اقتصاد دیجیتال و چالش امنیت دادههای شخصی
اقتصاد دیجیتال و چالش امنیت دادههای شخصی
یکی از دلایل مهم این شرایط اسفناک، نداشتن قانونی برای حفاظت از دادههای شخصی و حریم کاربران در ایران است. این بیقانونی در موضوع دادههای شخصی به یکی از چالشهای مهم رشد اقتصاد دیجیتال در ایران هم تبدیل شده است.
تقریبا همه کشورهای توسعهیافته قانون مشخصی دارند که از حریم شخصی (Privacy) کاربران دفاع میکند. آمریکا از سال ۱۹۷۴، کانادا از ۱۹۸۳، مالزی از ۲۰۱۰، کرهجنوبی از ۲۰۱۱، ترکیه از ۲۰۱۶ و عربستان از ۲۰۲۱ چنین قانونی دارند. اتحادیه اروپا هم در سال۲۰۱۶ قانون GDPR را تصویب کرد و همه کشورهای عضو این اتحادیه مکلف شدند تا سال۲۰۱۸ قوانین و ضوابط داخلی خود را با این قانون جدید منطبق کنند.
اما در ایران تقریبا هیچ قانون جامع و روزآمدی نداریم که از حقوق کاربران و اطلاعات شخصی آنها حمایت کند. چنین قانونی دستکم باید تکلیف دو موضوع را مشخص کند. نخست اینکه دادههای شخصی که باید محرمانه بمانند چه هستند. در قوانین کشورها اقلام اطلاعاتی متنوعی از اطلاعات هویتی و شخصی و سلامت گرفته تا دادههای بانکی و مالی و داراییها بهعنوان دادههای شخصی تعریف شدهاند. در این قوانین معمولا فهرست دادههای شخصی برای انواع اشخاص حقیقی و حقوقی مختلف به روشنی و وضوح احصا شده و مصادیق و روشهای تفسیر هم معلوم شده است. یعنی قانون باید مشخص کند دقیقا چه دادههایی به چه فرمت و شکلی، داده محرمانه هستند.
بهعنوان مثال طبق قانون حریم شخصی ایالات متحده، اطلاعات مربوط به ظاهر افراد اطلاعات شخصی تلقی میشود و به همین دلیل محرمانه است. یعنی رنگ چشم یک داده شخصی و محرمانه است و هیچ نهادی بدون مجوز قانونی نمیتواند افراد را مکلف کند رنگ چشم خودشان را در یک فرم الکترونیکی یا کاغذی ثبت و پای آن را امضا یا تایید کنند. همین ضوابط مشخص میکند چه نهادها و اشخاصی از این محدودیت مستثنی هستند. حالا اگر یک نفر مشاهده خودش از رنگ چشم فرد دیگری را در یک فرم ثبت کند، بدون آنکه صاحب چشم آن را تایید کرده باشد روال آن کاملا متفاوت میشود. میبینید که چقدر این موضوع میتواند پیچیده باشد.
دومین موضوعی که قانون باید مشخص کند نقشها و مسوولیتهاست. بهطور کلی سه نقش اصلی را میشود تعریف کرد که مالک داده، نگهدارنده داده و شخص دارای دسترسی به داده است. مالک داده کسی است که داده متعلق به اوست یعنی مثلا مالک دادههای مربوط به سلامت یک نفر خود آن فرد است. شاید تشخیص مالک داده ساده به نظر برسد؛ ولی همیشه اینطور نیست مثلا به راحتی نمیشود گفت اگر دادهای پردازش شد و ماهیت جدیدی پیدا کرد، مالک آن کیست. دادههای حساب بانکی یک مشتری قطعا متعلق به آن مشتری است؛ ولی اگر بانک با الگوریتم خاصی این دادهها را پردازش و اعتبار مالی آن مشتری را تعیین کرد، احتمالا این داده جدید به بانک تعلق دارد.
دومین نقشی که در فرآیند مدیریت داده وجود دارد، نگهدارنده داده است. خیلی از سازمانها دادههای متنوعی را نگهداری میکنند که مالک آن نیستند. مثلا اطلاعات علائق و ترجیحات کاربر یک اپلیکیشن پخش موسیقی متعلق به خود آن کاربر است؛ ولی روی پایگاه داده آن اپلیکیشن نگهداری میشود یا اطلاعات اظهارنامه مالیاتی یک شرکت متعلق به خود آن شرکت است؛ ولی روی سامانه اداره مالیات نگهداری میشود. قانون باید بین این دو نقش تمایز قائل شود و مسوولیت هر نقش را تعیین میکند. مثلا نگهدارنده داده باید دقیقا معلوم کند چه دادهای از فرد را برای چه کاربردی و تا چه زمانی نگهداری میکند و تحت چه ضوابطی آن را در اختیار اشخاص ثالث قرار میدهد.
یکی از حقوق مالک داده، حق امحا است. کاربر حق دارد از نگهدارنده داده بخواهد داده شخصی او را از روی سامانههای خود پاک کند. مثلا اگر شما یک اپلیکیشن را از روی گوشی خود پاک کنید حق دارید که از آن اپلیکیشن بخواهید تاریخچه کاربری شما را هم پاک کند. البته ممکن است اگر بعدا دوباره آن اپلیکیشن را نصب کنید به آن تاریخچه دسترسی نداشته باشید و همه شخصیسازیهایی که خاص شما روی آن اپلیکیشن وجود داشته از بین برود؛ ولی این تصمیم شماست. در عین حال قانون برای برخی دادهها که ممکن است در فرآیندهای قضایی و حقوقی کاربرد داشته باشند زمان معینی برای نگهداری تعیین میکند. مثلا به بانکها تکلیف میکند داده تراکنشهای مشتریان را تا زمان مشخصی بعد از بستن حساب هم نگهداری کنند که اگر جرمی رخ داده بود و نیاز به تحقیقات قضایی بود این دادهها در دسترس باشند. این را هم قانون تعیین میکند.
سومین نقش به شخص ثالثی اشاره دارد که اگرچه مالک یا نگهدارنده داده نیست، اما دارای دسترسی به آن داده است. این دسترسی میتواند با اجازه یا بدون اجازه مالک داده باشد. شما میتوانید به بانک (یعنی نگهدارنده دادههای محرمانه شما) اجازه بدهید تا دسترسی یک موسسه اعتبارسنجی به اطلاعات بانکی شما را فراهم کند. این نوع دسترسیها در دنیای دیجیتال بسیار رایج و مطلوب است؛ چون به توسعه خدمات و نوآوری کمک میکند. حتی در بعضی کشورها به موسسات و شرکتها تکلیف میشود اجازه دسترسی شخص ثالث با تایید مالک داده را حتما فراهم کنند. مثلا ضوابط PSD۲ در اتحادیه اروپا همه بانکها و موسسات مالی و فینتکها فعال در کشورهای عضو اتحادیه را مکلف کرده این امکان را به کاربران خود بدهند که اگر خواستند به اشخاص ثالث دسترسی به اطلاعات بانکی و پرداختی بدهند این امکان را داشته باشند. به این فرآیند بانکداری باز میگویند که این روزها یکی از ابرروندهای توسعه صنعت بانکی در جهان است.
در عین حال قانون ممکن است به اشخاص معینی اجازه دسترسی به دادهها را بدون اجازه مالک بدهد. مثلا قانون مشخص میکند که ادارات مالیاتی یا پلیس یا دادگاه میتوانند حتی بدون اجازه فرد به اطلاعات او دسترسی داشتهباشند. اما در همه کشورها این نوع دسترسی بسیار کنترلشده و محدود است. مثلا در آمریکا دسترسی ادارات مالیاتی به دادههای شخصی کاربر که خودش اظهار نکرده فقط با حکم قاضی شدنی است و اداره مالیات نمیتواند مستقیما به بانک نامه بزند و اطلاعات شخص را بخواهد، بلکه باید قاضی را متقاعد کند که دسترسی به این داده در فرآیند رسیدگی مالیاتی ضرورت دارد و فرد هم در خوداظهاری آن کوتاهی یا تخلف کرده است.
نکته بسیار مهمی که در قوانین حمایت از حریم شخصی و محرمانگی داده در کشورهای مختلف وجود دارد، جرمانگاری کوتاهی در حفاظت از دادههاست. یعنی مثلا اگر داده متعلق به یک فرد که در پایگاه داده یک شرکت خصوصی نگهداری میشده بهدلیل کوتاهی آن شرکت افشا شود هم خود مالک داده امکان شکایت و طلب خسارت دارد و هم نهادهای ناظر میتوانند از آن شرکت شکایت کنند. به همین دلیل اغلب شرکتها و موسسات خصوصی و دولتی اصلا تمایلی به نگهداری داده غیرضروری ندارند؛ چون مسوولیت آنها را افزایش میدهد و ممکن است بعدا برایشان دردسر شود. این را مقایسه کنید با ایران که هر کسی هر اطلاعاتی را که دلش میخواهد، میگیرد. در همین مثال مالیات که بالاتر اشاره شد چند سالی است که سازمان امور مالیاتی ایران بانکها را مکلف کرده است همه اطلاعات مشتریانی را که بالاتر از مبلغ مشخصی موجودی داشتهاند، برای ادارات مالیاتی بفرستند شاید روزی روزگاری به کارشان بیاید! واضح است که سازمان امور مالیاتی ما تفاوت نگهداری داده با دسترسی به داده را درک نکرده و چون قانون هم مسوولیتی بابت سهلانگاری در نگهداری این اطلاعات متوجهش نکرده است، ترجیح میدهد تا جای ممکن اطلاعات گردآوری کند. اما در اغلب کشورهای دنیا نهادهای عمومی تلاش میکنند تا جای ممکن داده غیرضروری جمع نکنند که مسوولیتی هم برعهدهشان نباشد؛ اما در ایران نهادهای عمومی معمولا شهوت گردآوری داده دارند.
دو نکته مهم دیگر را هم باید در نظر داشت. نکته اول اینکه اساسا تمرکز در نگهداری داده خطرناک است. در اغلب کشورهای دنیا تلاش میشود تا جای ممکن همه دادهها در یک نهاد نگهداری نشوند که اگر آن نهاد هک شد همه چیز منتشرنشده و همه سرویسها از کار نیفتند؛ اما در ایران برعکس است. همه دوست دارند در خودشان تمرکز ایجاد کنند. بانک مرکزی دوست دارد همه دادههای حسابها و پرداختها را در شرکتهای زیرمجموعه خودش تجمیع کند. بیمه مرکزی هم همین کار را میکند. تامین اجتماعی و پلیس و ثبتاحوال و مابقی هم دوست دارند همه دادهها را درون خود نگهداری کنند. این تمرکز فقط کار هکرها را ساده میکند. بهویژه که هم کیفیت کارکنان این سازمانها افت کرده و هم محدودیتهای بودجهای باعث شده است سرمایهگذاری کافی در زیرساختهای امنیتی این سازمانها انجام نشود.
نکته دوم که شاید مهمترین نکته در این بحث باشد، مساله اعتماد است. بخش مهمی از مردم اعتمادی به نهادها در رعایت حریم شخصی ندارند و حس میکنند وقتی «برادر بزرگ» همه دادهها را دارد و از آن برای محدود کردن و کنترل ما استفاده میکند دیگر چرا باید روی بقیه موسسات و نهادها حساس بود. این بیاعتمادی باعث شده حساسیت مردم و طبعا شرکتها و نهادها اعم از خصوصی و دولتی به مساله محرمانگی داده کم باشد. در چنین شرایطی صحبت کردن از قانون حفاظت از حریم شخصی شاید فانتزی به نظر برسد؛ ولی بدون تردید فقدان این قانون هزینههایی به مراتب بیشتر دارد و توسعه اقتصاد دیجیتال در ایران بدون آن شدنی نیست. (دنیای اقتصاد)
مجله خبری mydtc