معضل هک دادههای شخصی
اما نفوذ اخیر در سامانه دادگستری و افشای اطلاعات میلیونها پرونده قضایی هم از حیث گستردگی اطلاعات و هم از نظر حساسیت آنها چنان اتفاق بزرگی است که قابل مقایسه با هیچکدام از حملات پیشین نیست. اغراق نیست اگر بگوییم وضعیت امنیت اطلاعات شهروندان اکنون به یک مساله امنیت ملی بدل شده است.
شخصا اطلاعات پروندههای مختلفی را که از صحت آنها اطمینان دارم در اطلاعات افشاشده یافتهام و افراد زیادی را هم میشناسم که چنین تجربهای داشتهاند.
آنچه را که میشود دید، چگونه میشود انکار کرد؟ تکذیب این قبیل موضوعات ضمن آنکه به اعتماد جامعه لطمه میزند، موجب نادیدهانگاری نقصها و دستکم گرفتن ابعاد بحرانی میشود که در حوزه امنیت دادههای شهروندان با آن روبهرو هستیم.
در سرمقاله ۶مهر امسال روزنامه «دنیایاقتصاد» به تفصیل توضیح دادم که چرا مساله امنیت دادههای شخصی یکی از موانع مهم توسعه اقتصاد دیجیتال در ایران است. در این فاصله حملات متعددی چه در بخش خصوصی و چه در بخش دولتی رخ داده و هیچ تغییری در نحوه مواجهه ما با این مساله ایجاد نشده است. درباره ابعاد فنی و عملیاتی این حملات میشود مفصل صحبت کرد؛ اما مشکل اصلی کماکان فقدان قانونی است که از دادههای شخصی مردم حفاظت کند. متاسفانه بهدلیل بیاعتمادی به کیفیت فرآیند سیاستگذاری و نگرانی از اینکه نکند چنین قانونی به جای آنکه به حمایت از کاربران بپردازد به ابزاری برای محدودیت بیشتر بدل شود، اکوسیستم اقتصاد دیجیتال هم در مطالبه چنین قانونی مردد و بیمیل است. اما اتفاقات اخیر نشان داد حتی یک قانون بد، بهتر از بیقانونی فعلی است.
این قانون باید حداقل تکلیف دو چیز را مشخص کند. اولین موضوع، تعریف دادههای شخصی است. در قوانین مشابه در کشورهای مختلف، فهرست دادههای شخصی برای انواع اشخاص حقیقی و حقوقی به روشنی و وضوح احصا شده و مصادیق و روشهای تفسیر هم معلوم شده است. دومین موضوعی که این قانون باید مشخص کند، نقشها و مسوولیتهاست. معمولا قانون حداقل سه نقش زیر را به رسمیت شناخته و برای هر یک مسوولیتها و تکالیفی تعیین میکند:
۱- مالک داده، یعنی شخصی که داده مورد نظر متعلق به اوست؛ مثلا اطلاعات سلامت یک شخص متعلق به خود اوست. گاهی تعریف این نقش پیچیده میشود. مثلا دادههای حساب بانکی یک مشتری قطعا متعلق به آن مشتری است؛ ولی اگر بانک با الگوریتم خود این دادهها را پردازش و اعتبار مالی آن مشتری را تعیین کرد، ممکن است این داده جدید به بانک تعلق داشته باشد. این پیچیدگیها را همین قانون تعیین تکلیف میکند.
۲- نگهدارنده داده، یعنی کسی که دادههای اشخاص دیگر را در سامانههای دیجیتال یا پروندههای کاغذی یا هر شکل دیگری نگهداری میکند. خیلی از سازمانها دادههای متنوعی را نگهداری میکنند که مالک آن نیستند. مثلا اطلاعات سلامت یک فرد اگرچه روی سامانههای بیمارستان یا آرشیو پزشکان نگهداری میشود، اما مالک خود شخص است و بیمارستان و پزشک نقش نگهدارنده داده را دارند. اطلاعات قضایی افراد هم متعلق به خود آنهاست که روی سامانههای قوه قضائیه نگهداری میشود.
۳- شخص دارای دسترسی به داده، یعنی شخص ثالثی که طبق قانون یا با اجازه مالک داده میتواند به دادههای او دسترسی داشته باشد. این دسترسی ممکن است بر اساس قانون باشد. مثلا قانون به ادارات مالیاتی یا پلیس یا دادگاه اجازه میدهد در شرایط مشخصی به اطلاعات شخصی افراد دسترسی داشته باشند.
در همه کشورها این نوع دسترسیها بسیار کنترلشده و محدود هستند. مثلا در آمریکا دسترسی ادارات مالیاتی به دادههای شخصی کاربر فقط با حکم قاضی شدنی است و اداره مالیات نمیتواند مستقیما به بانک نامه بزند و اطلاعات شخص را بخواهد، بلکه باید قاضی را متقاعد کند که دسترسی به این داده در فرآیند رسیدگی مالیاتی ضرورت دارد و فرد هم در خوداظهاری آن کوتاهی یا تخلف کرده است و سپس از قاضی مجوز دسترسی بگیرد.
البته خود مالک داده هم میتواند به اشخاص ثالث اجازه دهد به داده او دسترسی داشته باشند. مثلا شما میتوانید به بانک اجازه دهید اطلاعات بانکی شما را با شرکت لیزینگ به اشتراک بگذارد تا بتوانید از تسهیلات آن بهرهمند شوید. این یکی از مصادیق بانکداری باز است که از مهمترین روندهای نوآوری در صنعت بانکی در جهان است. این نوع دسترسیها در اقتصاد دیجیتال بسیار رایج است؛ اما قانون هم بهشدت آنها را کنترل میکند.
همچنین قانون امنیت حریم شخصی به دقت مشخص میکند که سه نقش بالا چه حقوق و تکالیفی دارند. مثلا نگهدارنده داده اجازه دارد چه دادهای از فرد را برای چه کاربردی و تا چه زمانی نگهداری کند و تحت چه ضوابطی آن را در اختیار اشخاص ثالث قرار دهد. در بسیاری کشورها دریافت اطلاعات تحت پوشش این قانون، بدون مجوز از نهاد مسوول جرم است. یعنی شما نمیتوانید یک فرم دست مردم بدهید و از آنها بخواهید مثلا کد ملی و شماره موبایل و نام خود را در آن بنویسند و پایش را امضا کنند مگر اینکه مجوز گرفته باشید. اما در ایران میبینیم که چنین کاری چقدر رایج است و کسی هم نظارتی ندارد.
همچنین قانون باید حق امحا را هم به رسمیت بشناسد. یعنی مالک داده حق دارد از نگهدارنده داده بخواهد داده شخصی او را از روی سامانههای خود پاک کند. مثلا اگر شما یک اپلیکیشن را از روی گوشی خود پاک کنید حق دارید از آن اپلیکیشن بخواهید سابقه کاربری شما را پاک کند. در عین حال قانون برای برخی دادهها که ممکن است در فرآیندهای قضایی و حقوقی کاربرد داشته باشند مدت معینی را برای نگهداری معین میکند.
نکته بسیار مهمی که در قوانین حمایت از حریم شخصی و محرمانگی داده در کشورهای مختلف وجود دارد، جرمانگاری کوتاهی در حفاطت از دادههاست. یعنی مثلا اگر داده متعلق به یک فرد که در پایگاه داده یک شرکت خصوصی نگهداری میشده بهدلیل کوتاهی آن شرکت افشا شود، هم خود مالک داده امکان شکایت و طلب خسارت دارد و هم نهادهای ناظر میتوانند از آن شرکت شکایت کنند. به همین دلیل اغلب شرکتها و موسسات خصوصی و دولتی اصلا تمایلی به نگهداری داده غیرضروری ندارند؛ چون مسوولیت آنها را افزایش میدهد و ممکن است بعدا برایشان دردسر شود. این را مقایسه کنید با ایران که هر کسی هر اطلاعاتی را که دلش میخواهد، میگیرد.
متاسفانه نهادهای دولتی ما شهوت گردآوری داده دارند. دیدهایم که ادارات دولتی اصرار دارند تصویر کارت ملی و اطلاعات هویتی افراد را ذخیره کنند یا سازمان مالیاتی اصرار دارد اطلاعات بانکی افراد را فارغ از اینکه تخلفی کرده باشند آن هم بدون حکم قاضی از بانکها دریافت کند؛ اما اگر اطلاعات بانکی مؤدیان افشا شود، هیچ قانونی نهاد مالیاتی را وادار به پرداخت جریمه و خسارت نمیکند. در افشای اطلاعات قضایی هم این وضعیت حاکم است. واقعا افراد چگونه میتوانند بابت سهلانگاری رخداده در قوه قضائیه به خود این قوه شکایت کنند؟ اگر به واسطه این افشای اطلاعات خساراتی متوجه افراد شود چه کسی این خسارات را پرداخت خواهد کرد؟ متاسفانه قوانین فعلی از چنین درخواستی حمایت نمیکنند.
مدتی پیش که اطلاعات کاربران برخی استارتآپها افشا شده بود، اطلاعاتی که به مراتب اهمیت کمتری هم داشت، قوه قضائیه و نهادهای دولتی مدعی برخورد با آن استارتآپها و جبران خسارت کاربران بودند. حالا آیا قوه قضائیه حاضر است همان رویه را درباره خودش اجرا کند؟ آیا دولتیها همان شدت و حدتی که در برخورد با بخش خصوصی دارند، در مواجهه با خودشان هم نشان میدهند؟
اساسا تمرکز در نگهداری داده خطرناک است. در گذشته که دادهها کاغذی بودند این مشکل وجود نداشت؛ اما امروزه که اغلب اطلاعات دیجیتال هستند و انتقال و کپی کردن اطلاعات خیلی سادهشده مساله تمرکز داده هم خطرناک شده است. معمولا تلاش میشود تا جای ممکن همه دادههای شخصی مردم یا کاربران در یک نهاد نگهداری نشوند که اگر آن نهاد هک شد، همه چیز منتشر نشود و همه سرویسها از کار نیفتند؛ اما در ایران برعکس است. همه دوست دارند در خودشان تمرکز ایجاد کنند. بانک مرکزی دوست دارد همه دادههای حسابها و تراکنشها را در شرکتهای زیرمجموعه خود تجمیع کند. بیمه مرکزی هم همین کار را میکند. قوه قضائیه و تامین اجتماعی و پلیس و ثبت احوال و بقیه هم دوست دارند همه دادهها را درون خودشان نگهداری کنند. این تمرکز فقط کار هکرها را ساده میکند.
در عین حال مشکلات فنی هم وضعیت را در نهادهای دولتی بدتر کرده است. وضعیت زیرساختهای فنی نهادهای دولتی بسیار بد است. بهدلیل محدودیتها و کنترلها عموما افراد متخصص تمایلی به کار در بخش دولتی ندارند. ضوابط و قوانین ناکارآمد و بدقولی دولت در پرداخت تعهدات هم باعث شده به ندرت شرکتهای خصوصی معتبر تمایلی به همکاری با سازمانهای دولتی داشته باشند. محدودیتهای بودجهای و چالشهای ناشی از تحریم هم وضعیت را بدتر کرده است.
به هر حال تا زمانی که قانون مناسبی برای حفاظت از دادههای شخصی نداشته باشیم و این قانون به درستی اجرا نشود، وضعیت تغییری نخواهد کرد. ما نیازمند قانونی هستیم که دادههای شخصی را تعریف کند، مسوولیتها را مشخص کند، کوتاهی را جرمانگاری کند و به مردم امکان بدهد اگر به واسطه این کوتاهی خسارتی متوجه آنها شد بتوانند از مقصر، بدون تبعیض میان بخش خصوصی و دولتی، شکایت کنند.