لیلا شیرانی
در تمامی کشورهای پیشرفته دنیا، شبکههای مجازی ملزم به تبعیت از قوانین فضای مجازی آن کشورها برای صیانت از حریم خصوصی کاربران هستند و در صورت نقض آنها با جریمههای سنگینی مواجه میشوند. این در حالی است که وضعیت ایران در حفاظت از حریم خصوصی کاربران در فضای مجازی بسیار ضعیف ارزیابی شده است. مرکز پژوهشهای مجلس با اعلام وضع ایران در ارزیایی جهانی، پیشنهاد داد لایحه «صیانت از دادههای شخصی» در اولویت بررسی کمیسیون صنایع قرار گیرد. نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران بسیاری از سازمانها، اپراتورها، شرکتهای دولتی و خصوصی در فضای مجازی طی ماههای گذشته یکی از موضوعات خبرساز بود بهنحوی که به دلیل نبود قوانین مشخص و راهکارهای امنیتی، بسیاری از این اطلاعات در فضای مجازی خرید و فروش میشوند. از جمله این اتفاقات میتوان به نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت، افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی تلگرام و شماری از کاربران یکی از بازارهای ایرانی نرمافزارهای آیفون، افشای اطلاعات کاربران یکی از اپراتورهای موبایل و سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم، پایگاه ایرانداک و برخی شرکتهای هواپیمایی و بانکها اشاره کرد. کارشناسان معتقدند بهدلیل نبود نظام حاکمیت امنیت سایبری در کشور، شاهد اتفاقاتی از نوع نشت اطلاعات و سرقت دادهها هستیم. مرکز ماهر در گزارشی که پیش از این منتشر کرد، اعلام کرده بود که نشت اطلاعات عمدتا متأثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پیادهسازی و تنظیمات از سوی سازمانها و متولیان پایگاههای داده است و این ضعفها باعث میشود در برخی موارد دسترسی به دادههای سازمانها و کسبوکارها حتی نیاز به دانش پایهای هک و نفوذ نداشته باشد و با یکسری بررسیها و جستوجوهای ساده، دادهها افشا میشوند.
هفته گذشته نیز حسین باقری معاون فناوری اطلاعات سازمان پدافند غیرعامل با انتقاد از وضعیت فعلی کشور در حوزه امنیت سایبری گفت: با وجود اینکه تفکیک کار در حوزه امنیت سایبری در سازمان فناوری اطلاعات، مرکز افتای ریاستجمهوری و پدافند سایبری صورت گرفته اما وضعیت امنیت در دستگاهها و نهادهای حاکمیتی مناسب نیست. اما اگر شبکه ملی اطلاعات به معنای کامل راه بیفتد و شاهد داشتن سیستم عامل بومی، مرورگر بومی و جستوجوگر بومی دست باشیم، آسیبپذیری سایبری حتماً کمتر خواهد شد.»
شبکههای مجازی
ملزمبه صیانت از حریم خصوصی کاربران
در تمامی کشورهای پیشرفته دنیا، شبکههای مجازی ملزمبه تبعیت از قوانین فضای مجازی آن کشورها برای صیانت از حریم خصوصی کاربران هستند و در صورت نقض آنها با جریمههای سنگینی مواجه میشوند. برای مثال در سال ۲۰۱۳ فیسبوک در امریکا بهدلیل نقض حریم خصوصی کاربران و افشای نام و تصویر کاربرانی که تبلیغات Sponsored Stories را کلیک کرده بودند به پرداخت غرامت ۲۰ میلیون دلاری محکوم شد. همچنین شبکههای اجتماعی گوگل و فیسبوک به موجب قانونی جدید در انگلیس، در صورت زیر پا گذاشتن حریم خصوصی کاربران ممکن است میلیاردها پوند جریمه نقدی شوند. بنابراین در کشورهای پیشرفته برای صیانت از حریم خصوصی شهروندان در فضای مجازی، شبکههای اجتماعی ملزم به پیروی از قوانین آنها هستند؛ اما در ایران مشخص نبودن مصادیق گردآوری، استفاده، نگهداری، افشا و مسوولیتهای متولیان دادههای شخصی از جمله شبکههای اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی را با سوالات جدی مواجه کرده است. با این حال چطور میتوان انتظار داشت که حریم خصوصی کاربران فضای مجازی در ایران حفظ شود، درحالی که برای بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی هنوز قانونی مصوب نشده است؟
معاونت پژوهشهای زیربنایی و امور تولیدی دفتر مطالعات انرژی، صنعت و معدن مرکز پژوهشهای مجلس در گزارشی با بررسی وضعیت ایران در ارزیابی جهانی حفاظت از حریم خصوصی کاربران، بر لزوم تصویب «لایحه حفاظت و صیانت از دادههای شخصی» در مجلس تاکید کرده است. در این جدول وضعیت ایران و سایر کشورهای جهان در زمینه حفظ حریم خصوصی کاربران در فضای مجازی آمده است که طبق آمار موجود، وضعیت ایران در حفاظت از حریم خصوصی کاربران در فضای مجازی بسیار ضعیف ارزیابی شده است.
ایران برای ملحق شدن به استاندارد جهانی آماده شود
در دنیا نیز اقداماتی در این زمینه انجام شده است. اتحادیه اروپا بعد از جریان کمبریج آنالیتیکا، قانون صیانت از اطلاعات شخصی به نام GDPR را به تصویب رساند. این قانون از ۲۵ ماه مهسال ۲۰۱۸ اجرایی شده است. بنابراین قانون، شرکتهای زیادی در داخل اتحادیه اروپا و حتی خارج از آن تحت تأثیر قرار میگیرند. به عبارت دیگر، با اینکه GDPR یک قانون مصوبه در داخل اتحادیه اروپا است اما به دلیل محدوده تعریفشده در قانون آن، شامل تمامی کشورها و شرکتهایی که با اتحادیه اروپا مراوده و تراکنش دارند میشود. همچنین شرکتهای زیادی در امریکا و آسیا اعلام کردهاند که به این قانون پایبند خواهند بود. بنابراین پیشبینی میشود که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شود. با این اوصاف، کشور ایران نیز باید آمادگی ملحق شدن به این موج جهانی را داشته باشد و لوایح و قوانین مصوبه در زمینه حفاظت اطلاعات شخصی را بر مبنای قانون GDPR اصلاح و ویرایش کند. همچنین، یکی از مسائل اصلی موجود در این زمینه تطبیق شرکتهای ایرانی با این قانون است. به این معنا که شرکتها چه فعالیتها و زیرساختهایی را باید جهت تطبیق با GDPR آماده داشته باشند و چه اقداماتی را باید انجام بدهند. البته به دنبال اتفاقاتی که در شرکتهای ایرانی در حوزه نشت اطلاعات رخ داد، لایحهای در دولت تحت عنوان «لایحه صیانت از دادههای شخصی» مطرح شده است که سعی دارد از نشت اطلاعات شخصی جلوگیری کند. این لایحه مراحل آخر بررسی در دولت را طی میکند و انتظار میرود با توجه به اهمیت موضوع، در مجلس یازدهم و در کمیسیون صنایع در اولویت بررسی قرار گیرد. امیر ناظمی، معاون وزیر ارتباطات و فناوری اطلاعات نیز درباره لایحه صیانت از دادههای شخصی گفته بود: «این لایحه قبل از طرح در هیات دولت برای بررسی کارشناسی در زمینه جرمانگاری به قوه قضاییه ارسال شده و هماکنون به دولت بازگشته است. این لایحه در کمیسیونهای تخصصی و فرعی دولت نیز مورد بررسی قرار گرفته و هماکنون در انتظار ورود به هیات وزیران برای تصویب نهایی است.»
چالش نشت اطلاعات شخصی کاربران
در شبکههای اجتماعی
استانداردهای صیانت از داده روزبهروز درحال افزایش است و همه روزه شرکتها با این چالش روبهرو هستند که آیا عملیاتهای پردازش داده و نگهداری از دادهای که انجام میدهند یا هرگونه فعالیتی که با دادههای داخلی و خارجی خود انجام میدهند، منع قانونی دارد یا خیر. از آنجایی که داده ماهیتا مرز نمیشناسد و نقش کلیدی در اقتصاد دیجیتال بازی میکند، در دهههای گذشته از داده به عنوان یک دارایی با ارزش یادشده و حتی از آن به عنوان پول آینده یاد میشد. با وجود این از آنجایی که پیشرفت فناوری اطلاعات و ارتباطات پردازش و تبادل داده را بهشدت آسان کرده است، پردازش دادههای شخصی در حوزههای مختلف اقتصادی و اجتماعی به راحتی صورت میگیرد. این درحالی است که حوادث بسیار زیادی در سراسر دنیا در زمینه نشت اطلاعات شخصی به وجود آمده که تبعات سیاسی و کسبوکاری فراوان داشته است. از بزرگترین موارد این نشت اطلاعات مربوط به مورد فساد اطلاعاتی مشترک میان فیسبوک و شرکت کمبریج آنالیتیکا است که طبق گزارش گاردین، در این پرونده، شرکت کمبریج آنالیتیکا که یک شرکت تحلیل اطلاعاتی است، از میلیونها اطلاعات پروفایلهای شخصی موجود در فیسبوک جهت تبلیغات سیاسی ریاستجمهوری امریکا استفاده کرده است. این موارد نشت اطلاعات شخصی در داخل کشور هم وجود داشته است. یکی از بزرگترین این موارد نشت اطلاعات اپراتورهای موبایل کشور بود که توسط یک ربات تلگرامی انجام شد یا یکی از شرکتهای تاکسیرانی اینترنتی نشت اطلاعات رانندگان خود را تجربه کرد. موضوع دیگری که به عنوان یک چالش در صیانت از دادههای شخصی کاربران در اینترنت مطرح است، فعالیت شبکههای مجازی خارجی در ایران از جمله تلگرام، واتساپ، لاین، فیسبوک، توییتر و عضویت اغلب شهروندان ایرانی در آنها است. طبق آخرین برآوردها، در ایران حدود ۴۶ میلیون کاربر فضای مجازی وجود دارد که بیش از ۴۵ میلیون نفر از آنها تنها در شبکه تلگرام فعال هستند. این آمار در سال ۹۴ تنها ۲۳ میلیون نفر بود. مرکز پژوهشهای مجلس با توجه به این نکات، تصویب قانون صیانت و حفاظت از دادههای شخصی را ضروری عنوان کرده است.
