«احراز هویت»؛ آسان و پیچیده

پلتفرم‌های محتوا و کسب‌وکار دارای وظایف و مسئولیت‌هایی هستند که قانون بر دوش آنها قرار داده است. این پلتفرم‌ها مجاز نیستند محتوا، خدمات و افعال مجرمانه را تبلیغ، توزیع، ترویج یا منتشر کرده یا کاربران را به انجام آن تشویق، تحریک، تطمیع یا تهدید کنند؛ در صورت اطلاع از وجود چنین مواردی یا پس از دستور قضایی موظف‌اند نسبت به حذف آنها اقدام کنند؛ و در صورت درخواست مقام قضایی می‌بایست اطلاعات لازم برای شناسایی کاربران متخلف را ارائه کنند. الزام فوق برای در اختیار داشتن اطلاعات لازم به منظور شناسایی کاربران متخلف، احراز هویت را به یک اقدام پایه‌ای برای پلتفرم‌ها تبدیل کرده است.

در بسیاری از کشورها، پلتفرم‌ها از طریق اعتبارسنجی شماره تلفن همراه کاربر اقدام به احراز هویت او می‌کنند. آیا در کشور ما هم این کار امکان‌پذیر است؟ پاسخ به این سوال را باید در پاسخ سوال دیگری جست‌وجو کرد: آیا با داشتن شماره موبایل یک کاربر می‌توان به هویت او دست یافت؟ یا به عبارتی دیگر، آیا در کشور ما سیم‌کارت‌های فعالی با هویت مجهول وجود دارد؟ متاسفانه پاسخ این سوال مثبت است و اعداد غیررسمی تا ۹۰۰ هزار سیم‌کارت بی‌هویت یا فاقد هویت هم شنیده می‌شود.

سوال اساسی که پیش می‌آید این است که این سیم‌کارت‌های بی‌هویت از کجا می‌آیند و آیا می‌توان جلوی پخش آنها را گرفت؟ سازمان تنظیم مقررات و ارتباطات رادیویی (رگولاتوری) تاکنون در اقدامات متنوع و مختلفی، حجم عظیمی از این سیم‌کارت‌ها را باطل کرده است. با وجود این، هنوز همه این سیم‌کارت‌ها از رده خارج نشده‌اند؛ به عنوان مثال، به دلیل متصل نبودن سامانه ثبت ‌احوال و سامانه‌های اپراتورها، با مرگ افراد سیم‌کارت‌های آنها از رده خارج نمی‌شود و توسط سودجویان مورد سوءاستفاده قرار می‌گیرد. یا اینکه شبکه‌هایی از افراد سودجو در مبادی خروجی کشور، سیم‌کارت‌های گردشگرانی را که در حال خروج از کشور هستند خریداری و از آنها سوءاستفاده می‌کنند؛ در حالی که با اتصال سامانه‌های نیروی انتظامی و اپراتورها (یا رگولاتوری) جلوگیری از این سوءاستفاده‌ها امکان‌پذیر است. نکته غم‌انگیز اینکه تمامی این داده‌ها به صورت الکترونیکی وجود دارند و قابلیت اتصال این سامانه‌ها نیز فراهم است، ولی تدبیری برای این رفع این معضل هنوز اندیشیده نشده. البته ممکن است دلایل دیگری هم برای این موضوع وجود داشته باشد که تاکنون اعلام نشده است.

ممکن است برخی متولیان منکر سیم‌کارت‌های بی‌هویت شوند. در حالی که اگر سیم‌کارت‌های بی‌هویت وجود نداشته باشد، احراز هویت با شماره تلفن همراه کفایت می‌کند. کافی است نظام قضایی کشور مسئولیت احراز هویت‌های اشتباه سیم‌کارت و جبران خسارات ناشی از آنها را متوجه اپراتورهای تلفن همراه کند تا مساله روشن‌ شود.در کنار عدم پذیرش مسئولیت سیم‌کارت‌های فاقد هویت از سوی وزارت ارتباطات، رگولاتوری یا اپراتورها و عدم الزام سیستم قضایی کشور به پذیرش این مسئولیت توسط این نهادها، موضوع احراز هویت در کشور به مساله پیچیده‌ای تبدیل شده است. در این بین دیوار کوتاه‌تری از کسب‌وکارهای بخش خصوصی پیدا نمی‌شود که موظف‌اند به تنهایی این بار را به دوش کشیده و هر روز به سامانه و فرایندی تحمیلی تن در دهند و پاسخگوی مراجع مختلفی در اقصی نقاط کشور باشند.

از آنجا که با وجود سیم‌کارت‌های بی‌هویت این امکان کاربردی و کارا برای احراز هویت از کسب‌وکارها گرفته شده است و دادستانی هم تاکنون به این قضیه ورود نکرده، کسب‌وکارها چه امکان دیگری برای احراز هویت در اختیار دارند؟ اینجاست که سامانه‌های مختلفی نظیر شاهکار، امتا، سماوا و غیره به میان می‌آیند. در واقع کاری که این سامانه‌ها می‌کنند این است که اولاً چک می‌کنند این سیم‌کارت واقعاً دست شماست یا خیر (با ارسال کد اعتبارسنجی به شماره مورد نظر) و سپس از شما کد ملی‌تان را می‌پرسند (خوداظهاری) و چک می‌کنند که آیا این سیم‌کارت با این کد ملی ادعاشده تطابق دارد یا خیر. سوالی که ممکن است بپرسید این است که اگر شما سیم‌کارت فرد دیگری را در اختیار داشته باشید و کد ملی او را نیز داشته باشید، آیا شما احرازشده فرض می‌شوید؟ پاسخ به درستی مثبت است و مسئولیت هر اقدامی با این سیم‌کارت بر عهده مالک است، زیرا از آن حفاظت نکرده و حتی در صورت سرقت، آن را مسدود نکرده است. در واقع فرایند انجام‌شده در این سامانه‌ها باعث پالایش حالات مختلف تخلف می‌شوند؛ مثلاً اگر برای سیم‌کارتی هیچ کد ملی‌ای ثبت نشده باشد، احراز نمی‌شود. یا اگر مالک سیم‌کارت فوت کرده باشد، در استعلام این قضیه روشن شده و سرویس‌دهی به آن قطع می‌شود و غیره.

حال که این سامانه‌ها به درستی احراز هویت را انجام می‌دهند، دلیل مخالفت‌های اخیر با الزام اخیر دادستانی به استفاده کسب‌وکارها از سامانه امتا چیست؟ از آنجا که دود نبود شیوه کارآمد برای احراز هویت بیش از همه به چشم کسب‌وکار می‌رود، کسب‌وکارها از هر شیوه‌ای برای «حل» این مساله استقبال می‌کنند منتها به شرطی که هم مساله «حل» شود و هم اینکه هزینه حل آن از خود مساله بیشتر نشود. از این دید، راهکاری قابل پذیرش است که سه ویژگی داشته باشد: ۱) احراز انجام‌شده توسط قضات قابل پذیرش باشد، ۲) منجر به کاهش یا از دست رفتن مشتریان کسب‌وکار نشود و ۳) منجر به فاش شدن لیست مشتریان کسب‌وکار نشود.

ضمن تاکید چندباره بر رفع پایه‌ای مشکل با باطل کردن سیم‌کارت‌های فاقد هویت، هر راهکار موقتی که دارای این سه ویژگی نباشد، قابل اجرا توسط کسب‌وکارها نیست. سامانه امتا نیز برای اینکه از طرف کسب‌وکارها مقبولیت داشته باشد لازم است قدم‌های زیر را بردارد: ۱) اخذ تضمین دادستانی برای پذیرش احراز توسط قضات که لازمه آن این است که از داده‌های به‌روز و نه ذخیره‌شده استفاده کند، ۲) ارائه راهکار مبتنی بر استعلام از طریق API، به جای خروج کاربر از پلتفرم و الزام او به ثبت‌نام در سامانه دیگر و ۳) انتشار قرارداد مرکز توسعه تجارت الکترونیکی با پیمانکار توسعه سامانه، به ویژه بندهای مرتبط با نحوه دسترسی پیمانکار به داده‌های پلتفرم‌ها و کاربران آنها و همچنین نحوه حفاظت از این داده‌ها.