معضل هک داده‌های شخصی

شخصا اطلاعات پرونده‌های مختلفی را که از صحت آنها اطمینان دارم در اطلاعات افشاشده یافته‌ام و افراد زیادی را هم می‌شناسم که چنین تجربه‌ای داشته‌اند.

 آنچه را که می‌شود دید، چگونه می‌شود انکار کرد؟ تکذیب‌ این قبیل موضوعات ضمن آنکه به اعتماد جامعه لطمه می‌زند، موجب نادیده‌انگاری نقص‌ها و دست‌کم گرفتن ابعاد بحرانی می‌شود که در حوزه امنیت داده‌های شهروندان با آن روبه‌رو هستیم. 

در سرمقاله ۶مهر امسال روزنامه «دنیای‌اقتصاد» به تفصیل توضیح دادم که چرا مساله امنیت داده‌های شخصی یکی از موانع مهم توسعه اقتصاد دیجیتال در ایران است. در این فاصله حملات متعددی چه در بخش خصوصی و چه در بخش دولتی رخ داده و هیچ تغییری در نحوه مواجهه ما با این مساله ایجاد نشده است. درباره ابعاد فنی و عملیاتی این حملات می‌شود مفصل صحبت کرد؛ اما مشکل اصلی کماکان فقدان قانونی است که از داده‌های شخصی مردم حفاظت کند. متاسفانه به‌دلیل بی‌اعتمادی به کیفیت فرآیند سیاستگذاری و نگرانی از اینکه نکند چنین قانونی به جای آنکه به حمایت از کاربران بپردازد به ابزاری برای محدودیت بیشتر بدل شود، اکوسیستم اقتصاد دیجیتال هم در مطالبه چنین قانونی مردد و بی‌میل است. اما اتفاقات اخیر نشان داد حتی یک قانون بد، بهتر از بی‌قانونی فعلی است.

این قانون باید حداقل تکلیف دو چیز را مشخص کند. اولین موضوع، تعریف داده‌های شخصی است. در قوانین مشابه در کشورهای مختلف، فهرست داده‌های شخصی برای انواع اشخاص حقیقی و حقوقی به روشنی و وضوح احصا شده و مصادیق و روش‌های تفسیر هم معلوم شده است. دومین موضوعی که این قانون باید مشخص کند، نقش‌ها و مسوولیت‌هاست. معمولا قانون حداقل سه نقش زیر را به رسمیت شناخته و برای هر یک مسوولیت‌ها و تکالیفی تعیین می‌کند:

۱- مالک داده، یعنی شخصی که داده مورد نظر متعلق به اوست؛ مثلا اطلاعات سلامت یک شخص متعلق به خود اوست. گاهی تعریف این نقش پیچیده می‌شود. مثلا داده‌های حساب بانکی یک مشتری قطعا متعلق به آن مشتری است؛ ولی اگر بانک با الگوریتم خود این داده‌ها را پردازش و اعتبار مالی آن مشتری را تعیین کرد، ممکن است این داده جدید به بانک تعلق داشته باشد. این پیچیدگی‌ها را همین قانون تعیین تکلیف می‌کند.

۲- نگهدارنده داده، یعنی کسی که داده‌های اشخاص دیگر را در سامانه‌های دیجیتال یا پرونده‌های کاغذی یا هر شکل دیگری نگهداری می‌کند. خیلی از سازمان‌ها داده‌های متنوعی را نگهداری می‌کنند که مالک آن نیستند. مثلا اطلاعات سلامت یک فرد اگرچه روی سامانه‌های بیمارستان یا آرشیو پزشکان نگهداری می‌شود، اما مالک خود شخص است و بیمارستان و پزشک نقش نگهدارنده داده را دارند. اطلاعات قضایی افراد هم متعلق به خود آنهاست که روی سامانه‌های قوه قضائیه نگهداری می‌شود.

در همه کشورها این نوع دسترسی‌ها بسیار کنترل‌شده و محدود هستند. مثلا در آمریکا دسترسی ادارات مالیاتی به داده‌های شخصی کاربر فقط با حکم قاضی شدنی است و اداره مالیات نمی‌تواند مستقیما به بانک نامه بزند و اطلاعات شخص را بخواهد، بلکه باید قاضی را متقاعد کند که دسترسی به این داده در فرآیند رسیدگی مالیاتی ضرورت دارد و فرد هم در خوداظهاری آن کوتاهی یا تخلف کرده است و سپس از قاضی مجوز دسترسی بگیرد.

 البته خود مالک داده هم می‌تواند به اشخاص ثالث اجازه دهد به داده او دسترسی داشته باشند. مثلا شما می‌توانید به بانک اجازه دهید اطلاعات بانکی شما را با شرکت لیزینگ به اشتراک بگذارد تا بتوانید از تسهیلات آن بهره‌مند شوید. این یکی از مصادیق بانکداری باز است که از مهم‌ترین روندهای نوآوری در صنعت بانکی در جهان است. این نوع دسترسی‌ها در اقتصاد دیجیتال بسیار رایج است؛ اما قانون هم به‌شدت آنها را کنترل می‌کند.

همچنین قانون امنیت حریم شخصی به دقت مشخص می‌کند که سه نقش بالا چه حقوق و تکالیفی دارند. مثلا نگهدارنده داده اجازه دارد چه داده‌ای از فرد را برای چه کاربردی و تا چه زمانی نگهداری کند و تحت چه ضوابطی آن را در اختیار اشخاص ثالث قرار دهد. در بسیاری کشورها دریافت اطلاعات تحت پوشش این قانون، بدون مجوز از نهاد مسوول جرم است. یعنی شما نمی‌توانید یک فرم دست مردم بدهید و از آنها بخواهید مثلا کد ملی و شماره موبایل و نام خود را در آن بنویسند و پایش را امضا کنند مگر اینکه مجوز گرفته باشید. اما در ایران می‌بینیم که چنین کاری چقدر رایج است و کسی هم نظارتی ندارد.

همچنین قانون باید حق امحا را هم به رسمیت بشناسد. یعنی مالک داده حق دارد از نگهدارنده داده بخواهد داده شخصی او را از روی سامانه‌های خود پاک کند. مثلا اگر شما یک اپلیکیشن را از روی گوشی خود پاک کنید حق دارید از آن اپلیکیشن بخواهید سابقه کاربری شما را پاک کند. در عین حال قانون برای برخی داده‌ها که ممکن است در فرآیندهای قضایی و حقوقی کاربرد داشته باشند مدت معینی را برای نگهداری معین می‌کند.

نکته بسیار مهمی که در قوانین حمایت از حریم شخصی و محرمانگی داده در کشورهای مختلف وجود دارد، جرم‌انگاری کوتاهی در حفاطت از داده‌هاست. یعنی مثلا اگر داده متعلق به یک فرد که در پایگاه داده یک شرکت خصوصی نگهداری می‌شده به‌دلیل کوتاهی آن شرکت افشا شود، هم خود مالک داده امکان شکایت و طلب خسارت دارد و هم نهادهای ناظر می‌توانند از آن شرکت شکایت کنند. به همین دلیل اغلب شرکت‌ها و موسسات خصوصی و دولتی اصلا تمایلی به نگهداری داده غیرضروری ندارند؛ چون مسوولیت آنها را افزایش می‌دهد و ممکن است بعدا برایشان دردسر شود. این را مقایسه کنید با ایران که هر کسی هر اطلاعاتی را که دلش می‌خواهد، می‌گیرد.

متاسفانه نهادهای دولتی ما شهوت گردآوری داده دارند. دیده‌ایم که ادارات دولتی اصرار دارند تصویر کارت ملی و اطلاعات هویتی افراد را ذخیره کنند یا سازمان مالیاتی اصرار دارد اطلاعات بانکی افراد را فارغ از اینکه تخلفی کرده باشند آن هم بدون حکم قاضی از بانک‌ها دریافت کند؛ اما اگر اطلاعات بانکی مؤدیان افشا شود، هیچ قانونی نهاد مالیاتی را وادار به پرداخت جریمه و خسارت نمی‌کند. در افشای اطلاعات قضایی هم این وضعیت حاکم است. واقعا افراد چگونه می‌توانند بابت سهل‌انگاری رخ‌داده در قوه قضائیه به خود این قوه شکایت کنند؟ اگر به واسطه این افشای اطلاعات خساراتی متوجه افراد شود چه کسی این خسارات را پرداخت خواهد کرد؟ متاسفانه قوانین فعلی از چنین درخواستی حمایت نمی‌کنند.

مدتی پیش که اطلاعات کاربران برخی استارت‌آپ‌ها افشا شده بود، اطلاعاتی که به مراتب اهمیت کمتری هم داشت، قوه قضائیه و نهادهای دولتی مدعی برخورد با آن استارت‌آپ‌ها و جبران خسارت کاربران بودند. حالا آیا قوه قضائیه حاضر است همان رویه را درباره خودش اجرا کند؟ آیا دولتی‌ها همان شدت و حدتی که در برخورد با بخش خصوصی دارند، در مواجهه با خودشان هم نشان می‌دهند؟

اساسا تمرکز در نگهداری داده خطرناک است. در گذشته‌ که داده‌ها کاغذی بودند این مشکل وجود نداشت؛ اما امروزه که اغلب اطلاعات دیجیتال هستند و انتقال و کپی کردن اطلاعات خیلی ساده‌شده مساله تمرکز داده هم خطرناک‌ شده است. معمولا تلاش می‌شود تا جای ممکن همه داده‌های شخصی مردم یا کاربران در یک نهاد نگهداری نشوند که اگر آن نهاد هک شد، همه چیز منتشر نشود و همه سرویس‌ها از کار نیفتند؛ اما در ایران برعکس است. همه دوست دارند در خودشان تمرکز ایجاد کنند. بانک مرکزی دوست دارد همه داده‌های حساب‌ها و تراکنش‌ها را در شرکت‌های زیرمجموعه خود‌ تجمیع کند. بیمه مرکزی هم همین کار را می‌کند. قوه قضائیه و تامین اجتماعی و پلیس و ثبت احوال و بقیه هم دوست دارند همه داده‌ها را درون خودشان نگهداری کنند. این تمرکز فقط کار هکرها را ساده می‌کند.

در عین حال مشکلات فنی هم وضعیت را در نهادهای دولتی بدتر کرده است. وضعیت زیرساخت‌های فنی نهادهای دولتی بسیار بد است. به‌دلیل محدودیت‌ها و کنترل‌ها عموما افراد متخصص تمایلی به کار در بخش دولتی ندارند. ضوابط و قوانین ناکارآمد و بدقولی دولت در پرداخت تعهدات هم باعث شده به ندرت شرکت‌های خصوصی معتبر تمایلی به همکاری با سازمان‌های دولتی داشته باشند. محدودیت‌های بودجه‌ای و چالش‌های ناشی از تحریم هم وضعیت را بدتر کرده است.

به هر حال تا زمانی که قانون مناسبی برای حفاظت از داده‌های شخصی نداشته باشیم و این قانون به درستی اجرا نشود، وضعیت تغییری نخواهد کرد. ما نیازمند قانونی هستیم که داده‌های شخصی را تعریف کند، مسوولیت‌ها را مشخص کند، کوتاهی را جرم‌انگاری کند و به مردم امکان بدهد اگر به واسطه این کوتاهی خسارتی متوجه آنها شد بتوانند از مقصر، بدون تبعیض میان بخش خصوصی و دولتی، شکایت کنند.