وابستگی روزافزون ما به خدمات دیجیتال و آنلاین، با خود نشتهای اطلاعاتی بیشتری را نیز به همراه داشته است، و این موضوع، کاربران و مشاغل را در برابر حملات سایبری آسیبپذیرتر کرده است.
در ایران هم اوضاع مشابهی وجود دارد و در چند سال اخیر چندین مورد نشت اطلاعاتی اتفاق افتاده است. یکی از موارد چشمگیر نشت داده، در ماه فروردین سال جاری رخ داد که دادههایی از ۴۲ میلیون کاربر تلگرام ایرانی در اینترنت انتشار پیدا کرد، رقمی که شاید معادل اطلاعات نیمی از جمعیت کل کشور باشد. با فاصله تنها چند روز، نشت اطلاعاتی دیگری این بار در «سیب اپ» رخ داد و اطلاعات افراد به مبلغ ۵۰۰ دلار برای فروش گذاشته شد.
تا به امروز واکنش مسئولین به این موضوع بسیار ضعیف بوده و هیچ اقدامی جهت جلوگیری از اتفاقات مشابه در آینده و یا در جهت محافظت کاربرانی که دادههای حساس آنها در فضای اینترنت پخش شده است، در مقابل حملات سایبری محتمل، صورت نگرفته است.
اعتقاد ما بران است که کاربران اینترنت در ایران به دلیل وجود دو واقعیت در فضای قانونگذاری اینترنتی ایران، نسبت به این نشتهای اطلاعاتی آسیبپذیری بیشتری دارند: یک، فقدان وجود چارچوبی جامع و هدفمند برای حفاظت از اطلاعات در ایران، و دیگری، وجود جهتگیری وسیع برای بومیسازی اینترنت ایران، تحت عنوان شبکهی ملی اطلاعات.
در این قسمت از فیلتربان، چندی از رخدادهای اخیر نشت اطلاعاتی در ایران را بررسی میکنیم؛ به تاثیرات شبکه ملی اطلاعات بر حریم خصوصی آنلاین و حمایت از دادهها میپردازیم؛ و همچنین درباره اقداماتی صحبت خواهیم کرد که میبایست بدست قانونگذاران و شرکتهای فناوری اطلاعات، به منظور حفاظت ایرانیان از اتفاقات مشابه در آینده، انجام شود.
نشت اطلاعات چطور در فضای آنلاین اتفاق افتاد؟
در تاریخ ۱۲ فروردین اعلام شد که دادههای ۴۲ میلیون کاربر تلگرام در ایران روی اینترنت نشت پیدا کرده است. طبق گفتهی «باب دیاچنکو»، پژوهشگر در زمینهی امنیت اطلاعات، این دادهها توسط گروهی به نام «سامانه شکار» در فضای آنلاین منتشر شده بود. دادهها در قالب کلاسترهایی بر روی الستیکسرچ (موتور جستجوی متن بازی برای داده و آنالیز دادهها) پست شده بود و هیچ نیازی به رمز عبور یا تایید هویت برای دسترسی به آن نبود.
دادهها در فضای آنلاین به مدت ۱۱ روز به صورت علنی باقی ماند تا اینکه «دیاچنکو» موضوع را به سرویس میزبانی گزارش داد، و بالاخره در تاریخ ۶ فروردین کلاستر الستیکسرچ پاک شد. طبق گفتهی «دیاچنکو»، بعد از تماس با مرکز«ماهر» (مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای) سرور میزبان «سامانه شکار» خاموش شد. با این وجود, پیش از اینکه دادهها پاک شوند، در دسترس افرادی قرار گرفته و بر روی حداقل یک فروم هک، پست شده و در فضای آنلاین در حال فروخته شدن بودند.
این مجموعه داده حاوی اطلاعات ضبط شده از ۴۲ میلیون حساب کاربری در ایران بود، اطلاعاتی از جمله اسامی کاربری و شماره شناسایی، شماره تلفنها وهشها (کدهای منحصر بفرد مربوط به حسابهای کاربری ذخیره شده بر روی یک وب سرور) .
تلگرام در بیانیهای اعلام کرد که اطلاعات درز پیدا کرده، از دو نسخهی انشعابی پرطرفدار تلگرام به نامهای HotGram و Golden Telegram یا همان هاتگرام و تلگرام طلایی، جمعآوری شده است. این دو نسخه با استفاده از کد متن باز تلگرام و در نتیجهی فیلتر شدن تلگرام رسمی در سال ۹۷، ساخته شده بود؛ و این گمان میرفت که این نسخهها به سازمانهای اطلاعاتی و امنیتی ایران مرتبط باشند. ما پیش از این، زمانی که این دو اپلیکیشن تازه ساخته شده بودند، درباره امنیت آنها اظهار نگرانی کرده بودیم. در خرداد ماه سال ۹۸ سرورهای این دو اپلیکیشن در داخل ایران توسط شرکت طراح و توسعه دهندهی آنها خاموش شده بود.
بیانیهی تلگرام به صورت مستقل تایید نشده است. برخی گزارشها همچنین اظهار میکنند که اطلاعات درز شده شامل جزییات حسابهای کاربران فعال اپلیکیشن رسمی تلگرام نیز بوده است، و اینکه این ضبط اطلاعات اخیراً در ماه فروردین اتفاق افتاده است.
گفته میشود که افرادی که اطلاعاتشان درز پیدا کرده، اکنون در معرض خطر فیشینگ (سرقت آنلاین) و کلاهبرداری تلفنی میباشند، و با استفاده از اطلاعات فاش شده ممکن است این حسابهای کاربری مورد هدف قرار بگیرند.
بررسیهای بیشتر گزارش میدهند که این سرور به اسم منوچهر هاشملو ثبت شده بوده، و از آدرس ایمیلی استفاده میکرده که متعلق به هکر مشهور ایرانی ArYaleIrAN بوده است. گفته میشود که این هکر با گروه هکری به نام Charming Kitten که توسط نهادهای حکومتی ایران حمایت میشود، مرتبط میباشد. این گروه پیش از این در ماموریتهایی که روزنامهنگاران و کنشگران را مورد هدفگیری قرار میدادند، دخیل بوده است.
واکنش ضعیف ایران
واکنش مسئولین امر به این نشت اطلاعاتی کاملا ضعیف بود، وسازمانهای متعددی در اولویت قرار دادن امنیت افرادی که اطلاعاتشان در معرض خطر گذاشته شده بود، کم کاری کردند. روال معمول در واکنش به چنین اتفاقاتی دنبال نشده و به افرادی که احتمال میرفت در معرض خطر باشند، اطلاع رسانی نشد. بنظر میرسد که شرکت توسعه دهندهی این دو اپلیکیشن – راه کار سرزمین هوشمند (Smart Land Solutions)- نیز هیچگونه واکنشی نشان نداده است.
در روز ۱۲ فروردین، همان روزی که نشت اطلاعاتی علنی شد؛ امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات ایران، در توییتر اعلام کرد که وبسایت «سامانه شکار» که توسط یک شرکت ایرانی به نام رسپینا میزبانی میشود، شناسایی شده و برای اقدامات قانونی لازم به مقامات قضایی گزارش شده است. یک روز بعد از توییت ناظمی، شرکت رسپینا، میزبانی وبسایت مذکور را انکار کرده و گفت که تنها خدمات اشتراک فضا (کولوکیشن) عرضه میکند.
در توییت دیگری در تاریخ ۱۳ فروردین، ناظمی در پاسخ به کسانی که عملکرد وی را زیر سوال برده بودند نوشت که طبق مصوبه ۴۴ شورای عالی فضای مجازی، وظیفهی برقراری امنیت اطلاعات در بخش خصوصی، با پلیس فتا میباشد.
مرکز «ماهر» نیز بیانیهای خطاب به سازمانهای دولتی و صاحبین کسب و کارها منتشر کرد. در این بیانیه مرکز ماهر، تقصیر نشت اطلاعاتی را بر گردن ناامنی و یا ضعف امنیت کلاسترهای دادهای انداخت. ماهر همچنین اضافه کرد که از تاریخ ۱۲ فروردین شروع به نظارت بر هرگونه پایگاه اطلاعاتی ناامن کرده و در صورت شناسایی، صاحبین این پایگاهها را مطلع خواهد کرد. همچنین اضافه کرد که اگر این صاحبین بعد از مطلع شدن، معضل را برطرف نکنند، به دفتر دادستانی ارجاع داده میشوند.
با این حال، «ماهر» دوباره تصریح کرد که مصوبه شورای عالی فضای مجازی، پیشگیری و مقابله با حوادث فضای مجازی مربوط به بخش خصوصی (مانند اپلیکیشنها یا بانکهای خصوصی) را بر عهدهی پلیس فتا قرار داده است.
پلیس فتا هیچگونه اظهاریهی علنی دربارهی این نشتهای دادهای منتشر نکرده، و حتی هیچگونه اطلاعاتی در این باره که آیا قربانیان این اتفاقات مطلع خواهند شد یا نه، فراهم نکرده است. همچنین، موضوع قابل ملاحظه دیگر این است که راه کار سرزمین هوشمند
(Smart Land Solutions) که شرکت سازندهی دو اپلیکیشن انشعابی تلگرام بوده است، نسبت به این اتفاقات هیچ واکنشی نشان نداده و حتی از طرف پلیس فتا یا دیگر مسئولین مورد پرسش قرار نگرفته است. برخی این موضوع را به عنوان دلالت قویتری بر اینکه این اپلیکیشنها به حکومت مرتبط بودهاند، تفسیر میکنند.
عدم وجود قوانین حمایت از داده
واکنش دولت ایران و دیگر مسئولین مربوطه، به نشت دادهها، گسسته و ضعیف بوده است. دولت در شناسایی افرادی که پشت این جریان بودهاند و تشخیص چگونگی وقوع این حوادث ناموفق بوده است، و یا حتی بیانیهای مبنی بر اینکه تهدیدات متعاقب را چگونه کنترل خواهد کرد، صادر نکرده است. عدم وجود هرگونه حمایت قانونی از دادههای کاربران در ایران، عامل اصلی عملکرد ضعیف دولت در این شرایط است.
تا کنون تنها تلاشی که برای ارائه اقدامات پیشگیرانه در زمینهی حفاظت داده اتفاق افتاده است در سال ۱۳۹۶ بود، زمانی که وزارت ارتباطات و فناوری اطلاعات، پیشنویس «لایحهی حمایت از حریم خصوصی در فضای مجازی» را ارائه کرد. از آن زمان که این لایحه برای تصویب شدن به هیئت دولت فرستاده شد، هیچ پیشرفتی مشاهده نشده؛ هر چند که مفاد این لایحه اولویت را به بومیسازی اینترنت واگذار کرده است و نه امنیت کاربران. برخی از مصوبات قانونی دیگر، همچون قانون جرایم رایانهای (۱۳۸۷/۸۸) و قانون تجارت الکترونیکی (۱۳۸۲)، به صورت بسیار محدودی به موضوع حمایت از داده و حریم خصوصی میپردازند.
قانون جرایم رایانهای (CCL)، برای مثال، جرایم تبهکاری را برای هتک حیثیت و نشر اکاذیب تعیین میکند. ماده ۱ این قانون، دسترسی غیر مجاز به دادهها یا سیستمهای رایانهای یا مخابراتی که بوسیله تدابیر امنیتی حفاظت شده است را جرم میشناسد، اما مشخص نمیکند که منظور از «تدابیر امنیتی» چیست؛ و بنظر میرسد که تنها در مورد اطلاعات حکومتی صدق میکند و نه اطلاعات شهروندان و افراد غیر دولتی. مفاد دیگر این قانون، شهروندان را از بکارگیری تدابیر امنیتی اولیه منع میکند، که این موضوع موجب آسیبپذیری کاربران در برابر نشتهای اطلاعاتی و همچنین زیر نظر قرار گرفتن، میشود. ماده ۱۰، برای مثال، «مخفی کردن دادهها، تغییر گذرواژه یا رمزنگاری دادهها که مانع دسترسی اشخاص مجاز به دادهها یا سیستمهای رایانهای یا مخابراتی شود» را منع میکند. که البته این ماده ارزش چندانی ندارد چرا که تا کنون اجرای این ماده به صورت عملی مشاهده نشده است.
قانون تجارت الکترونیکی (ECL) شامل مفادی در زمینه حمایت از داده و حریم خصوصی میباشد، با این حال این مفاد تنها به تجارت و معاملات الکترونیکی مربوط میشود و کاربرد گستردهتری ندارد. در نتیجه این قانون، معضلات پیچیده مربوط به حق داشتن حریم خصوصی در فضای مجازی و محافظت از داده را، که در نتیجهی نشتهای اطلاعاتی اتفاق میافتد، در نظر نمیگیرد.
در حالیکه که لایحهی «حمایت از حریم خصوصی در فضای مجازی» مسکوت مانده است، شورای عالی فضای مجازی، اقدامات نگرانکنندهی دیگری را آغاز کرده که به شدت با اصول حریم خصوصی اطلاعاتی و حفاظت دادهها در تضاد میباشد. در آگوست سال ۹۸ شورای عالی فضای مجازی، مصوبه «نظام هویت معتبر در فضای مجازی» را تایید کرده و در مهر ۹۸ این مصوبه منتشر شد.
چندی از اهداف اصلی این نظام به شرح زیر است:
- هر تعاملی در فضای مجازی کشور بین هر شخص، گروه، شی یا خدمتی باید با شناسه معتبر آغاز شود.
- بسته به نوع تعامل، دو دسته اطلاعات هویت ذاتی و اکتسابی موجودیتها لازم است؛ اطلاعات پایه هویتی موجودیتها، در قالب شناسههای دائم یا موقت و واقعی یا مستعار و اطلاعات غیرپایه هویتی از قبیل مدرک تحصیلی و میزان اعتبار مالی.
- مرکز ملی فضای مجازی با همکاری قوای مجریه و قضاییه، ظرف مدت شش ماه از تاریخ ابلاغ اين مصوبه، پیشنویس مقررات و لوایح قانونی لازم برای استقرار نظام هویت معتبر در فضای مجازی کشور را تهیه کند.
- مرکز ملی فضای مجازی، گزارشی از اجرای این مصوبه را هر شش ماه یک بار به شورای عالی فضای مجازی ارائه کند.
هرچند این مصوبه یک قانون نیست، شورای عالی فضای مجازی با حکم رهبری، بالاترین مقام قانونگذاری در زمینه فضای مجازی در ایران است. بدین ترتیب، اختیارات این شورا، بیچون و چرا محسوب میشود و بنظر میرسد که این مصوبه از طرف دولت غیرقابل فسخ باشد.
عدم وجود قوانین تدوین شده در زمینهی حریم خصوصی و امنیت کاربران موجب میشود که اپلیکیشنهای داخلی و دیگر خدمات اینترنتی، ملزم به تامین امنیت اطلاعات و حریم شخصی کاربران خود نباشند و در صورت قصور جریمه نشوند. توأم شدن عدم حمایت قانونی با سوابق حقوقی در ایران، به این معناست که در صورت بروز نشت اطلاعاتی یا افشای غیر مجاز دادهها، هیچ پیگرد قانونی اتفاق نخواهد افتاد، و شرکتهای فناوری و موسسات فناوری اطلاعات و ارتباطات دولتی، مورد پرسش قرار نخواهند گرفت. تنها راه حلی که باقی میماند این است که مقامات دولتی تصمیم به پیگری و تفحص بگیرند، که این موضوع هم کارایی و تاثیر بسزایی ندارد، چرا که همچون پروندهی تلگرام، کاربران در اولویت قرار نمیگیرند.
شبکه ملی اطلاعات با حفاظت از داده سازگار نیست
یک نگاه برای توضیح شرایط حمایت از داده و خلا قانونی در فضای مجازی ایران این است که به صورت یک سهلانگاری به آن نگاه نکنیم، بلکه در واقع آن را به عنوان بخشی از جهتگیری و دستور کار دراز مدت سیاستهای دولت در زمینه فضای مجازی ببینیم.
الان چندین دهه است که بخشهای مختلف دستگاه حکومتی در پی بومیسازی و خودکفا کردن اینترنت ایران هستند، چیزی که امروز به عنوان شبکه ملی اطلاعات شناخته میشود. مبالغهی دولت در ترویج اینترنت ملی به عنوان اینترنت «سالم» و «امن»، این پروژه را در برابر حملات سایبری، ایمن معرفی میکند و از آنجایی که تنها به مطالبی اجازه دسترسی میدهد که تایید شده باشند، ادعا میکند که موجب ارتقای یکپارچگی و انسجام اجتماعی میشود. این پروژه، به شکل ابزاری عمل میکند که حقوق دیجیتال محدود شهروندان ایرانی را از آنچه که هست هم محدودتر کند.
با قراردادن زیربنا و سازماندهی اینترنت در داخل کشور، دولت میتواند کنترل خود را، بیش از پیش، بر شهروندان و آنچه به آن دسترسی دارند بالا برده، و رفتار آنها را بدون هیچ محدودیتی از طرف سازمانهای بینالمللی، زیرنظر بگیرد. ما در طول دورهی قطع کامل اینترنت ایران در آبان ماه ۱۳۹۸ شاهد کارآمدی شبکه ملی اطلاعات بودیم. زمانیکه وبسایتهای بینالمللی و اپلیکیشنها همگی قطع شده بودند، برخی خدمات بانکی، بیمارستانها و دانشگاهها اعلام کردند که در زمان تعطیلی اینترنت، همچنان آنلاین مانده بودند، چرا که به شبکه ملی متصل بوده و از سرویسهای هوستینگ (میزبانی وب) داخلی استفاده میکردند.
همانطور که در سند اخیر «نظام هویت معتبر در فضای مجازی» مشهود است، شبکه ملی اطلاعات به آهستگی مشغول ساختن فضای اینترنتی است که در عین حال به قصد نظارت، ردیابی و کنترل کاربران طراحی شده است. مادامی که هیچ قانونی برای حفاظت از دادهها تعیین نشود، نمیتوان مطمئن بود که اطلاعات جمعآوری شده مطابق با حق حریم خصوصی افراد، بکار گرفته میشود، یا نمیتوان مطمئن بود که استفاده و آشکارسازی این اطلاعات محدود خواهد بود و از آنها سواستفاده نمیشود. در چنین شرایطی، حکومت با موانع بسیار کمتری در مسیر نظارت و کنترل بر شهروندان روبرو میباشد. واضح است که قابل ردیابی شدن و بومیسازی تمامی تعاملات آنلاین (آنطور که در مصوبهی نظام هویت معتبر در فضایی مجازی آمده) با چارچوبی کارآمد برای محافظت از دادهها، همخوانی ندارد.
نظام تجسس حکومتی، از اساس، با روشهای حمایت از داده مغایرت دارد. هدف حمایت از داده این است که اطلاعات و یا دادههای شخصی محفوظ نگه داشته شود، در حالیکه نظارت حکومتی در هر جای دنیا، بر پایهی ناامنی داده و عدم وجود حریم خصوصی در فضاهای آنلاین استوار است. تعاریف مختلفی از اصطلاح «داده شخصی» انجام شده، اما استانداردهای جهانی همچون «مقررات عمومی حفاظت از داده» اتحادیه اروپا، این اصطلاح را این طور تعریف میکند: “اطلاعات شخصی هر گونه اطلاعات مربوط به یک فرد شناسایی شده یا قابل شناسایی شدن است، خواه مربوط به زندگی خصوصی فرد باشد و خواه مربوط به زندگی حرفهای و یا عمومی وی و آن میتواند هر چیزی مثل نام، عکس، آدرس ایمیل، اطلاعات بانکی، پست در وب سایتهای شبکه های اجتماعی، اطلاعات پزشکی، ژنتیکی، روانی، اقتصادی، فرهنگی یا هویت اجتماعی باشد.” (مقررات عمومی حفاظت از داده، ۲۰۱۸، ماده ۴)
بنابراین، برای اینکه چارچوب حفاظت از داده بتواند موثر واقع شود، شرایطی باید فراهم شود تا بتوان دادهها را از طریق نام مستعار یا غیر قابل شناسایی، و با استفاده از روشهایی چون رمزگذاری به صورت امن ذخیره نمود تا این امر، در نهایت، حفظ حریم خصوصی کاربران را تأمین کند.
اما «سیستم هویت آنلاین احراز شده» این شیوههای امنیتی را از طریق ساخت شناسههای هویت آنلاینی که میبایست تحت نظارت دولت باشند، نفی میکند؛ و افراد بدون داشتن این شناسهها قادر به استفاده از اینترنت نخواهند بود. این مصوبه هیچ توصیهنامه و مفادی در توضیح این مسئله که اطلاعات به چه شکل جمعآوری، پردازش و ذخیره میشوند ارائه نمیدهد، و همچنین به صاحبین این اطلاعات حق مالکیت و کنترل اطلاعات شخصی خودشان را واگذار نمیکند. باز هم تاکید میکنیم که این مصوبه در برابر نشتهای اطلاعاتی و دستدرازی به حریم خصوصی کاربران هیچ تدبیری نیندیشیده، و به هیچ وجه تلاشی در راستای حفظ امنیت و اطمینان خاطر کاربران اینترنت ایرانی، نمیکند.
شبکه ملی اطلاعات از طریق سیاستهایی در حال اجرا است که بومیسازی اطلاعات را اجباری میکند، و این امر وجود سیستمی را امکانپذیر مینماید که حکومت قادر باشد دائما رفتار شهروندان خود را در فضای مجازی زیر نظر داشته باشد و اینترنت جهانی را بر روی آنها ببندد. پس با در نظر گرفتن این موضوع شاید خیلی تعجبآور نباشد که سیاست گذاران ایران در مقابل ایدهی وضع قوانین حمایت از داده، مقاومت میکند. البته فقدان قانون و مقررات بر روی بخش خصوصی نیز به صورت غیرمستقیم تاثیر میگذارد و موجب میشود تا نظارت کافی بر شرکتهای خصوصی فناوری اطلاعات وجود نداشته باشد و حفظ حریم خصوصی آنلاین و امنیت اطلاعات کاربران این شرکتها تضمین نشود.
قدم بعدی چیست؟
همانطور که دیدیم، ناتوانی دولت ایران در مطابقت دادن قوانین خود با پیشرفتهای تکنولوژی، عواقب چشمگیری برای شهروندان ایرانی به همراه داشته است. علیرغم درخواستهایی که برای وضع قوانین حفاظت از داده انجام شده است، اقدامات بسیار ناچیزی از طرف دولت در جهت بهبود و پیادهسازی قوانین حفاظت از داده انجام شده است.
این موضوع که به نظر میرسد روند قانونگذاری در این زمینه برای همیشه در حالت معلق مانده است، حاکی از این است که حکومت احتمالا متوجه شده که وضع هرگونه قانونی برای حفاظت از داده، میتواند پروژهی بزرگتر او را که ساخت شبکه ملی اطلاعات است، به خطر انداخته و یا تضعیف کند؛ پروژهای که هدف اصلی آن این است که تمام شهروندان در فضای مجازی قابل مشاهده و ردیابی باشند. به همین دلیل وضع قوانین و مقرراتی که بتواند امنیت کاربران اینترنت را در حد استانداردهای بینالمللی بالا ببرد، و یا در صورت لطمه خوردن امنیتشان، راه چارهای برای آنها فراهم کند، با اهداف حکومت ایران هماهنگی ندارد.
پس میتوان نتیجه گرفت که اجرایی شدن شبکه ملی اطلاعات که ذات آن مغایر با حریم خصوصی کاربران و امنیت اطلاعات میباشد، میبایست متوقف شود. علاوه بر این، دولت باید اطمینان حاصل کند که قوانینی مناسب که به صورت فراگیر امنیت اطلاعاتی کاربران را تضمین میکنند، در اسرع وقت وضع شوند. این کار را میتواند با اعلام وضعیت لایحهی «حمایت از داده و حریم خصوصی در فضای مجازی» شروع کند. این موضوع از اهمیت بسیار بالایی برخوردار است که متوجه باشیم که این لایحه در حالت کنونیاش با استانداردهای معتبر جهانی در زمینه امنیت داده و حریم خصوصی همخوانی ندارد، اما میتواند شروعی برای کشور باشد. این لایحه میتواند پیش از اینکه به قانون تبدیل شود، اصلاح و نقاط ضعف آن ترمیم گردد. تلفیق این دو اتفاق میتواند موجب شود که کنترلکنندگان و استفاده کنندگان داده، از جمله خود دولت، مجبور به اجرای روشهایی امنیتی با استاندارد بالا شوند و در برابر هرگونه قصوری، جوابگو باشند و در نتیجهی همه این تغییرات، فضای آنلاین قابل اعتمادی خلق شود که به حقوق دیجیتال شهروندان خود احترام میگذارد.
مواردی برای آینده امنیت داده در ایران:
ما با در نظر گرفتن شرایط کنونی حمایت از داده در ایران، مواردی را جمعآوری کردهایم که به دستاندرکاران در زمینههای مختلف پیشنهاد میکنیم این موارد را در نظر گرفته و به اجرا دربیاورند، تا نقاط ضعف سیستم کنونی مطرح و از حقوق دیجیتال شهروندان ایرانی پاسداری شود:
- در نبود چارچوبی قانونمند برای حفاظت از داده، شرکتهای فناوری و موسسات میبایست تا وظیفه خود را بشناسند و امنیت اطلاعات و حریم خصوصی کاربران خود را در اولویت قرار دهند. برای رسیدن به این هدف، باید روشهایی دقیق برای حمایت از داده تعیین کنند و همچنین این شیوهها را برای کاربران خود فراهم کنند.
- دولت ایران میبایست در اسرع وقت قانون جامعی برای حمایت از داده و حریم خصوصی فضای مجازی، وضع کند که با استانداردهای جهانی همگون باشد، از جمله:
- به کارگیری شیوههای استاندارد که موجب میشوند اپلیکیشنهای داخلی از امنیت کافی برخوردار باشند.
- ایجاد روندی مشخص برای مطلع کردن صاحبین دادهها از هرگونه نشت اطلاعاتی که هویت آنها از آن طریق قابل شناسایی باشد
- ایجاد روشهای قانونی قابل اجرا برای جبران خسارت افرادی که امنیت دادههایشان لطمه خورده است.
- طرحهای مشکلزایی همچون طرح «ساماندهی پیامرسانهای اجتماعی» میبایست کنار گذاشته شوند چرا که این نوع قوانین، مغایر با حق حریم خصوصی کاربران و همچنین فاقد ملاحظات امنیتی میباشند.
- تا زمانی که پروژه شبکه ملی اطلاعات ادامه دارد، قوانین حمایت از داده و حریم خصوصی فضای مجازی، فقط میتوانند در ظاهر وجود داشته باشند، بنابراین پروژهی بومیسازی اینترنت ایران باید متوقف گردد تا حقوق دیجیتال شهروندان ایرانی حفظ شود.
کنشگران و حامیان حقوق دیجیتال باید از خطرات برنامههایی چون ویپیان “قانونی” آگاه باشند و کاربران ایرانی را نیز از خطرات ممکن برای حریم خصوصیاشان مطلع سازند.