خبرگزاری مهر-حکمرانی مجازی؛ سیدرضا حسینی: بر اساس آمار و اطلاعات موجود و پیشبینی موسسه «Aureus Analytics» در مورد روند رشد دادهها در بازه زمانی سالهای ۲۰۲۱ تا ۲۰۲۶، حجم دادههای تولید شده در جهان، سالانه ۴۰ درصد افزایش خواهد یافت. روند ذخیرهسازی اطلاعات و بهکارگیری آنها از سوی شرکتها تا زمان نشت اطلاعات و نقض مکرر دادههای عمومی شرکتهای بزرگ و مشهوری چون فیسبوک و یاهو، به صورت عادی تداوم داشت اما حوادث یاد شده، منجر به افزایش تقاضا برای قانونگذاری و حکمرانی دادهها از سوی طیف گستردهای از ذینفعان این حوزه شد.
حکمرانی داده چیست؟
بر اساس تعریف ارائه شده از سوی موسسه «Data Governance Institute»، حکمرانی داده، عبارت است از: «یک سیستم جامع از حقوق تصمیمگیری و پاسخگویی برای فرایندهای مربوط به اطلاعات». این چارچوب حقوقی، بر اساس مدلهای مورد توافق، توضیح میدهد که چه کسی با چه ویژگیهایی، تحت چه شرایطی و با چه روشهایی میتواند از دادهها استفاده کند.
مقررات عمومی حفاظت از داده اتحادیه اروپا
شاید بتوان بهترین مصداق تدوین و اجرای قوانین حوزه حکمرانی داده را در سطح فراملی، « مقررات عمومی حفاظت از داده اتحادیه اروپا» دانست. تدوین و تصویب این قانون در ۱۴ آوریل ۲۰۱۶ به پایان رسید و پس از گذشت دو سال، از ۲۵ مه ۲۰۱۸ اجرایی شد. بر اساس پیش بینیهای حقوقی صورت گرفته، کشورهای عضو برای اجرای این قانون، به تصویب قوانین مشابه جداگانه در مقیاس ملی نیاز ندارند و اجرای مفاد آن برای کشورهای عضو به صورت خودکار، ضروری است.
بر اساس این قانون همه پلتفرمهای آنلاین که با اتحادیه اروپا مراوده دارند، فارغ از محل استقرارشان باید اطلاعات شخصی افراد و کاربرانی را که در اختیار دارند را با استفاده از حداکثر محرمانگی ذخیره سازی و نگهداری کنند. به عبارت دیگر، این دادهها به هیچ وجه نباید بدون رضایت صریح صاحب اطلاعات به طور عمومی در دسترس قرار گیرد. علاوه بر این، هیچ نوعی از اطلاعات شخصی نیز نمی تواند خارج از مبانی اساسی مقررات وضع شده، پردازش شود.
دیتا در انگلیسی چگونه قانونمند می شود
علاوه بر این، کشور انگلیس نیز با اجرای قانون حفاظت از داده از سال ۲۰۱۸، نحوه استفاده سازمانها، کسب و کارها و دولت را از اطلاعات شخصی کاربران تعیین کرده است. قانون یاد شده، مشابهت بسیاری با قوانین اتحادیه اروپا دارد. بر اساس اصول کلی آن، همه نهادهایی که دادههای شخصی کاربران را در اختیار دارند، باید از مجموعه قوانین سختگیرانهای موسوم به «اصول حفاظت از داده» پیروی کنند. برخی از این اصول عبارتند از:
· استفاده منصفانه، قانونی و شفاف از دادهها
· استفاده از اطلاعات صرفا برای اهداف خاص و شفاف
· عدم نگهداری داده بیش از مدت زمان لازم
· تضمین حفظ امنیت اطلاعات در برابر پردازش غیرقانونی، تخریب یا سرقت
تجربه کره جنوبی
در کشور کره جنوبی نیز مسئله حفاظت از اطلاعات شخصی کاربران مورد توجه قرار گرفته و تقسیم کاری مشخص برای این امر در میان متولیان امر، صورت پذیرفته است.
· سازمانهایی چون کمیسیون حفاظت از اطلاعات شخصی (PIPC)، ذیل قانون حفاظت از اطلاعات شخصی شکل گرفته و مسئول نظارت بر نحوه نگهداری و استفاده از این اطلاعات است.
· کمیسیون خدمات مالی (FSC) در ساختار قانونگذاری کره جنوبی، حفاظت از دادههای مالی و اعتباری را بر عهده دارد.
· کمیسیون ملی حقوق بشر، به صورت کلی بر مسئله حفظ حقوق بشر در این کشور تمرکز دارد و حفاظت از دادههای کاربران را نیز به عنوان یکی از مصادیق حقوق بشر، در دستور کار دارد.
· سازمان اینترنت و امنیت کره جنوبی (KISA) نیز در زمینه حفاظت از دادهها، نقش ارائه پشتیبانی و کمک به دولت و سازمانهای دولتی در مواجهه با موارد نقض داده را بر عهده دارد و در این خصوص، اقدام به مشاوره و تدوین خط مشی میکند.
ایران و سرگردانی اطلاعات
با وجود رشد روزافزون حجم اطلاعات در اختیار شرکتهای فناوری و رسانههای دیجیتال و آگاهی اغلب کشورها در مورد لزوم تدوین سیاست کلان در این حوزه، این موضوع در ایران تا حدود زیادی مغفول واقع شده و هنوز مقررات مشخصی برای تنظیم حکمرانی داده در کشور وضع نشده است به طوریکه از سویی حجم انتقادات و هشدارهای کارشناسان و متخصصان در این باره افزایش یافته و از سوی دیگر شرکتهایی که با اطلاعات کاربران سر و کار دارند درگیر یک نابسامانی و بی قانونی در این زمینه هستند به ویژه آنکه به نظر می رسد، هیچ ساز و کار مشخصی برای استفاده قانونی از داده ها وجود ندارد. همچنین از آنجا که داده ها جزء سرمایه های ملی کشورها به شمار می رود، موضوع امنیت آنها نیز مطرح است و برای در امان ماندن از گزندهای احتمالی سایبری باید قوانین و سازوکارهای اجرایی لازم در دستور کار قرار گیرد.
مدیران برخی شرکتهای خدمات آنلاین چندی پیش در همین زمینه اظهار نظرهایی داشته اند که از آن جمله می توان به درخواست پلیس فتا برای پیگیری پروندههای خرید از کارتهای بانکی دزدیده شده اشاره کرد. مدیر یکی از این شرکتها در این زمینه عنوان کرده بود: «پلیس فتا از شرکت درخواست ارائه اطلاعات IP کاربر را داشته است البته از نظر من بهتر و راحتتر هست که این اطلاعات از بانک دریافت شود اما بههرحال ما در موارد کلاهبرداری اینترنتی حداکثر همکاری را با پلیس داشتهایم. اما در اختیار قرار دادن اطلاعات، پا را فراتر از این مورد نگذاشته ایم.»
یک شرکت دانش بنیان نیز مثال دیگری از درخواست برای استفاده از پاره ای اطلاعات کاربران را عنوان کرده بود که به اذعان این شرکت، براساس قانون، اطلاعات تنها می تواند در اختیار ۲ نهاد قرار گیرد.
این دو نمونه شاهدی بر این است که سازوکار مشخصی برای درخواست و استفاده مجاز از داده در کشور ایجاد نشده و شرکتهایی که با اطلاعات کاربران سر و کار دارند در مواجهه با درخواست اطلاعات از نهادهای مختلف به نوعی با سردرگمی مواجه اند.
یاسر جلالی، کارشناس حوزه حکمرانی فضای مجازی، اخیرا با اشاره به این خلاء های موجود می گوید: در سالهای گذشته، چند تن از مدیران اپلیکیشنهای داخلی در فضای مجازی از درخواست نهادهای امنیتی و انتظامی برای دسترسی به اطلاعات کاربران، بدون داشتن حکم قضایی از دادگاه گلایه داشتهاند.
بر اساس سخنان جلالی، از سوی دیگر طی سه سال اخیر شاهد درز اطلاعات کاربران و دادههای مردم از دستگاههای دولتی و غیر دولتی از جمله بانکها، بنادر، اپ های ایرانی و غیره بودهایم که باعث شد داده کاربران به راحتی در فضای وب قابل دسترسی باشد. بر اساس آمارها ۶۰ درصد جرایم رایانهای از جمله فیشینگ و سرقت در حوزه مالی اتفاق میافتد. همه اینها به این دلیل است که پیش نیازهای این حوزه در زمینه احراز هویت تأمین نشده است.
الفبای قانونگذاری برای داده
دکتر محمدجعفر نعناکار، حقوقدان فضای مجازی در گفتگو با خبرنگار مهر در همین باره می گوید: اصولا داده ها از منظرهای مختلف قابلیت تقسیم بندی دارند که یکی از این تقسیم بندیها، دو نوع ملی و فراملی است. بحث شبکه ملی اطلاعات و ایجاد و ذخیره و پایش دادههای ملی در مرزهای سایبری داخلی از مصادیق حکمرانی داده در سطح ملی محسوب میشود و همچنین استفاده از دادههای خارجی و به اشتراک گذاشتن بحشی از دادههای ملی با افرادی خارج از مرزهای سیاسی جغرافیایی کشور مباحثی هستند که ذیل بخش فراملی این تقسیم بندی مطرح میشوند. این سطح بندی کلی خود سطح بندیهای ثانویه را در پی دارد مانند امنیت اطلاعات داخلی، پایش دادههای خارجی، مالکیت دادهها که برای هر کدام میتوان قوانین مخصوصی تدوین و تصویب کرد؛ مراجع قانونگذاری این مسائل در سطح داخلی متفاوت از مراجع بینالمللی است. برای مثال در داخل کشور متولی اصلی این امر شورای عالی فضای مجازی است؛ البته ارکانهای دیگری نیز در این حوزه فعال هستند.
وی افزود: هر کشوری ابتدا سیاستهای کلی حکمرانی داده را تبیین میکند و بعد بر اساس آن سیاست های کلی عملکردهای جزئی را تعریف میکند. این فرایند سبب میشود که کشورها، جدای از بحث سطح توسعه و بخصوص کشورهای مشترک المنافع مانند اتحادیهی اروپا بر اساس سیاستهای خودشان قوانینی را تنظیم میکنند. مثلا در اتحادیهی اروپا، «جیدیپیآر» این نقش را ایفا میکند. در بسیاری از کشورها نیز قوانین مبتنی بر تمامیت داده یا حمایت از دادههای شخصی را داریم که بر اساس همین قوانین سعی در تعمیق حکمرانی خود، در این حوزه دارند.
وی اضافه کرد: در کشور ما اما به علت نوع نظام حکمرانی داده کشور، اصولا تعمیق حکمرانی با چالشها و مشکلات عدیدهای از جمله عدم اقبال عمومی و فرهنگسازی و اقناع افکار عمومی رو به رو است. اساسی ترین خط مشی که کشورهای موفق در این حوزه بر اساس آن عمل کرده و به نتیجه رسیدهاند، مسئله اقناع افکار عمومی است. اقناع افکار عمومی دارای اهمیت زیادی است و باید مقدم بر قانون گذاری و تدوین و تصویب سیاستهای کلان باشد.
در کشور ما اما به علت نوع نظام حکمرانی داده کشور، اصولا تعمیق حکمرانی با چالشها و مشکلات عدیدهای از جمله عدم اقبال عمومی و فرهنگسازی و اقناع افکار عمومی رو به رو است. اساسی ترین خط مشی که کشورهای موفق در این حوزه بر اساس آن عمل کرده و به نتیجه رسیدهاند، مسئله اقناع افکار عمومی استاین حقوقدان فضای مجازی افزود: به عبارت دیگر برای فرایند حکمرانی داده، مخاطبان و استفاده کنندگان این داده ها باید چرایی و چگونگی نیاز موجود به حکمرانی را بپذیرند، قواعد تدوین شده باید با مشارکت ذی نفعان باشد و خود این افراد میتوانند برای هنجارسازی همکاری کنند و چنین فرایندی، خود به توسعه یافتگی کشور کمک میکند.
وی اظهار داشت: متاسفانه در داخل کشور به علت وجود نهادهای متعدد قانونگذار و متصدی امور در این حوزه ما با وضعیت مطلوبی مواجه نیستیم. در داخل کشور، هنوز تفکیک نظری و عملی درستی بین مفاهیمی مثل شبکه ملی اطلاعات و اینترنت جهانی، دادههای شخصی، داده های عمومی و دادههای خصوصی و داده های غیر عمومی، وجود ندارد. ابتدا نیاز است تا این مفاهیم تعریف، مصادیق آن مشخص شود و سپس متولی اصلی امر تعیین گردد. مراکز فعال متعددی وجود دارند که باعث میشوند، حکمرانی داده در ایران چارچوب درستی پیدا نکند. یعنی نظام و قواعد کلی درستی وجود ندارند که معماری حقوقی بر آن اعمال شود و ساختمانی مستحکم و مقبول و کارآمد بسازد. شورای عالی فضای مجازی، مرکز ملی فضای مجازی، ساترا، کمیسیون تنظیم مقررات در وزارت ارتباطات، شورای اجرایی فناوری اطلاعات، سازمان فناوری اطلاعات ایران، مجلس شورای اسلامی، شورای عالی انقلاب فرهنگی و ... بخشی از نهادهای متعدد فعال در این حوزه هستند.
وی تاکید کرد: از همین رو، ما در این زمینه با چالش های نظری و حکمرانی زیادی مواجه هستیم. حکمرانی خود سه سطح دارد. حکمرانی داده، حکمرانی سایبری و حکمرانی فضای مجازی که نیاز است تبیین شوند.
نعناکار با اشاره به چشم انداز آتی کشور در این زمینه گفت: در حوزه حکمرانی داده اگر با همین روش پیش برویم، چشم انداز روشنی وجود ندارد و چشم انداز غبار آلود است. ما نیاز داریم طبق حکم مقام معظم رهبری به شورای عالی فضای مجازی، در مورد تجمیع نهادهای موازی، شوراها و مراجع تصمیم گیری کاری کنیم. نکته بعدی مشارکت دهی بخش خصوصی و متخصصین در تصمیم گیری است. در روند سیاست گذاری یک مسئله افراد متخصص حضور ندارند و فقط سیاستگذاران در فرایند حضور دارند. این شرایط باید تغییر کند. خصوصا در فضای مجازی که فضای موازی زندگی عملی افراد است حتما باید مخاطبین، سرمایه گذاران و فعالان این حوزه در تدوین حکمرانی و سطوح و ابعاد مختلف آن از جمله حکمرانی داده، مشارکت جدی داشته باشند.
وی تاکید کرد: علاوه بر این، این که افراد متوجه بشوند چه داده هایی خصوصی، عمومی، غیر عمومی و ملی محسوب میشوند و چه داده هایی قابلیت انتشار رایگان، تجزیه و تحلیل و ایجاد داده های جدید دارند، امری بسیار حائز اهمیت است. تمام این امور، باید در یک نظام حکمرانی تبیین شوند و سپس در ساختار خورد، نظام حقوقی، آیین نامه ها و لوایح، طبق آن، اصول کلی ابلاغ شوند.
وی ابراز امیدواری کرد: با استقرار دولت جدید که رئیس جمهور ریاست شورای عالی فضای مجازی را هم بر عهده خواهد گرفت، این مشارکت عمومی پررنگ تر شود و ابعاد و سیاست های کلی معلوم شود و بر اساس آن بتوان حکمرانی را در ابعاد و زوایای مختلف از جمله حکمرانی داده تبیین با آن خط مشی کلی حرکت کرد.
صیانت از داده؛ صیانت از کاربران
در شرایطی که عدم وجود رویهای مشخص و چارچوبمند در مسئله مدیریت اطلاعات در کشور احساس میشود، به نظر میرسد که مجلس شورای اسلامی اقداماتی را در راستای قانونگذاری حوزه حکمرانی داده آغاز کرده است و علاوه بر طرح حمایت از حقوق کاربران در فضای مجازی، طرح دیگری نیز در دست بررسی قرار دارد.
یکی از بخش های طرح حمایت از کاربران، صیانت از حریم خصوصی کاربران و جلوگیری از دسترسی غیرمجاز به دادههای آنها است که مهمترین بندهای آن عبارتند از: احراز هویت معتبر کاربران و حفظ اطلاعات کاربران مطابق تعهدات و قوانین موضوعه، عدم انتقال دادههای مرتبط با هویت کاربران ایرانی به خارج از کشور، ذخیرهسازی و پردازش دادههای کاربران ایرانی صرفاً در شبکه ملی اطلاعات، عدم دریافت دادهها و دسترسیهای غیرضروری با خدمت ارائهشده از کاربران.
براساس این طرح مصادیق دادههای مرتبط با هویت کاربران ایرانی توسط کمیسیون مشخص می شود و همچین در یکی از تبصره های آن تاکید شده که خدمات پایه کاربردی مالک دادههای کاربران ایرانی نیستند.
هر شخص حقیقی و حقوقی که مسئول حفظ و صیانت از دادههای کاربران بوده و یا دادهها و سامانههای آنها در اختیار وی باشد و موجبات دسترسی اشخاص فاقد صلاحیت یا افشای این دادهها را فراهم نماید علاوه بر جبران خسارت وارده و حبس درجه پنج، به یکی دیگر از مجازات همان درجه محکوم میگردد. درصورتیکه دادهها مربوط به بیش از ده هزار کاربر باشد، مجازات مرتکب یک درجه تشدید میشودهمچنین در یکی دیگر از مواد این طرح آمده است: هر شخص حقیقی و حقوقی که مسئول حفظ و صیانت از دادههای کاربران بوده و یا دادهها و سامانههای آنها در اختیار وی باشد و موجبات دسترسی اشخاص فاقد صلاحیت یا افشا این دادهها را فراهم نماید علاوه بر جبران خسارت وارده و حبس درجه پنج، به یکی دیگر از مجازات همان درجه محکوم میگردد. درصورتیکه دادهها مربوط به بیش از ده هزار کاربر باشد، مجازات مرتکب یک درجه تشدید میشود.
از سوی دیگر رضا تقی پور انوری، عضو کمیسیون صنایع مجلس، طی گفتگویی با مهر در تاریخ ۲۱ تیر ماه، خبر از اتمام بررسی طرحی جدید موسوم به «یکپارچه سازی داده و اطلاعات ملی» در کمیته ارتباطات مجلس داده و اعلام کرد که موضوع یکپارچه سازی اطلاعات ملی با هدف ارائه خدمات منسجم به مردم از جمله اهداف این طرح است.
وی در این مورد گفت: در این طرح بر حفظ حریم خصوصی و اطلاعات افراد در راستای یکی از فاکتورهای اصلی حکمرانی داده تاکید شده است. این طرح در قالب ۱۵ ماده در کمیسیون صنایع و معادن و کمیته ارتباطات مجلس بررسی و تصویب شده و هم اکنون در صف ارائه در صحن قرار دارد.
تقی پور در ادامه با اشاره به سایر طرحهای در دست بررسی از سوی مجلس شورای اسلامی نیز، گفت: طرح «نظام جامع مدیریت دادههای کشور» در طرح «الزام به انتشار داده و اطلاعات عمومی» ادغام شده است. در این طرح موضوع الزام به انتشار داده و اطلاعات و تدوین مقررات برای جمع آوری، نگهداری و تبادل داده و رعایت آنها، مورد توجه قرار گرفته است.»