پیگیری شخصی در نشت اطلاعات چندان مقدور نیست

سپس از خبر هک شدن اسنپ فود و اظهار هکر برای به فروش گذاشتن اطلاعات کاربران و تعیین قیمت برای این اطلاعات، برای تعداد بسیاری از افراد این سوال به وجود آمد که موضع مرجع قانونی درمورد نشت اطلاعات چیست. کارشناسان حقوقی در این باره نظرات متغیری دارند؛ برخی باور دارند افراد حقیقی امکان شکایت دارند و برخی دیگر اعتقاد دارند شکایت باید از سوی سازمان‌ها صورت بگیرد اما در هر صورت به نظر می‌رسد قانون راه را برای شکایت باز گذاشته است.

 با دقت به رشد اقتصاد دیجیتال باید سازمان‌ها و وزارت‌خانه‌ها جدیت بیشتری در مباحث امنیتی و پدافند غیرعامل داشته باشند. مگاپلتفرم‌ها یا سوپراپلیکیشن‌ها باید در برابر داده‌هایی که از مردم تجمیع خواهد شد مسئول باشند و این داده‌ها از یک امنیت معقولی برخوردار باشند اما به نظر می‌رسد این کار به درستی انجام نمی‌بشود.

از آنسو یادآور می بشود اطلاعاتی که از مردم جمع‌آوری می‌بشود هم باید اندازه‌ای داشته باشد اما به نظر می‌رسد اطلاعاتی که از کاربران جمع می‌بشود به طور مازاد است و نگهداشت آن‌ها توجیهی ندارد. وجود این اطلاعات بیشتر از اندازه جهت می‌بشود هکرها علاقه اشکار کنند داده‌ها را جمع کنند و در معرض فروش قرار دهند. 

 مطابق ماده ۵۸ قانون تجارت الکترونیکی؛ « ذخیره و پردازش داده‌های شخصی مطلقاً ممنوع است» اما متاسفانه این بار اول نیست که هک سامانه‌های بومی در این چند سال تازه اتفاق می‌افتد و در این رابطه پیگیری از سمت مدعی‌العموم یا دادستانی هم انجام نشده است.

فقر فهمیدن عمومی در عرصه امنیت اطلاعات

«محمد جعفر نعناکار»، کارشناس حقوق فناوری، در رابطه با چرایی شکایت نکردن مردم سپس از وقوع حملات سایبری و لو رفتن اطلاعاتشان به دیجیاتو او گفت: «یکی از دلایل این رخداد می‌تواند عدم آگاهی افراد و شرکت‌های خصوصی از حقوقشان باشد و ما با یک فقر فهمیدن عمومی در این حوزه روبه رو هستیم.»

فقر اطلاعات در این حوزه و عدم‌ دغدغه مندی برخی از کاربران ایرانی درمورد موضوعات امنیتی در قسمت‌هایی از زندگی روزمره همانند بلند گفتن رمز کارت اعتباری در زمان خرید هم نمایان است. در این رابطه «رضا ایازی»، پژوهشگر حقوق فناوری، او گفت: «درست است در ایران امکان پیگیری برای نشت اطلاعات از سمت مردم به علت نبودن قانون در این عرصه وجود ندارد اما در ایران او گفت و گو فرهنگی هم مهم است و فردی او گفت و گو نشت اطلاعات را جدی نمی‌گیرد اما اگر در اروپا این اتفاق می‌افتاد هر یک از شهروندان امکان شکایت داشتند در نتیجه آن شرکت در حالت خطرناکی قرار می‌گرفت.»

اسرار تجاری و امکان شکایت سازمانی

بر پایه ماده ۶۵ قانون تجارت الکترونیک که مربوط به اسرار تجاری است؛ اطلاعات مشتریان نیز جزو اسرار تجاری محسوب می‌بشود. در این عرصه انتشار کردن و هک داده‌ها از دو جنبه می‌تواند مورد بازدید قرار بگیرد؛ اول از سمت مشتریان که داده‌هایشان در معرض خطر قرار گرفته و دوم از سوی پلتفرم‌ها و شخصیت‌های تجاری که این داده‌ها را در دسترس دارند. به طور کلی، شرکت‌ها زیاد تر می‌توانند سپس از نشت اطلاعات مدعی حقوق خود باشند چون داده‌هایشان حالت سازمانی دارد.

نعناکار در این باره او گفت: « در هر دو صورت اگر این داده‌ها انتشار شوند؛ جرم اتفاق افتاده است. حجم هک و خروج داده هنگامی زیاد است مدعی‌العموم باید ورود اشکار کند و اظهار جرم کند و پیگیر قضیه باشد. درواقع دادستانی در این اوقات می‌تواند به نوشته داخل شده و ماجرا را پیگیری کند. در همین رابطه بر پایه ماده ۷۸ قانون تجارت الکترونیک نیز اگر داده ها بر پایه نقض و ضعف سیستم‌ها انتشار شوند، قسمت‌های خصوصی و دولتی باید جبران خسارت انجام بدهند. مجموعه این قوانین جهت می‌بشود که ما متوقع باشیم مردان قانون ورود اشکار کنند و نوشته را حل و فصل کنند.»

ایازی درمورد امکان پیگیری سازمانی به دیجیاتو او گفت: «مجازات قانونی برای این شرکت‌ها متخلف تعریف نشده است اما امکان پیگیری از سمت نظام‌های اتحادیه‌ای وجود دارد برای مثال از سمت اینماد، اتحادیه کسب و کارهای فضای مجازی و نظام صنفی می‌تواند با گفتن تخلف از تعهدات امکان پیگیری و ادعای حقوق وجود دارد.»

ایازی در رابطه با هک اسنپ‌فود نیز او گفت: «درمورد هک اسنپ‌فود نیز چندین نوشته وجود دارد که باید تفکیک بشود و دو دسته اطلاعات باید از هم جدا شوند؛ یک دسته اطلاعات مربوط به افراد و یک دسته اطلاعات مربوط به سازمان‌ها می باشند. اگر اطلاعات هک شده مربوط به اشخاص حقیقی باشد متاسفانه قانون ما تا این مدت حمایتی نمی‌کند اما قرار است لایحه‌ای تحت گفتن «حفاظت از اطلاعات» به تصویب برسد.»

درمورد اطلاعات مربوط به شرکت‌ها، اگر سازمان شکایت کند که اطلاعات افراد سازمان به گفتن اسرار محرمانه برداشت شده که باید بر پایه قانون تجارت الکترونیک مورد پیگیری قرار بگیرد. ایازی اصرار دارد اگر به گفتن مثال با پردازش اطلاعات از یک سازمان، مشخصاتی محرمانه درمورد کارمندان آن به دست آورد سازمان می‌تواند از شرکت شکایت کند که اسرار تجاری افشا شده است.او امکان پیگیری و ثبت شکایت را فقط در صورت قرار گرفتن زیر گفتن داده‌ها به طور سازمانی می‌داند.

اگر از سوی مقام حفاظت از داده اروپا برای سازمانی مجوز صادر بشود و مدتی سپس اطلاعات نشت اشکار کند و اشکار بشود تقصیر کار این نشت اطلاعات،خود آن سازمان است؛ جرایم سنگینی در پی خواهد داشت. برای فهمیدن اهمیت این نوشته می‌توان به این مسئله اشاره کرد که سال قبل، مقدار جرایم پرداختی شرکت‌های فناوری اطلاعات که برای نشت اطلاعات محکوم شدند از بودجه سرزمین آلمان زیاد تر می بود.

گواهی امنیت پلتفرم‌ها 

متولیانی همانند «افتا»، «پدافند غیرعامل» و «سازمان فناوری اطلاعات ایران» در این حوزه می باشند که باید گواهی امنیت پلتفرم‌ها را تایید و صادر کنند اما تعداد بسیاری از پلتفرم‌های بومی به جستوجو گرفتن این گواهی‌ها نمی‌روال یا در زمان صدوراین گواهی‌ها کارشان را به درستی انجام نمی‌دهند.

نعناکار در رابطه با سازمان‌های اراعه‌دهنده گواهی امنیت می‌گوید: « یقیناً این سازمان‌ها هم معاونتی دارند و اگر به نظر برسد که نقصی به وجود آمده و به کلمه حقوقی ترک فعل صورت گرفته است و سازمان هم از یکی از همین نهاد‌های ذی‌ربط نامه‌ای دارد باید این سازمان‌ها مورد مواخذه و سوال قرار بگیرند.» 

نیاز به ورود مدعی‌العموم

دولت و دادستانی، باید در رابطه با نشر اطلاعات عموم مردم ورود کند و مدعی‌العموم بشود چون در این جا حقوق عامه مردم تضییع شده است. نعناکار در رابطه با نیاز به ورود دادستانی او گفت: «در این نوشته تازه باید دادستانی ورود اشکار کند و اگر ورود اشکار نکرد هم هریک از افرادی که داده‌شان در بستر اینترنتی به طور غیرمجاز انتشار شده است می‌تواند به مرجع قضایی مراجعه کند و شکایت ثبت کند و مراجع هم مطابق قانون ملزم به رسیدگی می باشند.»

تصویب لایحه حفاظت از داده‌ها مجازی

از رضا ایازی درمورد لایحه حفاظت از داده‌های مجازی پرسیدیم؛ لایحه‌ای که از سال‌ها پیش دائم بین دولت و مجلس می‌چرخد و سرنوشت نامعلومی دارد. او معتقد است به گمان زیاد این لایحه تصویب نخواهد شد و در ادامه گفت: «من پیش بینی می‌کنم پرونده این لایحه که از سال ۹۵ باز است در نهایت تصویب نمی‌بشود و اگر بشود هم آن پشتیبانی‌های قانونی که امروز مورد نظر ما است را پوشش نمی‌دهد چون ساختارهای اداری و قضایی ما نسبت به این قضیه به نحوی است که اگربخواهیم این لایحه به تصویب برسد باید چیزی همانند GDPR اروپا داشته باشیم.»

او در ادامه افزود: «می‌دانیم اکنون برخی از اطلاعات اپلیکیشن‌ها می‌تواند توسط نهاد انتظامی رصد بشود اما اگر قرار باشد لایحه حفاظت داده تصویب بشود این فرآیند نیز دچار مشکل می‌بشود. سیاست نظارت فضای مجازی در ایرانربیشتر از این که به سود کسب و کار باشد به سود منافع ملی و عمومی است و برای همین پلتفرم‌ها برای زیاد بودن جرایم در فضای مجازی اصرار به رصد کردن این فضا و سوار بودن بر دیتا را دارند.»

مسئله دیگر تداخل چند قانون با هم در صورت تصویب این لایحه است؛ ایازی در این رابطه او گفت: « برای مثال در پیش نویس قانون جرائم رایانه‌ای تازه (که تا این مدت به انتشار کردن عمومی نرسیده است) آمده است؛ شما داده‌ها را فقط می‌توانید به مقام مجاز واگذار کنید اما مشکل اینجا است که مقام مجاز، نهادها و افراد مختلفی می‌تواند باشد.»

به نظر می‌رسد که کاربران فضای مجازی باید زیاد تر از حقوق خود آگاه باشند و بی‌تفاوتی را نسبت به نشت اطلاعات شخصی خود کنار بگذارند. با این که نقص قوانین در این حوزه به چشم می‌خورد اما با قوانین حاکم جاری نیز امکان پیگیری حقوقی تا حد بسیاری وجود دارد.