سالهاست که سیاستگذاران ایرانی دغدغه آن را دارند که با ارائه طرحی مشابه قانون GDPR اروپایی، نبض حفاظت از دادههای کاربران را به دست گیرند. در همین راستا، از سالهای گذشته مجلس پیگیر تصویب طرحی با نام «حکمرانی داده» بوده و به تازگی نیز وزارت ارتباطات هم اعلام کرد که در حال نگارش لایحهای با نام «حفاظت از داده» است تا آن را به مجلس ارسال کند. اگرچه حفاظت از اطلاعات شخصی افراد در فضای مجازی به خودی خود هدفی پسندیده است، اما نشتهای پیدرپی دادههای سازمانها و نهادهای دولتی در سالهای اخیر اعتماد به این موضوع را کاهش داده است. با این اوصاف است که حالا تصویب لایحهای برای حفاظت از دادهها، دغدغهای از جنس حفظ حریم خصوصی را برای مردم ایجاد کرده است.
قانونمند کردن حریم خصوصی
مدتی است زمزمههایی از برنامه وزارت ارتباطات برای ارائه طرحی پیرامون حفاظت از دادههای کاربران به گوش میرسد. اواسط دی ماه بود که عیسی زارعپور، وزیر ارتباطات از نهایی شدن پیشنویس لایحه قانون حمایت و حفاظت از دادههای شخصی خبر داد و اعلام کرد این لایحه پس از نهایی شدن در کمیسیون اقتصاد دیجیتال، آماده ارسال به کارگروه است. وی در آن جلسه تاکید کرد که این لایحه با هدف برطرف کردن نگرانی مردم از حفظ حریم خصوصی و دادههایشان در پلتفرمهای داخلی تهیه شده و قرار است با ایجاد نظام مشخصی برای مدیریت دادهها، حقوق و تکالیف دارندگان دادههای مردم به صورت کاملا شفاف و مشخص تدوین شود. طبق آنچه در آن جلسه مطرح شد، پیشینه آمادهسازی این لایحه از سوی دولت به بهمن ماه سال ۱۴۰۰ برمیگردد و حالا نیز آخرین اخبار حاکی از آن است که این لایحه به زودی به مجلس ارسال خواهد شد.
دستاندرکاران تهیه این لایحه، در دفاع از مفاد تعریف شده برای آن اظهار میکنند که چون تا امروز حریم خصوصی کاربران فضای مجازی در ایران مشمول قانونی نبوده تصمیم گرفتهاند چارچوبی مشخص تعریف کنند تا از نقض حریم خصوصی کاربران به اشکال مختلف از جمله استفاده از دادهها برای مقاصد تبلیغاتی جلوگیری کنند. آنها معتقدند از آنجا که مصادیق گردآوری، استفاده و نگهداری و افشای اطلاعات و مسوولیتهای متولیان دادههای شخصی از جمله شبکههای اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی به صورت دقیق مشخص نبوده و دارای ابهام است، ضرورت تصویب قانونی که این ابهامات را رفع کند بهشدت حس میشود. محمد خوانساری، رئیس سازمان فناوری اطلاعات نیز درباره این لایحه به خبرگزاری مهر گفته بود: تاکید ما در این لایحه آن است که استارتآپهایی که دادههای مردم را در اختیار دارند، در کنار رشد متوازنی که دارند، به درستی از دادههای مردم حفاظت کنند. وی تصریح کرده بود: «مثال ساده در این بخش، این است که کاربران دوست ندارند زمانی که با شماره خود در سایتی ثبتنام میکنند، آن شماره در اختیار شرکتهای تبلیغاتی قرار گیرد. تکلیف داده در این مقوله مشخص نیست؛ زیرا قوانین فعلی ما به دلیل بازخوانیهای متفاوت از قوانین، نمیتواند به شکل شفاف عمل کند. بنابراین یکی از مواردی که در بخش حقوقی مربوط به شرکتهای استارتآپی پیگیری میکنیم این است که بتوانیم در سال جاری لایحه حفاظت از دادههای شخصی را از طریق دولت به مجلس تقدیم کنیم.»
جای خالی زیرساخت و دانش جهانی
اگرچه رئیس سازمان فناوری اطلاعات در تاکید دغدغههای مردم درباره اطلاعاتشان به قرار نگرفتن آن داده در اختیار شرکتهای تبلیغاتی اشاره کرده، اما دغدغه جدی دیگری نیز در میان است که شاید کمتر به آن توجه شده است. در این سالها، بسیاری از استارتآپهایی که سرویسهایشان از محبوبیت زیادی میان عموم مردم برخوردار بوده است، بارها از فشار نهادهای امنیتی برای ایجاد دسترسی به داده کاربران سخن گفتهاند. موضوعی که اگر اهمیت آن نزد کاربران بیش از مزاحمت شرکتهای تبلیغاتی نباشد، کمتر نیست. حتی در این چند ماه که رویکرد سیاستگذار در مدیریت فضای مجازی، مسدودسازی پلتفرمهای خارجی برای کوچ دادن کاربران به پیامرسانها و شبکههای اجتماعی داخلی بود، این دغدغه مردم به وضوح خود را نشان داد. در این مدت کارشناسان از ضعف اعتماد کاربران به پلتفرمهای بومی به عنوان یکی از موانع جدی رشد تعداد کاربران این پلتفرمها یاد کرده و تاکید کردند که تا زمانی که خیال کاربران در مورد اینکه دادههای آنها دقیقا در اختیار کدام نهادها قرار میگیرد، حاضر به جایگزین کردن شبکههای اجتماعی خارجی با نسخههای بومی مشابه آن نیستند. کاربرانی که مخالف پیوستن به شبکههای اجتماعی داخلی بودند صراحتا تاکید داشتند که حاضرند ریسک قرار گرفتن اطلاعات آنها در اختیار شرکتهای خارجی را بپذیرند، اما عضو شبکههای اجتماعی داخلی نشوند که مشخص نیست کدام نهادها میتوانند به اطلاعات کاربران درآنها دسترسی داشته باشند.
اگرچه دولت در تهیه این لایحه تاکید دارد که شرکتهای استارتآپی را به حفاظت درست از دادههای مردم ملزم کند، اما تجربه این سالها نشان داده است که شاید ایجاد شفافیت درباره دادههایی که خود دولت از مردم در اختیار دارد، ضروریتر باشد. در یکی، دو سال اخیر، فضای مجازی مملو از اخبار هک پایگاه داده دستگاههای دولتی مختلف بوده است و عمق فاجعه برخی از این حملات سایبری به حدی بود که سیستمهای آن دستگاه برای ساعات و حتی روزهای طولانی مختل شدند. سعید سوزنگر از کارشناسان حوزه امنیت شبکه در گفتوگو با «دنیای اقتصاد» تاکید میکند که نکتهای که پیش از هرچیز باید به آن توجه شود آن است که فضای «امنیت اطلاعات» در واقع یک اکوسیستم جهانی است و موفق بودن در آن نیاز به تخصص، تجربه و دانش جهانی دارد. وی تاکید میکند تا زمانی که رویکرد قانونگذار آن باشد که این مساله را در یک فضای بسته و با مدل دستوری پیش ببرد و قرار باشد شرکتها را به رعایت الزاماتی مانند استفاده از یک زیرساخت بومی یا دستاورد یک شرکت دانشبنیان سوق دهد، در این مسیر راه به جایی نمیبرد و امنیتی که باید، حاصل نخواهد شد. وی معتقد است اکوسیستم امنیت کشور اکنون بیش از هرچیز نیاز به وصل شدن به اکوسیستم جهانی و دسترسی به فناوریهای روز دنیا دارد و هر زمان که رگولاتور از جای خود خارج شود و به جای فراهم کردن زیرساختها شروع به مداخله در نوع اجرای کار کند، استانداردها نقض شده و بحران شروع میشود. این درحالی است که در سالهای اخیر نه تنها بهبودی در این زمینهها حاصل نشده، بلکه شمار زیادی از متخصصان آیتی کشور نیز مجبور به ترک شغل فعلی خود و مهاجرت به کشورهای خارجی شده و کارفرمایان در پر کردن جای این نیروها ناکام ماندهاند.
قصد حاکمیت در تعریف چارچوبی برای حفاظت از دادههای کاربران به این لایحه اخیر محدود نیست و پیش از این نیز نمایندگان مجلس درصدد تصویب طرح مشابهی بودند. طرحی که «حکمرانی داده» نام داشت و نام نمایندگانی که مدافع طرح صیانت بودند نیز در لیست تهیهکنندگان آن به چشم میخورد. در آن زمان، رضا تقیپور، یکی از نمایندگان تهیهکننده این طرح در گفتوگوی خود با خبرگزاری مهر تاکید کرده بود که این طرح با هماهنگی دوستانی در شورای اجرایی فناوری اطلاعات آماده شده و افزوده بود: موضوع یکپارچهسازی اطلاعات ملی با هدف ارائه خدمات منسجم به مردم از جمله اهداف این طرح است و در این طرح پیشنهاد شده که کمیسیون دادهها و اطلاعات ملی (دوام) ذیل مرکز ملی فضای مجازی تشکیل شود. وی در آن زمان با اشاره به زمزمههایی که از تهیه لایحه مشابهی در دولت به گوش میرسید اظهار کرده بود: «دولت هر زمانی اختیار آن را دارد که لایحه به مجلس ارائه دهد و در بسیاری مواقع نیز سابقه این را داشتهایم که یک طرح مجلس با یک لایحه دولت ادغام شود؛ در این مورد نیز ما هیچ مخالفتی نداریم.»
با تمام اینها کارشناسان بر ضعفهای موجود در دسترسی به فناوریها، زیرساختها و دانش روز دنیا تاکید دارند و معتقدند تا زمانی که این موانع برطرف نشود، اساسا بعید است دستاورد آنچنانی در بهبود امنیت اطلاعاتی کاربران ایجاد شود.