بررسی آسیب پذیری نقض حریم خصوصی سرویسهای ابری

یکی از خلاءهای بزرگ قانونی در کشورمان نبود قانون حمایت از حریم خصوصی است که هم اینک در بیشتر کشورها به تصویب و اجرا رسیده است. اگر چنین قانونی به تصویب می رسید گفتمان قانونگذار کشورمان درباره حریم خصوصی و ارکانی که به رسمیت شناخته بود روشن می گشت. لیکن با توجه به نبود چنین قانونی در حیطه سرور ابری و سرویسهای رایانش ابری، باید به صورت موردی در میان سایر قوانین جستجو کرد و احکام مورد نظر را یافت.

در خصوص داده های رایانه ای شخصی یا خصوصی که حریم خصوصی الکترونیکی اشخاص را پدید می آورند، به قوانین مختلفی می توان ارجاع داد ؛ از جمله، قانون تجارت الکترونیکی، مصوب ۱۳۸۲، قانون انتشار و دسترسی آزاد به اطلاعات، مصوب ۱۳۸۸ و همچنین قانون جرایم رایانه ای، ۱۳۸۸ همانطور که از عنوان این قوانین پیداست، برخی از آنها جنبه های سامانده این حوزه را پی گرفته اند، به این معنا که داده های رایانه ای شخصی به چه شکل و از سوی چه اشخاصی و در چه شرایطی ذخیره سازی و با پردازش شود ؛ و برخی دیگر جنبه های سزادهی آن را در بر گرفته اند، به این معنا که چنانچه از داده های شخصی سوء استفاده ای به عمل آمد، مرتکب چنین رفتاری با چه ضمانت اجرایی، بویژه کیفری روبرو خواهد بود؟

حفظ حریم خصوصی در داده های تجاری افراد

در بخش های مختلف این نوشتار اشاره شد که قانونگذار تجارت الکترونیکی برای نخستین بار اقدام به تعریف اسرار تجاری کرده و مصادیق آن را به شکل مبسوط برشمرده و برای تعرض به آنها نیز ضمانت اجرای کیفری مقرر کرده است. در مواد ۶۴ و ۶۵ این قانون آمده است :

ماده ۶۴- به منظور حمایت از رقابت های مشروع و عادلانه در بستر مبادلات الکترونیکی، تحصیل غیرقانونی اسرار تجاری و اقتصادی بنگاهها و مؤسسات برای خود و یا افشای آن برای اشخاص ثالث در محیط الکترونیکی جرم محسوب و مرتکب به مجازات مقرر در این قانون خواهد رسید.

ماده ۶۵- اسرار تجاری الکترونیکی داده پیامی است که شامل اطلاعات، فرمول ها، الگوهای نرم افزارها و برنامه ها، ابزار و روش ها، تکنیک ها و فرآیندها، تألیفات منتشرنشده، روش های انجام تجارت و داد و ستد، فنون، نقشه ها و فرا گردها، اطلاعات مالی، فهرست مشتریان، طرحهای تجاری و امثال این ها است، که به طور مستقل دارای ارزش اقتصادی بوده و در دسترس عموم قرار ندارد و تلاش های معقولانه ای برای حفظ و حراست از آنها انجام شده است.

به این ترتیب، چنانچه کسی اسرار تجاری مقرر در این ماده را مورد سوء استفاده قرار دهد، به کیفر مقرر در ماده ۷۵ این قانون محکوم خواهد شد:

ماده ۷۱ – محاشی از ماده ( ۶۴ ) این قانون و مرگ در بستر مبادلات الکترونیکی به منظور رقابت، منفعت و با ورود خسارت به بنگاه های تجاری، سنتی، اقتصادی و خدماتی با نقض حقوق قراردادهای استخدا هم مبنی بر عدم افشای اسرار شغلی و با دستیابی غیر مجاز اسرار تجاری آنان را برای اخوان تحصیل نموده و یا برای اشخاص است افشا نماید به حبس از شش ماه تا دو سال و نیم، و جزای نقلی معادل پنجاه میلیون ریال محکوم خواهد شد.

علاوه بر این، قانونگذار جرایم رایانه ای نیز با جرم انگاری انتشار یا در دسترس قرار دادن اسرار دیگران، که قاعدتا شامل اسرار تجاری آنها می شود، به حمایت کیفری از داده های آنها پرداخته است. در ماده ۱۷ این قانون آمده است :

ماده ۱۷- هرکس به وسیله سامانه های رایانه ای یا مخابراتی صوت یا تصویر یا فیلم خصوصی یا خانوادگی یا اسرار دیگری را بدون رضایت او جز در موارد قانونی منتشر کند یا دسترس دیگران قرار دهد، به نحوی که منجر به ضرر یا عرقا موجب هتک حیثیت او شود، به حبس از نود و یک روز تا دو سال یا جزای نقدی از پنج میلیون ( هه هه هه ۵۰ ) ریال تا چهل میلیون ( ۴۰.۰۰۰.۰۰۰ ) ریال یا هر دو مجازات محکوم خواهد شد.

حفظ حریم خصوصی در داده های پزشکی و بهداشتی افراد

داده های پزشکی و بهداشتی افراد در زمره اطلاعات شخصی آنها قرار دارند. هرچند با توجه به گستره ای که دارند، همگی به یک شکل مورد حمایت قرار نمی گیرند. برای مثال، در طرح حریم خصوصی که سال هاست در مجلس شورای اسلامی مسکوت مانده و در دست رسیدگی و تصویب قرار نگرفته، بخشی از این داده ها در زمره اطلاعات شخصی به اصطلاح عادی و بخش دیگر به در زمره اطلاعات شخصی حساس آمده بود :

( 4 ) اطلاعات شخصی : اطلاعات وابسته به شخصیت افراد نظیر وضعیت زندگی خانوادگی، عادت های فردی، ناراحتی های جسمی و شماره کارت های اعتباری و شماره حساب های بانکی.

تبصره – اطلاعات مربوط به نام و نام خانوادگی نشانی های محل سکونت و محل کار و شماره های تلفن از شمول تعریف اطلاعات شخصی خارجی می باشد.

( 5 ) اطلاعات شخصی حساس : اطلاعات راجع به وضعیت زندگی جنسی، اعتقادات ( اعم از فلسفی مذهبی و سیاسی ) عضویت در احزاب یا تشکل های صنفی و وضعیت نژادی، قومی و قبیله ای افراد است.

در قانون تجارت الکترونیکی به این مهم اشاره شده است. در ماده ۶۰ این قانون آمده است :

ماده ۶۰- ذخیره، پردازش و یا توزیع داده پیام های مربوط به سوابق پزشکی و بهداشتی تابع آئین نامه ای است که در ماده ( ۷۹ ) این قانون خواهد آمد.

ماده ۷۹- وزارت بازرگانی موظف است زمینه های مرتبط با تجارت الکترونیکی را که در اجرای این قانون مؤثر می باشند شناسایی کرده و با ارائه پیشنهاد و تأیید شورای عالی فناوری اطلاعات، خواستار تدوین مقررات مربوطه و آئین نامه های این قانون توسط نهادهای ذی ربط شود. این آئین نامه ها و مقررات پس از تصویب هیأت وزیران به مرحله اجرا در خواهند آمد. سایر آئین نامه های مورد اشاره در این قانون به ترتیب ذیل تهیه خواهند شد

الف ) آئین نامه مربوط به مواد ( ۳۸ ) و ( ۴۴ ) این قانون به پیشنهاد وزارتخانه های بازرگانی، امور اقتصادی و دارائی، سازمان مدیریت و برنامه ریزی کشور و بانک مرکزی جمهوری اسلامی ایران تهیه و به تشویب هیأت وزیران خواهد رسید.

ب ) آئین نامه موبود به مواد ( ۵۶ ) و ( ۵۷ ) این قانون به پیشنهاد وزارتخانه های بازرگانی و فرهنگ و ارشاد اسلامی و سازمان مدیریت و برنامه ریزی کشور تهیاه و با، تصویم به هیات وزیران خواهد رسید

ج ) آئین نامه مربوط به ماده ( 60 ) این قانون به پیشنهاد وزارت بهداشت، درمان و آموزش پزشکی و سازمان مدیریت و برنامه ریزی کشور تهیه و به تصویب هیات وزیران خواهد رسید.

با این حال، تاکنون چنین آیین نامه ای از سوی دستگاه مسئول به تصویب نرسیده و زمینه های اجرایی شدن حمایت از این داده ها فراهم نیامده است.

حفظ حریم خصوصی در داده های سری و امنیتی افراد داده های سری و امنیتی افراد

در زمره اطلاعات شخصی آنها بشمار می آید و بنابراین دسترسی به آنها باید مطابق ضوابط و مقررات مربوط باشد. در همین رابطه، ماده ۱۰۴ قانون آیین دادرسی دادگاههای عمومی و انقلاب در امور کیفری، مصوب ۱۳۷۸، مقرر می دارد :

«در مواردی که ملاحظه، تفتیش و بازرسی مراسلات پستی، مخابراتی صوتی و تصویری مربوط به متهم برای کشف جرم لازم باشد قاضی به مراجع ذی ربط اطلاع می دهد که اشیاء فوق را توقیف نموده نزد او بفرستند، بعد از وصول آن را در حضور متهم ارائه کرده و مراتب را در صورت مجلس قید نموده و پس از امضاء مهم آن را در پرونده ضبط می نماید. استنکاف متهم از امضا در صورت مجالس قید می شود و چنانچه اشیاء مزبور حائز اهمیت بوده و ضبط آن ضرورت نداشته باشد با اخذ رسید، به صاحبش مسترد میشود ».

علاوه بر این، قانون جرایم رایانه ای، در بخش شکلی خود مقرراتی را وضع کرده که برای جمع آوری ادله الکترونیکی مورد استناد قرار می گیرد. در همین رابطه، ماده ۴۸ این قانون مقرر داشته است شنود محتوای در حال انتقال ارتباطات عمیر عمومی در سامانه های رایانه ای یا مخابراتی مطابق مقررات راجع به شنود مکالمات تلفنی خواهد بود.

تبصره – دسترسی به محتوای ارتباطات غیر عمومی ذخیره شده، نظیر پست الکترونیکی با پیامک در حکم شود و مستلزم رعایت مقررات مربوط است ».

همانطور که ملاحظه می شود، در اینجا قانونگذار مشخصأ داده های سیاسی و امنیتی اشخاص را در احکام خویش نام نبرده و حمایت گسترده ای را به عمل آورده که به نظر می رسد این اقدام با رویه منطقی قانون گذاری سازگارتر است ؛ لذا در صورت تعرض و سوء استفاده از این اطلاعات در سرورهای cloud می توان به مواد مربوط استناد کرد. در همین رابطه چنانچه داده های مزبور انتشار یا در دسترس دیگران قرار گیرد، ماده ۱۷ قانون جرایم رایانه ای قابل استناد است که در بالا به آن اشاره شد و اسرار دیگری را موضوع حمایت کیفری خویش قرار داده است.

آسیب پذیری های بالقوه در نقض حریم خصوصی در رایانش ابری

داده های شخصی سرور ابری، تا هنگامی که پدید نیامده باشند، از تعرض مصونند! و پس از آن باید منتظر انواع تهدیدهای پیش روی آنها بود. امنیت این قسم داده ها نیز با توجه به میزان حساسیت و زیان بالقوه ناشی از افشای ناروا آنها تأمین می شود ؛ لذا صرف وجود تهدید مانع تولید داده های شخصی نمی شود و این داده ها برای پایداری زندگی بشر ضروری اند، لیکن باید در تأمین امنیت آن ها بطور متعارف کوشید و البته ضوابط و مقررات لازم الاجرایی را هم وضع کرد.

از جمله ضوابطی که درباره داده های شخصی سرور کلود وضع می گردد، اینست که در صورت پایان یافتن کاربری شان، باید از بین بروند و نگهداری بیشتر آنها جز افزودن بر میزان تهدیدها و تعرضها دستاوردی ندارد. متأسفانه به دلیل نبود قانون حمایت از حریم خصوصی و اطلاعات شخصی در کشورمان، این چنین ضوابطی پیش بینی نشده و در این زمینه با کاستی و نارسایی جدی قانونی روبرو هستیم.

بررسی اجمالی دیگر کشورها

دولتها میتوانند از طزریق برنامه هایی که خودشان تعیین میکنند حریم خصوصی افراد را نقص کنند؛ مواردی همچون : تعیین اجباری هویت، حفظ و پردازش مشخصات افراد در پایگاه های داده ها، بررسی اطلاعات ؛ نظارت یا شنود اطلاعاتی، کنترل وبسایتها و… در بسیاری از کشورهای دنیا جمع آوری، استفاده و نشر اطلاعات شخصی چه بوسیله دولت و چه بوسیله بخش خصوصی، تحت کنترل قوانین عمومی است و بر حسن اجرای آن هم نظارت صورت میگیرد (منبع) اما در بعضی کشورهای جهان مانند امریکا، از اعمال قوانین جامع امتناع و به قوانین موردی بسنده کرده اند. به این معنی که بر حسب مورد و نیاز، به وضع قوانین دست میزنند. دو نقطه ضعف اساسی اینگونه قوانین، نیاز به قانون گذاری مجدد در هر زمینه و عدم وجود نهادهای نظارتی است.