به نقل از مهتاب من، با گسترش پلتفرمهای دیجیتال، مدیریت اطلاعات بیشتر از هر زمان فرد دیگر اهمیت یافته است؛ چون دادههای شخصی درواقع کالایی مورد قیمت در دنیای دیجیتال امروزی محسوب خواهد شد. بااینحال، بیدقتی شرکتها، خطای انسانی و تأخیر در پاسخگویی، جرایم سایبری و… به این معنی است که از این دادهها آنطور که بایدوشاید محافظت نمیبشود و این عدم حفاظت و امنیت داده امکان پذیر علاوه بر لکهدارشدن اعتبار شرکتها و کسبوکارهای دیجیتال، تبدیل خسارات مالی شدید، ازدستدادن حریم خصوصی و صدمههای عاطفی و جسمی بشود.
بر پایه تحقیقات مؤسسه Check Point، در سال ۲۰۲۲ نزدیک به ۹.۱ میلیارد دعوا سایبری شناسایی شد که نشاندهنده افزایش ۳۸ درصدی نسبت به سال ۲۰۲۱ می بود. این روال در سال ۲۰۲۳ نیز ادامه داشت و در این سال تقریباً ۱۰.۸ میلیارد دعوا سایبری شناسایی شد. در طول سهماهه چهارم سال ۲۰۲۲، نزدیک به ۲۸ درصد از حملات سایبری در سراسر جهان مؤسسات مالی را مقصد قرار دادند. علاوهبراین، سرویسهای نرمافزاری مبتنی بر وب و webmail تقریباً ۱۸ درصد، رسانههای اجتماعی با نزدیک به ۱۰ درصد و تدارکات/ حملونقل ۹ درصد از حملات ثبتشده را به خود تعلق دادهاند؛ دیگر موارد را میتوانید در نمودار زیر ببینید.
به این علت امنیت سایبری بهگفتن یکی از با اهمیت ترین مسائل عصر دیجیتال، آنقدر حائز اهمیت است که گسترش کسبوکارها و حریم خصوصی افراد به آن گره خورده. به همین جهت در جهان، دولتها به وضع قوانین و عمل های تنظیمگرانه مرتبط روی آوردهاند. به گفتن مثال، بر پایه گزارش ۲۰۲۱ سازمان ملل، ۱۳۷ سرزمین از ۱۹۴ سرزمین قوانین یکپارچهای برای حفاظت از دادهها و حریم خصوصی وضع کردهاند و از سال ۲۰۲۱ تا ۲۰۲۳، هفده سرزمین دیگر به این تعداد افزوده شده است. زیاد تر این کشورها نیز از مقررات عمومی حفاظت از دادهها (GDPR) اتحادیه اروپا الگو گرفتهاند و با نگاهی به این قوانین و مقررات و بازدید الزامات امنیت سایبری آنها، ضمن فهمیدن تفاوتهای جزئی، میتوان این قوانین را به دو دسته مقررات و عمل های پیشگیرانه و برخوردهای اصلاحی تقسیم کرد. عمل های پیشگیرانه شامل پروتکلها، الزامات امنیتی، استانداردهای فنی و برخوردهای اصلاحی شامل جریمه، عمل های آموزشی، جبران خسارت و… میبشود.
اما در ایران با وجود نهادهای سیاستگذار و تقنینی، در مرکز ملی فضای مجازی و مجلس شورای اسلامی، علیرغم وجود مقررات جزیرهای، نهتنها قانون یکپارچهای دراینباره تصویب نشده، بلکه فعالیت در حوزه امنیت سایبری در سرزمین با تعدد اختیارات مراکز گوناگون (همانند مرکز ماهر زیر نظر وزارت ارتباطات، پلیس فتا، مرکز افتا ریاستجمهوری، سازمان پدافند غیرعامل و … ) روبهروست و تا این مدت اشکار نیست که کدام نهاد و یا دستگاه متولی مهم امنیت سایبری در لایههای گوناگون در سرزمین است.
به این علت تعریف مسئولیت نهادهای مرتبط و تنظیم مقررات پیشگیرانه و الزامات امنیت سایبری در یک قانون یکپارچه یکی از با اهمیت ترین برتریهای سرزمین است؛ اما در ادامه این نوشته با دقت به دعوا سایبری تازه به اسنپفود و هک حجم عظیمی از دادههای شخصی کاربران، به بازدید این نوشته خواهیم پرداخت که چنانچه یک پلتفرم دیجیتالی در یکی از کشورهای اروپایی با این حجم از نقض دادهها (Data Breaches) مواجه میشد، مطابق مقررات (GDPR) چه برخوردهای اصلاحی با آن صورت میگرفت؟
اخیراً نیز گروه هکری IRLeaks که در تابستان ۱۴۰۱ اطلاعات کاربران شرکت تاکسی اینترنتی تپسی را هک کرده می بود، در ۹ دیماه ۱۴۰۲ با اراعه مثالهایی، خبرداد که اطلاعات بیشتر از ۲۰ میلیون کاربر و ۸۸۰ میلیون خواست شرکت اسنپفود را که در حوزه خواست آنلاین غذا در ایران فعالیت میکند، بهدست آورده است. هرچند اسنپفود به کاربران مطمعن داده که اطلاعات بانکی و پرداختی آنها در امنیت کامل است، ولی دادههای هک شده از کاربران شامل نام کاربری، رمز عبور، ایمیل، نام و نامخانوادگی، شماره موبایل، تاریخ تولد و… میبشود و نیز اطلاعات بیشتر از ۵۱ میلیون آدرس کاربران شامل موقعیت GPS، آدرس کامل، شماره تلفن و… و این چنین اطلاعات بیشتر از ۱۸۰ میلیون گوشی هوشمند و تبلت مورد منفعت گیری کاربران شامل نوع و مدل، پلتفرم، توکن، فروشگاه نصب برنامه و… هک شده است. این حجم از اطلاعات در ابعاد گوناگون که برخی از آنها در فضای مجازی نیز انتشار شد، در کمترین حالت مسائل حیثیتی و در بیشترین حد ممکن، تبعات امنیتی برای این کاربران در پی خواهد داشت.
بر پایه مقررات حفاظت از دادههای عمومی (GDPR)، مجازات نقض دادههای شخصی از یک پلتفرم دیجیتال بسته به ماهیت، شدت نقض و زمان تخلف میتواند متفاوت باشد. GDPR به مقامات نظارتی در هر سرزمین عضو اتحادیه اروپا اجازه میدهد تا جریمههای اداری را برای عدم مراعات مفاد آن اعمال کنند. جرایم اداری در دو ردیف به شرح زیر طبقهبندی میبشود:
تخلفات سطح پایین
عموماً این تخلفات مربوط به ترتیبات اداری است و عواقب منفی و خطر قابلتوجهی برای حریم خصوصی دادهها تشکیل نمیکند. جرایم این سطح عموماً برای نقضهای سطح پایین، همانند عدم انتصاب مأمور حفاظت از دادهها (DPO)، عدم نگهداری اسبق فعالیتهای پردازشی یا عدم انجام برسی تأثیر حفاظت از دادهها (DPIA) در صورت لزوم اعمال میبشود. بنابر بازدیدهای انجامشده، آخرین نمونه اطلاعات نقضشده در اسنپفود مربوط به تاریخ ۱۰ دسامبر یا ۲۰۲۳ (۱۹ آذرماه ۱۴۰۲) است. با دقت به زمان علنیشدن این نقض دادهها توسط گروه هکری، این نوشته به گمان زیادً میتواند حاکی از آن باشد که اطلاعات نزدیک به ۲۰ روز سریعتر از اسنپفود استخراج شده است.
فارغ از این که علت تعلل طویل اسنپفود در اعلان این اتفاق چه بوده، عملاً زمان بسیاری این قضیه از نظر کاربرانی که دادههای آنها مورد دعوا قرار گرفته و نیز مقامات نظارتی همانند پلیس فتا، نهان مانده است. چنانچه اسنپفود در اروپا فعال می بود، مطابق GDPR، در صورت نقض داده و عدم گزارش تخلف صورتگرفته طی ۷۲ ساعت به مقامات وابسته و کاربران مورد مقصد، مشمول جریمهای تا سقف ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که زیاد تر باشد) میشد؛ همان گونه که در نوامبر ۲۰۲۲، شرکت متا بهعلت نقض حفاظت از دادهها و تأخیر در اعلان بهموقع، مشمول ۲۶۵ میلیون یورو جریمه شد.
تخلفات سطح بالا
همان گونه که حرف های شد، مقامات نظارتی زمان تعیین جریمهها عوامل مختلفی ازجمله تعداد کاربر و تعداد داده را درنظر میگیرند. جریمه نقضهای سطح بالا یا سطح ۲ قابلدقت است، چون مستقیماً بر حریم خصوصی آنلاین تأثیر میگذارند. این ردیف برای تخلفات جدیتر، ازجمله نقض اصول مهم پردازش دادههای شخصی، نقض حقوق افراد و رضایت کاربران و نیز عدم اجرای عمل های فنی و سازمانی مناسب برای ضمانت امنیت دادهها قابل اعمال است. به گفتن مثال، با معیار قراردادن تعداد کاربران مورد دعوا سایبری در اسنپفود، دو پلتفرم Tigo (چت تصویری) با نقض دادههای شخصی بیشتر از ۷۰۰۰۰۰ کاربر و PeopleConnect (پشتیبان خدماتی) با نزدیک به ۲۰ میلیون کاربر در سال ۲۰۲۳، هرکدام بیشتر از ۱۰۰ میلیون دلار و British Airways (پلتفرم مسافرتی و حملونقل هوایی) در ۲۰۱۸، ۲۰ میلیون یورو جریمه شدهاند. بهطور کلی، اسنپفود با نقض داده بیشتر از ۲۰ میلیون کاربر، مطابق مقررات GDPR و در راستای فراهم منفعت عمومی، مشمول جریمهای تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه (جهانی) سال مالی (هرکدام که زیاد تر باشد) میگردد.
عمل های حقوقی توسط کاربران
علیرغم جرایم اداری که گفتن شد (که در راستای منفعت عمومی اعمال میبشود)، مطابق الزامات GDPR، اشخاصی که از نقض دادهها تحت تأثیر قرار میگیرند، این حق را دارند که با داشتن ادله کافی، برای خسارات ناشی از نقض مستقیماً از پلتفرم خواست غرامت کنند و در صورت عدم توافق میتوانند علیه پلتفرم بهعلت عدم محافظت از دادههای شخصی و مبتنی بر نوع خسارت (که در جدول زیر آمده است) به دادگاه شکایت کنند. مطابق قانون، کاربران تا ۶ سال از آخرین زمان نقض اطلاعات شخصی خود حق شکایت دارند. جریمه ۷۴۶ میلیون یورویی آمازون در ۲۰۲۱ بهعلت شکایت ۱۰۰۰۰ نفر علیه آمازون در سال ۲۰۱۸ یکی از مثالهای نقل منفعت گیری از این حق در اروپاست.
نقض دادههای شخصی تا ۲۰۰۰ پوند
نقض دادههای پزشکی ۲۰۰۰ پوند – ۵۰۰۰ پوند
نقض اطلاعات مالی ۳۰۰۰ پوند – ۸۶۰۰ پوند
نقض داده همراه با عواقب فاجعهبار ۸۶۰۰ پوند – ۲۵۷۰۰ پوند
نقض داده تبدیل صدمه جسمانی و عاطفی تا ۴۲۹۰۰ پوند
با دقت به این که مطابق الزامات بانک مرکزی، ذخیره دادههای مالی کاربران در مرکز داده پلتفرم ممنوع است، گمان آنکه دادههای درز کرده اسنپفود شامل این دادهها باشد، زیاد کم است. اما با دقت به گستردگی دادهها، اکثر دادههای شخصی در این نقض داده وجود داشتهاند و چنانچه اسنپفود مشمول GDPR می بود، تا ۶ سال آینده کاربران متضرر میتوانستند با اراعه مستند به دادگاهها، در جهت احقاق حقوق خود عمل و مطابق جدول بالا مطالبه خسارت نمایند. در آخر، بر پایه مقررات GDPR، اسنپفود باید کلیه نیروهای خود را ملزم به شرکت در کمپین (دوره آموزشی) همانندسازی فیشینگ کند تا آنها در صورت قبولی، گواهینامه مجدد دریافت کنند.
متأسفانه آمار شفافی از گردش مالی اسنپفود در دسترس نیست و آمارهای غیررسمی مختلفی وجود دارد. اما مطابق یک محاسبه حداقلی، چنانچه فکر کنیم اسنپفود ۱۰۰ هزار خواست ۱۰۰ هزار تومانی در هر روز ثبت کند، گردش مالی این پلتفرم در طول سال نزدیک به ۳.۶۵ هزار میلیارد تومان خواهد می بود و با فکر کمیسیون ۱۰ تا ۱۵ درصدی، درآمد سالانه آن بین ۳۵۰ تا ۵۵۰ میلیارد تومان محاسبه میبشود. به این علت با فکر آنکه طی ۶ سال آینده، کاربری از اسنپفود شکایت نکند، مطابق GDPR با دقت به آنکه اسنپفود مشمول هر دو نوع تخلف اداری سطح پایین و بالا شده است، باید ۶ درصد این درآمد را بهگفتن جریمه بپردازد که حدوداً شامل ۳۰ میلیارد تومان میبشود. همان گونه که پیشتر گفتیم، نیاز به عمل های اساسیتر برای حفاظت از دادههای شهروندان بهشدت حس میبشود.
منبع :
دیجیاتو
منبع