خلأ قانونی در بحث حفاظت از اطلاعات کاربران از جمله مشکلات امنیت سایبری در کشور است. همواره خبرهایی از حملات سایبری به بانکها، سازمانها، شبکههای اجتماعی بومی و سرقت اطلاعات کاربران منتشر میشود. در اکثر موارد نیز شرکتها حملات سایبری را تکذیب میکنند اما در نهایت اطلاعات کاربران در شبکههای اجتماعی و دارکوب منتشر […]
خلأ قانونی در بحث حفاظت از اطلاعات کاربران از جمله مشکلات امنیت سایبری در کشور است. همواره خبرهایی از حملات سایبری به بانکها، سازمانها، شبکههای اجتماعی بومی و سرقت اطلاعات کاربران منتشر میشود. در اکثر موارد نیز شرکتها حملات سایبری را تکذیب میکنند اما در نهایت اطلاعات کاربران در شبکههای اجتماعی و دارکوب منتشر میشود. به گزارش پیوست، با وجود اینکه بارها قدمهایی برای نهایی شدن لایحههای حفاظت از دادههای شخصی برداشته شده اما هنوز این لایحه در دستور کار دولت باقی مانده و برای بررسی و تصویب نهایی به مجلس ارائه نشده است. یک بار این لایحه در دوره محمدجواد آذریجهرمی؛ رونمایی شد و چندی پیش نیز وزیر ارتباطات و فناوری اطلاعات، عیسی زارعپور؛ اعلام کرد: بهزودی لایحه نهایی و برای تصویب نهایی به مجلس ارسال میشود. کارشناسان معتقدند شباهتهایی میان این لایحه و قانون GDPR یا همان مقررات عمومی حفاظت از داده اتحادیه اروپا وجود دارد. البته در قانون مدیریت دادهها و اطلاعات ملی بر لزوم حفاظت از دادههای شخصی توسط نهادهایی که مشمول این قانون میشوند تأکید شده است اما مجازات تعیینشده برای متخلفان بازدارندگی چندانی ندارد.
قانون دوام
موضوع قانونگذاری برای مراقبت از دادههای کاربران در فضای مجازی به حدود ۲۰ سال پیش بازمیگردد. در خرداد ۱۳۸۳، لایحه حریمخصوصی تصویب شد که بخش اندکی از این لایحه به حفظ حریمخصوصی در ارتباطات الکترونیکی اختصاص دارد. این لایحه بیشتر متوجه نهادهای امنیتی و نظارتی بود و محدودیتهایی در رهگیری اطلاعات برای آنها تعریف میکرد. البته یکی از اولین لوایحی که مجلس در روزهای نخست دولت احمدینژاد رد کرد همین مورد بود. پس از آن در زمستان ۹۶ بود که آذریجهرمی در یک مراسم رسمی از لایحه «صیانت و حفاظت از دادههای شخصی» رونمایی کرد. رفتوآمدهای جهرمی برای حفاظت از دادههای کاربران ادامه داشت اما این پیگیریها به عمر دولت روحانی قد نداد. البته نمایندگان مجلس طرح حمایت و حفاظت از داده و اطلاعات شخصی را ارائه کردند که در مهر ۱۳۹۹ اعلام وصول شد. نمایندگان مجلس در مهر ۱۴۰۰ نیز طرحی با عنوان حفاظت از دادهها ارائه کردند. براساس این طرح تبادل دادهها و اطلاعات بین دستگاههای اجرایی و کسبوکارها با رعایت اصول حفاظتی و امنیتی برعهده مرکز ملی تبادل اطلاعات است. هرگونه تبادل دادهها و اطلاعات خارج از این مرکز خلاف مصوبات شورایعالی فضای مجازی و کمیسیون دادهها و اطلاعات ملی است و مجازاتهایی در پی دارد. پس از آن نیز طرح قانون یکپارچهسازی داده و اطلاعات ملی در مجلس اعلام وصول شده بود که تلاش میکرد در زمینه حکمرانی نظام داده مؤثر باشد. همچنین دبیر شورای اجرایی فناوری اطلاعات نیز در اردیبهشت همان سال ۱۴۰۰ اعلام کرده بود لایحه مقررات عمومی حفاظت از داده بهزودی در دولت تصویب شده و به مجلس میرود. این پیشنهادها در زمینه تعیین قوانین بسیار ریشهدارتر است و حتی مرکز پژوهشها نیز در سال ۹۷ در پژوهشی به موضوع حفاظت از دادههای کاربران و حتی نمونههای جهانی آن پرداخته بود. آبان سال گذشته بود که قانون مدیریت دادهها و اطلاعات ملی یا اصطلاحاً قانون دوام مصوب شد. در ماده۵ این قانون به دستگاهها و نهادهایی که داده تولید میکنند، تکلیف شده مصوبات مربوط به رعایت امنیت دادهها را اجرا کنند. در این قانون آمده است: «دستگاهها و نهادهای مشمول این قانون که براساس شرح وظایف مقرر در قوانین مربوط و نیز تکالیف ناشی از این قانون موظف به تولید، نگهداری، پردازش دادهها و اطلاعات هستند، مکلفاند در امر تولید، نگهداری، پردازش، حفظ امنیت و صیانت از دادههای شخصی و تبادل و اشتراکگذاری و تکمیل و بهروزرسانی دادهها و اطلاعات ملی، سیاستها و نظامات مصوب شورایعالی فضای مجازی و مصوبات کارگروه تعاملپذیری دولت الکترونیکی را اعمال و اجرا کنند.» همچنین طبق ماده ۶ این قانون، «تدابیر حفاظتی و امنیتی جهت صیانت از دادهها و اطلاعات و حفظ محرمانگی دادهها و اطلاعات اشخاص برعهده دستگاهها و نهادهای مشمول این قانون و ارائهدهندگان خدمات ذیل تنظیمگران بخشی است که مسئول تولید، نگهداری یا پردازشکننده دادهها و اطلاعات هستند.» بنابر ماده ۹ قانون دوام، متخلف یا اخلالکننده در پردازش و تبادل یا مستنکف از اجرای این قانون مشمول مجازات انفصال از خدمت به مدت شش ماه تا پنج سال یا حبس تعزیری به مدت ۹۰ و یک روز تا شش ماه میشود.
پیشنویس لایحه حفاظت از دادهها
۱۷ آبان امسال بود که وزیر ارتباطات و فناوری اطلاعات در دیدار با سکینهسادات پاد؛ دستیار رئیسجمهور، در پیگیری حقوق و آزادیهای اجتماعی از تنظیم لایحه حفاظت از داده و حریمخصوصی توسط وزارت ارتباطات خبر داد که به گفته او، بهزودی در جلسات هیئت دولت برای تصویب و ارائه به مجلس طرح خواهد شد. زارعپور؛ درباره حفاظت از داده و حریمخصوصی، گفت: بر اثر تحریمهای یکجانبه و ظالمانه مدعیان حقوق بشر، هزاران سایت و سرویس کاربردی برای کاربران ایرانی فیلتر شده که نیاز عموم مردم، برنامهنویسان، متخصصان و دانشگاهیان است، اما عدهای نادانسته یا عامدانه این فیلترینگ گسترده را به داخل کشور مرتبط کردهاند و حتی آن را با عنوان «اختلال در شبکه» فاکتور میکنند. همچنین دیماه سال گذشته نیز وزارت ارتباطات و فناوری اطلاعات اعلام کرد در بیستوششمین جلسه کمیسیون راهبری کارگروه ویژه اقتصاد دیجیتال دولت پیشنویس لایحه قانون حمایت و حفاظت از دادههای شخصی برای ارائه به کارگروه ویژه اقتصاد دیجیتالی نهایی شده است.
قانونی که مصوب نشد
علیرضا قهرود؛ کارشناس امنیت سایبری، درباره خلأ قانونی در نگهداری از دادهها به «پیوست» گفت: در زمان وزارت آذریجهرمی، لایحه قانونی در رابطه با حفاظت از دادههای کاربران را تدوین شد اما این لایحه به سرانجام نرسید. موضوع این قانون در مورد حفاظت از اطلاعات کاربران و دادههای شخصی و حریمخصوصی کاربران فضای مجازی بود. قهرود؛ درباره حفاظت از کاربران و صیانت از اطلاعات شخصی، گفت: قانونی در این باره وجود ندارد اما پلیس فتا مقرراتی برای پیشگیری از فاش شدن اطلاعات شخصی کاربران تعیین کرده است. مثلاً نباید چت خصوصی کاربران در فضای مجازی منتشر شود. به اعتقاد قهرود؛ حاکمیت درکی از اهمیت دادههای کاربران ندارد و این مسئله دغدغه نمایندگان مجلس نیست. او افزود: سه ماه قبل یکی از بانکها هک شد. اگر به سایت Leakfa مراجعه کنید، دیتابیس نشتیهای اطلاعات کاربران در آن موجود است.
مسئولیت اجتماعی شرکتها برای حفاظت از اطلاعات
هنوز مشخص نیست مرجع متولی حفاظت از اطلاعات کاربران، کدام سازمان است. معمولاً شرکتها و شبکههای اجتماعی بومی براساس مسئولیت اجتماعی، خود را موظف به حفاظت از اطلاعات کاربران میدانند. آرش حقشناس؛ مشاور حقوقی فینووا، درباره نهاد متولی حفاظت از دادههای کاربران در فضای مجازی، گفت: نمیدانم کدام نهاد متولی حفاظت از دادههای کاربران است. چندین و چند نهاد در کشور خود را متولی فضای مجازی میدانند اما در زمینه حفاظت از اطلاعات و دادههای کاربران هیچیک مسئولیتی برعهده نمیگیرند. او ادامه داد: قاعدتاً باید حفاظت دادهها برعهده سازمان تنظیم مقررات و ارتباطات رادیویی وزارت ارتباطات باشد. اما هنوز متولی این بخش مشخص نیست. حتی مشخص نیست نهاد متولی در این زمینه وجود دارد یا باید ایجاد شود. منطق ایجاب میکند که وزارت ارتباطات و فناوری اطلاعات مسئولیت حفاظت از دادههای کاربران را برعهده بگیرد. اما همه چیز طبق منطق پیش نمیرود. حقشناس؛ توضیح داد: از سویی دیگر بستگی دارد چه نوع دادههایی مد نظر باشد؛ دادهها از نظر محرمانگی به چهار بخش کلی تقسیم میشوند: دادههای سری، بهکلی سری، محرمانه و بهکلی محرمانه. او درباره مقرراتی که برای حفاظت دادهها وضع شده، گفت: درباره اینکه مقرراتی در این زمینه وجود دارد یا خیر تردید دارم. اما به نظر میرسد هیچ مقرراتی درباره حفاظت از دادههای کاربران وضع نشده است. چراکه تاکنون هیچ نهاد و مسئولی به ضرورت این مسئله فکر نکرده است. این کارشناس حقوقی، تأکید کرد: BigData یا همان کلاندادههای مردم بسیار مهم است، هم استفاده تجاری و هم سوءاستفاده از آنها راحت است و باید قوانین مشخصی در این باره وضع شود. نهادهایی که با مشتریان در ارتباطند مانند بانکها، نرمافزارها بهویژه پیامرسانها معمولاً در قالب آییننامه قوانینی برای کارمندان وضع میکنند که حق سوءاستفاده و انتشار دادههای کاربران را ندارند. اما فراتر از این قانونی در کشور نداریم. او افزود: کلاهبرداران و هکرها در همه جای دنیا یافت میشوند. حتی در کشورهای پیشرو در عرصه تکنولوژی نیز شاهد هک شدن بزرگترین و پیشرفتهترین نرمافزارها هستیم. خطر سوءاستفاده و کلاهبرداری از دادههای کاربران در همه جا وجود دارد. از سویی دیگر خلأ قانونی نیز در بسیاری از کشورهای دنیا وجود دارد. اما شرایط کشورهای توسعهیافته در این زمینه از ما بسیار بهتر است. حقشناس؛ گفت: بهطور کلی در همه جای دنیا قوانینی کلی برای حفاظت از اطلاعات کاربران وجود دارد، مردم برای حفاظت از اطلاعات خود میتوانند قرارداد محرمانگی منعقد کنند یا شرط محرمانگی را در قراردادهایشان قید کنند و به طرف قرارداد اعلام کنند حق ندارید دادههای شخصی را منتشر کنید. افراد، شرکتها و اشخاص همسطح میتوانند قرارداد محرمانگی را فیمابین منعقد کنند. وجه التزام نیز جریمههای نقدی قرار دهند. او تأکید کرد: با اینهمه کاربران در ایران در صورت فاش شدن اطلاعاتشان کار چندانی نمیتوانند انجام دهند. راه سادهتر آن است که نهادی متولی حفاظت از دادهها شود و دستورالعمل و قوانین تعیین کند، قوانین را به مجلس برده و تصویب کند. بهترین راه این است که دولت از طریق وزارت ارتباطات و فناوری اطلاعات، لایحه حفاظت از دادههای اشخاص را تدوین کند و در مجلس به تصویب برساند. حقشناس؛ گفت: یا اینکه نمایندگان مجلس خود قانونی در این زمینه تدوین کرده و مصوب کنند. با وجود خلأقانونی کاربران هیچ راهی برای پیگیری یا شکایت برای سوءاستفاده از دادههایشان ندارند. شرکتهای ارائهدهنده خدمات اینترنتی و پیامرسانها نیز در قالب مسئولیت اجتماعی مقرراتی برای حفاظت از دادههای کاربران وضع کرده و خود را ملزم به حفظ حریم شخصی آنان میدانند. او افزود: راهکار دیگر این است که رسانه به دولت فشار وارد کند که قوانینی برای حفاظت از دادههای اشخاص وضع کند. از سویی دیگر به کاربران نیز اطلاعرسانی کند که دادههای شخصیشان ارزشمند است و ممکن است از آنها سوءاستفاده شود.
اهمیت دادههای کاربران
دادههای کاربران هم ارزشمند است و هم اهمیت بسیاری دارد اما کارشناسان حقوقی و امنیت سایبری معتقدند مسئولان و نمایندگان مجلس اهمیت این موضوع را درک نکردهاند.
دیدگاه بسته شده است.