حراج اطلاعات شخصی میلیون‌ها کاربر ایرانی در اینترنت

به گزارش «شیعه نیوز»، طی روزهای گذشته خبرهایی در شبکه‌های اجتماعی درباره هک و نشت اطلاعات یکی از شرکت‌های تاکسی اینترنتی منتشر شده بود.

مدیرعامل این شرکت سرانجام در شبکه اجتماعی ایکس(توییتر سابق) با تأیید این هک و سرقت اطلاعات کاربران اعلام کرد که حاضر به پرداخت باج به هکرها نشده‌اند و در این رابطه از مردم عذرخواهی کرد.این در حالی است که در کشورهای دیگر قوانین بسیار سختی برای حفاظت از اطلاعات کاربران درنظر گرفته شده و غول‌های فناوری با جریمه‌های سنگین در این رابطه مواجه می‌شوند.به‌صورت رسمی این شرکت اعلام نکرده که چه حجم و نوعی از اطلاعات کاربران توسط هکرها به سرقت رفته است.

عاملان این سرقت اما مدعی سرقت میزان زیادی از اطلاعات ایرانی‌ها با جزئیات کامل شده‌اند.هکرها در پستی تلگرامی، نمونه‌ای از اطلاعات هک‌شده را منتشر کرده‌اند و آنها را به قیمت ۳۵ هزار دلار برای فروش گذاشته‌اند.هکرها ادعا می‌کنند که به این ‌حجم از اطلاعات دسترسی پیدا کرده‌اند: اطلاعات بیش از ۲۷ میلیون مسافر شامل نام، نام‌خانوادگی، شماره همراه، شهر، اطلاعات بیش از ۶ میلیون راننده شامل نام، نام‌خانوادگی، کد ملی، کد شهر و شماره همراه، اطلاعات بیش از ۱۳۶ میلیون سفر شامل آی‌دی مسافر، آدرس کامل مبدأ و مقصد، آدرس کوتاه مبدأ و مقصد و مشخصات جغرافیایی (GPS Locations) مبدأ و مقصد، سورس کد محصولات شرکت تپسی مانند اپلیکیشن‌های موبایل، اطلاعات دستگاه همراه مسافر و راننده. این شرکت به‌عنوان تنها استارت‌آپ ایرانی که وارد بورس شده می‌گوید: به‌کمک پلیس در تلاش برای شناسایی گروه مهاجم و جلوگیری از فروش اطلاعات است.

چند هک همزمان
همین گروه، مدعی هک دیتابیس شرکت‌های بیمه‌ای کشور با ۱۱۵ میلیون رکورد اطلاعات شده و نمونه‌ای از آن را هم منتشر کرده است. این نمونه شامل نام و نام خانوادگی، تاریخ تولد، نام پدر، شماره تلفن/موبایل، شماره شناسنامه و کد ملی کاربران ایرانی است.علاوه بر این خبرهایی درباره هک ۲ صرافی رمزارز ایرانی هم منتشر شده که گفته می‌شود شامل ۱۷۰‌هزار رکورد از اطلاعات کاربران ایرانی است. ‌ماه گذشته هم اطلاعات کاربران یک سایت ارائه‌دهنده خدمات مسافرتی در اینترنت منتشر شد. این وب‌سایت حاوی اطلاعات۲ میلیون کاربر ازجمله نام و نام خانوادگی، شماره موبایل، کد ملی و شماره پاسپورت کاربران بوده که در شبکه‌های اجتماعی منتشر شد.

نیاز فوری کشور به قانون حفاظت از داده و حریم خصوصی
ایران مدت‌هاست که در انتظار قانونی ویژه، برای حفاظت از اطلاعات کاربران است. در دی‌ماه سال ۱۴۰۱ پس از حدود ۱۸ سال از تدوین نخستین لایحه حریم خصوصی در کمیسیون لوایح دولت، وزارت ارتباطات و فناوری اطلاعات، پیش‌نویس این لایحه را با عنوان لایحه «قانون حمایت و حفاظت از داده‌های شخصی» نهایی کرد.
در خردادماه امسال، رضا باقری اصل، معاون وزیر ارتباطات در امور مجلس اعلام کرد؛ کارگروه اقتصاد دیجیتال هم، لایحه حمایت و حفاظت از داده‌های شخصی را تصویب کرده و به‌زودی برای تصویب نهایی به هیأت دولت ارجاع می‌شود. او ویژگی این لایحه را نظام‌مند کردن داده‌ها، حفظ حریم خصوصی کاربران و حفاظت از داده‌ها در سکوهای اینترنتی عنوان کرد و گفت: این لایحه به نفع حمایت بیشتر از مردم و کسب‌وکارهای این حوزه تدوین و تکمیل شده است.
اگرچه طی نزدیک به ۲ دهه لوایحی تصویب شده، اما هیچ وقت با وجود فتوای مقام معظم رهبری تبدیل به قانون نشده است. اکنون این لایحه مهم و حساس در انتظار تصویب در هیأت دولت و ارسال به مجلس است. تبدیل شدن این لایحه می‌تواند سختگیری‌ها برای دفاع از اطلاعات کاربران ایرانی که به‌صورت امانت در اختیار شرکت‌ها قرار می‌گیرد را بیشتر کند.

۲دهه تلاش برای قانونگذاری
اگرچه لایحه حریم خصوصی در خرداد ۱۳۸۳ در کمیسیون لوایح دولت تصویب شد، اما تغییر دولت یک سال پس از تصویب و سرعت پیشرفت تکنولوژی‌های ارتباطی این لایحه را به محاق برد. مهرماه ۱۳۸۴ درحالی‌که مدت کوتاهی از شکل‌گیری دولت جدید سپری شده بود، این لایحه از سوی نمایندگان مجلس رد شد، اما سرعت فناوری‌های ارتباطی و فراگیری آن، یک‌بار دیگر اهمیت این لایحه را به سیاستگذاران تحمیل کرد. آغاز دهه ۹۰ را شاید بتوان آغاز بلوغ نسبی کسب‌وکارهای اینترنتی در ایران فرض کرد.

فراگیری اینترنت و تبادل داده‌ها روی این بستر، لزوم حفظ داده‌ها و اهمیت محرمانگی داده‌های شخصی را دو چندان کرد. از نیمه دهه ۹۰ کسب‌وکارهای اینترنتی توسعه یافته بودند و حال هر کدام از آنها داده‌هایی از کاربران‌شان را در اختیار داشتند اما برای حفظ محرمانگی آنها یا نحوه نگهداری‌شان، هیچ مصوبه‌ای وجود نداشت؛ از همین رو اگر داده‌های مردم نیز به‌دلیل نشت اطلاعات یا هک از بین می‌رفت و منتشر می‌شد، امکان شکایت از آنها وجود نداشت؛ همچنان که داده‌های تلفن همراه مردم به سادگی به فروش رسید. دی‌۹۶ وزارت ارتباطات با همکاری تعدادی از پژوهشگران، تدوین پیش‌نویس لایحه «صیانت و حفاظت از داده‌های شخصی» را آغاز و سپس در ششم مرداد ۹۷ از آن رونمایی کرد. این لایحه منتشر و از صاحب‌نظران درخواست شد که نظرات خود را درباره آن بیان کنند. انتظار می‌رود لایحه اخیر هم در معرض نقد متخصصان قرار بگیرد. درحالی‌که این لایحه ۷۸ ماده‌ای هم به نتیجه نرسید، در همان ایام، اتحادیه اروپا مقررات عمومی حفاظت از داده یا همان GDPR را تصویب کرد.

توجه به جواز پیمان

محمد جعفرنعناکار،مدیر کل حقوقی سابق سازمان فناوری اطلاعات در گفت‌وگو با همشهری می‌گویدکه عموما پلتفرم‌ها باید یک جواز پیمان (license agreement) داشته باشند. او با اشاره به ماده۵ قانون تجارت الکترونیکی معتقد است که این ماده درواقع به نوعی همان جواز پیمان محسوب می‌شود.به‌گفته او «اگر کاربری می‌خواهد در یک پلتفرم، وب‌سرویس یا وب‌سایت فعالیت کند و در عین حال نگران افشای داده‌هاست، باید به جواز پیمان پلتفرم رجوع کند تا ببیند اشاره‌ای به محرمانگی شده یا نه؟» نعناکار با اشاره به اینکه اگر به این موضوع پرداخته نشده، حتی‌المقدور کاربر نباید از خدمات آنها استفاده کند، توصیه می‌کند که «اگر کاربر قصد استفاده از خدمات چنین پلتفرمی را دارد ، حتما جنبه‌های ایمنی را رعایت کند.»

جریمه‌های سنگین برای افشای اطلاعات کاربران
اتحادیه اروپا چند سالی است که GPDR یا مقررات عمومی حفاظت از داده اتحادیه اروپا را اجرایی کرده است که شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا می‌شود و همه کسب‌وکارهایی که با این منطقه اقتصادی مراوده کاری دارند، باید به این مقررات پایبند باشند. بدین‌ترتیب، فرایندهای کسب‌وکار که اطلاعات شخصی را اداره می‌کنند باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و به‌طور پیش‌فرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بی‌نام‌سازی ذخیره و حداکثر محرمانگی به‌طور پیش‌فرض درنظر گرفته شود.
با تصویب همین قانون، شرکت آمازون با اتهام افشای اطلاعات کاربران و نقض حریم خصوصی با جریمه رکوردشکن ۸۷۷ میلیون دلار یعنی چیزی معادل ۴۲ تریلیون تومان مواجه شد. رکورد جریمه برای افشای اطلاعات کاربران البته در اختیار شرکت «دیدی گلوبال» در چین است. دولت چین این شرکت را پس از هک پلتفرمش به‌خاطر افشای اطلاعات چینی‌ها به پرداخت ۱۱۹۰ میلیون دلار جریمه کرد. شرکت اکوئیفاکس هم در سال ۲۰۱۹ به‌دنبال هک و افشای اطلاعات شخصی کاربرانش مجبور به پرداخت ۵۷۵ میلیون دلار جریمه شد.

انتهای پیام