اطلاعات کاربران در «اسنپفود» فاش شد؛ اتفاقی که در دیگر پلتفرمها و دستگاههای اجرایی هم رخ میدهد. در بررسی بحث حقوقی هک اطلاعات کاربران در اسنپفود باید ابتدا به این موضوع توجه کنیم که باید بین اطلاعات پرسنلی personal data و اطلاعات خصوصی private تفاوت قائل شویم. اطلاعات شخصی شامل نام و نامخانوادگی و شماره تماس است و فراتر از این نام پدر و آدرس، اطلاعات خصوصی است و ما به پلتفرمها اجازه دسترسی به این اطلاعات را میدهیم. اتفاقی که در هک اسنپفود افتاده این است که هم اطلاعات شخصی و هم خصوصی کاربران فاش شده و این بسیار خطرناک است.
به لحاظ فرهنگی مردم ما نگران افشای اطلاعات شخصی و خصوصی خود نیستند، اگر این اتفاق در اروپا افتاده بود، مردم بسیار نگران میشدند، چون این فرهنگ در آنها نهادینه شده است، چون خطر بسیار بزرگی افراد را تهدید میکند. به عنوان نمونه با این بحث خطر فیشینگ به شدت افزایش مییابد. دقتی کسی به این اطلاعات دسترسی دارد و در حال خرید و فروش است، افراد سودجو با داشتن این اطلاعات با صاحبان اطلاعات تماس میگیرند و فیشینگ انجام میدهند، مثلاً با یکی از کاربران تماس میگیرند و اطلاعات فرد را به وی میدهند و خود را موجه جلوه میدهند و میگویند شما برنده جایزه شدهاید و فلان کد را که میآید به ما بدهید و به این طریق حسابهای کاربر خالی میشود.
به لحاظ حقوقی، هیچ قانونی از فاششدن این دو اطلاعات حمایت نمیکند. فقط اگر شرکتهایی که کارکنان آنها از این پلتفرم استفاده کرده باشند و اطلاعات آنها لو رفته باشد که آنها چه غذایی سفارش دادهاند و اینکه چه کسانی بودهاند، آنها میتوانند طبق قانون تجارت الکترونیکی که بر حفظ اسرار شرکتها تأکید دارد، از این پلتفرم مبنی بر کوتاهی در نگهداری اسرار کارکنان آن شرکت و لو رفتن آن، شکایتی طرح کنند، چون برای شرکتها حفظ اسرار بسیار مهم است. از سوی دیگر میتوان گفت اگر هکر اطلاعات شناسایی شود، طبق جرائم رایانهای از او هم میتوان شکایت کرد که در اینجا به دلیل دسترسی غیرمجاز اسنپفود به اطلاعات کاربران صدق نمیکند، چون ما اجازه دسترسی به اطلاعات را به این پلتفرم دادهایم، ولی شکایت از اسنپفود در چند مورد امکانپذیر است:
اول اینکه این پلتفرم از سازمان نظام صنفی رایانهای کشور، اتحادیه کسبوکارهای مجازی، سازمان توسعه تجارت الکترونیکی و در بحث حفظ امنیت از پلیس فتا مجوز گرفته و در قراردادهایی که امضا کرده به حفاظت از دادههای کاربران تأکید شده و آن را قبول کرده است و، چون نتوانسته از این اطلاعات محافظت کند، پس تخلف کرده، اما، چون تخلف صنفی است، از حالت کیفری خارج شده و به شکل حقوقی قابل پیگیری است.
دوم اینکه، چون امنیت کاربران و امنیت اقتصادی به خطر افتاده و بحث امنیتی است، از جنبه حفظ حقوق عامه این پلتفرم قابل پیگیری است. دادستان کل کشور از بابت حفظ حقوق عامه میتواند این موارد را پیگیری کند، آنها را تحت تعقیب قضایی قرار دهد و پاسخگو کند، چون پلیس فتا هشدارهای لازم را به این مجموعه برای تأمین امنیت سایبری داده و آنها کوتاهی کردهاند و اطلاعات لو رفته است.
سوم اینکه کشورها قانون حفاظت از داده دارند و با استناد به این قانون وقتی اطلاعات کاربران در هر سطحی، چه شخصی و چه خصوصی لو رود، میتوانند طرح شکایت و پیگیری کنند. لایحه حفاظت از داده کشور ما از سال ۱۳۹۶ در کمیسیون اجتماعی و دولت الکترونیک هیئت دولت مانده است و با تغییر دولتها روی آن گاهی کار میکنند و بعد مسکوت میماند. علت مسکوتماندن آن هم ساختارهای اداری است، چون میخواهیم قانون مصوبه در حد قانون حفاظت از اطلاعات و حریم خصوصی شهروندان اتحادیه اروپا داشته باشیم، از این رو خیلی از لایههای قانونگذاری ما باید تغییر کند، از این رو بعید به نظر میرسد لایه حفاظت از اطلاعات مانند آنچه در اتحادیه اروپاست، به تصویب برسد، اگر هم به تصویب برسد، کارآمد نخواهد بود.
پژوهشگر حقوقی فناوری اطلاعات
