1. دانش و فناوری
  2. فناوری اطلاعات و ارتباطات
تاریخ انتشار: ۲۴ مرداد ۱۴۰۰ - ۱۱:۵۹

گزارش تحلیلی مهر؛

الفبای حکمرانی اطلاعات چیست/ جریمه افشای داده کاربران

از آنجا که جریان حفاظت از اطلاعات و داده در قوانین امروزی کشور ما با خلاء های زیادی مواجه است که منجر به سردرگمی برخی شرکتهای خدمات آنلاین نیز شده، ۲ طرح جدید بر این موضوع متمرکز شده اند.

خبرگزاری مهر -حکمرانی مجازی؛ سیدرضا حسینی: بر اساس آمار و اطلاعات موجود و پیش‌بینی موسسه «Aureus Analytics» در مورد روند رشد داده‌ها در بازه زمانی سال‌های ۲۰۲۱ تا ۲۰۲۶، حجم داده‌های تولید شده در جهان، سالانه ۴۰ درصد افزایش خواهد یافت. روند ذخیره‌سازی اطلاعات و به‌کارگیری آن‌ها از سوی شرکت‌ها تا زمان نشت اطلاعات و نقض مکرر داده‌های عمومی شرکت‌های بزرگ و مشهوری چون فیسبوک و یاهو، به صورت عادی تداوم داشت اما حوادث یاد شده، منجر به افزایش تقاضا برای قانون‌گذاری و حکمرانی داده‌ها از سوی طیف گسترده‌ای از ذینفعان این حوزه شد.

حکمرانی داده چیست؟

بر اساس تعریف ارائه شده از سوی موسسه «Data Governance Institute»، حکمرانی داده، عبارت است از: «یک سیستم جامع از حقوق تصمیم‌گیری و پاسخگویی برای فرایندهای مربوط به اطلاعات». این چارچوب حقوقی، بر اساس مدل‌های مورد توافق، توضیح می‌دهد که چه کسی با چه ویژگی‌هایی، تحت چه شرایطی و با چه روش‌هایی می‌تواند از داده‌ها استفاده کند.

مقررات عمومی حفاظت از داده اتحادیه اروپا

شاید بتوان بهترین مصداق تدوین و اجرای قوانین حوزه حکمرانی داده را در سطح فراملی، «مقررات عمومی حفاظت از داده اتحادیه اروپا» دانست. تدوین و تصویب این قانون در ۱۴ آوریل ۲۰۱۶ به پایان رسید و پس از گذشت دو سال، از ۲۵ مه ۲۰۱۸ اجرایی شد. بر اساس پیش بینی‌های حقوقی صورت گرفته، کشورهای عضو برای اجرای این قانون، به تصویب قوانین مشابه جداگانه در مقیاس ملی نیاز ندارند و اجرای مفاد آن برای کشورهای عضو به صورت خودکار، ضروری است.

بر اساس این قانون همه پلتفرم‌های آنلاین که با اتحادیه اروپا مراوده دارند، فارغ از محل استقرارشان باید اطلاعات شخصی افراد و کاربرانی را که در اختیار دارند را با استفاده از حداکثر محرمانگی ذخیره سازی و نگهداری کنند. به عبارت دیگر، این داده‌ها به هیچ وجه نباید بدون رضایت صریح صاحب اطلاعات به طور عمومی در دسترس قرار گیرد. علاوه بر این، هیچ نوعی از اطلاعات شخصی نیز نمی‌تواند خارج از مبانی اساسی مقررات وضع شده، پردازش شود.

دیتا در انگلیسی چگونه قانونمند می‌شود

علاوه بر این، کشور انگلیس نیز با اجرای قانون حفاظت از داده از سال ۲۰۱۸، نحوه استفاده سازمان‌ها، کسب و کارها و دولت را از اطلاعات شخصی کاربران تعیین کرده است. قانون یاد شده، مشابهت بسیاری با قوانین اتحادیه اروپا دارد. بر اساس اصول کلی آن، همه نهادهایی که داده‌های شخصی کاربران را در اختیار دارند، باید از مجموعه قوانین سختگیرانه‌ای موسوم به «اصول حفاظت از داده» پیروی کنند. برخی از این اصول عبارتند از:

· استفاده منصفانه، قانونی و شفاف از داده‌ها

· استفاده از اطلاعات صرفاً برای اهداف خاص و شفاف

· عدم نگهداری داده بیش از مدت زمان لازم

· تضمین حفظ امنیت اطلاعات در برابر پردازش غیرقانونی، تخریب یا سرقت

تجربه کره جنوبی

در کشور کره جنوبی نیز مسئله حفاظت از اطلاعات شخصی کاربران مورد توجه قرار گرفته و تقسیم کاری مشخص برای این امر در میان متولیان امر، صورت پذیرفته است.

· سازمان‌هایی چون کمیسیون حفاظت از اطلاعات شخصی (PIPC)، ذیل قانون حفاظت از اطلاعات شخصی شکل گرفته و مسئول نظارت بر نحوه نگهداری و استفاده از این اطلاعات است.

· کمیسیون خدمات مالی (FSC) در ساختار قانونگذاری کره جنوبی، حفاظت از داده‌های مالی و اعتباری را بر عهده دارد.

· کمیسیون ملی حقوق بشر، به صورت کلی بر مسئله حفظ حقوق بشر در این کشور تمرکز دارد و حفاظت از داده‌های کاربران را نیز به عنوان یکی از مصادیق حقوق بشر، در دستور کار دارد.

· سازمان اینترنت و امنیت کره جنوبی (KISA) نیز در زمینه حفاظت از داده‌ها، نقش ارائه پشتیبانی و کمک به دولت و سازمان‌های دولتی در مواجهه با موارد نقض داده را بر عهده دارد و در این خصوص، اقدام به مشاوره و تدوین خط مشی می‌کند.

ایران و سرگردانی اطلاعات

با وجود رشد روزافزون حجم اطلاعات در اختیار شرکت‌های فناوری و رسانه‌های دیجیتال و آگاهی اغلب کشورها در مورد لزوم تدوین سیاست کلان در این حوزه، این موضوع در ایران تا حدود زیادی مغفول واقع شده و هنوز مقررات مشخصی برای تنظیم حکمرانی داده در کشور وضع نشده است به طوریکه از سویی حجم انتقادات و هشدارهای کارشناسان و متخصصان در این باره افزایش یافته و از سوی دیگر شرکتهایی که با اطلاعات کاربران سر و کار دارند درگیر یک نابسامانی و بی قانونی در این زمینه هستند به ویژه آنکه به نظر می‌رسد، هیچ ساز و کار مشخصی برای استفاده قانونی از داده‌ها وجود ندارد. همچنین از آنجا که داده‌ها جزء سرمایه‌های ملی کشورها به شمار می‌رود، موضوع امنیت آنها نیز مطرح است و برای در امان ماندن از گزندهای احتمالی سایبری باید قوانین و سازوکارهای اجرایی لازم در دستور کار قرار گیرد.

مدیران برخی شرکتهای خدمات آنلاین چندی پیش در همین زمینه اظهار نظرهایی داشته اند که از آن جمله می‌توان به درخواست پلیس فتا برای پیگیری پرونده‌های خرید از کارت‌های بانکی دزدیده شده اشاره کرد. مدیر یکی از این شرکتها در این زمینه عنوان کرده بود: «پلیس فتا از شرکت درخواست ارائه اطلاعات IP کاربر را داشته است البته از نظر من بهتر و راحت‌تر هست که این اطلاعات از بانک دریافت شود اما به‌هرحال ما در موارد کلاهبرداری اینترنتی حداکثر همکاری را با پلیس داشته‌ایم. اما در اختیار قرار دادن اطلاعات، پا را فراتر از این مورد نگذاشته ایم.»

یک شرکت دانش بنیان نیز مثال دیگری از درخواست برای استفاده از پاره‌ای اطلاعات کاربران را عنوان کرده بود که به اذعان این شرکت، براساس قانون، اطلاعات تنها می‌تواند در اختیار ۲ نهاد قرار گیرد.

این دو نمونه شاهدی بر این است که سازوکار مشخصی برای درخواست و استفاده مجاز از داده در کشور ایجاد نشده و شرکتهایی که با اطلاعات کاربران سر و کار دارند در مواجهه با درخواست اطلاعات از نهادهای مختلف به نوعی با سردرگمی مواجه اند.

یاسر جلالی، کارشناس حوزه حکمرانی فضای مجازی، اخیراً با اشاره به این خلاء های موجود می‌گوید: در سال‌های گذشته، چند تن از مدیران اپلیکیشن‌های داخلی در فضای مجازی از درخواست نهادهای امنیتی و انتظامی برای دسترسی به اطلاعات کاربران، بدون داشتن حکم قضایی از دادگاه گلایه داشته‌اند.

بر اساس سخنان جلالی، از سوی دیگر طی سه سال اخیر شاهد درز اطلاعات کاربران و داده‌های مردم از دستگاه‌های دولتی و غیر دولتی از جمله بانک‌ها، بنادر، اپ های ایرانی و غیره بوده‌ایم که باعث شد داده کاربران به راحتی در فضای وب قابل دسترسی باشد. بر اساس آمارها ۶۰ درصد جرایم رایانه‌ای از جمله فیشینگ و سرقت در حوزه مالی اتفاق می‌افتد. همه این‌ها به این دلیل است که پیش نیازهای این حوزه در زمینه احراز هویت تأمین نشده است.

الفبای قانونگذاری برای داده

دکتر محمدجعفر نعناکار، حقوقدان فضای مجازی در گفتگو با خبرنگار مهر در همین باره می‌گوید: اصولاً داده‌ها از منظرهای مختلف قابلیت تقسیم بندی دارند که یکی از این تقسیم بندی‌ها، دو نوع ملی و فراملی است. بحث شبکه ملی اطلاعات و ایجاد و ذخیره و پایش داده‌های ملی در مرزهای سایبری داخلی از مصادیق حکمرانی داده در سطح ملی محسوب می‌شود و همچنین استفاده از داده‌های خارجی و به اشتراک گذاشتن بخشی از داده‌های ملی با افرادی خارج از مرزهای سیاسی جغرافیایی کشور مباحثی هستند که ذیل بخش فراملی این تقسیم بندی مطرح می‌شوند. این سطح بندی کلی خود سطح بندی‌های ثانویه را در پی دارد مانند امنیت اطلاعات داخلی، پایش داده‌های خارجی، مالکیت داده‌ها که برای هر کدام می‌توان قوانین مخصوصی تدوین و تصویب کرد؛ مراجع قانونگذاری این مسائل در سطح داخلی متفاوت از مراجع بین‌المللی است. برای مثال در داخل کشور متولی اصلی این امر شورای عالی فضای مجازی است؛ البته ارکان‌های دیگری نیز در این حوزه فعال هستند.

وی افزود: هر کشوری ابتدا سیاست‌های کلی حکمرانی داده را تبیین می‌کند و بعد بر اساس آن سیاست‌های کلی عملکردهای جزئی را تعریف می‌کند. این فرایند سبب می‌شود که کشورها، جدای از بحث سطح توسعه و بخصوص کشورهای مشترک المنافع مانند اتحادیه‌ی اروپا بر اساس سیاست‌های خودشان قوانینی را تنظیم می‌کنند. مثلاً در اتحادیه‌ی اروپا، «جی‌دی‌پی‌آر» این نقش را ایفا می‌کند. در بسیاری از کشورها نیز قوانین مبتنی بر تمامیت داده یا حمایت از داده‌های شخصی را داریم که بر اساس همین قوانین سعی در تعمیق حکمرانی خود، در این حوزه دارند.

وی اضافه کرد: در کشور ما اما به علت نوع نظام حکمرانی داده کشور، اصولاً تعمیق حکمرانی با چالش‌ها و مشکلات عدیده‌ای از جمله عدم اقبال عمومی و فرهنگ‌سازی و اقناع افکار عمومی رو به رو است. اساسی‌ترین خط مشی که کشورهای موفق در این حوزه بر اساس آن عمل کرده و به نتیجه رسیده‌اند، مسئله اقناع افکار عمومی است. اقناع افکار عمومی دارای اهمیت زیادی است و باید مقدم بر قانون گذاری و تدوین و تصویب سیاست‌های کلان باشد.

در کشور ما اما به علت نوع نظام حکمرانی داده کشور، اصولاً تعمیق حکمرانی با چالش‌ها و مشکلات عدیده‌ای از جمله عدم اقبال عمومی و فرهنگ‌سازی و اقناع افکار عمومی رو به رو است. اساسی‌ترین خط مشی که کشورهای موفق در این حوزه بر اساس آن عمل کرده و به نتیجه رسیده‌اند، مسئله اقناع افکار عمومی است این حقوقدان فضای مجازی افزود: به عبارت دیگر برای فرایند حکمرانی داده، مخاطبان و استفاده کنندگان این داده‌ها باید چرایی و چگونگی نیاز موجود به حکمرانی را بپذیرند، قواعد تدوین شده باید با مشارکت ذی نفعان باشد و خود این افراد می‌توانند برای هنجارسازی همکاری کنند و چنین فرایندی، خود به توسعه یافتگی کشور کمک می‌کند.

وی اظهار داشت: متاسفانه در داخل کشور به علت وجود نهادهای متعدد قانونگذار و متصدی امور در این حوزه ما با وضعیت مطلوبی مواجه نیستیم. در داخل کشور، هنوز تفکیک نظری و عملی درستی بین مفاهیمی مثل شبکه ملی اطلاعات و اینترنت جهانی، داده‌های شخصی، داده‌های عمومی و داده‌های خصوصی و داده‌های غیر عمومی، وجود ندارد. ابتدا نیاز است تا این مفاهیم تعریف، مصادیق آن مشخص شود و سپس متولی اصلی امر تعیین گردد. مراکز فعال متعددی وجود دارند که باعث می‌شوند، حکمرانی داده در ایران چارچوب درستی پیدا نکند. یعنی نظام و قواعد کلی درستی وجود ندارند که معماری حقوقی بر آن اعمال شود و ساختمانی مستحکم و مقبول و کارآمد بسازد. شورای عالی فضای مجازی، مرکز ملی فضای مجازی، ساترا، کمیسیون تنظیم مقررات در وزارت ارتباطات، شورای اجرایی فناوری اطلاعات، سازمان فناوری اطلاعات ایران، مجلس شورای اسلامی، شورای عالی انقلاب فرهنگی و … بخشی از نهادهای متعدد فعال در این حوزه هستند.

وی تاکید کرد: از همین رو، ما در این زمینه با چالش‌های نظری و حکمرانی زیادی مواجه هستیم. حکمرانی خود سه سطح دارد. حکمرانی داده، حکمرانی سایبری و حکمرانی فضای مجازی که نیاز است تبیین شوند.

نعناکار با اشاره به چشم انداز آتی کشور در این زمینه گفت: در حوزه حکمرانی داده اگر با همین روش پیش برویم، چشم انداز روشنی وجود ندارد و چشم انداز غبار آلود است. ما نیاز داریم طبق حکم مقام معظم رهبری به شورای عالی فضای مجازی، در مورد تجمیع نهادهای موازی، شوراها و مراجع تصمیم گیری کاری کنیم. نکته بعدی مشارکت دهی بخش خصوصی و متخصصین در تصمیم گیری است. در روند سیاست گذاری یک مسئله افراد متخصص حضور ندارند و فقط سیاست‌گذاران در فرایند حضور دارند. این شرایط باید تغییر کند. خصوصاً در فضای مجازی که فضای موازی زندگی عملی افراد است حتماً باید مخاطبین، سرمایه گذاران و فعالان این حوزه در تدوین حکمرانی و سطوح و ابعاد مختلف آن از جمله حکمرانی داده، مشارکت جدی داشته باشند.

وی تاکید کرد: علاوه بر این، این که افراد متوجه بشوند چه داده‌هایی خصوصی، عمومی، غیر عمومی و ملی محسوب می‌شوند و چه داده‌هایی قابلیت انتشار رایگان، تجزیه و تحلیل و ایجاد داده‌های جدید دارند، امری بسیار حائز اهمیت است. تمام این امور، باید در یک نظام حکمرانی تبیین شوند و سپس در ساختار خورد، نظام حقوقی، آیین نامه‌ها و لوایح، طبق آن، اصول کلی ابلاغ شوند.

وی ابراز امیدواری کرد: با استقرار دولت جدید که رئیس جمهور ریاست شورای عالی فضای مجازی را هم بر عهده خواهد گرفت، این مشارکت عمومی پررنگ‌تر شود و ابعاد و سیاست‌های کلی معلوم شود و بر اساس آن بتوان حکمرانی را در ابعاد و زوایای مختلف از جمله حکمرانی داده تبیین با آن خط مشی کلی حرکت کرد.

صیانت از داده؛ صیانت از کاربران

در شرایطی که عدم وجود رویه‌ای مشخص و چارچوب‌مند در مسئله مدیریت اطلاعات در کشور احساس می‌شود، به نظر می‌رسد که مجلس شورای اسلامی اقداماتی را در راستای قانونگذاری حوزه حکمرانی داده آغاز کرده است و علاوه بر طرح حمایت از حقوق کاربران در فضای مجازی، طرح دیگری نیز در دست بررسی قرار دارد.

یکی از بخش‌های طرح حمایت از کاربران، صیانت از حریم خصوصی کاربران و جلوگیری از دسترسی غیرمجاز به داده‌های آن‌ها است که مهمترین بندهای آن عبارتند از: احراز هویت معتبر کاربران و حفظ اطلاعات کاربران مطابق تعهدات و قوانین موضوعه، عدم انتقال داده‌های مرتبط با هویت کاربران ایرانی به خارج از کشور، ذخیره‌سازی و پردازش داده‌های کاربران ایرانی صرفاً در شبکه ملی اطلاعات، عدم دریافت داده‌ها و دسترسی‌های غیرضروری با خدمت ارائه‌شده از کاربران.

براساس این طرح مصادیق داده‌های مرتبط با هویت کاربران ایرانی توسط کمیسیون مشخص می‌شود و همچین در یکی از تبصره‌های آن تاکید شده که خدمات پایه کاربردی مالک داده‌های کاربران ایرانی نیستند.

هر شخص حقیقی و حقوقی که مسئول حفظ و صیانت از داده‌های کاربران بوده و یا داده‌ها و سامانه‌های آن‌ها در اختیار وی باشد و موجبات دسترسی اشخاص فاقد صلاحیت یا افشای این داده‌ها را فراهم نماید علاوه بر جبران خسارت وارده و حبس درجه پنج، به یکی دیگر از مجازات همان درجه محکوم می‌گردد. درصورتی‌که داده‌ها مربوط به بیش از ده هزار کاربر باشد، مجازات مرتکب یک درجه تشدید می‌شود همچنین در یکی دیگر از مواد این طرح آمده است: هر شخص حقیقی و حقوقی که مسئول حفظ و صیانت از داده‌های کاربران بوده و یا داده‌ها و سامانه‌های آن‌ها در اختیار وی باشد و موجبات دسترسی اشخاص فاقد صلاحیت یا افشا این داده‌ها را فراهم نماید علاوه بر جبران خسارت وارده و حبس درجه پنج، به یکی دیگر از مجازات همان درجه محکوم می‌گردد. درصورتی‌که داده‌ها مربوط به بیش از ده هزار کاربر باشد، مجازات مرتکب یک درجه تشدید می‌شود.

از سوی دیگر رضا تقی پور انوری، عضو کمیسیون صنایع مجلس، طی گفتگویی با مهر در تاریخ ۲۱ تیر ماه، خبر از اتمام بررسی طرحی جدید موسوم به «یکپارچه سازی داده و اطلاعات ملی» در کمیته ارتباطات مجلس داده و اعلام کرد که موضوع یکپارچه سازی اطلاعات ملی با هدف ارائه خدمات منسجم به مردم از جمله اهداف این طرح است.

وی در این مورد گفت: در این طرح بر حفظ حریم خصوصی و اطلاعات افراد در راستای یکی از فاکتورهای اصلی حکمرانی داده تاکید شده است. این طرح در قالب ۱۵ ماده در کمیسیون صنایع و معادن و کمیته ارتباطات مجلس بررسی و تصویب شده و هم اکنون در صف ارائه در صحن قرار دارد.

تقی پور در ادامه با اشاره به سایر طرح‌های در دست بررسی از سوی مجلس شورای اسلامی نیز، گفت: طرح «نظام جامع مدیریت داده‌های کشور» در طرح «الزام به انتشار داده و اطلاعات عمومی» ادغام شده است. در این طرح موضوع الزام به انتشار داده و اطلاعات و تدوین مقررات برای جمع آوری، نگهداری و تبادل داده و رعایت آنها، مورد توجه قرار گرفته است.»

اخبار مرتبط

برچسب‌ها