گروه دانش و فناوری؛ معصومه بخشی پور: نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران یکی از موضوعات دارای اهمیت سالهای اخیر فضای مجازی بوده که هر بار پس از گذشت چند روز، به دلیل نبود قوانین مشخص در مواجهه با آن، به دست فراموشی سپرده میشود.
برای مثال کمتر از ۲ سال پیش نشت اطلاعات شناسنامهای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت خبرساز شد. پس از آن نیز شاهد افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی یکی از شبکههای اجتماعی و شماری از کاربران یکی از بازارهای ایرانی نرمافزارهای موبایلی بودیم؛ سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم و برخی شرکتهای هواپیمایی و بانکها نیز از همین دست اتفاقات بوده است که متأثر از فهرست مشترکی از خطاها و ضعفهای امنیتی در پایگاههای داده، عموماً تکرار میشود.
افشای داده تنها مربوط به کشور ما نیست و نشت اطلاعات میلیونها پروفایل شخصی مربوط به مشترکان فیس بوک در جریان تبلیغات سیاسی انتخابات ریاست جمهوری آمریکا که توسط شرکت کمبریج آنالیتیکا (یک شرکت تحلیل اطلاعاتی) صورت گرفت از جمله بزرگترین این پروندهها است.
این در حالی است که «داده» در دنیای امروز یک دارایی با ارزش محسوب میشود که نشت و سرقت آن تبعات بسیار اقتصادی، اجتماعی و سیاسی را در بردارد و حفاظت قانونی از آن، باید در سازوکارهای مرتبط با نظام حاکمیت داده جای گیرد.
الزامات قانون نویسی برای حفاظت از اطلاعات
الزامات قانونگذاری در حفاظت از اطلاعات را میتوان در قالب چند محور از جمله الزامات استفاده و نگهداری از دادههای شخصی کاربران، الزامات افشای دادههای شخصی، حقوق کاربران در زمینه حریم خصوصی، مسئولیتهای متولیان دادههای شخصی و الزامات دسترسی کاربر به دادههای شخصی در فضای مجازی، تعریف کرد.
در گزارشی که پیش از این با عنوان «حفاظت از دادههای کاربران و رویکردهای جهانی» توسط مرکز پژوهشهای مجلس منتشر شده است، پس از بررسی اسناد و مدارک بینالمللی و منطقهای حریم خصوصی و حفاظت از دادههای کاربران، این نتیجهگیری حاصل شده که «حفاظت از دادههای کاربران با توجه به توسعه فناوری اطلاعات و ارتباطات و فضای مجازی به یکی از اولویتهای سیاستی و قانونگذاری کشورها تبدیل شده و اغلب کشورهای توسعه یافته به تصویب قوانین بخشی یا یکپارچه در این زمینه اقدام کردهاند. در این میان کشورهایی همچون پاکستان، گواتمالا، هند، ترکیه، مالزی، مکزیک، فیلیپین، سنگاپور، ونزوئلا دارای کمبود قوانین در این حوزه هستند. ایالات متحده آمریکا و ژاپن دارای رویکرد قانونگذاری بودهاند و کره جنوبی، استرالیا، کانادا، اتریش، بلژیک، فرانسه، ایتالیا، کانادا، دانمارک، فنلاند، آلمان، یونان، بلژیک، نروژ، ایرلند، پرتغال، اسپانیا، سوئد، سوئیس و انگلستان از جمله کشورهایی هستند که دارای قانونگذاری یکپارچه در عرصه حفاظت از دادههای کاربران هستند. بر این اساس ضرورت تصویب قانون صیانت و حفاظت از دادههای شخصی در کشور ما نیز احساس میشود.»
این ضرورت بر مبنای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت به ویژه اصول ۱۹، ۲۰، ۲۲، ۲۳، ۲۵، ۲۶، ۳۸ و ۳۹ قانون اساسی و نیز سیاستهای کلی نظام، ابلاغی مقام معظم رهبری درباره شبکههای اطلاع رسانی رایانهای به ویژه بندهای یک و ۷، نظام اداری به ویژه بند ۲۳، پدافند غیرعامل به ویژه بند ۱۱، امنیت فضای تولید و تبادل اطلاعات به ویژه بند یک و برنامه ششم توسعه به ویژه بندهای ۳۶، ۳-۵۵ قابل پیگیری است و با در نظر گرفتن این اسناد، میتوان به شاخصها و سیاستهای مشخصی برای قانونگذاری درباره حفاظت از داده دست یافت.
GDPR و تلاش برای محافظت از حریم خصوصی کاربران
حریم خصوصی کاربران فضای مجازی در ایران تاکنون مشمول قانونی نبوده و به همین دلیل بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی به وفور اتفاق میافتد.
به دلیل مشخص نبودن مصادیق گردآوری، استفاده، نگهداری و افشای اطلاعات و مسئولیتهای متولیان دادههای شخصی از جمله شبکههای اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی با ابهامات جدی همراه است.
این در حالی است که بسیاری از کشورهای دنیا، برای حفاظت از اطلاعات در فضای مجازی قوانین مشخصی تدوین کردهاند و اتحادیه اروپا نیز قانون جامعی از صیانت از اطلاعات شخصی به نام GDPR را به تصویب رسانده است. این قانون از ۲۵ ماه می سال ۲۰۱۸ اجرایی شده و شرکتهای زیادی در داخل اتحادیه اروپا و حتی خارج از آن، تحت تأثیر این قانون قرار گرفتهاند.
این قانون که حتی مشمول قوانین و مقرراتی برای صادرات اطلاعات شخصی به خارج از اتحادیه اروپا نیز میشود، شبکههای مجازی را ملزم به تبعیت از قوانین فضای مجازی کشورها برای صیانت از حریم خصوصی کاربران میکند و در صورت نقض این قانون، این شبکهها با جریمههای سنگینی مواجه میشوند.
در این قانون به این ابهامات پاسخ داده میشود که کدام دادههای جمع آوری شده شامل حریم خصوصی میشود؛ چه کسانی میتوانند از آن استفاده کنند و چه کارهایی باید انجام پذیرد تا کاربر از حفاظت و امانت این اطلاعات مطمئن شود. در نهایت اینکه تحلیل این دادهها تحت چه قوانینی ممکن خواهد بود.
در GDPR به این ابهامات پاسخ داده میشود که کدام دادههای جمع آوری شده شامل حریم خصوصی میشود؛ چه کسانی میتوانند از آن استفاده کنند و چه کارهایی باید انجام پذیرد تا کاربر از حفاظت و امانت این اطلاعات مطمئن شود به همین دلیل گفته میشود که اگرچه GDPR یک قانون مصوب در داخل اتحادیه اروپا محسوب میشود اما محدوده تعریف شده آن تمامی کشورها و شرکتهایی که به نوعی با اتحادیه اروپا مراوده دارند را نیز دربرمی گیرد. از این رو شرکتهای زیادی در آمریکا و آسیا نیز اعلام کردهاند که به این قانون پایبند خواهند بود. بنابراین میتوان گفت که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شده است.
تصویب GDPR به عمر دولت دوازدهم قد نداد
در ایران نیز با توجه به ایجاد موج جهانی برای ملحق شدن به قانون GDPR ، بحث تصویب « قانون حفاظت از اطلاعات شخصی» از حدود ۳ سال پیش توسط دولت دوازدهم مطرح شد و اینطور گفته شد که قرار است حفاظت از داده در کشور بر مبنای قانون GDPR اصلاح و ویرایش شود.
خرداد سال ۹۷ محمدجواد آذری جهرمی وزیر وقت ارتباطات و فناوری اطلاعات در پیامی توئیتری اجرای قانون حفاظت از اطلاعات شخصی در اتحادیه اروپا را تبریک گفت و از انتظار برای تصویب چنین لایحهای در ماههای آتی در ایران خبر داد.
مرداد ۹۷ نیز پیشنویس لایحه صیانت از دادههای شخصی در این لینک از سوی وزارت ارتباطات منتشر شد.
در آن زمان با همکاری مرکز پژوهشهای مجلس و پژوهشگاه قوه قضائیه و وزارت ارتباطات، پیشنویس اولیه مشترک میان دولت، مجلس و قوه قضائیه تهیه شد تا در قالب لایحهای از سمت دولت به مجلس برود. برای مثال کارشناسی در زمینه جرم انگاری در این لایحه در قوه قضائیه انجام شد و برخی کمیسیونهای تخصصی و فرعی دولت نیز موارد دیگری را مورد بررسی قرار دادند تا بسیاری از مشکلات افشای اطلاعات در فضای مجازی به صورت قانونی حل شود.
با این وجود آنطور که انتظار میرفت مسیر تصویب این لایحه پیش نرفت و دولت دوازدهم موفق نشد لایحه را برای ارائه به مجلس به سرانجام برساند.
بازنگری در GDPR ایرانی و حرکت به سمت حفاظت از حریم خصوصی
اغلب کشورهای دنیا با در نظر گرفتن ویژگیهای بومی و فرهنگی خود، به جای اینکه از ابتدا قانونی مانند GDPR بنویسند، قانون اتحادیه اروپا را به قانون داخلی خود تغییر داده و بازنگری کردهاند.
با توجه به دغدغههایی که در کشور ما در خصوص قانون نویسی در حوزه فضای مجازی و حفظ اطلاعات شخصی کاربران وجود دارد، باید رویهای دنبال شود که در کنار بومی سازی قانونی مانند GDPR، به موضوعات فنی داخلی نیز توجه ویژه شده و مشخص شود که تطبیق شرکتهای داخلی، سایت و اپلیکیشنها با این قانون چگونه انجام خواهد شد. به این معنا که شرکتها برای آماده سازی خود با قانون GDPR نیازمند چه فعالیتها و زیرساختهایی هستند و چه اقداماتی را باید انجام بدهند و یا اینکه فرآیند قانونی حفاظت از حریم شخصی و حفاظت از دادهها برای پلتفرمهای پر مخاطب چگونه دنبال میشود؟ در کنار این موضوع، بحث تقسیم بندی وظایف متولیان امنیت داده در کشور نیز در درجه اهمیت قرار دارد و باید در سطح دستگاههای حساس و حیاتی و سایر نهادهای مسئول، مورد توجه قرار گیرد.
با این وجود هم اکنون معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات از اهتمام دولت سیزدهم برای به ثمر رساندن لایحه حفاظت از حریم خصوصی کاربران خبر داده و گفته است که این لایحه قرار است از سوی دولت به مجلس ارائه شود.
محمد خوانساری در گفتگو با خبرنگار مهر در تشریح برنامههای وزارت ارتباطات برای حفظ حریم خصوصی کاربران و صیانت از دادههای شخصی، با اشاره به لایحهای که در دولت قبل در این خصوص به سرانجام نرسید، اظهار داشت: ما در حال بازبینی لایحه GDPR که در دولت قبل برای «حفظ حریم خصوصی و حفاظت از داده» مطرح شده بود، هستیم.
وی با بیان اینکه مجدداً این لایحه را فعال خواهیم کرد تا در کمیسیونهای دولت به تصویب برسد و در نهایت از سوی هیأت دولت به مجلس تقدیم شود، گفت: این مهمترین کاری است که باید در حوزه حفاظت از اطلاعات انجام شود و به همین خاطر تاکید ما این است که سریعتر به نتیجه برسد.
معاون وزیر ارتباطات در پاسخ به این سوال که آیا این لایحه ، برگردانی از قانون GDPR اتحادیه اروپا خواهد بود، گفت: قاعدتاً خیر؛ این لایحه را با شرایطی که در کشور داریم باید تطبیق دهیم و بالطبع، قوانین و مقررات ما در کشور برای حفظ حقوق داده و مردم متفاوت است و هر کشور نیز شرایط خاص خود را دارد. اما به نظر میرسد خط مشی یکی است و به همین خاطر میتوان از راهنماییهای این قانون استفاده کرد.
رئیس سازمان فناوری اطلاعات ایران با اشاره به اینکه نسخه مفصلی از قانون حفاظت از اطلاعات در فضای مجازی از سوی سازمان فناوری اطلاعات آماده شده بود، گفت: در دولت سیزدهم و حسب یافتهها و تغییراتی که ایجاد شده، وزیر ارتباطات این مسئولیت را به اینجانب محول کردند که بازبینی این لایحه را به شکل خاص دنبال کنم.
اتمام بازنگری لایحه حفاظت از اطلاعات تا پایان سال
وی با تاکید بر اینکه GDPR را به عنوان لایحهای که از سوی دولت باید نهایی شود و سریعتر به مجلس ارائه شود در دستور کار قرار دادهایم، افزود: پیش بینی ما این است که رویه کارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت کارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه نیز استفاده خواهیم کرد.
پیش بینی ما این است که رویه کارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت کارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه استفاده خواهیم کرد خوانساری با بیان اینکه بازبینی مجدد با هدف ارائه یک لایحه جامع و کامل در حوزه حفاظت از اطلاعات در فضای مجازی مدنظر است، گفت: طبیعتاً ما یک بار میتوانیم شانس خود را برای ارائه لایحه با این مضمون، به مجلس امتحان کنیم. به همین علت بهتر است که این لایحه کامل باشد و چیزی از قلم نیافتد تا قانونی محکم در حفاظت از حقوق مردم تصویب شود و مردم از ثمرات آن بهره مند شود.
معاون وزیر ارتباطات گفت: در صورت نهایی شدن این لایحه در وزارت ارتباطات، پیشنویس آن را منتشر خواهیم کرد، گفت: این حق مردم است که در جریان قرار بگیرند و ما چیز پنهانی نداریم. قصدمان دفاع از حقوق مردم به صورت قانونی است. دولت انرژی زیادی خواهد گذاشت تا این لایحه را به مجلس ببرد.
وی در مورد تفاوت این طرح با طرح حمایت از حقوق کاربران فضای مجازی و خدمات پایه کاربردی که هم اکنون در مجلس شورای اسلامی در دست بررسی است، گفت: سطوح عملکرد این دو طرح کاملاً متفاوت است. اگرچه قطعاً این طرحها متناقض هم نبوده بلکه مکمل هم خواهند بود. اما در طرح حفاظت از اطلاعات، قوانین مرتبط با انتشار دادههای شخصی قرار است تصویب شود.
به گزارش مهر، موضوع قانون گذاری در حوزه حکمرانی داده از سال گذشته نیز در مجلس یازدهم مورد پیگیری قرار گرفت و نمایندگان به دلیل خلأ قوانین مرتبط با این حوزه، دو طرح «طرح یکپارچه سازی داده و اطلاعات ملی» و «الزام به انتشار داده و اطلاعات عمومی» را در جریان تصویب قرار دادهاند.
از سوی دیگر بخشی از طرح حمایت از حقوق کاربران و خدمات پایه فضای مجازی نیز در راستای تنظیمگری حقوق کاربران فضای مجازی تعریف شده است.
حال در صورتی که روند بازنگری لایحه دولت در زمینه حفاظت از اطلاعات نیز تا پایان امسال به اتمام برسد و دولت روند تصویب آن را سرعت بخشد، میتوان امیدوار بود که این لایحه از ابتدای سال ۱۴۰۱ با قید فوریت در کنار سایر قوانین مرتبط در مجلس، وارد فرآیند تصویب شود.
به این ترتیب از سال آینده شاهد پیاده سازی نظام حاکمیت داده در کشور و قانونمند شدن انتشار اطلاعات در فضای مجازی خواهیم بود.