چرا قانونی برای حمایت از داده و کاربر وجود ندارد؟ / اسطوره کارهای پراکنده هستیم

موضوع احراز هویت الکترونیکی در زمان شیوع ویروس کرونا اهمیت بیشتری پیدا کرد. احراز هویت الکترونیکی آمده تا ما بدون اینکه به جایی مراجعه کنیم، بتوانیم با گرفتن سلفی، ارسال ویدئو یا مدارک هویتی، خود را احراز کنیم. اما مشکل دیگری که در این خصوص وجود دارد،‌ خطر افشای اطلاعات کاربران است که این اتفاق کم رخ نداده است.

ایجاد سازوکار احراز هویت الکترونیکی باعث شده مسیر جدیدی را شکل دهد، اما مهم‌تر از آن این سوال پیش می‌آید که در خلا قانونی که برای حمایت از داده وجود دارد،‌ چرا کسب‌وکارها اطلاعات هویتی کاربران را دریافت می‌کنند و علاوه بر آن با ذخیره نکردن آنها در محل مناسب،‌ زمینه افشا شدن آن را هم فراهم می‌کنند؟

حسام ایپکچی، حقوقدان معتقد است که فراتر از ایجاد یک قانون یا تبصره در خصوص حمایت از داده و کاربر باید نظامی تشکیل شود. با طراحی نقشه حمایت از داده کشور، قانون‌ها، آیین‌نامه‌ها و نهادها معرفی می‌شوند. در غیر این صورت اگر چند تبصره به قانون اضافه کنیم، مطالبه دقیقی صورت نمی‌گیرد.

ایپکچی در خصوص اینکه کسب‌وکارها تا چه سطحی می توانند احراز هویت کاربران خود را انجام دهند، ‌گفت: «در آیین‌نامه ذیل ماده ۱۴ قانون مبارزه با پولشویی مصوب سال ۱۳۹۸ به‌طور خاص درباره فین‌تک‌ها، فناوری‌های مالی و بانک‌ها تکالیفی درج شده است. اینکه برای مبارزه با پولشویی باید فرایندی را انجام دهند. اما چند نکته را باید از همدیگر تفکیک کنیم. آیا اساساً کسب‌وکارها باید احراز هویت را انجام دهند یا نباید انجام دهند؟ برای این موضوع اکنون قاعده عامی که وجود دارد و در همه جای دنیا استفاده می‌شود، موضوع KYC است که باید مشتری خود را بشناسیم. به جز این آیین‌نامه‌ای که ذکر شد مقرره یا قانون دیگری وجود ندارد که کسب‌وکارها را صراحتا مکلف به اجرای این KYC کند.»

او دلیل اینکه چرا کسب‌وکارها به سراغ اخذ مدارک هویتی کاربران برای احراز هویت رفته‌اند را توضیح داد و گفت: «کسب‌وکارها در معرض اعمال حاکمیت از جانب قوه قضائیه و دستگاه‌های امنیتی بوده‌اند. بنابراین باید جوابگوی کاری باشند که وظیفه آنها نیست. وقتی با یک تقلب روبه‌رو می‌شویم نمی‌توان گفت که سرویس را فناورانه ارائه داد، اما پایش، نظارت و کنترل به صورت دستی انجام گیرد.

بنابراین وقتی که سیستم‌های کشف تقلب و رگ‌تگ در این باره وجود نداشته باشد، تمام بار مسئولیت بر عهده کسی است که سرویس را ارائه می‌دهد. وقتی این اتفاق می‌افتد برای اینکه ارائه دهنده‌های سرویس امکان پاسخگویی داشته باشند، داده‌ها را جمع‌آوری می‌کنند. در اینجا این موضوع مطرح می‌شود که تا چه حد می‌تواند داده را جمع‌آوری کرد و چقدر می‌توانیم اطلاعات داشته باشیم که در ازای آن سرویس ارائه دهیم؟ دوم اینکه این اطلاعات را کجا و با چه سیاستی ذخیره‌سازی می‌کنیم. اینجاست که ما حمایت قانونی روشنی نداریم.»

---

وجود فقر قانونی برای حمایت از داده‌های ذخیره شده

---

به‌گفته او قانون حمایت از داده‌های شخصی که اکنون در حد لایحه است و باید بدانیم که داده‌هایی که از اشخاص گرفته می‌شود تا چه حد قابل ذخیره‌سازی است و ذخیره‌سازی آن هم باید با قواعد و ضوابطی باشد. همچنین باید بدانیم که چقدر از آن داده‌ها قابل نشر است. بنابراین داده‌ها خودش می‌تواند موضوع یک کسب‌وکار باشد. اینها مباحث جدی حقوقی است که در نظام قانونی ما به آن پرداخته نشده است. اکنون یک فقر قانونی برای حمایت از داده‌های ذخیره شده وجود دارد.

ایپکچی با اشاره به اینکه داده‌ها در انحصار فرد خاصی نیست و در شبکه جاری است و حیات آن منوط به اتصال در شبکه است، گفت: «وقتی‌که با این رویکرد نگاه می‌کنیم، موضوع حاکمیت داده هم مهم است. در نظامی که حکمرانی آن در خصوص داده مشخص نیست، نمی‌دانیم که داده چگونه حمایت می‌شود.»

او توضیح داد که سال‌ها پیش جرایمی که وجود داشت یا علیه اشخاص یا اموال بود. از ۱۰ سال پیش جرایمی به نام جرائم داده به‌وجود آمد. یعنی مؤلفه جدیدی در این حوزه اضافه شده است. این مؤلفه جدید حمایت از داده و محل ذخیره مشخصی ندارد.

---

فراتر از ایجاد قانون به نظام حمایت از داده نیاز داریم

---

ایپکچی موضوع خلا قانونی حمایت از داده را فراتر از تصویب شدن قانونی درباره آن می‌داند و توضیح داد: «موضوع تنها تنظیم قانون برای حمایت از داده نیست، بلکه باید نظام حمایت از داده تعریف کنیم که این نظام دارای نهاد، قانون، مقرره و آیین‌نامه، رویه، پلیس و قاضی باشد. یعنی نظامی تشکیل ‌شود که یکی از اجزای آن قانون است. اگر یک نظام تشکیل نشود، حکمران داده مشخص نشود، اما قانونی تصویب شود، اتفاقی نمی‌افتد. ممکن است که به رگولاتوری‌های جدیدی نیاز داشته باشیم و فراتر از تصویب یک کاغذ باشد. بنابراین باید سطح منازعه را بالاتر ببریم و به یک نظام حمایت از داده اعم از قانون برسیم.»

این حقوقدان با بیان اینکه در این خصوص اسطوره کارهای پراکنده هستیم، گفت: «به طور مثال دولت و مجلس لوایح و طرح‌های متفاوت و بعضا متناقضی در خصوص حمایت از داده تدوین کرده‌اند. این درحالی است که باید مطالبه به سمت یک نظام متشکل از آیین‌نامه و مقررات برود و در این باره نقشه حمایت از داده کشور طراحی شود تا در این نقشه قانون‌ها، آیین‌نامه‌ها و نهادها معرفی شوند. در غیر این صورت اگر چند تبصره به قانون اضافه کنیم، مطالبه دقیقی صورت نمی‌گیرد.»

---

قانونی برای حمایت از کاربر وجود ندارد

---

او در خصوص اینکه آیا کاربران می‌توانند در خصوص لو رفتن داده‌هایشان، پیگیری قضایی داشته باشند یا نه، گفت: «اگر داده وارد شده توسط کاربر در یک سامانه در جایی منتشر شود، ظرفیتی برای پیگیری قانونی آن برای کاربر فراهم نکرده‌ایم. اما اگر انتشار داده وقوع جرمی را علیه کاربر تسهیل کرده باشد یا منجر به وقوع خسارتی شود، می‌توان پیگیری را انجام داد. این در واقع گره زدن ماجرا به نتیجه انتشار داده است. اما راهکار درست این است که اگر اتفاقی هم نیفتاد و صرفاً اطلاعات کاربر لو رود، او باید قابلیت این را داشته باشد که جلوی این کار را بگیرد.»

نکته دیگری که ایپکچی به آن اشاره کرد بحث مالیت داشتن داده‌هاست. به‌گفته او اکنون بسیاری از پی‌اس‌پی‌ها و شرکت‌های ارائه‌دهنده‌ خدمات شرکت‌های سهامی عام هستند. یعنی دارایی آنها در بورس معامله می‌شود معاملات آنها روی دارایی سهامدار اثر دارد. نکته‌ای که به داده مربوط است این است که اکنون داده‌ای که پشت این شرکت‌هاست باید مالیت داشته باشد و روی سهام اثرگذار باشد. تکلیف انتشار این داده‌ها به نوعی به معنی رایگان فروشی داده است. این موضوع اکنون دغدغه حقوقدان‌های ما نیست و قانونی هم درباره آن وجود ندارد. درحالی‌که باید به آن پرداخته شود.