آژیر قرمز برای اطلاعات بیومتریک ایرانی‌ها

مطالعه امنیتی که روی ۹۶ کشور جهان انجام شده است نشان می‌دهد ایران از لحاظ جمع‌‌آوری و امنیت داده‌های بیومتریک اوضاع و احوال خوبی ندارد.

بر اساس گزارشی که از سوی شرکت تحلیل تکنولوژی کامپریتک(Comparitech) منتشر شده ایران پس از چین و کاستاریکا بیشترین داده‌های بیومتریک را از شهروندان خود جمع‌آوری می‌کند و امنیت این اطلاعات هم چندان مناسب نیست. در این رتبه‌بندی آمریکا در رتبه چهارم قرار گرفته است. یکی از نکاتی که در این گزارش به‌شدت مورد‌توجه قرار‌گرفته نحوه حفاظت و استفاده از داده‌های بیومتریک جمع‌آوری‌شده است.

داده‌های بیومتریک اکنون به منبعی مهم برای شناسایی افراد در حوزه‌های مختلف تبدیل شده است. استفاده از سیستم بیومتریک از عکس گذرنامه گرفته تا دسترسی به حساب‌های بانکی با اثر انگشت، با سرعت فزاینده‌ای در حال رشد است. بنابراین موضوع گردآوری این داده‌ها و در ادامه محافظت از آنها از اهمیت بسزایی برخوردار است. اساسا داده‌های بیومتریک از سوی دولت‌ها باید گردآوری شود، اما در بعضی موارد بخش خصوصی هم وارد حوزه گردآوری داده‌های بیومتریک شده است. شیوع کرونا هم باعث شده تا در جهان استفاده از اطلاعات بیومتریک به‌شدت افزایش پیدا‌کند.

در این وضعیت در میان حدود ۱۰۰ کشور جهان تحقیقات نشان داده که ایران به لحاظ وضعیت نامناسب گردآوری اطلاعات در رتبه سوم قرار می‌گیرد که نگران‌کننده است و می‌تواند حتی خطرآفرین باشد.

نبود تعریف قانونی برای داده بیومتریک

«محمدجعفر نعناکار» به‌عنوان حقوقدان به 2نوع اطلاعات اشاره می‌کند و می‌گوید: نوع اول، اطلاعات کلی شهروندان است اما نوع دوم اطلاعات بیومتریک افراد است.

او که پیش از این مدیرکل حقوقی سازمان فناوری اطلاعات بوده ادامه می‌دهد: اگرچه تعریف حقوقی برای داده‌های بیومتریک ارائه شده، اما تعریف قانونی برای این دسته از داده‌ها در متون نداریم.

به‌گفته نعناکار «آن دسته از مشخصات داده‌ای که قابلیت انتساب به یک شخص معین دارد تحت‌عنوان داده‌های بیومتریک طبقه‌بندی می‌شود و علی‌القاعده این داده‌ها باید از سوی دولت‌ها گردآوری شود و بخش‌خصوصی عموما نباید به حوزه گردآوری داده وارد شود».

او با اشاره به اینکه بخش‌خصوصی می‌تواند به داده‌های بیومتریک دسترسی داشته باشد، ادامه می‌دهد: کارت‌های هوشمند ملی دارای داده‌های بیومتریک هستند. یعنی هم اثر انگشت و هم تصویر چهره افراد در این کارت‌ها موجود است. بنابراین وزارت کشور می‌تواند دسترسی به این داده‌ها را برای بخش‌خصوصی فراهم کند.

نعناکار به آیین‌نامه‌های شورای‌عالی امنیت ملی و دستورالعمل‌های مرکز ملی فضای مجازی درباره ذخیره و حفاظت از داده‌های بیومتریک اشاره می‌کند و می‌گوید: این آیین‌نامه‌ها و دستورالعمل‌ها مشخص کرده‌اند که این داده‌ها چگونه باید جمع‌آوری، محافظت و استفاده شوند. اما متأسفانه نظارت بر این دستورالعمل‌ها که وظیفه شورای‌عالی فضای مجازی است به درستی صورت نمی‌گیرد.

خلاء قانونی

نعناکار با اشاره به اینکه اکنون تعدادی از استارت‌آپ‌ها و شرکت‌های نوپا ایجاد شده‌اند که خدمات احراز هویت را به‌عهده گرفته‌اند و داده‌های بیومتریک افراد را تجمیع می‌کنند، ادامه می‌دهد: حتی بعضی از بانک‌های خصوصی هم این خدمات را از طریق پلتفرم‌های خود ارائه می‌دهند، درحالی‌که این پلتفرم‌ها در ابتدا باید در سازمان فناوری اطلاعات ثبت شوند. طبق قانون تجارت الکترونیک وظیفه حفظ داده‌ها هم با تجمیع‌کننده و هم با صاحب داده‌هاست. بنابراین درصورت افشای این داده‌ها، برای مجرم، جرائم کیفری درنظر گرفته می‌شود. همچنین طبق قانون، اطلاعات به‌طور کل، از جمله داده‌های بیومتریک باید تا 6‌ماه در سرورهای داخلی حفظ شود و نمی‌توان آنها را در سرورهایی که در خارج از ایران میزبانی می‌شود ذخیره کرد.

نعناکار همچنین با اشاره به اینکه مجازاتی برای افشای داده‌های بیومتریک به‌طور خاص دیده نشده است، می‌گوید: در مورد افشای داده‌ها به‌طور کلی، می‌توان آن را «خیانت در امانت» تلقی کرد اما واقعیت این است که باید راهکاری اندیشیده شود که داده‌ها افشا نشوند؛ چراکه لو رفتن اطلاعات شهروندان با هیچ مجازاتی قابل‌جبران نیست.