قانون صیانت از دادههای شخصی لازم ولی ناکافی
تاریخ : 1401/04/26
گزیده جستار: امنیت سایبری درست مانند هر مسئله استراتژیک با اثرات فراگیر دیگر، باید از طریق همکاریهای گسترده بین تمامی بازیگران ارتقا پیدا کند؛ به این معنا که مقابله با چالش یادشده صرفاً از عهده یکنهاد، شرکت و برنمیآید.
اين نوشتار در تاريخ بیستوپنجم تیرماه ۱۴۰1 در هفتهنامه تجارت فردا منتشر شده است.
قانون صیانت از دادههای شخصی لازم ولی ناکافی
در ۹ ماهه ابتدای 2021، موارد گزارششده در مورد نفوذ به سیستمها، از رقم مربوط بهکل سال ۲۰۲۰ عبور کرد. در سال ۲۰۲۰، موارد حملات سایبری رکورد زده بود. در سال 2021، بیش از ۲۸۱ میلیون نفر تحت تأثیر حملات گوناگون سایبری قرار گرفتند و هزینه این حملات برای شرکتها ۸/ ۱ میلیون دلار در هر دقیقه بود. این ارقام نگرانکننده، بهروشنی فراگیر بودن تأثیر ریسکهای سایبری را نشان میدهد (ایزاک کوهن، فوربس).
کسبوکارهای کوچک و متوسط هم باید بدانند که درست بهاندازه کسبوکارهای بزرگ، در معرض حملات سایبری قرار دارند در یک تحقیق مشخص شد، ۴۳درصد حملات سایبری به کسبوکارهای کوچک انجام میشود و ۶۰درصد این کسبوکارها، ۶ ماه پس از حمله سایبری مجبور میشوند، به فعالیت خود پایان دهند؛ زیرا قادر نیستند، تبعات این حملات را از سر بگذرانند (برندون پیترسون، ونچر برن).
در حوزه امنیت سایبری پنج چالش اصلی قابلتشخیص است: (1) پیچیدگیهای حفاظت از امنیت سایبری در حال افزایش است. (2) مقررات این حوزه غیر یکپارچه و پیچیده است. (3) اجرای این مقررات در وابستگی به دیگر طرفهاست. (4) در حوزه امنیت سایبری کمبود متخصص است. (5) ردگیری مجرمان سایبری دشوار است. ارتکاب جرم سایبری، پاداشهای بزرگ و ریسکهای محدود دارد. تا همین اواخر احتمال شناسایی و مجازات این مجرمان در آمریکا ۰۵/ ۰ درصد بود. در بسیاری از کشورهای دیگر، احتمال یادشده از این مقدار هم کمتر است. حتی هنگامیکه فعالیت مجرمانه از طریق روشهایی نظیر تاکتیک «وب تاریک» (Dark Web) پنهان نمیشود، اثبات اینکه اقدامی خاص از سوی یک بازیگر این حوزه انجام شده بسیار دشوار است. جرم سایبری یک مدل تجاری رو به رشد است (آلگیرد پیپیکایت، اجلاس جهانی اقتصاد).
1) وضعیت در چین و اتحادیۀ اروپا
چین «قانون حفاظت از حریم اطلاعات شخصی» را از یکم نوامبر ۲۰۲۱ اجرایی کرد. چین، شرکتهای فناوری بزرگ خود را ملزم کرده تا اطلاعات کاربران را بهتر ذخیره کنند. علاوه بر آن باید دستورالعملی برای تضمین حفاظت از اطلاعات هنگام انتقال آنها به خارج از کشور ایجاد شود. شرکتهایی که اطلاعات خصوصی کاربران را در اختیار دارند باید افرادی را بهعنوان مسئول حفاظت از اطلاعات تعیین کنند. همچنین باید فردی تعیین شود تا بهطور دورهای تحقیقاتی انجام دهد و همخوانی شرکتها با قوانین را بررسی کند. «قانون امنیت داده» نیز از یکم سپتامبر ۲۰۲۱ میلادی اجرا شد. این قانون چارچوبی برای شرکتها تعیین میکند تا دادهها را بر اساس ارزش اقتصادی و ارتباط آن با امنیت ملی کشور طبقهبندی کنند. این دو قانون دو بخش مهم از تلاش دولت چین برای نظارت بر اینترنت در آینده هستند.
مقررات عمومی حفاظت از دادهها (General Data Protection Regulation) اتحادیۀ اروپا به هفت حوزه اصلی شفافیت، محدودیت، جمعآوری حداقل اطلاعات، دقت، ذخیرهسازی، یکپارچهسازی و مسئولیتپذیری اشاره دارند. اجرایی شدن هر یک از این اصول میتواند ریسک نشت اطلاعات را تا حد قابلتوجهی کاهش دهد. هرچند این قوانین توسط اتحادیه اروپا تصویبشده است؛ اما هر شرکتی در هر نقطه از جهان که بهنوعی اطلاعات اروپاییان را پردازش کند، ملزم به رعایت این قوانین است. ضمانت اجرایی چنین قانونی، جریمه تا ۴ درصد از گردش مالی سال قبل شرکتهایی است که با هر نوعی از نشت اطلاعات مشتریان خود روبهرو میشوند و در صورت وقوع رخدادی امنیتی، بیشترین میزان از این جریمه اعمال خواهد شد.
2) وضعیت در ایران
در ایران وضعیت چنان مشخص نیست. در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده که حق شهروندان است که از امنیت سایبری و فناوریهای ارتباطی و اطلاعرسانی، حفاظت از دادههای شخصی و حریم خصوصی برخوردار باشند.
پیشازاین هم در قانون تجارت الکترونیکی چندین ماده در خصوص حفاظت از دادهها و اسرار تجاری آورده شده که فاش شدن دادهها و اسرار تجاری را جرم انگاری کرده است.
بهصورت کلی هم به موجب قانون مسئولیت مدنی، اگر سهلانگاری و اهمال یا عدم رعایت استانداردها به شهروندان خسارتی وارد کند، باید میزان مشخص و خسارت پرداخت گردد.
در دولت دوم جناب روحانی نیز «لایحه صیانت از دادههای شخصی» توسط سازمان فناوری اطلاعات کشور رونمایی شد که هنوز از وزارت ارتباطات و فناوری جهت بررسی بیشتر به دولت و سپس ارسال به مجلس خارج نگردیده است. هدف اصلی این لایحه، صیانت از حیثیت و کرامت اشخاص موضوع دادههاست که شامل تبیین حقوق اشخاص موضوع دادهها، بهویژه در تعامل با سایر حقهای مشروع، ضابطهمندی فرایند پردازش دادههای شخصی، مسئولیتپذیری پردازش، همافزایی امور تنظیمی و نظارتی پردازش و جبرانپذیری زیانها و آسیبهای پردازش است.
ختم کلام
در سال ۲۰۱۸ متوسط باجی که از سوی هکرها درخواست میشد، تنها ۷هزار دلار بود و تنها دو سال بعد، این رقم به بیش از ۲۰۰هزار دلار افزایش یافت (ایزاک کوهن، فوربس).
تهدیدهای امنیت سایبری ریسکهایی نیستند که به یک کشور محدود باشند و یا مرزهای کشورها مانعی در برابر آنها محسوب گردد. همین سبب میگردد سازمانها مجبور باشند با چند سیستم پیچیده قوانین و مقررات سازگار شوند و گاه محتوای این قوانین تناقضهایی دارد. بدون شک مقررات در حوزه حفظ حریم خصوصی و حفاظت از دادهها ضروری است؛ اما اگر این مقررات، پیچیده، غیر یکپارچه و متناقض باشد، شرکتها در اجرای آنها دچار مشکلات مختلف خواهند شد و هزینههای آنها بالا میرود. رعایت این مقررات گاه از توان مالی شرکتها خارج است و گاه به همین دلیل، اقدامات حفاظتی ضروری انجام نمیشود. در این حالت سازوکارهای دفاعی در برابر حملات تضعیف میشود. سیاستمداران باید هنگام تدوین مقررات و تصمیمگیری به این موضوع توجه کنند. سیاستها باید طوری تنظیم شود که از پیچیدگیهای قانونی بکاهد و سیستمهای حفاظتی را ارتقا دهد. همین امر همکاری بین نهادهای قانونگذار و تصمیمگیر ضروری میسازد.
سازمانها در اکوسیستمهایی فعالیت میکنند که گستردهتر و پرابهامتر از حدی است که تصور میشود. پیشبینیشده در سال 2021 به دلیل تداوم روندهایی نظیر اینترنت اشیا، شبکه نسل پنجم اینترنت و سیستمهای هوشمند، تعداد ابزارهای متصل به اینترنت در جهان از ۲۷ میلیارد دستگاه عبور خواهد کرد. تعداد زیاد ارائهکنندگان فناوری در جهان، نقاط نفوذ متعدد برای مجرمان سایبری در کل زنجیره عرضه دیجیتال پدید میآورد. باید به این نکته توجه داشت که قدرت یک اکوسیستم، بهاندازه ضعیفترین اتصال آن است.
نتیجه آنکه امنیت سایبری درست مانند هر مسئله استراتژیک با اثرات فراگیر دیگر، باید از طریق همکاریهای گسترده بین تمامی بازیگران ارتقا پیدا کند؛ به این معنا که مقابله با چالش یادشده صرفاً از عهده یکنهاد، شرکت و برنمیآید. به همین دلیل است که در موافقتنامه تشکیل بزرگترین گروه تجارت آزاد جهان؛ «گروه همکاریهای اقتصادی جامع منطقهای» (RCEP)، کشورهای عضو متعهد به همکاری و تبادل اطلاعات در مورد ارائه بهترین روشهای مقابله با حوادث امنیت سایبری و ایجاد ظرفیت مقامات برای پاسخگویی شدهاند.
بنابر استدلال فوق، قانونگذاری ملی صِرف در رابطه با امنیت سایبری و صیانت از دادههای اشخاص لازم ولی ناکافی است. به همین جهت است که در آییننامه «حمایت حقوقی از فعالیت پیامرسانهای داخلی» مصوب رئیس محترم قوه قضائیه مورخ فروردین 1397 اگرچه مدیران پیامرسانهای اجتماعی مسئول حفاظت از اطلاعات کاربران خود میباشند و نمیتوانند بدون رضایت کاربر یا الزامات قانونی، اطلاعات خصوصی اشخاص را ذخیره، پردازش، افشا یا منتشر نمایند و یا در دسترس دیگران قرار دهند؛ ولی با بهکارگیری تمهیدات حفاظتی و امنیتی مناسب «صرفاً» موظف شدهاند از دسترسی به این اطلاعات ممانعت به عملآورند و ضمانت اجرای مشخصی برای عواقب افشا یا انتشار اطلاعات خصوصی اشخاص نزد پیامرسانهای داخلی تبیین نگردیده است.