نهادهای حاکمیتی، مراجع قانونی، کسب‌وکارها و کاربران همگی باید ابعاد حقوقی افشای اطلاعات و نقض امنیت دیتای کاربران را جدی بگیرند.

یک حمله سایبری اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، رمز عبور، ایمیل، نام، نام خانوادگی، شماره موبایل و تاریخ تولد را منتشر کرده؛ بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت GPS، آدرس کامل، اطلاعات بیش از ۱۸۰ میلیون دستگاه و همچنین اطلاعات بیش از ۳۶۰ میلیون سفارش و… را به سرقت برده و به فروش گذاشته است.

این اطلاعات دقیق و جزئی تقریباً یک‌چهارم جمعیت ایران است که در بستر اینترنت به رقم ناچیزی به حراج گذاشته شده و هیچ نهاد و مرجع رسمی هم نسبت به این مسئله حساس و افشای اطلاعات مردم واکنشی نشان نداده است.

این در صورتی است که در کشورهای دارای قوانین مشخص برای حفظ امنیت اطلاعات کاربران، در صورت لو رفتن اطلاعات برای شرکت‌ها جریمه‌های مالی سنگینی تعیین می‌شود. در قوانین اروپا این لو رفتن اطلاعات در موارد اگر حجم زیادی نداشته باشد جریمه ۱۰ میلیون یورویی دارد و اگر حجم بالایی از اطلاعات لو برود، به ۲۰ میلیون یورو جریمه یا ۴ درصد از درآمد سالانه شرکت به‌عنوان جریمه در نظر گرفته می‌شود. یک مثال از این مورد اتفاقی بود که در سال ۲۰۲۱ برای آمازون رخ داد و این شرکت محکوم به پرداخت ۷۴۶ میلیون یورو جریمه شد.

در کشور ما که قانونی برای حفاظت از داده‌های شخصی کاربران تصویب نشده وقتی شاهد هک یک پلتفرم یا سامانه و به سرقت رفتن اطلاعات کاربران هستیم، چه باید بکنیم؟ برای پاسخ به این سؤال با محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه، گفت‌وگو کرده‌ایم:

نهادهای حاکمیتی در شرایط وقوع حملات سایبری چه وظیفه‌ای در برابر افشای اطلاعات شهروندان دارند؟

اگر حجم این نوع حملات و خروج داده زیاد باشد مدعی‌العموم باید ورود پیدا کند. یعنی دادستانی باید ورود کرده و اعلام جرم کند؛ اما در حمله سایبری به اسنپ‌فود شاهد بودیم که دیتای کاربران در بستر اینترنت منتشر شد اما شاهد هیچ پیگیری‌ای از سمت مدعی‌العموم یا دادستانی کشور نبودیم. به نظرم دلیل این اتفاق هم این است که بخش خصوصی و کاربران از حقوق قانونی خود مطلع نیستند و ما با یک فقر فهم حقوقی در این زمینه مواجه هستیم.

در صورت عدم ورود دادستانی به این پرونده‌ها ما به‌عنوان کاربرانی که اطلاعاتمان لو رفته است، چه کاری می‌توانیم انجام دهیم؟

حتی اگر دادستانی هم به این موضوع ورود نکند هر یک از افرادی که داده‌شان در اینترنت به‌صورت غیرمجاز در حال انتشار است می‌توانند به مراجع قضایی مراجعه کنند و شکوائیه‌شان را ثبت کنند. محاکم قضایی هم مطابق قانون ملزم به رسیدگی به این موضوع هستند.

لایحه حفاظت از داده‌های کاربران چند سالی است که در مجلس در حال بررسی است، اما آیا هیچ قانون دیگری مثلاً برای کسب‌وکارها مبنی بر ضرورت حفظ داده‌ کاربران وجود ندارد؟

در حوزه تجارت الکترونیکی قوانینی داریم. بر اساس ماده ۵۸ و ماده ۶۵ قانون تجارت الکترونیکی، اطلاعات مشتریان جزء اسرار تجاری به حساب می‌آید. مطابق قانون جرایم رایانه‌ای هک داده‌ها و انتشارشان از دو جنبه می‌تواند مورد تحلیل قرار بگیرد؛ یکی از سمت صاحب داده و یکی از سمت پلتفرم یا شخصیت تجاری. در هر دو صورت اگر این داده‌ها منتشر شوند جرم اتفاق افتاده است.

همچنین، مطابق ماده ۵۸ قانون تجارت الکترونیکی، ذخیره و پردازش و توزیع داده‌های شخصی که دارای خصیصه‌های مشخصی باشند مطلقاً ممنوع است و پلتفرم حتماً باید به کاربر اعلام کند که پردازش، انتشار، ضبط و ذخیره این نوع داده‌ها از طرف پلتفرم امکان‎‌پذیر است.

علاوه بر این، ماده ۷۸ قانون تجارت الکترونیکی می‌گوید اگر در بستر مبادلات الکترونیکی، بر اثر نقص و ضعف سیستم‌ها داده‌ها منتشر شوند، چه بخش خصوصی و چه بخش دولتی باید جبران خسارت کند.

به لحاظ قانونی نهادهای ناظر در این زمینه چه نقشی دارند؟

در کشور متولیان دیگری، مثل سازمان پدافند غیرعامل، افتا و سازمان فناوری اطلاعات ایران، هم در این حوزه داریم که باید گواهی امنیت پلتفرم‌ها را تأیید و صادر کنند. به نظر می‌رسد که پلتفرم‌های بومی به دلایل متعدد یا این گواهی‌ها را نمی‌گیرند یا سازمان‌هایی که این گواهی‌ها را می‌دهند وظایف قانونی خود را به‌درستی انجام نمی‌دهند یا احتمالاً در حوزه آزمایش کردن این پلتفرم‌ها، ترک فعلی دارند.

در صورت وجود چنین شرایطی این سازمان‌ها هم در بروز این مشکلات معاونتی دارند و اگر ثابت شود که نقصی در ایمنی این سیستم‌ها رخ داده و پلتفرم از سازمان دولتی گواهی ایمنی دارد، مشخص می‌شود که آن سازمان نتوانسته وظیفه‌اش را به‌درستی انجام دهد، بنابراین این سازمان‌های دولتی هم باید محل مواخذه و پرسش قرار بگیرند. با توجه به مجموع این قوانین و با وجود این سازمان‌ها و نهادها باید مباحث امنیتی و مباحث پدافند غیرعاملی بیشتر مورد توجه قرار بگیرد.

در واقع، باید محرز شود که داده‌هایی که از مردم تجمیع می‌شود، چه در سوپراپلیکیشن‌ها و مگاپلتفرم‌ها و چه در حوزه سلامت الکترونیک و… از امنیت معقولی برخوردار هستند یا حداقل سیستم‌های کدگذاری و رمزنگاری (encryption) در آن‌ها رعایت شود اما به نظر می‌رسد در حال حاضر این اتفاق‌ها نمی‌افتد.

به نظر می‌رسد نوع و میزان داده‌ای که پلتفرم‌های ایرانی از کاربران دریافت و ذخیره می‌کنند معقول نیست و اطلاعات بسیار جزئی است؛ در این مورد چه نظری دارید؟

به نظرم داده‌هایی که در پلتفرم‌ها از کاربران جمع‌آوری می‌شود فاقد یک استاندارد درست است؛ یعنی اطلاعات مازاد در پلتفرم‌ها جمع‌آوری می‌شود و همین اطلاعات فراوان با جزئیات زیاد باعث می‌شود هکرها به دنبال دسترسی به این داده‌ها، جمع‌آوری و فروش آن‌ها باشند. کما اینکه خود این خرید و فروش داده هم محل اشکال و جرم است.