يعالج اقتراح القياس عن بعد في WordPress مخاوف الخصوصية طويلة الأمد مع اقتراب الموعد النهائي للامتثال للائحة العامة لحماية البيانات (GDPR)

في نهاية أكتوبر 2016 ، أنشأ Morten Rand-Hendriksen اقتراحًا على WordPress trac لإضافة القياس عن بعد إلى النواة ، وهي ميزة الاشتراك التي ستجمع بيانات مجهولة المصدر حول كيفية استخدام الأشخاص للبرنامج. اقترح أن يتم عرض الميزة الجديدة عند التثبيت أو التحديث الأول ، معطلة بشكل افتراضي في المسؤول مع وجود عنصر تحكم متاح ضمن الإعدادات-> عام. أحد الخيارات التي يقترحها هو شحنه كمكوِّن إضافي يتم تثبيته تلقائيًا عند الاشتراك وإلغاء التثبيت التلقائي عند إلغاء الاشتراك. حدد أيضًا بعض الأمثلة على البيانات الأساسية التي يمكن تتبعها ، بما في ذلك عدد السمات والمكونات الإضافية المثبتة ، وتكرار استخدام طرق عرض محددة (الإعدادات ، والمخصص ، وما إلى ذلك) ، والإصدار الحالي ، وحالة التحديث ، واللغة ، واللغة.

قال Rand-Hendriksen: "يفخر WordPress بكونه تطبيقًا صممه المستخدم للمستخدم". "تكمن المشكلة في شعبية WordPress ومدى وصوله اليوم ، فالمسافة بين WordPress 1٪ (أو حتى 0.1٪) والمستخدم العادي أصبحت كبيرة جدًا ، نحن (الأشخاص الذين يساهمون في نواة WordPress) لا نعرف شيئًا تقريبًا عن الأشخاص الفعليون الذين يستخدمون WordPress أو كيفية استخدامهم للتطبيق ".

خلال دورة تطوير WordPress 4.7 ، قال Rand-Hendriksen إنه شارك في العديد من المحادثات حيث افترض المشاركون استخدام الميزات دون أي بيانات لدعم آرائهم. ويؤكد أن المساهمين في WordPress ليس لديهم البيانات اللازمة لمعرفة كيفية تفاعل المستخدمين مع التطبيق وخصائصه.

قال راند هندريكسن: "كانت الحجة العامة هي أنه بناءً على قاعدة 80/20 ، يجب إضافة ميزات معينة بينما يجب إزالة أخرى". "ظللت أستوعب الحقيقة المعروفة جيدًا أننا لا نملك دليلًا على الميزات التي يستخدمها 80٪ أو حتى 20٪ من مستخدمي WordPress فعليًا ، لذا فإن أي ادعاء بالصلاحية في قاعدة 80/20 يعد تخمينًا في أحسن الأحوال."

ينص اقتراحه على أن جميع البيانات التي تم جمعها يجب أن تكون علنية من أجل الشفافية وإتاحتها أيضًا للمستخدمين النهائيين في المسؤول وعلى WordPress.org.

كان أمام الفكرة بضعة أشهر لتتبلل وأثارت بعض النقاش حول ما سيترتب على النموذج الأولي. أنشأ العميل الأساسي Ella Van Dorpe مكونًا إضافيًا تجريبيًا مستقلًا عن بيانات wp لتتبع بعض التفاعلات البسيطة مع المحرر. أوصى المشاركون في المناقشة بإنشاء إعداد Elasticsearch / Logstash لتخزين البيانات والتقنيات التي نشرها فريق أنظمة WordPress.org من قبل.

قال جريج براون ، خبير البيانات في شركة Automattic ، في مناقشة متابعة حول التذكرة قبل ثلاثة أسابيع: "أعتقد أن الملخص الجيد هو أن هناك الكثير من العقبات في الطريق ولا يوجد حاليًا أي شخص لديه الوقت للعمل عليها". "في النهاية ، أعتقد أن أكبر مانع هو الحصول على شخص لديه الوقت والميل والمثابرة للعمل على هذا. إن نشرها على .org هو الشيء الصحيح الذي يجب القيام به في النهاية ، لكنني أظن أن الأمر سيستغرق بعض الوقت ".

أكد مطور WordPress الرئيسي Dion Hulse أن WordPress يتتبع بالفعل العديد من هذه الإحصائيات وأن إنشاء نموذج أولي على البنية التحتية WordPress.org سيكون أفضل خيار للأمام.

قال هولس: "سيكون من المفيد أيضًا أن نرى كيف يمكن لنظام الإحصاء الحالي لدينا أن يكمل أو يستبدل بالاقتراح هنا". "أذكر هذا لأن معظم الإحصائيات من الوصف الأصلي تم تتبعها بالفعل ، ولكن لم يتم الكشف عنها بأي شكل من الأشكال. الشيء الجديد الوحيد المذكور هنا هو تكرار استخدام طرق عرض محددة (الإعدادات ، أداة التخصيص ، إلخ) وجزء الشفافية (والذي ربما يظل على الأرجح مجرد ملخصات مجهولة المصدر ، وليست بيانات دقيقة). "

يوفر مشروع القياس عن بعد في WordPress حلاً لمخاوف الخصوصية طويلة الأمد

إن نقل تتبع البيانات الحالية لـ WordPress إلى ميزة اشتراك أكثر شفافية سيوفر أيضًا حلاً لبعض مخاوف الخصوصية طويلة الأمد التي أثارها المساهمون في تذكرة تتبع عمرها ست سنوات. يتتبع WordPress عدد المدونات والمستخدمين في تثبيت معين ، جنبًا إلى جنب مع عنوان URL للتثبيت في الرؤوس ، من أجل تسهيل طلبات التحديث التي قد تصبح مشكلة ، لا سيما في حالة التثبيتات الكبيرة متعددة المواقع.

علق أحد المساهمين على التذكرة قائلاً: "حتى إذا كان المستخدم يعلم أن بعض البيانات يجب تمريرها لفحص إصدار النواة أو المكونات الإضافية أو السمات ، فمن الواضح أن كمية البيانات التي يتم تمريرها إلى جهاز التحكم عن بُعد أكثر من المطلوب لإجراء فحص الإصدار" . "ولكن يجب توعية المستخدمين مقدمًا حتى يتمكنوا من اتخاذ القرار بحرية بأنفسهم عما إذا كانوا يريدون ذلك بدلاً من إجبارهم على دعم المشروع ببيانات الاستخدام الخاصة بهم. يمكن أن يُعرض عليهم الاشتراك للقيام بذلك ".

قال داني فان كوتين ، مطور البرنامج الإضافي في WordPress . "على الأقل يمكننا أن نوضح أن WordPress يتتبع هذه المعلومات وما يفعله بها بالضبط. أنا حقا لا أعتقد أن هناك أي عذر لذلك ".

يمكن للمطورين تصفية البيانات لتلبية مخاوفهم المتعلقة بالخصوصية ، لكنها لا تنفصم إلى حد ما عن عملية التحديث لعمليات التثبيت متعددة المواقع الأكبر حجمًا. كما أنه يمثل عقبة فنية كبيرة للغاية بالنسبة لمعظم المستخدمين العاديين الذين سيتم خدمتهم بشكل أفضل من خلال واجهة مستخدم بسيطة تسمح لهم بإلغاء الاشتراك في جمع البيانات.

يمنح اقتراح القياس عن بعد لـ WordPress من Rand-Hendriksen للمشروع فرصة لإضفاء الطابع الرسمي على البيانات التي يتم جمعها ، وتحديد الغرض من وراءها ، والسماح للمستخدمين باختيار ما إذا كانوا يريدون تضمينها.

قد تدفع لائحة حماية البيانات العامة في أوروبا (GDPR) ووردبريس نحو جمع بيانات أكثر شفافية

كان التقدم في كل من مشروع القياس عن بُعد والتذكرة المتعلقة بمخاوف الخصوصية بطيئًا. لا يبدو أن أيًا منهما يمثل أولوية بين المساهمين ، لكن اللائحة العامة لحماية البيانات في أوروبا (GDPR) قد توفر الزخم اللازم لدفع WordPress نحو جمع بيانات أكثر شفافية ومسؤولية.

اللائحة العامة لحماية البيانات هي إصلاح شامل لقانون حماية البيانات في أوروبا مع متطلبات أكثر صرامة بكثير من القوانين السابقة. يتطلب الكشف الكامل عن أي عملية لجمع البيانات وإشعارات الخصوصية الموحدة لمساعدة المستخدمين على فهم مكان وكيفية استخدام البيانات. يجب تأكيد الموافقة على جمع البيانات وللمستخدمين الحق في الوصول إلى بياناتهم الخاصة. ويشمل أيضًا حق الحذف أو "الحق في النسيان" ، والذي يسمح للمستخدمين بإزالة بياناتهم من الويب. يدخل اللائحة العامة لحماية البيانات حيز التنفيذ في مايو 2018.

شجعت هيذر بيرنز ، المتخصصة في القانون الرقمي والتي تستشير وتتحدث بشكل مكثف عن قوانين وسياسات الإنترنت ، المساهمين في WordPress على تأطير المناقشة المتعلقة بمخاوف الخصوصية من حيث العمل نحو الامتثال لإطار عمل محدد.

قال بيرنز: "لأغراض هذه المناقشة ، يجب أن تعمل النواة وفقًا لمعيار الناتج المحلي الإجمالي لسببين". السبب الأول يكمن في الاختلافات الثقافية. لا تمتلك الولايات المتحدة لائحة شاملة واحدة لحماية البيانات والخصوصية ، على عكس أوروبا ، حيث لدينا نظام حماية البيانات هذا الذي ينطبق على جميع البيانات الشخصية بغض النظر عن الاستخدام أو التنسيق أو القطاع. لذا فإن اللائحة العامة لحماية البيانات (GDPR) تمنح المطورين - حتى أولئك الذين هم خارج الاتحاد الأوروبي - مجموعة معايير قوية وصحية وصعبة للغاية يجب اتباعها. بالنظر إلى ما رأيناه يخرج من البيت الأبيض في الأسبوع الماضي ، يوفر القانون العام لحماية البيانات (GDPR) أيضًا نقطة انطلاق جيدة مثل أي حماية دفاعية للمستخدم.

والثاني هو أن الناتج المحلي الإجمالي يتجاوز الحدود الإقليمية. تنطبق على البيانات الشخصية لأي شخص في أوروبا بغض النظر عن مكان الخدمة عبر الإنترنت. إذا كان عملك في الولايات المتحدة أو أستراليا أو إسرائيل ولكن لديك مستخدمون أوروبيون ، فعليك حماية بياناتهم وفقًا لمعايير اللائحة العامة لحماية البيانات الأوروبية ".

أجرت شركة Pricewaterhouse Coopers مؤخرًا دراسة استقصائية حول 200 شركة متعددة الجنسيات مقرها الولايات المتحدة ويعمل بها أكثر من 500 موظف ووجدت أن 77٪ تخطط لإنفاق مليون دولار أو أكثر على الامتثال للقانون العام لحماية البيانات (GDPR). أشار أكثر من نصف الذين شملهم الاستطلاع إلى جاهزية اللائحة العامة لحماية البيانات باعتبارها الأولوية القصوى في خصوصية البيانات وأجندات الأمن.

تعتبر العقوبات الباهظة لعدم الامتثال أحد العوامل الدافعة وراء إنفاق الشركات الأمريكية ملايين الدولارات على تلبية متطلبات هذه اللائحة الأوروبية الجديدة.

قال بيرنز: "اللائحة العامة لحماية البيانات هي إصلاح شامل لسلفها في عصر الاتصال الهاتفي (1995) وأحد المجالات التي تم تعزيزها هي أسنانها". "الشركات التي يتبين أنها في حالة عدم امتثال من قبل منظم حماية البيانات في دولة عضو أوروبية ، سواء كان ذلك استوديو تطبيقات صغيرًا وصولًا إلى Automattic ، قد تواجه عقوبات تصل إلى 4٪ من حجم الأعمال السنوي العالمي. الآن هناك سياق قوي للمناقشة الفلسفية ".

ومع ذلك ، لا يقتنع الجميع بأن اللائحة العامة لحماية البيانات ستكون مفيدة للمستهلكين. قالت كيتي كولينغ ، الرئيس التنفيذي ورئيس شركة Infocore Inc ، وهي شركة دولية متخصصة في توفير بيانات السوق ، لـ ExchangeWire إنها تعتقد أن اللائحة العامة لحماية البيانات ستقوض "حرمة خصوصية بيانات المستهلكين وأمانها" وتسويقها وإعلانها في جميع أنحاء العالم.

وتؤكد أن أحكامًا مثل "الحق في النسيان" ، والتي تتطلب الاحتفاظ ببيانات العميل بعد الوقت الذي تكون فيه قيد الاستخدام النشط ، ستجعل تلك البيانات أكثر عرضة للقرصنة. بالإضافة إلى ذلك ، تطالب هيئة إنفاذ التشريع الجديد بالسلطة على الشركات ، مع الحق في البحث عن السجلات ومصادرتها ، دون أي إشراف أو استئناف.

قال كولدينغ: "تخضع كل شركة في كل مكان تتعامل مع البيانات الخاصة بمواطني الاتحاد الأوروبي تلقائيًا للسلطة المطلقة لهذه المجموعة - على الرغم من تخمين أي شخص كيف يعتقد الاتحاد الأوروبي أن بإمكانه فرض مثل هذا التفويض الواسع خارج حدوده".

في الوقت الحالي ، تذكر تذكرتا تتبع فقط القانون العام لحماية البيانات (GDPR) ، لذا لم يتضح بعد كيف سيستجيب WordPress الأساسي لمتطلبات التشريع الجديد. يوصي بيرنز بأن يتابع المساهمون الأساسيون في WordPress عملية إجراء تقييم لتأثير الخصوصية لتحديد الطريقة الصحيحة للمضي قدمًا.

بغض النظر عن استجابة WordPress ، ستحتاج الشركات والمؤسسات التي تعتمد على البرنامج إلى تحمل مسؤولية امتثالها ، حيث تمتد هذه المتطلبات إلى ما هو أبعد من جوهرها. ينطبق القانون العام لحماية البيانات (GDPR) على أي شيء يُضاف إلى موقع ويب أو تطبيق يجمع بيانات المستخدمين. على سبيل المثال ، تخزن العديد من المكونات الإضافية لنماذج الاتصال عمليات الإرسال داخل قاعدة بيانات WordPress وسيرغب مالكو المواقع في إعادة فحص كيفية إخطار المستخدمين بذلك.

قال بيرنز: "أحد التغييرات الرئيسية في اللائحة العامة لحماية البيانات هو مبدأ المساءلة". "يجب أن تكون الأنشطة التجارية التي تجمع البيانات الشخصية شفافة تمامًا وخاضعة للمساءلة بشأن البيانات التي تجمعها ، وكيفية تخزينها ، وأين يتم نقلها إليها (مثل الجهات الخارجية) ، ومن يمكنه الوصول إليها ، ومدة ذلك المحتجزة. للمستخدمين أيضًا الحق في طلب حذف أي بيانات يتم جمعها عنهم ".

لا يوجد مكون إضافي لبرنامج WordPress من شأنه أن يجعل اللائحة العامة لحماية البيانات الخاصة بالموقع متوافقة على الفور. يحتوي Drupal على وحدة GDPR التي تهدف إلى التأكد من أن الموقع يتبع الإرشادات والتشريعات التي وضعها الاتحاد الأوروبي ، ولكنها لا تغطي جميع المتطلبات. تعد أتمتة تقييم تأثير الخصوصية لموقع ما باستخدام نظام إدارة محتوى وعشرات من ملحقات الطرف الثالث مسعى معقدًا. هذا أحد اللوائح التي تتطلب من أصحاب الأعمال تثقيف أنفسهم وتنفيذ ممارسات الخصوصية التي تضع اهتمامات المستخدمين في المقام الأول.

مع اقتراب الموعد النهائي للامتثال ، لدى WordPress فرصة لإعادة تقييم كيفية تعامل المشروع مع خصوصية المستخدم واتخاذ خطوات نحو مزيد من الشفافية. إذا كان المساهمون يتطلعون إلى جمع المزيد من البيانات للمساعدة في اتخاذ القرار بشأن الميزات ، كما هو موضح في اقتراح Rand-Hendriksen للقياس عن بُعد ، فإن هذا المشروع يوفر وسيلة للعمل نحو الامتثال للائحة العامة لحماية البيانات (GDPR). تعتبر مخاوف الخصوصية هذه مهمة بشكل خاص للتعامل معها عند التفكير في WordPress للحكومة والرعاية الصحية والمعاهد التعليمية ومواقع الويب الأخرى الحساسة للبيانات.

ينظر بيرنز إلى الموعد النهائي للامتثال للائحة العامة لحماية البيانات باعتباره فرصة جديدة لـ WordPress لبناء هياكل خصوصية أفضل ويقين قانوني باستخدام اللائحة كخط أساس صحي لجميع المستخدمين.

قال بيرنز: "يحتاج كل شخص إلى العمل في تطبيقات أعماله ومواقعه الخاصة في أي حال قبل يوم الموعد النهائي ، بالإضافة إلى أي تغييرات يلزم إجراؤها في كود WP". "من المهم أن تتذكر أن الامتثال للائحة العامة لحماية البيانات ليس خانة اختيار يمكنك الضغط عليها في أبريل المقبل. يتعلق هذا بعملياتك ، وسير العمل ، وأنظمة المساءلة الخاصة بك. ابدأ الآن."