اقتصاد دیجیتال و چالش امنیت داده‌های شخصی

نیما نامداری – این روزها نگرانی مردم از وضعیت امنیت اطلاعات‌ و حفاظت از حریم شخصی آنها بیشتر شده است. نحوه واکنش موسسات دولتی و شرکت‌های خصوصی به این حملات نشان می‌هد که چقدر در این زمینه وضعیت نامطلوبی داریم.

یکی از دلایل مهم این شرایط اسفناک، نداشتن قانونی برای حفاظت از داده‌های شخصی و حریم کاربران در ایران است. این بی‌قانونی در موضوع داده‌های شخصی به یکی از چالش‌های مهم رشد اقتصاد دیجیتال در ایران هم تبدیل شده است.

تقریبا همه کشورهای توسعه‌یافته قانون مشخصی دارند که از حریم شخصی (Privacy) کاربران دفاع می‌کند. آمریکا از سال ۱۹۷۴، کانادا از ۱۹۸۳، مالزی از ۲۰۱۰، کره‌جنوبی از ۲۰۱۱، ترکیه از ۲۰۱۶ و عربستان از ۲۰۲۱ چنین قانونی دارند. اتحادیه اروپا هم در سال۲۰۱۶ قانون GDPR را تصویب کرد و همه کشورهای عضو این اتحادیه مکلف شدند تا سال۲۰۱۸ قوانین و ضوابط داخلی خود را با این قانون جدید منطبق کنند.

اما در ایران تقریبا هیچ قانون جامع و روزآمدی نداریم که از حقوق کاربران و اطلاعات شخصی آنها حمایت کند. چنین قانونی دست‌کم باید تکلیف دو موضوع را مشخص کند. نخست اینکه داده‌های شخصی که باید محرمانه بمانند چه هستند. در قوانین کشورها اقلام اطلاعاتی متنوعی از اطلاعات هویتی و شخصی و سلامت گرفته تا داده‌های بانکی و مالی و دارایی‌ها به‌عنوان داده‌های شخصی تعریف شده‌اند. در این قوانین معمولا فهرست داده‌های شخصی برای انواع اشخاص حقیقی و حقوقی مختلف به روشنی و وضوح احصا شده و مصادیق و روش‌های تفسیر هم معلوم شده است. یعنی قانون باید مشخص کند دقیقا چه داده‌هایی به چه فرمت و شکلی، داده محرمانه هستند.

به‌عنوان مثال طبق قانون حریم شخصی ایالات متحده، اطلاعات مربوط به ظاهر افراد اطلاعات شخصی تلقی می‌شود و به همین دلیل محرمانه است. یعنی رنگ چشم یک داده شخصی و محرمانه است و هیچ نهادی بدون مجوز قانونی نمی‌تواند افراد را مکلف کند رنگ چشم خودشان را در یک فرم الکترونیکی یا کاغذی ثبت و پای آن را امضا یا تایید کنند. همین ضوابط مشخص می‌کند چه نهادها و اشخاصی از این محدودیت مستثنی هستند. حالا اگر یک نفر مشاهده خودش از رنگ چشم فرد دیگری را در یک فرم ثبت کند، بدون آنکه صاحب چشم آن را تایید کرده باشد روال آن کاملا متفاوت می‌شود. می‌بینید که چقدر این موضوع می‌تواند پیچیده باشد.

دومین موضوعی که قانون باید مشخص کند نقش‌ها و مسوولیت‌هاست. به‌طور کلی سه نقش اصلی را می‌شود تعریف کرد که مالک داده، نگهدارنده داده و شخص دارای دسترسی به داده است. مالک داده کسی است که داده متعلق به اوست یعنی مثلا مالک داده‌های مربوط به سلامت یک نفر خود آن فرد است. شاید تشخیص مالک داده ساده به نظر برسد؛ ولی همیشه این‌طور نیست مثلا به راحتی نمی‌شود گفت اگر داده‌ای پردازش شد و ماهیت جدیدی پیدا کرد، مالک آن کیست. داده‌های حساب بانکی یک مشتری قطعا متعلق به آن مشتری است؛ ولی اگر بانک با الگوریتم خاصی این داده‌ها را پردازش و اعتبار مالی آن مشتری را تعیین کرد، احتمالا این داده جدید به بانک تعلق دارد.

دومین نقشی که در فرآیند مدیریت داده وجود دارد، نگهدارنده داده‌ است. خیلی از سازمان‌ها داده‌های متنوعی را نگهداری می‌کنند که مالک آن نیستند. مثلا اطلاعات علائق و ترجیحات کاربر یک اپلیکیشن پخش موسیقی متعلق به خود آن کاربر است؛ ولی روی پایگاه داده آن اپلیکیشن نگهداری می‌شود یا اطلاعات اظهارنامه مالیاتی یک شرکت متعلق به خود آن شرکت است؛ ولی روی سامانه اداره مالیات نگهداری می‌شود. قانون باید بین این دو نقش تمایز قائل شود و مسوولیت هر نقش را تعیین می‌کند. مثلا نگهدارنده داده باید دقیقا معلوم کند چه داده‌ای از فرد را برای چه کاربردی و تا چه زمانی نگهداری می‌کند و تحت چه ضوابطی آن را در اختیار اشخاص ثالث قرار می‌دهد.

یکی از حقوق مالک داده، حق امحا است. کاربر حق دارد از نگهدارنده داده بخواهد داده شخصی او را از روی سامانه‌های خود پاک کند. مثلا اگر شما یک اپلیکیشن را از روی گوشی خود پاک کنید حق دارید که از آن اپلیکیشن بخواهید تاریخچه کاربری شما را هم پاک کند. البته ممکن است اگر بعدا دوباره آن اپلیکیشن را نصب کنید به آن تاریخچه دسترسی نداشته باشید و همه شخصی‌سازی‌هایی که خاص شما روی آن اپلیکیشن وجود داشته از بین برود؛ ولی این تصمیم شماست. در عین حال قانون برای برخی داده‌ها که ممکن است در فرآیندهای قضایی و حقوقی کاربرد داشته باشند زمان معینی برای نگهداری تعیین می‌کند. مثلا به بانک‌ها تکلیف می‌کند داده تراکنش‌های مشتریان را تا زمان مشخصی بعد از بستن حساب هم نگهداری کنند که اگر جرمی رخ داده بود و نیاز به تحقیقات قضایی بود این داده‌ها در دسترس باشند. این را هم قانون تعیین می‌کند.

سومین نقش به شخص ثالثی اشاره دارد که اگرچه مالک یا نگهدارنده داده نیست، اما دارای دسترسی به آن داده است. این دسترسی می‌تواند با اجازه یا بدون اجازه مالک داده باشد. شما می‌توانید به بانک (یعنی نگهدارنده داده‌های محرمانه شما) اجازه بدهید تا دسترسی یک موسسه اعتبارسنجی به اطلاعات بانکی شما را فراهم کند. این نوع دسترسی‌ها در دنیای دیجیتال بسیار رایج و مطلوب است؛ چون به توسعه خدمات و نوآوری کمک می‌کند. حتی در بعضی کشورها به موسسات و شرکت‌ها تکلیف می‌شود اجازه دسترسی شخص ثالث با تایید مالک داده را حتما فراهم کنند. مثلا ضوابط PSD۲ در اتحادیه اروپا همه بانک‌ها و موسسات مالی و فین‌تک‌ها فعال در کشورهای عضو اتحادیه را مکلف کرده این امکان را به کاربران خود بدهند که اگر خواستند به اشخاص ثالث دسترسی به اطلاعات بانکی و پرداختی بدهند این امکان را داشته باشند. به این فرآیند بانکداری باز می‌گویند که این روزها یکی از ابرروندهای توسعه صنعت بانکی در جهان است.

در عین حال قانون ممکن است به اشخاص معینی اجازه دسترسی به داده‌ها را بدون اجازه مالک بدهد. مثلا قانون مشخص می‌کند که ادارات مالیاتی یا پلیس یا دادگاه می‌توانند حتی بدون اجازه فرد به اطلاعات او دسترسی داشته‌باشند. اما در همه کشورها این نوع دسترسی بسیار کنترل‌شده و محدود است. مثلا در آمریکا دسترسی ادارات مالیاتی به داده‌های شخصی کاربر که خودش اظهار نکرده فقط با حکم قاضی شدنی است و اداره مالیات نمی‌تواند مستقیما به بانک نامه بزند و اطلاعات شخص را بخواهد، بلکه باید قاضی را متقاعد کند که دسترسی به این داده در فرآیند رسیدگی مالیاتی ضرورت دارد و فرد هم در خوداظهاری آن کوتاهی یا تخلف کرده است.

نکته بسیار مهمی که در قوانین حمایت از حریم شخصی و محرمانگی داده در کشورهای مختلف وجود دارد، جرم‌انگاری کوتاهی در حفاظت از داده‌هاست. یعنی مثلا اگر داده متعلق به یک فرد که در پایگاه داده یک شرکت خصوصی نگهداری می‌شده به‌دلیل کوتاهی آن شرکت افشا شود هم خود مالک داده امکان شکایت و طلب خسارت دارد و هم نهادهای ناظر می‌توانند از آن شرکت شکایت کنند. به همین دلیل اغلب شرکت‌ها و موسسات خصوصی و دولتی اصلا تمایلی به نگهداری داده غیرضروری ندارند؛ چون مسوولیت آنها را افزایش می‌دهد و ممکن است بعدا برایشان دردسر شود. این را مقایسه کنید با ایران که هر کسی هر اطلاعاتی را که دلش می‌خواهد، می‌گیرد. در همین مثال مالیات که بالاتر اشاره شد چند سالی است که سازمان امور مالیاتی ایران بانک‌ها را مکلف کرده است همه اطلاعات مشتریانی را که بالاتر از مبلغ مشخصی موجودی داشته‌اند، برای ادارات مالیاتی بفرستند شاید روزی روزگاری به کارشان بیاید! واضح است که سازمان امور مالیاتی ما تفاوت نگهداری داده با دسترسی به داده را درک نکرده و چون قانون هم مسوولیتی بابت سهل‌انگاری در نگهداری این اطلاعات متوجهش نکرده است، ترجیح می‌دهد تا جای ممکن اطلاعات گردآوری کند. اما در اغلب کشورهای دنیا نهادهای عمومی تلاش می‌کنند تا جای ممکن داده غیرضروری جمع نکنند که مسوولیتی هم برعهده‌شان نباشد؛ اما در ایران نهادهای عمومی معمولا شهوت گردآوری داده‌ دارند.

دو نکته مهم دیگر را هم باید در نظر داشت. نکته اول اینکه اساسا تمرکز در نگهداری داده خطرناک است. در اغلب کشورهای دنیا تلاش می‌شود تا جای ممکن همه داده‌ها در یک نهاد نگهداری نشوند که اگر آن نهاد هک شد همه چیز منتشرنشده و همه سرویس‌ها از کار نیفتند؛ اما در ایران برعکس است. همه دوست دارند در خودشان تمرکز ایجاد کنند. بانک مرکزی دوست دارد همه داده‌های حساب‌ها و پرداخت‌ها را در شرکت‌های زیرمجموعه خودش تجمیع کند. بیمه مرکزی هم همین کار را می‌کند. تامین اجتماعی و پلیس و ثبت‌احوال و مابقی هم دوست دارند همه داده‌ها را درون خود نگهداری کنند. این تمرکز فقط کار هکرها را ساده می‌کند. به‌ویژه که هم کیفیت کارکنان این سازمان‌ها افت کرده و هم محدودیت‌های بودجه‌ای باعث شده است سرمایه‌گذاری کافی در زیرساخت‌های امنیتی این سازمان‌ها انجام نشود.

نکته دوم که شاید مهم‌ترین نکته در این بحث باشد، مساله اعتماد است. بخش مهمی از مردم اعتمادی به نهادها در رعایت حریم شخصی ندارند و حس می‌کنند وقتی «برادر بزرگ» همه داده‌ها را دارد و از آن برای محدود کردن و کنترل ما استفاده می‌کند دیگر چرا باید روی بقیه موسسات و نهادها حساس بود. این بی‌اعتمادی باعث شده حساسیت مردم و طبعا شرکت‌ها و نهادها اعم از خصوصی و دولتی به مساله محرمانگی داده کم باشد. در چنین شرایطی صحبت کردن از قانون حفاظت از حریم شخصی شاید فانتزی به نظر برسد؛ ولی بدون تردید فقدان این قانون هزینه‌هایی به مراتب بیشتر دارد و توسعه اقتصاد دیجیتال در ایران بدون‌ آن شدنی نیست. (دنیای اقتصاد)