20 آگوست 2024

حریم خصوصی: شهر بی‌دفاع

در قسمت اول از فصل دوم پادکست «‌لایه هفتم» به موضوع حفاظت از داده‌های شخصی در فضای مجازی، نحوهٔ جمع‌آوری آن و وظیفهٔ شرکت‌ها و نهادهای دولتی و خصوصی در قبال داده‌های کاربران پرداخته‌ایم.

در این مطلب، ضمن توضیح مفهوم داده‌های شخصی در فضای مجازی، تلاش می‌کنیم نشان دهیم چه داده‌هایی از کاربران در اینترنت ذخیره می‌شود و در مواجهه با این موضوع مسئولیت شرکت‌های خصوصی و سازمان‌های دولتی در زمینهٔ حفاظت از داده‌های کاربران چیست.

تدوین «لایحهٔ حفاظت از داده‌های شخصی» در ایران که از سال ۹۶ در دستور کار دولت وقت جمهوری اسلامی قرار گرفت، بارها برای نهایی شدن با موانع متعددی روبه‌رو شد. در دولت ابراهیم رئیسی، تدوین این لایحه یکی از اقدامات اساسی وزارت ارتباطات دولت سیزدهم بود اما در دورهٔ حیات ابراهیم رئیسی و حضور دولت او به نتیجه نرسید.

۲۴ تیرماه ۱۴۰۳، پس از سال‌ها فرازونشیب‌های قانونی بسیار دربارهٔ این موضوع، لایحهٔ حفاظت از داده‌های شخصی در فضای مجازی در جلسهٔ هیئت دولت به تصویب نهایی رسید و برای تبدیل شدن به قانون به مجلس شورای اسلامی ارسال شد.

بنابر بر پیش‌نویس طرح حفاظت از داده که از سوی وزارت ارتباطات و فناوری اطلاعات منتشر شده، دادهٔ شخصی عبارت است از «داده‌ای که به وسیلهٔ آن، به‌تنهایی یا به همراه داده‌های دیگر، بتوان شخص موضوع آن را شناسایی کرد».

کاربران فضای مجازی در سراسر جهان روزانه به جست‌وجو و مراجعه به صفحات و موضوعات مختلف مشغول‌اند و همزمان داده‌های شخصی آن‌ها ذخیره می‌شود.

تصور کنید که چند روز پیش برای خرید یک جفت کفش ورزشی مناسب، چندین سایت و صفحهٔ اینترنتی را مشاهده کرده‌اید و روز بعد در کمال ناباوری با تبلیغات مختلفی در اینستاگرام و گوگل و… دربارهٔ تخفیف ویژهٔ کفش‌های ورزشی روبه‌رو می‌شوید.

این پیشنهاد از کجا آمده‌ است؟ چطور این وب‌سایت‌ها و اپلیکیشن‌ها می‌دانند که شما به دنبال این محصول بوده‌اید؟ چه داده‌هایی از شما جمع‌آوری شده و این اطلاعات چگونه استفاده می‌شوند؟

رد پای ما، به‌عنوان کاربران عادی اینترنت، خواسته و ناخواسته باقی می‌ماند. ما که هر روز خود را با وب‌گردی آغاز می‌کنیم، نمی‌دانیم که چه دیتاها و یا داده‌هایی با ورودمان به اینترنت از ما جمع‌آوری می‌شود.

به‌محض این‌که یک کاربر وارد اینترنت می‌شود، وب‌سایت‌های مختلف، با هدف‌‌های مختلف و گاه مشابه، به جمع‌آوری داده‌های شخصی کاربران می‌پردازند.

گاه جمع‌آوری این داده‌ها از ثبت «‌آی‌پی اکسترنال»‌ کاربر شروع می‌شود و در برخی از سایت‌ها به رزولوشن تصاویر گوشی فرد، مدل لپ‌تاپ کاربر، نسخهٔ مرورگر، نوع مرورگر، زبان مرورگر، سیستم‌عامل، نسخهٔ سیستم‌عامل و یا اطلاعات مربوط به نحوهٔ اتصال فرد به شبکه (این‌که از وای‌فای یا تری‌جی یا فورجی استفاده می‌کند)، جغرافیای فرد، کمپانی و محل ارائهٔ خدمات اینترنتی و… منتهی می‌شود.

روش‌های مختلف جمع‌آوری داده‌های کاربران در اینترنت

یکی از روش‌های عمدهٔ جمع‌آوری داده‌های کاربران در شبکه‌های اجتماعی و اینترنت، شامل جستجوهای اینترنتی از طریق گوگل، صفحاتی که هنگام استفاده از فیس‌بوک و اینستاگرام بازدید می‌کنیم و تاریخ تولد و محل سکونتی است که در حساب‌های کاربری خود آن‌ها را اضافه می‌کنیم.

روش دیگری که شرکت‌ها و وب‌سایت‌ها به جمع‌آوری اطلاعات و داده‌های شما می‌پردازند، استفاده از کوکی‌ها است.

وقتی برای اولین بار وارد یک وب‌سایت می‌شوید داده‌هایی به نام کوکی‌ که بسته‌های اطلاعاتی کوچکی برای شناسایی شما هستند، بر روی مرورگرتان ارسال می‌شود. این کوکی‌ها، همان روایت خرده‌نان‌هایی که در داستان‌های قدیمی برای یافتن مسیر، بر زمین می‌ریختند تا بتوانند راه خود را پیدا کنند.

هرچند کوکی‌ها می‌توانند روند جستجو و یافتن اطلاعات را برای کاربران آسان کنند و به کمک آن‌ها بیایند اما در مواردی کوکی‌ها می‌توانند با ذخیره اطلاعات شخصی بیشتر و پیچیده‌تر از کاربران نگران‌کننده و ترسناک شوند.

داده‌های شخصی کاربران همچنین از طریق هوش مصنوعی و چت‌جی‌پی‌تی نیز به شکل گسترده‌ای ذخیره و نگهداری می‌شود. بنگاه‌هایی هستند که از این داده‌ها و چت‌های به ظاهر سادهٔ کاربران با هوش مصنوعی استفاده می‌کنند و به تحلیل آنها می‌پردازند. هرچند به نظر می‌رسد که این داده‌ها برای اهداف بیشتر تجاری و اقتصادی جمع‌آوری می‌شوند اما امروزه بحث‌های زیادی وجود دارد که این خوش‌بینی را زیر سؤال می‌برد.

مسئلهٔ «مارکتینگ» صرف بازاریابی محصولات به معنای محصول و یا کالای دیجیتال نیست، مسئلهٔ ایده‌ها هم در این میان مطرح است. در واقع قسمت ترسناک ماجرا از اینجا شروع می‌شود.

سازمان عفو بین‌الملل در سال ۲۰۲۲ در مقاله‌ای که خطاب به شرکت متا نوشته، تأکید می‌کند که این شرکت باید بر اساس الگوریتم‌های خود در نسل‌کشی روهینگیا در میانمار پاسخگو باشد. عفو بین‌الملل در این مقاله اعلام کرد که الگوریتم‌های خطرناک متا (مالک فیسبوک) و دنبال کردن منفعت شخصی این شرکت به طور قابل‌توجهی به جنایاتی که ارتش میانمار علیه مردم روهینگیا در سال ۲۰۱۷ مرتکب شد، کمک کرد.

چرا باید نگران این روند باشیم؟

روند پرشتاب ذخیرهٔ داده‌های کاربران و ردیابی آن‌ها در اینترنت هرچند به جست‌وجو و رسیدن آن‌ها به هدف کمک می‌کند اما در موارد بسیاری نیز می‌تواند نگران‌کننده باشد.

جدا از این‌که فعالان سیاسی همیشه در معرض سوءاستفاده‌های متعدد قرار می‌گیرند، اما سالمندان می‌توانند طعمهٔ اصلی شرکت‌ها و پلتفرم‌هایی باشند که به دنبال سوءاستفاده از کاربران هستند. سالمندانی که در دههٔ ششم و هفتم زندگی خود با پدیدهٔ اینترنت آشنا شده‌اند، به راحتی و با ورود به تبلیغات فریبنده می‌توانند حتی پس‌انداز زندگی خود را به راحتی از دست بدهند.

کودکان و نوجوانانی که به اینترنت دسترسی دارند نیز یکی دیگر از طعمه‌هایی هستند که این تبلیغات با ردیابی گستردهٔ آن‌ها می‌توانند آن‌ها را شکار کنند.

هکرها همچنین با ارسال نوتیفیکیشن‌ها و یا لینک‌های به ظاهر امن بارها و بارها توانسته‌اند با دسترسی به اطلاعات شخصی کاربران که توسط پلتفرم‌های مختلف حفظ و نگهداری می‌شود، حساب بانکی آن‌ها را تهدید کنند. این هک‌ها محدود به مسائل مالی نمی‌شود و می‌تواند با دسترسی به اسناد و مدارک پزشکی، قانونی و خانوادگی نیز زندگی کاربران را در معرض خطر جدی قرار دهد.

قوانین حفاظت از داده و وظایف شرکت‌ها در قبال کاربران

میزان دسترسی به اطلاعات شخصی و نحوهٔ استفاده از آن‌ها به سیاست‌های حریم خصوصی هر وب‌سایت بستگی دارد. به نظر می‌رسد که دسترسی به این سیاست‌ها آسان باشد اما وب‌سایت‌ها معمولاً آن‌ها را به نحوی تنظیم می‌کنند تا بتوانند با دست بازتر و قدرت عمل بیشتر در قبال این داده‌ها رفتار کنند.

جی‌دی‌پی‌آر یا همان مقررات عمومی حفاظت از داده‌ها به مقرراتی گفته می‌شود که اتحادیهٔ اروپا برای حفاظت از داده‌ها و حریم خصوصی افراد در سال ۲۰۱۶ به تصویب رساند و اجرای آن از اردیبهشت ۱۳۹۷ خورشیدی الزامی شد.

با این حال بسیاری از کشورها چون ایران همچنان به این روند نپیوسته‌اند و داده‌های کاربران هنوز سرنوشت مشخصی در فضای آنلاین ندارد.

با این‌که اطلاعات زیادی از محتوای لایحهٔ حمایت از داده و حریم خصوصی در دسترس نیست، اما با بررسی جی‌دی‌پی‌آر و همچنین نظر کارشناسان حقوق دیجیتال، می‌توان ایدئال‌هایی در این زمینه تصور کرد:

  • شرکت‌ها می‌بایست به کاربران خود اجازه دهند که تمامی اطلاعات کاربری خود را که در اختیار شرکت است دریافت کنند و امکان پاک کردن آن اطلاعات باید برای کاربران فراهم باشد.
  • شرکت‌ها می‌بایست به‌صورت علنی روند پاسخگویی به درخواست‌های نهادهای حکومتی و طرفین ثالث برای دسترسی به اطلاعات کاربران را اعلام کنند.
  • شرکت‌ها باید به‌صورت علنی اعلام کنند که به چه روش‌هایی، امنیت محصول و خدمات خود را حفظ می‌کنند.
  • شرکت‌ها همچنین باید اعلام کنند که به چه دلیل اطلاعات کاربران را جمع‌آوری می‌کنند و به اشتراک می‌گذارند.
  • آنها همچنین باید دربارهٔ محتوای به اشتراک‌گذاشته نیز پاسخگو باشند.
  • شرکت‌ها باید خط‌مشی مربوط به حریم خصوصی خود را به‌شکلی ارائه کنند که به‌راحتی قابل‌یافتن و به‌سادگی قابل‌فهم باشد و در صورت تغییر باید این موضوع را سریعاً به اطلاع کاربران برسانند.

برای اطلاعات بیشتر در این زمینه می‌توانید به دفترچهٔ راهنمای رعایت حقوق دیجیتال کاربران مراجعه کنید.

سرنوشت داده‌های شخصی کاربران در ایران

سالیان سال تلاش‌های متعددی برای تصویب قانون حفاظت از داده در ایران انجام شده اما هیچ‌وقت به‌طور جدی به آن توجهی نشد تا سال گذشته که هک چندین سازمان و نهاد دولتی و خصوصی سبب شد دولت یک سری دستورالعمل را در قبال داده‌های شخصی کاربران صادر کند.

دستورالعمل‌های فعلی بیشتر واکنشی سطحی به مشکلات هک و انتشار اطلاعات کاربران است و تضمین‌های کافی برای حفاظت از داده‌ها در برابر نهادهای امنیتی و قضایی ارائه نمی‌دهد.

این دستورالعمل‌ها به هیچ‌وجه جایگزین مناسبی برای یک قانون جامع و فراگیر در این زمینه نیستند. تلاش‌های قبلی در ایران ازجمله پیش‌نویس‌های سال‌های ۱۳۹۷ و ۱۳۹۹ به نتیجه نرسیدند و باید دید لایحهٔ اخیر که به مجلس ارسال شده، چه سرنوشتی خواهد داشت.

اگر شنوندۀ پیگیر پادکست «لایه هفتم» هستید، می‌توانید با شرکت در این نظرسنجی به تولیدکنندگان آن کمک کنید تا این پادکست و مطالب آن را متناسب با نیازهاو نظرات شما تهیه کنند.