خلاء قانوني در حفاظت از اطلاعات

خلاء قانوني در بحث حفاظت از اطلاعات كاربران از جمله مشكلات امنيت سايبري در كشور است. همواره خبرهايي از حملات سايبري به بانك‌ها، سازمان‌ها، شبكه‌هاي اجتماعي بومي و سرقت اطلاعات كاربران منتشر مي‌شود. در اكثر موارد نيز شركت‌ها حملات سايبري را تكذيب مي‌كنند اما در نهايت اطلاعات كاربران در شبكه‌هاي اجتماعي و دارك‌وب منتشر مي‌شود. با وجود اينكه بارها قدم‌هايي براي نهايي شدن لايحه‌هاي حفاظت از داده‌هاي شخصي برداشته شده اما هنوز اين لايحه در دستور كار دولت باقي مانده و براي بررسي و تصويب نهايي به مجلس ارايه نشده است. اين لايحه يك بار در دوره محمدجواد آذري جهرمي رونمايي شد و چندي پيش نيز وزير ارتباطات و فناوري اطلاعات، عيسي زارع‌پور، اعلام كرد به‌زودي لايحه نهايي و براي تصويب نهايي به مجلس ارسال مي‌شود. كارشناسان معتقدند شباهت‌هايي ميان اين لايحه و قانون GDPR يا همان مقررات عمومي حفاظت از داده اتحاديه اروپا وجود دارد. البته در قانون مديريت داده‌ها و اطلاعات ملي بر لزوم حفاظت از داده‌هاي شخصي توسط نهادهايي كه مشمول اين قانون مي‌شوند تاكيد شده است اما مجازات تعيين‌شده براي متخلفان بازدارندگي چنداني ندارد.

قانون مديريت داده‌ها و اطلاعات ملي يا دوام

زمستان ۹۶ بود كه آذري جهرمي در يك مراسم رسمي از لايحه «صيانت و حفاظت از داده‌هاي شخصي» رونمايي كرد. رفت‌وآمدهاي جهرمي براي حفاظت از داده‌هاي كاربران ادامه داشت اما اين پيگيري‌ها به عمر دولت روحاني قد نداد. البته نمايندگان مجلس طرح حمايت و حفاظت از داده و اطلاعات شخصي را ارايه كردند كه در مهر ۱۳۹۹ اعلام وصول شد. نمايندگان مجلس در مهر ۱۴۰۰ نيز طرحي با عنوان حفاظت از داده‌ها ارايه كردند. بر اساس اين طرح تبادل داده‌ها و اطلاعات بين دستگاه‌هاي اجرايي و كسب‌وكارها با رعايت اصول حفاظتي و امنيتي بر عهده مركز ملي تبادل اطلاعات است. هرگونه تبادل داده‌ها و اطلاعات خارج از اين مركز خلاف مصوبات شوراي عالي فضاي مجازي و كميسيون داده‌ها و اطلاعات ملي است و مجازات‌هايي در پي دارد. پس از آن نيز طرح قانون يكپارچه‌سازي داده و اطلاعات ملي در مجلس اعلام وصول شده بود كه تلاش مي‌كرد در زمينه حكمراني نظام داده موثر باشد. همچنين دبير شوراي اجرايي فناوري اطلاعات نيز در ارديبهشت همان سال ۱۴۰۰ اعلام كرده‌ بود لايحه مقررات عمومي حفاظت از داده به‌زودي در دولت تصويب شده و به مجلس مي‌رود. اين پيشنهادها در زمينه تعيين قوانين بسيار ريشه‌دارتر است و حتي مركز پژوهش‌ها نيز در سال ۹۷ در پژوهشي به موضوع حفاظت از داده‌هاي كاربران و حتي نمونه‌هاي جهاني آن پرداخته بود. آبان‌ سال گذشته بود كه قانون مديريت داده‌ها و اطلاعات ملي يا اصطلاحاً قانون دوام مصوب شد. در ماده پنج اين قانون به دستگاه‌ها و نهادهايي كه داده توليد مي‌كنند، تكليف شده مصوبات مربوط به رعايت امنيت داده‌ها را اجرا كنند. در اين قانون آمده است: «دستگاه‌ها و نهادهاي مشمول اين قانون كه بر اساس شرح وظايف مقرر در قوانين مربوط و نيز تكاليف ناشي از اين قانون موظف به توليد، نگهداري، پردازش داده‌ها و اطلاعات هستند، مكلف‌اند در امر توليد، نگهداري، پردازش، حفظ امنيت و صيانت از داده‌­هاي شخصي و تبادل و اشتراك­‌گذاري و تكميل و به‌روزرساني داده‌ها و اطلاعات ملي، سياست‌­ها و نظامات مصوب شوراي‌­عالي فضاي مجازي و مصوبات كارگروه تعامل‌پذيري دولت الكترونيكي را اعمال و اجرا كنند.» همچنين طبق ماده ۶ اين قانون، «تدابير حفاظتي و امنيتي جهت صيانت از داده‌ها و اطلاعات و حفظ محرمانگي داده‌ها و اطلاعات اشخاص بر عهده دستگاه‌ها و نهادهاي مشمول اين قانون و ارايه‌­دهندگان خدمات ذيل تنظيم‌­گران بخشي است كه مسوول توليد، نگهداري يا پردازش­‌كننده داده‌ها و اطلاعات هستند.» بنا بر ماده ۹ قانون دوام، متخلف يا اخلال‌كننده در پردازش و تبادل يا مستنكف از اجراي اين قانون مشمول مجازات انفصال از خدمت به مدت ۶ ماه تا پنج سال يا حبس تعزيري به مدت ۹۰ و يك روز تا شش ماه مي‌شود.

پيش‌نويس لايحه حفاظت از داده‌ها

۱۷ آبان امسال بود كه وزير ارتباطات و فناوري اطلاعات در ديدار با سكينه‌سادات پاد، دستيار رييس‌جمهور، در پيگيري حقوق و آزادي‌هاي اجتماعي از تنظيم لايحه حفاظت از داده و حريم خصوصي توسط وزارت ارتباطات خبر داد كه به گفته او بزودي در جلسات هيات دولت براي تصويب و ارايه به مجلس طرح خواهد شد. زارع‌پور درباره حفاظت از داده و حريم خصوصي گفت: بر اثر تحريم‌هاي يك‌جانبه و ظالمانه مدعيان حقوق بشر، هزاران سايت و سرويس كاربردي براي كاربران ايراني فيلتر شده كه نياز عموم مردم، برنامه‌نويسان، متخصصان و دانشگاهيان است، اما عده‌اي نادانسته يا عامدانه اين فيلترينگ گسترده را به داخل كشور مرتبط كرده‌اند و حتي آن را با عنوان «اختلال در شبكه» فاكتور مي‌كنند. همچنين دي‌ماه سال گذشته نيز وزارت ارتباطات و فناوري اطلاعات اعلام كرد در بيست‌وششمين جلسه كميسيون راهبري كارگروه ويژه اقتصاد ديجيتال دولت پيش‌نويس لايحه قانون حمايت و حفاظت از داده‌هاي شخصي براي ارايه به كارگروه ويژه اقتصاد ديجيتالي نهايي شده است.

قانوني كه مصوب نشد

علي‌رضا قهرود، كارشناس امنيت سايبري، درباره خلأ قانوني در نگهداري از داده‌ها به پيوست گفت: در زمان وزارت آذري جهرمي، لايحه قانوني در رابطه با حفاظت از داده‌هاي كاربران را تدوين شد اما اين لايحه به سرانجام نرسيد. موضوع اين قانون در مورد حفاظت از اطلاعات كاربران و داده‌هاي شخصي و حريم خصوصي كاربران فضاي مجازي بود. قهرود درباره حفاظت از كاربران و صيانت از اطلاعات شخصي گفت: قانوني در اين باره وجود ندارد اما پليس فتا مقرراتي براي پيشگيري از فاش‌ شدن اطلاعات شخصي كاربران تعيين كرده است. مثلاً نبايد چت خصوصي كاربران در فضاي مجازي منتشر شود. به اعتقاد قهرود، حاكميت دركي از اهميت داده‌هاي كاربران ندارد و اين مساله دغدغه نمايندگان مجلس نيست. او افزود: سه ماه قبل يكي از بانك‌ها هك شد. اگر به سايت Leakfa مراجعه كنيد، ديتابيس نشتي‌هاي اطلاعات كاربران در آن موجود است.

مسووليت اجتماعي شركت‌ها

براي حفاظت از اطلاعات

هنوز مشخص نيست مرجع متولي حفاظت از اطلاعات كاربران، كدام سازمان است. معمولاً شركت‌ها و شبكه‌هاي اجتماعي بومي بر اساس مسووليت اجتماعي، خود را موظف به حفاظت از اطلاعات كاربران مي‌دانند. آرش حق‌شناس، مشاور حقوقي درباره نهاد متولي حفاظت از داده‌هاي كاربران در فضاي مجازي به پيوست گفت: نمي‌دانم كدام نهاد متولي حفاظت از داده‌هاي كاربران است. چندين و چند نهاد در كشور خود را متولي فضاي مجازي مي‌دانند اما در زمينه حفاظت از اطلاعات و داده‌هاي كاربران هيچ‌يك مسووليتي بر عهده نمي‌گيرند. او ادامه داد: قاعدتاً بايد حفاظت داده‌ها بر عهده سازمان تنظيم مقررات و ارتباطات راديويي وزارت ارتباطات باشد. اما هنوز متولي اين بخش مشخص نيست. حتي مشخص نيست نهاد متولي در اين زمينه وجود دارد يا بايد ايجاد شود. منطق ايجاب مي‌كند كه وزارت ارتباطات و فناوري اطلاعات مسووليت حفاظت از داده‌هاي كاربران را بر عهده بگيرد. اما همه‌چيز طبق منطق پيش نمي‌رود. حق‌شناس توضيح داد: از سويي ديگر بستگي دارد چه نوع داده‌هايي مد نظر باشد؛ داده‌ها از نظر محرمانگي به چهار بخش كلي تقسيم مي‌شوند: داده‌هاي سري، به‌كلي سري، محرمانه و به‌كلي محرمانه. او درباره مقرراتي كه براي حفاظت داده‌ها وضع شده گفت: درباره اينكه مقرراتي در اين زمينه وجود دارد يا خير ترديد دارم. اما به نظر مي‌رسد هيچ مقرراتي درباره حفاظت از داده‌هاي كاربران وضع نشده است. چراكه تاكنون هيچ نهاد و مسوولي به ضرورت اين مساله فكر نكرده است. اين كارشناس حقوقي تاكيد كرد: BigData يا همان كلان‌داده‌هاي مردم بسيار مهم است، هم استفاده تجاري و هم سوءاستفاده از آنها راحت است و بايد قوانين مشخصي در اين باره وضع شود. نهادهايي كه با مشتريان در ارتباطند مانند بانك‌ها، نرم‌افزارها به‌ويژه پيام‌رسان‌ها معمولاً در قالب آيين‌نامه قوانيني براي كارمندان وضع مي‌كنند كه حق سوءاستفاده و انتشار داده‌هاي كاربران را ندارند. اما فراتر از اين قانوني در كشور نداريم. او افزود: كلاهبرداران و هكرها در همه جاي دنيا يافت مي‌شوند. حتي در كشورهاي پيشرو در عرصه تكنولوژي نيز شاهد هك شدن بزرگ‌ترين و پيشرفته‌ترين نرم‌افزارها هستيم. خطر سوءاستفاده و كلاهبرداري از داده‌هاي كاربران در همه جا وجود دارد. از سويي ديگر خلأ قانوني نيز در بسياري از كشورهاي دنيا وجود دارد. اما شرايط كشورهاي توسعه‌يافته در اين زمينه از ما بسيار بهتر است. حق‌شناس گفت: به‌طور كلي در همه جاي دنيا قوانيني كلي براي حفاظت از اطلاعات كاربران وجود دارد، مردم براي حفاظت از اطلاعات خود مي‌توانند قرارداد محرمانگي منعقد كنند يا شرط محرمانگي را در قراردادهايشان قيد كنند و به طرف قرارداد اعلام كنند حق نداريد داده‌هاي شخصي را منتشر كنيد. افراد، شركت‌ها و اشخاص هم‌سطح مي‌توانند قرارداد محرمانگي را في‌مابين منعقد كنند. وجه التزام نيز جريمه‌هاي نقدي قرار دهند. او تاكيد كرد: با اين‌همه كاربران در ايران در صورت فاش شدن اطلاعاتشان كار چنداني نمي‌توانند انجام دهند. راه ساده‌تر آن است كه نهادي متولي حفاظت از داده‌ها شود و دستورالعمل و قوانين تعيين كند، قوانين را به مجلس برده و تصويب كند. بهترين راه اين است كه دولت از طريق وزارت ارتباطات و فناوري اطلاعات، لايحه حفاظت از داده‌هاي اشخاص را تدوين كند و در مجلس به تصويب برساند. حق‌شناس گفت: يا اينكه نمايندگان مجلس خود قانوني در اين زمينه تدوين كرده و مصوب كنند. با وجود خلاقانوني كاربران هيچ راهي براي پيگيري يا شكايت براي سوءاستفاده از داده‌هايشان ندارند. شركت‌هاي ارايه‌دهنده خدمات اينترنتي و پيام‌رسان‌ها نيز در قالب مسووليت اجتماعي مقرراتي براي حفاظت از داده‌هاي كاربران وضع كرده و خود را ملزم به حفظ حريم شخصي آنان مي‌دانند. او افزود: راهكار ديگر اين است كه رسانه به دولت فشار وارد كند كه قوانيني براي حفاظت از داده‌هاي اشخاص وضع كند. از سويي ديگر به كاربران نيز اطلاع‌رساني كند كه داده‌هاي شخصي‌شان ارزشمند است و ممكن است از آنها سوءاستفاده شود.

خطرات اشتراك اطلاعات شخصي

اگرچه حملات سايبري و فيشينگ همواره از سوي پليس فتا پيگيري شده و متخلفان نيز مجازات مي‌شوند، اما اگر پيام‌رسان‌ها و شبكه‌هاي اجتماعي داخلي هدف حمله سايبري قرار گيرند و اطلاعات كاربران سرقت شود، قانوني براي شكايت از اين شبكه‌هاي اجتماعي وجود ندارد. حجت كهن‌دل، كارشناس امنيت سايبري، به «پيوست» گفت: سرقت و سوءاستفاده از اطلاعات كاربران در فضاي مجازي يا از طريق هك شبكه‌هاي اجتماعي صورت مي‌گيرد يا با حمله سايبري به موبايل شخصي فرد. اگر اطلاعات از طريق شبكه‌هاي اجتماعي نشر شود، مي‌تواند از شركت مربوطه شكايت كند. او افزود: با اين‌ همه كاربران نيز موظف‌اند براي حفاظت از اطلاعات‌شان اقدامات امنيتي را انجام و امنيت حساب كاربري خود را افزايش دهند. بايد پسوردي مناسب انتخاب كنند، از وي‌پي‌ان تا جاي ممكن كمتر استفاده كنند و در صورت استفاده از آن به خطرات وي‌پي‌ان‌ها آگاه باشند. در سايت‌ها و پيامك‌هايي كه براي كاربران ارسال مي‌شود روي هر لينكي كليك نكنند تا هدف حمله فيشينگ قرار نگيرند. كهن‌دل گفت: اگر از طريق حمله سايبري به گوشي همراه فرد اطلاعات سرقت شود، ماجرا كاملاً متفاوت است. مثلاً من با فردي در شبكه‌هاي اجتماعي چت كرده‌ام و موبايل من هدف حمله سايبري قرار مي‌گيرد، در اين صورت اطلاعات فرد مورد نظر نيز سرقت مي‌شود و هكرها از جزييات گفت‌وگوي ما باخبر مي‌شوند. اما در اين مورد ديگر شبكه‌هاي اجتماعي و پيام‌رسان‌ها مقصر نيستند. اما از هكر مربوطه مي‌توان به پليس فتا شكايت كرد و پليس فتا نيز فرد خاطي را دستگير مي‌كند. در حملات فيشينگ نيز پليس فتا همواره پيگيري و كلاهبرداران را دستگير مي‌كند. او توضيح داد: اگر حمله سايبري مثلاً به سرور يك پيام‌رسان داخلي صورت بگيرد و اطلاعات كاربران سرقت شود، مديران اين پيام‌رسان مسوول‌اند و كاربران مي‌توانند از آنها شكايت كنند. اما قانون مدوني در اين باره وجود ندارد به همين دليل كاربران نمي‌توانند اقدام چنداني براي پيگيري اطلاعات سرقت‌شده انجام دهند. در صورت شكايت نيز شركت محكوم نمي‌شود، چون قانوني وجود ندارد كه به آن استناد شود. سايبري معتقدند مسوولان و نمايندگان مجلس اهميت اين موضوع را درك نكرده‌اند.