بررسی ابعاد حقوقی نشر اطلاعات خصوصی؛ از وظایف دادستانی تا تکالیف پلتفرمها
یک حمله سایبری اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، رمز عبور، ایمیل، نام، نام خانوادگی، شماره موبایل و تاریخ تولد را هک کرده است؛ بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت GPS، آدرس کامل، اطلاعات بیش از ۱۸۰ میلیون دستگاه و همچنین اطلاعات بیش از ۳۶۰ میلیون سفارش و... را به سرقت برده و به فروش گذاشته است.
نمونه دیگری از هک پلتفرمهای ایرانی حدود چهار ماه قبل اتفاق افتاد؛ تپسی هک شد و بخشی از اطلاعات کاربران به دست هکرها افتاد. گروهی که به تپسی حمله سایبری کرده بود همین گروهی است که اسنپفود را هک کرده است.
این هکرها دیتای مختلفی مانند اطلاعات بیش از ۲۷ میلیون مسافر شامل نام، نامخانوادگی، شماره همراه، شهر و بعضاً ایمیل، بیش از ۲۷ میلیون مسافر شامل نام، نامخانوادگی، شماره همراه، شهر و بعضاً ایمیل و... را در اختیار داشته و برای فروش آن رقم ۳۵ هزار دلار را در نظر گرفته بودند. دیتای بهدستآمده از اسنپفود را هم قصد داشتند به ۳۰ هزار دلار به فروش برسانند.
این اطلاعات دقیق و جزئی تقریباً یکچهارم جمعیت ایران است که در بستر اینترنت به رقم ناچیزی به حراج گذاشته شده و هیچ نهاد و مرجع رسمی هم نسبت به این مسئله حساس و افشای اطلاعات مردم واکنشی نشان نداده است.
این در صورتی است که در کشورهای دارای قوانین مشخص برای حفظ امنیت اطلاعات کاربران، در صورت لو رفتن اطلاعات برای شرکتها جریمههای مالی سنگینی تعیین میشود. در قوانین اروپا این لو رفتن اطلاعات اگر حجم زیادی نداشته باشد جریمه ۱۰ میلیون یورویی دارد و اگر حجم بالایی از اطلاعات لو برود، به ۲۰ میلیون یورو جریمه یا ۴ درصد از درآمد سالانه شرکت بهعنوان جریمه در نظر گرفته میشود. یک مثال از این مورد اتفاقی بود که در سال ۲۰۲۱ برای آمازون رخ داد و این شرکت محکوم به پرداخت ۷۴۶ میلیون یورو جریمه شد.
در کشور ما که قانونی برای حفاظت از دادههای شخصی کاربران تصویب نشده وقتی شاهد هک یک پلتفرم یا سامانه و به سرقت رفتن اطلاعات کاربران هستیم، چه باید بکنیم؟ برای پاسخ به این سؤال با محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه، گفتوگو کردهایم:
نهادهای حاکمیتی در شرایط وقوع حملات سایبری چه وظیفهای در برابر افشای اطلاعات شهروندان دارند؟
اگر حجم این نوع حملات و خروج داده زیاد باشد مدعیالعموم باید ورود پیدا کند. یعنی دادستانی باید ورود کرده و اعلام جرم کند؛ اما در حمله سایبری به اسنپفود شاهد بودیم که دیتای کاربران در بستر اینترنت منتشر شد اما شاهد هیچ پیگیریای از سمت مدعیالعموم یا دادستانی کشور نبودیم. به نظرم دلیل این اتفاق هم این است که بخش خصوصی و کاربران از حقوق قانونی خود مطلع نیستند و ما با یک فقر فهم حقوقی در این زمینه مواجه هستیم.
در صورت عدم ورود دادستانی به این پروندهها ما بهعنوان کاربرانی که اطلاعاتمان لو رفته است، چه کاری میتوانیم انجام دهیم؟
حتی اگر دادستانی هم به این موضوع ورود نکند هر یک از افرادی که دادهشان در اینترنت بهصورت غیرمجاز در حال انتشار است میتوانند به مراجع قضایی مراجعه کنند و شکوائیهشان را ثبت کنند. محاکم قضایی هم مطابق قانون ملزم به رسیدگی به این موضوع هستند.
لایحه حفاظت از دادههای کاربران چند سالی است که در مجلس در حال بررسی است، اما آیا هیچ قانون دیگری مثلاً برای کسبوکارها مبنی بر ضرورت حفظ داده کاربران وجود ندارد؟
در حوزه تجارت الکترونیکی قوانینی داریم. بر اساس ماده ۵۸ و ماده ۶۵ قانون تجارت الکترونیکی، اطلاعات مشتریان جزء اسرار تجاری به حساب میآید. مطابق قانون جرایم رایانهای هک دادهها و انتشارشان از دو جنبه میتواند مورد تحلیل قرار بگیرد؛ یکی از سمت صاحب داده و یکی از سمت پلتفرم یا شخصیت تجاری. در هر دو صورت اگر این دادهها منتشر شوند جرم اتفاق افتاده است.
همچنین، مطابق ماده ۵۸ قانون تجارت الکترونیکی، ذخیره و پردازش و توزیع دادههای شخصی که دارای خصیصههای مشخصی باشند مطلقاً ممنوع است و پلتفرم حتماً باید به کاربر اعلام کند که پردازش، انتشار، ضبط و ذخیره این نوع دادهها از طرف پلتفرم امکانپذیر است.
علاوه بر این، ماده ۷۸ قانون تجارت الکترونیکی میگوید اگر در بستر مبادلات الکترونیکی، بر اثر نقص و ضعف سیستمها دادهها منتشر شوند، چه بخش خصوصی و چه بخش دولتی باید جبران خسارت کند.
به لحاظ قانونی نهادهای ناظر در این زمینه چه نقشی دارند؟
در کشور متولیان دیگری، مثل سازمان پدافند غیرعامل، افتا و سازمان فناوری اطلاعات ایران، هم در این حوزه داریم که باید گواهی امنیت پلتفرمها را تأیید و صادر کنند. به نظر میرسد که پلتفرمهای بومی به دلایل متعدد یا این گواهیها را نمیگیرند یا سازمانهایی که این گواهیها را میدهند وظایف قانونی خود را بهدرستی انجام نمیدهند یا احتمالاً در حوزه آزمایش کردن این پلتفرمها، ترک فعلی دارند.
در صورت وجود چنین شرایطی این سازمانها هم در بروز این مشکلات معاونتی دارند و اگر ثابت شود که نقصی در ایمنی این سیستمها رخ داده و پلتفرم از سازمان دولتی گواهی ایمنی دارد، مشخص میشود که آن سازمان نتوانسته وظیفهاش را بهدرستی انجام دهد، بنابراین این سازمانهای دولتی هم باید محل مواخذه و پرسش قرار بگیرند. با توجه به مجموع این قوانین و با وجود این سازمانها و نهادها باید مباحث امنیتی و مباحث پدافند غیرعاملی بیشتر مورد توجه قرار بگیرد.
در واقع، باید محرز شود که دادههایی که از مردم تجمیع میشود، چه در سوپراپلیکیشنها و مگاپلتفرمها و چه در حوزه سلامت الکترونیک و... از امنیت معقولی برخوردار هستند یا حداقل سیستمهای کدگذاری و رمزنگاری (encryption) در آنها رعایت شود اما به نظر میرسد در حال حاضر این اتفاقها نمیافتد.
برخی از کارشناسان معتقدند که نوع و میزان دادهای که پلتفرمهای ایرانی از کاربران دریافت و ذخیره میکنند معقول نیست و اطلاعات بسیار جزئی از کاربران در پلتفرمها ذخیره میشود؛ در این مورد چه نظری دارید؟
به نظرم دادههایی که در پلتفرمها از کاربران جمعآوری میشود فاقد یک استاندارد درست است؛ یعنی اطلاعات مازاد در پلتفرمها جمعآوری میشود و همین اطلاعات فراوان با جزئیات زیاد باعث میشود هکرها به دنبال دسترسی به این دادهها، جمعآوری و فروش آنها باشند. کما اینکه خود این خرید و فروش داده هم محل اشکال و جرم است.
نظرات