لزوم تدوین سند جامع حکمرانی داده و بهروزرسانی قانون جرائم رایانهای
کارشناس سیاستگذاری فناوریهای نوین گروه علمی_تحلیلیطیف درگفتگو با خبرگزاریآنا گفت: شورای عالی فضای مجازی سیاستگذاریهایی در زمینه تدوین سند جامع حکمرانی انجام داده؛ اما هنوز تا هدف غایی که حفاظت از حریم خصوصی افراد است، فاصله داریم؛ زیرا هنوز در سلسه مراتب مقرراتگذاری خوب عمل نکردهایم.
حفاظت از دادهها در دنیای امروز بسیار مهم است. از غولهای بانکی تا کسبوکارهای کوچک، همگی با دادهها در ارتباط هستند. حفاظت از دادهها در برابر به خطر افتادن و حفظ حریمخصوصی دادهها از مؤلفههای کلیدی حفاظت از دادههاست.
قانون حفاظت از دادهها (GDPR) یک قانون کلیدی در اتحادیه اروپا است. این قانون به منظور جایگزینی دستورالعمل حفاظت از GDPR بهمنظور جایگزینی دستورالعمل حفاظت از دادهها (Data Protection Directive) مصوب ۱۹۹۵ و بهروزرسانی آن منطبق با نیازها و شرایط عصر دیجیتال ایجاد شد. این قانون توسط کمیسیون اروپا، در اصل برای کنترل بیشتر شهروندان اتحادیه اروپا بر دادههای شخصیشان طراحی شد. مشخصۀ اصلی GDPR، قراردادن اطلاعات شخصی کاربران در بالاترین سطح اهمیت از نظر حفاظت قانونی است. این قانون برای همۀ شرکتهایی اعمال میشود که با دادههای شخصی ساکنان اروپا کار میکنند، حتی اگر دفتر مرکزی این شرکتها در اروپا نباشد .
در ایران نیز مرکز ملی فضای مجازی دستورالعمل جدیدی را برای حفاظت از دادههای مردم در سکوها و سامانهها ابلاغ کرده است. این دستورالعمل برای کاهش مخاطرات نقض حریم خصوصی کاربران و حمایت از آنها در برابر تهدیدات سایبری است و اشخاص حقوقی غیر دولتی و دستگاههای اجرایی کشور را به رعایت قواعد جدیدی در حوزه پردازش و نگهداری دادههای مرتبط با کاربران در سامانهها و سکوهای فضای مجازی ملزم کرده است .
گام اول؛ دستهبندی دادهها / در سلسله مراتب مقررات گذاری خوب عمل نکردیم
در همین راستا پویا ذکری اصفهانی کارشناس سیاستگذاری فناوریهای نوین در گفتوگو با خبرنگار آنا درباره لزوم تدوین سند جامع حکمرانی داده و حفاظت از داده گفت: نیاز اصلی ما تدوین سند جامع حکمرانی داده است، زیرا ابتدا باید همه دادهها از جمله دادههای شخصی، غیر شخصی، مستقیم و غیر مستقیم، بخش خصوصی و بخش دولتی را از هم تفکیک کند و بعد از آن فضای مالکیت داده، حکمرانی داده، حق پردازش و حق انتقال نسبت به آن سند دسته بندی شود.
وی گفت: برای مثال اگر سند حفاظت از داده در اروپا و کالیفرنیا را ببینیم ابتدا یک سری اصول در مقدمات سند ذکر میشود و بعد از آن مقررات را مینویسند؛ و پس از آن مراکز مختلف دولتی و رگولاتورهای بخشی نسبت به آن دستورالعمل میدهند. وی ادامه داد: تنظیم گران بخشی هم اگر بخواهند نسبت به حوزههای خودشان این حفاظت را فعال کنند با اولین چالشی که مواجه میشودند دادههاست؛ چون این دادهها طبقه بندی نیستند و نمیدانند که کدام بخش از آنها باید حفاظت شود، آیا این دادهها به صورت مستقیم به اشخاص مرتبط میشود یا غیر مستقیم. این موضوع در دنیا فاکتورهای مقدماتی متفاوتی دارد.
نادیده گرفتن مقررات مربوط به شخص ثالث
این کارشناس سیاستگذاری فناوریهای نوین بیان کرد: دو سال پیش سند راهبردی جمهوری اسلامی ایران در فضای مجازی نظام جامع حکمرانی داده ارائه شد، اما اکنون فعال شده و این اصول خوب است اما جای کار دارد؛ چون به بحثهای انتقال داده پرداخته نشده و بحث مقررات اشخاص ثالث نادیده گرفته شده است. ذکری اصفهانی گفت: اما در رابطه با این دستورالعمل چنین همکاری و مشارکتی صورت نگرفت، زیرا سیاستگذار به صورت واکنشی نسبت به اتفاقات اخیر و اقناع عمومی با این مسئله برخورد کرد. این عدم مشارکت میتواند منجر به نادیده گرفتن ابعاد مختلف و نوآورانه حوزه پلتفرمها و به تبع آن مسائل حکمرانی داده در آینده شود.
وی افزود: یکبار برای همیشه باید یک سند جامع و مادر داشته باشیم که شهروندان و کسب و کارها به هنگام برخورد با به مشکلی به آن مراجعه کنند. قانون جرایم رایانهای نیاز به بهروزرسانی دارد.
ذکری اصفهانی درباره هکهای اخیر اسنپ فود و تپسی بیان کرد: قانون جرایم رایانهای موجود نیاز به بهروزرسانی دارد، چون در آن بیشتر جریمههای پسینی است و هیچ گونه مقررات پیشینی پیش بینی نشده و روی جرایم تاکید شده که این امر بازدارنده نیست. پس علاوه بر مقررات تنبیهی لازم است مجازاتهای جبران خسارت تدوین و بهروزسانی شود.
وی خاطرنشان کرد: با توجه به مهم بودن بحث داده باید هرچه زودتر به آن پرداخته شود، زیرا پیچیدگی و زوایای مختلف خود را دارد از طرفی باید جوری تدوین شود که انعطاف پذیر باشد. پس لازم است در ادامه مقررات جرایم رایانهای هم به روز شود؛ همچنین صنایع باید از فناوری نرم، طوری استفاده کنند که در عین رعایت قوانین و حفظ امنیت دادهها، رشد هم به دنبال داشته باشد.