دومینوی هک و سرقت اطلاعات خصوصی

به گزارش اقتصادآنلاین؛ در دنیای دیجیتال امروز داده های شخصی افرد حکم سوخت اصلی را دارند. سوختی که چرخ های دنیای بسیار پیچیده و بزرگ اقتصاد دیجیتال را به گردش در میآورد. اما کسانی که صاحبان و تولید کنندگان این داده ها هستند، یعنی شهروندان معمولی، نه تنها سهمی در سودهای مالی حاصله ندارند بلکه بخشی از حریم خصوصی خود را نیز در تهدید دائمی می بینند.

قوانین حمایت از داده های شخصی تدوین شدند تا به انسان عصر دیجیتال این امکان را بدهند تا بر داده های شخصی اش کنترل و مدیریت داشته باشند. دولت ها به نمایندگی از شهروندان شرکت ها هم موظف کردند که استاندارهای فنی و حقوقی لازم را برای حفاظت از این اطلاعات شخصی افراد را رعایت نمایند.

چند دهه از عمر تدوین قوانین حمایتی از داده های شخصی در دنیا می گذرد. در حال حاضر کشورهای بسیاری با الگو قراردادن استانداردهای جامع اروپایی قوانینی مشخص برای حمایت از داده های شخصی تدوین و اجرا کرده اند. اما در ایران هنوز هیچ قانون جامعی در خصوصی حمایت از داده های شخصی افراد وجود ندارد. چندین سال است که خبر تهیه پیش نویس لایحه حمایت و حفاظت از داده های شخصی سر خط خبرها می‌شوند. اما این پیش نویسها به هیچ قانونی منتهی نمی شوند. حتی در طرح بحث برانگیز صیانت فقط عباراتی کلی‌ای مانند «حفاظت از حریم خصوصی کاربران و جلوگیری از دسترسی غیر مجاز به داده های آنها» ذکر شدند و جزئیات مربوط به نحوه و ساز وکار حمایت به اسنادی غیر موجود که در آینده شاید بیایند موکول شد.

اما قوانین حمایت از دادهای شخصی چگونه می توانند از بروز دو مینوهای هک و نشت اطلاعات خصوصی افراد در مقیاس‌های وسیع جلوگیری کنند.

۱. اصل حداقل رسانی

بر اساس این اصل نه تنها هر گونه جمع آوری و ذخیره و پردازش اطلاعات شخصی افراد نیاز به رضایت خاص افراد دارد. بلکه باید میزان و نوع اطلاعاتی که جمع آوری و ذخیره می‌شوند نیز به حداقل برسد. بر این اساس تنها باید اطلاعاتی جمع‌آوری و نگهداری شوند که به طور مستقیم به خدمتی که قرار است ارائه شود مربوط باشد و برای آن هدف ضرورت داشته باشد.

برای مثال اگر به صفحه شرایط و مقررات استفاده از خدمات هوشمند جابجایی مسافر تپسی برای کاربران مسافر  مراجعه کنیم متوجه می شود نوع اطلاعاتی که قرار است به طور غیر مستقیم از کاربر جمع و آوری شود با سه نقطه تمام می شود. یعنی حتی احصا کردن آنها نیز شاید امکان پذیر نباشد.  

در بند دو ماده 5 شرایط استفاده از تپسی آمده است « اطلاعاتی که به‌طور غیرمستقیم و در نتیجه‌ی استفاده‌ی کاربر مسافر از خدمات تپسی در این برنامه ذخیره می‌شود؛ از جمله موقعیت مکانی مبدأ سفرهای کاربر، طول هر سفر، نشانی مقصد، هزینه‌ی سفر، تراکنش‌های مالی صورت‌گرفته در حساب کاربری جهت استفاده از خدمات تپسی و اطلاعات مربوط به سخت‌افزاری که کاربر با استفاده از آن از خدمات تپسی استفاده می‌کند (نظیر سیستم‌عامل آن) و نهایتاً شیوه‌ی اتصال کاربر به اینترنت و ...»

همچنین بنا بر اصل «به حداقل رسانی» اطلاعات شخصی باید تنها تا زمانی که برای انجام خدمت مورد نظر ضرورت دارند نگهداری شوند. به محض برطرف شدن ضرورت دلیلی برای ادامه نگهداری داده های شخصی افراد وجود ندارد.

اگر به شرایط استفاده از خدمات تپسی مراجعه کنیم هیچ بازه زمانی مشخصی برای نگهداری اطلاعات خصوصی جمع آوری شده ذکر نگردیده است.

۲. الزامات حفظ امنیت داده های شخصی

بر اساس قوانین پایه شرکت‌هایی که با داده‌های شخصی سرو کار دارند موظف هستند ساز و کارهای لازم سازمانی و فنی را به کار بندند تا امنیت این داده ها تأمین شود. اینکه چه سازوکاری لازم است به کار گرفته شود با توجه به شرایط هر کسب و کار و خدمات می‌تواند متفاوت باشد. برای مثال در راهنمایی تهیه شده توسط اداره کمیسرایی اطلاعات بریتانیا  اقدامات مختلفی که  لازم است سازمان‌ها برای مدیریت خطر، حفاطت از داده های شخصی در برابر هک شدن و کشف خطرات امنیتی انجام دهند را بر شمرده است.

به این ترتیب مراقبت از داده های شخصی تنها به این محدود نمی شود که بعد از به سرقت رفتن اطلاعات شخصی افراد توسط هکرها پلیس در جریان قرار گیرد و شکایت از سوی شرکت ثبت شود.

توییت میلاد منشی پور مدیر عامل تپسی در این خصوص

۳. متصدی حمایت از داده های شخصی در سازمان

اگر جمع آوری و پردازش اطلاعات شخصی افراد نقش و کارکردی محوری در یک شرکت و سازمان داشته باشد حفاظت از این داده‌ها نیز باید تحت نظارت دقیق قراربگیرند. در چنین شرایطی بر اساس قوانین حمایت از داده‌های شخصی باید پست سازمانی «متصدی حمایت از داده های شخصی» در شرکت و سازمان تعریف شود. برای مثال در کشور آلمان شرکت یا سازمانی که بیشتر از ده نفر نیرو دارند، در صورت سرو کار داشتن با داده‌های شخصی موظف هستند متصدی داده‌های شخصی استخدام نمایند.

۴. مجازات‌های شدید

در قوانین حمایت از داده‌های شخصی عدم رعایت مقررات حمایت از داده‌ها و عدم حفاظت مناسب از آنها شرکت را با جریمه های مالی سنگینی روبرو می‌کند. به نحوی که جریمه نقض مقررات در اروپا در مواردی که خیلی شدید نباشند به ۱۰ میلیون یورو می‌رسند. در موارد شدید این میزان به ۲۰ میلیون یور یا ۴ درصد از درآمد سالانه شرکت افزایش پیدا می‌کند. برای مثال در سال ۲۰۲۱ نهاد حمایت از داده های شخصی لوزامبورگ شرکت آمازون را به پرداخت ۷۴۶ میلیون یورو جریمه محکوم کرد.

زندگی در دنیای سایبری نیازمند حمایت‌های حقوقی خاصی‌ست. هر نوع سهل انگاری در تدوین مقررات به روز می‌تواند زندگی عادی اما دیجتال شده افراد جامعه را به تله‌هایی برای سو استفاده مجرمان و کلاهبردران تبدیل کنند و جان و مال و آبروی افراد را با خطر جدی مواجه کند. با این حال نوع طرح هاو لوایح و مقررات نشان می دهند در ایران این روزها اولویت سیاست گذار و قانونگذار کنترل جریان اطلاعات است نه تأمین امنیت داده های شهروندان عادی.

*حقوقدان، پژوهشگر حقوق سایبری و حق‌های دیجیتال