حريم خصوصي کاربران، فعلا بدون دستورالعمل

پايان مهلت اجراي دستورالعمل حفاظت از حريم خصوصي کاربران

با اتمام دومين مهلت اجراي دستورالعمل حفاظت از حريم خصوصي کاربران، بررسي روند اجرايي آن در کسب و کارها و ارزيابي کارشناسان از بازدارندگي اين دستورالعمل نشان مي‌دهد که دستورالعمل مذکور از ضمانت اجرايي و بازدارندگي لازم و کافي برخوردار نيست و به اعتقاد برخي فقط تدوين يک دستورالعمل کافي نيست، بلکه بايد نظارت دقيقي هم بر اجراي آن هم اعمال شود.

با اينکه پيگيري «دنياي‌اقتصاد» از اجراي اين دستورالعمل در اکثر کسب و کارها بي‌‌پاسخ ماند، اما برخي پلتفرم‌‌ها توضيحاتي درباره اقدامات امنيتي خود در راستاي حفظ حريم خصوصي کاربران، از جمله ناشناس کردن ديتاي کاربران و افزايش پاداش کشف و گزارش باگ، ارائه کردند.

سکوت کسب و کارها

حسين دليريان، سخنگوي مرکز ملي فضاي مجازي، در 14 ارديبهشت‌‌ماه امسال از تمديد دو ماهه مهلت اجراي دستورالعمل حفاظت از حريم خصوصي کاربران خبر داد.

اين در حالي است که مهلت اجراي اين دستورالعمل پيش از اين تا 27 اسفند ماه سال گذشته بود.

دليريان ضمن اعلام تمديد اين مهلت گفت که طي آخرين پيگيري‌‌هايي که در سال گذشته توسط کميسيون عالي تنظيم مقررات فضاي مجازي کشور صورت گرفت، سکوها و سامانه‌‌ها در حال اجراي آن هستند.

ماجرا از اين قرار است که مساله تامين و حفاظت از امنيت داده‌‌هاي کاربران در فضاي مجازي با حملات سايبري و نشت داده‌‌هاي خصوصي در يک سال اخير براي مسوولان جدي شد؛

تا جايي که محمد امين آقاميري، رئيس مرکز ملي فضاي مجازي در 27 دي ماه سال 1402 دستورالعمل حفاظت از داده‌‌هاي کاربران را ابلاغ کرد.

حالا با اتمام دومين مهلت اجراي دستورالعمل حفاظت از حريم خصوصي کاربران، روند اجرايي آن در کسب و کارها و ارزيابي کارشناسان از بازدارندگي اين دستورالعمل بررسي شده است.

به گفته سخنگوي مرکز ملي فضاي مجازي تا قبل از سال جديد، بخش‌‌هايي از دستورالعمل که امکان اجراي سريع‌‌تر آن وجود داشت، توسط کسب و کارهاي بخش خصوصي و سامانه‌‌هاي دولتي اجرا شده و بقيه مفاد دستورالعمل نيز در مسير اجرا قرار داشت.

اين در حالي است که برخي پلتفرم‌‌ها به پيگيري «دنياي‌اقتصاد» درباره اجراي دستورالعمل حفاظت از حريم خصوصي پاسخگو نبودند.

البته برخي پلتفرم‌‌ها توضيحاتي درباره اقدامات امنيتي خود در راستاي حفظ حريم خصوصي کاربران از جمله ناشناس کردن ديتاي کاربران و افزايش پاداش کشف و گزارش باگ ارائه کردند.

طبق اين دستورالعمل، کليه ارائه‌‌دهندگان خدمات فضاي مجازي ملزم به اعلام دقيق و شفاف سياست‌‌هاي حفظ حريم خصوصي و اخذ رضايت صريح از کاربران در خصوص اين سياست‌‌ها هستند.

همچنين در اين دستورالعمل مراحل حذف داده‌‌ها از پلتفرم‌‌ها و سامانه‌‌هاي کشور نيز تعيين و مشخص شده است.

بر اساس اين ابلاغيه، پلتفرم‌‌هاي ارائه‌‌دهنده خدمات بايد داده‌‌هاي کاربران را فقط در حد اقلام موردنياز و متناسب با اهداف صريح و مشخص جمع‌‌آوري کنند.

اين سکوها بايد امکان حذف بدون قيد و شرط تمام يا بخشي از داده‌‌هاي کاربران را نيز فراهم کنند تا در صورت درخواست کاربران ضمن رعايت مفاد قانون آيين دادرسي کيفري اين حذف را انجام دهند.

علاوه بر اين، پلتفرم‌‌ها و سامانه‌‌ها فقط در صورتي مي‌توانند به ارائه خدمات ادامه دهند يا مجوزهاي فعاليتشان را تمديد کنند که تنظيم‌‌گران بخشي و مراجع صدور مجوز، پس از سنجش و ارزيابي نهايي اطمينان حاصل کنند که مقررات تعيين‌‌شده از طريق سازوکار نظارتي تدوين‌‌شده توسط مرکز ملي فضاي مجازي توسط پلتفرم رعايت شده است.

……………………………………………………………………..

بیشتر بخوانید : هوش مصنوعی چیست

……………………………………………………………………..

با توجه به الزامات اين دستورالعمل براي کسب و کارها، پلتفرم ديوار به‌‌عنوان يکي از کسب و کارهاي ديجيتال در گزارشي از اقدامات انجام شده براي ارتقاي امنيت و حفظ حريم خصوصي کاربران خود که براي «دنياي‌اقتصاد» ارسال کرده، از الزام تيم خود به نگهداري ديتا صرفا در دو مورد مشخص ملزم مي‌‌گويد: يکي در بازه زماني تعيين شده از سوي قانون و براي انجام تکاليف قانوني و ديگري داده‌‌هاي مورد استفاده در تحليل فرآيندهاي کسب و کار.

بر اساس قانون جرائم رايانه‌‌اي، ارائه دهندگان خدمات دسترسي بايد داده‌‌هاي ترافيک را حداقل تا 6ماه پس از ايجاد و اطلاعات کاربران را نيز حداقل تا 6 ماه پس از خاتمه اشتراک نگهداري کنند.

ارائه اين اطلاعات نيز تنها با حکم قضايي و آن هم به صورت موردي امکان‌‌پذير است.

در ادامه گزارش ديوار با اشاره به اين موضوع آمده است: «به غير از اين تکليف ما هيچ ديتاي متصل به کاربر را (ديتايي که بتواند هويت و اطلاعات خصوصي کاربران را افشا کند) نگهداري نمي‌‌کنيم.

خط قرمز ما در تمام اين سال‌ها، رعايت اين مساله و پايبندي به آن بوده است.»

ناشناس کردن ديتاي کاربران و افزايش پاداش کشف و گزارش باگ دومين اقدام کليدي ديوار براي ارتقاي امنيت اطلاعات کاربران است.

اين پلتفرم در ناشناس کردن اطلاعات يا همان Anonymization داده‌‌ها که براي حفاظت از داده‌‌هاي کاربران و حفظ حريم شخصي آنها صورت مي‌گيرد، اينگونه عمل مي‌کند که به صورت خودکار داده‌‌هاي حساس کاربران مثل شماره تلفن، آدرس، مشخصات فردي و… را پس از پايان مهلت 6 ماهه قانوني در ديتا حذف مي‌کند. ديوار اين اقدام را در عدم‌انتشار اطلاعات خصوصي و حساس کاربران حتي زمان هک تاثيرگذار مي‌‌داند.

همچنين، ديوار پاداش کشف و گزارش باگ يا همان باگ‌‌بانتي ديوار را تا يک ميليارد تومان افزايش داده تا هکرهاي کلاه سفيد (متخصصان امنيت) را تشويق به گزارش باگ‌‌ها کند.

علاوه بر اين، آن دسته از پژوهشگران امنيت را که با کشف و گزارش آسيب‌‌پذيري باعث بالا رفتن سطح امنيت محصولات ما و کاربرانمان مي‌‌شوند، به رسميت مي‌‌شناسند.

البته کسب و کارهاي ديگري از جمله کافه بازار، اسنپ و تپسي نيز اقداماتي در خصوص همکاري با متخصصان امنيت و هکرهاي کلاه‌‌سفيد انجام داده‌‌اند.

طبق اعلام شهاب خدابخش، مديرعامل کافه بازار، اين پلتفرم از هنگام افزايش سقف باگ‌‌بانتي خود به يک ميليارد تومان، تا امروز 200 ميليون تومان باگ‌‌بانتي به هکرهاي کلاه‌‌سفيد پرداخته است.

کافه بازار در بهمن سال 1402 با اعلام خبر افزايش سقف باگ‌‌بانتي، تاکيد کرد که به پژوهشگران امنيت که با کشف و گزارش آسيب‌‌پذيري‌‌ها باعث بالا رفتن سطح امنيت بازار و کاربرانش مي‌‌شوند تا سقف يک ميليارد تومان جايزه مي‌دهد.

اسنپ نيز پس از هک اسنپ‌‌فود در سال گذشته برنامه‌‌ «باگ‌‌بانتي» يا مسابقات ارزيابي امنيتي و شناسايي باگ خود را گسترش داد و پاداش پيدا کردن آسيب‌‌پذيري‌‌ها براي شرکت‌هاي زيرمجموعه‌‌ گروه اسنپ که در محدوده برنامه باگ بانتي هستند، به 150 ميليون تومان رسيد. تپسي نيز در همان سال در اطلاعيه‌‌‌‌‌‌اي از افزايش سقف جايزه کشف باگ پلتفرم از 30 به 120ميليون تومان خبر داد.

خلأهاي قانوني در امنيت داده

با اين اوصاف به نظر مي‌رسد که با توجه به عدم‌پاسخگويي برخي کسب و کارها درباره اجراي دستورالعمل حفاظت از حريم خصوصي کاربران، احتمالا آنها هنوز الزامات دستورالعمل را اجرا نکرده‌‌اند.

موضوعي که کارشناسان هم به آن اشاره مي‌کنند و به اعتقاد آنها اين دستورالعمل ضمانت اجرايي و بازدارندگي ندارد.

پويا پوراعظم، کارشناس فناوري، در گفت‌‌وگو با «دنياي‌اقتصاد» از نبود قانون مشخص در حوزه امنيت داده انتقاد مي‌کند و معتقد است که دستورالعمل مرکز ملي فضاي مجازي ضمانت اجرايي مانند قانون ندارد. او در ادامه صحبت‌‌هاي خود با اشاره به قانون حفاظت از داده اتحاديه اروپا درباره لزوم تدوين جرائم سنگين براي کسب و کارها در صورت نشت داده‌‌هاي مردم گفت و تاکيد کرد: «زماني که حفاظت از داده و حريم خصوصي کاربران به يک قانون تبديل و در آن، بازدارندگي و جرايم سنگيني براي کسب و کارها ديده شود، آن وقت کسب و کارها هم سرمايه‌گذاري جدي بر امنيت داده‌‌ها خواهند کرد.»

به گفته پوراعظم قوانين و دستورالعمل‌‌هاي مرتبط با امنيت داده بايد به‌‌گونه‌‌اي تدوين شوند که امکان شکايت براي کاربران از کسب و کارها ايجاد شده باشد.

او در بخش ديگري از صحبت‌‌هاي خود با اشاره به لايحه حفاظت از داده‌‌هاي شخصي معتقد است از آنجا که بخش زيادي از آن برگرفته از قانون حفاظت از داده اتحاديه اروپاست، قانون شدن آن بهتر از بي‌‌قانوني در حوزه امنيت داده است.

حميدرضا ولي‌‌زاده، مدير دپارتمان امنيت رادين، نيز در گفت‌‌وگو با «دنياي‌اقتصاد» از نبود قانون مشخص درباره امنيت داده در ايران صحبت مي‌کند و مي‌‌گويد: «در راستاي حفظ حريم خصوصي ابتدا بايد بتوانيم به يک تعريف مشخص از حريم خصوصي برسيم.

در کشورهاي خارجي در صورت استفاده غيرقانوني از اطلاعات و داده‌‌هاي حساس يک شخص، امکان ثبت شکايت و دريافت غرامت وجود دارد، اما در ايران هم چنين نمونه قانوني وجود ندارد.»

او در ادامه صحبت‌‌هاي خود مطرح کرد که دستورالعمل حفاظت از حريم خصوصي کاربران و لايحه حفاظت از داده‌‌هاي شخصي مردم هزينه زيادي براي کسب و کارها در بر خواهد داشت.

به اعتقاد اين کارشناس مسوولان بايد در کنار نظارت درست بر اجراي اين دستورالعمل‌‌ها کمک و تسهيلاتي براي بهبود اجراي آن در اختيار کسب و کارها قرار دهند.

با اين اوصاف و با توجه به اتمام مهلت دوم اجراي دستورالعمل حفاظت از حريم خصوصي کاربران و پاسخگو نبودن کسب و کارها در اين خصوص، بايد منتظر ماند و ديد آيا اين مهلت در روزهاي آتي تمديد مي‌شود و مرکز ملي فضاي مجازي گزارشي از عملکرد مشمولان اين دستورالعمل منتشر مي‌کند يا تحليل کارشناسان مبني بر نبود ضمانت اجرايي براي اين دستورالعمل تاييد خواهد شد.

منبع : دنیای اقتصاد

مقالات مرتبط :

تسهيلات چيست؟ تسهيلات قرض الحسنه

کريپتو/رمز ارز/ارز ديجيتال

چگونه براي کسب و کارمان سرمايه جذب کنيم؟