در قسمت اول از فصل دوم پادکست «لایه هفتم» به موضوع حفاظت از دادههای شخصی در فضای مجازی، نحوهٔ جمعآوری آن و وظیفهٔ شرکتها و نهادهای دولتی و خصوصی در قبال دادههای کاربران پرداختهایم.
در این مطلب، ضمن توضیح مفهوم دادههای شخصی در فضای مجازی، تلاش میکنیم نشان دهیم چه دادههایی از کاربران در اینترنت ذخیره میشود و در مواجهه با این موضوع مسئولیت شرکتهای خصوصی و سازمانهای دولتی در زمینهٔ حفاظت از دادههای کاربران چیست.
تدوین «لایحهٔ حفاظت از دادههای شخصی» در ایران که از سال ۹۶ در دستور کار دولت وقت جمهوری اسلامی قرار گرفت، بارها برای نهایی شدن با موانع متعددی روبهرو شد. در دولت ابراهیم رئیسی، تدوین این لایحه یکی از اقدامات اساسی وزارت ارتباطات دولت سیزدهم بود اما در دورهٔ حیات ابراهیم رئیسی و حضور دولت او به نتیجه نرسید.
۲۴ تیرماه ۱۴۰۳، پس از سالها فرازونشیبهای قانونی بسیار دربارهٔ این موضوع، لایحهٔ حفاظت از دادههای شخصی در فضای مجازی در جلسهٔ هیئت دولت به تصویب نهایی رسید و برای تبدیل شدن به قانون به مجلس شورای اسلامی ارسال شد.
بنابر بر پیشنویس طرح حفاظت از داده که از سوی وزارت ارتباطات و فناوری اطلاعات منتشر شده، دادهٔ شخصی عبارت است از «دادهای که به وسیلهٔ آن، بهتنهایی یا به همراه دادههای دیگر، بتوان شخص موضوع آن را شناسایی کرد».
کاربران فضای مجازی در سراسر جهان روزانه به جستوجو و مراجعه به صفحات و موضوعات مختلف مشغولاند و همزمان دادههای شخصی آنها ذخیره میشود.
تصور کنید که چند روز پیش برای خرید یک جفت کفش ورزشی مناسب، چندین سایت و صفحهٔ اینترنتی را مشاهده کردهاید و روز بعد در کمال ناباوری با تبلیغات مختلفی در اینستاگرام و گوگل و… دربارهٔ تخفیف ویژهٔ کفشهای ورزشی روبهرو میشوید.
این پیشنهاد از کجا آمده است؟ چطور این وبسایتها و اپلیکیشنها میدانند که شما به دنبال این محصول بودهاید؟ چه دادههایی از شما جمعآوری شده و این اطلاعات چگونه استفاده میشوند؟
رد پای ما، بهعنوان کاربران عادی اینترنت، خواسته و ناخواسته باقی میماند. ما که هر روز خود را با وبگردی آغاز میکنیم، نمیدانیم که چه دیتاها و یا دادههایی با ورودمان به اینترنت از ما جمعآوری میشود.
بهمحض اینکه یک کاربر وارد اینترنت میشود، وبسایتهای مختلف، با هدفهای مختلف و گاه مشابه، به جمعآوری دادههای شخصی کاربران میپردازند.
گاه جمعآوری این دادهها از ثبت «آیپی اکسترنال» کاربر شروع میشود و در برخی از سایتها به رزولوشن تصاویر گوشی فرد، مدل لپتاپ کاربر، نسخهٔ مرورگر، نوع مرورگر، زبان مرورگر، سیستمعامل، نسخهٔ سیستمعامل و یا اطلاعات مربوط به نحوهٔ اتصال فرد به شبکه (اینکه از وایفای یا تریجی یا فورجی استفاده میکند)، جغرافیای فرد، کمپانی و محل ارائهٔ خدمات اینترنتی و… منتهی میشود.
روشهای مختلف جمعآوری دادههای کاربران در اینترنت
یکی از روشهای عمدهٔ جمعآوری دادههای کاربران در شبکههای اجتماعی و اینترنت، شامل جستجوهای اینترنتی از طریق گوگل، صفحاتی که هنگام استفاده از فیسبوک و اینستاگرام بازدید میکنیم و تاریخ تولد و محل سکونتی است که در حسابهای کاربری خود آنها را اضافه میکنیم.
روش دیگری که شرکتها و وبسایتها به جمعآوری اطلاعات و دادههای شما میپردازند، استفاده از کوکیها است.
وقتی برای اولین بار وارد یک وبسایت میشوید دادههایی به نام کوکی که بستههای اطلاعاتی کوچکی برای شناسایی شما هستند، بر روی مرورگرتان ارسال میشود. این کوکیها، همان روایت خردهنانهایی که در داستانهای قدیمی برای یافتن مسیر، بر زمین میریختند تا بتوانند راه خود را پیدا کنند.
هرچند کوکیها میتوانند روند جستجو و یافتن اطلاعات را برای کاربران آسان کنند و به کمک آنها بیایند اما در مواردی کوکیها میتوانند با ذخیره اطلاعات شخصی بیشتر و پیچیدهتر از کاربران نگرانکننده و ترسناک شوند.
دادههای شخصی کاربران همچنین از طریق هوش مصنوعی و چتجیپیتی نیز به شکل گستردهای ذخیره و نگهداری میشود. بنگاههایی هستند که از این دادهها و چتهای به ظاهر سادهٔ کاربران با هوش مصنوعی استفاده میکنند و به تحلیل آنها میپردازند. هرچند به نظر میرسد که این دادهها برای اهداف بیشتر تجاری و اقتصادی جمعآوری میشوند اما امروزه بحثهای زیادی وجود دارد که این خوشبینی را زیر سؤال میبرد.
مسئلهٔ «مارکتینگ» صرف بازاریابی محصولات به معنای محصول و یا کالای دیجیتال نیست، مسئلهٔ ایدهها هم در این میان مطرح است. در واقع قسمت ترسناک ماجرا از اینجا شروع میشود.
سازمان عفو بینالملل در سال ۲۰۲۲ در مقالهای که خطاب به شرکت متا نوشته، تأکید میکند که این شرکت باید بر اساس الگوریتمهای خود در نسلکشی روهینگیا در میانمار پاسخگو باشد. عفو بینالملل در این مقاله اعلام کرد که الگوریتمهای خطرناک متا (مالک فیسبوک) و دنبال کردن منفعت شخصی این شرکت به طور قابلتوجهی به جنایاتی که ارتش میانمار علیه مردم روهینگیا در سال ۲۰۱۷ مرتکب شد، کمک کرد.
چرا باید نگران این روند باشیم؟
روند پرشتاب ذخیرهٔ دادههای کاربران و ردیابی آنها در اینترنت هرچند به جستوجو و رسیدن آنها به هدف کمک میکند اما در موارد بسیاری نیز میتواند نگرانکننده باشد.
جدا از اینکه فعالان سیاسی همیشه در معرض سوءاستفادههای متعدد قرار میگیرند، اما سالمندان میتوانند طعمهٔ اصلی شرکتها و پلتفرمهایی باشند که به دنبال سوءاستفاده از کاربران هستند. سالمندانی که در دههٔ ششم و هفتم زندگی خود با پدیدهٔ اینترنت آشنا شدهاند، به راحتی و با ورود به تبلیغات فریبنده میتوانند حتی پسانداز زندگی خود را به راحتی از دست بدهند.
کودکان و نوجوانانی که به اینترنت دسترسی دارند نیز یکی دیگر از طعمههایی هستند که این تبلیغات با ردیابی گستردهٔ آنها میتوانند آنها را شکار کنند.
هکرها همچنین با ارسال نوتیفیکیشنها و یا لینکهای به ظاهر امن بارها و بارها توانستهاند با دسترسی به اطلاعات شخصی کاربران که توسط پلتفرمهای مختلف حفظ و نگهداری میشود، حساب بانکی آنها را تهدید کنند. این هکها محدود به مسائل مالی نمیشود و میتواند با دسترسی به اسناد و مدارک پزشکی، قانونی و خانوادگی نیز زندگی کاربران را در معرض خطر جدی قرار دهد.
قوانین حفاظت از داده و وظایف شرکتها در قبال کاربران
میزان دسترسی به اطلاعات شخصی و نحوهٔ استفاده از آنها به سیاستهای حریم خصوصی هر وبسایت بستگی دارد. به نظر میرسد که دسترسی به این سیاستها آسان باشد اما وبسایتها معمولاً آنها را به نحوی تنظیم میکنند تا بتوانند با دست بازتر و قدرت عمل بیشتر در قبال این دادهها رفتار کنند.
جیدیپیآر یا همان مقررات عمومی حفاظت از دادهها به مقرراتی گفته میشود که اتحادیهٔ اروپا برای حفاظت از دادهها و حریم خصوصی افراد در سال ۲۰۱۶ به تصویب رساند و اجرای آن از اردیبهشت ۱۳۹۷ خورشیدی الزامی شد.
با این حال بسیاری از کشورها چون ایران همچنان به این روند نپیوستهاند و دادههای کاربران هنوز سرنوشت مشخصی در فضای آنلاین ندارد.
با اینکه اطلاعات زیادی از محتوای لایحهٔ حمایت از داده و حریم خصوصی در دسترس نیست، اما با بررسی جیدیپیآر و همچنین نظر کارشناسان حقوق دیجیتال، میتوان ایدئالهایی در این زمینه تصور کرد:
- شرکتها میبایست به کاربران خود اجازه دهند که تمامی اطلاعات کاربری خود را که در اختیار شرکت است دریافت کنند و امکان پاک کردن آن اطلاعات باید برای کاربران فراهم باشد.
- شرکتها میبایست بهصورت علنی روند پاسخگویی به درخواستهای نهادهای حکومتی و طرفین ثالث برای دسترسی به اطلاعات کاربران را اعلام کنند.
- شرکتها باید بهصورت علنی اعلام کنند که به چه روشهایی، امنیت محصول و خدمات خود را حفظ میکنند.
- شرکتها همچنین باید اعلام کنند که به چه دلیل اطلاعات کاربران را جمعآوری میکنند و به اشتراک میگذارند.
- آنها همچنین باید دربارهٔ محتوای به اشتراکگذاشته نیز پاسخگو باشند.
- شرکتها باید خطمشی مربوط به حریم خصوصی خود را بهشکلی ارائه کنند که بهراحتی قابلیافتن و بهسادگی قابلفهم باشد و در صورت تغییر باید این موضوع را سریعاً به اطلاع کاربران برسانند.
برای اطلاعات بیشتر در این زمینه میتوانید به دفترچهٔ راهنمای رعایت حقوق دیجیتال کاربران مراجعه کنید.
سرنوشت دادههای شخصی کاربران در ایران
سالیان سال تلاشهای متعددی برای تصویب قانون حفاظت از داده در ایران انجام شده اما هیچوقت بهطور جدی به آن توجهی نشد تا سال گذشته که هک چندین سازمان و نهاد دولتی و خصوصی سبب شد دولت یک سری دستورالعمل را در قبال دادههای شخصی کاربران صادر کند.
دستورالعملهای فعلی بیشتر واکنشی سطحی به مشکلات هک و انتشار اطلاعات کاربران است و تضمینهای کافی برای حفاظت از دادهها در برابر نهادهای امنیتی و قضایی ارائه نمیدهد.
این دستورالعملها به هیچوجه جایگزین مناسبی برای یک قانون جامع و فراگیر در این زمینه نیستند. تلاشهای قبلی در ایران ازجمله پیشنویسهای سالهای ۱۳۹۷ و ۱۳۹۹ به نتیجه نرسیدند و باید دید لایحهٔ اخیر که به مجلس ارسال شده، چه سرنوشتی خواهد داشت.
اگر شنوندۀ پیگیر پادکست «لایه هفتم» هستید، میتوانید با شرکت در این نظرسنجی به تولیدکنندگان آن کمک کنید تا این پادکست و مطالب آن را متناسب با نیازهاو نظرات شما تهیه کنند.