لایحهای که تصویب نشد
خلأ قانونی برای حفاظت از اطلاعات کاربران به یکی از چالشهای اصلی در بحث امنیت سایبری کشور تبدیل شده است. در مدت اخیر حملات سایبری به بانکها، سازمانها و پلتفرمها افزایش یافته و اطلاعات کاربران بهراحتی به سرقت رفته است. در حالی که غالبا شرکتها حملات سایبری را تکذیب میکنند، اما در نهایت اطلاعات کاربران در شبکههای اجتماعی و دارکوب منتشر میشوند. تداوم و شدت گرفتن این حملات حالا واکنش رئیس کمیته اقتصاد مجلس را هم به دنبال داشته است. مجتبی توانگر در ابتدای هفته جاری طی نامهای به رئیسجمهور با انتقاد از تعلل دولت در ارائه لایحه حمایت و حفاظت از دادههای کاربران در فضای مجازی تاکید کرد که این تعلل، کشور و دادههای مردم را دچار آسیب جدی کرده است.
توانگر طی نامهای به رئیسجمهور در خصوص هک شدن و نشت اطلاعات کاربران در فضای مجازی از طریق پلتفرمهای داخلی نکاتی را متذکر شد. او در این نامه تاکید کرد: «دیجیتالیشدن همه امور در کشور و توسعه فضای مجازی با مشارکت مجلس و دولت روند پرشتابی داشته است. این تحول بزرگ آثار و فرصتهای بیبدیلی با خود به همراه آورده است که میتوان به تسهیل زندگی مردم، شفافیت، مشاغل جدید و رشد و توسعه اقتصاد دیجیتال اشاره کرد. اما در کنار این فرصتها، تهدیدهایی هم ایجاد شده است که باید برای آنها چارهاندیشی کرد. داده و اطلاعات در بطن این تحولات و هدف تهدیدات است. در یکسال اخیر بهطور مکرر هک و نشت اطلاعات کاربران از سامانههای دولتی و کسبوکارهای دیجیتالی بخش غیردولتی در تیتر اخبار قرار گرفته و این تنها بخشی از واقعیت است، زیرا بسیاری از هکرها دسترسی به این اطلاعات را اطلاعرسانی نمیکنند. این داده و اطلاعات حریم خصوصی کاربران بوده و به واسطه دیجیتالیشدن فرآیندهای کسبوکار حتی حاوی اطلاعات سلامت، رفتار و اسرار خانوادگی و شخصی کاربران است و افشای آنها و دسترسی تبهکاران به این اطلاعات نه تنها حیثیت مردم را تهدید میکند، بلکه موجبات خسارات جانی، مادی و معنوی علیه ایشان میشود.»
در ادامه این نامه آمده است: «امیدوارم این اتفاقات ناگوار اخیر موجب شود تا سکوهای (پلتفرمها) داخلی با عذرخواهی رسمی از مردم، برنامه تقویت حفاظت از دادههای خود را ارائه و آسیبهای ناشی از هکهای گذشته و آینده را بهحداقل ممکن برسانند. در عین حال که دولت و نهادهای نظارتی نیز توجه کنند؛ این آسیب، موجب ایجاد محدودیتهای غیرقانونی و غیرمنطقی به پلتفرمهای داخلی نشود و موجبات تقویت رگولاتوری و تصویب قوانین مرتبط شود. البته تنبیه و بازخواست، حتی بر اساس مقررات GDPR نیز امری مرسوم و ضروری به نظر میرسد. تذکر این نکته هم ضروری است که نشت اخیر داده از یکی از پلتفرمهای داخلی را باید از سهامداران آن در یکی از اپراتورهای تلفنهمراه و یکی از وزارتخانهها نیز پیگیر بود. با این همه در حال حاضر هیچیک از قوانین موجود قابلیت حل این مساله را نداشته و خلأ قانونی برای مسوولیت سنگین حفظ این امانت مردم و پاسخگویی اشخاصی که دسترسی به این دادهها دارند قطعا وجود دارد. با تاکیدات مکرر ریاست محترم مجلس برای حفظ حریم شخصی مردم در فضای مجازی، کمیته اقتصاد دیجیتال مجلس در این خصوص با کارشناسان و صاحبنظران، جلساتی را آغاز کرد که در نهایت، مجلس در سال 1399 طرحی را که تحت عنوان حفاظت از دادهها با همراهی کارشناسی شورای اجرایی فناوری اطلاعات، مرکز پژوهشهای قوهقضائیه و مرکز پژوهشهای مجلس تهیه کرده بود، بهجهت تاخیر دولتوقت در ارائه لایحه، در دستور کار قرارداد. لیکن بهجهت اینکه با تاسیس کارگروه اقتصاد دیجیتال در دولت جنابعالی، با بازنویسی و بهروزآوری، لایحه حمایت و حفاظت از دادهها در دستور کار دولت قرار گرفت این طرح به جهت ترجیح مجلس و درخواست دولت محترم، در ارائه این قانون مهم به عنوان لایحه از دستور کار مجلس خارج شد.»
رئیس کمیته اقتصاد دیجیتال مجلس در ادامه نامه خود به روندی اشاره کرد که مجلس برای تصویب لایحه حمایت و حفاظت از دادههای کاربران طی کرده است و نوشت: «در نهایت با جلسات فشرده و مستمر کارگروه اقتصاد دیجیتال دولت برای تصویب لایحه در خردادماه 1402 بهتصویب رسید و در آذرماه با قید فوریت در دستور کار هیات وزیران قرار گرفت. لیکن با وجود اینکه کارگروه، دارای اختیارات اصل 138 و 127 قانون اساسی است و به جهت اهمیت جرایم علیه داده و اطلاعات باید با فوریت به مجلس ارائه میشد، ظاهرا با درخواست مغایر قانون یکی از وزرا، مجددا به کمیسیون قضایی و حقوقی دولت ارجاع شده که این تعلل، کشور و دادههای مردم را دچار آسیب جدی کرده است. در لایحه تصویب شده در کارگروه ویژه اقتصاد دیجیتال موارد ذیل مورد توجه قرار گرفته است: دادهها تنها در صورت دریافت، ذخیره، نگهداری و پردازش میشود که رضایت شخص موضوع داده، اخذ شده باشد(موارد استثنا نظیر امور قضایی بر اساس قانون فقط برای موارد مشخصشده و از پیش اعلامشده و مرتبط با کسبوکار، استفاده میشود، بیش از حد لازم ذخیره نشده و در تمام فرآیندهای پردازش ایمن نگهداشته شود، فقط در محدوده قانون استفاده شده و بدون مجوز قانونی در اختیار دیگری قرار داده نشود). حقوق مرتبط با دادهها نظیر حق فراموشی (درخواست حذف داده توسط کاربر) و حق اصلاح به رسمیت شناخته شود و در صورت سوءاستفاده یا پردازشهای خارج از قانون به نحو مقتضی با متخلف برخورد قانونی شود. برای نمونه در احکام مواد 32، 9 و 3 هم قواعد اخذ رضایت و پردازش دادهها تصریح شده و هم مجازات تخطی از رعایت این قواعد جرمانگاری شده است.
ماده 3- پردازش دادههای شخصی حریمهای خصوصی و اختصاصی، منوط به رضایت شخص موضوع آنها و اجازه مالکان حریمهاست. اعلام رضایت و اجازه اشخاص مذکور باید با رعایت شرایط ذیل باشد: پیش از پردازش باشد، بیانگر آگاهی اشخاص مذکور باشد، استنادپذیر باشد.
ماده 9- رضایت به پردازش، به معنای اجازه افشای هویت شخص موضوع دادهها نیست و حق گمنامی شخص در محدوده رضایت ابراز شده باید توسط پردازشگران حفاظت شود.
ماده 32- مرتکبان اقدامات ذیل به مجازات مقرر محکوم میشوند: نقض حق رضایت شخص موضوع داده، چنانچه دادههای حریمهای خصوصی و اختصاصی پردازش شود، به مجازات درجه 5 و چنانچه دادههای حریمهای عمومی پردازش شود، به مجازات درجه 6، ممانعت از استیفای همه یا بخشی از حق درخواست شخص موضوع داده برای پردازش یا توقف آن یا انجام پردازش دادههای شخصی بهوسیله خودش یا نقض حق گمنامی و فراموشی وی، به یک یا هر دو مجازات درجه 6.»
رئیس کمیته اقتصاد دیجیتال مجلس با اشاره به اینکه قانون حفاظت از دادهها باید هرچه سریعتر بهتصویب دولت رسیده و جهت اخذ مصوبه به مجلس ارسال شود، ادامه داد: «با عنایت به اینکه در ضرورت تصویب این قانون در کشور اتفاق نظر وجود دارد و متن تهیه شده حاصل مشارکت جمعی بین پژوهشگران و صاحبنظران بوده و همچنین در فرآیند تصویب در کارگروه و حتی بعد از آن با جلسات مستمر با ذینفعان و بخشخصوصی نظرات ایشان اخذ و اعمال شده است لازم است این قانون هرچه سریعتر بهتصویب دولت محترم رسیده و جهت اخذ مصوبه به مجلس شورای اسلامی ارسال شود. در این خصوص مجلس نیز با دولت همراهی کامل خواهد داشت، لذا مستدعی است دستور مقتضی برای طی تشریفات قانونی و تعجیل در تقدیم لایحه به مجلس صادر شود تا دادهها و حریم خصوصی مردم بیش از این مورد تهدید و آسیب قرار نگیرد.»
اواخر هفته گذشته نیز یکی از اعضای کمیسیون صنایع و معادن مجلس نیز نسبت به این حملات سایبری واکنش نشان داد و اظهار کرد که وقتی خدمات دولتی الکترونیکی میشود، به آن معناست که در بستر فضای مجازی و الکترونیکی خدمات ارائه میشوند؛ در این شرایط اگر این بستر امن نباشد و اتفاقاتی نظیر هک و حمله سایبری بیفتد، اعتماد مردم از بین میرود. مصطفی طاهری در گفتوگو با «ایسنا» با اشاره به هک دادههای کاربران یکی از شرکتهای خصوصی ارائهدهنده خدمات در فضای مجازی، بر اهمیت حفاظت از اطلاعات و دادههای مردم در بستر فضای مجازی تاکید کرد و گفت: «یکی از مواردی که در قانون مدیریت دادهها و اطلاعات ملی مورد تاکید قانونگذار قرار گرفته، موضوع حفاظت از دادهها به ویژه در موارد مربوط به سامانههای پایهای نظیر سامانههای مرتبط با اطلاعات سجلی، مدارک تحصیلی و داراییها و اطلاعات بانکی و بورسی است.»
این عضو کمیسیون صنایع مجلس با تاکید بر اینکه آنچه برای ما اهمیت دارد تامین امنیت پایگاههای داده است، عنوان کرد: «در قانون مدیریت دادهها و اطلاعات ملی تاکید کردیم که باید مسوولیت تامین امنیت دادهها بر عهده خود مجموعههای خصوصی قرار بگیرد؛ در این زمینه چند سال است که در خصوص سامانههای دولتی در فضای مجازی اقداماتی را در دستور کار قرار دادهایم که این اقدامات در بودجه سال جاری (1402) خیلی پر رنگتر از قبل است؛ در قانون بودجه امسال به دستگاههای دولتی اجازه دادهایم که بخشی از کل بودجه عمرانیشان را در زمینه تامین زیرساختهای مربوط به امنیت شبکه سرمایهگذاری کنند؛ حاکمیت بهطور کلی فرماندهی این کار را بر عهده مرکز ملی یا همان شورای عالی فضای مجازی گذاشته است و ما نیز در مجلس این مسیر را بهطور جدی پیگیری میکنیم.»
عدم کارآمدی حکمرانی سایبری
بحث حفاظت از دادهها در شرایط فعلی برای کاربران بسیار حائز اهمیت است. با وجود اینکه بارها قدمهایی برای نهایی شدن لایحههای حفاظت از دادههای شخصی برداشته شده، اما هنوز این لایحه در دستور کار دولت باقی مانده و برای بررسی و تصویب نهایی به مجلس ارائه نشده است. بهطور کلی از نظر کارشناسان حقوقی حکمرانی سایبری در کشور ما به درستی معنا نشده است. در همین راستا محمدجعفر نعناکار، حقوقدان حوزه فناوری اطلاعات، به «دنیای اقتصاد» میگوید: «مشکلات پیش آمده اخیر باید از جهات متفاوتی مورد بررسی قرار بگیرند که مهمترین وجه آن حکمرانی سایبری است. این موضوع که حاکمیت در چه ابعاد و سطحی به دادهها دسترسی دارد و آیا میتواند برای آنها پروتکل بگذارد و روی آنها نظارت داشته باشد، باید مورد بررسی قرار بگیرد. متاسفانه در داخل کشور حکمرانی سایبری به آن شکل وجود ندارد یا نظاممند نیست اگر هم نظاممند باشد کارآمد نیست.»
او در ادامه میگوید: «از طرف دیگر وقتی پلتفرمها دادههای کاربران را جمعآوری میکنند بعضا دادههایی را جمعآوری میکنند که مازاد بر نیازشان هست یا این اطلاعات از جنس دادههایی هستند که مطابق قانون تجارت الکترونیکی اخذ، پردازش یا ذخیرهشان ممنوع است. در ماده 58 قانون تجارت الکترونیکی آمده است که ذخیره، پردازش و توزیع پیامهای شخصی که شامل اطلاعات قومی، نژادی، مذهبی و... باشد، ممنوع است؛ اما پلتفرمها بدون توجه به این قانون چنین اطلاعاتی را ذخیرهسازی میکنند. از طرفی پلتفرمها از همان بدو فعالیت گواهینامههای متنوعی را دریافت میکنند؛ نهادهای دولتی که چنین گواهینامههای امنیتی را اعطا میکنند، باید بهطور مداوم این پلتفرمها را پایش کنند و اگر متوجه محل نفوذ یا مشکلی شدند آن را به پلتفرم مذکور متذکر شوند.»
نعناکار با تاکید بر اینکه کاربران نباید اطلاعات مازاد در اختیار پلتفرمها بگذارند، ادامه میدهد: «کاربران باید توجه داشته باشند در پلتفرمهایی که ثبتنام میکنند، بهخصوص پلتفرمهای همهگیر، اطلاعات مازادی در آن وارد نکنند و اگر از این پلتفرمها استفاده نمیکنند حساب کاربریشان را حذف کنند و اجازه ندهند دادههایشان در آن پلتفرم ذخیره شود. اگر کسی هم فکر میکند که متضرر شده است به محاکم قضایی مراجعه و پیگیری قضایی کند. نکته قابل توجه دیگر آن است که در ماده 78 قانون تجارت الکترونیکی آمده که اگر بهدلیل ضعف سیستمها و پلتفرمها خسارتی -چه از طرف بخش دولتی چه از سوی بخش خصوصی- ایجاد شود، آنها ملزم به جبران خسارت هستند.» در مدت اخیر هک پلتفرمهای ارائه خدمات آنلاین به چالشی بزرگ تبدیل شده است و بهنظر میرسد قوانین موجود نمیتوانند ضمانت اجرایی برای عدم انجام چنین حملات سایبری ایجاد کنند؛ چرا که در روزهای اخیر اطلاعات کاربران بیشماری به سرقت رفته است. در شرایطی که دادهها به دارایی ارزشمندی برای افراد و شرکتها تبدیل شدهاند و از اینرو قانونمند کردن استفاده از این دادهها ضرورتی انکارنشدنی، اما فراموش شده در کشور ماست، وزیر کشور روز گذشته در واکنش به حملات سایبری اخیر اظهار کرد که بسیاری از هکرها دست به کلاهبرداری میزنند تا بتوانند در برابر فروش اطلاعات پولی را به دست بیاورند و البته تاکید کرد که نام اسنپفود باید اصلاح شود، چون «فود» یک کلمه انگلیسی است.