در هفته گذشته تپسی در ایران هک شد و اطلاعات ۶ میلیون راننده و بیش از ۲۷ میلیون مسافر و ۱۳۶میلیون سفر به سرقت رفت که آدرسها و حتی رمز کارتهای افراد هم شامل میشود. چند روز بعد از هک تپیس نیز خبر آمد که اطلاعات ۱۹ کارگزاری بیمه، به قیمت ۴ میلیارد تومان به فروش گذاشته شده اند که شامل اطلاعات خصوصی افراد هم میشوند.
به گزارش اقتصادآنلاین؛ در دنیای دیجیتال امروز داده های شخصی افرد حکم سوخت اصلی را دارند. سوختی که چرخ های دنیای بسیار پیچیده و بزرگ اقتصاد دیجیتال را به گردش در میآورد. اما کسانی که صاحبان و تولید کنندگان این داده ها هستند، یعنی شهروندان معمولی، نه تنها سهمی در سودهای مالی حاصله ندارند بلکه بخشی از حریم خصوصی خود را نیز در تهدید دائمی می بینند.
قوانین حمایت از داده های شخصی تدوین شدند تا به انسان عصر دیجیتال این امکان را بدهند تا بر داده های شخصی اش کنترل و مدیریت داشته باشند. دولت ها به نمایندگی از شهروندان شرکت ها هم موظف کردند که استاندارهای فنی و حقوقی لازم را برای حفاظت از این اطلاعات شخصی افراد را رعایت نمایند.
چند دهه از عمر تدوین قوانین حمایتی از داده های شخصی در دنیا می گذرد. در حال حاضر کشورهای بسیاری با الگو قراردادن استانداردهای جامع اروپایی قوانینی مشخص برای حمایت از داده های شخصی تدوین و اجرا کرده اند. اما در ایران هنوز هیچ قانون جامعی در خصوصی حمایت از داده های شخصی افراد وجود ندارد. چندین سال است که خبر تهیه پیش نویس لایحه حمایت و حفاظت از داده های شخصی سر خط خبرها میشوند. اما این پیش نویسها به هیچ قانونی منتهی نمی شوند. حتی در طرح بحث برانگیز صیانت فقط عباراتی کلیای مانند «حفاظت از حریم خصوصی کاربران و جلوگیری از دسترسی غیر مجاز به داده های آنها» ذکر شدند و جزئیات مربوط به نحوه و ساز وکار حمایت به اسنادی غیر موجود که در آینده شاید بیایند موکول شد.
اما قوانین حمایت از دادهای شخصی چگونه می توانند از بروز دو مینوهای هک و نشت اطلاعات خصوصی افراد در مقیاسهای وسیع جلوگیری کنند.
۱. اصل حداقل رسانی
بر اساس این اصل نه تنها هر گونه جمع آوری و ذخیره و پردازش اطلاعات شخصی افراد نیاز به رضایت خاص افراد دارد. بلکه باید میزان و نوع اطلاعاتی که جمع آوری و ذخیره میشوند نیز به حداقل برسد. بر این اساس تنها باید اطلاعاتی جمعآوری و نگهداری شوند که به طور مستقیم به خدمتی که قرار است ارائه شود مربوط باشد و برای آن هدف ضرورت داشته باشد.
برای مثال اگر به صفحه شرایط و مقررات استفاده از خدمات هوشمند جابجایی مسافر تپسی برای کاربران مسافر مراجعه کنیم متوجه می شود نوع اطلاعاتی که قرار است به طور غیر مستقیم از کاربر جمع و آوری شود با سه نقطه تمام می شود. یعنی حتی احصا کردن آنها نیز شاید امکان پذیر نباشد.
در بند دو ماده ۵ شرایط استفاده از تپسی آمده است « اطلاعاتی که بهطور غیرمستقیم و در نتیجهی استفادهی کاربر مسافر از خدمات تپسی در این برنامه ذخیره میشود؛ از جمله موقعیت مکانی مبدأ سفرهای کاربر، طول هر سفر، نشانی مقصد، هزینهی سفر، تراکنشهای مالی صورتگرفته در حساب کاربری جهت استفاده از خدمات تپسی و اطلاعات مربوط به سختافزاری که کاربر با استفاده از آن از خدمات تپسی استفاده میکند (نظیر سیستمعامل آن) و نهایتاً شیوهی اتصال کاربر به اینترنت و …»
همچنین بنا بر اصل «به حداقل رسانی» اطلاعات شخصی باید تنها تا زمانی که برای انجام خدمت مورد نظر ضرورت دارند نگهداری شوند. به محض برطرف شدن ضرورت دلیلی برای ادامه نگهداری داده های شخصی افراد وجود ندارد.
اگر به شرایط استفاده از خدمات تپسی مراجعه کنیم هیچ بازه زمانی مشخصی برای نگهداری اطلاعات خصوصی جمع آوری شده ذکر نگردیده است.
۲. الزامات حفظ امنیت داده های شخصی
بر اساس قوانین پایه شرکتهایی که با دادههای شخصی سرو کار دارند موظف هستند ساز و کارهای لازم سازمانی و فنی را به کار بندند تا امنیت این داده ها تأمین شود. اینکه چه سازوکاری لازم است به کار گرفته شود با توجه به شرایط هر کسب و کار و خدمات میتواند متفاوت باشد. برای مثال در راهنمایی تهیه شده توسط اداره کمیسرایی اطلاعات بریتانیا اقدامات مختلفی که لازم است سازمانها برای مدیریت خطر، حفاطت از داده های شخصی در برابر هک شدن و کشف خطرات امنیتی انجام دهند را بر شمرده است.
به این ترتیب مراقبت از داده های شخصی تنها به این محدود نمی شود که بعد از به سرقت رفتن اطلاعات شخصی افراد توسط هکرها پلیس در جریان قرار گیرد و شکایت از سوی شرکت ثبت شود.
توییت میلاد منشی پور مدیر عامل تپسی در این خصوص
۳. متصدی حمایت از داده های شخصی در سازمان
اگر جمع آوری و پردازش اطلاعات شخصی افراد نقش و کارکردی محوری در یک شرکت و سازمان داشته باشد حفاظت از این دادهها نیز باید تحت نظارت دقیق قراربگیرند. در چنین شرایطی بر اساس قوانین حمایت از دادههای شخصی باید پست سازمانی «متصدی حمایت از داده های شخصی» در شرکت و سازمان تعریف شود. برای مثال در کشور آلمان شرکت یا سازمانی که بیشتر از ده نفر نیرو دارند، در صورت سرو کار داشتن با دادههای شخصی موظف هستند متصدی دادههای شخصی استخدام نمایند.
۴. مجازاتهای شدید
در قوانین حمایت از دادههای شخصی عدم رعایت مقررات حمایت از دادهها و عدم حفاظت مناسب از آنها شرکت را با جریمه های مالی سنگینی روبرو میکند. به نحوی که جریمه نقض مقررات در اروپا در مواردی که خیلی شدید نباشند به ۱۰ میلیون یورو میرسند. در موارد شدید این میزان به ۲۰ میلیون یور یا ۴ درصد از درآمد سالانه شرکت افزایش پیدا میکند. برای مثال در سال ۲۰۲۱ نهاد حمایت از داده های شخصی لوزامبورگ شرکت آمازون را به پرداخت ۷۴۶ میلیون یورو جریمه محکوم کرد.
زندگی در دنیای سایبری نیازمند حمایتهای حقوقی خاصیست. هر نوع سهل انگاری در تدوین مقررات به روز میتواند زندگی عادی اما دیجتال شده افراد جامعه را به تلههایی برای سو استفاده مجرمان و کلاهبردران تبدیل کنند و جان و مال و آبروی افراد را با خطر جدی مواجه کند. با این حال نوع طرح هاو لوایح و مقررات نشان می دهند در ایران این روزها اولویت سیاست گذار و قانونگذار کنترل جریان اطلاعات است نه تأمین امنیت داده های شهروندان عادی.
*حقوقدان، پژوهشگر حقوق سایبری و حقهای دیجیتال
- نویسنده: اقتصاد آنلاین