حفاظت از داده کاربران؛ حلقه مفقوده کسب‌وکارهای اینترنتی

این اطلاعات می‌تواند شامل نام، آدرس، شماره تلفن، شماره کارت بانکی و سایر اطلاعات حساس باشد. اگر این اطلاعات به دست افراد غیرمجاز بیفتد، می‌تواند عواقب جبران‌‌‌ناپذیری برای کاربران داشته باشد و به عنوان مثال، می‌توان از این اطلاعات برای کلاهبرداری، فیشینگ و سایر فعالیت‌‌‌های مجرمانه استفاده کرد و این امر علاوه بر نقض حقوق مصرف‌‌‌کننده یا کاربران، به اعتبار آن کسب‌‌‌وکار نیز آسیب خواهد زد. چرا که کاربران در صورت احساس خطر از امنیت اطلاعات خود، به درستی از استفاده از خدمات آن کسب‌و‌کار خودداری می‌‌‌کنند. در نظام حقوقی ایران، با وجود آنکه در مقایسه با حوزه حفاظت از داده در جهان، از جمله تنظیم اسناد پیشرویی مانند GDPR در اروپا، خلأ قانونی محسوسی وجود دارد، اما با این وجود حفاظت از داده‌های کاربران توسط کسب‌‌‌وکارهای اینترنتی در قانون تجارت الکترونیکی مصوب ۱۳۸۲ مورد توجه قرار گرفته است. قانون تجارت الکترونیک در فصل سوم خود به بحث حمایت از داده‌ها پرداخته است و شخص موضوع داده پیام باید به داده‌های خود دسترسی داشته و قادر به محو و حذف داده‌های خود باشد، امری که در بسیاری اوقات توسط کسب‌‌‌وکارهای اینترنتی رعایت نمی‌شود.

به‌‌‌طور کلی بر اساس قوانین موضوعه‌‌‌ کشور، کسب‌‌‌وکارهای اینترنتی موظفند از داده‌های کاربران خود به صورت ایمن و محرمانه محافظت کنند. این کسب‌‌‌وکارها باید اقدامات لازم را برای جلوگیری از دسترسی غیرمجاز به داده‌های کاربران، استفاده غیرقانونی از داده‌های کاربران و افشای داده‌های کاربران انجام دهند و از جمله عرف تجاری حاکم بر چنین کسب‌‌‌وکارهایی اقتضای آن را دارد که به مواردی اهتمام ورزند که از جمله می‌توان به این موارد اشاره کرد: «استفاده از فناوری‌‌‌های امنیتی مانند دیوار آتش و آنتی‌‌‌ویروس، آموزش کارکنان در مورد اهمیت حفاظت از داده‌های کاربران و ایجاد سیاست‌های امنیتی مناسب برای حفاظت از داده‌های کاربران و به علاوه در صورت نقض امنیت داده‌های کاربران توسط کسب‌‌‌وکارهای اینترنتی، کسب‌‌‌وکارهای اینترنتی باید این نقض را در اسرع وقت به اطلاع کاربران برسانند تا کاربران بتوانند از حق خود بر پیگیری موضوع یا اقدامات لازم برای حفظ امنیت خود استفاده کنند.»

کسب‌‌‌وکارهای اینترنتی تا زمان بهبود و ارتقای حمایت قانونی از داده‌‌‌ کاربر، بد نیست به حفاظت از حریم شخصی و داده‌‌‌ کاربر به عنوان وظیفه‌‌‌ای اخلاقی در تجارت الکترونیک نگاه کرده و این موضوع را در شرایط‌‌‌نامه‌‌‌ خود با کاربر لحاظ کنند؛ به عنوان مثال اسنپ‌‌‌فود که در پروتکل حریم خصوصی مذکور در پلتفرم خود آورده است: «بدین وسیله به اطلاع کاربران رسانده می‌شود که اسنپ‌فود ‌مانند سایر وب‌‌‌سایت‌‌‌ها از جمع‌آوری IP و کوکی‌‌‌ها استفاده می‌‌‌کند، اما پروتکل، سرور و لایه‌های امنیتی اسنپ‌فود و روش‌های مناسب مدیریت داده‌ها حداکثر تلاش را به عمل می‌‌‌آورد که اطلاعات کاربران را محافظت و از دسترسی‌‌‌های غیرقانونی جلوگیری کند. طبیعتا مسوولیت هرگونه سوءاستفاده به شخص یا اشخاص متخلف مربوط بوده و اسنپ‌فود حق اعتراض و پیگیری را از طریق قانونی بنابر صلاحدید خود محفوظ می‌‌‌دارد.»

اینکه طبیعتا مسوولیت نقض، هک و سایر موارد مانند آن بر عهده هکر است، امری بدیهی بوده و نیازی به بیان آن نیست، اما مسوولیت اسنپ‌فود در مقابل کاربران چیست؟ آیا اینکه صرفا بیان کنیم حداکثر تلاش را برای حفاظت از اطلاعات کاربران می‌‌‌کنیم، برای انجام مسوولیت خود در قبال کاربران کافی است و اساسا این حداکثر تلاش چه بوده است؟ یا در جای دیگر از این متن اسنپ‌فود بیان کرده است: «کاربران ضمن استفاده از خدمات وب‌‌‌سایت، حق ویرایش اطلاعات و استفاده از آنها را در چارچوب فوق‌الذکر به اسنپ‌فود اعطا‌ نموده و حق اعتراض را از خود سلب می‌‌‌نمایند.» برداشتی که از این مطلب می‌شود، آن است حقی که برای اصلاح، تغییر و حذف اطلاعات کاربری توسط قانون به کاربر اعطا شده، به اسنپ‌فود تفویض شده و کاربر نیز حق اعتراض را از خود سلب کرده که امر چندان مشتری‌‌‌مدارانه‌‌‌ای نیست! بد نیست کسب‌‌‌وکارهای اینترنتی ضمن مسوولیت‌‌‌پذیری بیشتر و مشخص‌‌‌تر در حفاظت از داده‌های کاربران، این نکته را بیاموزند که به محض وقوع اتفاقاتی مانند هک شدن و نقض امنیت داده کاربران، موضوع را خودشان به کاربران اعلام کنند. چرا که این امر به اعتمادسازی بیشتر کمک خواهد کرد و از ورود خسارت‌‌‌های بیشتر به کاربران پیشگیری می‌‌‌کند.