بررسی ابعاد حقوقی نشر اطلاعات خصوصی؛ از وظایف دادستانی تا تکالیف پلتفرم‌ها

یک حمله سایبری اطلاعات بیش از ۲۰ میلیون کاربر شامل نام کاربری، رمز عبور، ایمیل، نام، نام خانوادگی، شماره موبایل و تاریخ تولد را هک کرده است؛ بیش از ۵۱ میلیون آدرس کاربر شامل موقعیت GPS، آدرس کامل، اطلاعات بیش از ۱۸۰ میلیون دستگاه و همچنین اطلاعات بیش از ۳۶۰ میلیون سفارش و... را به سرقت برده و به فروش گذاشته است.

نمونه دیگری از هک پلتفرم‌های ایرانی حدود چهار ماه قبل اتفاق افتاد؛ تپسی هک شد و بخشی از اطلاعات کاربران به دست هکرها افتاد. گروهی که به تپسی حمله سایبری کرده بود همین گروهی است که اسنپ‌فود را هک کرده است.

این هکرها دیتای مختلفی مانند اطلاعات بیش از ۲۷ میلیون مسافر شامل نام، نام‌خانوادگی، شماره همراه، شهر و بعضاً ایمیل، بیش از ۲۷ میلیون مسافر شامل نام، نام‌خانوادگی، شماره همراه، شهر و بعضاً ایمیل و... را در اختیار داشته و برای فروش آن رقم ۳۵ هزار دلار را در نظر گرفته بودند. دیتای به‌دست‌آمده از اسنپ‌فود را هم قصد داشتند به ۳۰ هزار دلار به فروش برسانند.

این اطلاعات دقیق و جزئی تقریباً یک‌چهارم جمعیت ایران است که در بستر اینترنت به رقم ناچیزی به حراج گذاشته شده و هیچ نهاد و مرجع رسمی هم نسبت به این مسئله حساس و افشای اطلاعات مردم واکنشی نشان نداده است.

این در صورتی است که در کشورهای دارای قوانین مشخص برای حفظ امنیت اطلاعات کاربران، در صورت لو رفتن اطلاعات برای شرکت‌ها جریمه‌های مالی سنگینی تعیین می‌شود. در قوانین اروپا این لو رفتن اطلاعات اگر حجم زیادی نداشته باشد جریمه ۱۰ میلیون یورویی دارد و اگر حجم بالایی از اطلاعات لو برود، به ۲۰ میلیون یورو جریمه یا ۴ درصد از درآمد سالانه شرکت به‌عنوان جریمه در نظر گرفته می‌شود. یک مثال از این مورد اتفاقی بود که در سال ۲۰۲۱ برای آمازون رخ داد و این شرکت محکوم به پرداخت ۷۴۶ میلیون یورو جریمه شد.

هانیه کلهر

نگرانی از هک اسنپ‌فود؛ چطور ممکن است از اطلاعات لو رفته ما سوء استفاده شود؟

مطالعه '6

در کشور ما که قانونی برای حفاظت از داده‌های شخصی کاربران تصویب نشده وقتی شاهد هک یک پلتفرم یا سامانه و به سرقت رفتن اطلاعات کاربران هستیم، چه باید بکنیم؟ برای پاسخ به این سؤال با محمدجعفر نعناکار، کارشناس حقوق سایبری و استاد دانشگاه، گفت‌وگو کرده‌ایم:

نهادهای حاکمیتی در شرایط وقوع حملات سایبری چه وظیفه‌ای در برابر افشای اطلاعات شهروندان دارند؟

اگر حجم این نوع حملات و خروج داده زیاد باشد مدعی‌العموم باید ورود پیدا کند. یعنی دادستانی باید ورود کرده و اعلام جرم کند؛ اما در حمله سایبری به اسنپ‌فود شاهد بودیم که دیتای کاربران در بستر اینترنت منتشر شد اما شاهد هیچ پیگیری‌ای از سمت مدعی‌العموم یا دادستانی کشور نبودیم. به نظرم دلیل این اتفاق هم این است که بخش خصوصی و کاربران از حقوق قانونی خود مطلع نیستند و ما با یک فقر فهم حقوقی در این زمینه مواجه هستیم.

در صورت عدم ورود دادستانی به این پرونده‌ها ما به‌عنوان کاربرانی که اطلاعاتمان لو رفته است، چه کاری می‌توانیم انجام دهیم؟

حتی اگر دادستانی هم به این موضوع ورود نکند هر یک از افرادی که داده‌شان در اینترنت به‌صورت غیرمجاز در حال انتشار است می‌توانند به مراجع قضایی مراجعه کنند و شکوائیه‌شان را ثبت کنند. محاکم قضایی هم مطابق قانون ملزم به رسیدگی به این موضوع هستند.

لایحه حفاظت از داده‌های کاربران چند سالی است که در مجلس در حال بررسی است، اما آیا هیچ قانون دیگری مثلاً برای کسب‌وکارها مبنی بر ضرورت حفظ داده‌ کاربران وجود ندارد؟

در حوزه تجارت الکترونیکی قوانینی داریم. بر اساس ماده ۵۸ و ماده ۶۵ قانون تجارت الکترونیکی، اطلاعات مشتریان جزء اسرار تجاری به حساب می‌آید. مطابق قانون جرایم رایانه‌ای هک داده‌ها و انتشارشان از دو جنبه می‌تواند مورد تحلیل قرار بگیرد؛ یکی از سمت صاحب داده و یکی از سمت پلتفرم یا شخصیت تجاری. در هر دو صورت اگر این داده‌ها منتشر شوند جرم اتفاق افتاده است.

همچنین، مطابق ماده ۵۸ قانون تجارت الکترونیکی، ذخیره و پردازش و توزیع داده‌های شخصی که دارای خصیصه‌های مشخصی باشند مطلقاً ممنوع است و پلتفرم حتماً باید به کاربر اعلام کند که پردازش، انتشار، ضبط و ذخیره این نوع داده‌ها از طرف پلتفرم امکان‎‌پذیر است.

علاوه بر این، ماده ۷۸ قانون تجارت الکترونیکی می‌گوید اگر در بستر مبادلات الکترونیکی، بر اثر نقص و ضعف سیستم‌ها داده‌ها منتشر شوند، چه بخش خصوصی و چه بخش دولتی باید جبران خسارت کند.

به لحاظ قانونی نهادهای ناظر در این زمینه چه نقشی دارند؟

در کشور متولیان دیگری، مثل سازمان پدافند غیرعامل، افتا و سازمان فناوری اطلاعات ایران، هم در این حوزه داریم که باید گواهی امنیت پلتفرم‌ها را تأیید و صادر کنند. به نظر می‌رسد که پلتفرم‌های بومی به دلایل متعدد یا این گواهی‌ها را نمی‌گیرند یا سازمان‌هایی که این گواهی‌ها را می‌دهند وظایف قانونی خود را به‌درستی انجام نمی‌دهند یا احتمالاً در حوزه آزمایش کردن این پلتفرم‌ها، ترک فعلی دارند.

در صورت وجود چنین شرایطی این سازمان‌ها هم در بروز این مشکلات معاونتی دارند و اگر ثابت شود که نقصی در ایمنی این سیستم‌ها رخ داده و پلتفرم از سازمان دولتی گواهی ایمنی دارد، مشخص می‌شود که آن سازمان نتوانسته وظیفه‌اش را به‌درستی انجام دهد، بنابراین این سازمان‌های دولتی هم باید محل مواخذه و پرسش قرار بگیرند. با توجه به مجموع این قوانین و با وجود این سازمان‌ها و نهادها باید مباحث امنیتی و مباحث پدافند غیرعاملی بیشتر مورد توجه قرار بگیرد.

در واقع، باید محرز شود که داده‌هایی که از مردم تجمیع می‌شود، چه در سوپراپلیکیشن‌ها و مگاپلتفرم‌ها و چه در حوزه سلامت الکترونیک و... از امنیت معقولی برخوردار هستند یا حداقل سیستم‌های کدگذاری و رمزنگاری (encryption) در آن‌ها رعایت شود اما به نظر می‌رسد در حال حاضر این اتفاق‌ها نمی‌افتد.

برخی از کارشناسان معتقدند که نوع و میزان داده‌ای که پلتفرم‌های ایرانی از کاربران دریافت و ذخیره می‌کنند معقول نیست و اطلاعات بسیار جزئی از کاربران در پلتفرم‌ها ذخیره می‌شود؛ در این مورد چه نظری دارید؟

به نظرم داده‌هایی که در پلتفرم‌ها از کاربران جمع‌آوری می‌شود فاقد یک استاندارد درست است؛ یعنی اطلاعات مازاد در پلتفرم‌ها جمع‌آوری می‌شود و همین اطلاعات فراوان با جزئیات زیاد باعث می‌شود هکرها به دنبال دسترسی به این داده‌ها، جمع‌آوری و فروش آن‌ها باشند. کما اینکه خود این خرید و فروش داده هم محل اشکال و جرم است.