این روزها مسوولان بیش از پیش بر تنظیم‌گری یا حکمرانی داده تاکید می‌کنند، اما تاکنون اقدامات قانونی مناسب و سخت‌گیرانه‌ای برای حفاظت یا جلوگیری از فساد داده‌ها در کشور انجام نشده است. دستورالعمل حفاظت از حریم خصوصی کاربران بعد از چندین بار نشت اطلاعات شخصی و مالی مردم در دو سال اخیر بالاخره در سال گذشته ابلاغ شد. با گذشت یک سال و در حالی که مسوولان مرکز ملی فضای مجازی از اجرای بخش زیادی از این دستورالعمل می‌گویند، اما اجرای این دستورالعمل همچنان در ابهام و عدم شفافیت قرار دارد. از سوی دیگر، در روزهایی که لایحه دولت برای حفاظت از داده‌های شخصی در حال بررسی بود، نمایندگان مجلس هم از اعلام وصول طرحی با نام همین لایحه خبر دادند. به هر حال و در شرایطی که وضعیت این لایحه و طرح همچنان مشخص نیست، کارشناسان و فعالان ارزیابی مثبتی از آنها ندارند و معتقدند که عملکرد دولت و مجلس در راستای تدوین قوانینی برای حفاظت از داده‌ها چندان قوی نبوده و مضرات تداوم بلاتکلیفی لایحه دولت و طرح مجلس از فواید تصویب عجولانه آنها بیشتر است.

یک‌سالگی یک دستورالعمل در تعلیق
در هفته‌های اخیر مسوولان بیشتر از گذشته درباره تنظیم‌گری داده‌ها و هوش مصنوعی در کشور صحبت‌ کردند. ستار هاشمی، وزیر ارتباطات، لازم دانسته است تا در مسیر تنظیم‌گری برای داده و هوش مصنوعی حرکت کنیم. محمد‌محسن صدر، رئیس سازمان فناوری اطلاعات نیز مطرح کرده است که نباید به بهانه امنیت، کسب‌وکارها را تعطیل کرد؛ بلکه باید با امن‌ کردن زیرساخت‌ها شرایط را برای دسترسی شرکت‌های دانش‌بنیان و استارت‌آپی به داده‌ها فراهم کرد. در حالی مسوولان از رگولاتوری داده‌ها و دسترسی کسب‌وکارها به آنها می‌گویند که تاکنون اقدامات قانونی مناسب و سخت‌گیرانه‌ای برای حفاظت یا جلوگیری از فساد داده‌ها در کشور انجام نشده است.

همین موضوع موجب شد تا در دو سال اخیر اطلاعات شخصی و مالی مردم به حراج گذاشته شود. با این حال مرکز ملی فضای مجازی در دی ماه سال گذشته دستورالعمل حفاظت از حریم خصوصی کاربران را ابلاغ کرد، اما در حال حاضر و با گذشت تقریبا یک سال از این موضوع هنوز جزئیاتی از اجرای این دستورالعمل منتشر نشده است. حتی پیگیری‌های «دنیای اقتصاد» از سخنگوی مرکز ملی فضای مجازی نیز بی‌نتیجه بوده و تا زمان نگارش این گزارش این مرکز پاسخگو نبوده است. البته پیش از این حسین دلیریان، سخنگوی مرکز فضای مجازی، در گفت‌وگو با «دنیای اقتصاد» مطرح کرده بود که بخش قابل توجهی از دستورالعمل حفاظت از حریم خصوصی کاربران اجرا شده است، اما از بیان جزئیات بیشتر در این باره خودداری کرد. به گفته او با پایان خرداد ماه سال جاری و دومین مهلت کسب‌وکارها برای اجرای این دستورالعمل می‌توان عدد دقیقی از درصد اجرای آن مطرح کرد. با این حال و با گذشت هفت ماه از مهلت دوم همچنان خبری از جزئیات این دستورالعمل منتشر نشده است و روند اجرای آن در ابهام و عدم شفافیت قرار دارد.

دستورالعمل حفاظت از حریم شخصی کاربران در اواخر دی ماه سال گذشته ابلاغ شد و در آن زمان اعلام شد: «این دستورالعمل که در قالب بخش نخست از سند مادر سیاست‌ها و الزامات حفاظت از داده‌ها تدوین شده است، کلیه ارائه‌دهندگان خدمات فضای مجازی را ملزم به اعلام دقیق و شفاف سیاست‌های حفظ حریم خصوصی و اخذ رضایت صریح از کاربران در خصوص این سیاست‌ها می‌کند.» علاوه بر این، بر اساس این دستورالعمل پلتفرم‌ها و سامانه‌ها فقط در صورتی می‌توانند به ارائه خدمات ادامه دهند یا مجوزهای فعالیتشان را تمدید کنند که تنظیم‌گران بخشی و مراجع صدور مجوز تایید کنند که مقررات تعیین‌شده توسط پلتفرم رعایت شده، اما با وجود هک پلتفرم‌های تاکسی اینترنتی، سفارش آنلاین غذا، پیام‌رسان‌های بانکی و… تاکنون پلتفرم‌ها نه تنها توضیحاتی در این خصوص منتشر نکرده‌اند؛ بلکه مشخص نیست چه چارچوب و الزاماتی برای حفظ امنیت اطلاعات کاربران خود دارند. با این اوصاف در حالی مسوولان از تنظیم‌گری یا حکمرانی داده صحبت می‌کنند که هنوز قانون مناسب و سختگیرانه‌ای تصویب شده است. موضوعی که مرکز پژوهش‌های مجلس نیز از آن به غفلت قوانین از فساد داده اشاره کرده و طبق یکی از گزارش‌های این مرکز در کشورهای کره‌جنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از ۱۲۴ الزام قانونی در حوزه حفاظت از داده‌های شخصی وجود دارد؛ اما در قوانین ایران فقط ۱۳ الزام دیده شده است. همچنین این گزارش دسترسی، جمع‌آوری و افشای غیرمجاز داده، استفاده مجدد و بی‌رویه از داده‌ها، عدم استقرار نهاد تنظیم‌گر بخشی و فقدان نظارت موثر بر داده‌ها، عدم ارتقای امنیت داده‌ها و ضعف ضوابط و سازوکارهای دسترسی را از جمله عوامل آسیب‌زا در زنجیره تامین داده، امنیت فناوری و ضعف در سازوکارهای نظارتی که به افزایش فساد در شبکه‌های داده منجر می‌شود، اعلام کرده است.

خلأ قانونی یا قانون نامناسب
از سوی دیگر، علاوه بر بلاتکلیفی و تعلیق یک ساله در اجرای دستورالعمل حفاظت از حریم شخصی کاربران، سرنوشت لایحه دولت برای حفاظت از داده‌های شخصی نیز در ابهام قرار دارد و بر اساس آخرین خبرها، این لایحه همچنان در مرحله بررسی است. هیات دولت سیزدهم لایحه حفاظت از داده‌های شخصی را پس از مدت‌ها بلاتکلیفی سرانجام در تیر ماه امسال تصویب کرد و وزیر ارتباطات دولت چهاردهم در مهر ماه مطرح کرد که لایحه حفاظت از داده کاربران از صحن مجلس به کمیسیون‌ مربوطه بازگشته و در حال بررسی و نهایی شدن است.

با این حال و با گذشت چهار ماه تاکنون آخرین وضعیت این لایحه مشخص نشده. این در حالی است که نمایندگان مجلس در آن زمان طرح «حفاظت از داده‌های شخصی» را در مجلس اعلام وصول کردند. طرحی که در آن رد پای حامیان طرح صیانت دیده می‌شود و همین موضوع نگرانی کارشناسان و فعالان حوزه را برانگیخته است. با این حال در طرح مذکور به مواردی همچون الزام جلب رضایت کاربران، تشکیل کمیسیون حمایت از داده‌های شخصی و تعهدات پردازشگران داده توجه شده است. به هر حال وضعیت قانون‌ در این زمینه و تنظیم‌گری داده‌ها در کشور مبهم و غیرشفاف است؛ موضوعی که کارشناسان هم آن را تایید می‌کنند و به اعتقاد آنها مضرات این موضوع از فواید آن بیشتر است.

حامد بیدی، کنشگر فضای مجازی با بیان این مطلب به «دنیای اقتصاد» درباره بلاتکلیفی اجرای دستورالعمل مرکز ملی فضای مجازی می‌گوید: «این مرکز صرفا می‌تواند پیشنهادهای راهبردی را در اختیار قانون‌گذاران و مقامات اجرایی کشور قرار دهد و مصوبات آن از این جهت که قانون نیست، ضمانت اجرایی ندارد. ابلاغ دستورالعمل حفاظت از حریم شخصی کاربران در زمان هک‌های گسترده صرفا برای پاسخگویی به افکار عمومی بود؛ تا اینکه اقدامات جدی در این خصوص انجام شود.»

او در ادامه صحبت‌های خود مطرح می‌کند که حفاظت از داده‌ها به یک قانون مدون نیاز دارد، اما متاسفانه مجلس برای تدوین چنین قانونی قوی عمل نکرده است.

بیدی در این باره توضیح می‌دهد: «حتی در مواردی که مجلس طرحی را برای حفاظت از داده‌ها هم تدوین کرده است، انتقادات این بوده که به احتمال زیاد مضرات آن بیشتر از فوایدش خواهد بود؛ نباید بی‌اعتمادی بین قانون‌گذاران و جامعه مدنی، خلأ قانون‌گذاری و اجرای نادرست قوانین ایجاد شود و بهتر است بخش خصوصی، انجمن‌های صنفی و نهادهای مدنی همچون سازمان نظام صنفی یا انجمن تجارت الکترونیک و کسب‌وکارهای اینترنتی راهکارهای کارشناسی را برای تدوین یک چارچوب منطقی ارائه دهند تا حداقل اعضای آنها به یک منشور دسترسی داشته باشند و آن را رعایت کنند. با این اوصاف کارشناسان لازم می‌دانند تا مسوولان پیش از شعار دادن برای تنظیم‌گری یا حکمرانی داده‌ها در کشور، قوانین شفاف و همه‌جانبه‌ای برای این حوزه تدوین کنند تا در کنار رعایت حقوق شهروندان از احتمال فساد داده نیز جلوگیری شود.