در گزارش آنا بخوانید؛

جای خالی قانون حفاظت از حریم خصوصی کاربران/ چه کسی پاسخگوی هک اطلاعات اسنپ‌فود است؟

پس از هک‌شدن زنجیره‌ای سامانه‌ها و پلتفرم‌های داخلی و به سرقت رفتن اطلاعات شهروندان جای خالی قانون جامع حفاظت از اطلاعات و حریم خصوصی شهروندان بیش از همیشه احساس می‌شود.

کد خبر : 888884

خبرگزاری علم و فناوری آنا، این چندمین بار است که پلتفرم‌های داخلی هک می‌شوند. روز یکشنبه بود که یک گروه هکری ادعا کرد که اطلاعات بیش از ۲۰ میلیون کاربر و ۸۸۰ میلیون سفارش مربوط به اسنپ‌فود را هک کرده است. این گروه در تابستان امسال هم داده‌های مربوط به شرکت تپسی را هک کرد و از شرکت تپسی تقاضای ۳۵ هزار دلار غرامت کرد تا اطلاعات خدمات گیرندگان را برگرداند و منتشر نکند که شرکت تپسی این کار را انجام نمی‌دهد و از گروه هکری شکایت می‌کند.

چرا اطلاعات هک‌شده از اسنپ‌فود مهم است؟

با گشت‌وگذاری در فضای مجازی متوجه می‌شویم که بسیاری از کاربران فضای مجازی به دید طنز به هک این پلتفرم نگاه می‌کنند و بسیاری از افراد از خود می‌پرسند هک کردن اسنپ‌فود و استخراج دیتابیس این شرکت چرا مهم است؟

هکر‌ها برای اینکه نشان دهند واقعا اطلاعات را در اختیار دارند، بخشی از اطلاعات را در فضای مجازی منتشر کردند. اطلاعاتی که هکر‌ها به دست آوردند شامل نام کاربری، پسورد، ایمیل، نام و نام خانوادگی، شماره موبایل و تاریخ تولد، آدرس، شماره کارت بانکی، نوع سفارش، شماره تماس و ... مشتری است.

با دانستن شماره کارت بانکی و مشخصات کاربر و کد ملی می‌توان از او کلاهبرداری کرد، مثلاً فردی برای اینکه اعتماد شما را جلب کند می‌گوید این مشخصات شماست و شما هم به او اعتماد می‌کنید و روی لینک ارسالی وارد می‌شوید و حسابتان خالی می‌شود.

هک شدن اسنپ‌فود حتی اگر موجب خالی شدن حساب بانکی افراد نشود، اطلاعات شخصی و تا حدودی محرمانه، مشتریان و رستوران‌ها را در معرض خطر قرار می‌دهد. اولین تهدید مربوط به میزان فروش رستوران‌ها و کمیسیون پرداختی به هر رستوران است.

علاوه بر این دانستن اطلاعات مربوط به فروش هر رستوران برای شرکت‌ها و بیزینس‌های بزرگ هم کارایی دارد. مثلا با دانستن این اطلاعات از طریق درآمد مربوط به فروش فست فود می‌توان فهمید در کدام منطقه تهران پیتزافروشی سود زیادی به دست آورد.

قوانین محافظت از داده‌های شهروندان در فضای مجازی

در مقابل این هک‌های سریالی سوالی که پیش می‌آید این است که در کشور‌های دیگر در مقابل این هک‌ها چه اقداماتی برای محافظت از داده‌های شهروندان انجام می‌دهند؟ چه قوانینی در کشور‌های مختلف وجود دارد؟

قوانین اتحادیه اروپا (GDPR)

«جی‌دی‌پی‌آر» (GDPR) به معنای قانون محافظت از داده‌های عمومی است که هدف آن حفظ اطلاعات شخصی افراد و حریم خصوصی آن‌ها است. این قانون در سال ۲۰۱۶ در اتحادیه اروپا در ۱۱ بخش و ۹۹ فصل دسته‌بندی شده‌اند.

همه شرکت‌هایی که به شهروندان اروپایی خدمت می‌دهند موظف هستند تا این قانون را اجرا کنند، در غیر این صورت باید تا میزان ۴ درصد از گردش مالی سالیانه خود یا ۲۰ میلیون یورو (هرکدام بیشتر باشد) جریمه بپردازند.

این شرکت‌ها موظف هستند، مسئول حفاظت از اطلاعات استخدام کنند تا از رعایت استاندارد‌ها و قوانین موجود در این زمینه اطمینان حاصل کنند. اگر شرکت از انجام این کار سرباز زند، تخلف کرده و مشمول جریمه می‌شود.

در این قانون آمده که شهروندان صاحب داده‌های خود هستند و بر اساس این قانون باید بدانند که اطلاعاتشان را چرا و به چه کسانی و برای چه هدفی و تا چه مدتی می‌دهند. همچنین شرکتی که این اطلاعات را در اختیار دارد باید موارد استفاده از داده‌ها و اطلاعاتشان را به شهروندان اعلام کند.

منظور از اطلاعات شهروندان نام و نام خانوادگی، نشانی، عکس، ایمیل، اطلاعات بانکی، یادداشتی در شبکه اجتماعی، اطلاعات پزشکی و یا آدرس «آی‌پی» (IP) رایانه شخص است.

مالکان اطلاعات طبق بخش سه قانون «جی‌دی‌پی‌آر» (GDPR) حقوق مشخصی دارند که عبارتند از: حق دسترسی به اطلاعات، حق اصلاح، حذف و محدود کردن اطلاعات.

یعنی اگر شهروندی بیمار شود می‌تواند تعیین کند که صرفا پزشک او به سوابق بیماری‌اش دسترسی داشته باشد و نه هر شخصی. یا حتی اگر دوست نداشته باشند می‌توانند از شرکت‌ها بخواهند تا اجازه پردازش اطلاعاتشان را در امور بازیابی یا تبلیغات به کسی ندهند.

قانون حفاظت از داده‌ها در ایران

طبق اصل ۲۵ قانون اساسی جمهوری اسلامی ایران، قوانین مسئولیت مدنی، قانون جرایم رایانه‌ای و قانون تجارت الکترونیک از جمله قوانینی هستند که در حوزه حفاظت از حریم خصوصی شهروندان فعالیت می‌کنند.

اگر قوانین موجود در کشورمان را با قوانین موجود در اتحادیه اروپا در زمینه حفاظت از اطلاعات و حریم خصوصی کاربران مقایسه کنیم می‌بینیم که قوانین موجود در ایران اصول کلی دارد و به جزئیات پرداخته نشده است. در ثانی در کشور ما هیچ الزام قانونی وجود ندارد که همه شرکت‌ها و نهاد‌هایی که از شهروندان اطلاعات خصوصی‌شان را می‌گیرد باید متخصصان امنیت سایبری و حفاظت از داده داشته باشند تا با این دست حملات هکری مقابله شود و اطلاعات شخصی کاربران در معرض سوء استفاده قرار بگیرد.

قوانین اروپا حالت پیشگیری از جرم را دارد، اما در ایران قوانین مربوط به حفاظت از داده، حالت مقابله دارد. اما به هر حال، این چندمین بار است که پلتفرم‌های داخلی هک می‌شود و اطلاعات شهروندان سرقت می‌شود و باید نهاد‌های قانونگذار و مسئول، در زمینه حفاظت از داد‌ها پاسخگو باشند.

انتهای پیام/