ارسال نامه رگولاتوری به اپراتورها درباره حفظ حریم خصوصی

مجید حقی، معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی، درباره‌ی برنامه‌ی رگولاتوری جهت بررسی اپراتورها در زمینه‌ی حفظ و صیانت اطلاعات مردم گفت:

باید سازوکار، ابزار، فرآیند پشتیبانی و استانداردی که اپراتورها در زمینه‌ی حفظ و نگهداری اطلاعات کاربران دارند، مشخص شود. امانات مردم نزد اپراتورها است که باعث رشد، سودآوری و ارتقاء آن‌ها می‌شود و کسب‌وکار اپراتورها را شکل می‌دهد. رگولاتوری، اپراتورها و افرادی که از سازمان تنظیم پروانه کسب کردند و قرار است در فضای کسب‌وکار کشور فعالیت‌های مرتبط خودشان را داشته باشند، امانت‌دار مردم هستند. اپراتورها باید در خصوص صیانت از اطلاعات مردم حساس باشند و به همین دلیل باید سازوکاری داشته باشند تا از این امانت صیانت کنند و اعتماد مردم را پاسخ دهند تا براساس درآمدی که از فضای کسب‌وکار دارند، حساسیت مردم را پاسخگو باشند.

وی با اشاره به تأکید وزیر ارتباطات و فناوری اطلاعات بر حفظ و صیانت از اطلاعات کاربران، اعلام کرد که اپراتورها باید در واقع حداکثر دقت و انرژی در صیانت از اطلاعات مردم به خرج دهند.

معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی همچنین اعلام کرد که به تمام اپراتورهای ثابت و همراه کشور در زمینه حفظ حریم خصوصی کاربران نامه‌ای ارسال شده است و اگرچه اپراتورها قبلا اعلام کرده بودند که توجه خاصی به حفظ اطلاعات مردم دارند و به وظایف خود در این زمینه آگاه هستند؛ اما سازمان تنظیم مقررات و ارتباطات رادیویی طی این نامه‌ از اپراتورها خواسته است سازوکار، فرآیند، ابزار، تجهیزات و استانداردی را که در زمینه حفظ و صیانت اطلاعات مردم دارند اعلام کنند.

حقی تأکید کرد:

برای احراز اعلان اپراتورها و تضمین ادعاها باید سازوکار، ابزار و فرآیند پشتیبانی آن توسط اپراتورها مشخص شود. اپراتورها کم و بیش اسنادی را فرستادند؛ اما این اسناد در تراز مورد نظر نبود و متناسب با آنچه ادعا می‌شد اسناد آن ارائه نشد که مقرر شد از نزدیک برویم و به اصطلاح بیت و بایت آن را بررسی کنیم و ریشه‌ی عملیات و فرآیندها و سبک و سیاقی را که اجرا می‌شود، مشخص کنیم که آیا اقدامات آن‌ها تابع استانداردی است یا بر اساس نقطه نظرات سازمانی آن‌ها است. برای اینکه فرآیند بررسی دوطرفه باشد و ما نسبت به سازوکار اپراتورها اطلاعات کسب کنیم و آن‌ها نسبت به محفوظ بودن این بررسی‌ها مطمئن باشند، تیمی از حوزه‌های مختلف فنی و غیر فنی را تشکیل دادیم و معرفی کردیم. به دنبال این هستیم تا ببینیم اپراتورها در خصوص اطلاعات مردم چه ابزار، فرآیند و برنامه‌ای دارند و در برنامه‌ی سازمانی برای آن، ارتقاء سالانه‌ای متصور هستند یا خیر و همان‌طور که برای شاخص‌های توسعه‌ی برنامه قائلیم و برای رسیدن به آن هزینه می‌کنیم تا سودی به‌دست آید، باید برای امنیت اطلاعات نیز هزینه کنیم. به عبارتی اگر مقدار سود بیشتر شد یعنی مشتری و کاربران بیشتر شدند؛ بنابراین باید متناسب آن نیز در حوزه صیانت از اطلاعات هزینه کرد و به‌عنوان یک دغدغه، باید برنامه‌ای در این خصوص باشد و برای آن ساختار و اهدافی در نظر گرفته شود و مدیران باید تابع آن ضوابط باشند.

به گفته‌ی معاون نظارت و اعمال مقررات رگولاتوری، این امانات مردم در نزد اپراتورها است که باعث رشد، سودآوری و ارتقاء می‌شود و کسب‌وکار آن‌ها را شکل می‌دهد؛ بنابراین در خصوص صیانت و نگهداری از اطلاعات باید همه تابع قوانین باشند و این‌طور نیست که تنها بخش خاصی آن را رعایت کنند. بررسی‌ها انجام می‌شود تا دغدغه، سازوکار، فرآیند، نفر، آموزش و حتی ریشه تعاملات اپراتورها با نمایندگان فروش و پیمانکاران مشخص شود؛ چرا که نمایندگی فروش اولین نقطه‌ای است که اطلاعات را می‌گیرد و اولین جایی است که می‌تواند در خصوص اطلاعات سهل‌انگاری شود.

وی در خصوص بررسی رگولاتوری توضیح داد این بررسی‌ها حتی در مورد تجهیزات نگهداری اطلاعات صورت می‌گیرد که این تجهیزات چگونه نگهداری و امحا می‌شود؛ زیرا هر تجهیزی که اطلاعات را نگهداری می‌کند، شامل یک سازمان ذخیره‌سازی است که به‌سختی اطلاعات را از دست می‌دهد؛ بنابراین باید مشخص شود که در نگهداری، تعمیرات و امحای آن چه سازوکاری اتفاق می‌افتد.

معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی گفت:

نتایج این بررسی‌ها را استخراج می‌کنیم و به اطلاع مردم می‌رسانیم و اگر موانعی باشد، تذکری می‌دهیم تا رفع کنند؛ در نتیجه برای رگولاتوری موضوع کاملا شفاف می‌شود و برای توسعه‌های بعدی اپراتورها، می‌توانیم نگاه معنی‌دارتری در خصوص امنیت به آن‌ها داشته باشیم.

حقی با اشاره به اینکه دستبرد به اطلاعات همیشه یک روش ندارد و در زمان‌های مختلف، روش‌های جدیدی پیدا می‌کند، اعلام کرد که حتما در توسعه برنامه‌هایی برای رفع احیانا مشکلات امنیتی باید دیده شود؛ چون همان‌طور که حجم اطلاعات بیشتر و خدمات جدید ارائه می‌شود، برنامه‌ی توسعه برای صیانت و امنیت نیز باید در نظر گرفته شود. وی با بیان اینکه هدف سازمان تنظیم مقررات از بررسی وضعیت صیانت اطلاعات کاربران توسط اپراتورها رتبه‌بندی نیست، گفت :

نخست به‌ دنبال رفع اشکالات هستیم و بحث ما رتبه‌بندی نیست؛ چرا که گاهی اوقات رتبه‌بندی ما را از اهدافمان دور می‌کند.

معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی درباره‌ی اینکه اگر اپراتوری اعلام کرد که بیشتر از یک حد مشخصی نمی‌تواند برای حفظ و صیانت از اطلاعات مردم هزینه کند، توضیح داد:

در پروانه‌ای که به اپراتورها داده شده است، برای هر کدام از بحث‌ها مابه‌ ازایی وجود دارد و اگر این مفهوم انطباق پیدا کند، با تخلف دارنده‌ی پروانه حتما برخورد می‌شود؛ هرچند پیش‌بینی این نیست با توجه به اصراری که بر صیانت از اطلاعات مردم و احساس مسئولیتی که اپراتورها دارند، چنین اتفاقی رخ دهد.