پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
چرا قانونی برای حمایت از داده و کاربر وجود ندارد؟ / اسطوره کارهای پراکنده هستیم
حسام ایپکچی در گفتوگو با راه پرداخت مطرح کرد: «دولت و مجلس لوایح و طرحهای متفاوت و بعضا متناقضی در خصوص حمایت از داده تدوین کردهاند. این درحالی است که باید مطالبه به سمت یک نظام متشکل از آییننامه و مقررات برود و در این باره نقشه حمایت از داده کشور طراحی شود تا در این نقشه قانونها، آییننامهها و نهادها معرفی شوند.»
موضوع احراز هویت الکترونیکی در زمان شیوع ویروس کرونا اهمیت بیشتری پیدا کرد. احراز هویت الکترونیکی آمده تا ما بدون اینکه به جایی مراجعه کنیم، بتوانیم با گرفتن سلفی، ارسال ویدئو یا مدارک هویتی، خود را احراز کنیم. اما مشکل دیگری که در این خصوص وجود دارد، خطر افشای اطلاعات کاربران است که این اتفاق کم رخ نداده است.
ایجاد سازوکار احراز هویت الکترونیکی باعث شده مسیر جدیدی را شکل دهد، اما مهمتر از آن این سوال پیش میآید که در خلا قانونی که برای حمایت از داده وجود دارد، چرا کسبوکارها اطلاعات هویتی کاربران را دریافت میکنند و علاوه بر آن با ذخیره نکردن آنها در محل مناسب، زمینه افشا شدن آن را هم فراهم میکنند؟
حسام ایپکچی، حقوقدان معتقد است که فراتر از ایجاد یک قانون یا تبصره در خصوص حمایت از داده و کاربر باید نظامی تشکیل شود. با طراحی نقشه حمایت از داده کشور، قانونها، آییننامهها و نهادها معرفی میشوند. در غیر این صورت اگر چند تبصره به قانون اضافه کنیم، مطالبه دقیقی صورت نمیگیرد.
ایپکچی در خصوص اینکه کسبوکارها تا چه سطحی می توانند احراز هویت کاربران خود را انجام دهند، گفت: «در آییننامه ذیل ماده ۱۴ قانون مبارزه با پولشویی مصوب سال ۱۳۹۸ بهطور خاص درباره فینتکها، فناوریهای مالی و بانکها تکالیفی درج شده است. اینکه برای مبارزه با پولشویی باید فرایندی را انجام دهند. اما چند نکته را باید از همدیگر تفکیک کنیم. آیا اساساً کسبوکارها باید احراز هویت را انجام دهند یا نباید انجام دهند؟ برای این موضوع اکنون قاعده عامی که وجود دارد و در همه جای دنیا استفاده میشود، موضوع KYC است که باید مشتری خود را بشناسیم. به جز این آییننامهای که ذکر شد مقرره یا قانون دیگری وجود ندارد که کسبوکارها را صراحتا مکلف به اجرای این KYC کند.»
او دلیل اینکه چرا کسبوکارها به سراغ اخذ مدارک هویتی کاربران برای احراز هویت رفتهاند را توضیح داد و گفت: «کسبوکارها در معرض اعمال حاکمیت از جانب قوه قضائیه و دستگاههای امنیتی بودهاند. بنابراین باید جوابگوی کاری باشند که وظیفه آنها نیست. وقتی با یک تقلب روبهرو میشویم نمیتوان گفت که سرویس را فناورانه ارائه داد، اما پایش، نظارت و کنترل به صورت دستی انجام گیرد.
بنابراین وقتی که سیستمهای کشف تقلب و رگتگ در این باره وجود نداشته باشد، تمام بار مسئولیت بر عهده کسی است که سرویس را ارائه میدهد. وقتی این اتفاق میافتد برای اینکه ارائه دهندههای سرویس امکان پاسخگویی داشته باشند، دادهها را جمعآوری میکنند. در اینجا این موضوع مطرح میشود که تا چه حد میتواند داده را جمعآوری کرد و چقدر میتوانیم اطلاعات داشته باشیم که در ازای آن سرویس ارائه دهیم؟ دوم اینکه این اطلاعات را کجا و با چه سیاستی ذخیرهسازی میکنیم. اینجاست که ما حمایت قانونی روشنی نداریم.»
وجود فقر قانونی برای حمایت از دادههای ذخیره شده
بهگفته او قانون حمایت از دادههای شخصی که اکنون در حد لایحه است و باید بدانیم که دادههایی که از اشخاص گرفته میشود تا چه حد قابل ذخیرهسازی است و ذخیرهسازی آن هم باید با قواعد و ضوابطی باشد. همچنین باید بدانیم که چقدر از آن دادهها قابل نشر است. بنابراین دادهها خودش میتواند موضوع یک کسبوکار باشد. اینها مباحث جدی حقوقی است که در نظام قانونی ما به آن پرداخته نشده است. اکنون یک فقر قانونی برای حمایت از دادههای ذخیره شده وجود دارد.
ایپکچی با اشاره به اینکه دادهها در انحصار فرد خاصی نیست و در شبکه جاری است و حیات آن منوط به اتصال در شبکه است، گفت: «وقتیکه با این رویکرد نگاه میکنیم، موضوع حاکمیت داده هم مهم است. در نظامی که حکمرانی آن در خصوص داده مشخص نیست، نمیدانیم که داده چگونه حمایت میشود.»
او توضیح داد که سالها پیش جرایمی که وجود داشت یا علیه اشخاص یا اموال بود. از ۱۰ سال پیش جرایمی به نام جرائم داده بهوجود آمد. یعنی مؤلفه جدیدی در این حوزه اضافه شده است. این مؤلفه جدید حمایت از داده و محل ذخیره مشخصی ندارد.
فراتر از ایجاد قانون به نظام حمایت از داده نیاز داریم
ایپکچی موضوع خلا قانونی حمایت از داده را فراتر از تصویب شدن قانونی درباره آن میداند و توضیح داد: «موضوع تنها تنظیم قانون برای حمایت از داده نیست، بلکه باید نظام حمایت از داده تعریف کنیم که این نظام دارای نهاد، قانون، مقرره و آییننامه، رویه، پلیس و قاضی باشد. یعنی نظامی تشکیل شود که یکی از اجزای آن قانون است. اگر یک نظام تشکیل نشود، حکمران داده مشخص نشود، اما قانونی تصویب شود، اتفاقی نمیافتد. ممکن است که به رگولاتوریهای جدیدی نیاز داشته باشیم و فراتر از تصویب یک کاغذ باشد. بنابراین باید سطح منازعه را بالاتر ببریم و به یک نظام حمایت از داده اعم از قانون برسیم.»
این حقوقدان با بیان اینکه در این خصوص اسطوره کارهای پراکنده هستیم، گفت: «به طور مثال دولت و مجلس لوایح و طرحهای متفاوت و بعضا متناقضی در خصوص حمایت از داده تدوین کردهاند. این درحالی است که باید مطالبه به سمت یک نظام متشکل از آییننامه و مقررات برود و در این باره نقشه حمایت از داده کشور طراحی شود تا در این نقشه قانونها، آییننامهها و نهادها معرفی شوند. در غیر این صورت اگر چند تبصره به قانون اضافه کنیم، مطالبه دقیقی صورت نمیگیرد.»
قانونی برای حمایت از کاربر وجود ندارد
او در خصوص اینکه آیا کاربران میتوانند در خصوص لو رفتن دادههایشان، پیگیری قضایی داشته باشند یا نه، گفت: «اگر داده وارد شده توسط کاربر در یک سامانه در جایی منتشر شود، ظرفیتی برای پیگیری قانونی آن برای کاربر فراهم نکردهایم. اما اگر انتشار داده وقوع جرمی را علیه کاربر تسهیل کرده باشد یا منجر به وقوع خسارتی شود، میتوان پیگیری را انجام داد. این در واقع گره زدن ماجرا به نتیجه انتشار داده است. اما راهکار درست این است که اگر اتفاقی هم نیفتاد و صرفاً اطلاعات کاربر لو رود، او باید قابلیت این را داشته باشد که جلوی این کار را بگیرد.»
نکته دیگری که ایپکچی به آن اشاره کرد بحث مالیت داشتن دادههاست. بهگفته او اکنون بسیاری از پیاسپیها و شرکتهای ارائهدهنده خدمات شرکتهای سهامی عام هستند. یعنی دارایی آنها در بورس معامله میشود معاملات آنها روی دارایی سهامدار اثر دارد. نکتهای که به داده مربوط است این است که اکنون دادهای که پشت این شرکتهاست باید مالیت داشته باشد و روی سهام اثرگذار باشد. تکلیف انتشار این دادهها به نوعی به معنی رایگان فروشی داده است. این موضوع اکنون دغدغه حقوقدانهای ما نیست و قانونی هم درباره آن وجود ندارد. درحالیکه باید به آن پرداخته شود.
