گامی موثر یا تدبیری انحرافی؟

گروه فناوری- با افزایش استفاده از فضای مجازی در ایران، حفاظت از داده‌های کاربران به یک چالش جدی تبدیل شده است. در همین راستا سند دستورالعمل حفاظت از داده‌ها به تازگی منتشر شده است تا چارچوبی را برای نحوه جمع‌آوری، نگهداری و پردازش داده‌های شخصی تعریف کند. این سند با هدف ارتقای حریم خصوصی افراد و تضمین امنیت اطلاعات شخصی در برابر دسترسی‌ها و استفاده‌های نامجاز تدوین شده است. در دستورالعمل جدید، تاکید ویژه‌ای بر مفاهیمی نظیر رضایت آگاهانه کاربران، اصول شفافیت در پردازش داده‌ها و اهمیت پاسخگویی متولیان داده‌ها به چشم می‌خورد.
این اقدام گامی مهم در جهت هم‌راستا‌سازی قوانین داخلی با استانداردهای جهانی حفاظت از داده‌ها به‌شمار می‌رود و انتظار می‌رود تاثیرات گسترده‌ای روی شرکت‌ها، سازمان‌ها و کسب‌وکارهایی که با داده‌های شخصی سروکار دارند، بگذارد. این دستورالعمل می‌تواند زمینه‌ساز اعتماد بیشتر کاربران در فضای مجازی شود، با توجه به اینکه حقوق آنها در قبال اطلاعات‌شان به‌طور قانونی حفاظت می‌شود. از جمله چالش‌ها، اجرایی کردن این سیاست‌ها در سطح وسیع و نیاز به آموزش گسترده بین کاربران و سازمان‌های مختلف برای اطلاع‌رسانی از حقوق و مسوولیت‌های جدید خواهد بود. در این دستورالعمل که تمامی دستگاه‌های اجرایی ملزم به رعایت آن هستند،‌ این‌طور آمده است که در صورت درخواست کاربران برای حذف داده‌های مرتبط از قبیل حذف حساب کاربری یا تمام داده‌های مرتبط با فعالیت آنان، پلتفرم‌ها ملزم به تبعیت از دستور کاربران هستند.
اواخر هفته‌ گذشته رییس مرکز ملی فضای مجازی از ابلاغ دستورالعمل حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران خبر داده بود. این دستورالعمل در یکصد‌وبیست‌وهشتمین جلسه کمیسیون عالی تنظیم مقررات فضای مجازی کشور به تاریخ ۲۵/۱۰/۱۴۰۲ تنظیم شده و یکی از اهداف تدوین و ابلاغ آن کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران است. این دستورالعمل در نظر دارد اشخاص حقوقی غیردولتی و دستگاه‌های اجرایی کشور را ملزم کند که شرایط مرتبط با شیوه‌های جمع‌آوری، پردازش و نگهداری داده‌های کاربران در سامانه‌ها و پلتفرم‌های آنلاین را رعایت کنند و به همین منظور این دستورالعمل را تصویب و برای اجرا ابلاغ کرده است. مساله حفاظت از اطلاعات و داده‌های کاربران، تامین امنیت و نظارت بر چگونگی جمع‌آوری و نگهداری داده‌ها و اطلاعات موضوعی است که پس از حملات سایبری اخیر به برخی سامانه‌ها و پلتفرم‌های داخلی مطرح شده است؛ حملاتی که به نشت گسترده اطلاعات شهروندان منجر شده و حریم خصوصی آنها را به مخاطره انداخته بود.
دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی در چهار ماده تنظیم شده است که در اولین ماده آن همه‌ ارائه‌دهندگان خدمات از طریق سامانه‌ها و سکوهای فضای مجازی موظف شده‌اند حداکثر در مدت دو ماه از تاریخ ابلاغ این دستورالعمل نسبت به چند مورد اقدام کنند. نخستین مورد، این است که سامانه‌ها و پلتفرم‌ها سیاست‌های حفظ حریم خصوصی را که مربوط به جمع‌آوری، پردازش و نگهداری اطلاعات و داده‌های کاربران است، به‌ صورت شفاف اعلام کرده و رضایت صریح اشخاص مبنی بر پذیرش شرایط را اخذ کنند. بر اساس این ماده، کدام سکوها و سامانه‌های آنلاین باید شفاف‌سازی کنند که کدام‌یک از اقلام دادها را دریافت و جمع‌آوری می‌کنند و همچنین باید مشخص کنند که با چه هدفی اقدام به جمع‌آوری این داده‌ها کرده‌اند.
سامانه‌ها و سکوها باید شیوه دریافت و جمع‌آوری، اعم از دریافت مستقیم و غیرمستقیم از کاربران را شفاف و مشخص کنند. سومین نکته در ماده یک این دستورالعمل این است که نحوه و ابزار اطلاع‌رسانی درباره تغییر سیاست‌ها را مشخص کند و پس از اعمال تغییرات، مجددا رضایت صریح کاربران را دریافت کند و تغییرات لازم را انجام دهد. در تبصره این بند نیز آمده است: « هرگونه تغییر در شرایط و سیاست‌ها باید حداقل دو ماه قبل از اعمال، به کاربران اعلام شود.»
داده‌ها در صورت درخواست کاربر باید حذف شوند
ماده یک این دستورالعمل بندهای مهم دیگری هم دارد. در یکی از این بندها این توضیح آمده است که داده‌هایی که از کاربران اخذ می‌شود، فقط باید «در حد اقلام مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب‌و‌کار باشد»؛ بنابراین سکوها و سامانه‌ها نباید اطلاعات غیرضروری و غیرلازم را از کاربر اخذ کنند. علاوه‌بر این، پلتفرم‌ها و سامانه‌های آنلاین نسبت به حذف اطلاعات در صورت درخواست کاربران مسوولیت دارند. در متن این دستورالعمل در این خصوص آمده است: «در صورت درخواست کاربران برای حذف داده‌های مرتبط از قبیل حذف حساب کاربری، تمام یا بخشی از داده‌های مرتبط با فعالیت آنان در سامانه و سکو بلافاصله انجام پذیرفته و داده‌های حذف‌شده از سامانه و سکوی برخط، به منظور رعایت مقررات قانونی از جمله مقررات مواد (۶۶۷) تا (۶۷۰) قانون آیین دادرسی کیفری (دادرسی جرائم رایانه‌ای) به پایگاه‌های داده پشتیبان مستقر در بخش غیربرخط و منفصل از شبکه‌های ارتباطی عمومی منتقل و تنها برای انجام تکالیف مقرر در قانون، نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، به‌طور کامل امحا شود.»
رمزنگاری داده‌های هویتی کاربران نیز بخش دیگری از دستورالعمل اجرایی مرکز ملی فضای مجازی است: «داده‌های مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان می‌شود، صرفا باید به صورت رمزنگاری‌شده ذخیره شود.» این مرکز دستور داده است که دستورالعمل‌های مرتبط با سطوح و شیوه‌های رمزنگاری نیز بر اساس وظایف تعیین‌‌شده باید از سوی دستگاه‌های مسوول ابلاغ شود.
ادامه فعالیت سامانه‌ها مشروط به انجام تمام مواد این دستورالعمل است
همان‌طور که پیش از این هم اعلام شده بود، به موجب ماده دوم این دستورالعمل، با ابلاغ این مصوبه «استمرار ارائه خدمات یا تمدید مجوزها به سامانه‌ها و سکوهای موضوع این دستورالعمل منوط به حصول اطمینان از رعایت این مقررات تعیین کرده و در غیر این صورت، اقدامات قانونی لازم را به عمل آورند.» در ماده سوم این مصوبه نیز آمده است: «ارائه‌دهندگان خدمات موظف‌اند از طریق سامانه‌ها و سکوهای فضای مجازی، ضمن پیاده‌سازی شرایط این دستورالعمل در زمان تعیین‌شده، بر اساس بند یک، پس از فراهم شدن سازوکار ارائه خدمات احراز هویت کاربران بر اساس قابلیت «زیست‌بوم هویت معتبر» (مبتنی بر نظام هویت معتبر مصوب پنجاه‌ونهمین جلسه شورای‌عالی فضای مجازی کشور) توسط سازمان ثبت‌احوال کشور، با هدف به حداقل رساندن جمع‌آوری اطلاعات هویتی، حداکثر پس از یک ماه، سامانه‌های خود را با فرآیندهای مربوط منطبق نمایند.»
ماده چهارم این دستورالعمل اجرایی مساله نظارت بر اجرای این مواد و بندها را م نظر قرار داده است. طبق این بند، سازوکار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاه‌های نظارتی مرتبط ابلاغ می‌شود و همه دستگاه‌های اجرایی، مراجع قانونی عهده‌دار نظارت یا صدور مجوز و تنظیم‌گران بخشی، مکلف هستند که با دستگاه‌های نظارتی در این زمینه همکاری کنند. در نهایت امید است ابلاغ این دستورالعمل نقش مهمی را در حفاظت از داده‌های کاربران در فضای مجازی ایفا کند.