ناظمی: نشت اطلاعات عواقب دارد؛ لایحه صیانت از داده‌ها در انتظار تایید هیات وزیران

سریال لو رفتن اطلاعات کاربران ایرانی در فضای سایبری در ماه‌های اخیر اپیزودهای مختلفی داشته است؛ از لو رفتن داده‌های کاربرانی که در استارتاپ‌ها ثبت نام کرده بودند تا انتشار اطلاعات چند میلیون ایرانی به دلیل همکاری ناقص وزارت بهداشت و ثبت احوال و نهایتاً هم انتشار اطلاعات کاربران رایتل که هنوز تعداد دقیق آن مشخص نیست. اما آیا حفاظت نامناسب از داده‌های کاربران ایرانی، برای این مجموعه‌های خصوصی و دولتی عواقبی هم به همراه دارد؟ «امیر ناظمی» رییس سازمان فناوری و معاون وزیر ارتباطات در پاسخ به این سوال دیجیاتو توضیحات کاملی را ارائه داد.

رییس سازمان فناوری اطلاعات در حاشیه نشست آیین صدور گواهی مشترک در حوزه ارزیابی امنیتی اعلام کرد که نشت اطلاعات نهادهای خصوصی و دولتی در کشور برای آن‌ها عواقب خواهد داشت اما قانون در این مورد ضعف‌هایی دارد که آنها در تلاش هستند تا بتوانند با تصویب لایحه صیانت از داده‌ها، این مشکل را حل نمایند. به گفته این مقام مسئول، لایحه مذکور در حال حاضر در مرحله بازبینی توسط هیات وزیران قرار دارد و پس از آن برای ارائه به قوه قضاییه به مجلس فرستاده خواهد شد.

«امیر ناظمی» ضمن اشاره به آیین نامه‌ ۱۰ بندی که چندی پیش توسط مرکز ماهر درباره شرایط فعلی منتشر شد در پاسخ به پرسش دیجیاتو مبنی بر اینکه چرا نشت اطلاعات در کشور عواقب خاصی به همراه ندارد می‌گوید: «همین آیین نامه نشان می‌دهد که نشت اطلاعات در کشور عواقب دارد اما متاسفانه همین موارد اندکی هم که در چارچوب وجود دارد، انجام نمی‌شود. عواقب قضایی برای این موارد باید توسط نهادهای قضایی تعیین بشود و مواردی مانند مجازات و کیفر در حیطه اختیارات ما نیست. ما به نوبه خودمان در مورد نشت‌های اطلاعاتی مختلف، به دادستانی شکایت کرده‌ایم و از آنها خواستیم که پیگیر موضوع باشند.»

به گفته ناظمی، پروانه‌های تخصصی برخی سازمان‌ها و مجموعه‌ها، شامل الزام رعایت این موارد می‌‌شود که در اپراتور رایتل چنین بند مشخصی وجود دارد: «با استناد به همین بند نیز با کمک رگولاتوری موضوع را پیگیری می‌کنیم.» ناظمی همچنین به لایحه صیانت از داده‌ها اشاره می‌کند که به گفته او حکم GDPR را در کشور دارد و از سمت سازمان فناوری اطلاعات تنظیم شده است:

«متاسفانه اما این لایحه نمی‌تواند به سرعت تصویب بشود چرا که اساسا لوایحی که موضوع قضایی در آنها وجود داشته باشد و یک جرم نگاری در آنها تعریف شده باشد، نمی‌تواند توسط دولت ارائه شود و باید توسط مجلس و یا قوه قضاییه مطرح شود. به همین خاطر در این مورد خاص که دولت پیش قدم شده، مراحل طولانی شده است.»

ناظمی مراحل طولانی تصویب این لایحه را برای دیجیاتو تشریح می‌کند و در پایان تاکید می‌کند که امیدوار است این موضوع به زودی به مرحله نهایی خود برسد: «دولت این لایحه را آماده کرده و به کمیسیون ارائه داده و در نهایت جلسات متعددی با قوه قضاییه و مجلس داشته تا تغییرات لازم در آن اعمال شود. پس از این موارد، لایحه به دولت بازگشته و کمیسیون‌های تخصصی و فرعی و اصلی آن را بازبینی می‌کنند و در نهایت لایحه مذکور به هیات وزیران می‌رود تا با تایید آنها به مجلس برود. لایحه در حال حاضر در همین مرحله قرار دارد و امیدواریم پس از ارائه به مجلس، کارهای تصویب آن زودتر انجام شود.»

رییس سازمان فناوری اطلاعات باور دارد بودن این قوانین کمک شایانی به جلوگیری از لو رفتن اطلاعات شهروندان در کشور کند اما از سوی دیگر تاکید می‌کند که در حال حاضر هم اینطور نیست که قانون هیچ عواقبی برای سازمان‌هایی که دیتای کاربران خود را سهوا از دست می‌دهند در نظر نگرفته باشد.

ناظمی تاکید دارد طبق قوانین فعلی کشور، نهادهای خصوصی و دولتی الزام خاصی برای گرفتن گواهی امنیت از سوی سازمان فناوری اطلاعات ندارند، موضوعی که به گفته او باید در آن بازبینی صورت بگیرد:

«در حال حاضر اگر اپلیکیشن یا نهادی که تعداد کاربرانش از یک تعداد مشخصی بیشتر شود، باید گواهی امنیتی بگیرد. امیدوارم این بررسی شروع بشود و ما درخواست این مورد را به شورایعالی فضای مجازی داده‌ایم چرا که سازمان فناوری اطلاعات یا نهادی مثل افتا نمی‌تواند این موضوع را برای همه شرکت‌های خصوصی و دولتی، قانونی و الزامی کند.»

«ابوالقاسم صادقی» معاون امنیت سازمان فناوری اطلاعات نیز در پاسخ به سوال دیجیاتو به ماده ۷۵۳ قانون مجازات اسلامی اشاره می‌کند که در حیطه جرایم رایانه‌ای قرار دارد. بر اساس این ماده، هر شخصی که مرتکب اعمال زیر شود، به حبس از نود و یک روز تا یک سال یا جزای نقدی از پنج میلیون(۵.۰۰۰.۰۰۰)ریال تا بیست میلیون (۲۰.۰۰۰.۰۰۰)ریال یا هر دو مجازات محکوم خواهد شد:

• الف) تولید یا انتشار یا توزیع و در دسترس قرار دادن یا معامله داده‎ها یا نرم‎افزارها یا هر نوع ابزار الکترونیکی که صرفاً به منظور ارتکاب جرائم رایانه‎ای به کار می‎رود.
• ب) فروش یا انتشار یا در دسترس قرار دادن گذرواژه یا هر داده‎ای که امکان دسترسی غیرمجاز به داده‎ها یا سامانه‎های رایانه‎ای یا مخابراتی متعلق به دیگری را بدون رضایت او فراهم می‎کند.
• ج) انتشار یا در دسترس قرار دادن محتویات آموزش دسترسی غیرمجاز، شنود غیرمجاز، جاسوسی رایانه ای و تخریب و اخلال در داده ها یا سیستم های رایانه ای و مخابراتی.

صادقی با استناد به همین ماده می‌گوید که این موارد مستند شده و به دادستانی ارائه شده تا پیگیری از سوی آنها انجام بشود. او به دیجیاتو می‌گوید که رسانه‌ای شدن این موارد نشت اطلاعاتی نیز می‌تواند به اعمال قانون و داشتن عواقب برای این مشکل سازمان‌ها کمک کند:

«درباره رایتل، رسانه‌ها به موضوع به خوبی پرداخته‌اند و این موضوع بهتر است که در همه موارد انجام شود. رسانه‌ای شدن نشت‌های اطلاعاتی می‌تواند فشار بیشتری به سازمان‌ها بیاورد. ما باید یک اراده کافی شکل دهیم که اگر کسی واقعا داده‌ای را به صورت سهل‌انگارانه در دسترس عموم قرار داد، مواخذه شود.»

به گفته صادقی، متاسفانه در کشور به آمار و ارقامی که درباره نشت‌های اطلاعاتی داده می‌شود توجه نمی‌شود: «ما به ارقام بزرگی که درباره این موضوع‌ها گفته می‌شود عادت کرده‌ایم. چند ده میلیون اطلاعات کاربران لو می‌رود و انگار اتفاقی نیفتاده است؛ نباید به این اعداد بزرگ عادت کنیم و حس‌مان را نسبت به آنها از دست بدهیم. رسانه‌ها در این مورد بخصوص می‌توانند بسیار کمک کنند.»

گفتنیست در ماه‌های اخیر لو رفتن داده‌های کاربران از پلتفرم‌ها، سازمان‌ها و دستگاه‌های مختلف به یکی از اتفاقات مرسوم و نسبتا عادی تبدیل شده است. عصر دیروز سازمان فناوری اطلاعات با همکاری افتای ریاست جمهوری و همچنین سازمان پدافند غیرعامل، از یک گواهی‌نامه مشترک در حوزه امنیت که به تایید سه دستگاه می‌رسد رونمایی کردند تا آن را به کسب‌وکارهای خصوصی ارائه کنند. این روند شاید ‌بتواند در پیشگیری افشای اطلاعات کاربران و ساده‌سازی فرآیند دریافت گواهی‌نامه‌های حوزه امنیت به شرکت‌های حوزه فناوری کمک کرده و یکپارچگی نهادی را در این حوزه به وجود آورد.