با اتمام دومین مهلت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران، بررسی روند اجرایی آن در کسب و کارها و ارزیابی کارشناسان از بازدارندگی این دستورالعمل نشان می‌دهد که دستورالعمل مذکور از ضمانت اجرایی و بازدارندگی لازم و کافی برخوردار نیست و به اعتقاد برخی فقط تدوین یک دستورالعمل کافی نیست، بلکه باید نظارت دقیقی هم بر اجرای آن هم اعمال شود.

با اینکه پیگیری «دنیای‌اقتصاد» از اجرای این دستورالعمل در اکثر کسب و کارها بی‌‌پاسخ ماند، اما برخی پلتفرم‌‌ها توضیحاتی درباره اقدامات امنیتی خود در راستای حفظ حریم خصوصی کاربران، از جمله ناشناس کردن دیتای کاربران و افزایش پاداش کشف و گزارش باگ، ارائه کردند.

سکوت کسب و کارها
حسین دلیریان، سخنگوی مرکز ملی فضای مجازی، در ۱۴ اردیبهشت‌‌ماه امسال از تمدید دو ماهه مهلت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران خبر داد. این در حالی است که مهلت اجرای این دستورالعمل پیش از این تا ۲۷ اسفند ماه سال گذشته بود. دلیریان ضمن اعلام تمدید این مهلت گفت که طی آخرین پیگیری‌‌هایی که در سال گذشته توسط کمیسیون عالی تنظیم مقررات فضای مجازی کشور صورت گرفت، سکوها و سامانه‌‌ها در حال اجرای آن هستند.

ماجرا از این قرار است که مساله تامین و حفاظت از امنیت داده‌‌های کاربران در فضای مجازی با حملات سایبری و نشت داده‌‌های خصوصی در یک سال اخیر برای مسوولان جدی شد؛ تا جایی که محمد امین آقامیری، رئیس مرکز ملی فضای مجازی در ۲۷ دی ماه سال ۱۴۰۲ دستورالعمل حفاظت از داده‌‌های کاربران را ابلاغ کرد. حالا با اتمام دومین مهلت اجرای دستورالعمل حفاظت از حریم خصوصی کاربران، روند اجرایی آن در کسب و کارها و ارزیابی کارشناسان از بازدارندگی این دستورالعمل بررسی شده است.

به گفته سخنگوی مرکز ملی فضای مجازی تا قبل از سال جدید، بخش‌‌هایی از دستورالعمل که امکان اجرای سریع‌‌تر آن وجود داشت، توسط کسب و کارهای بخش خصوصی و سامانه‌‌های دولتی اجرا شده و بقیه مفاد دستورالعمل نیز در مسیر اجرا قرار داشت. این در حالی است که برخی پلتفرم‌‌ها به پیگیری «دنیای‌اقتصاد» درباره اجرای دستورالعمل حفاظت از حریم خصوصی پاسخگو نبودند. البته برخی پلتفرم‌‌ها توضیحاتی درباره اقدامات امنیتی خود در راستای حفظ حریم خصوصی کاربران از جمله ناشناس کردن دیتای کاربران و افزایش پاداش کشف و گزارش باگ ارائه کردند.

طبق این دستورالعمل، کلیه ارائه‌‌دهندگان خدمات فضای مجازی ملزم به اعلام دقیق و شفاف سیاست‌‌های حفظ حریم خصوصی و اخذ رضایت صریح از کاربران در خصوص این سیاست‌‌ها هستند. همچنین در این دستورالعمل مراحل حذف داده‌‌ها از پلتفرم‌‌ها و سامانه‌‌های کشور نیز تعیین و مشخص شده است. بر اساس این ابلاغیه، پلتفرم‌‌های ارائه‌‌دهنده خدمات باید داده‌‌های کاربران را فقط در حد اقلام موردنیاز و متناسب با اهداف صریح و مشخص جمع‌‌آوری کنند. این سکوها باید امکان حذف بدون قید و شرط تمام یا بخشی از داده‌‌های کاربران را نیز فراهم کنند تا در صورت درخواست کاربران ضمن رعایت مفاد قانون آیین دادرسی کیفری این حذف را انجام دهند.

علاوه بر این، پلتفرم‌‌ها و سامانه‌‌ها فقط در صورتی می‌توانند به ارائه خدمات ادامه دهند یا مجوزهای فعالیتشان را تمدید کنند که تنظیم‌‌گران بخشی و مراجع صدور مجوز، پس از سنجش و ارزیابی نهایی اطمینان حاصل کنند که مقررات تعیین‌‌شده از طریق سازوکار نظارتی تدوین‌‌شده توسط مرکز ملی فضای مجازی توسط پلتفرم رعایت شده است. با توجه به الزامات این دستورالعمل برای کسب و کارها، پلتفرم دیوار به‌‌عنوان یکی از کسب و کارهای دیجیتال در گزارشی از اقدامات انجام شده برای ارتقای امنیت و حفظ حریم خصوصی کاربران خود که برای «دنیای‌اقتصاد» ارسال کرده، از الزام تیم خود به نگهداری دیتا صرفا در دو مورد مشخص ملزم می‌‌گوید: یکی در بازه زمانی تعیین شده از سوی قانون و برای انجام تکالیف قانونی و دیگری داده‌‌های مورد استفاده در تحلیل فرآیندهای کسب و کار.

بر اساس قانون جرائم رایانه‌‌ای، ارائه دهندگان خدمات دسترسی باید داده‌‌های ترافیک را حداقل تا ۶ماه پس از ایجاد و اطلاعات کاربران را نیز حداقل تا ۶ ماه پس از خاتمه اشتراک نگهداری کنند. ارائه این اطلاعات نیز تنها با حکم قضایی و آن هم به صورت موردی امکان‌‌پذیر است. در ادامه گزارش دیوار با اشاره به این موضوع آمده است: «به غیر از این تکلیف ما هیچ دیتای متصل به کاربر را (دیتایی که بتواند هویت و اطلاعات خصوصی کاربران را افشا کند) نگهداری نمی‌‌کنیم. خط قرمز ما در تمام این سال‌ها، رعایت این مساله و پایبندی به آن بوده است.»

ناشناس کردن دیتای کاربران و افزایش پاداش کشف و گزارش باگ دومین اقدام کلیدی دیوار برای ارتقای امنیت اطلاعات کاربران است. این پلتفرم در ناشناس کردن اطلاعات یا همان Anonymization داده‌‌ها که برای حفاظت از داده‌‌های کاربران و حفظ حریم شخصی آنها صورت می‌گیرد، اینگونه عمل می‌کند که به صورت خودکار داده‌‌های حساس کاربران مثل شماره تلفن، آدرس، مشخصات فردی و… را پس از پایان مهلت ۶ ماهه قانونی در دیتا حذف می‌کند. دیوار این اقدام را در عدم‌انتشار اطلاعات خصوصی و حساس کاربران حتی زمان هک تاثیرگذار می‌‌داند.

همچنین، دیوار پاداش کشف و گزارش باگ یا همان باگ‌‌بانتی دیوار را تا یک میلیارد تومان افزایش داده تا هکرهای کلاه سفید (متخصصان امنیت) را تشویق به گزارش باگ‌‌ها کند. علاوه بر این، آن دسته از پژوهشگران امنیت را که با کشف و گزارش آسیب‌‌پذیری باعث بالا رفتن سطح امنیت محصولات ما و کاربرانمان می‌‌شوند، به رسمیت می‌‌شناسند.

البته کسب و کارهای دیگری از جمله کافه بازار، اسنپ و تپسی نیز اقداماتی در خصوص همکاری با متخصصان امنیت و هکرهای کلاه‌‌سفید انجام داده‌‌اند. طبق اعلام شهاب خدابخش، مدیرعامل کافه بازار، این پلتفرم از هنگام افزایش سقف باگ‌‌بانتی خود به یک میلیارد تومان، تا امروز ۲۰۰ میلیون تومان باگ‌‌بانتی به هکرهای کلاه‌‌سفید پرداخته است. کافه بازار در بهمن سال ۱۴۰۲ با اعلام خبر افزایش سقف باگ‌‌بانتی، تاکید کرد که به پژوهشگران امنیت که با کشف و گزارش آسیب‌‌پذیری‌‌ها باعث بالا رفتن سطح امنیت بازار و کاربرانش می‌‌شوند تا سقف یک میلیارد تومان جایزه می‌دهد.

اسنپ نیز پس از هک اسنپ‌‌فود در سال گذشته برنامه‌‌ «باگ‌‌بانتی» یا مسابقات ارزیابی امنیتی و شناسایی باگ خود را گسترش داد و پاداش پیدا کردن آسیب‌‌پذیری‌‌ها برای شرکت‌های زیرمجموعه‌‌ گروه اسنپ که در محدوده برنامه باگ بانتی هستند، به ۱۵۰ میلیون تومان رسید. تپسی نیز در همان سال در اطلاعیه‌‌‌‌‌‌ای از افزایش سقف جایزه کشف باگ پلتفرم از ۳۰ به ۱۲۰میلیون تومان خبر داد.

خلأهای قانونی در امنیت داده
با این اوصاف به نظر می‌رسد که با توجه به عدم‌پاسخگویی برخی کسب و کارها درباره اجرای دستورالعمل حفاظت از حریم خصوصی کاربران، احتمالا آنها هنوز الزامات دستورالعمل را اجرا نکرده‌‌اند. موضوعی که کارشناسان هم به آن اشاره می‌کنند و به اعتقاد آنها این دستورالعمل ضمانت اجرایی و بازدارندگی ندارد. پویا پوراعظم، کارشناس فناوری، از نبود قانون مشخص در حوزه امنیت داده انتقاد می‌کند و معتقد است که دستورالعمل مرکز ملی فضای مجازی ضمانت اجرایی مانند قانون ندارد. او در ادامه صحبت‌‌های خود با اشاره به قانون حفاظت از داده اتحادیه اروپا درباره لزوم تدوین جرائم سنگین برای کسب و کارها در صورت نشت داده‌‌های مردم گفت و تاکید کرد: «زمانی که حفاظت از داده و حریم خصوصی کاربران به یک قانون تبدیل و در آن، بازدارندگی و جرایم سنگینی برای کسب و کارها دیده شود، آن وقت کسب و کارها هم سرمایه‌گذاری جدی بر امنیت داده‌‌ها خواهند کرد.»

به گفته پوراعظم قوانین و دستورالعمل‌‌های مرتبط با امنیت داده باید به‌‌گونه‌‌ای تدوین شوند که امکان شکایت برای کاربران از کسب و کارها ایجاد شده باشد. او در بخش دیگری از صحبت‌‌های خود با اشاره به لایحه حفاظت از داده‌‌های شخصی معتقد است از آنجا که بخش زیادی از آن برگرفته از قانون حفاظت از داده اتحادیه اروپاست، قانون شدن آن بهتر از بی‌‌قانونی در حوزه امنیت داده است.

حمیدرضا ولی‌‌زاده، مدیر دپارتمان امنیت رادین، از نبود قانون مشخص درباره امنیت داده در ایران صحبت می‌کند و می‌‌گوید: «در راستای حفظ حریم خصوصی ابتدا باید بتوانیم به یک تعریف مشخص از حریم خصوصی برسیم. در کشورهای خارجی در صورت استفاده غیرقانونی از اطلاعات و داده‌‌های حساس یک شخص، امکان ثبت شکایت و دریافت غرامت وجود دارد، اما در ایران هم چنین نمونه قانونی وجود ندارد.»

او در ادامه صحبت‌‌های خود مطرح کرد که دستورالعمل حفاظت از حریم خصوصی کاربران و لایحه حفاظت از داده‌‌های شخصی مردم هزینه زیادی برای کسب و کارها در بر خواهد داشت. به اعتقاد این کارشناس مسوولان باید در کنار نظارت درست بر اجرای این دستورالعمل‌‌ها کمک و تسهیلاتی برای بهبود اجرای آن در اختیار کسب و کارها قرار دهند. با این اوصاف و با توجه به اتمام مهلت دوم اجرای دستورالعمل حفاظت از حریم خصوصی کاربران و پاسخگو نبودن کسب و کارها در این خصوص، باید منتظر ماند و دید آیا این مهلت در روزهای آتی تمدید می‌شود و مرکز ملی فضای مجازی گزارشی از عملکرد مشمولان این دستورالعمل منتشر می‌کند یا تحلیل کارشناسان مبنی بر نبود ضمانت اجرایی برای این دستورالعمل تایید خواهد شد.