آژیر قرمز برای اطلاعات بیومتریک ایرانیها
مطالعه امنیتی که روی ۹۶ کشور جهان انجام شده است نشان میدهد ایران از لحاظ جمعآوری و امنیت دادههای بیومتریک اوضاع و احوال خوبی ندارد.
بر اساس گزارشی که از سوی شرکت تحلیل تکنولوژی کامپریتک(Comparitech) منتشر شده ایران پس از چین و کاستاریکا بیشترین دادههای بیومتریک را از شهروندان خود جمعآوری میکند و امنیت این اطلاعات هم چندان مناسب نیست. در این رتبهبندی آمریکا در رتبه چهارم قرار گرفته است. یکی از نکاتی که در این گزارش بهشدت موردتوجه قرارگرفته نحوه حفاظت و استفاده از دادههای بیومتریک جمعآوریشده است.
دادههای بیومتریک اکنون به منبعی مهم برای شناسایی افراد در حوزههای مختلف تبدیل شده است. استفاده از سیستم بیومتریک از عکس گذرنامه گرفته تا دسترسی به حسابهای بانکی با اثر انگشت، با سرعت فزایندهای در حال رشد است. بنابراین موضوع گردآوری این دادهها و در ادامه محافظت از آنها از اهمیت بسزایی برخوردار است. اساسا دادههای بیومتریک از سوی دولتها باید گردآوری شود، اما در بعضی موارد بخش خصوصی هم وارد حوزه گردآوری دادههای بیومتریک شده است. شیوع کرونا هم باعث شده تا در جهان استفاده از اطلاعات بیومتریک بهشدت افزایش پیداکند.
در این وضعیت در میان حدود ۱۰۰ کشور جهان تحقیقات نشان داده که ایران به لحاظ وضعیت نامناسب گردآوری اطلاعات در رتبه سوم قرار میگیرد که نگرانکننده است و میتواند حتی خطرآفرین باشد.
نبود تعریف قانونی برای داده بیومتریک
«محمدجعفر نعناکار» بهعنوان حقوقدان به ۲نوع اطلاعات اشاره میکند و میگوید: نوع اول، اطلاعات کلی شهروندان است اما نوع دوم اطلاعات بیومتریک افراد است.
او که پیش از این مدیرکل حقوقی سازمان فناوری اطلاعات بوده ادامه میدهد: اگرچه تعریف حقوقی برای دادههای بیومتریک ارائه شده، اما تعریف قانونی برای این دسته از دادهها در متون نداریم.
بهگفته نعناکار «آن دسته از مشخصات دادهای که قابلیت انتساب به یک شخص معین دارد تحتعنوان دادههای بیومتریک طبقهبندی میشود و علیالقاعده این دادهها باید از سوی دولتها گردآوری شود و بخشخصوصی عموما نباید به حوزه گردآوری داده وارد شود».
او با اشاره به اینکه بخشخصوصی میتواند به دادههای بیومتریک دسترسی داشته باشد، ادامه میدهد: کارتهای هوشمند ملی دارای دادههای بیومتریک هستند. یعنی هم اثر انگشت و هم تصویر چهره افراد در این کارتها موجود است. بنابراین وزارت کشور میتواند دسترسی به این دادهها را برای بخشخصوصی فراهم کند.
نعناکار به آییننامههای شورایعالی امنیت ملی و دستورالعملهای مرکز ملی فضای مجازی درباره ذخیره و حفاظت از دادههای بیومتریک اشاره میکند و میگوید: این آییننامهها و دستورالعملها مشخص کردهاند که این دادهها چگونه باید جمعآوری، محافظت و استفاده شوند. اما متأسفانه نظارت بر این دستورالعملها که وظیفه شورایعالی فضای مجازی است به درستی صورت نمیگیرد.
خلاء قانونی
نعناکار با اشاره به اینکه اکنون تعدادی از استارتآپها و شرکتهای نوپا ایجاد شدهاند که خدمات احراز هویت را بهعهده گرفتهاند و دادههای بیومتریک افراد را تجمیع میکنند، ادامه میدهد: حتی بعضی از بانکهای خصوصی هم این خدمات را از طریق پلتفرمهای خود ارائه میدهند، درحالیکه این پلتفرمها در ابتدا باید در سازمان فناوری اطلاعات ثبت شوند. طبق قانون تجارت الکترونیک وظیفه حفظ دادهها هم با تجمیعکننده و هم با صاحب دادههاست. بنابراین درصورت افشای این دادهها، برای مجرم، جرائم کیفری درنظر گرفته میشود. همچنین طبق قانون، اطلاعات بهطور کل، از جمله دادههای بیومتریک باید تا ۶ماه در سرورهای داخلی حفظ شود و نمیتوان آنها را در سرورهایی که در خارج از ایران میزبانی میشود ذخیره کرد.
نعناکار همچنین با اشاره به اینکه مجازاتی برای افشای دادههای بیومتریک بهطور خاص دیده نشده است، میگوید: در مورد افشای دادهها بهطور کلی، میتوان آن را «خیانت در امانت» تلقی کرد اما واقعیت این است که باید راهکاری اندیشیده شود که دادهها افشا نشوند؛ چراکه لو رفتن اطلاعات شهروندان با هیچ مجازاتی قابلجبران نیست.