توضیح پلیس فتا درباره مسئولیت کسب‌وکارها در قبال افشای اطلاعات کاربران

بارها شنیده شده است که اطلاعات کاربران یک کسب‌وکار توسط هکرها به سرقت رفته و در فضای مجازی به فروش می رسد. از سوی دیگر مدتی پیش فروش پک‌های احراز هویت به همراه تصویر کاربران در شبکه‌های اجتماعی خبرساز شد. اما پلیس فتا در این رابطه چه اقداماتی انجام داده است و اساساً چرا کسب‌وکارهای اینترنتی برای احراز هویت کاربران، از آنها تصویر چهره‌شان در زمان نگه‌داشتن مدارک شناسایی را طلب می‌کنند؟

در همین رابطه گفتگویی انجام داده‌ایم با سرهنگ دوم «علی محمد رجبی»، کارشناش ارشد امنیت سایبری پلیس فتا. او پاسخ‌های مهمی به چرایی این اتفاق می‌دهد و مشکل اصلی را در نبود یک سیستم یکپارچه برای احراز هویت کاربران از سوی کسب‌وکارهای اینترنتی بیان می‌کند. رجبی همچنین در گفتگو با دیجیاتو، فروش اطلاعات کاربران در فضای مجازی را از خطوط قرمز پلیس فتا می‌داند. او عقیده دارد که وجود نقص در سامانه‌های امنیتی و کوتاهی کسب‌وکارها در این خصوص برای آن ها مسئولیت آفرین است و پلیس فتا تلاش دارد تا از حقوق کاربران و حریم خصوصی آن ها در این حوزه مراقبت نماید.

امیر مستکین - دیجیاتو: با توجه به فروش پک احراز هویت در فضای مجازی، کسب‌وکارهای اینترنتی که از کاربران خودشان برای احراز هویت عکس شخصی به همراه شماره ملی و کارت‌بانکی می‌گیرند، آیا در حال انجام کاری قانونی هستند؟

علی محمد رجبی، کارشناش ارشد امنیت سایبری پلیس فتا: بر اساس ماده ۳۲ قانون جرائم رایانه‌ای، ارائه‌دهندگان خدمات دسترسی موظف‌اند داده‌های ترافیک را حداقل تا شش ماه پس از ایجاد حفظ نمایند و اطلاعات کاربران را حداقل تا شش ماه پس از خاتمه اشتراک نگهداری کنند.

البته این‌طور نیست که تمام کسب‌وکارها را مصداق ارائه‌دهندگان دسترسی بدانیم ولی آنچه مهم است، اینکه کسب‌وکار باید بتواند به شیوه‌ای مناسب کاربر و خدمت گیرنده خود را شناسایی کند، به‌خصوص زمانی که کسب‌وکار از تراکنش مالی برخط استفاده می‌کند.

لذا با توجه به این موضوع، احراز هویت توسط کسب‌وکارها برای ارائه خدمات موردنظر قانونی است و هر کسب‌وکار اینترنتی با توجه به نوع خدمات قابل‌ارائه باید اقدام به دریافت اطلاعات از کاربران نماید.

البته باید متذکر شد به دلیل نبود ساختار مناسب و یکپارچه جهت احراز هویت کاربران برای هر کسب‌وکار و همچنین ضرورت اجرای قوانین و دستورالعمل‌ها در خصوص احراز هویت کاربران مانند ماده فوق‌الذکر، موجب شده که برخی کسب‌وکارها به‌خصوص کسب‌وکارهایی که خدمات مالی ارائه می‌دهند اقدام به دریافت اطلاعات هویتی کاربران با شیوه‌های مختلف ازجمله دریافت عکس فرد همراه باکارت ملی نمایند.

مواردی هم که از فروش هویت کاربران در فضای مجازی مشاهده می‌شود عمدتاً مربوط به صرافی‌هایی هستند که برای ارائه خدمات غیرحضوری مالی از شیوه دریافت عکس فرد همراه باکارت ملی استفاده کرده بودند و متأسفانه به دلیل ضعف در امنیت با مشکل هک و سرقت اطلاعات مواجه شدند. که البته این امر برای آن‌ها پیامدهای قانونی به دنبال دارد.

راه‌حل درست برای سایت‌های اینترنتی جهت انجام احراز هویت چیست و آیا سایت‌های مختلف نیاز به سطوح متفاوتی از احراز هویت هستند؟

راه‌حل درست این کار پیاده‌سازی نظام یکپارچه احراز هویت در فضای مجازی کشور توسط دستگاه‌های حاکمیتی مانند ثبت‌احوال، بانک مرکزی و وزارت ارتباطات است. که متأسفانه پیشرفت مناسبی نداشته است و این خلأ موجب شده کسب‌وکارهای اینترنتی با توجه به نوع خدمات خود اقدام به احراز هویت کاربران نماید.

البته پلیس فتا در سال‌های اخیر سعی کرده در قالب سند نظام ملی پیشگیری و مقابله با حوادث فضای مجازی، با استانداردسازی این موضوع و تعریف شیوه‌های مناسب به کمک کسب‌وکارها بیاید و ضمناً از حریم خصوصی کاربران هم دفاع کند و مانع دریافت اطلاعات غیرضروری از سوی کسب‌وکارها شود.

در صورت افشای خواسته یا ناخواسته‌ی چنین دیتابیسی، آیا سایت ازنظر پلیس فتا مجرم است؟

دارنده اطلاعات از دو جنبه مسئولیت نگهداری و مواظبت از داده‌های کاربران را دارد. اول، طبق ماده ۱۷ فصل پنجم قانون جرائم رایانه‌ای، اگر کسب‌وکاری از روی عمد، بدون اجازه و رضایت کاربران هرگونه اطلاعات آن‌ها را منتشر کند یا در دسترس دیگران قرار دهد، به‌نحوی‌که منجر به ضرر یا عرفا موجب هتک حیثیت او شود، مجرم شناخته می‌شود.

دوم، اگر افشای اطلاعات کاربران ناخواسته صورت بگیرد و یا اینکه دارنده اطلاعات براثر رعایت نکردن دستورالعمل‌ها و اصول و مقررات زمینه نقض حریم خصوصی و ضرر و زیان کاربران را فراهم کند، طبق ماده 1 قانون مسئولیت مدنی که بیان می‌کند «هر کس بدون مجوز قانونی عمداً یا درنتیجه بی‌احتیاطی به جان یا سلامتی یا مال یا آزادی یا حیثیت یا شهرت تجارتی یا به هر حق دیگر‌ که به‌موجب قانون برای افراد ایجاد گردیده لطمه‌ای وارد نماید که موجب ضرر مادی یا معنوی دیگری شود مسئول جبران خسارت ناشی از عمل خود‌ می‌باشد» مجرم شناخته می‌شود و متناسب با ضرر و زیان ایجادشده و به تشخیص قاضی محکوم خواهد شد.

همچنین با توجه به ماده ۷۸ قانون تجارت الکترونیکی، «هرگاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، به‌جز درنتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسئول جبران خسارت وارده می‌باشند مگر این‌که خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات بر عهده این اشخاص خواهد بود.» کسب‌وکاری که به دلیل نقص یا ضعف در سامانه‌های خود زمینه ضرر به کاربران را فراهم کند مجرم شناخته می‌شود و متناسب با سطح خسارت و طبق نظر قاضی باید جبران خسارت کنند.

دیتابیس‌های این‌چنینی مربوط به احراز هویت در حال خریدوفروش در اینترنت هستند. پلیس فتا چه اقداماتی در رابطه با این مسئله انجام داده است؟

با توجه به اینکه انتشار اطلاعات کاربران و سوءاستفاده از اطلاعات موجود، در بسیاری موارد باعث هتک حیثیت افراد و یا ایجاد ضرر و زیان‌های مادی و معنوی برای فرد می‌شود، این‌گونه جرائم جزء خط قرمزهای پلیس فتا محسوب می‌شود و به‌شدت با عوامل انتشار دهند برخورد خواهد شد. پلیس فتا در این خصوص اقدامات متعددی انجام داده است.

یکی از این کارها برگزاری جلسات متعدد با مدیران کسب‌وکارهای اینترنتی در خصوص راه‌کارهای ایجاد امنیت داده‌های در اختیار و چگونگی حفظ و نگهداری اطلاعات کاربران به‌منظور عدم انتشار در فضای مجازی و همچنین چگونگی نوع احراز هویت برای هر کسب‌وکار با توجه به نوع خدمات قابل‌ارائه به کاربران خود بوده است.

اقدام دیگری که در دستور کار روزانه پلیس فتا است، گشت زنی و رصد دائم فضای سایبر و شناسایی این‌گونه جرائم است و در صورت مشاهده بلافاصله موضوع شناسایی و تشکیل پرونده می‌شود و برای سیر مراحل قانونی به مرجع قضایی ارسال می‌شود.

البته باید به این نکته توجه کرد که انتشار اطلاعات در فضای مجازی صورت می‌گیرد و داده‌ها می‌تواند در اختیار هر فردی در هر نقطه از جهان قرار داشته باشد و از این اطلاعات موجود سوءاستفاده کند. و یا اینکه از طریق سایت‌های خارجی منتشر شوند که این موضوع می‌تواند امکان حذف اطلاعات از روی وب را از بین ببرد و علی‌رغم دستگیری مجرم داده‌ها همچنان در وب وجود داشته باشند و از طریق سایر مجرمین خریدوفروش شوند.