چوب حراج به اطلاعات کاربران تاوان ندارد

گروه دانش و فن|

اطلاعات کاربران وب‌سایت علی‌بابا طی یک حمله هکری مورد سرقت قرار گرفت، اگرچه شرکت علی‌بابا به صراحت از اتفاقی که روی داده عذرخواهی کرده، اما اینکه چه تاوانی در انتظار شرکتی است که اگرچه به غیرعمد، اما به‌هر صورت به دلیل بی‌احتیاطی، بی‌مبالاتی یا رعایت نکردن تدابیر امنیتی موجب هک شدن اطلاعات کاربرانش شده، حایز اهمیت است، موضوعی که از آن تحت عنوان حفاظت از داده‌های شخصی یاد می‌شود، اما به نظر می‌رسد تا زمانی که چنین قانونی در کشور وجود ندارد، شرکت خطاکار در عمل مستوجب عقوبت نیست.

به گزارش تعادل، حفاظت از داده‌های شخصی کاربران، از دغدغه‌هایی است که هر فردی هنگام استفاده از خدمات شرکت‌ها، به آن توجه می‌کند و می‌تواند یکی از شاخص‌هایی باشد که افراد را تشویق به استفاده از یک خدمات یک شرکت کرده یا نسبت به استفاده از خدمات شرکت دیگر، دلسرد کند. به همین دلیل است که اتحادیه اروپا به‌منظور صیانت از حریم خصوصی افراد و محافظت از داده‌های شخصی آنها، قانونی موسوم به GDPR (مقررات عمومی حفاظت از داده‌) را تصویب کرده که همه شرکت‌های ارایه‌دهنده خدمات به کاربران که با داده‌های شخصی افراد سروکار دارند را ملزم به رعایت آن می‌کند. اگرچه این قانون در اتحادیه اروپا وضع شده است اما حوزه سرزمینی آن محدود به اعضای اتحادیه اروپا نیست و دایره شمول آن می‌تواند شرکت‌ها و سازمان‌هایی که در این اتحادیه مستقر نیستند را نیز در برگیرد. حوزه فراگیر و گسترده این قانون و ضمانت‌های اجرایی مستحکم آن از یک طرف و جرایم سنگینی که درصورت تخلف از آنها به شرکت‌ها تحمیل می‌شود، باعث شد سازگاری با این قانون به‌شکل جدی در دستور کار بسیاری از شرکت‌ها به‌خصوص شرکت‌های حوزه فناوری اطلاعات و ارایه‌دهنده سرویس‌های شبکه اجتماعی قرار گیرد. همچنین ماهیت این قانون و دید جامع و فراگیر آن در ارتباط با حریم خصوصی افراد و محافظت از داده‌ها، باعث شده که مطالعه آن از منظر نیازهای امنیتی بسیار مهم باشد. نیازهای موجود در این قانون متناسب با دغدغه‌های شرکت‌ها و ارایه‌دهندگان سرویس‌های شبکه اجتماعی و سایر فعالان حوزه فناوری اطلاعات است.

این روزها که البته اخباری از حملات هکری و حمله به زیرساخت‌های کشور شنیده می‌شود، خبری درباره لو رفتن داده‌های شخصی کاربران ایرانی نیز به گوش رسیده است. بدین‌ترتیب که سرورهای وب‌سایت علی‌بابا که شرکت ارایه‌دهنده خدمات فروش آنلاین بلیت است، مورد حمله هکری قرار گرفته، حمله‌ای که به سرقت اطلاعات کاربرها و «سورس کدها» منجر شده و البته خبر این اتفاق را مدیرعامل این وب‌سایت اعلام کرده است. مسعود طباطبایی، مدیرعامل علی‌بابا پس از انجام این حمله هکری در توییتر خود نوشت: «متاسفانه تعدادی از سرورهای علی‌بابا مورد حمله هکرها قرار گرفته و به برخی از اطلاعات کاربران و سورس‌کدها دسترسی پیدا کردند. تیم امنیت علی‌بابا اقدامات لازم را انجام داده و با توجه به سرنخ‌های موجود، این موضوع از طریق نهادهای ذی‌ربط در حال پیگیری است. مسوولیت این رخداد را می‌پذیریم و از کسانی که به نحوی آسیب دیده‌اند، عذرخواهی می‌کنیم. حفاظت از اطلاعات همواره اولویت ما بوده و هست. این اطمینان را به شما می‌دهم که اقدامات لازم برای جلوگیری از تکرار این اتفاق صورت گرفته و با قدرت بیشتر در جهت حفاظت از حریم خصوصی کاربران پیش خواهیم رفت. اطلاعات تکمیلی درباره این حمله هکری از سوی علی‌بابا اطلاع‌رسانی خواهد شد.» پس از این اظهارات، امیر ناظمی، رییس سازمان فناوری ایران به این مساله واکنش نشان داد و در توییتر نوشت: «صداقت شما و همراهی‌تان برای رشد و توسعه امنیت نشانه‌ای از تعهد شماست. همین که پنهان‌کاری رویه شما نیست و تعهد به شناسایی مشکل و رفع آن دارید، نقطه آغازین توسعه را نشان داده‌اید. صداقت با مردم خود نشانه یک سرمایه اجتماعی است و هم سازنده آن سرمایه.»

در عین حال تورج کاظمی، رییس پلیس فتا تهران درباره هک شدن سایت علی‌بابا اظهار کرد: «طبق رصد‌های صورت‌گرفته سایت علی‌بابا توسط افرادی هک شده، اما هنوز شکایتی از سوی مدیران این سایت به دست ما نرسیده است. مدیران سایت باید با مراجعه به مرجع قضایی اعلام شکایت کنند، در صورت ارجاع پرونده به پلیس فتا، ما به موضوع شکایت رسیدگی خواهیم کرد.»

وی درباره سطح دسترسی هکر‌ها به اطلاعات کاربران گفت: «برای اطلاع از میزان دسترسی هکرها به اطلاعات کاربران نیاز به بررسی سرور‌های سایت مورد نظر داریم و تا زمانی که مدیران سایت به دستگاه قضایی شکایت نکنند، امکان بررسی سرور‌ها وجود ندارد.» این اظهارات در حالی است که لایحه صیانت از داده‌های شخصی مردادماه سال گذشته توسط سازمان فناوری اطلاعات کشور رونمایی شد و آن زمان اعلام شد که این لایحه برای تصویب به هیات دولت و سپس برای تبدیل شدن به قانون به مجلس خواهد رفت. هدف اصلی این لایحه، صیانت از حیثیت و کرامت اشخاص موضوع داده‌ها عنوان شد. محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات آن زمان با اشاره به این لایحه و با تاکید بر لزوم صیانت از داده‌های مردم در سرویس‌های موجود در فضای مجازی بیان کرده بود: «پیش از این در فضای مجازی و برای سرویس‌هایی که هر روز با سرعت بیشتری در حال رشد هستند، لایحه‌ای نداشتیم. همچنین اطلاعاتی از شهروندان ایرانی در سرویس‌های بین‌المللی ضبط و ثبت می‌شد که قابلیت پیگیری نداشت. به همین دلیل برای رعایت صیانت از داده‌های مردم در حوزه سرویس‌های بین‌المللی هم در تلاشیم. برای این قانون نیاز به تعاملات بین‌المللی داریم. اعتماد مهم‌ترین حلقه زنجیره خدمات در هر سرویس است، سرویس‌های مجازی هر روز در حال رشد هستند. کسانی که اطلاعات شهروندان را نگه می‌دارند، باید از قبل فرآیند شفاف‌سازی را انجام دهند و دسترسی به اطلاعات مردم باید کار مشکلی باشد. در نتیجه باید ضریب حریم خصوصی را به نحو قابل بهبودی افزایش دهیم.» رسول سراییان، دبیرکل سازمان نظام صنفی رایانه‌ای نیز اظهار کرده بود: «لایحه‌ صیانت از داده‌های شخصی سندی است که اگر مردم نگرانی و دغدغه‌ای درباره داده‌هایشان دارند با مطالعه‌ این سند و تضامینی که به آنها داده شده، می‌توانند اعتماد کنند؛ همچون سایر قوانین و مقررات. همه دنیا هم همین کار را می‌کنند. همه‌ دنیا این قوانین و مقررات را دارند. در اروپا هم قانونی هست تحت عنوان GDPR که درباره حفاظت از حریم داده‌هاست.»

با وجود این به نظر می‌رسد این لایحه از سال گذشته تاکنون به مرحله تصویب و اجرا نرسیده است، کمااینکه رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات در گفت‌وگو با ایرنا اظهار کرد: «به جهت فقدان قانون حفاظت و صیانت از داده‌های خصوصی هرگونه اهمال، بی‌احتیاطی، بی‌مبالاتی و عدم تدابیر امنیتی که موجب دسترسی هر فردی به داده‌های شخصی دیگری را فراهم کند، تاکنون جرم‌انگاری نشده است. فقدانی که آثار آن فقط می‌تواند به رقابت‌پذیری و تعهداتی که یک شرکت مقابل مشتریانش دارد، اثر بگذارد. به نظر می‌رسد با الکترونیکی و دیجیتالی شدن اقتصاد، قانون

Data Protection یا صیانت از داده‌های شخصی هر چه سریع‌تر به تصویب برسد.» او که در زمان تصویب قانون جرایم رایانه‌ای، رییس دفتر فناوری‌های نوین مرکز پژوهش‌ها بود درباره این قانون گفت: «قانونی که از آن صحبت می‌کنم برای ماموران دولتی که داده‌ محرمانه‌ای را لو بدهند تدوین شده، نه برای اشخاص. این قانون که سال ۹۶ با حضور رییس مرکز فناوری‌های نوین مرکز پژوهش‌ها و وزیر ارتباطات رونمایی شد، باید در قالب لایحه توسط دولت به مجلس ارایه شود و در آنجا به تایید برسد. البته کسانی که این دسترسی غیرمجاز را حاصل کرده‌اند، مجازات ماده ۱ قانون جرایم رایانه‌ای (ماده ۷۲۹ قانون مجازات‌های اسلامی) شامل حال‌شان می‌شود و شرکت علی‌بابا باید در مراجع ذی‌ربط درخصوص اتفاقی که رخ داده علیه هکرها اقامه دعوا کند تا پلیس فتا و سایر مراجع ذی‌ربط بتوانند در احقاق حق کاربران به آنها کمک کنند.»