آییننامه مرکز ملی فضای مجازی برای دومین بار معلق مانده است
پایان مهلت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران
سکوت کسب و کارها
حسین دلیریان، سخنگوی مرکز ملی فضای مجازی، در ۱۴ اردیبهشتماه امسال از تمدید دو ماهه مهلت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران خبر داد. این در حالی است که مهلت اجرای این دستورالعمل پیش از این تا ۲۷ اسفند ماه سال گذشته بود. دلیریان ضمن اعلام تمدید این مهلت گفت که طی آخرین پیگیریهایی که در سال گذشته توسط کمیسیون عالی تنظیم مقررات فضای مجازی کشور صورت گرفت، سکوها و سامانهها در حال اجرای آن هستند.
ماجرا از این قرار است که مساله تامین و حفاظت از امنیت دادههای کاربران در فضای مجازی با حملات سایبری و نشت دادههای خصوصی در یک سال اخیر برای مسوولان جدی شد؛ تا جایی که محمد امین آقامیری، رئیس مرکز ملی فضای مجازی در ۲۷ دی ماه سال ۱۴۰۲ دستورالعمل حفاظت از دادههای کاربران را ابلاغ کرد. حالا با اتمام دومین مهلت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران، روند اجرایی آن در کسب و کارها و ارزیابی کارشناسان از بازدارندگی این دستورالعمل بررسی شده است.
به گفته سخنگوی مرکز ملی فضای مجازی تا قبل از سال جدید، بخشهایی از دستورالعمل که امکان اجرای سریعتر آن وجود داشت، توسط کسب و کارهای بخش خصوصی و سامانههای دولتی اجرا شده و بقیه مفاد دستورالعمل نیز در مسیر اجرا قرار داشت. این در حالی است که برخی پلتفرمها به پیگیری «دنیایاقتصاد» درباره اجرای دستورالعمل حفاظت از حریم خصوصی پاسخگو نبودند. البته برخی پلتفرمها توضیحاتی درباره اقدامات امنیتی خود در راستای حفظ حریم خصوصی کاربران از جمله ناشناس کردن دیتای کاربران و افزایش پاداش کشف و گزارش باگ ارائه کردند.
طبق این دستورالعمل، کلیه ارائهدهندگان خدمات فضای مجازی ملزم به اعلام دقیق و شفاف سیاستهای حفظ حریم خصوصی و اخذ رضایت صریح از کاربران در خصوص این سیاستها هستند. همچنین در این دستورالعمل مراحل حذف دادهها از پلتفرمها و سامانههای کشور نیز تعیین و مشخص شده است. بر اساس این ابلاغیه، پلتفرمهای ارائهدهنده خدمات باید دادههای کاربران را فقط در حد اقلام موردنیاز و متناسب با اهداف صریح و مشخص جمعآوری کنند. این سکوها باید امکان حذف بدون قید و شرط تمام یا بخشی از دادههای کاربران را نیز فراهم کنند تا در صورت درخواست کاربران ضمن رعایت مفاد قانون آیین دادرسی کیفری این حذف را انجام دهند.
علاوه بر این، پلتفرمها و سامانهها فقط در صورتی میتوانند به ارائه خدمات ادامه دهند یا مجوزهای فعالیتشان را تمدید کنند که تنظیمگران بخشی و مراجع صدور مجوز، پس از سنجش و ارزیابی نهایی اطمینان حاصل کنند که مقررات تعیینشده از طریق سازوکار نظارتی تدوینشده توسط مرکز ملی فضای مجازی توسط پلتفرم رعایت شده است. با توجه به الزامات این دستورالعمل برای کسب و کارها، پلتفرم دیوار بهعنوان یکی از کسب و کارهای دیجیتال در گزارشی از اقدامات انجام شده برای ارتقای امنیت و حفظ حریم خصوصی کاربران خود که برای «دنیایاقتصاد» ارسال کرده، از الزام تیم خود به نگهداری دیتا صرفا در دو مورد مشخص ملزم میگوید: یکی در بازه زمانی تعیین شده از سوی قانون و برای انجام تکالیف قانونی و دیگری دادههای مورد استفاده در تحلیل فرآیندهای کسب و کار.
بر اساس قانون جرائم رایانهای، ارائه دهندگان خدمات دسترسی باید دادههای ترافیک را حداقل تا ۶ماه پس از ایجاد و اطلاعات کاربران را نیز حداقل تا ۶ ماه پس از خاتمه اشتراک نگهداری کنند. ارائه این اطلاعات نیز تنها با حکم قضایی و آن هم به صورت موردی امکانپذیر است. در ادامه گزارش دیوار با اشاره به این موضوع آمده است: «به غیر از این تکلیف ما هیچ دیتای متصل به کاربر را (دیتایی که بتواند هویت و اطلاعات خصوصی کاربران را افشا کند) نگهداری نمیکنیم. خط قرمز ما در تمام این سالها، رعایت این مساله و پایبندی به آن بوده است.»
ناشناس کردن دیتای کاربران و افزایش پاداش کشف و گزارش باگ دومین اقدام کلیدی دیوار برای ارتقای امنیت اطلاعات کاربران است. این پلتفرم در ناشناس کردن اطلاعات یا همان Anonymization دادهها که برای حفاظت از دادههای کاربران و حفظ حریم شخصی آنها صورت میگیرد، اینگونه عمل میکند که به صورت خودکار دادههای حساس کاربران مثل شماره تلفن، آدرس، مشخصات فردی و… را پس از پایان مهلت ۶ ماهه قانونی در دیتا حذف میکند. دیوار این اقدام را در عدمانتشار اطلاعات خصوصی و حساس کاربران حتی زمان هک تاثیرگذار میداند.
همچنین، دیوار پاداش کشف و گزارش باگ یا همان باگبانتی دیوار را تا یک میلیارد تومان افزایش داده تا هکرهای کلاه سفید (متخصصان امنیت) را تشویق به گزارش باگها کند. علاوه بر این، آن دسته از پژوهشگران امنیت را که با کشف و گزارش آسیبپذیری باعث بالا رفتن سطح امنیت محصولات ما و کاربرانمان میشوند، به رسمیت میشناسند.
البته کسب و کارهای دیگری از جمله کافه بازار، اسنپ و تپسی نیز اقداماتی در خصوص همکاری با متخصصان امنیت و هکرهای کلاهسفید انجام دادهاند. طبق اعلام شهاب خدابخش، مدیرعامل کافه بازار، این پلتفرم از هنگام افزایش سقف باگبانتی خود به یک میلیارد تومان، تا امروز ۲۰۰ میلیون تومان باگبانتی به هکرهای کلاهسفید پرداخته است. کافه بازار در بهمن سال ۱۴۰۲ با اعلام خبر افزایش سقف باگبانتی، تاکید کرد که به پژوهشگران امنیت که با کشف و گزارش آسیبپذیریها باعث بالا رفتن سطح امنیت بازار و کاربرانش میشوند تا سقف یک میلیارد تومان جایزه میدهد.
اسنپ نیز پس از هک اسنپفود در سال گذشته برنامه «باگبانتی» یا مسابقات ارزیابی امنیتی و شناسایی باگ خود را گسترش داد و پاداش پیدا کردن آسیبپذیریها برای شرکتهای زیرمجموعه گروه اسنپ که در محدوده برنامه باگ بانتی هستند، به ۱۵۰ میلیون تومان رسید. تپسی نیز در همان سال در اطلاعیهای از افزایش سقف جایزه کشف باگ پلتفرم از ۳۰ به ۱۲۰میلیون تومان خبر داد.
خلأهای قانونی در امنیت داده
با این اوصاف به نظر میرسد که با توجه به عدمپاسخگویی برخی کسب و کارها درباره اجرای دستورالعمل حفاظت از حریم خصوصی کاربران، احتمالا آنها هنوز الزامات دستورالعمل را اجرا نکردهاند. موضوعی که کارشناسان هم به آن اشاره میکنند و به اعتقاد آنها این دستورالعمل ضمانت اجرایی و بازدارندگی ندارد. پویا پوراعظم، کارشناس فناوری، در گفتوگو با «دنیایاقتصاد» از نبود قانون مشخص در حوزه امنیت داده انتقاد میکند و معتقد است که دستورالعمل مرکز ملی فضای مجازی ضمانت اجرایی مانند قانون ندارد. او در ادامه صحبتهای خود با اشاره به قانون حفاظت از داده اتحادیه اروپا درباره لزوم تدوین جرائم سنگین برای کسب و کارها در صورت نشت دادههای مردم گفت و تاکید کرد: «زمانی که حفاظت از داده و حریم خصوصی کاربران به یک قانون تبدیل و در آن، بازدارندگی و جرایم سنگینی برای کسب و کارها دیده شود، آن وقت کسب و کارها هم سرمایهگذاری جدی بر امنیت دادهها خواهند کرد.»
به گفته پوراعظم قوانین و دستورالعملهای مرتبط با امنیت داده باید بهگونهای تدوین شوند که امکان شکایت برای کاربران از کسب و کارها ایجاد شده باشد. او در بخش دیگری از صحبتهای خود با اشاره به لایحه حفاظت از دادههای شخصی معتقد است از آنجا که بخش زیادی از آن برگرفته از قانون حفاظت از داده اتحادیه اروپاست، قانون شدن آن بهتر از بیقانونی در حوزه امنیت داده است.
حمیدرضا ولیزاده، مدیر دپارتمان امنیت رادین، نیز در گفتوگو با «دنیایاقتصاد» از نبود قانون مشخص درباره امنیت داده در ایران صحبت میکند و میگوید: «در راستای حفظ حریم خصوصی ابتدا باید بتوانیم به یک تعریف مشخص از حریم خصوصی برسیم. در کشورهای خارجی در صورت استفاده غیرقانونی از اطلاعات و دادههای حساس یک شخص، امکان ثبت شکایت و دریافت غرامت وجود دارد، اما در ایران هم چنین نمونه قانونی وجود ندارد.» او در ادامه صحبتهای خود مطرح کرد که دستورالعمل حفاظت از حریم خصوصی کاربران و لایحه حفاظت از دادههای شخصی مردم هزینه زیادی برای کسب و کارها در بر خواهد داشت. به اعتقاد این کارشناس مسوولان باید در کنار نظارت درست بر اجرای این دستورالعملها کمک و تسهیلاتی برای بهبود اجرای آن در اختیار کسب و کارها قرار دهند. با این اوصاف و با توجه به اتمام مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران و پاسخگو نبودن کسب و کارها در این خصوص، باید منتظر ماند و دید آیا این مهلت در روزهای آتی تمدید میشود و مرکز ملی فضای مجازی گزارشی از عملکرد مشمولان این دستورالعمل منتشر میکند یا تحلیل کارشناسان مبنی بر نبود ضمانت اجرایی برای این دستورالعمل تایید خواهد شد.