خلأ قانونی؛ حلقه مفقوده امنیت سایبری کشور

لایحه‌ای که تصویب نشد

خلأ قانونی برای حفاظت از اطلاعات کاربران به یکی از چالش‌های اصلی در بحث امنیت سایبری کشور تبدیل شده است. در مدت اخیر حملات سایبری به بانک‌ها، سازمان‌ها و پلتفرم‌ها افزایش یافته و اطلاعات کاربران به‌راحتی به سرقت رفته است. در حالی که غالبا شرکت‌ها حملات سایبری را تکذیب می‌کنند، اما در نهایت اطلاعات کاربران در شبکه‌های اجتماعی و دارک‌وب منتشر می‌شوند. تداوم و شدت گرفتن این حملات حالا واکنش رئیس کمیته اقتصاد مجلس را هم به دنبال داشته است. مجتبی توانگر در ابتدای هفته جاری طی نامه‌‎ای به رئیس‌جمهور با انتقاد از تعلل دولت در ارائه لایحه حمایت و حفاظت از داده‌های کاربران در فضای مجازی تاکید کرد که این تعلل، کشور و داده‌های مردم را دچار آسیب جدی کرده است.

توانگر طی نامه‌‎ای به رئیس‌جمهور در خصوص هک شدن و نشت اطلاعات کاربران در فضای مجازی از طریق پلتفرم‌های داخلی نکاتی را متذکر شد. او در این نامه تاکید کرد: «دیجیتالی‌شدن همه امور در کشور و توسعه فضای مجازی با مشارکت مجلس و دولت روند پرشتابی داشته است. این تحول بزرگ آثار و فرصت‌های بی‌بدیلی با خود به همراه آورده است که می‌توان به تسهیل زندگی مردم، شفافیت، مشاغل جدید و رشد و توسعه اقتصاد دیجیتال اشاره کرد. اما در کنار این فرصت‌ها، تهدیدهایی هم ایجاد شده است که باید برای آنها چاره‌اندیشی کرد. داده و اطلاعات در بطن این تحولات و هدف تهدیدات است. در یک‌سال اخیر به‌طور مکرر هک و نشت اطلاعات کاربران از سامانه‌های دولتی و کسب‌وکارهای دیجیتالی بخش غیردولتی در تیتر اخبار قرار گرفته و این تنها بخشی از واقعیت است، زیرا بسیاری از هکرها دسترسی به این اطلاعات را اطلاع‌رسانی نمی‌کنند. این داده و اطلاعات حریم خصوصی کاربران بوده و به واسطه دیجیتالی‌شدن فرآیندهای کسب‌وکار حتی حاوی اطلاعات سلامت، رفتار و اسرار خانوادگی و شخصی کاربران است و افشای آنها و دسترسی تبهکاران به این اطلاعات نه تنها حیثیت مردم را تهدید می‌کند، بلکه موجبات خسارات جانی، مادی و معنوی علیه ایشان می‌شود.»

در ادامه این نامه آمده است: «امیدوارم این اتفاقات ناگوار اخیر موجب شود تا سکوهای (پلتفرم‌ها) داخلی با عذرخواهی رسمی از مردم، برنامه تقویت حفاظت از داده‌های خود را ارائه و‌ آسیب‌های ناشی از هک‌های گذشته و آینده را به‌حداقل ممکن برسانند. در عین حال که دولت و نهادهای نظارتی نیز توجه کنند؛ این آسیب، موجب ایجاد محدودیت‌های غیرقانونی و غیرمنطقی به پلتفرم‌های داخلی نشود و موجبات تقویت رگولاتوری و تصویب قوانین مرتبط شود. البته تنبیه و بازخواست، حتی بر اساس مقررات GDPR نیز امری مرسوم و ضروری به نظر می‌رسد. تذکر این نکته هم ضروری است که نشت اخیر داده از یکی از پلتفرم‌های داخلی را باید از سهامداران آن در یکی از اپراتورهای تلفن‌همراه و یکی از وزارتخانه‌ها نیز پیگیر بود. با این همه در حال حاضر هیچ‌یک از قوانین موجود قابلیت حل این مساله را نداشته و خلأ ‌قانونی برای مسوولیت سنگین حفظ این امانت مردم و پاسخ‌گویی اشخاصی که دسترسی به این داده‌ها دارند قطعا وجود دارد. با تاکیدات مکرر ریاست محترم مجلس برای حفظ حریم شخصی مردم در فضای مجازی، کمیته اقتصاد دیجیتال مجلس در این خصوص با کارشناسان و صاحب‌نظران، جلساتی را آغاز کرد که در نهایت، مجلس در سال ۱۳۹۹ طرحی را که تحت عنوان حفاظت از داده‌ها با همراهی کارشناسی شورای اجرایی فناوری اطلاعات، مرکز پژوهش‌های قوه‌قضائیه و مرکز پژوهش‌های مجلس تهیه کرده بود، به‌جهت تاخیر دولت‌وقت در ارائه لایحه، در دستور کار قرارداد. لیکن به‌جهت اینکه با تاسیس کارگروه اقتصاد دیجیتال در دولت جنابعالی، با بازنویسی و به‌روزآوری، لایحه حمایت و حفاظت از داده‌ها در دستور کار دولت قرار گرفت این طرح به جهت ترجیح مجلس و درخواست دولت محترم، در ارائه این قانون مهم به عنوان لایحه از دستور کار مجلس خارج شد.»

رئیس کمیته اقتصاد دیجیتال مجلس در ادامه نامه خود به روندی اشاره کرد که مجلس برای تصویب لایحه حمایت و حفاظت از داده‌های کاربران طی کرده است و نوشت: «در نهایت با جلسات فشرده و مستمر کارگروه اقتصاد دیجیتال دولت برای تصویب لایحه در خردادماه ۱۴۰۲ به‌تصویب رسید و در آذرماه با قید فوریت در دستور کار هیات وزیران قرار گرفت. لیکن با وجود اینکه کارگروه، دارای اختیارات اصل ۱۳۸ و ۱۲۷ قانون اساسی است و به‌ جهت اهمیت جرایم علیه داده و اطلاعات باید با فوریت به مجلس ارائه می‌شد، ظاهرا با درخواست مغایر قانون یکی از وزرا، مجددا به کمیسیون قضایی و حقوقی دولت ارجاع شده که این تعلل، کشور و داده‌های مردم را دچار آسیب جدی کرده است. در لایحه تصویب شده در کارگروه ویژه اقتصاد دیجیتال موارد ذیل مورد توجه قرار گرفته است: داده‌ها تنها در صورت دریافت، ذخیره، نگهداری و پردازش می‌شود که رضایت شخص موضوع داده، اخذ شده باشد(موارد استثنا نظیر امور قضایی بر اساس قانون فقط برای موارد مشخص‌شده و از پیش اعلام‌شده و مرتبط با کسب‌وکار، استفاده می‌شود، بیش از حد لازم ذخیره نشده و در تمام فرآیندهای پردازش ایمن نگه‌داشته شود، فقط در محدوده قانون استفاده شده و بدون مجوز قانونی در اختیار دیگری قرار داده نشود). حقوق مرتبط با داده‌ها نظیر حق فراموشی (درخواست حذف داده توسط کاربر) و حق اصلاح به رسمیت شناخته شود و در صورت سوءاستفاده یا پردازش‌های خارج از قانون به نحو مقتضی با متخلف برخورد قانونی شود. برای نمونه در احکام مواد ۳۲، ۹ و ۳ هم قواعد اخذ رضایت و پردازش داده‌ها تصریح شده و هم مجازات تخطی از رعایت این قواعد جرم‌انگاری شده است.

ماده ۳- پردازش داده‌های شخصی حریم‌های خصوصی و اختصاصی، منوط به رضایت شخص موضوع آنها و اجازه مالکان حریم‌هاست. اعلام رضایت و اجازه اشخاص مذکور باید با رعایت شرایط ذیل باشد: پیش از پردازش باشد، بیانگر آگاهی اشخاص مذکور باشد، استناد‌پذیر باشد.

ماده ۹- رضایت به پردازش، به معنای اجازه افشای هویت شخص موضوع داده‌ها نیست و حق گمنامی شخص در محدوده رضایت ابراز شده باید توسط پردازشگران حفاظت شود.

ماده ۳۲- مرتکبان اقدامات ذیل به مجازات مقرر محکوم می‌شوند: نقض حق رضایت شخص موضوع داده، چنانچه داده‌های حریم‌های خصوصی و اختصاصی پردازش شود، به مجازات درجه ۵ و چنانچه داده‌های حریم‌های عمومی پردازش شود، به مجازات درجه ۶، ممانعت از استیفای همه یا بخشی از حق درخواست شخص موضوع داده برای پردازش یا توقف آن یا انجام پردازش داده‌های شخصی به‌وسیله خودش یا نقض حق گمنامی و فراموشی وی، به یک یا هر دو مجازات درجه ۶.»

رئیس کمیته اقتصاد دیجیتال مجلس با اشاره به اینکه قانون حفاظت از داده‌ها باید هرچه سریع‌تر به‌‌تصویب دولت رسیده و جهت اخذ مصوبه به مجلس ارسال شود، ادامه داد: «با عنایت به اینکه در ضرورت تصویب این قانون در کشور اتفاق نظر وجود دارد و متن تهیه شده حاصل مشارکت جمعی بین پژوهش‌گران و صاحب‌نظران بوده و همچنین در فرآیند تصویب در کارگروه و حتی بعد از آن با جلسات مستمر با ذی‌نفعان و بخش‌خصوصی نظرات ایشان اخذ و اعمال شده است لازم است این قانون هرچه سریع‌تر به‌‌تصویب دولت محترم رسیده و جهت اخذ مصوبه به مجلس شورای اسلامی ارسال شود. در این خصوص مجلس نیز با دولت همراهی کامل خواهد داشت، لذا مستدعی است دستور مقتضی برای طی تشریفات قانونی و تعجیل در تقدیم لایحه به مجلس صادر شود تا داده‌ها و حریم خصوصی مردم بیش از این مورد تهدید و آسیب قرار نگیرد.»

اواخر هفته گذشته نیز یکی از اعضای کمیسیون صنایع و معادن مجلس نیز نسبت به این حملات سایبری واکنش نشان داد و اظهار کرد که وقتی خدمات دولتی الکترونیکی می‌شود، به آن معناست که در بستر فضای مجازی و الکترونیکی خدمات ارائه می‌شوند؛ در این شرایط اگر این بستر امن نباشد و اتفاقاتی نظیر هک و حمله سایبری بیفتد، اعتماد مردم از بین می‌رود. مصطفی طاهری در گفت‌وگو با «ایسنا» با اشاره به هک داده‌های کاربران یکی از شرکت‌های خصوصی ارائه‌دهنده خدمات در فضای مجازی، بر اهمیت حفاظت از اطلاعات و داده‌های مردم در بستر فضای مجازی تاکید کرد و گفت: «یکی از مواردی که در قانون مدیریت داده‌ها و اطلاعات ملی مورد تاکید قانون‌گذار قرار گرفته، موضوع حفاظت از داده‌ها به ویژه در موارد مربوط به سامانه‌های پایه‌ای نظیر سامانه‌های مرتبط با اطلاعات سجلی، مدارک تحصیلی و دارایی‌ها و اطلاعات بانکی و بورسی است.»

این عضو کمیسیون صنایع مجلس با تاکید بر اینکه آنچه برای ما اهمیت دارد تامین امنیت پایگاه‌های داده است، عنوان کرد: «در قانون مدیریت داده‌ها و اطلاعات ملی تاکید کردیم که باید مسوولیت تامین امنیت داده‌ها بر عهده خود مجموعه‌های خصوصی قرار بگیرد؛ در این زمینه چند سال است که در خصوص سامانه‌های دولتی در فضای مجازی اقداماتی را در دستور کار قرار داده‌ایم که این اقدامات در بودجه سال جاری (۱۴۰۲) خیلی پر رنگ‌تر از قبل است؛ در قانون بودجه امسال به دستگاه‌های دولتی اجازه داده‌ایم که بخشی از کل بودجه عمرانی‌شان را در زمینه تامین زیرساخت‌های مربوط به امنیت شبکه سرمایه‌گذاری کنند؛ حاکمیت به‌طور کلی فرماندهی این کار را بر عهده مرکز ملی یا همان شورای عالی فضای مجازی گذاشته است و ما نیز در مجلس این مسیر را به‌طور جدی پیگیری می‌کنیم.»

عدم کارآمدی حکمرانی سایبری

 بحث حفاظت از داده‌ها در شرایط فعلی برای کاربران بسیار حائز اهمیت است. با وجود اینکه بارها قدم‌هایی برای نهایی شدن لایحه‌های حفاظت از داده‌های شخصی برداشته شده، اما هنوز این لایحه در دستور کار دولت باقی مانده و برای بررسی و تصویب نهایی به مجلس ارائه نشده است. به‌طور کلی از نظر کارشناسان حقوقی حکمرانی سایبری در کشور ما به درستی معنا نشده است. در همین راستا محمد‌جعفر نعناکار، حقوق‌دان حوزه فناوری اطلاعات، به «دنیای اقتصاد» می‌گوید: «مشکلات پیش آمده اخیر باید از جهات متفاوتی مورد بررسی قرار بگیرند که مهم‌ترین وجه آن حکمرانی سایبری است. این موضوع که حاکمیت در چه ابعاد و سطحی به داده‌ها دسترسی دارد و آیا می‌تواند برای آنها پروتکل بگذارد و روی آنها نظارت داشته باشد، باید مورد بررسی قرار بگیرد. متاسفانه در داخل کشور حکمرانی سایبری به آن شکل وجود ندارد یا نظام‌مند نیست اگر هم نظام‌مند باشد کارآمد نیست.»

او در ادامه می‌گوید: «از طرف دیگر وقتی پلتفرم‌ها داده‌های کاربران را جمع‌آوری می‌کنند بعضا داده‌هایی را جمع‌آوری می‌کنند که مازاد بر نیازشان هست یا این اطلاعات از جنس داده‌هایی هستند که مطابق قانون تجارت الکترونیکی اخذ، پردازش یا ذخیره‌شان ممنوع است. در ماده ۵۸ قانون تجارت الکترونیکی آمده است که ذخیره، پردازش و توزیع پیام‌های شخصی که شامل اطلاعات قومی، نژادی، مذهبی و... باشد، ممنوع است؛ اما پلتفرم‌ها بدون توجه به این قانون چنین اطلاعاتی را ذخیره‌سازی می‌کنند. از طرفی پلتفرم‌ها از همان بدو فعالیت گواهینامه‌های متنوعی را دریافت می‌کنند؛ نهادهای دولتی که چنین گواهینامه‌های امنیتی را اعطا می‌کنند، باید به‌طور مداوم این پلتفرم‌ها را پایش کنند و اگر متوجه محل نفوذ یا مشکلی شدند آن را به پلتفرم مذکور متذکر شوند.»

نعناکار با تاکید بر اینکه کاربران نباید اطلاعات مازاد در اختیار پلتفرم‌ها بگذارند، ادامه می‌دهد: «کاربران باید توجه داشته باشند در پلتفرم‌هایی که ثبت‌نام می‌کنند، به‌خصوص پلتفرم‌های همه‌گیر، اطلاعات مازادی در آن وارد نکنند و اگر از این پلتفرم‌ها استفاده نمی‌کنند حساب کاربری‌شان را حذف کنند و اجازه ندهند داده‌هایشان در آن پلتفرم ذخیره شود. اگر کسی هم فکر می‌کند که متضرر شده است به محاکم قضایی مراجعه و پیگیری قضایی کند. نکته قابل توجه دیگر آن است که در ماده ۷۸ قانون تجارت الکترونیکی آمده که اگر به‌دلیل ضعف سیستم‌ها و پلتفرم‌ها خسارتی -چه از طرف بخش دولتی چه از سوی بخش خصوصی- ایجاد شود، آنها ملزم به جبران خسارت هستند.» در مدت اخیر هک پلتفرم‌های ارائه خدمات آنلاین به چالشی بزرگ تبدیل شده است و به‌نظر می‌رسد قوانین موجود نمی‌توانند ضمانت اجرایی برای عدم انجام چنین حملات سایبری ایجاد کنند؛ چرا که در روزهای اخیر اطلاعات کاربران بی‌شماری به سرقت رفته است. در شرایطی که داده‌ها به دارایی ارزشمندی برای افراد و شرکت‌ها تبدیل شده‌اند و از این‌رو قانونمند کردن استفاده از این داده‌ها ضرورتی انکارنشدنی، اما فراموش شده در کشور ماست، وزیر کشور روز گذشته در واکنش به حملات سایبری اخیر اظهار کرد که بسیاری از هکرها دست به کلاهبرداری می‌زنند تا بتوانند در برابر فروش اطلاعات پولی را به دست بیاورند و البته تاکید کرد که نام اسنپ‌فود باید اصلاح شود، چون «فود» یک کلمه انگلیسی است.