مشکل فنی بانکی موجب تاخیر در تسویه پرداختیارها شد
براساس اطلاعیه پرداختیارهای زرینپال، وندار و جیبیت، تسویه پرداختیاری امروز، یکم آذر ۱۴۰۳، با تاخیر…
۱ آذر ۱۴۰۳
رئیس سازمان فناوری اطلاعات:
۱۶ فروردین ۱۳۹۹
زمان مطالعه : ۶ دقیقه
درز چند باره اطلاعات کاربران ایرانی تلگرام، سیباپ و آخرین بار افشا اطلاعات ایرانیان از طریق سامانه ثبت احوال هنوز جزو خبرهای شوککننده یک هفته اخیر به شمار میآیند. با گذشت کمتر از ۶ روز از این اتفاقات پیدرپی نه مقام مسئولی در این زمینه عذرخواهی کرده و نه مشخص شده که چه کسی یا کسانی باید خسارت کاربرانی که در این زمینه از اطلاعات آنها سوءاستفاده شده یا مورد حملات فیشینگ قرار گرفته، بپردازند. هرچند که در این چند روز بسیاری از کاربران و همچنین مدیران کسبوکارهای مختلف در شبکههای اجتماعی پیکان انتقاد را سمت وزارت ارتباطات و زیرمجموعههای آن از جمله سازمان فناوری اطلاعات گرفتهاند و اعلام کردهاند چرا این وزارتخانه قوانین و سیاستگذاری مشخصی برای حفاظ از دادههای شخصی در فضای اینترنت در نظر نمیگیرد؛ اما بارها این مجموعه به انجام وظایف محوله به خود تاکید کرده است. با شدت گرفتن این انتقادها حالا امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات با منتشر کردن یک پست در اینستاگرام و توییتر خود اعلام کرده که سال گذشته این سازمان با توجه به قوانین فعلی آییننامهای تهیه و در اختیار شرکتهای خصوصی و دستگاههای اجرایی حوزه فناوری اطلاعات گذاشته است.
به گزارش پیوست، امیر ناظمی با منتشر کردن تصاویر این آئیننامه تاکید کرده که در قدم اول حفاظت از دادههای شهروندان یکی از وظایف هر اپلیکیشن و سامانهای است. با این حال او نوشته است که در این شرایط بازهم تردیدهایی مطرح و وزارت ارتباطات را به عنوان مسئول معرفی میکنند که به باور او این تردیدها جای تعجب دارد.
ناظمی در ادامه اشاره کرده که برای از بین بردن این تردیدها تیم او سال گذشته آئیننامهای را براساس قوانین فعلی تهیه و به شرکتهای خصوصی و دستگاههای اجرایی در حوزه فناوری اطلاعات ارسال کردهاند. در نهایت او اعلام کرده که بازهم به دلیل وجود تردیدهای بیشتر در این زمینه او مجبور شده که فهرست تکتک مواد این آییننامه ابلاغ شده در سال گذشته و اسناد آن به قوانین و مقررات موجود را در صفحه اینستاگرام و توییتر خود منتشر کند.
آنطور که ناظمی اعلام کرده این آئیننامه در غیاب قانون حفاظت از دادههای عمومی یا GDPR تهیه شده است، قانونی که بیش از دو سال است که در بورکراسی دولتی فرصت تصویب توسط هیات دولت را پیدا نکرده است. لایحه صیانت از دادههای شخصی مرداد ماه سال ۱۳۹۷ و در حاشیه برگزاری نمایشگاه الکامپ آن سال رونمایی شد. در مراسم رونمایی این لایحه وزیر ارتباطات با اعلام اینکه بعد از رونمایی لایحه برای بررسی و تصویب به هیات دولت ارسال میشود، تهیه این لایحه را حرکت تاریخی دانسته و گفته بود: «امروز یک روز تاریخی برای صیانت از دادههای مردم است. لایحهای بر مبنای فتوای راهبردی مقام معظم رهبری درباره حرمت تعهدی به حریم خصوصی مردم در فضای مجازی تدوین میشود.»
آنطور که گفته شده هدف اصلی قانون صیانت از دادههای شخصی، صیانت از حیثیت و کرامت اشخاص موضوع دادهها است که قواعد و احکام آنها در بخشهای مربوط آمده است که شامل تبیین حقوق اشخاص موضوع دادهها، بهویژه در تعامل با سایر حقهای مشروع، ضابطهمندی فرایند پردازش دادههای شخصی، مسئولیتپذیری پردازش، همافزایی امور تنظیمی و نظارتی پردازش و جبرانپذیری زیانها و آسیبهای پردازش است.
به باور رئیس سازمان فناوری اطلاعات تکتک مواد آییننامهای که این سازمان به شرکتهای خصوصی و دستگاههای اجرایی حوزه فناوری اطلاعات ابلاغ کرده با استناد به بندهایی قانونی میتواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در حفاظت از دادهها سهلانگاری کرده است
ناظمی در پست اینستاگرامی خود تاکید کرده اگرچه این قانون هنوز به تصویب دولت نرسیده؛ اما این به معنی آن نیست که برای اجبار سازمانها و دستگاهها به حفاظت از دادههای شخصی قانونی وجود ندارد. ناظمی در پایان این نوشته اینستاگرامی خود تاکید کرده که تکتک موادآئیننامهای که این سازمان به شرکتهای خصوصی و دستگاههای اجرایی حوزه فناوری اطلاعات ابلاغ کرده با استناد به بندهایی قانونی میتواند منجر به محکومیت هر فرد حقیقی و حقوقی شود که در حفاظت از دادهها سهلانگاری کرده است.
آئیننامهای که تصویر آن را رئیس سازمان فناوری اطلاعات در شبکههای اجتماعی منتشر کرده در ۱۰ بند تهیه و ابلاغ شده است. در اکثر این بندها که با استناد به مواد قانونی فعلی در نظر گرفته شده، بارها تاکید شده که اگر خسارتی در جریان درز یا افشا اطلاعات کاربران در فضای اینترنت صورت بگیرد مسئول ذخیره اطلاعات و پردازشگر باید جبران خسارت کند. برای نمونه در بنده ۲ این آییننامه آمده است: «حفاظت و صیانت از دادهها و حفظ سلامت و صحت آنها با مسئولان تجمیعکننده و ذخیرهکننده دادهها بوده و در صورتی که عمدا یا در نتیجه بیاحتیاطی، آسیبی به آنها برسد مسئول جبران خسارت است. همچنین در صورتی که تجمیعکننده و ذخیرهکننده دو شخص باشند، مسئولیت با ذخیرهکننده داده خواهد بود، مگر آنکه به نحوه تیگری توافق شده باشد.» از سوی دیگر در بند ۳ این آییننامه باز هم به پرداخت خسارت تاکید شده است. در این بند آمده است: «در صورت بروز هرگونه خسارت که از ناحیه عدم رعایت استانداردهای لازم داخلی یا بینالمللی در خصوص ذخیره، پایش، پالایش و افشا دادهها باشد، شخص مسئول موظف به جبران خسارت خواهد شد.»
رییس سازمان فناوری اطلاعات با استناد به این آئیننامه در حالی از برخورد با افراد خاطی در جریان پروندههای مربوط به درز اطلاعات صحبت میکند که تاکنون نتیجه هیچ کدام از بررسیهای پرونده هک یا نفوذ به اطلاعات کاربران در اینترنت که به پلیس فتا و مقامات قضایی ارجاع شده مشخص نشده است. برای نمونه اواسط بهمن ماه سال گذشته مدیران علیبابا خبر از هک برخی سرورها و درز اطلاعات برخی از کاربران خود را دادند و در نهایت نیز اعلام کردند که نتایج بررسی این اتفاق را به پلیس فتا ارجاع دادهاند؛ اما تا این لحظه نتیجه بررسی این پرونده اعلام نشده است.
از نمونههای دیگر در این زمینه میتوان به درز اطلاعات سفرهای رانندگان تپسی در فروردین ماه سال ۱۳۹۸ اشاره کرد، هرچند در همان زمان مدیرعامل تپسی به خاطر اشتباه پیش آمده از همه شهروندان و رانندگان خود عذرخواهی کرد؛ اما در نهایت تا کنون مشخص نشده که آیا این شرکت به رانندگانی که از این طریق اطلاعاتشان در اینترنت پخش شده خسارتی پرداخت کرده یا آنطور که ناظمی اعلام میکند با استناد قانون چه برخورد و مجازاتی برای این شرکتها صورت گرفته است. به خطر افتادن اطلاعات کاربران کافهبازار، زرینپال و چندین بانک مطرح کشور از دیگر نمونههایی است که در سالهای گذشته خبر آنها رسانهای شده؛ اما در نهایت بدون جواب روشن در مورد نتیجه بررسی این پروندهها به فراموشی سپرده شدهاند.