خلاء قانوني در بحث حفاظت از اطلاعات كاربران از جمله مشكلات امنيت سايبري در كشور است. همواره خبرهايي از حملات سايبري به بانكها، سازمانها، شبكههاي اجتماعي بومي و سرقت اطلاعات كاربران منتشر ميشود. در اكثر موارد نيز شركتها حملات سايبري را تكذيب ميكنند اما در نهايت اطلاعات كاربران در شبكههاي اجتماعي و داركوب منتشر ميشود. با وجود اينكه بارها قدمهايي براي نهايي شدن لايحههاي حفاظت از دادههاي شخصي برداشته شده اما هنوز اين لايحه در دستور كار دولت باقي مانده و براي بررسي و تصويب نهايي به مجلس ارايه نشده است. اين لايحه يك بار در دوره محمدجواد آذري جهرمي رونمايي شد و چندي پيش نيز وزير ارتباطات و فناوري اطلاعات، عيسي زارعپور، اعلام كرد بهزودي لايحه نهايي و براي تصويب نهايي به مجلس ارسال ميشود. كارشناسان معتقدند شباهتهايي ميان اين لايحه و قانون GDPR يا همان مقررات عمومي حفاظت از داده اتحاديه اروپا وجود دارد. البته در قانون مديريت دادهها و اطلاعات ملي بر لزوم حفاظت از دادههاي شخصي توسط نهادهايي كه مشمول اين قانون ميشوند تاكيد شده است اما مجازات تعيينشده براي متخلفان بازدارندگي چنداني ندارد.
قانون مديريت دادهها و اطلاعات ملي يا دوام
زمستان ۹۶ بود كه آذري جهرمي در يك مراسم رسمي از لايحه «صيانت و حفاظت از دادههاي شخصي» رونمايي كرد. رفتوآمدهاي جهرمي براي حفاظت از دادههاي كاربران ادامه داشت اما اين پيگيريها به عمر دولت روحاني قد نداد. البته نمايندگان مجلس طرح حمايت و حفاظت از داده و اطلاعات شخصي را ارايه كردند كه در مهر ۱۳۹۹ اعلام وصول شد. نمايندگان مجلس در مهر ۱۴۰۰ نيز طرحي با عنوان حفاظت از دادهها ارايه كردند. بر اساس اين طرح تبادل دادهها و اطلاعات بين دستگاههاي اجرايي و كسبوكارها با رعايت اصول حفاظتي و امنيتي بر عهده مركز ملي تبادل اطلاعات است. هرگونه تبادل دادهها و اطلاعات خارج از اين مركز خلاف مصوبات شوراي عالي فضاي مجازي و كميسيون دادهها و اطلاعات ملي است و مجازاتهايي در پي دارد. پس از آن نيز طرح قانون يكپارچهسازي داده و اطلاعات ملي در مجلس اعلام وصول شده بود كه تلاش ميكرد در زمينه حكمراني نظام داده موثر باشد. همچنين دبير شوراي اجرايي فناوري اطلاعات نيز در ارديبهشت همان سال ۱۴۰۰ اعلام كرده بود لايحه مقررات عمومي حفاظت از داده بهزودي در دولت تصويب شده و به مجلس ميرود. اين پيشنهادها در زمينه تعيين قوانين بسيار ريشهدارتر است و حتي مركز پژوهشها نيز در سال ۹۷ در پژوهشي به موضوع حفاظت از دادههاي كاربران و حتي نمونههاي جهاني آن پرداخته بود. آبان سال گذشته بود كه قانون مديريت دادهها و اطلاعات ملي يا اصطلاحاً قانون دوام مصوب شد. در ماده پنج اين قانون به دستگاهها و نهادهايي كه داده توليد ميكنند، تكليف شده مصوبات مربوط به رعايت امنيت دادهها را اجرا كنند. در اين قانون آمده است: «دستگاهها و نهادهاي مشمول اين قانون كه بر اساس شرح وظايف مقرر در قوانين مربوط و نيز تكاليف ناشي از اين قانون موظف به توليد، نگهداري، پردازش دادهها و اطلاعات هستند، مكلفاند در امر توليد، نگهداري، پردازش، حفظ امنيت و صيانت از دادههاي شخصي و تبادل و اشتراكگذاري و تكميل و بهروزرساني دادهها و اطلاعات ملي، سياستها و نظامات مصوب شورايعالي فضاي مجازي و مصوبات كارگروه تعاملپذيري دولت الكترونيكي را اعمال و اجرا كنند.» همچنين طبق ماده ۶ اين قانون، «تدابير حفاظتي و امنيتي جهت صيانت از دادهها و اطلاعات و حفظ محرمانگي دادهها و اطلاعات اشخاص بر عهده دستگاهها و نهادهاي مشمول اين قانون و ارايهدهندگان خدمات ذيل تنظيمگران بخشي است كه مسوول توليد، نگهداري يا پردازشكننده دادهها و اطلاعات هستند.» بنا بر ماده ۹ قانون دوام، متخلف يا اخلالكننده در پردازش و تبادل يا مستنكف از اجراي اين قانون مشمول مجازات انفصال از خدمت به مدت ۶ ماه تا پنج سال يا حبس تعزيري به مدت ۹۰ و يك روز تا شش ماه ميشود.
پيشنويس لايحه حفاظت از دادهها
۱۷ آبان امسال بود كه وزير ارتباطات و فناوري اطلاعات در ديدار با سكينهسادات پاد، دستيار رييسجمهور، در پيگيري حقوق و آزاديهاي اجتماعي از تنظيم لايحه حفاظت از داده و حريم خصوصي توسط وزارت ارتباطات خبر داد كه به گفته او بزودي در جلسات هيات دولت براي تصويب و ارايه به مجلس طرح خواهد شد. زارعپور درباره حفاظت از داده و حريم خصوصي گفت: بر اثر تحريمهاي يكجانبه و ظالمانه مدعيان حقوق بشر، هزاران سايت و سرويس كاربردي براي كاربران ايراني فيلتر شده كه نياز عموم مردم، برنامهنويسان، متخصصان و دانشگاهيان است، اما عدهاي نادانسته يا عامدانه اين فيلترينگ گسترده را به داخل كشور مرتبط كردهاند و حتي آن را با عنوان «اختلال در شبكه» فاكتور ميكنند. همچنين ديماه سال گذشته نيز وزارت ارتباطات و فناوري اطلاعات اعلام كرد در بيستوششمين جلسه كميسيون راهبري كارگروه ويژه اقتصاد ديجيتال دولت پيشنويس لايحه قانون حمايت و حفاظت از دادههاي شخصي براي ارايه به كارگروه ويژه اقتصاد ديجيتالي نهايي شده است.
قانوني كه مصوب نشد
عليرضا قهرود، كارشناس امنيت سايبري، درباره خلأ قانوني در نگهداري از دادهها به پيوست گفت: در زمان وزارت آذري جهرمي، لايحه قانوني در رابطه با حفاظت از دادههاي كاربران را تدوين شد اما اين لايحه به سرانجام نرسيد. موضوع اين قانون در مورد حفاظت از اطلاعات كاربران و دادههاي شخصي و حريم خصوصي كاربران فضاي مجازي بود. قهرود درباره حفاظت از كاربران و صيانت از اطلاعات شخصي گفت: قانوني در اين باره وجود ندارد اما پليس فتا مقرراتي براي پيشگيري از فاش شدن اطلاعات شخصي كاربران تعيين كرده است. مثلاً نبايد چت خصوصي كاربران در فضاي مجازي منتشر شود. به اعتقاد قهرود، حاكميت دركي از اهميت دادههاي كاربران ندارد و اين مساله دغدغه نمايندگان مجلس نيست. او افزود: سه ماه قبل يكي از بانكها هك شد. اگر به سايت Leakfa مراجعه كنيد، ديتابيس نشتيهاي اطلاعات كاربران در آن موجود است.
مسووليت اجتماعي شركتها
براي حفاظت از اطلاعات
هنوز مشخص نيست مرجع متولي حفاظت از اطلاعات كاربران، كدام سازمان است. معمولاً شركتها و شبكههاي اجتماعي بومي بر اساس مسووليت اجتماعي، خود را موظف به حفاظت از اطلاعات كاربران ميدانند. آرش حقشناس، مشاور حقوقي درباره نهاد متولي حفاظت از دادههاي كاربران در فضاي مجازي به پيوست گفت: نميدانم كدام نهاد متولي حفاظت از دادههاي كاربران است. چندين و چند نهاد در كشور خود را متولي فضاي مجازي ميدانند اما در زمينه حفاظت از اطلاعات و دادههاي كاربران هيچيك مسووليتي بر عهده نميگيرند. او ادامه داد: قاعدتاً بايد حفاظت دادهها بر عهده سازمان تنظيم مقررات و ارتباطات راديويي وزارت ارتباطات باشد. اما هنوز متولي اين بخش مشخص نيست. حتي مشخص نيست نهاد متولي در اين زمينه وجود دارد يا بايد ايجاد شود. منطق ايجاب ميكند كه وزارت ارتباطات و فناوري اطلاعات مسووليت حفاظت از دادههاي كاربران را بر عهده بگيرد. اما همهچيز طبق منطق پيش نميرود. حقشناس توضيح داد: از سويي ديگر بستگي دارد چه نوع دادههايي مد نظر باشد؛ دادهها از نظر محرمانگي به چهار بخش كلي تقسيم ميشوند: دادههاي سري، بهكلي سري، محرمانه و بهكلي محرمانه. او درباره مقرراتي كه براي حفاظت دادهها وضع شده گفت: درباره اينكه مقرراتي در اين زمينه وجود دارد يا خير ترديد دارم. اما به نظر ميرسد هيچ مقرراتي درباره حفاظت از دادههاي كاربران وضع نشده است. چراكه تاكنون هيچ نهاد و مسوولي به ضرورت اين مساله فكر نكرده است. اين كارشناس حقوقي تاكيد كرد: BigData يا همان كلاندادههاي مردم بسيار مهم است، هم استفاده تجاري و هم سوءاستفاده از آنها راحت است و بايد قوانين مشخصي در اين باره وضع شود. نهادهايي كه با مشتريان در ارتباطند مانند بانكها، نرمافزارها بهويژه پيامرسانها معمولاً در قالب آييننامه قوانيني براي كارمندان وضع ميكنند كه حق سوءاستفاده و انتشار دادههاي كاربران را ندارند. اما فراتر از اين قانوني در كشور نداريم. او افزود: كلاهبرداران و هكرها در همه جاي دنيا يافت ميشوند. حتي در كشورهاي پيشرو در عرصه تكنولوژي نيز شاهد هك شدن بزرگترين و پيشرفتهترين نرمافزارها هستيم. خطر سوءاستفاده و كلاهبرداري از دادههاي كاربران در همه جا وجود دارد. از سويي ديگر خلأ قانوني نيز در بسياري از كشورهاي دنيا وجود دارد. اما شرايط كشورهاي توسعهيافته در اين زمينه از ما بسيار بهتر است. حقشناس گفت: بهطور كلي در همه جاي دنيا قوانيني كلي براي حفاظت از اطلاعات كاربران وجود دارد، مردم براي حفاظت از اطلاعات خود ميتوانند قرارداد محرمانگي منعقد كنند يا شرط محرمانگي را در قراردادهايشان قيد كنند و به طرف قرارداد اعلام كنند حق نداريد دادههاي شخصي را منتشر كنيد. افراد، شركتها و اشخاص همسطح ميتوانند قرارداد محرمانگي را فيمابين منعقد كنند. وجه التزام نيز جريمههاي نقدي قرار دهند. او تاكيد كرد: با اينهمه كاربران در ايران در صورت فاش شدن اطلاعاتشان كار چنداني نميتوانند انجام دهند. راه سادهتر آن است كه نهادي متولي حفاظت از دادهها شود و دستورالعمل و قوانين تعيين كند، قوانين را به مجلس برده و تصويب كند. بهترين راه اين است كه دولت از طريق وزارت ارتباطات و فناوري اطلاعات، لايحه حفاظت از دادههاي اشخاص را تدوين كند و در مجلس به تصويب برساند. حقشناس گفت: يا اينكه نمايندگان مجلس خود قانوني در اين زمينه تدوين كرده و مصوب كنند. با وجود خلاقانوني كاربران هيچ راهي براي پيگيري يا شكايت براي سوءاستفاده از دادههايشان ندارند. شركتهاي ارايهدهنده خدمات اينترنتي و پيامرسانها نيز در قالب مسووليت اجتماعي مقرراتي براي حفاظت از دادههاي كاربران وضع كرده و خود را ملزم به حفظ حريم شخصي آنان ميدانند. او افزود: راهكار ديگر اين است كه رسانه به دولت فشار وارد كند كه قوانيني براي حفاظت از دادههاي اشخاص وضع كند. از سويي ديگر به كاربران نيز اطلاعرساني كند كه دادههاي شخصيشان ارزشمند است و ممكن است از آنها سوءاستفاده شود.
خطرات اشتراك اطلاعات شخصي
اگرچه حملات سايبري و فيشينگ همواره از سوي پليس فتا پيگيري شده و متخلفان نيز مجازات ميشوند، اما اگر پيامرسانها و شبكههاي اجتماعي داخلي هدف حمله سايبري قرار گيرند و اطلاعات كاربران سرقت شود، قانوني براي شكايت از اين شبكههاي اجتماعي وجود ندارد. حجت كهندل، كارشناس امنيت سايبري، به «پيوست» گفت: سرقت و سوءاستفاده از اطلاعات كاربران در فضاي مجازي يا از طريق هك شبكههاي اجتماعي صورت ميگيرد يا با حمله سايبري به موبايل شخصي فرد. اگر اطلاعات از طريق شبكههاي اجتماعي نشر شود، ميتواند از شركت مربوطه شكايت كند. او افزود: با اين همه كاربران نيز موظفاند براي حفاظت از اطلاعاتشان اقدامات امنيتي را انجام و امنيت حساب كاربري خود را افزايش دهند. بايد پسوردي مناسب انتخاب كنند، از ويپيان تا جاي ممكن كمتر استفاده كنند و در صورت استفاده از آن به خطرات ويپيانها آگاه باشند. در سايتها و پيامكهايي كه براي كاربران ارسال ميشود روي هر لينكي كليك نكنند تا هدف حمله فيشينگ قرار نگيرند. كهندل گفت: اگر از طريق حمله سايبري به گوشي همراه فرد اطلاعات سرقت شود، ماجرا كاملاً متفاوت است. مثلاً من با فردي در شبكههاي اجتماعي چت كردهام و موبايل من هدف حمله سايبري قرار ميگيرد، در اين صورت اطلاعات فرد مورد نظر نيز سرقت ميشود و هكرها از جزييات گفتوگوي ما باخبر ميشوند. اما در اين مورد ديگر شبكههاي اجتماعي و پيامرسانها مقصر نيستند. اما از هكر مربوطه ميتوان به پليس فتا شكايت كرد و پليس فتا نيز فرد خاطي را دستگير ميكند. در حملات فيشينگ نيز پليس فتا همواره پيگيري و كلاهبرداران را دستگير ميكند. او توضيح داد: اگر حمله سايبري مثلاً به سرور يك پيامرسان داخلي صورت بگيرد و اطلاعات كاربران سرقت شود، مديران اين پيامرسان مسوولاند و كاربران ميتوانند از آنها شكايت كنند. اما قانون مدوني در اين باره وجود ندارد به همين دليل كاربران نميتوانند اقدام چنداني براي پيگيري اطلاعات سرقتشده انجام دهند. در صورت شكايت نيز شركت محكوم نميشود، چون قانوني وجود ندارد كه به آن استناد شود. سايبري معتقدند مسوولان و نمايندگان مجلس اهميت اين موضوع را درك نكردهاند.
