پایگاه خبری وب زوم
دوشنبه 10 اردیبهشت 1403
کد خبر: 17584
  1. صفحه نخست /
  2. ایران /
پ

حفظ امنیت داده‌های کاربران همچنان بدون متولی و در انتظار قانون

خلاء قانونی در بحث حفاظت از اطلاعات کاربران از جمله مشکلات امنیت سایبری در کشور است. همواره خبرهایی از حملات سایبری به بانک‌ها، سازمان‌ها، شبکه‌های اجتماعی بومی و سرقت اطلاعات کاربران منتشر می‌شود. در اکثر موارد نیز شرکت‌ها حملات سایبری را تکذیب می‌کنند اما در نهایت اطلاعات کاربران در شبکه‌های اجتماعی و دارک‌وب منتشر می‌شود.

خلاء قانونی در بحث حفاظت از اطلاعات کاربران از جمله مشکلات امنیت سایبری در کشور است. همواره خبرهایی از حملات سایبری به بانک‌ها، سازمان‌ها، شبکه‌های اجتماعی بومی و سرقت اطلاعات کاربران منتشر می‌شود. در اکثر موارد نیز شرکت‌ها حملات سایبری را تکذیب می‌کنند اما در نهایت اطلاعات کاربران در شبکه‌های اجتماعی و دارک‌وب منتشر می‌شود.

به گزارش پیوست، با وجود اینکه بارها قدم‌هایی برای نهایی شدن لایحه‌های حفاظت از داده‌های شخصی برداشته شده اما هنوز این لایحه در دستور کار دولت باقی مانده و برای بررسی و تصویب نهایی به مجلس ارائه نشده است. یک بار این لایحه در دوره محمدجواد آذری جهرمی رونمایی شد و چندی پیش نیز وزیر ارتباطات و فناوری اطلاعات، عیسی زارع‌پور، اعلام کرد به‌زودی لایحه نهایی و برای تصویب نهایی به مجلس ارسال می‌شود. کارشناسان معتقدند شباهت‌هایی میان این لایحه و قانون GDPR یا همان مقررات عمومی حفاظت از داده اتحادیه اروپا وجود دارد. البته در قانون مدیریت داده‌ها و اطلاعات ملی بر لزوم حفاظت از داده‌های شخصی توسط نهادهایی که مشمول این قانون می‌شوند تاکید شده است اما مجازات تعیین‌شده برای متخلفان بازدارندگی چندانی ندارد.

قانون دوام

موضوع قانون‌گذاری برای مراقبت از داده‌های کاربران در فضای مجازی به حدود ۲۰ سال پیش بازمی‌گردد. در خرداد ۱۳۸۳، لایحه حریم خصوصی تصویب شد که بخش اندکی از این لایحه به حفظ حریم خصوصی در ارتباطات الکترونیکی اختصاص دارد. این لایحه بیشتر متوجه نهادهای امنیتی و نظارتی بود و محدودیت‌هایی در رهگیری اطلاعات برای آنها تعریف می‌کرد. البته یکی از اولین لوایحی که مجلس در روزهای نخست دولت احمدی‌نژاد رد کرد همین مورد بود.

پس از آن در زمستان ۹۶ بود که آذری جهرمی در یک مراسم رسمی از لایحه «صیانت و حفاظت از داده‌های شخصی» رونمایی کرد. رفت‌وآمدهای جهرمی برای حفاظت از داده‌های کاربران ادامه داشت اما این پیگیری‌ها به عمر دولت روحانی قد نداد. البته نمایندگان مجلس طرح حمایت و حفاظت از داده و اطلاعات شخصی را ارائه کردند که در مهر ۱۳۹۹ اعلام وصول شد.

نمایندگان مجلس در مهر ۱۴۰۰ نیز طرحی با عنوان حفاظت از داده‌ها ارائه کردند. بر اساس این طرح تبادل داده‌ها و اطلاعات بین دستگاه‌های اجرایی و کسب‌وکارها با رعایت اصول حفاظتی و امنیتی بر عهده مرکز ملی تبادل اطلاعات است. هرگونه تبادل داده‌ها و اطلاعات خارج از این مرکز خلاف مصوبات شورای عالی فضای مجازی و کمیسیون داده‌ها و اطلاعات ملی است و مجازات‌هایی در پی دارد.

پس از آن نیز طرح قانون یکپارچه‌سازی داده و اطلاعات ملی در مجلس اعلام وصول شده بود که تلاش می‌کرد در زمینه حکمرانی نظام داده موثر باشد. همچنین دبیر شورای اجرایی فناوری اطلاعات نیز در اردیبهشت همان سال ۱۴۰۰ اعلام کرده‌ بود لایحه مقررات عمومی حفاظت از داده به‌زودی در دولت تصویب شده و به مجلس می‌رود. این پیشنهادها در زمینه تعیین قوانین بسیار ریشه‌دارتر است و حتی مرکز پژوهش‌ها نیز در سال ۹۷ در پژوهشی به موضوع حفاظت از داده‌های کاربران و حتی نمونه‌های جهانی آن پرداخته بود.

آبان‌ سال گذشته بود که قانون مدیریت داده‌ها و اطلاعات ملی یا اصطلاحاً قانون دوام مصوب شد. در ماده پنج این قانون به دستگاه‌ها و نهادهایی که داده تولید می‌کنند، تکلیف شده مصوبات مربوط به رعایت امنیت داده‌ها را اجرا کنند.

در این قانون آمده است: «دستگاه‌ها و نهادهای مشمول این قانون که بر اساس شرح وظایف مقرر در قوانین مربوط و نیز تکالیف ناشی از این قانون موظف به تولید، نگهداری، پردازش داده‌ها و اطلاعات هستند، مکلف‌اند در امر تولید، نگهداری، پردازش، حفظ امنیت و صیانت از داده‌­های شخصی و تبادل و اشتراک­‌گذاری و تکمیل و به‌روزرسانی داده‌­ها و اطلاعات ملی، سیاست‌­ها و نظامات مصوب شورای‌­عالی فضای مجازی و مصوبات کارگروه تعامل پذیری دولت الکترونیکی را اعمال و اجرا کنند.»

همچنین طبق ماده ۶ این قانون، «تدابیر حفاظتی و امنیتی جهت صیانت از داده‌ها و اطلاعات و حفظ محرمانگی داده‌ها و اطلاعات اشخاص بر عهده دستگاه‌ها و نهادهای مشمول این قانون و ارائه‌­دهندگان خدمات ذیل تنظیم‌­گران بخشی است که مسئول تولید، نگهداری یا پردازش­‌کننده داده‌ها و اطلاعات هستند».

بنا بر ماده ۹ قانون دوام، متخلف یا اخلال‌کننده در پردازش و تبادل یا مستنکف از اجرای این قانون مشمول مجازات انفصال از خدمت به مدت ۶ ماه تا پنج سال یا حبس تعزیری به مدت ۹۰ و یک روز تا ۶ ­ماه می‌شود.

پیش‌نویس لایحه حفاظت از داده‌ها

۱۷ آبان امسال بود که وزیر ارتباطات و فناوری اطلاعات در دیدار با سکینه‌سادات پاد، دستیار رئیس‌جمهور، در پیگیری حقوق و آزادی‌های اجتماعی از تنظیم لایحه حفاظت از داده و حریم خصوصی توسط وزارت ارتباطات خبر داد که به گفته او به‌زودی در جلسات هیات دولت برای تصویب و ارائه به مجلس طرح خواهد شد.

زارع‌پور درباره حفاظت از داده و حریم خصوصی گفت: بر اثر تحریم‌های یک‌جانبه و ظالمانه مدعیان حقوق بشر، هزاران سایت و سرویس کاربردی برای کاربران ایرانی فیلتر شده که نیاز عموم مردم، برنامه‌نویسان، متخصصان و دانشگاهیان است، اما عده‌ای نادانسته یا عامدانه این فیلترینگ گسترده را به داخل کشور مرتبط کرده‌اند و حتی آن را با عنوان «اختلال در شبکه» فاکتور می‌کنند.

همچنین دی‌ماه سال گذشته نیز وزارت ارتباطات و فناوری اطلاعات اعلام کرد در بیست‌وششمین جلسه کمیسیون راهبری کارگروه ویژه اقتصاد دیجیتال دولت پیش‌نویس لایحه قانون حمایت و حفاظت از داده‌های شخصی برای ارائه به کارگروه ویژه اقتصاد دیجیتالی نهایی شده است.

قانونی که مصوب نشد

علی‌رضا قهرود، کارشناس امنیت سایبری، درباره خلاء قانونی در نگهداری از داده‌ها به «پیوست» گفت: در زمان وزارت آذری جهرمی، لایحه قانونی در رابطه با حفاظت از داده‌های کاربران را تدوین شد اما این لایحه به سرانجام نرسید. موضوع این قانون در مورد حفاظت از اطلاعات کاربران و داده‌های شخصی و حریم خصوصی کاربران فضای مجازی بود.

قهرود درباره حفاظت از کاربران و صیانت از اطلاعات شخصی گفت: قانونی در این‌ باره وجود ندارد اما پلیس فتا مقرراتی برای پیشگیری از فاش‌ شدن اطلاعات شخصی کاربران تعیین کرده است. مثلاً نباید چت خصوصی کاربران در فضای مجازی منتشر شود.

به اعتقاد قهرود، حاکمیت درکی از اهمیت داده‌های کاربران ندارد و این مساله دغدغه نمایندگان مجلس نیست. او افزود: سه ماه قبل یکی از بانک‌ها هک شد. اگر به سایت Leakfa مراجعه کنید، دیتابیس نشتی‌های اطلاعات کاربران در آن موجود است.

مسئولیت اجتماعی شرکت‌ها برای حفاظت از اطلاعات

هنوز مشخص نیست مرجع متولی حفاظت از اطلاعات کاربران، کدام سازمان است. معمولاً شرکت‌ها و شبکه‌های اجتماعی بومی بر اساس مسئولیت اجتماعی، خود را موظف به حفاظت از اطلاعات کاربران می‌دانند.

آرش حق‌شناس، مشاور حقوقی فینووا، درباره نهاد متولی حفاظت از داده‌های کاربران در فضای مجازی به «پیوست» گفت: نمی‌دانم کدام نهاد متولی حفاظت از داده‌های کاربران است. چندین و چند نهاد در کشور خود را متولی فضای مجازی می‌دانند اما در زمینه حفاظت از اطلاعات و داده‌های کاربران هیچ‌یک مسئولیتی بر عهده نمی‌گیرند.

او ادامه داد: قاعدتاً باید حفاظت داده‌ها بر عهده سازمان تنظیم مقررات و ارتباطات رادیویی وزارت ارتباطات باشد. اما هنوز متولی این بخش مشخص نیست. حتی مشخص نیست نهاد متولی در این زمینه وجود دارد یا باید ایجاد شود. منطق ایجاب می‌کند که وزارت ارتباطات و فناوری اطلاعات مسئولیت حفاظت از داده‌های کاربران را بر عهده بگیرد. اما همه چیز طبق منطق پیش نمی‌رود.

حق‌شناس توضیح داد: از سویی دیگر بستگی دارد چه نوع داده‌هایی مد نظر باشد؛ داده‌ها از نظر محرمانگی به چهار بخش کلی تقسیم می‌شوند: داده‌های سری، به‌کلی سری، محرمانه و به‌کلی محرمانه.

او درباره مقرراتی که برای حفاظت داده‌ها وضع شده گفت: درباره اینکه مقرراتی در این زمینه وجود دارد یا خیر تردید دارم. اما به نظر می‌رسد هیچ مقرراتی درباره حفاظت از داده‌های کاربران وضع نشده است. چراکه تاکنون هیچ نهاد و مسئولی به ضرورت این مساله فکر نکرده است.

این کارشناس حقوقی تاکید کرد: BigData یا همان کلان‌داده‌های مردم بسیار مهم است، هم استفاده تجاری و هم سوءاستفاده از آنها راحت است و باید قوانین مشخصی در این‌ باره وضع شود. نهادهایی که با مشتریان در ارتباطند مانند بانک‌ها، نرم‌افزارها به‌ویژه پیام‌رسان‌ها معمولاً در قالب آیین‌نامه قوانینی برای کارمندان وضع می‌کنند که حق سوءاستفاده و انتشار داده‌های کاربران را ندارند. اما فراتر از این قانونی در کشور نداریم.

او افزود: کلاهبرداران و هکرها در همه جای دنیا یافت می‌شوند. حتی در کشورهای پیشرو در عرصه تکنولوژی نیز شاهد هک شدن بزرگ‌ترین و پیشرفته‌ترین نرم‌افزارها هستیم. خطر سوءاستفاده و کلاهبرداری از داده‌های کاربران در همه جا وجود دارد. از سویی دیگر خلاء قانونی نیز در بسیاری از کشورهای دنیا وجود دارد. اما شرایط کشورهای توسعه‌یافته در این زمینه از ما بسیار بهتر است.

حق‌شناس گفت: به طور کلی در همه جای دنیا قوانینی کلی برای حفاظت از اطلاعات کاربران وجود دارد، مردم برای حفاظت از اطلاعات خود می‌توانند قرارداد محرمانگی منعقد کنند یا شرط محرمانگی را در قراردادهایشان قید کنند و به طرف قرارداد اعلام کنند حق ندارید داده‌های شخصی را منتشر کنید. افراد، شرکت‌ها و اشخاص هم‌سطح می‌توانند قرارداد محرمانگی را فی‌مابین منعقد کنند. وجه التزام نیز جریمه‌های نقدی قرار دهند.

او تاکید کرد: با این‌همه کاربران در ایران در صورت فاش شدن اطلاعاتشان کار چندانی نمی‌توانند انجام دهند. راه ساده‌تر آن است که نهادی متولی حفاظت از داده‌ها شود و دستورالعمل و قوانین تعیین کند، قوانین را به مجلس برده و تصویب کند. بهترین راه این است که دولت از طریق وزارت ارتباطات و فناوری اطلاعات، لایحه حفاظت از داده‌های اشخاص را تدوین کند و در مجلس به تصویب برساند.

حق‌شناس گفت: یا این‌که نمایندگان مجلس خود قانونی در این زمینه تدوین کرده و مصوب کنند. با وجود خلاقانونی کاربران هیچ راهی برای پیگیری یا شکایت برای سواستفاده از داده‌هایشان ندارند. شرکت‌های ارائه دهنده خدمات اینترنتی و پیام‌رسان‌ها نیز در قالب مسئولیت اجتماعی مقرراتی برای حفاظت از داده‌های کاربران وضع کرده و خود را ملزم به حفظ حریم شخصی آنان می‌دانند.

او افزود: راهکار دیگر این است که رسانه به دولت فشار وارد کند که قوانینی برای حفاظت از داده‌های اشخاص وضع کند. از سویی دیگر به کاربران نیز اطلاع‌رسانی کند که داده‌های شخصی‌شان ارزشمند است و ممکن است از آنها سوءاستفاده شود.

خطرات اشتراک اطلاعات شخصی

اگرچه حملات سایبری و فیشینگ همواره از سوی پلیس فتا پیگیری شده و متخلفان نیز مجازات می‌شوند، اما اگر پیام‌رسان‌ها و شبکه‌های اجتماعی داخلی هدف حمله سایبری قرار گیرند و اطلاعات کاربران سرقت شود، قانونی برای شکایت از این شبکه‌های اجتماعی وجود ندارد.

حجت کهن‌دل، کارشناس امنیت سایبری، به «پیوست» گفت: سرقت و سوءاستفاده از اطلاعات کاربران در فضای مجازی یا از طریق هک شبکه‌های اجتماعی صورت می‌گیرد یا با حمله سایبری به موبایل شخصی فرد. اگر اطلاعات از طریق شبکه‌های اجتماعی نشر شود، می‌تواند از شرکت مربوطه شکایت کند.

او افزود: با این‌ همه کاربران نیز موظف‌اند برای حفاظت از اطلاعات‌شان اقدامات امنیتی را انجام و امنیت حساب کاربری خود را افزایش دهند. باید پسوردی مناسب انتخاب کنند، از وی‌پی‌ان تا جای ممکن کمتر استفاده کنند و در صورت استفاده از آن به خطرات وی‌پی‌ان‌ها آگاه باشند. در سایت‌ها و پیامک‌هایی که برای کاربران ارسال می‌شود روی هر لینکی کلیک نکنند تا هدف حمله فیشینگ قرار نگیرند.

کهن‌دل گفت: اگر از طریق حمله سایبری به گوشی همراه فرد اطلاعات سرقت شود، ماجرا کاملاً متفاوت است. مثلاً من با فردی در شبکه‌های اجتماعی چت کرده‌ام و موبایل من هدف حمله سایبری قرار می‌گیرد، در این صورت اطلاعات فرد مورد نظر نیز سرقت می‌شود و هکرها از جزئیات گفت‌وگوی ما باخبر می‌شوند. اما در این مورد دیگر شبکه‌های اجتماعی و پیام‌رسان‌ها مقصر نیستند. اما از هکر مربوطه می‌توان به پلیس فتا شکایت کرد و پلیس فتا نیز فرد خاطی را دستگیر می‌کند. در حملات فیشینگ نیز پلیس فتا همواره پیگیری و کلاهبرداران را دستگیر می‌کند.

او توضیح داد: اگر حمله سایبری مثلاً به سرور سروش‌پلاس صورت بگیرد و اطلاعات کاربران سرقت شود، مدیران این پیام‌رسان مسئول‌اند و کاربران می‌توانند از آنها شکایت کنند. اما قانون مدونی در این‌ باره وجود ندارد به همین دلیل کاربران نمی‌توانند اقدام چندانی برای پیگیری اطلاعات سرقت‌شده انجام دهند. در صورت شکایت نیز شرکت محکوم نمی‌شود، چون قانونی وجود ندارد که به آن استناد شود.

اهمیت داده‌های کاربران

داده‌های کاربران هم ارزشمند است و هم اهمیت بسیاری دارد اما کارشناسان حقوقی و امنیت سایبری معتقدند مسئولان و نمایندگان مجلس اهمیت این موضوع را درک نکرده‌اند.

کلید واژه : امنیت کاربران امنیت اجتماعی کاربران شبکه های اجتماعی
مطالب مرتبط
ارسال دیدگاه