از ابتدای سال‌جاری تاکنون اطلاعات شهروندان در پایگاه داده‌های ثبت احوال، پوسته‌های تلگرام و… هک شده است در جدیدترین مورد از نشت داده های شخصی کاربران، اطلاعات بیش از ۵ میلیون کاربر در اپراتور رایتل مورد حمله هکری قرار گرفته است هر چند بازتاب این حجم افشای اطلاعات کاربران تنها در حد انعکاس چند خبر در رسانه‌ها بود بدون اینکه با متخلفان برخورد قانونی صورت بگیرد. در همین راستا به سراغ محمدجعفر نعناکار، مدیرکل حقوقی سابق سازمان فناوری اطلاعات رفتیم.

کدام قوانین دستگاه‌ها را به حفاظت از داده‌های شخصی شهروندان در حوزه کلان ملزم می‌کند؟
واقعیت این است که قوانین خاص و جداگانه‌ای برای حفاظت از حریم شخصی و صیانت از داده‌های شخصی کاربران وجود ندارد. البته لایحه حفاظت از داده‌های شخصی به مجلس رفته ولی تصویب نشده است به همین دلیل باید با قواعد کلی حقوقی که در قوانین کشور آمده است به‌دنبال احقاق حق صیانت از داده‌های شهروندان رفت. محافظت از داده‌هایی که حساس هستند در بخشی از قوانین متفرقه تعریف شده‌اند و می‌توان آنها را احصا کرد. با استناد به این قوانین متفرقه می‌توان از داده‌های شخصی که براحتی در فضای مجازی افشا و مبادله یا خرید وفروش می‌شود، قانونی پیگیری کرد. طبق آن قوانین، دستگاه‌ها باید از پایگاه‌های داده، سکوهای نرم افزاری و پلتفرم‌هایی که در آن اطلاعات شهروندان ذخیره شده است، حفاظت کنند و اگر آن اطلاعات بوسیله هک یا هر دلیل دیگری افشا شد، جوابگو باشند.
کدام نهاد متولی پیگیری اطلاعات افشا شده شهروندان به‌دلیل سهل‌انگاری دستگاه‌ها است؟
اگر حفاظت از اطلاعات کثیری از شهروندان از سوی دستگاه‌ها و نهادها بدرستی انجام نشده باشد و اطلاعات شهروندان افشا و در معرض سوء‌استفاده کلاهبرداران و… قرار بگیرد، باید مدعی العموم و معاونت فضای مجازی دادستانی وارد عمل شود و با کشاندن مسئولان شرکت‌ها، سازمان ها و نهاد مربوطه در دادگاه پیگیری کند. ولی اگر اطلاعات شخصی تعداد کمی از شهروندان به‌دلیل هک یا هر دلیل دیگری افشا شود، آنها باید به مراجع قضایی مانند پلیس فتا و دادستانی مراجعه کرده و با تسلیم شکایتی مبنی بر عدم حفاظت از داده و هک شدن پایگاه داده حق و حقوق خود را در این زمینه پیگیری کنند. در این زمینه قاضی ورود کرده و به کارشناس مربوطه ارجاع داده و طبق روال کار انجام می‌شود.
قوانینی که می‌توان با استناد به آن سهل‌انگاری مسئولان را در عدم محافظت از اطلاعات تعداد کثیری از شهروندان پیگیری کرد، دقیقاً کدام قوانین هستند؟
در این زمینه چند قانون کلی وجود دارد که می‌توان به آنها ارجاع داد. یکی قانون تجارت الکترونیکی است که چندین ماده در خصوص حفاظت از داده‌ها و اسرار تجاری و اینکه فاش شدن آنها برای یک شهروند یا شخص حقیقی و حقوقی مشکل ایجاد می‌کند، وجود دارد و با استناد به آن مسئول مربوطه باید پاسخگو باشد. به‌صورت کلی هم در قانون مسئولیت مدنی، به‌همین موضوع اشاره دارد که اگر سهل‌انگاری و اهمال یا عدم رعایت استانداردها به شهروندان خسارتی وارد کند، چگونه باید رفع و رجوع کرده و خسارت را پرداخت کنند.
شهروندان بر اساس کدام قوانین می‌توانند نشر اطلاعات خود را مطالبه گری کنند؟
با استناد به قانون دسترسی آزاد به اطلاعات. مطابق با این قانون، شهروندان می‌توانند در برابر افشای اطلاعات خود به شرط آنکه محرمانه نباشد، از دستگاه‌ها و نهادها مطالبه گری کنند. ولی قوانین محرمانگی، مربوط به سال ۵۲ و ۵۳ است و باید در این قوانین بازنگری صورت بگیرد. از سوی دیگر بجز اطلاعاتی که سری و کاملاً سری هستند، اطلاعات عادی شهروندان نیز از طریق منشور حقوق شهروندی که ریاست جمهوری آن را ابلاغ کرده، می‌توان پیگیری کرد.
بجز مدعی العموم چه بخش‌های دیگری می‌توانند افشای اطلاعات شهروندان را از منظر حقوقی پیگیری کنند؟
در وهله اول که باید مدعی العموم و دستگاه قضا ورود کند اما براساس آیین نامه دادرسی جدید سازمان‌های مردم نهاد (NGO) می‌توانند به‌صورت تخصصی این موضوع را رصد کرده و بازوی مستشاری دادگاه باشند. آنها می‌توانند مسائل را به مدعی العموم گزارش کرده و پیگیری کنند. اما مشکلی که در این میان وجود دارد این است که قانون تجارت الکترونیک و جرایم رایانه‌ای نیاز به بازنگری دارد. این قوانین به روز نیست بنابراین باید متناسب با اقتضای روز تنظیم شود. مهمتر اینکه حوزه فضای سایبری به قانون جداگانه «پدافند سایبری» نیاز دارد. این قانون اختصاصی باید مشخص کند که مرزهای داده‌های سایبری و نحوه دسترسی به آنها چگونه باشد. میزان و چگونگی آن چطور باید تدوین شود و چه کسانی به اطلاعات دسترسی داشته باشند. با چه استانداردها و مکانیسم‌هایی باید از آنها حفاظت و صیانت شود. باید گفت قوانین شفاف و روشنی در این زمینه‌ها نداریم و ضعف عمده‌ای وجود دارد. البته باز تأکید می‌کنم که با قواعد و اصول کلی عمومی که در قوانین آمده است می‌توان پیگیری کرد و به نتیجه رسید ولی اگر بخواهیم این فضا سروسامان پیدا کند و داده‌ها صیانت قضایی داشته باشد، باید قوانین مستقل و مجزا برای آن تصویب و اجرایی شود.
وجود قانون جداگانه پدافند سایبری چقدر می‌تواند برای پیگیری موضوعات حقوقی سایبری مفید واقع شود؟
اصولاً در هر کشوری باید موارد پدافندی دارای اهمیت ویژه‌ای باشد. قدرت نرم و تکالیف حاکمیت‌ها به معنای عام کلمه و دولت به معنای خاص آن، از اهمیت بسیاری برخوردار است، زیرا بر این اساس حقوق و تکالیف جدیدی برای افراد و اشخاص تبیین و تعریف شده و از حق افراد صیانت‌های بسیاری صورت می‌پذیرد. نبود قانون «پدافند سایبری» یعنی نبود یک سیاست کلان اجرایی و عملیاتی در مواجهه با رخدادهای فضای سایبری و الکترونیکی. نظارت، پایش و پالایش این فضا و صیانت از دستاوردهای داخلی و همچنین رصد و شناخت انواع نفوذهای فرهنگی، سیاسی، امنیتی و فنی از جمله مسائلی است که باید از سوی نهادهای ذیربط به‌صورت زنجیره‌ای پیگیری و با یک اقدام هماهنگ و سریع تصدیق شود. نبود قواعد روشن و سازوکارهای صریح و سریع آن هم در فضایی که اقدام‌ها و تلاش‌ها با سرعتی وصف ناشدنی صورت می‌پذیرد، بی‌تردید تحدیدها و تهدیدهای بسیاری را به بار می‌آورد.
رسیدگی به نشر اطلاعات کاربران در حوزه کلان در کشورهای دیگر چگونه پیگیری می شود؟
به طور خاص در اتحادیه اروپا و ایالات متحده قوانین بسیار روشنی در این حوزه وجود داشته و سیاست‌های فضای سایبری تقنین و کارسازی شده‌اند. در اتحادیه اروپا قانون (GDPR)مقررات محافظت از داده‌های عمومی مورد تصویب قرار گرفته و مطابق آن از مالکیت افراد در فضای مجازی صیانت‌های لازمه صورت می‌پذیرد. البته باید توجه کرد نظام حقوقی اتحادیه اروپا، امریکا و دیگر کشورها اختلافات زیادی با سیستم حقوقی ایران دارد، هرچند که معتقدم می‌توان از این نظام‌ها الهام گرفت اما ما باید نظام قانونگذاری خود را که بر پایه شریعت اسلامی و عرف ایرانی است، پایه‌ریزی کنیم. با این حال در دیگر کشورها در خصوص فعالیت سکوهای نرم افزاری و پایگاه‌های داده قوانین متعدد و گاه سختگیرانه‌ای وضع شده و در این خصوص رگولاتوری قدرتمندی حاکم است، در حالی که متأسفانه در کشور ما در حوزه فناوری اطلاعات، رگولاتوری قانونمندی وضع نشده و بر آن حاکم نیست.
به بحث منشور حقوق شهروندی اشاره کردید؟ به نظرتان چرا این منشور هنوز شکل اجرایی به خود نگرفته است؟
منشور حقوق شهروندی سند مهمی است که به‌صورت یک رویکرد کلی و سیاست کلان عرضه شده است و باید برای مفاهیم آن قواعد و فرآیند‌های اجرایی تنظیم کرد. وجود یک قاعده کلی بدون نظام مند کردن آن، بی‌تردید باعث شده تا در مقام اجرا شاهد فقدان یک سیستم نظام مند باشیم. منشور حقوق شهروندی با وجود مفاهیم بالا متأسفانه تبیین نشده و در ساختارهای دولتی در خصوص تعریف اصطلاحات آن با فقر فهم حقوقی مواجه هستیم، به گونه‌ای که در بسیاری از مراکز با وجود ایجاد سازوکارهای حقوق شهروندی مأموریت آن بخوبی روشن و کارسازی نشده است.
برای اجرا شدن آن آیا به فراهم شدن بسترهای اولیه‌ای نیاز است؟
بله قبل از اجرایی شدن آن نیازمندیم در قالب کلاس‌های ضمن خدمت به کارکنان دولت در خصوص مفاهیم حقوق شهروندی و بررسی موضوع‌های تطبیقی بین‌المللی آموزش‌های لازم را ارائه کنیم.
به سازمان‌های مردم نهاد اشاره کردید. چرا این بخش فعال نیست و فعال شدن این بخش چقدر می‌تواند در پیگیری حقوق شهروندان مؤثر واقع شود؟
بی تردید وجود و رشد سازمان‌های مردم نهاد، نشانه بلوغ کشورها و حاکمیت‌ها است. اگر امروزه دموکراسی به‌صورت مستقیم و غیرمستقیم مورد تأیید و تأکید همه دولت‌ها و مجامع بین‌المللی است، وجود مقام مستشاری مردمی نیز مورد تأکید و تأیید مضاعف است. وجود سازمان‌های مردم نهاد و اخذ کرسی‌های مستشاری و مشاوره و نظارت در دستگاه‌های اجرایی دولتی و شرکت‌های بزرگ، باعث خواهد شد تا این سازمان‌ها به طور جدی و کارا موضوع‌های مرتبط با حقوق شهروندی را پیگیری و مطالبه گری کنند. این مطالبه گری باعث می‌شود تا استحاله موضوعی در ابواب حقوقی رخ نداده و مجریان مطابق با آنچه به آنها ارجاع شده است، اقدام وعمل کنند. بخصوص در حوزه فناوری با توجه به رشد سریع و روزافزون فناوری‌های مورد استفاده و ایجاد حقوق متعدد برای کاربران و صاحبان داده و پلتفرم‌ها وجود چنین سازمان‌هایی می‌تواند در رشد جامعه و بلوغ اجتماعی و مدنی نقشی بی‌بدیل را ایفا کند.

حکمرانی می‌تواند از ابعاد بسیار متنوعی مورد توجه قرار گیرد و البته این ساختار هم به‌صورت طولی و هم عرضی قابل‌بررسی است.

حکمرانی از منظر طولی از فراحکمرانی شروع و می‌تواند به حکمرانی خرد ختم و همچنین این مفهوم در عرض می‌تواند بسیار متنوع گردد، اما آنچه که حکمرانی را قاعده‌مند می‌کند اصول و چارچوبی است که براساس ایدئولوژی‌ها پدیدار می‌گردد.

آنچه که به نظر می‌رسد در جهان‌بینی اسلامی رویکرد اساسی بر قاعده‌مند سازی قواعد حکمرانی فراحکمرانی است، مؤلّفه‌های متعددی که در کتاب، سنت، اجماع و عقل بدان اشاره‌شده است می‌تواند اصول اولیه حکمرانی را در هر زمینه‌ای مهیا نماید.

با شناخت دقیق قواعد حکمرانی که برگرفته از اصول اسلامی است می‌توان حکمرانی را در هر عرض و طولی ادامه داد و مطمئن بود این اصول ظرفیت توسعه در هر زمینه‌ای را دارا می‌باشد.

حکمرانی در زمینه‌های عمومی، خصوصی، جهانی، داخلی، انتفاعی، غیرانتفاعی، شرکتی، مشارکتی، چند سطحی، فرهنگی و حتّی حکمرانی درزمینه اینترنت و فناوری اطلاعات نیز ازاین‌دسته‌ها به شمار می‌روند.

مفاهیم بالا و والایی چون عدالت، انصاف، مواسات، قناعت، آزادگی، احترام، احسان، اخلاص، ادب، استقامت، انضباط، انفاق، برادری، تزکیه، تقوا، حسن‌ظن، حیا، خیرخواهی، دوستی، صداقت، رأفت، سخاوت، شجاعت، شرح صدر، طمأنینه، عبرت، عزت، عفت، غیرت، مدارا، مروت، نظم، ورع، وفای به عهد و کظم‌غیظ از معارفی است که می‌تواند در تمامی سطوح مورد عنایت قرار گیرد و چارچوب حکمرانی را قوام بخشد.

عدم توجه به اصول اسلامی و قواعد بیان‌شده در هریک از قاعده سازی‌های موردنظر باعث خواهد شد تا حکمرانی براساس سعادت بشری چه در دنیا و چه در آخرت پیش نرفته و از مسیر و راه اصلی خویش خارج شود.

جمع این اصول و عمل به آن‌ها در یک جامعه ایجادکننده فرهنگ و هنجار اجتماعی است و این فرهنگ و هنجار می‌تواند در عرصه‌های مختلف نمودهای متفاوتی داشته باشد و البته برای طراحی هر سطحی از حکمرانی باید به تمام این مقولات توجه ویژه گردد.

صیانت از هویت فرهنگی در هر فضایی یکی از تکالیف بلاعزل دولت‌ها است و این امر در گرو شناخت دقیق فرهنگ و چارچوب‌های اسلامی است.

به‌طور مثال حکمرانی سایبری نیز از این امر مستثنا نیست و دولت‌ها باید بکوشند تا قواعد حکمرانی خود را بر همین اساس اسلامی بر فضای سایبری تعمیم دهند، هرچندکه تعمیم این حقایق به فضای مجازی مستلزم آن است که اصول مذکور به‌صورت دقیق در دنیای حقیقی تبیین، تدوین، تشریح و مورد عمل قرار گیرد.

تعیین مرزهای سیاسی سایبری، شناخت عمق و سطح قدرت اعم از قدرت نرم و سخت در فضای مجازی، چگونگی تأثیر پذیرفتن و تأثیر گذاشتن بر این فضا، نحوه تعامل و شناخت تهاجم در این زمین‌بازی، تنها بخش‌هایی از اعمال حاکمیت بر این فضا است که پیش از آن می‌بایست قواعد و چارچوب‌های آن مشخص گردد.

طراحی، ایجاد و توسعه شبکه ملی اطلاعات بدون توجه به عناصر بیان‌شده اقدامی ابتر و تنها امری فنی است که نمی‌تواند تعالی‌بخش زندگی بشری باشد، حاکمیت اسلامی که تنها وظیفه آن سعادتمند نمودن اتباعش است می‌بایست در تمام انواع حکمرانی به این موضوع دقت ویژه‌ای نماید و بدون الگوگیری از غرب و شرق و باتکیه‌بر باورهای فرهنگی و اعتقادی خویش اقدام به تنظیم و ترسیم حکمرانی در سطوح مختلف نماید.

عدم تبیین و تدوین مفاهیم اصلی در قاعده‌مند سازی فراحکمرانی باعث شده است تا اسناد بالادستی تهیه‌شده در نظام با اختلالات جدی مواجه و سازوکار اجرایی و استقرار آنها با چالش‌های جدی مواجه گردد، که امید است با ترویج این مفاهیم در سطوح، ارکان و شئون مختلف نظام اسلامی شاهد بهبود وضعیت حکمرانی در بخش‌های مختلف باشیم و گام دوم انقلاب اسلامی ما را به معماری جدیدی از حکمرانی و ساخت تمدن نوین اسلامی رهنمون نماید.

با ورود به انقلاب صنعتی چهارم و باز تعریف مسئولیت‌های اجتماعی که یکی از مهم‌ترین این بازتعریف‌ها، تعریف حفظ حریم شخصی کاربران است، این مهم مخصوصاً در صنعت بانکداری و مسائل پولی و مالی از جنبه‌های مختلفی قابل پیگیری و توجه مجدد است و البته بررسی تمامی ابعاد آن نسبت به دیگر صنایع و خدمات از اهمیت ویژه‌تری برخوردار است.

حریم خصوصی می‌تواند از بعد فرهنگ، منش، کنش، هنجار و یا از بعد خدمات، نرم‌افزارها، فرایندها و روال‌ها و یا از بعد سخت‌افزار، وسایل و ابزارها مورد بررسی قرار گیرد و تقریباً تمامی این ابعاد از اهمیت برخوردار بوده و نمی‌توان با تصور تأمین برخی از آن‌ها از برخی دیگر از آنها غافل شد.

یکی از بحث‌های مهم در حفظ حریم خصوصی، تأمین امنیت در سخت‌افزارهای بانکی این صنعت است، وجود دستگاه‌های متعدد مرتبط با خدمات پولی و مالی، از وجود یک کارت مغناطیسی بانکی گرفته تا دستگاه‌های خودپرداز، از کیوسک‌های خدمات مالی گرفته تا دستگاه‌های پول‌شمار همگی می‌بایست علاوه‌بر تأمین امنیت، حافظ حریم‌خصوصی کاربران خود نیز باشند.

وجود و تولید داده‌های فراوان توسط این ابزارهای بانکی و تجمیع و انتقال آنها به‌عنوان سرمایه‌های تجدیدپذیر و قابل پردازش مجدد که استحصال‌کننده داده‌ها و اطلاعات جدید در هریک از فرایندهای نوپردازش است، بر اهمیت این موضوع افزوده، حال آنکه تا چندی پیش تمامی ابزارهای سخت مرتبط با امور بانکداری و خدمات پولی و مالی از خارج از کشور تأمین می‌شد اما خوشبختانه در سال‌های اخیر با توجه و دریافت اهمیت تولید در داخل کشور، برخی از دستگاه‌ها در داخل کشور تولیدشده و حتی برای کاربران داخلی، داخلی‌سازی و براساس قواعد و استانداردهای بومی تولید می‌شود.

توجه ویژه به حفظ حریم خصوصی کاربران و خدمات‌گیرندگان خدمات پولی و مالی در مواجه با این‌گونه از تولیدات بومی از اهمیت ویژه‌تری برخوردار است، زیرا در صورت رعایت کلیه موازین حقوقی در طراحی، تولید و توسعه این‌گونه از ابزارها، می‌توان امیدوار بود این بخش از صنعت نیز به بلوغ خود دست‌یافته و حتی باتوجه به تقریب فرهنگ‌ها و ادیان و قوانین کشورهای همسایه بازارهای منطقه‌ای خوبی برای آن به وجود آید.

عدم وجود درگاه‌های اضافی در دستگاه، عدم قابلیت اتصال دستگاه‌ها به درگاه‌های متعدد و مختلف، رمزنگاری سخت‌افزاری و نرم‌افزاری توأمان بر روی ابزارها و وجود و رعایت استانداردهای ملی چون استاندارد ملی شماره ۱۰۸۲۱ و استاندارد بین‌المللی شماره ۹۵۶۴-۱ و ۱۰۲۰۲ و ۷۸۱۶ و EMV۲۰۰۰ و ۱۱۵۶۸ تنها بخشی از مواردی است که می‌بایست برای حفظ حریم خصوصی کاربران رعایت شود.

آنچه از این بعد می‌تواند مورد بررسی قرار گیرد، ثبت طرح‌های صنعتی، اختراعات و ابداعات سخت‌افزاری، ثبت نرم‌افزارهای سیستم عامل ابزارهای تولیدشده دریافت گواهی‌های امنیتی و تأیید فنی کارکرد ابزارها است، که می‌تواند جنبه‌های صیانت و تأمین امنیت را برای کاربران مهیا کند و توجه به آنها تأمین‌کننده بسیاری از حقوق کاربران خواهد بود.

ابزارهای دریافت، پرداخت و ذخیره داده که عموماً به‌صورت سخت‌افزاری و نرم‌افزاری تهیه می‌شوند، یکی از مهم‌ترین بسترهایی هستند که باید از زاویه حریم خصوصی و عمومی مورد توجه قرار گیرند، توجه به تعریف حریم‌ها در سه سطح حریم خصوصی، عمومی و غیرعمومی می‌تواند منجر به تعریف و طراحی تولیدات مجزا از یکدیگر شود، به‌طور مثال کارت‌های بانکی یا دستگاه‌های تولید رمز یک‌بارمصرف به‌منزله ابزارهای شخصیی بوده که می‌بایست به‌گونه‌ای طراحی شوند تا بالاترین استانداردهای حفظ حریم شخصی در آنها رعایت شود، همچنین وجود دستگاه‌هایی با کاربرد عمومی مانند دستگاه‌های خودپرداخت و یا خوددریافت، دستگاه‌های خدمات بدون قابلیت پرداخت و دریافت پول، پرداخت خرد و شارژ اعتبار جنبه‌های عمومی‌تری از این ابزارها را نمایان می‌کنند و البته ساخت و دردسترس قراردادن ابزارهای مشترک که با عنوان غیرعمومی و غیرخصوصی از آنها یاد می‌شود مانند ابزارهای پرداخت محدود در شرکت‌ها، ابزارهای بانکداری شرکتی و مانند آن نیز جنبه‌های دیگری از حریم خصوصی را در معرض ناظران قرار می‌دهد.

وجود رگولاتوری‌های پیشرفته در این موضوع برای رصد و پایش ابزارها و تدوین و تبیین استانداردهای لازم در این زمینه می‌تواند به حفظ حقوق و تعیین تکالیف منجر و توسعه و اعتماد و اطمینان را درخصوص شکوفایی این صنعت به ارمغان آورد که امید می‌رود این امر با ایجاد اتحادیه‌ها و انجمن‌های صنفی مرتبط مورد عنایت ویژه‌ای قرار گیرد.