Gerdab.IR | گرداب

به گزارش گرداب، نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران یکی از موضوعات دارای اهمیت سال‌های اخیر فضای مجازی بوده که هر بار پس از گذشت چند روز، به دلیل نبود قوانین مشخص در مواجهه با آن، به دست فراموشی سپرده می‌شود.

برای مثال کمتر از ۲ سال پیش نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرور‌های سازمان ثبت احوال و وزارت بهداشت خبرساز شد. پس از آن نیز شاهد افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی یکی از شبکه‌های اجتماعی و شماری از کاربران یکی از بازار‌های ایرانی نرم‌افزار‌های موبایلی بودیم؛ سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم و برخی شرکت‌های هواپیمایی و بانک‌ها نیز از همین دست اتفاقات بوده است که متأثر از فهرست مشترکی از خطا‌ها و ضعف‌های امنیتی در پایگاه‌های داده، عموماً تکرار می‌شود.

افشای داده تنها مربوط به کشور ما نیست و نشت اطلاعات میلیون‌ها پروفایل شخصی مربوط به مشترکان فیس بوک در جریان تبلیغات سیاسی انتخابات ریاست جمهوری آمریکا که توسط شرکت کمبریج آنالیتیکا (یک شرکت تحلیل اطلاعاتی) صورت گرفت از جمله بزرگترین این پرونده‌ها است.

این در حالی است که «داده» در دنیای امروز یک دارایی با ارزش محسوب می‌شود که نشت و سرقت آن تبعات بسیار اقتصادی، اجتماعی و سیاسی را در بردارد و حفاظت قانونی از آن، باید در سازوکار‌های مرتبط با نظام حاکمیت داده جای گیرد.

الزامات قانون نویسی برای حفاظت از اطلاعات

الزامات قانونگذاری در حفاظت از اطلاعات را می‌توان در قالب چند محور از جمله الزامات استفاده و نگهداری از داده‌های شخصی کاربران، الزامات افشای داده‌های شخصی، حقوق کاربران در زمینه حریم خصوصی، مسئولیت‌های متولیان داده‌های شخصی و الزامات دسترسی کاربر به داده‌های شخصی در فضای مجازی، تعریف کرد.

در گزارشی که پیش از این با عنوان «حفاظت از داده‌های کاربران و رویکرد‌های جهانی» توسط مرکز پژوهش‌های مجلس منتشر شده است، پس از بررسی اسناد و مدارک بین‌المللی و منطقه‌ای حریم خصوصی و حفاظت از داده‌های کاربران، این نتیجه‌گیری حاصل شده که «حفاظت از داده‌های کاربران با توجه به توسعه فناوری اطلاعات و ارتباطات و فضای مجازی به یکی از اولویت‌های سیاستی و قانونگذاری کشور‌ها تبدیل شده و اغلب کشور‌های توسعه یافته به تصویب قوانین بخشی یا یکپارچه در این زمینه اقدام کرده‌اند. در این میان کشور‌هایی همچون پاکستان، گواتمالا، هند، ترکیه، مالزی، مکزیک، فیلیپین، سنگاپور، ونزوئلا دارای کمبود قوانین در این حوزه هستند.

ایالات متحده آمریکا و ژاپن دارای رویکرد قانونگذاری بوده‌اند و کره جنوبی، استرالیا، کانادا، اتریش، بلژیک، فرانسه، ایتالیا، کانادا، دانمارک، فنلاند، آلمان، یونان، بلژیک، نروژ، ایرلند، پرتغال، اسپانیا، سوئد، سوئیس و انگلستان از جمله کشور‌هایی هستند که دارای قانونگذاری یکپارچه در عرصه حفاظت از داده‌های کاربران هستند. بر این اساس ضرورت تصویب قانون صیانت و حفاظت از داده‌های شخصی در کشور ما نیز احساس می‌شود.»

این ضرورت بر مبنای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت به ویژه اصول ۱۹، ۲۰، ۲۲، ۲۳، ۲۵، ۲۶، ۳۸ و ۳۹ قانون اساسی و نیز سیاست‌های کلی نظام، ابلاغی مقام معظم رهبری درباره شبکه‌های اطلاع رسانی رایانه‌ای به ویژه بند‌های یک و ۷، نظام اداری به ویژه بند ۲۳، پدافند غیرعامل به ویژه بند ۱۱، امنیت فضای تولید و تبادل اطلاعات به ویژه بند یک و برنامه ششم توسعه به ویژه بند‌های ۳۶، ۳-۵۵ قابل پیگیری است و با در نظر گرفتن این اسناد، می‌توان به شاخص‌ها و سیاست‌های مشخصی برای قانونگذاری درباره حفاظت از داده دست یافت.

GDPR و تلاش برای محافظت از حریم خصوصی کاربران

حریم خصوصی کاربران فضای مجازی در ایران تاکنون مشمول قانونی نبوده و به همین دلیل بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی به وفور اتفاق می‌افتد. به دلیل مشخص نبودن مصادیق گردآوری، استفاده، نگهداری و افشای اطلاعات و مسئولیت‌های متولیان داده‌های شخصی از جمله شبکه‌های اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی با ابهامات جدی همراه است.

این در حالی است که بسیاری از کشور‌های دنیا، برای حفاظت از اطلاعات در فضای مجازی قوانین مشخصی تدوین کرده‌اند و اتحادیه اروپا نیز قانون جامعی از صیانت از اطلاعات شخصی به نام GDPR را به تصویب رسانده است. این قانون از ۲۵ ماه می‌سال ۲۰۱۸ اجرایی شده و شرکت‌های زیادی در داخل اتحادیه اروپا و حتی خارج از آن، تحت تأثیر این قانون قرار گرفته‌اند.

این قانون که حتی مشمول قوانین و مقرراتی برای صادرات اطلاعات شخصی به خارج از اتحادیه اروپا نیز می‌شود، شبکه‌های مجازی را ملزم به تبعیت از قوانین فضای مجازی کشور‌ها برای صیانت از حریم خصوصی کاربران می‌کند و در صورت نقض این قانون، این شبکه‌ها با جریمه‌های سنگینی مواجه می‌شوند.

در این قانون به این ابهامات پاسخ داده می‌شود که کدام داده‌های جمع آوری شده شامل حریم خصوصی می‌شود؛ چه کسانی می‌توانند از آن استفاده کنند و چه کار‌هایی باید انجام پذیرد تا کاربر از حفاظت و امانت این اطلاعات مطمئن شود. در نهایت اینکه تحلیل این داده‌ها تحت چه قوانینی ممکن خواهد بود.

به همین دلیل گفته می‌شود که اگرچه GDPR یک قانون مصوب در داخل اتحادیه اروپا محسوب می‌شود، اما محدوده تعریف شده آن تمامی کشور‌ها و شرکت‌هایی که به نوعی با اتحادیه اروپا مراوده دارند را نیز دربرمی گیرد. از این رو شرکت‌های زیادی در آمریکا و آسیا نیز اعلام کرده‌اند که به این قانون پایبند خواهند بود؛ بنابراین می‌توان گفت که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شده است.

تصویب GDPR به عمر دولت دوازدهم قد نداد

در ایران نیز با توجه به ایجاد موج جهانی برای ملحق شدن به قانون GDPR، بحث تصویب «قانون حفاظت از اطلاعات شخصی» از حدود ۳ سال پیش توسط دولت دوازدهم مطرح شد و این‌طور گفته شد که قرار است حفاظت از داده در کشور بر مبنای قانون GDPR اصلاح و ویرایش شود.

خرداد سال ۹۷ محمدجواد آذری جهرمی وزیر وقت ارتباطات و فناوری اطلاعات در پیامی توئیتری اجرای قانون حفاظت از اطلاعات شخصی در اتحادیه اروپا را تبریک گفت و از انتظار برای تصویب چنین لایحه‌ای در ماه‌های آتی در ایران خبر داد. مرداد ۹۷ نیز پیش‌نویس لایحه صیانت از داده‌های شخصی در این لینک از سوی وزارت ارتباطات منتشر شد.

در آن زمان با همکاری مرکز پژوهش‌های مجلس و پژوهشگاه قوه قضائیه و وزارت ارتباطات، پیش‌نویس اولیه مشترک میان دولت، مجلس و قوه قضائیه تهیه شد تا در قالب لایحه‌ای از سمت دولت به مجلس برود. برای مثال کارشناسی در زمینه جرم انگاری در این لایحه در قوه قضائیه انجام شد و برخی کمیسیون‌های تخصصی و فرعی دولت نیز موارد دیگری را مورد بررسی قرار دادند تا بسیاری از مشکلات افشای اطلاعات در فضای مجازی به صورت قانونی حل شود.

با این وجود آنطور که انتظار می‌رفت مسیر تصویب این لایحه پیش نرفت و دولت دوازدهم موفق نشد لایحه را برای ارائه به مجلس به سرانجام برساند.

بازنگری در GDPR ایرانی و حرکت به سمت حفاظت از حریم خصوصی

اغلب کشور‌های دنیا با در نظر گرفتن ویژگی‌های بومی و فرهنگی خود، به جای اینکه از ابتدا قانونی مانند GDPR بنویسند، قانون اتحادیه اروپا را به قانون داخلی خود تغییر داده و بازنگری کرده‌اند.

با توجه به دغدغه‌هایی که در کشور ما در خصوص قانون نویسی در حوزه فضای مجازی و حفظ اطلاعات شخصی کاربران وجود دارد، باید رویه‌ای دنبال شود که در کنار بومی سازی قانونی مانند GDPR، به موضوعات فنی داخلی نیز توجه ویژه شده و مشخص شود که تطبیق شرکت‌های داخلی، سایت و اپلیکیشن‌ها با این قانون چگونه انجام خواهد شد.

به این معنا که شرکت‌ها برای آماده سازی خود با قانون GDPR نیازمند چه فعالیت‌ها و زیرساخت‌هایی هستند و چه اقداماتی را باید انجام بدهند و یا اینکه فرآیند قانونی حفاظت از حریم شخصی و حفاظت از داده‌ها برای پلتفرم‌های پر مخاطب چگونه دنبال می‌شود؟ در کنار این موضوع، بحث تقسیم بندی وظایف متولیان امنیت داده در کشور نیز در درجه اهمیت قرار دارد و باید در سطح دستگاه‌های حساس و حیاتی و سایر نهاد‌های مسئول، مورد توجه قرار گیرد.

با این وجود هم اکنون معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات از اهتمام دولت سیزدهم برای به ثمر رساندن لایحه حفاظت از حریم خصوصی کاربران خبر داده و گفته است که این لایحه قرار است از سوی دولت به مجلس ارائه شود.

محمد خوانساری در تشریح برنامه‌های وزارت ارتباطات برای حفظ حریم خصوصی کاربران و صیانت از داده‌های شخصی، با اشاره به لایحه‌ای که در دولت قبل در این خصوص به سرانجام نرسید، اظهار داشت: ما در حال بازبینی لایحه GDPR که در دولت قبل برای «حفظ حریم خصوصی و حفاظت از داده» مطرح شده بود، هستیم.

وی با بیان اینکه مجدداً این لایحه را فعال خواهیم کرد تا در کمیسیون‌های دولت به تصویب برسد و در نهایت از سوی هیأت دولت به مجلس تقدیم شود، گفت: این مهمترین کاری است که باید در حوزه حفاظت از اطلاعات انجام شود و به همین خاطر تاکید ما این است که سریع‌تر به نتیجه برسد.

معاون وزیر ارتباطات در پاسخ به این سوال که آیا این لایحه، برگردانی از قانون GDPR اتحادیه اروپا خواهد بود، گفت: قاعدتاً خیر؛ این لایحه را با شرایطی که در کشور داریم باید تطبیق دهیم و بالطبع، قوانین و مقررات ما در کشور برای حفظ حقوق داده و مردم متفاوت است و هر کشور نیز شرایط خاص خود را دارد. اما به نظر می‌رسد خط مشی یکی است و به همین خاطر می‌توان از راهنمایی‌های این قانون استفاده کرد.

رئیس سازمان فناوری اطلاعات ایران با اشاره به اینکه نسخه مفصلی از قانون حفاظت از اطلاعات در فضای مجازی از سوی سازمان فناوری اطلاعات آماده شده بود، گفت: در دولت سیزدهم و حسب یافته‌ها و تغییراتی که ایجاد شده، وزیر ارتباطات این مسئولیت را به اینجانب محول کردند که بازبینی این لایحه را به شکل خاص دنبال کنم.

اتمام بازنگری لایحه حفاظت از اطلاعات تا پایان سال

وی با تاکید بر اینکه GDPR را به عنوان لایحه‌ای که از سوی دولت باید نهایی شود و سریع‌تر به مجلس ارائه شود در دستور کار قرار داده‌ایم، افزود: پیش بینی ما این است که رویه کارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت کارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه نیز استفاده خواهیم کرد.

پیش بینی ما این است که رویه کارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت کارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه استفاده خواهیم کرد
خوانساری با بیان اینکه بازبینی مجدد با هدف ارائه یک لایحه جامع و کامل در حوزه حفاظت از اطلاعات در فضای مجازی مدنظر است، گفت: طبیعتاً ما یک بار می‌توانیم شانس خود را برای ارائه لایحه با این مضمون، به مجلس امتحان کنیم. به همین علت بهتر است که این لایحه کامل باشد و چیزی از قلم نیافتد تا قانونی محکم در حفاظت از حقوق مردم تصویب شود و مردم از ثمرات آن بهره‌مند شود.

معاون وزیر ارتباطات گفت: در صورت نهایی شدن این لایحه در وزارت ارتباطات، پیش‌نویس آن را منتشر خواهیم کرد، گفت: این حق مردم است که در جریان قرار بگیرند و ما چیز پنهانی نداریم. قصدمان دفاع از حقوق مردم به صورت قانونی است. دولت انرژی زیادی خواهد گذاشت تا این لایحه را به مجلس ببرد.

وی در مورد تفاوت این طرح با طرح حمایت از حقوق کاربران فضای مجازی و خدمات پایه کاربردی که هم اکنون در مجلس شورای اسلامی در دست بررسی است، گفت: سطوح عملکرد این دو طرح کاملاً متفاوت است. اگرچه قطعاً این طرح‌ها متناقض هم نبوده بلکه مکمل هم خواهند بود. اما در طرح حفاظت از اطلاعات، قوانین مرتبط با انتشار داده‌های شخصی قرار است تصویب شود.

موضوع قانون گذاری در حوزه حکمرانی داده از سال گذشته نیز در مجلس یازدهم مورد پیگیری قرار گرفت و نمایندگان به دلیل خلأ قوانین مرتبط با این حوزه، دو طرح «طرح یکپارچه سازی داده و اطلاعات ملی» و «الزام به انتشار داده و اطلاعات عمومی» را در جریان تصویب قرار داده‌اند.

از سوی دیگر بخشی از طرح حمایت از حقوق کاربران و خدمات پایه فضای مجازی نیز در راستای تنظیم‌گری حقوق کاربران فضای مجازی تعریف شده است. حال در صورتی که روند بازنگری لایحه دولت در زمینه حفاظت از اطلاعات نیز تا پایان امسال به اتمام برسد و دولت روند تصویب آن را سرعت بخشد، می‌توان امیدوار بود که این لایحه از ابتدای سال ۱۴۰۱ با قید فوریت در کنار سایر قوانین مرتبط در مجلس، وارد فرآیند تصویب شود.

به این ترتیب از سال آینده شاهد پیاده سازی نظام حاکمیت داده در کشور و قانونمند شدن انتشار اطلاعات در فضای مجازی خواهیم بود.