دادههاي كاربران در پلتفرمهاي داخلي مدتي است كه بيمحافظ ماندهاند؛ اين در حالي است كه لايحه حفاظت از دادههاي شخصي افراد يكي از پرقدمتترين لايحههايي است كه هنوز تبديل به قانون نشده و هر وقت سر از مجلس درآورده، بدون نتيجه رها شده است.
يك هكر ۱۰ ديماه ۱۴۰۲ خبر هك دادههاي كاربران اسنپ فود را رسانهاي كرد. اين گروه يا فرد همان كسي است كه شهريورماه نيز تپسي را هك كرد اما تقاضاي باجش بينتيجه ماند براي همين اينبار با اسنپ مذاكره نكرد و از همان ابتدا، دادهها را با قيمت ۳۰ هزار دلار يعني حدوداً يك ميليارد و ۵۰۰ ميليون تومان به فروش گذاشت. باج دادن به هكرها كار رايجي نيست. حدود يك ماه پيش بود كه هكري به سيستمهاي استوديو بازيسازي Insomniac Games متعلق به PlayStation Studio نفوذ كرد و براي ۱.۳ ميليون فايل با حجم ۱.۶۷ ترابايت تقاضاي ۵۰ بيتكوين كرد؛ Insomniac نپذيرفت اين باج را پرداخت كند و متحمل رسوايي بزرگي شد.
قانون از دادههاي شخصي ما محافظت ميكند؟
لايحه حفاظت از دادههاي شخصي افراد يكي از پرقدمتترين لايحههايي است كه هنوز تبديل به قانون نشده است و هر وقت سر از مجلس درآورده، بدون نتيجه رها شده است. خرداد ۸۳، حدود ۱۹ سال پيش، لايحه حريم خصوصي در كميسيون لوايح دولت تصويب شد. با توجه به سطح تكنولوژي در آن زمان، بخشهاي كمي از اين لايحه مربوط به ارتباطات الكترونيكي بود اما مجلس حتي همين لايحه را هم در سال ۸۴ كنار گذاشت. ديماه ۱۳۹۶، وزارت ارتباطات با همكاري تعدادي از پژوهشگران اقدام به تهيه پيشنويسي از لايحه حمايت از دادهها و حريم خصوصي در فضاي مجازي كرد و پس از انتشار آن از صاحبنظران درخواست شد نظرات خود را درباره آن بيان كنند. مرداد ۹۷ آذري جهرمي در مراسمي به همراه رييس مركز پژوهشهاي مجلس و تعدادي از نمايندگان، از لايحه حفاظت از دادههاي شخصي رونمايي كرد اما با وجود دولت و مجلس همسو در آن زمان باز هم كار به سرانجام نرسيد. اين آخرين تلاش ناموفق نبود. ارديبهشت ۱۴۰۰، رضا باقري اصل، دبير وقت شوراي اجرايي فناوري اطلاعات، اعلام كرد لايحه مقررات عمومي حفاظت از داده در مراحل پاياني تصويب در هيات وزيران است. چند ماه بعد، مهر ۱۴۰۰، طرح حفاظت از دادهها در مجلس اعلام وصول شد اما باز هم حاصلي نداشت. حال بهتازگي عيسي زارعپور، وزير ارتباطات، اعلام كرده كار تصويب كليات لايحه حفاظت از دادههاي شخصي در كميسيون راهبري اقتصاد ديجيتال تمام شده است و با نهايي شدن در دولت، بزودي به مجلس ميرود. معلوم نيست اينبار اين لايحه به قانون تبديل ميشود يا خير.
خلأ قانوني در خصوص حفاظت
از دادههاي شخصي
در اين راستا بهتازگي رييس كميته اقتصاد ديجيتال مجلس با اشاره با خلأ قانوني در خصوص حفاظت از دادههاي شخصي، از ابراهيم رييسي، رييسجمهور خواسته است لايحه حفاظت از داده هر چه سريعتر به مجلس ارسال شود. مجتبي توانگر در نامهاي كه به رييس دولت نوشته است به هك سامانههاي دولتي و كسبوكارهاي خصوصي و نشست اطلاعات متعدد كاربران در يك سال اخير اشاره كرده و گفته البته بسياري از هكها اطلاعرساني نميشود. او نوشته است: «اميدوارم اين اتفاقات ناگوار اخير موجب شود تا پلتفرمهاي داخلي با عذرخواهي رسمي از مردم، برنامه تقويت دادههاي خود را ارايه و آسيبهاي ناشي از هكهاي گذشته و آينده را به حداقل ممكن برسانند. در عين حال كه دولت و نهادهاي نظارتي نيز توجه كنند؛ اين آسيب، موجب ايجاد محدوديتهاي غيرقانوني و غيرمنطقي به پلتفرمهاي داخلي نشود و موجب تقويت رگولاتوري و تصويب قوانين مرتبط شود. البته تنبيه و بازخواست، حتي بر اساس مقررات GDPR نيز امري مرسوم و ضروري به نظر ميرسد.»او به سهامداري ايرانسل در اسنپ نيز اشاره كرده و نوشته است: «نشت اخير داده از يكي از پلتفرمهاي داخلي را بايد از سهامداران آن در يكي از اپراتورهاي تلفن همراه و يكي از وزارتخانهها نيز پيگير بود.» به گفته توانگر در اين مورد در كشور خلأ قانوني وجود دارد و قوانين حاضر نميتوانند مساله را حل كنند. او در نامه خود به طرح حفاظت از دادهها كه سال ۹۹ تهيه شده و سال ۱۴۰۰ اعلام وصول شد نيز اشاره كرده و گفته است با ايجاد كارگروه اقتصاد ديجيتال در دولت، طرح مجلس با ترجيح مجلس و درخواست دولت از دستور كار مجلس خارج شد. توانگر در نامه خود نوشته است با وجود اينكه كارگروه لايحه حفاظت از داده خرداد ماه ۱۴۰۲ در كارگروه اقتصاد ديجيتال تصويب شد و اين كارگروه مطابق اصول ۱۳۸ و ۱۲۷ قانون اساسي از اختيارات هيات دولت برخوردار است اما يكي از وزرا بر خلاف قانون درخواست كرد لايحه به كميسيون قضايي و حقوقي دولت برود كه اين تعلل كشور و دادههاي مردم را دچار آسيب جدي كرده است. نماينده تهران در مجلس به بندهايي از اين لايحه اشاره كرده است كه طبق آنها: «دادهها تنها در صورت دريافت، ذخيره، نگهداري و پردازش ميشود كه رضايت شخص موضوع داده، اخذشده باشد. همچنين حقوق مرتبط با دادهها نظير حق فراموشي (درخواست حذف داده توسط كاربر) و حق اصلاح به رسميت شناخته شود و در صورت سوءاستفاده يا پردازشهاي خارج از قانون به نحو مقتضي با متخلف برخورد قانوني شود.» رييس كميته اقتصاد ديجيتال مجلس، ماده ۳ اين لايحه را قيد كرده كه در آن آمده است: «پردازش دادههاي شخصي حريمهاي شخصي و اختصاصي، منوط به رضايت شخص موضوع آنها و اجازه امكان حريمهاست، اعلام رضايت و اجازه اشخاص مذكور بايد با رعايت شرايط ذيل باشد: الف) پيش از پردازش باشد؛ ب) بيانگر آگاهي اشخاص مذكور باشد؛ و پ) استنادپذير باشد.» همچنين در ماده ۹ آمده است: «رضايت به پردازش، به معناي اجازه افشاي هويت شخص موضوع دادهها نيست و حق گمنامي شخص در محدوده رضايت ابرازشده بايد توسط پردازشگران حفاظت شود.» در ماده ۳۲ اين لايحه نيز مجازاتهاي تخطي از قانون ذكر شده است: «مرتكبان اقدامات ذيل به مجازات مقرر محكوم ميشوند: الف) نقض حق رضايت شخص موضوع داده، چنانچه دادههاي حريمهاي خصوصي و اختصاصي پردازش شود، به مجازات درجه ۵ و چنانچه دادههاي حريمهاي عمومي پردازش شود، به مجازات درجه ۶؛ ب) ممانعت از استيفاي همه يا بخشي از حق درخواست شخص موضوع داده براي پردازش يا توقف آن يا انجام پردازش دادههاي شخصي بهوسيله خودش يا نقض حق گمنامي و فراموشي وي، به يك يا هر دو مجازات درجه ۶» توانگر از رييسجمهور خواسته است اين لايحه سريعتر به قانون تبديل شود: «با عنايت به اينكه در ضرورت تصويب اين قانون در كشور اتفاق نظر وجود دارد و متن تهيهشده حاصل مشاركت جمعي بين پژوهشگران و صاحبنظران بوده و همچنين در فرآيند تصويب در كارگروه وحتي بعد از آن با جلسات مستمر با ذينفعان و بخشخصوصي نظرات ايشان اخذ و اعمال شده است لازم است اين قانون هرچه سريعتر بهتصويب دولت محترم رسيده و جهت اخذ مصوبه به مجلس شوراي اسلامي ارسال گردد. در اين خصوص مجلس نيز با دولت همراهي كامل خواهد داشت، لذا مستدعي است دستور مقتضي براي طي تشريفات قانوني و تعجيل در تقديم لايحه به مجلس صادر شود تا دادهها و حريم خصوصي مردم بيش از اين مورد تهديد و آسيب قرار نگيرد. بدانيم داده و اطلاعات سرمايه است و باعث رشد و شكوفايي اقتصاد ديجيتال اما شرط لازم اعتماد مردم و حرمت دادن به داده و اطلاعات شخصي است.»