصطفی امینی):
زاویه دید آقای بان با آقای ایازی متفاوت بود. زاویه دید آقای بان به طور خاص از زاویه تکنولوژی رگولاتوری Regulatory یا تکنولوژی قانونگذاری بحث کردند که موضوع انطباق داده را با محوریت تکنولوژیهاي مالی بررسی کردند. ایشان معتقد بودند که «مدیریت انطباق داده» بخشی از وظایف فناوریهای رگولاتوري هستند و مثالهایي در صنعت بانکی زدند. ايشان بر اين اعتقاد بودند كه ما در رويكرد براي مديريت انطباق داده داريم: (1) مديريت غيرمتمركز انطباق داده و (2) مديريت متمركز انطباق داده. با ظهور فين تك ها بانك ها در حال حركت به سمت مدل غيرمتمركز هستند.
دكتر ايازي به تشريح موضوع مديريت انطباق داده در كسب و كارهاي اتحاديه اروپا بر اساس قانون GDPR پرداختند و در اين قانون نقش كليدي را نقش كنترل كننده داده و نقش پردازش كننده داده دانستند كه هر دو نسبت به انجام رويه هاي انطباق داده متعهد هستند اما در اين خصوص وظايف كنترل كننده داده بيشتر از پردازشگر داده است.
برای شنیدن فایل صوتی این نشست اینجا و برای مشاهده اسلاید ها اینجا و اینجا را کلیک کنید.