از ابتدای سالجاری تاکنون اطلاعات شهروندان در پایگاه دادههای ثبت احوال، پوستههای تلگرام و... هک شده است در جدیدترین مورد از نشت داده های شخصی کاربران، اطلاعات بیش از 5 میلیون کاربر در اپراتور رایتل مورد حمله هکری قرار گرفته است هر چند بازتاب این حجم افشای اطلاعات کاربران تنها در حد انعکاس چند خبر در رسانهها بود بدون اینکه با متخلفان برخورد قانونی صورت بگیرد. در همین راستا به سراغ محمدجعفر نعناکار، مدیرکل حقوقی سابق سازمان فناوری اطلاعات رفتیم.
کدام قوانین دستگاهها را به حفاظت از دادههای شخصی شهروندان در حوزه کلان ملزم میکند؟
واقعیت این است که قوانین خاص و جداگانهای برای حفاظت از حریم شخصی و صیانت از دادههای شخصی کاربران وجود ندارد. البته لایحه حفاظت از دادههای شخصی به مجلس رفته ولی تصویب نشده است به همین دلیل باید با قواعد کلی حقوقی که در قوانین کشور آمده است بهدنبال احقاق حق صیانت از دادههای شهروندان رفت. محافظت از دادههایی که حساس هستند در بخشی از قوانین متفرقه تعریف شدهاند و میتوان آنها را احصا کرد. با استناد به این قوانین متفرقه میتوان از دادههای شخصی که براحتی در فضای مجازی افشا و مبادله یا خرید وفروش میشود، قانونی پیگیری کرد. طبق آن قوانین، دستگاهها باید از پایگاههای داده، سکوهای نرم افزاری و پلتفرمهایی که در آن اطلاعات شهروندان ذخیره شده است، حفاظت کنند و اگر آن اطلاعات بوسیله هک یا هر دلیل دیگری افشا شد، جوابگو باشند.
کدام نهاد متولی پیگیری اطلاعات افشا شده شهروندان بهدلیل سهلانگاری دستگاهها است؟
اگر حفاظت از اطلاعات کثیری از شهروندان از سوی دستگاهها و نهادها بدرستی انجام نشده باشد و اطلاعات شهروندان افشا و در معرض سوءاستفاده کلاهبرداران و... قرار بگیرد، باید مدعی العموم و معاونت فضای مجازی دادستانی وارد عمل شود و با کشاندن مسئولان شرکتها، سازمان ها و نهاد مربوطه در دادگاه پیگیری کند. ولی اگر اطلاعات شخصی تعداد کمی از شهروندان بهدلیل هک یا هر دلیل دیگری افشا شود، آنها باید به مراجع قضایی مانند پلیس فتا و دادستانی مراجعه کرده و با تسلیم شکایتی مبنی بر عدم حفاظت از داده و هک شدن پایگاه داده حق و حقوق خود را در این زمینه پیگیری کنند. در این زمینه قاضی ورود کرده و به کارشناس مربوطه ارجاع داده و طبق روال کار انجام میشود.
قوانینی که میتوان با استناد به آن سهلانگاری مسئولان را در عدم محافظت از اطلاعات تعداد کثیری از شهروندان پیگیری کرد، دقیقاً کدام قوانین هستند؟
در این زمینه چند قانون کلی وجود دارد که میتوان به آنها ارجاع داد. یکی قانون تجارت الکترونیکی است که چندین ماده در خصوص حفاظت از دادهها و اسرار تجاری و اینکه فاش شدن آنها برای یک شهروند یا شخص حقیقی و حقوقی مشکل ایجاد میکند، وجود دارد و با استناد به آن مسئول مربوطه باید پاسخگو باشد. بهصورت کلی هم در قانون مسئولیت مدنی، بههمین موضوع اشاره دارد که اگر سهلانگاری و اهمال یا عدم رعایت استانداردها به شهروندان خسارتی وارد کند، چگونه باید رفع و رجوع کرده و خسارت را پرداخت کنند.
شهروندان بر اساس کدام قوانین میتوانند نشر اطلاعات خود را مطالبه گری کنند؟
با استناد به قانون دسترسی آزاد به اطلاعات. مطابق با این قانون، شهروندان میتوانند در برابر افشای اطلاعات خود به شرط آنکه محرمانه نباشد، از دستگاهها و نهادها مطالبه گری کنند. ولی قوانین محرمانگی، مربوط به سال 52 و 53 است و باید در این قوانین بازنگری صورت بگیرد. از سوی دیگر بجز اطلاعاتی که سری و کاملاً سری هستند، اطلاعات عادی شهروندان نیز از طریق منشور حقوق شهروندی که ریاست جمهوری آن را ابلاغ کرده، میتوان پیگیری کرد.
بجز مدعی العموم چه بخشهای دیگری میتوانند افشای اطلاعات شهروندان را از منظر حقوقی پیگیری کنند؟
در وهله اول که باید مدعی العموم و دستگاه قضا ورود کند اما براساس آیین نامه دادرسی جدید سازمانهای مردم نهاد (NGO) میتوانند بهصورت تخصصی این موضوع را رصد کرده و بازوی مستشاری دادگاه باشند. آنها میتوانند مسائل را به مدعی العموم گزارش کرده و پیگیری کنند. اما مشکلی که در این میان وجود دارد این است که قانون تجارت الکترونیک و جرایم رایانهای نیاز به بازنگری دارد. این قوانین به روز نیست بنابراین باید متناسب با اقتضای روز تنظیم شود. مهمتر اینکه حوزه فضای سایبری به قانون جداگانه «پدافند سایبری» نیاز دارد. این قانون اختصاصی باید مشخص کند که مرزهای دادههای سایبری و نحوه دسترسی به آنها چگونه باشد. میزان و چگونگی آن چطور باید تدوین شود و چه کسانی به اطلاعات دسترسی داشته باشند. با چه استانداردها و مکانیسمهایی باید از آنها حفاظت و صیانت شود. باید گفت قوانین شفاف و روشنی در این زمینهها نداریم و ضعف عمدهای وجود دارد. البته باز تأکید میکنم که با قواعد و اصول کلی عمومی که در قوانین آمده است میتوان پیگیری کرد و به نتیجه رسید ولی اگر بخواهیم این فضا سروسامان پیدا کند و دادهها صیانت قضایی داشته باشد، باید قوانین مستقل و مجزا برای آن تصویب و اجرایی شود.
وجود قانون جداگانه پدافند سایبری چقدر میتواند برای پیگیری موضوعات حقوقی سایبری مفید واقع شود؟
اصولاً در هر کشوری باید موارد پدافندی دارای اهمیت ویژهای باشد. قدرت نرم و تکالیف حاکمیتها به معنای عام کلمه و دولت به معنای خاص آن، از اهمیت بسیاری برخوردار است، زیرا بر این اساس حقوق و تکالیف جدیدی برای افراد و اشخاص تبیین و تعریف شده و از حق افراد صیانتهای بسیاری صورت میپذیرد. نبود قانون «پدافند سایبری» یعنی نبود یک سیاست کلان اجرایی و عملیاتی در مواجهه با رخدادهای فضای سایبری و الکترونیکی. نظارت، پایش و پالایش این فضا و صیانت از دستاوردهای داخلی و همچنین رصد و شناخت انواع نفوذهای فرهنگی، سیاسی، امنیتی و فنی از جمله مسائلی است که باید از سوی نهادهای ذیربط بهصورت زنجیرهای پیگیری و با یک اقدام هماهنگ و سریع تصدیق شود. نبود قواعد روشن و سازوکارهای صریح و سریع آن هم در فضایی که اقدامها و تلاشها با سرعتی وصف ناشدنی صورت میپذیرد، بیتردید تحدیدها و تهدیدهای بسیاری را به بار میآورد.
رسیدگی به نشر اطلاعات کاربران در حوزه کلان در کشورهای دیگر چگونه پیگیری می شود؟
به طور خاص در اتحادیه اروپا و ایالات متحده قوانین بسیار روشنی در این حوزه وجود داشته و سیاستهای فضای سایبری تقنین و کارسازی شدهاند. در اتحادیه اروپا قانون (GDPR)مقررات محافظت از دادههای عمومی مورد تصویب قرار گرفته و مطابق آن از مالکیت افراد در فضای مجازی صیانتهای لازمه صورت میپذیرد. البته باید توجه کرد نظام حقوقی اتحادیه اروپا، امریکا و دیگر کشورها اختلافات زیادی با سیستم حقوقی ایران دارد، هرچند که معتقدم میتوان از این نظامها الهام گرفت اما ما باید نظام قانونگذاری خود را که بر پایه شریعت اسلامی و عرف ایرانی است، پایهریزی کنیم. با این حال در دیگر کشورها در خصوص فعالیت سکوهای نرم افزاری و پایگاههای داده قوانین متعدد و گاه سختگیرانهای وضع شده و در این خصوص رگولاتوری قدرتمندی حاکم است، در حالی که متأسفانه در کشور ما در حوزه فناوری اطلاعات، رگولاتوری قانونمندی وضع نشده و بر آن حاکم نیست.
به بحث منشور حقوق شهروندی اشاره کردید؟ به نظرتان چرا این منشور هنوز شکل اجرایی به خود نگرفته است؟
منشور حقوق شهروندی سند مهمی است که بهصورت یک رویکرد کلی و سیاست کلان عرضه شده است و باید برای مفاهیم آن قواعد و فرآیندهای اجرایی تنظیم کرد. وجود یک قاعده کلی بدون نظام مند کردن آن، بیتردید باعث شده تا در مقام اجرا شاهد فقدان یک سیستم نظام مند باشیم. منشور حقوق شهروندی با وجود مفاهیم بالا متأسفانه تبیین نشده و در ساختارهای دولتی در خصوص تعریف اصطلاحات آن با فقر فهم حقوقی مواجه هستیم، به گونهای که در بسیاری از مراکز با وجود ایجاد سازوکارهای حقوق شهروندی مأموریت آن بخوبی روشن و کارسازی نشده است.
برای اجرا شدن آن آیا به فراهم شدن بسترهای اولیهای نیاز است؟
بله قبل از اجرایی شدن آن نیازمندیم در قالب کلاسهای ضمن خدمت به کارکنان دولت در خصوص مفاهیم حقوق شهروندی و بررسی موضوعهای تطبیقی بینالمللی آموزشهای لازم را ارائه کنیم.
به سازمانهای مردم نهاد اشاره کردید. چرا این بخش فعال نیست و فعال شدن این بخش چقدر میتواند در پیگیری حقوق شهروندان مؤثر واقع شود؟
بی تردید وجود و رشد سازمانهای مردم نهاد، نشانه بلوغ کشورها و حاکمیتها است. اگر امروزه دموکراسی بهصورت مستقیم و غیرمستقیم مورد تأیید و تأکید همه دولتها و مجامع بینالمللی است، وجود مقام مستشاری مردمی نیز مورد تأکید و تأیید مضاعف است. وجود سازمانهای مردم نهاد و اخذ کرسیهای مستشاری و مشاوره و نظارت در دستگاههای اجرایی دولتی و شرکتهای بزرگ، باعث خواهد شد تا این سازمانها به طور جدی و کارا موضوعهای مرتبط با حقوق شهروندی را پیگیری و مطالبه گری کنند. این مطالبه گری باعث میشود تا استحاله موضوعی در ابواب حقوقی رخ نداده و مجریان مطابق با آنچه به آنها ارجاع شده است، اقدام وعمل کنند. بخصوص در حوزه فناوری با توجه به رشد سریع و روزافزون فناوریهای مورد استفاده و ایجاد حقوق متعدد برای کاربران و صاحبان داده و پلتفرمها وجود چنین سازمانهایی میتواند در رشد جامعه و بلوغ اجتماعی و مدنی نقشی بیبدیل را ایفا کند.