رئیس سازمان فناوری اطلاعات: قانون حفاظت از حریم شخصی داریم اما اجرا نمی‌شود

درز چند باره اطلاعات کاربران ایرانی تلگرام، سیب‌اپ و آخرین بار افشا اطلاعات ایرانیان از طریق سامانه ثبت احوال هنوز جزو خبرهای شوک‌کننده یک هفته اخیر به شمار می‌آیند. با گذشت کمتر از ۶ روز از این اتفاقات پی‌درپی نه مقام مسئولی در این زمینه عذرخواهی کرده و نه مشخص شده که چه کسی یا کسانی باید خسارت کاربرانی که در این زمینه از اطلاعات آنها سوءاستفاده شده یا مورد حملات فیشینگ قرار گرفته، بپردازند. هرچند که در این چند روز بسیاری از کاربران و همچنین مدیران کسب‌وکارهای مختلف در شبکه‌های اجتماعی پیکان انتقاد را سمت وزارت ارتباطات و زیرمجموعه‌های آن از جمله سازمان فناوری اطلاعات گرفته‌اند و اعلام کرده‌اند چرا این وزارتخانه قوانین و سیاست‌گذاری مشخصی برای حفاظ از داده‌های شخصی در فضای اینترنت در نظر نمی‌گیرد؛ اما بارها این مجموعه به انجام وظایف محوله به خود تاکید کرده است. با شدت گرفتن این انتقاد‌ها حالا امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات با منتشر کردن یک پست در اینستاگرام و توییتر خود اعلام کرده که سال گذشته این سازمان با توجه به قوانین فعلی آیین‌نامه‌ای تهیه و در اختیار شرکت‌های خصوصی و دستگاه‌های اجرایی حوزه فناوری اطلاعات گذاشته است.
 
 امیر ناظمی با منتشر کردن تصاویر این آئین‌نامه تاکید کرده که در قدم اول حفاظت از داده‌های شهروندان یکی از وظایف هر اپلیکیشن و سامانه‌ای است. با این حال او نوشته ‌است که در این شرایط بازهم تردید‌هایی مطرح و وزارت ارتباطات را به عنوان مسئول معرفی می‌کنند که به باور او این تردید‌ها جای تعجب دارد.
 
ناظمی در ادامه اشاره کرده که برای از بین بردن این تردید‌ها تیم او سال گذشته آئین‌نامه‌ای را براساس قوانین فعلی تهیه و به شرکت‌های خصوصی و دستگاه‌های اجرایی در حوزه فناوری اطلاعات ارسال کرده‌اند. در نهایت او اعلام کرده که بازهم به دلیل وجود تردید‌های بیشتر در این زمینه او مجبور شده که فهرست تک‌تک مواد این آیین‌نامه ابلاغ شده در سال گذشته و اسناد آن به قوانین و مقررات موجود را در صفحه اینستاگرام و توییتر خود منتشر کند.
 
 
 
 
 
آنطور که ناظمی اعلام کرده این آئین‌نامه در غیاب قانون حفاظت از داده‌های عمومی یا GDPR تهیه شده است، قانونی که بیش از دو سال است که در بورکراسی دولتی فرصت تصویب توسط هیات دولت را پیدا نکرده است. لایحه صیانت از داده‌های شخصی مرداد ماه سال ۱۳۹۷ و در حاشیه برگزاری نمایشگاه الکامپ آن سال رونمایی شد. در مراسم رونمایی این لایحه وزیر ارتباطات با اعلام اینکه بعد از رونمایی لایحه برای بررسی و تصویب به هیات دولت ارسال می‌شود، تهیه این لایحه را حرکت تاریخی دانسته و گفته بود: «امروز یک روز تاریخی برای صیانت از داده‌های مردم است. لایحه‌ای بر مبنای فتوای راهبردی مقام معظم رهبری درباره حرمت تعهدی به حریم خصوصی مردم در فضای مجازی تدوین می‌شود.»
 
آنطور که گفته شده هدف اصلی قانون صیانت از داده‌های شخصی، صیانت از حیثیت و کرامت اشخاص موضوع داده‌ها است که قواعد و احکام آن‌ها در بخش‌های مربوط آمده است که شامل تبیین حقوق اشخاص موضوع داده‌ها، به‌ویژه در تعامل با سایر حق‌های مشروع، ضابطه‌مندی فرایند پردازش داده‌های شخصی، مسئولیت‌پذیری پردازش، هم‌افزایی امور تنظیمی و نظارتی پردازش و جبران‌پذیری زیان‌ها و آسیب‌های پردازش است.
 
پرداخت خسارت‌هایی که فراموش شده
 
ناظمی در پست اینستاگرامی خود تاکید کرده اگرچه این قانون هنوز به تصویب دولت نرسیده؛ اما این به معنی آن نیست که برای اجبار سازمان‌ها و دستگاه‌ها به حفاظت از داده‌های شخصی قانونی وجود ندارد. ناظمی در پایان این نوشته اینستاگرامی خود تاکید کرده که تک‌تک موادآئین‌نامه‌ای که این سازمان‌ به شرکت‌های خصوصی و دستگاه‌های اجرایی حوزه فناوری اطلاعات ابلاغ کرده با استناد به بندهایی قانونی می‌تواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در حفاظت از داده‌ها سهل‌انگاری کرده است.
 
آئین‌نامه‌ای که تصویر آن را رئیس سازمان فناوری اطلاعات در شبکه‌های اجتماعی منتشر کرده در ۱۰ بند تهیه و ابلاغ شده است. در اکثر این بندها که با استناد به مواد قانونی فعلی در نظر گرفته شده، بارها تاکید شده که اگر خسارتی در جریان درز یا افشا اطلاعات کاربران در فضای اینترنت صورت بگیرد مسئول ذخیره اطلاعات و پردازشگر باید جبران خسارت کند. برای نمونه در بنده ۲ این آیین‌نامه آمده است: «حفاظت و صیانت از داده‌ها و حفظ سلامت و صحت آنها با مسئولان تجمیع‌کننده و ذخیره‌کننده داده‌ها بوده و در صورتی که عمدا یا در نتیجه بی‌احتیاطی، آسیبی به آنها برسد مسئول جبران خسارت است. همچنین در صورتی که تجمیع‌کننده و ذخیره‌کننده دو شخص باشند، مسئولیت با ذخیره‌کننده داده خواهد بود، مگر آن‌که به نحوه تیگری توافق شده باشد.» از سوی دیگر در بند ۳ این آیین‌نامه باز هم به پرداخت خسارت تاکید شده است. در این بند آمده است: «در صورت بروز هرگونه خسارت که از ناحیه عدم رعایت استانداردهای لازم داخلی یا بین‌المللی در خصوص ذخیره، پایش، پالایش و افشا داده‌ها باشد، شخص مسئول موظف به جبران خسارت خواهد شد.»
 
رییس سازمان فناوری اطلاعات با استناد به این آئین‌نامه در حالی از برخورد با افراد خاطی در جریان پرونده‌های مربوط به درز اطلاعات صحبت می‌کند که تاکنون نتیجه هیچ کدام از بررسی‌های پرونده هک یا نفوذ به اطلاعات کاربران در اینترنت که به پلیس فتا و مقامات قضایی ارجاع شده مشخص نشده است. برای نمونه اواسط بهمن ماه سال گذشته مدیران علی‌بابا خبر از هک برخی سرورها و درز اطلاعات برخی از کاربران خود را دادند و در نهایت نیز اعلام کردند که نتایج بررسی این اتفاق را به پلیس فتا ارجاع داده‌اند؛ اما تا این لحظه نتیجه بررسی این پرونده اعلام نشده است.
 
از نمونه‌های دیگر در این زمینه می‌توان به درز اطلاعات سفرهای رانندگان تپسی در فروردین ماه سال ۱۳۹۸ اشاره کرد، هرچند در همان زمان مدیرعامل تپسی به خاطر اشتباه پیش آمده از همه شهروندان و رانندگان خود عذرخواهی کرد؛ اما در نهایت تا کنون مشخص نشده که آیا این شرکت به رانندگانی که از این طریق اطلاعاتشان در اینترنت پخش شده خسارتی پرداخت کرده یا آنطور که ناظمی اعلام می‌کند با استناد قانون چه برخورد و مجازاتی برای این شرکت‌ها صورت گرفته است. به خطر افتادن اطلاعات کاربران کافه‌بازار، زرین‌پال و چندین بانک مطرح کشور از دیگر نمونه‌هایی است که در سال‌های گذشته خبر آنها رسانه‌ای شده؛ اما در نهایت بدون جواب روشن در مورد نتیجه بررسی این پرونده‌ها به فراموشی سپرده شده‌اند.