آخرین اخبار
مدیر کل حقوقی سازمان فناوری ایران افشای اطلاعات کاربران شرکت حمل و نقل اینترنتی را یک فاجعه خواند و گفت: دادستانی به عنوان مدعی العموم باید به این مسئله ورود کند تا مردم بدانند نهاد و مجموعهای برای صیانت از دادههای شخصی آنها گام برداشته است.
صبح روز پنج شنبه خبری منتشر شد که حکایت از آسیب پذیری امنیتی یک شرکت حمل و نقل اینترنتی داشت. ظواهر نشان میداد که اطلاعات کاربران و رانندگان این شرکت در خطر افشا شدن هستند. مدیر کل حقوقی سازمان فناوری اطلاعات ایران معتقد است اگر لایحه صیانت از دادههای شخصی که نزدیک ۵ ماه است در کمیسیون فرعی هیات دولت مطرح شده، زودتر تصویب شود، قطعا از پیش آمدن مسائل این چنین جلوگیری خواهد کرد.
یکی از گروههایی که در حوزه امنیت سایبری فعالیت دارد، با توجه به سرچهای تخصصی، توانسته است ضعفی را در دیتا بیس مانگو (MongoDB یک پایگاه داده اپن سورس و رایگان) کشف کنند، ضعفی که نشان میدهد ظاهرا اطلاعات رانندگان یک تاکسی اینترنتی شامل کد ملی، نام، نام خانوادگی فاکتورها و... لو رفته است.
فارغ از این که این اطلاعات مربوط به کدام تاکسی اینترنتی بوده است، اگر بخواهیم از بعد حقوقی به آن نگاه کنیم، مدیر کل حقوقی سازمان فناوری ایران، جزو بهترین افرادی است که میتواند در این خصوص اظهار نظر کند.
«محمدجعفرنعناکار» در گفت و گوی اختصاصی با ایرنا گفت: ما در این مورد با چند چالش رو به رو هستیم که مدت هاست از سوی حقوقدانهای حوزه آی تی پیگیری میشود. سازمان فناوری اطلاعات ایران و مراکز دیگر پیگیر این مسئله هستند، اما برای رسیدن به نتیجه، نیاز است سازمانهای مختلف به شکل جمعی به این مسئله ورود کنند.
تاکسیهای اینترنتی در ایران همواره با مشکل مجوز رو به رو هستند؛ نعناکار با اشاره به این مسئله گفت: سوال اصلی این است که تاکسیهای اینترنتی باید از چه نهادی مجوز دریافت کنند؟ چیزی که قانون در باب حوزه تاکسیهای اینترنتی مطرح میکند این است که سازمان تاکسیرانی باید مجوز فعالیت آنها را صادر کند.
** نقص جدی متوجه پلت فرم هاست
وی در ادامه گفت: هر نوع عملیات درون شهری که قرار است اتفاق بیفتد باید از سوی سازمان تاکسیرانی مورد بررسی قرار بگیرد و ممیزیهای لازم در خصوص رانندگان، شیوه کار و پلتفرم اعمال شود. در واقع موضوع اصلی بحث در این حوزه، پلتفرمها هستند که نقصهای جدی متوجه آن هاست.
این کارشناس حقوقی ادامه داد: از آن جایی که پلتفرمهای ارائه خدمات تاکسی اینترنتی اطلاعات راننده، بخشی از اطلاعات مسافر و نیز آدرسهای افراد را دریافت و ضبط میکنند، نیاز است که روی شیوه کار آنها بررسیهایی صورت بگیرد، بررسیهایی که موجب میشود هم امنیت این دادهها حفظ، و هم کارکرد نرم افزارها تائید شود.
مدیرکل حقوقی سازمان فناوری اطلاعات با اشاره به این که مراکزی در ایران هستند که روی این مسائل کار میکنند، افزود: سازمان «افتا» که کار اصلی آن صدور گواهیهای امنیت است و شورای عالی انفورماتیک سابق (در حال حاضر وظایف آن به سازمان فناوری اطلاعات ایران منتقل شده) که تاییدیه فنی نرم افزارها را صادر میکند و همین طور سازمان نظام صنفی رایانهای کشور که به این پلتفرمها گواهی فعالیت میدهد، مجموعههایی هستند که روی چنین مسائلی کار میکنند.
** لایحه صیانت از دادههای شخصی روی میز دولت
نعناکار در ادامه به یک نقص قانونی که باعث شده دستگاهها نتوانند به خوبی روی فعالیت پلتفرمهای اینترنتی نظارت کنند، اشاره کرد و گفت: از آذر ماه سال گذشته دایره حقوقی سازمان فناوری اطلاعات ایران با جدیت دنبال تصویب لایحهای در این خصوص بوده است.
وی در توضیح این لایحه گفت: پیش نویس لایحه «صیانت از دادههای شخصی افراد» سال گذشته در وزارت ارتباطات نوشته شد و متن آن به کمیسیون فرعی هیات دولت رفت.
حدود سیزده نهاد دولتی دیگر روی این لایحه بحث کردند و درباره آن نظراتی ارائه کردند. متن نهایی لایحه در حال حاضر آماده ارائه به کمیسیون اصلی است. زمانی که این لایحه با تصویب مجلس به شکل قانون در بیاید، میتواند نقش موثری در زمینه صیانت از دادههای شخصی کاربران ایفا کند.
چیزی که خیلی مهم است و باید به آن توجه کرد، حلقه حقوقی است که نهادهای مرتبط در آن هماهنگیهای لازم با یکدیگر را ندارند. متاسفانه برخی از نهادها حاضر نیستند با بقیه نهادها زیر یک چتر قرار بگیرند و قواعد کلی را یکسان سازی کنند، تا چرخه حقوقی در این حوزه کامل شود.
لایحهای که نعناکار از آن صحبت میکند، یک لایحه قوی با استانداردهای بین المللی است: این لایحه دادههای شخصی افراد را تعریف و مشخص میکند که هر نهادی باید به چه شکل به این دادهها دسترسی پیدا کنند و بر اساس چه استانداردی آن را نگهداری کنند، چه زمانی نوبت معدوم سازی دادهها میرسد و اگر این اطلاعات به هر طریق نشت کرد باید چطور با آن برخورد شود.
این لایحه میتواند به قانون مترقیای تبدیل شود که هم اکنون در اتحادیه اروپا در حال اجراست و اجرایی شدن آن در ایران، قانون آی تی کشور را چند پله ارتقا ببخشد. چرا که این لایحه همگام با نظرات و کنشهای بین المللی است. اگر کارهای مربوط به تصویب این لایحه هر چه زودتر انجام شود، میتوان اقدامات تامینی را در نظر گرفت تا دیگر شاهد بروز نشت اطلاعات کاربران نباشیم.
مدیر کل حقوقی سازمان فناوری ایران در ادامه گفت: در این پازل که باید به مدد دیگر نهادها کامل شود سازمان فناوری اطلاعات ایران گواهی امنیتی و تاییدیه فنی نرم افزار ارائه میدهد، قسمت دیگر نهادهایی هستند که مجوز ارائه میدهند مانند اتحادیه کشوری کسب و کارهای مجازی که خودش نیز محل اشکال است.
مسئله به این شکل است که تاکسیهای اینترنتی پس از دریافت مجوز از این اتحادیه، فعالیت شان را شروع میکنند. این در حالی است که متولی اصلی چنین پلتفرمهایی تاکسیرانی است.
سازمانی که چند روز قبل اولین مجوز در این حوزه را ارائه کرد و نشان داد این پروانه وجود دارد و پس از دریافت آن از سازمان تاکسیرانی، دادهها طبق استانداردهای خاص امنیت بین المللی به ایزوهایی که وجود دارد، نگهداری میشود. در حال حاضر شرکتهای تاکسی اینترنتی این پروانه را ندارند و فعالیت شان به شیوه دیگری است.
** افشای هفت میلیون رکورد فاجعه است
وی افزود: اگر نهادهای مرتبط همکاری لازم را انجام دهند و با یکدیگر برای صیانت از مردم همکلام شوند، اتفاقات خوبی رخ خواهد داد. در حال حاضر طبق خبری که منتشر شده، نزدیک هفت میلیون رکورد لو رفته است و به نظر من این فاجعه امنیتی در حوزه دادههای شخصی است.
نعناکار این مسئله اشاره کرد که باید دادستانی به موارد اینچنین ورود کند: دادستانی باید به عنوان مدعی العموم زودتر از بقیه به مسائل این چنین ورود کند. این طور نباشد که یک خبری پخش شود و بعد از چند ساعت و چند روز منتظر واکنش این دستگاه باشیم.
نکته مهم این است که اگر فعالیتی نیز صورت بگیرد مردم آن را حس نمیکنند، ممکن است میان دستگاهها نامه و دستوری رد و بدل شود، اما مردم متوجه این پیگیریها نمیشوند. در حالی که آنها اولین کسانی هستند که باید بدانند نهاد و مجموعهای برای صیانت از دادههای شخصی آنها قدم برداشته و به این واسطه امنیت روانی شان تضمین شود.
مدیر کل حقوقی سازمان فناوری ایران در پایان گفت: در موضوع آسیب پذیری امنیتی که رخ داده، احتمالا عمدی در بین نبوده و صرفا قصوری رخ داده، اما به هر حال این مسائل باید شناسایی و در خصوص آن اقدامات قضایی صورت بگیرد.
نظر شما