مدیرکل سابق حقوقی سازمان فناوری اطلاعات: برای حفاظت از داده‌های شخصی کاربران قانون مستقلی نداریم

نویسنده: راه پرداخت در تاریخ 24 خرداد سال 1399 ساعت 12:23 0

از ابتدای سال جاری تاکنون اطلاعات شهروندان در پایگاه داده‌های ثبت احوال، پوسته‌های تلگرام و… هک شده است، در جدیدترین مورد از نشت داده‌های شخصی کاربران، اطلاعات بیش از پنج میلیون کاربر در اپراتور رایتل مورد حمله هکری قرار گرفته است، هر چند بازتاب این حجم افشای اطلاعات کاربران تنها در حد انعکاس چند خبر در رسانه‌ها بود بدون این‌که با متخلفان برخورد قانونی صورت بگیرد.

در همین راستا به سراغ محمدجعفر نعناکار، مدیرکل حقوقی سابق سازمان فناوری اطلاعات رفتیم.

کدام قوانین دستگاه‌ها را به حفاظت از داده‌های شخصی شهروندان در حوزه کلان ملزم می‌کند؟

واقعیت این است که قوانین خاص و جداگانه‌ای برای حفاظت از حریم شخصی و صیانت از داده‌های شخصی کاربران وجود ندارد. البته لایحه حفاظت از داده‌های شخصی به مجلس رفته ولی تصویب نشده است، به همین دلیل باید با قواعد کلی حقوقی که در قوانین کشور آمده است به‌دنبال احقاق حق صیانت از داده‌های شهروندان رفت. محافظت از داده‌هایی که حساس هستند در بخشی از قوانین متفرقه تعریف شده‌اند و می‌توان آنها را احصا کرد.

با استناد به این قوانین متفرقه می‌توان از داده‌های شخصی که به‌راحتی در فضای مجازی افشا و مبادله یا خریدوفروش می‌شود، قانونی پیگیری کرد. طبق آن قوانین، دستگاه‌ها باید از پایگاه‌های داده، سکوهای نرم‌افزاری و پلتفرم‌هایی که در آن اطلاعات شهروندان ذخیره شده است، حفاظت کنند و اگر آن اطلاعات به‌وسیله هک یا هر دلیل دیگری افشا شد، جوابگو باشند.

کدام نهاد متولی پیگیری اطلاعات افشا شده شهروندان به‌دلیل سهل‌انگاری دستگاه‌ها است؟

اگر حفاظت از اطلاعات کثیری از شهروندان از سوی دستگاه‌ها و نهادها به‌درستی انجام نشده باشد و اطلاعات شهروندان افشا و در معرض سوءاستفاده کلاهبرداران و… قرار بگیرد، باید مدعی‌العموم و معاونت فضای مجازی دادستانی وارد عمل شود و با کشاندن مسئولان شرکت‌ها، سازمان‌ها و نهاد مربوطه در دادگاه پیگیری کند. ولی اگر اطلاعات شخصی تعداد کمی از شهروندان به‌دلیل هک یا هر دلیل دیگری افشا شود، آن‌ها باید به مراجع قضایی مانند پلیس فتا و دادستانی مراجعه کرده و با تسلیم شکایتی مبنی‌بر عدم حفاظت از داده و هک‌شدن پایگاه داده، حق‌وحقوق خود را در این زمینه پیگیری کنند. در این زمینه قاضی ورود کرده و به کارشناس مربوطه ارجاع داده و طبق روال کار انجام می‌شود.

قوانینی که می‌توان با استناد به آن سهل‌انگاری مسئولان را در عدم محافظت از اطلاعات تعداد کثیری از شهروندان پیگیری کرد، دقیقاً کدام قوانین هستند؟

در این زمینه چند قانون کلی وجود دارد که می‌توان به آنها ارجاع داد. یکی قانون تجارت الکترونیکی است که چندین ماده در خصوص حفاظت از داده‌ها و اسرار تجاری و اینکه فاش‌شدن آن‌ها برای یک شهروند یا شخص حقیقی و حقوقی مشکل ایجاد می‌کند، وجود دارد و با استناد به آن مسئول مربوطه باید پاسخگو باشد. به‌صورت کلی هم در قانون مسئولیت مدنی، به‌همین موضوع اشاره دارد که اگر سهل‌انگاری و اهمال یا عدم رعایت استانداردها به شهروندان خسارتی وارد کند، چگونه باید رفع و رجوع کرده و خسارت را پرداخت کنند.

شهروندان بر اساس کدام قوانین می‌توانند نشر اطلاعات خود را مطالبه‌گری کنند؟

با استناد به قانون دسترسی آزاد به اطلاعات. مطابق با این قانون، شهروندان می‌توانند در برابر افشای اطلاعات خود به شرط آن‌که محرمانه نباشد، از دستگاه‌ها و نهادها مطالبه‌گری کنند. ولی قوانین محرمانگی، مربوط به سال 52 و 53 است و باید در این قوانین بازنگری صورت بگیرد. از سوی دیگر بجز اطلاعاتی که سری و کاملاً سری هستند، اطلاعات عادی شهروندان نیز از طریق منشور حقوق شهروندی که ریاست جمهوری آن را ابلاغ کرده، می‌توان پیگیری کرد.

به جز مدعی‌العموم چه بخش‌های دیگری می‌توانند افشای اطلاعات شهروندان را از منظر حقوقی پیگیری کنند؟

در وهله اول که باید مدعی‌العموم و دستگاه قضا ورود کند اما براساس آیین‌نامه دادرسی جدید سازمان‌های مردم نهاد (NGO) می‌توانند به‌صورت تخصصی این موضوع را رصد کرده و بازوی مستشاری دادگاه باشند. آن‌ها می‌توانند مسائل را به مدعی‌العموم گزارش کرده و پیگیری کنند. اما مشکلی که در این میان وجود دارد این است که قانون تجارت الکترونیک و جرائم رایانه‌ای نیاز به بازنگری دارد. این قوانین به‌روز نیست بنابراین باید متناسب با اقتضای روز تنظیم شود.

مهم‌تر اینکه حوزه فضای سایبری، به قانون جداگانه «پدافند سایبری» نیاز دارد. این قانون اختصاصی باید مشخص کند که مرزهای داده‌های سایبری و نحوه دسترسی به آنها چگونه باشد. میزان و چگونگی آن چطور باید تدوین شود و چه کسانی به اطلاعات دسترسی داشته باشند. با چه استانداردها و مکانیسم‌هایی باید از آنها حفاظت و صیانت شود. باید گفت قوانین شفاف و روشنی در این زمینه‌ها نداریم و ضعف عمده‌ای وجود دارد. البته باز تأکید می‌کنم که با قواعد و اصول کلی عمومی که در قوانین آمده است می‌توان پیگیری کرد و به نتیجه رسید ولی اگر بخواهیم این فضا سروسامان پیدا کند و داده‌ها صیانت قضایی داشته باشد، باید قوانین مستقل و مجزا برای آن تصویب و اجرایی شود.

وجود قانون جداگانه پدافند سایبری چقدر می‌تواند برای پیگیری موضوعات حقوقی سایبری مفید واقع شود؟

اصولاً در هر کشوری باید موارد پدافندی دارای اهمیت ویژه‌ای باشد. قدرت نرم و تکالیف حاکمیت‌ها به معنای عام کلمه و دولت به معنای خاص آن، از اهمیت بسیاری برخوردار است، زیرا براین اساس حقوق و تکالیف جدیدی برای افراد و اشخاص تبیین و تعریف شده و از حق افراد صیانت‌های بسیاری صورت می‌پذیرد. نبود قانون «پدافند سایبری» یعنی نبود یک سیاست کلان اجرایی و عملیاتی در مواجهه با رخدادهای فضای سایبری و الکترونیکی.

نظارت، پایش و پالایش این فضا و صیانت از دستاوردهای داخلی و همچنین رصد و شناخت انواع نفوذهای فرهنگی، سیاسی، امنیتی و فنی از جمله مسائلی است که باید از سوی نهادهای ذیربط به‌صورت زنجیره‌ای پیگیری و با یک اقدام هماهنگ و سریع تصدیق شود. نبود قواعد روشن و سازوکارهای صریح و سریع آن هم در فضایی که اقدام‌ها و تلاش‌ها با سرعتی وصف‌ناشدنی صورت می‌پذیرد، بی‌تردید تحدیدها و تهدیدهای بسیاری را به‌بار می‌آورد.

رسیدگی به نشر اطلاعات کاربران در حوزه کلان در کشورهای دیگر چگونه پیگیری می‌شود؟

به‌طور خاص در اتحادیه اروپا و ایالات متحده قوانین بسیار روشنی در این حوزه وجود داشته و سیاست‌های فضای سایبری تقنین و کارسازی شده‌اند. در اتحادیه اروپا قانون (GDPR) مقررات محافظت از داده‌های عمومی مورد تصویب قرار گرفته و مطابق آن از مالکیت افراد در فضای مجازی صیانت‌های لازمه صورت می‌پذیرد. البته باید توجه کرد نظام حقوقی اتحادیه اروپا، امریکا و دیگر کشورها اختلافات زیادی با سیستم حقوقی ایران دارد، هرچند که معتقدم می‌توان از این نظام‌ها الهام گرفت اما ما باید نظام قانون‌گذاری خود را که بر پایه شریعت اسلامی و عرف ایرانی است، پایه‌ریزی کنیم.

با این حال در دیگر کشورها در خصوص فعالیت سکوهای نرم‌افزاری و پایگاه‌های داده قوانین متعدد و گاه سخت‌گیرانه‌ای وضع شده و در این خصوص رگولاتوری قدرتمندی حاکم است، در حالی که متأسفانه در کشور ما در حوزه فناوری اطلاعات، رگولاتوری قانون‌مندی وضع نشده و بر آن حاکم نیست.

به بحث منشور حقوق شهروندی اشاره کردید؟ به نظرتان چرا این منشور هنوز شکل اجرایی به خود نگرفته است؟

منشور حقوق شهروندی سند مهمی است که به‌صورت یک رویکرد کلی و سیاست کلان عرضه شده است و باید برای مفاهیم آن قواعد و فرآیندهای اجرایی تنظیم کرد. وجود یک قاعده کلی بدون نظام‌مند کردن آن، بی‌تردید باعث شده تا در مقام اجرا شاهد فقدان یک سیستم نظام‌مند باشیم. منشور حقوق شهروندی با وجود مفاهیم بالا متأسفانه تبیین نشده و در ساختارهای دولتی در خصوص تعریف اصطلاحات آن با فقر فهم حقوقی مواجه هستیم، به گونه‌ای که در بسیاری از مراکز با وجود ایجاد سازوکارهای حقوق شهروندی مأموریت آن به‌خوبی روشن و کارسازی نشده است.

برای اجراشدن آن آیا به فراهم‌شدن بسترهای اولیه‌ای نیاز است؟

بله قبل از اجرایی‌شدن آن نیازمندیم در قالب کلاس‌های ضمن خدمت به کارکنان دولت در خصوص مفاهیم حقوق شهروندی و بررسی موضوع‌های تطبیقی بین‌المللی آموزش‌های لازم را ارائه کنیم.

به سازمان‌های مردم نهاد اشاره کردید. چرا این بخش فعال نیست و فعال‌شدن این بخش چقدر می‌تواند در پیگیری حقوق شهروندان مؤثر واقع شود؟

بی تردید وجود و رشد سازمان‌های مردم نهاد، نشانه بلوغ کشورها و حاکمیت‌ها است. اگر امروزه دموکراسی به‌صورت مستقیم و غیرمستقیم مورد تأیید و تأکید همه دولت‌ها و مجامع بین‌المللی است، وجود مقام مستشاری مردمی نیز مورد تأکید و تأیید مضاعف است. وجود سازمان‌های مردم نهاد و اخذ کرسی‌های مستشاری و مشاوره و نظارت در دستگاه‌های اجرایی دولتی و شرکت‌های بزرگ، باعث خواهد شد تا این سازمان‌ها به طور جدی و کارا موضوع‌های مرتبط با حقوق شهروندی را پیگیری و مطالبه‌گری کنند.

این مطالبه‌گری باعث می‌شود تا استحاله موضوعی در ابواب حقوقی رخ نداده و مجریان مطابق با آنچه به آنها ارجاع شده است، اقدام و عمل کنند. به‌خصوص در حوزه فناوری با توجه به رشد سریع و روزافزون فناوری‌های مورد استفاده و ایجاد حقوق متعدد برای کاربران و صاحبان داده و پلتفرم‌ها وجود چنین سازمان‌هایی می‌تواند در رشد جامعه و بلوغ اجتماعی و مدنی نقشی بی‌بدیل را ایفا کند.

منبع ایران