12 دی 1402

آیا می‌توان بخاطر نشت اطلاعات شخصی از پلتفرم‌ها شکایت کرد؟

به گزارش داتیکا، بعد از خبر هک شدن اسنپ فود و اعلام هکر برای به فروش گذاشتن اطلاعات کاربران و تعیین قیمت برای این اطلاعات، برای بسیاری از افراد این سوال به وجود آمد که موضع مرجع قانونی درباره نشت اطلاعات چیست. کارشناسان حقوقی در این باره نظرات متفاوتی دارند؛ برخی باور دارند افراد حقیقی امکان شکایت دارند و برخی دیگر معتقدند شکایت باید از سوی سازمان‌ها صورت بگیرد اما در هر صورت به نظر می‌رسد قانون راه را برای شکایت باز گذاشته است.

با توجه به رشد اقتصاد دیجیتال باید سازمان‌ها و وزارت‌خانه‌ها جدیت بیشتری در مباحث امنیتی و پدافند غیرعامل داشته باشند. مگاپلتفرم‌ها یا سوپراپلیکیشن‌ها باید در برابر داده‌هایی که از مردم تجمیع می‌شوند مسئول باشند و این داده‌ها از یک امنیت معقولی برخوردار باشند اما به نظر می‌رسد این کار به درستی انجام نمی‌شود.

از آنسو یادآور می شود اطلاعاتی که از مردم جمع‌آوری می‌شود هم باید اندازه‌ای داشته باشد اما به نظر می‌رسد اطلاعاتی که از کاربران جمع می‌شود به صورت مازاد است و نگهداشت آن‌ها توجیهی ندارد. وجود این اطلاعات بیش از اندازه سبب می‌شود هکرها علاقه پیدا کنند داده‌ها را جمع کنند و در معرض فروش قرار دهند.

مطابق ماده 58 قانون تجارت الکترونیکی؛ « ذخیره و پردازش داده‌های شخصی مطلقاً ممنوع است» اما متاسفانه این بار اول نیست که هک سامانه‌های بومی در این چند سال اخیر اتفاق می‌افتد و در این رابطه پیگیری از سمت مدعی‌العموم یا دادستانی هم انجام نشده است.

فقر فهم عمومی در زمینه امنیت اطلاعات

«محمد جعفر نعناکار»، کارشناس حقوق فناوری، در رابطه با چرایی شکایت نکردن مردم بعد از وقوع حملات سایبری و لو رفتن اطلاعاتشان به دیجیاتو گفت: «یکی از دلایل این رخداد می‌تواند عدم آگاهی افراد و شرکت‌های خصوصی از حقوقشان باشد و ما با یک فقر فهم عمومی در این حوزه مواجه هستیم.»

فقر اطلاعات در این حوزه و عدم‌ دغدغه مندی بعضی از کاربران ایرانی درباره موضوعات امنیتی در بخش‌هایی از زندگی روزمره مثل بلند گفتن رمز کارت اعتباری در هنگام خرید هم نمایان است. در این رابطه «رضا ایازی»، پژوهشگر حقوق فناوری، گفت: «درست است در ایران امکان پیگیری برای نشت اطلاعات از سمت مردم به علت نبودن قانون در این زمینه وجود ندارد اما در ایران بحث فرهنگی هم مهم است و کسی بحث نشت اطلاعات را جدی نمی‌گیرد اما اگر در اروپا این اتفاق می‌افتاد هر یک از شهروندان امکان شکایت داشتند در نتیجه آن شرکت در وضعیت خطرناکی قرار می‌گرفت.»

اسرار تجاری و امکان شکایت سازمانی

بر اساس ماده 65 قانون تجارت الکترونیک که مربوط به اسرار تجاری است؛ اطلاعات مشتریان نیز جزو اسرار تجاری محسوب می‌شود. در این زمینه انتشار و هک داده‌ها از دو جنبه می‌تواند مورد بررسی قرار بگیرد؛ اول از سمت مشتریان که داده‌هایشان در معرض خطر قرار گرفته و دوم از سوی پلتفرم‌ها و شخصیت‌های تجاری که این داده‌ها را در دسترس دارند. به طور کلی، شرکت‌ها بیشتر می‌توانند بعد از نشت اطلاعات مدعی حقوق خود باشند زیرا داده‌هایشان حالت سازمانی دارد.

نعناکار در این باره گفت: « در هر دو صورت اگر این داده‌ها منتشر شوند؛ جرم اتفاق افتاده است. حجم هک و خروج داده وقتی زیاد است مدعی‌العموم باید ورود پیدا کند و اعلام جرم کند و پیگیر مسئله باشد. درواقع دادستانی در این مواقع می‌تواند به موضوع وارد شده و ماجرا را پیگیری کند. در همین رابطه بر اساس ماده 78 قانون تجارت الکترونیک نیز اگر داده ها بر اساس نقض و ضعف سیستم‌ها منتشر شوند، بخش‌های خصوصی و دولتی باید جبران خسارت انجام دهند. مجموعه این قوانین سبب می‌شود که ما متوقع باشیم مردان قانون ورود پیدا کنند و موضوع را حل و فصل کنند.»

ایازی درباره امکان پیگیری سازمانی گفت: «مجازات قانونی برای این شرکت‌ها متخلف تعریف نشده است اما امکان پیگیری از سمت نظام‌های اتحادیه‌ای وجود دارد مثلا از سمت اینماد، اتحادیه کسب و کارهای فضای مجازی و نظام صنفی می‌تواند با عنوان تخلف از تعهدات امکان پیگیری و ادعای حقوق وجود دارد.»

ایازی در رابطه با هک اسنپ‌فود نیز گفت: «درباره هک اسنپ‌فود نیز چندین موضوع وجود دارد که باید تفکیک شود و دو دسته اطلاعات باید از هم جدا شوند؛ یک دسته اطلاعات مربوط به افراد و یک دسته اطلاعات مربوط به سازمان‌ها هستند. اگر اطلاعات هک شده مربوط به اشخاص حقیقی باشد متاسفانه قانون ما هنوز حمایتی نمی‌کند اما قرار است لایحه‌ای تحت عنوان «حفاظت از اطلاعات» به تصویب برسد.»

درباره اطلاعات مربوط به شرکت‌ها، اگر سازمان شکایت کند که اطلاعات افراد سازمان به عنوان اسرار محرمانه تلقی شده که باید بر اساس قانون تجارت الکترونیک مورد پیگیری قرار بگیرد. ایازی تاکید دارد اگر به عنوان مثال با پردازش اطلاعات از یک سازمان، مشخصاتی محرمانه درباره کارمندان آن به دست آورد سازمان می‌تواند از شرکت شکایت کند که اسرار تجاری افشا شده است.او امکان پیگیری و ثبت شکایت را فقط در صورت قرار گرفتن زیر عنوان داده‌ها به صورت سازمانی می‌داند.

اگر از سوی مقام حفاظت از داده اروپا برای سازمانی مجوز صادر شود و مدتی بعد اطلاعات نشت پیدا کند و مشخص شود مقصر این نشت اطلاعات،خود آن سازمان است؛ جرایم سنگینی در پی خواهد داشت. برای فهم اهمیت این موضوع می‌توان به این نکته اشاره کرد که سال گذشته، میزان جرایم پرداختی شرکت‌های فناوری اطلاعات که برای نشت اطلاعات محکوم شدند از بودجه کشور آلمان بیشتر بود.

گواهی امنیت پلتفرم‌ها

متولیانی مثل «افتا»، «پدافند غیرعامل» و «سازمان فناوری اطلاعات ایران» در این حوزه هستند که باید گواهی امنیت پلتفرم‌ها را تایید و صادر کنند اما بسیاری از پلتفرم‌های بومی به دنبال گرفتن این گواهی‌ها نمی‌روند یا در زمان صدوراین گواهی‌ها کارشان را به درستی انجام نمی‌دهند.

نعناکار در رابطه با سازمان‌های ارائه‌دهنده گواهی امنیت می‌گوید: «البته این سازمان‌ها هم معاونتی دارند و اگر به نظر برسد که نقصی به وجود آمده و به اصطلاح حقوقی ترک فعل صورت گرفته است و سازمان هم از یکی از همین نهادهای ذی‌ربط نامه‌ای دارد باید این سازمان‌ها مورد مواخذه و پرسش قرار بگیرند.»

نیاز به ورود مدعی‌العموم

دولت و دادستانی، باید در رابطه با نشر اطلاعات عموم مردم ورود کند و مدعی‌العموم شود زیرا در این جا حقوق عامه مردم تضییع شده است. نعناکار در رابطه با نیاز به ورود دادستانی گفت: «در این موضوع اخیر باید دادستانی ورود پیدا کند و اگر ورود پیدا نکرد هم هریک از افرادی که داده‌شان در بستر اینترنتی به صورت غیرمجاز منتشر شده است می‌تواند به مرجع قضایی مراجعه کند و شکایت ثبت کند و مراجع هم مطابق قانون ملزم به رسیدگی هستند.»

تصویب لایحه حفاظت از داده‌ها مجازی

از رضا ایازی درباره لایحه حفاظت از داده‌های مجازی پرسیدیم؛ لایحه‌ای که از سال‌ها پیش دائم بین دولت و مجلس می‌چرخد و سرنوشت نامعلومی دارد. او معتقد است به احتمال زیاد این لایحه تصویب نخواهد شد و ادامه داد: «من پیش بینی می‌کنم پرونده این لایحه که از سال 95 باز است در نهایت تصویب نمی‌شود و اگر بشود هم آن حمایت‌های قانونی که امروز مدنظر ما است را پوشش نمی‌دهد زیرا ساختارهای اداری و قضایی ما نسبت به این قضیه به نحوی است که اگربخواهیم این لایحه به تصویب برسد باید چیزی شبیه GDPR اروپا داشته باشیم.»

او در ادامه افزود: «می‌دانیم در حال حاضر بعضی از اطلاعات اپلیکیشن‌ها می‌تواند توسط نهاد انتظامی رصد شود اما اگر قرار باشد لایحه حفاظت داده تصویب شود این فرآیند نیز دچار مشکل می‌شود. سیاست نظارت فضای مجازی در ایرانربیشتر از اینکه به نفع کسب و کار باشد به نفع منافع ملی و عمومی است و به خاطر همین پلتفرم‌ها برای زیاد بودن جرایم در فضای مجازی اصرار به رصد کردن این فضا و سوار بودن بر دیتا را دارند.»

نکته دیگر تداخل چند قانون با هم در صورت تصویب این لایحه است؛ ایازی در این رابطه گفت: « برای مثال در پیش نویس قانون جرائم رایانه‌ای جدید (که هنوز به انتشار عمومی نرسیده است) آمده است؛ شما داده‌ها را فقط می‌توانید به مقام مجاز واگذار کنید اما مشکل اینجا است که مقام مجاز، نهادها و افراد مختلفی می‌تواند باشد.»

به نظر می‌رسد که کاربران فضای مجازی باید بیشتر از حقوق خود آگاه باشند و بی‌تفاوتی را نسبت به نشت اطلاعات شخصی خود کنار بگذارند. با اینکه نقص قوانین در این حوزه به چشم می‌خورد اما با قوانین حاکم فعلی نیز امکان پیگیری حقوقی تا حد زیادی وجود دارد.

منبع: دیجاتو