درحالیکه بررسی طرح صیانت از کاربران فضای مجازی و ساماندهی فضای اینترنت در مجلس طی مدت اخیر حواشی زیادی ایجاد کرد و اعتراض زیاد نسبت به آن باعث شد تا تصویب آن به تعویق بیفتد، هفته گذشته طرح دیگری با عنوان «یکپارچهسازی داده و اطلاعات ملی» در سکوت کامل رسانهای در مجلس مطرح شد و قرار است بهزودی برای تصویب آن تصمیم گرفته شود. به موجب این طرح، قرار است بستری برای یکپارچهسازی دادههای مختلف موجود در کشور ایجاد شود و تشخیص اینکه کدام دادهها میتوانند دادههای ملی حساب شده و لزوما در دسترس نهادهای مذکور قرار بگیرند، برعهده کمیسیون «دوام» (دادهها و اطلاعات ملی) که زیرمجموعه مرکز ملی فضای مجازی است، خواهد بود. ابهاماتی که در مورد دستهبندی این دادهها و اختیارات نهادهای مطرحشده برای دسترسی به آنها وجود دارد، چالشهای متعددی پیرامون این طرح ایجاد کرده است؛ چالشهایی که دامنه تاثیرگذاری آنها میتواند سازمانها و کسبوکارهای زیادی را درگیر کند.
پررنگ شدن نقش دادهها
ورود تکنولوژی به دنیای امروز، ماهیت بسیاری از مفاهیم را تغییر داده است که «دادهها» نیز از این امر مستثنی نیستند. تا چند دهه پیش، دادههای مهم سازمانهای مختلف به مجموعه اسناد کاغذی محدودی خلاصه میشدند و چالش چندانی پیرامون موضوع مدیریت این دادهها، مالکیت آنها، حریم خصوصی و… مطرح نبود؛ اما اکنون با تغییر ساختار دادهها از حالت سنتی و ورود آنها به دنیای دیجیتال، نهتنها نوع دادههای تولیدی در هر سازمان و کسبوکاری تغییر کرده، بلکه پیچیدگیهای بسیاری بهخصوص از نظر ضریب اهمیت این دادهها، مالکیت حقوقی آنها، حریم خصوصی کاربران و… ایجاد شده است. این امر قانونگذاران را ناچار به تدوین قوانینی کرده است تا براساس آنها سازمانهای مختلف، بهخصوص شرکتهای خصوصی بتوانند حوزه اختیارات خود را برای دسترسی به دادهها شناخته و همچنین برای حمایت از دادههای کاربرانی که با کسبوکار این شرکتها در تعاملند، استراتژی درستی در پیش بگیرند. شاید در نگاه اول، دادههای مربوط به سفرهای درونشهری، تراکنشهای بانکی یا جستوجوهای انجامشده در پلتفرمهای مختلف توسط یک کاربر چندان اهمیتی نداشته باشد، اما با توجه به کاربردهایی که میتوان از ترکیب مجموعهای از چنین دادههایی با هوشمصنوعی بهدست آورد، عمق اهمیت این موضوع مشخص میشود.
یکی از خلأهای اساسی که در فضای قانونگذاری کشور حس میشود، نبود قانون حریم خصوصی است. در تمام دنیا، این قانون یکی از قوانین زمینهای تلقی شده و مبنای تفسیر دیگر قوانین در نظر گرفته میشود. مثلا در آمریکا، قانونی با عنوان «قانون حریم خصوصی» وجود دارد که مشخص میکند چه دادهای محرمانه تلقی میشود و سازمانها در مقابل چنین دادههایی چه رویکردی باید اتخاذ کنند. به موجب این قانون چنانچه نهادی نیاز بهدسترسی به چنین دادههایی داشته باشد، باید با تهیه حکم قضایی مبنی بر نیاز به آن داده، نسبت بهدسترسی به آن اقدام کند. پیامدها و مسوولیت افشای احتمالی چنین دادههایی بر عهده آن نهاد خواهد بود و کاربر میتواند در مقابل افشای چنین دادهای از نهاد مزبور شکایت و ادعای غرامت کند. کارشناسان معتقدند جای چنین رویکردی در فضای قانونگذاری ما خالی است.
باز شدن فضای اطلاعاتی
داده معادل کلمه دیتا (data) ریزترین موجودیت اطلاعاتی است که ساختار کاملا مشخصی دارد و تفسیرپذیر نیست؛ اما برعکس آن، اطلاعات (information)، حجمی از دادهها را شامل میشود که بدون وجود ساختار مشخص و از پیش تعیینشدهای تجمیع شده و در قالب ساختاری تفسیرپذیر ارائه میشود. به همین دلیل تمایز میان این دو مورد بسیار مهم است. نیما نامداری، از فعالان حوزه کسبوکارهای دیجیتال در گفتوگو با «دنیایاقتصاد» میگوید: یکپارچهسازی و اشتراکگذاری «دادهها» بین سازمانهای مختلف و ایجاد دسترسی آزاد برای تبادل اطلاعات، حرکتی خوب و ضروری است، اما انتقال آن از «کارگروه تعاملپذیری دولت الکترونیک» به زیرمجموعه مرکز ملی فضای مجازی کار چندان سنجیدهای نیست؛ زیرا این یک کار اجرایی و از اختیارات دولت است و انتقال آن به یک نهاد شورایی که کارکرد اجرایی ندارد، کار اشتباهی است. نامداری در تشریح این طرح میافزاید: افزایش تعاملپذیری بین دستگاهها مستلزم دو کار است. پیش از آنکه این تعاملپذیری اتفاق بیفتد، باید ساختار داده در دستگاههای دولتی یکسان شود. در برخی حوزهها مانند ثبتاحوال و بانکداری این کار انجام شده است، اما مثلا اطلاعات پستی که در قالب متن نوشته میشود، ساختار استانداردی ندارد و اطلاعاتی از این دست نیز کم نیستند که این امر ایجاد تعاملپذیری در این مورد را دشوار میکند. در سند مربوط به این طرح آورده شده است که متقاضیان دادهها و اطلاعات میتوانند دستگاهها و نهادهای مشمول این قانون و شرکتها و موسسات بخش غیردولتی و اشخاص مسوول کسبوکارهایی باشند که برای ارائه خدمات الکترونیکی و هوشمند یا تکمیل فرآیندهای الکترونیکی نیازمند داده و اطلاعات هستند. نامداری با تاکید بر اهمیت دسترسی اشخاص ثالث بیرون دولت (مانند کسبوکارهای خصوصی) به برخی از این دادههای دولتی میگوید: در بسیاری موارد، کسبوکارهایی مانند استارتآپهای فینتکی برای سرویسدهی به اطلاعات هویتی کاربران مانند کدملی، شماره موبایل، مالکیت و… نیاز دارند تا بتوانند کاربر را احراز هویت کرده و از بروز انواع تخلفات اعم از پولشویی و کلاهبرداری جلوگیری کنند. درحالیکه اکنون برای دسترسی به چنین اطلاعاتی سازوکار مشخصی وجود ندارد و کسبوکارها جز با نامهنگاریها و محدودیتهای فراوان نمیتوانند به چنین امکاناتی دست پیدا کنند. این فعال حوزه تکنولوژی ضمن تاکید بر اهمیت این اقدام در راستای باز شدن فضای دادههای حاکمیتی میگوید: اجرای این طرح مستلزم در نظر گرفتن ظرافتهای بسیاری است؛ زیرا باید باز شدن فضای دسترسی، همراه با حفظ محرمانگی دادههای کاربران باشد. نامداری در ادامه اضافه میکند: در کشورهای پیشرفته اساسا برای نحوه اخذ این دسترسیها سازوکار و ضوابط مشخصی وجود دارد؛ مثلا پیش از آنکه دادههای بانکی یک کاربر در اختیار یک سازمان ثالث قرار گیرد، از او کسب اجازه میشود. نامداری تاکید میکند: اهمیت این طرح وقتی مشخص میشود که این دسترسی استاندارد برای نهادهای ثالث خصوصی ایجاد شود، وگرنه اشتراکگذاری دادهها میان نهادهای دولتی مختلف پیشتر نیز تا حدی انجام میشد و اتفاق چندان جدید و عجیبی نیست.
چالشهای طرح جدید
به دلیل اینکه در این طرح اشاره مستقیمی بهدسترسی به دادههای بخشخصوصی نشده است، ابعاد تاثیرگذاری آن بهطور واضح مشخص نیست و تا زمانی که جزئیات این طرح کاملا مشخص نشود، امکانی برای سنجش میزان تاثیر آن بر برخی کسبوکارهای خصوصی و استارتآپی وجود نخواهد داشت. حتی اگر این اختیار در مورد کسبوکارهای خصوصی از نهادهای حاکمیتی سلب شود، تکلیف نهادهای نیمهخصوصی چه خواهد شد؛ زیرا اکنون بسیاری از کسبوکارهای آنلاین شاخص شرکت مانند تاکسیهای اینترنتی یا حتی برخی بانکهای خصوصی، سهامداران دولتی دارند و ممکن است بهخاطر وجود این سهامداران، ملزم به ارائه دادههای کاربرانشان به بخشهای دولتی شوند.
نامداری با انتقاد از برخی از بخشهای این طرح میگوید: در طرح مذکور آمده است که «داده ملی، دادهای است که به هر شکلی در اختیار بخش دولتی قرار گرفته است»، درحالی که این تعریف غلط است و در واقع داده ملی، دادهای است که دستگاه دولتی بنا به وظایف خود مکلف به داشتن آن است. بهعنوان مثال فرض کنید وزارت بهداشت به بهانه نظارت به تمامی اپلیکیشنهای سلامت اعلام کند دادههایشان را در اختیار این نهاد قرار دهند، درحالیکه این دادهها، داده ملی نیستند و ممکن است وزارت بهداشت بنا به نیازی مقطعی این درخواست را مطرح کرده باشد. وی با تاکید بر سابقه دستگاههای دولتی در ولع جمعآوری دادههای بیمورد از بخشهای خصوصی میگوید: این موضوع نگرانی ایجاد میکند؛ چراکه با ملی تلقی شدن چنین دادههایی، راه برای استفاده دستگاههای دیگر از این دادهها باز میشود و پیامدهای دیگری برای کسبوکارها ایجاد میشود. این امر در ابعاد مالی اهمیت دوچندانی پیدا میکند؛ زیرا ممکن است با استفاده از این دادهها، زمینه برای مالیاتتراشیهای بیمورد در مورد برخی کسبوکارها ایجاد شود. نامداری با تاکید بر همکاری همیشگی کسبوکارهای اینترنتی در پرداخت مالیات میگوید: بدون شک کسی با پرداخت مالیات مخالفتی ندارد، اما با شناختی که از نظام مالیاتی داریم، این سازمان ترجیح میدهد فقط عملکرد خود در بودجه دولت را مدنظر قرار دهد و به هر طریقی مالیات بسازد.
نامداری مبهم بودن موضع این طرح در قبال «متادیتا» را از دیگر چالشهای این طرح به حساب آورده و میگوید: متادیتا یا فراداده، دادهای است که به فهم و تفسیر داده اصلی کمک میکند. سوال این است که آیا در این قانون درباره فرادادهها فکری شده است یا خیر. چنانچه الزام اشتراکگذاری فرادادهها نیز مانند «دادهها» ایجاد شود، راه برای استفاده سلیقهای از این فرادادهها باز میشود و این نگرانکننده است.
عباس خاراباف، از دیگر فعالان کسبوکارهای دیجیتال درباره نگرانیهای حول موضوع مالکیت دادهها و اختیار دسترسی نهادهای مختلف به آنها میگوید: براساس مقررات مواد ۲۱ و ۲۳ قانون جرائم رایانهای (مواد ۷۴۹ و ۷۵۱ قانون مجازات) ارائهدهندگان خدمات دسترسی و میزبانی مکلف هستند دادههای مربوط به کاربرانشان را جمعآوری کنند. همچنین در قوانین و مقررات مختلف حوزه فضای مجازی تاکیدات بسیاری درخصوص حفاظت از حریم شخصی اشخاص و دادههای آنان وجود دارد. برای مثال در مواد ۵۸، ۵۹ و ۶۰ قانون تجارت الکترونیکی مقررات سختگیرانهای را برای جمعآوری و استفاده از این دادهها بر کسبوکارها تحمیل کرده است و در مواد ۱۷ و ۲۴ «آییننامه جمعآوری و استنادپذیری ادله الکترونیکی» این امر فقط با دستور مقام قضایی امکانپذیر است. افزون بر آن، مقام قضایی برای دستیابی به دادههای اشخاص باید ظن قوی بر ارتکاب جرم داشته باشد. ورای تمام این مباحث، دستور به اخذ اطلاعات کسبوکارها باید صریح و شفاف و مشتمل بر شخص ارائهدهنده، موضوع و نوع دادهها، شیوه و زمان تحویل دادهها و مرجع تحویل نیز باشد. به علاوه مطابق با ماده ۶۷۳ قانون آیین دادرسی کیفری باید به صورت محدود و با تعیین حدود آن صورت گیرد.
وی تصریح میکند: این درحالی است که بعضا مقامهای قضایی درخواست توقیف یا تفتیش دادهها را بدون در نظر گرفتن موارد فوق انجام میدهند. بهطور مثال یکباره درخواست دریافت اطلاعات تمام کاربران یک کسبوکار اینترنتی را که دارای میلیونها کاربر است، صادر میکنند؛ چنین درخواستی در دنیای فیزیکی و مادی بسیار بسیار نادر است و مشخص نیست چرا در دنیای مجازی هر روز بر تعداد چنین درخواستهایی افزوده میشود. به بیان دیگر بسیاری از نهادها با درخواستهای دور از منطق خود مبنی بر دسترسی به دادههای بخشخصوصی، علاوه بر اینکه الزامات و وجوه قانونی مربوط به این موضوع و حریم خصوصی اشخاص را زیر پا میگذارند، مالکیت دادههای پردازششده از سوی کسبوکارها را که متعلق به شخص خودشان است نیز نادیده گرفته و هیچگونه مرزبندی و احترامی برای این موضوع قائل نیستند. این درحالی است که اقدامات اینچنینی میتواند در دنیای کسبوکارهای فضای مجازی که بخش قابلتوجهی از ارزش و اعتبارشان بر پایه دادههایی است که در اختیار دارند، حاشیه امن آنها را سلب کرده و در واقع انگیزه و اعتماد لازم برای ادامه فعالیت و ورود به عرصههای جدید را از بین ببرد. با این اوصاف بهنظر میرسد با توجه به حساسیت دادههای محرمانه و حریم خصوصی- که این روزها به مسالهای مهم در حاکمیت دیجیتال تبدیل شده است- تصمیمگیری درباره طرحهای اینچنینی میتواند با چالشهای جدی همراه باشد. از همینرو، شفافیت بیشتر درباره جزئیات و پیامدهای اجرای این طرح میتواند پاسخ مناسبی برای دغدغهها و نگرانیهای کسبوکارها، کاربران و تمام ذینفعان آن باشد.