محرمانگی داده‌ها vs قانون جرائم رایانه‌ای

دلایل اصلی عدم ارائه‌ی سازوکار مناسب جهت حفظ محرمانگی داده‌ها توسط سرویس‌ها و استارت‌آپ‌های ایرانی دو مورد زیر هستند:
۱. قانون جرائم رایانه‌ای
۲. شهوت سرویس‌ها به داشتن اطلاعات خصوصی کاربرها و تحلیل آنها
مختصر توضیحی ارائه می‌کنم.

فرض کنید سرویسی قرار هست که ارائه بدیم، یک ToDo List تیمی (یا همون چندکاربره) هست که توش برای حفظ محرمانگی داده، از رمزنگاری نامتقارن RSA با طول کلید 4096 بیتی استفاده می‌شه.
حالا فرض کنید یک گروه خرابکار از این سیستم برای برنامه‌ریزی کارهاش استفاده کنه! #مشکل آغاز می‌شود!

طبق قانون جرائم رایانه‌ای مصوب ۸۸/۳/۵ در مجلس شورای اسلامی (+)، ماده ۳۵، در صورتیکه حکم قضاییِ ارائه‌‌ی داده‌ها برای منِ سرویس‌دهنده بیاد باید داده‌های ترافیکی رو در اختیار ضابط قضایی قرار بدم! حالا داد‌ه‌های ترافیکی چیا میشن؟

این داده ها شامل اطلاعاتی از قبیل مبدأ، مسیر، تاریخ، زمان، مدت و حجم ارتباط و نوع خدمات مربوطه می‌شود. مشکل کجاست؟ مبهم بودن «نوع خدمات مربوطه» است! شخصا چندبار خوندم و متوجه نشدم نوع خدمات چیه اینجا! اگر منظور خود داده‌ست، داده‌ها رمزنگاری‌شده هستند!

طبق ماده ۳۵، اگر منظور از نوع خدمات، خودِ داده‌ها باشند، سرویس‌دهنده که ما باشیم امکان ارائه رمزنگاری‌نشده رو نداریم لذا جریمه ۹۱ روز تا ۶ ماه حبس همراه با جریمه نقدی نیم میلیون تا یک‌میلیون تومان رو متقبل میشیم!

در ادامه، ماده ۳۶، مربوط به توقیف سامانه است! در صورتی که ظن قوی به کشف جرم یا شناسایی متهم و ادله جرم وجود داشته باشه، ضابط قضایی با حکم قضایی میتونه سامانه رو توقیف کنه! یعنی منِ مسئول سامانه، آشی رو نخوردم و دهانم را سوزاندن! تعطیل کنیم بره! به همین راحتی!

البته ماده ۴۴ قانون به کمک من اومده، ولی انقدر ایهام و ابهام و گنگی داره که بیشتر به کمک ضابط قضایی میاد تا من!

ماده ۴۴- چنانچه توقیف داده ها یا سامانه های رایانه ای یا مخابراتی موجب ایراد لطمه جانی یا خسارت مالی شدید به اشخاص یا اخلال در ارائه خدمات عمومی شود ممنوع است.

لطمه جانی هیچ، ولی حدِ خسارت مالی شدید رو کی قراره تعیین کنه؟ از نظر کی خسارت شدید مالی؟ از نظرِ منِ مدیر سیستم؟از نظر برنامه‌نویس شرکت من؟ از نظر دست‌فروش سر چهارراه؟ یا از نظر وزرا و وکلا و آقازاده‌ها و نجومی‌بگیرا و نجومی‌نشینا؟ معیار تعیین‌کننده خسارت شدید مالی چیه و کیه؟

یک قسمت دیگر این ماده که قراره به من کمک کنه «اخلال در ارائه خدمات عمومی» هست. من هرچی گشتم نتونستم ببینم منظور از «خدمات عمومی» چیه و چه تعداد کاربر میشه خدمات عمومی! اصلا سرویس ما جز خدمات عمومی به حساب میاد؟ یا باید مثلا در حد اتوبوسرانی کاربر داشته باشیم؟

از دو مورد بالا بگذریم که گنگ هستند [و تقاضا میکنم اگر کسی حقوق‌خوانده هست و یا میشناسید بگید توضیح بده]، تفاوت قانون جرائم رایانه‌ای مورد دیگه هست که اینجا پیداش میشه!
متن قانون موجود در سایت مجلس با متن قانون در فایل PDF موجود در سایت کارگروه مصادیق مجرمانه یکی هست! ولی با متن‌های موجود در سایت پلیس فتا و همچنین نسخه اچ‌تی‌ام‌ال سایت کارگروه مصادیق مجرمانه فرق داره! چه فرقی؟
در انتهای همین ماده‌ی ۴۴ (همان ماده ۶۷۹)، گزاره‌ای اضافه شده است به صورت «مگر اینکه توقیف برای اجرای موضوع اهم نظیر حفظ امنیت کشور ضرورت داشته باشد.»

من توی سایت مجلس و بخش قوانین، این مورد اضافه‌شده در سایت پلیس فتا رو ندیدم! البته اینکه بشه از بقیه قوانین این رو نتیجه گرفت به ذهن میرسه ولی در متن قانون موجود در سایت مجلس نیست!
قانون جرائم رایانه‌ای در سایت پلیس فتا : +
یعنی سریعا میشه با برچسب امنیتی یک استارتاپ نابود شود!

با توجه به مسائل بالا، امکان ارائه بستر مناسب جهت حفظ محرمانگی داده (حداقل در موارد مشابه با مثالی که زده شد) وجود ندارد. حال تصور کنید یک سیستم پیام‌رسان داخلی که بخواهد امکان چت دونفره با قابلیت رمزنگاری end2end رو در اختیار بذاره! عملا امکان ارائه این مورد فراهم نیست!

مورد علت دوم، یعنی علاقه سرویس‌ها به تحلیل اطلاعات شخصی کاربران، نیاز به توضیح نداره. با توجه به پیشرفت چشم‌گیر ماشین‌لرنینگ و تحلیل داده، کنجکاوی‌های آدمیزاد راحت‌تر و ارضا می‌شه و چه فرصتی بهتر از این؟
امیدوارم یا من درباره متن قانون اشتباه کرده باشم، یا قانون اصلاح بشه!


لینک مطلب در توییتر : +