صیانت از داده‌ها با GDPR ایرانی

قانون‌مند کردن حریم خصوصی

مدتی است زمزمه‌هایی از برنامه وزارت ارتباطات برای ارائه طرحی پیرامون حفاظت از داده‌های کاربران به گوش می‌رسد. اواسط دی ماه بود که عیسی زارع‌پور، وزیر ارتباطات از نهایی شدن پیش‌نویس لایحه قانون حمایت و حفاظت از داده‌های شخصی خبر داد و اعلام کرد این لایحه پس از نهایی شدن در کمیسیون اقتصاد دیجیتال، آماده ارسال به کارگروه است. وی در آن جلسه تاکید کرد که این لایحه با هدف برطرف کردن نگرانی مردم از حفظ حریم خصوصی و داده‌هایشان در پلتفرم‌های داخلی تهیه شده و قرار است با ایجاد نظام مشخصی برای مدیریت داده‌ها، حقوق و تکالیف دارندگان داده‌های مردم به صورت کاملا شفاف و مشخص تدوین شود. طبق آنچه در آن جلسه مطرح شد، پیشینه آماده‌سازی این لایحه از سوی دولت به بهمن ماه سال ۱۴۰۰ برمی‌گردد و حالا نیز آخرین اخبار حاکی از آن است که این لایحه به زودی به مجلس ارسال خواهد شد.

دست‌اندرکاران تهیه این لایحه، در دفاع از مفاد تعریف شده برای آن اظهار می‌کنند که چون تا امروز حریم خصوصی کاربران فضای مجازی در ایران مشمول قانونی نبوده تصمیم گرفته‌اند چارچوبی مشخص تعریف کنند تا از نقض حریم خصوصی کاربران به اشکال مختلف از جمله استفاده از داده‌ها برای مقاصد تبلیغاتی جلوگیری کنند. آنها معتقدند از آنجا که مصادیق گردآوری، استفاده و نگهداری و افشای اطلاعات و مسوولیت‌های متولیان داده‌های شخصی از جمله شبکه‌های اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی به صورت دقیق مشخص نبوده و دارای ابهام است، ضرورت تصویب قانونی که این ابهامات را رفع کند به‌شدت حس می‌شود. محمد خوانساری، رئیس سازمان فناوری اطلاعات نیز درباره این لایحه به خبرگزاری مهر گفته بود: تاکید ما در این لایحه آن است که استارت‌آپ‌هایی که داده‌های مردم را در اختیار دارند، در کنار رشد متوازنی که دارند، به درستی از داده‌های مردم حفاظت کنند. وی تصریح کرده بود: «مثال ساده در این بخش، این است که کاربران دوست ندارند زمانی که با شماره خود در سایتی ثبت‌نام می‌کنند، آن شماره در اختیار شرکت‌های تبلیغاتی قرار گیرد. تکلیف داده در این مقوله مشخص نیست؛ زیرا قوانین فعلی ما به دلیل بازخوانی‌های متفاوت از قوانین، نمی‌تواند به شکل شفاف عمل کند. بنابراین یکی از مواردی که در بخش حقوقی مربوط به شرکت‌های استارت‌آپی پیگیری می‌کنیم این است که بتوانیم در سال جاری لایحه حفاظت از داده‌های شخصی را از طریق دولت به مجلس تقدیم کنیم.»

جای خالی زیرساخت و دانش جهانی

اگرچه رئیس سازمان فناوری اطلاعات در تاکید دغدغه‌های مردم درباره اطلاعات‌شان به قرار نگرفتن آن داده در اختیار شرکت‌های تبلیغاتی اشاره کرده، اما دغدغه جدی دیگری نیز در میان است که شاید کمتر به آن توجه شده است. در این سال‌ها، بسیاری از استارت‌آپ‌هایی که سرویس‌های‌شان از محبوبیت زیادی میان عموم مردم برخوردار بوده است، بارها از فشار نهادهای امنیتی برای ایجاد دسترسی به داده کاربران سخن گفته‌اند. موضوعی که اگر اهمیت آن نزد کاربران بیش از مزاحمت شرکت‌های تبلیغاتی نباشد، کمتر نیست. حتی در این چند ماه که رویکرد سیاستگذار در مدیریت فضای مجازی، مسدودسازی پلتفرم‌های خارجی برای کوچ دادن کاربران به پیام‌رسان‌ها و شبکه‌های اجتماعی داخلی بود، این دغدغه مردم به وضوح خود را نشان داد. در این مدت کارشناسان از ضعف اعتماد کاربران به پلتفرم‌های بومی به عنوان یکی از موانع جدی رشد تعداد کاربران این پلتفرم‌ها یاد کرده و تاکید کردند که تا زمانی که خیال کاربران در مورد اینکه داده‌های آنها دقیقا در اختیار کدام نهادها قرار می‌گیرد، حاضر به جایگزین کردن شبکه‌های اجتماعی خارجی با نسخه‌های بومی مشابه آن نیستند. کاربرانی که مخالف پیوستن به شبکه‌های اجتماعی داخلی بودند صراحتا تاکید داشتند که حاضرند ریسک قرار گرفتن اطلاعات آنها در اختیار شرکت‌های خارجی را بپذیرند، اما عضو شبکه‌های اجتماعی داخلی نشوند که مشخص نیست کدام نهادها می‌توانند به اطلاعات کاربران درآنها دسترسی داشته باشند.

 اگرچه دولت در تهیه این لایحه تاکید دارد که شرکت‌های استارت‌آپی را به حفاظت درست از داده‌های مردم ملزم کند، اما تجربه این سال‌ها نشان داده است که شاید ایجاد شفافیت درباره داده‌هایی که خود دولت از مردم در اختیار دارد، ضروری‌تر باشد. در یکی، دو سال اخیر، فضای مجازی مملو از اخبار هک پایگاه داده دستگاه‌های دولتی مختلف بوده است و عمق فاجعه برخی از این حملات سایبری به حدی بود که سیستم‌های آن دستگاه برای ساعات و حتی روزهای طولانی مختل شدند. سعید سوزنگر از کارشناسان حوزه امنیت شبکه در گفت‌وگو با «دنیای اقتصاد» تاکید می‌کند که نکته‌ای که پیش از هرچیز باید به آن توجه شود آن است که فضای «امنیت اطلاعات» در واقع یک اکوسیستم جهانی است و موفق بودن در آن نیاز به تخصص، تجربه و دانش جهانی دارد. وی تاکید می‌کند تا زمانی که رویکرد قانون‌گذار آن باشد که این مساله را در یک فضای بسته و با مدل دستوری پیش ببرد و قرار باشد شرکت‌ها را به رعایت الزاماتی مانند استفاده از یک زیرساخت بومی یا دستاورد یک شرکت دانش‌بنیان سوق دهد، در این مسیر راه به جایی نمی‌برد و امنیتی که باید، حاصل نخواهد شد. وی معتقد است اکوسیستم امنیت کشور اکنون بیش از هرچیز نیاز به وصل شدن به اکوسیستم جهانی و دسترسی به فناوری‌های روز دنیا دارد و هر زمان که رگولاتور از جای خود خارج شود و به جای فراهم کردن زیرساخت‌ها شروع به مداخله در نوع اجرای کار کند، استانداردها نقض شده و بحران شروع می‌شود. این درحالی است که در سال‌های اخیر نه تنها بهبودی در این زمینه‌ها حاصل نشده، بلکه شمار زیادی از متخصصان آی‌تی کشور نیز مجبور به ترک شغل فعلی خود و مهاجرت به کشورهای خارجی شده و کارفرمایان در پر کردن جای این نیروها ناکام مانده‌اند.

قصد حاکمیت در تعریف چارچوبی برای حفاظت از داده‌های کاربران به این لایحه اخیر محدود نیست و پیش از این نیز نمایندگان مجلس درصدد تصویب طرح مشابهی بودند. طرحی که «حکمرانی داده» نام داشت و نام نمایندگانی که مدافع طرح صیانت بودند نیز در لیست تهیه‌کنندگان آن به چشم می‌خورد. در آن زمان، رضا تقی‌پور، یکی از نمایندگان تهیه‌کننده این طرح در گفت‌وگوی خود با خبرگزاری مهر‌ تاکید کرده بود که این طرح با هماهنگی دوستانی در شورای اجرایی فناوری اطلاعات آماده شده و افزوده بود: موضوع یکپارچه‌سازی اطلاعات ملی با هدف ارائه خدمات منسجم به مردم از جمله اهداف این طرح است و در این طرح پیشنهاد شده که کمیسیون داده‌ها و اطلاعات ملی (دوام) ذیل مرکز ملی فضای مجازی تشکیل شود. وی در آن زمان با اشاره به زمزمه‌هایی که از تهیه لایحه مشابهی در دولت به گوش می‌رسید اظهار کرده بود: «دولت هر زمانی اختیار آن را دارد که لایحه به مجلس ارائه دهد و در بسیاری مواقع نیز سابقه این را داشته‌ایم که یک طرح مجلس با یک لایحه دولت ادغام شود؛ در این مورد نیز ما هیچ مخالفتی نداریم.»

با تمام اینها کارشناسان بر ضعف‌های موجود در دسترسی به فناوری‌ها، زیرساخت‌ها و دانش روز دنیا تاکید دارند و معتقدند تا زمانی که این موانع برطرف نشود، اساسا بعید است دستاورد آنچنانی در بهبود امنیت اطلاعاتی کاربران ایجاد شود.