بعد از خبر هک شدن اسنپ فود و اعلام هکر برای به فروش گذاشتن اطلاعات کاربران و تعیین قیمت برای این اطلاعات، برای بسیاری از افراد این سوال به وجود آمد که موضع مرجع قانونی درباره نشت اطلاعات چیست. کارشناسان حقوقی در این باره نظرات متفاوتی دارند؛ برخی باور دارند افراد حقیقی امکان شکایت دارند و برخی دیگر معتقدند شکایت باید از سوی سازمانها صورت بگیرد اما در هر صورت به نظر میرسد قانون راه را برای شکایت باز گذاشته است.
با توجه به رشد اقتصاد دیجیتال باید سازمانها و وزارتخانهها جدیت بیشتری در مباحث امنیتی و پدافند غیرعامل داشته باشند. مگاپلتفرمها یا سوپراپلیکیشنها باید در برابر دادههایی که از مردم تجمیع میشوند مسئول باشند و این دادهها از یک امنیت معقولی برخوردار باشند اما به نظر میرسد این کار به درستی انجام نمیشود.
از آنسو یادآور می شود اطلاعاتی که از مردم جمعآوری میشود هم باید اندازهای داشته باشد اما به نظر میرسد اطلاعاتی که از کاربران جمع میشود به صورت مازاد است و نگهداشت آنها توجیهی ندارد. وجود این اطلاعات بیش از اندازه سبب میشود هکرها علاقه پیدا کنند دادهها را جمع کنند و در معرض فروش قرار دهند.
مطابق ماده 58 قانون تجارت الکترونیکی؛ « ذخیره و پردازش دادههای شخصی مطلقاً ممنوع است» اما متاسفانه این بار اول نیست که هک سامانههای بومی در این چند سال اخیر اتفاق میافتد و در این رابطه پیگیری از سمت مدعیالعموم یا دادستانی هم انجام نشده است.
«محمد جعفر نعناکار»، کارشناس حقوق فناوری، در رابطه با چرایی شکایت نکردن مردم بعد از وقوع حملات سایبری و لو رفتن اطلاعاتشان به دیجیاتو گفت: «یکی از دلایل این رخداد میتواند عدم آگاهی افراد و شرکتهای خصوصی از حقوقشان باشد و ما با یک فقر فهم عمومی در این حوزه مواجه هستیم.»
فقر اطلاعات در این حوزه و عدم دغدغه مندی بعضی از کاربران ایرانی درباره موضوعات امنیتی در بخشهایی از زندگی روزمره مثل بلند گفتن رمز کارت اعتباری در هنگام خرید هم نمایان است. در این رابطه «رضا ایازی»، پژوهشگر حقوق فناوری، گفت: «درست است در ایران امکان پیگیری برای نشت اطلاعات از سمت مردم به علت نبودن قانون در این زمینه وجود ندارد اما در ایران بحث فرهنگی هم مهم است و کسی بحث نشت اطلاعات را جدی نمیگیرد اما اگر در اروپا این اتفاق میافتاد هر یک از شهروندان امکان شکایت داشتند در نتیجه آن شرکت در وضعیت خطرناکی قرار میگرفت.»
بر اساس ماده 65 قانون تجارت الکترونیک که مربوط به اسرار تجاری است؛ اطلاعات مشتریان نیز جزو اسرار تجاری محسوب میشود. در این زمینه انتشار و هک دادهها از دو جنبه میتواند مورد بررسی قرار بگیرد؛ اول از سمت مشتریان که دادههایشان در معرض خطر قرار گرفته و دوم از سوی پلتفرمها و شخصیتهای تجاری که این دادهها را در دسترس دارند. به طور کلی، شرکتها بیشتر میتوانند بعد از نشت اطلاعات مدعی حقوق خود باشند زیرا دادههایشان حالت سازمانی دارد.
نعناکار در این باره گفت: « در هر دو صورت اگر این دادهها منتشر شوند؛ جرم اتفاق افتاده است. حجم هک و خروج داده وقتی زیاد است مدعیالعموم باید ورود پیدا کند و اعلام جرم کند و پیگیر مسئله باشد. درواقع دادستانی در این مواقع میتواند به موضوع وارد شده و ماجرا را پیگیری کند. در همین رابطه بر اساس ماده 78 قانون تجارت الکترونیک نیز اگر داده ها بر اساس نقض و ضعف سیستمها منتشر شوند، بخشهای خصوصی و دولتی باید جبران خسارت انجام دهند. مجموعه این قوانین سبب میشود که ما متوقع باشیم مردان قانون ورود پیدا کنند و موضوع را حل و فصل کنند.»
ایازی درباره امکان پیگیری سازمانی به دیجیاتو گفت: «مجازات قانونی برای این شرکتها متخلف تعریف نشده است اما امکان پیگیری از سمت نظامهای اتحادیهای وجود دارد مثلا از سمت اینماد، اتحادیه کسب و کارهای فضای مجازی و نظام صنفی میتواند با عنوان تخلف از تعهدات امکان پیگیری و ادعای حقوق وجود دارد.»
ایازی در رابطه با هک اسنپفود نیز گفت: «درباره هک اسنپفود نیز چندین موضوع وجود دارد که باید تفکیک شود و دو دسته اطلاعات باید از هم جدا شوند؛ یک دسته اطلاعات مربوط به افراد و یک دسته اطلاعات مربوط به سازمانها هستند. اگر اطلاعات هک شده مربوط به اشخاص حقیقی باشد متاسفانه قانون ما هنوز حمایتی نمیکند اما قرار است لایحهای تحت عنوان «حفاظت از اطلاعات» به تصویب برسد.»
درباره اطلاعات مربوط به شرکتها، اگر سازمان شکایت کند که اطلاعات افراد سازمان به عنوان اسرار محرمانه تلقی شده که باید بر اساس قانون تجارت الکترونیک مورد پیگیری قرار بگیرد. ایازی تاکید دارد اگر به عنوان مثال با پردازش اطلاعات از یک سازمان، مشخصاتی محرمانه درباره کارمندان آن به دست آورد سازمان میتواند از شرکت شکایت کند که اسرار تجاری افشا شده است.او امکان پیگیری و ثبت شکایت را فقط در صورت قرار گرفتن زیر عنوان دادهها به صورت سازمانی میداند.
اگر از سوی مقام حفاظت از داده اروپا برای سازمانی مجوز صادر شود و مدتی بعد اطلاعات نشت پیدا کند و مشخص شود مقصر این نشت اطلاعات،خود آن سازمان است؛ جرایم سنگینی در پی خواهد داشت. برای فهم اهمیت این موضوع میتوان به این نکته اشاره کرد که سال گذشته، میزان جرایم پرداختی شرکتهای فناوری اطلاعات که برای نشت اطلاعات محکوم شدند از بودجه کشور آلمان بیشتر بود.
متولیانی مثل «افتا»، «پدافند غیرعامل» و «سازمان فناوری اطلاعات ایران» در این حوزه هستند که باید گواهی امنیت پلتفرمها را تایید و صادر کنند اما بسیاری از پلتفرمهای بومی به دنبال گرفتن این گواهیها نمیروند یا در زمان صدوراین گواهیها کارشان را به درستی انجام نمیدهند.
نعناکار در رابطه با سازمانهای ارائهدهنده گواهی امنیت میگوید: «البته این سازمانها هم معاونتی دارند و اگر به نظر برسد که نقصی به وجود آمده و به اصطلاح حقوقی ترک فعل صورت گرفته است و سازمان هم از یکی از همین نهادهای ذیربط نامهای دارد باید این سازمانها مورد مواخذه و پرسش قرار بگیرند.»
دولت و دادستانی، باید در رابطه با نشر اطلاعات عموم مردم ورود کند و مدعیالعموم شود زیرا در این جا حقوق عامه مردم تضییع شده است. نعناکار در رابطه با نیاز به ورود دادستانی گفت: «در این موضوع اخیر باید دادستانی ورود پیدا کند و اگر ورود پیدا نکرد هم هریک از افرادی که دادهشان در بستر اینترنتی به صورت غیرمجاز منتشر شده است میتواند به مرجع قضایی مراجعه کند و شکایت ثبت کند و مراجع هم مطابق قانون ملزم به رسیدگی هستند.»
از رضا ایازی درباره لایحه حفاظت از دادههای مجازی پرسیدیم؛ لایحهای که از سالها پیش دائم بین دولت و مجلس میچرخد و سرنوشت نامعلومی دارد. او معتقد است به احتمال زیاد این لایحه تصویب نخواهد شد و ادامه داد: «من پیش بینی میکنم پرونده این لایحه که از سال 95 باز است در نهایت تصویب نمیشود و اگر بشود هم آن حمایتهای قانونی که امروز مدنظر ما است را پوشش نمیدهد زیرا ساختارهای اداری و قضایی ما نسبت به این قضیه به نحوی است که اگربخواهیم این لایحه به تصویب برسد باید چیزی شبیه GDPR اروپا داشته باشیم.»
او در ادامه افزود: «میدانیم در حال حاضر بعضی از اطلاعات اپلیکیشنها میتواند توسط نهاد انتظامی رصد شود اما اگر قرار باشد لایحه حفاظت داده تصویب شود این فرآیند نیز دچار مشکل میشود. سیاست نظارت فضای مجازی در ایرانربیشتر از اینکه به نفع کسب و کار باشد به نفع منافع ملی و عمومی است و به خاطر همین پلتفرمها برای زیاد بودن جرایم در فضای مجازی اصرار به رصد کردن این فضا و سوار بودن بر دیتا را دارند.»
نکته دیگر تداخل چند قانون با هم در صورت تصویب این لایحه است؛ ایازی در این رابطه گفت: « برای مثال در پیش نویس قانون جرائم رایانهای جدید (که هنوز به انتشار عمومی نرسیده است) آمده است؛ شما دادهها را فقط میتوانید به مقام مجاز واگذار کنید اما مشکل اینجا است که مقام مجاز، نهادها و افراد مختلفی میتواند باشد.»
به نظر میرسد که کاربران فضای مجازی باید بیشتر از حقوق خود آگاه باشند و بیتفاوتی را نسبت به نشت اطلاعات شخصی خود کنار بگذارند. با اینکه نقص قوانین در این حوزه به چشم میخورد اما با قوانین حاکم فعلی نیز امکان پیگیری حقوقی تا حد زیادی وجود دارد.