ITanalyze

فرحناز سپهری – گسترش نفوذ اینترنت و کاربرد آن در زندگی روزمره باعث شده تا این فضای مجازی به مکانی برای نفوذ دیگر کشورها، کلاهبرداری، سواستفاده از داده‌ها و مشکلاتی از این دست تبدیل شود. همین موضوع منجر شده تا برخی دولت‌ها از جمله ایران به دنبال اعمال حکمرانی سایبری باشند تا در برابر برخی مسایل و مشکلات مصونیت پیدا کنند.

در همین رابطه «دیوید لیز» یک وکیل بلژیکی در گفتگو با عصر ارتباط معتقد است یکی از عوامل مهم و کلیدی در بحث حاکمیت سایبری کشورها، مساله درک سازمان‌ها و شرکت‌ها از مسایل امنیت سایبری است. چراکه شرکت‌ها و سازمان‌ها بازیگران مهمی‌در این حوزه به شمار می‌روند لذا ضمن جلب مشارکت آنها باید به شکلی ملی زیرساخت‌های امنیت سایبری و نحوه مواجهه با خطرات سایبری به اجرا درآید.

دیوید لیز، وکیل حائز شرایط بلژیکی در شرکت‌های حقوقی بین‌المللی بزرگ در بروکسل کار کرده است.

او دو بار در جشنواره فیلم «مارشه دو فیلم» در جشنواره کن شرکت کرده است و تجربه صدور مجوز، مشارکت و قرارداد منع افشای اطلاعات برای شرکت‌ها در بخش‌های فرهنگی و خلاقانه را دارد. او همچنین در دادگاه‌های مختلف محاکمه و تجدیدنظر در بلژیک برای شرکت‌هایی متعددی کار کرده است.

علاوه بر این، او به دولت‌ها، شرکت‌ها (شامل ۵۰۰ شرکت بین‌المللی فعال در صنایع مختلف است، سالیانه توسط مجله فرچون رتبه‌بندی می‌شوند) و انجمن‌ها در خصوص حفظ حریم خصوصی و تجارت بین‌المللی مشاوره می‌دهد.

عصر ارتباط گفتگویی با دیوید لیز درباره حدود و مرزهای حاکمیت سایبری کشورها انجام داده که در ادامه می‌خوانید.

• به عنوان نخستین پرسش، اصولا چه عواملی در بحث حاکمیت سایبری کشورها مهم است؟
  یکی از عوامل مهم در بحث حاکمیت سایبری کشورها، مساله درک مواجهه سازمان‌ها و شرکت‌ها با مسایل امنیت سایبری است. چراکه شرکت‌ها و سازمان‌ها بازیگران مهمی‌هستند. آنها باید زیرساخت‌های امنیت سایبری خود را با خطرات احتمالی روزانه خود آزمایش کنند. آنها همچنین باید بودجه مناسبی را در حوزه امنیت سایبری اختصاص دهند و باید مدیریتی داشته باشند که از چنین مسایلی آگاه باشد. پیش‌بینی تهدیدات امنیت سایبری و مقابله سریع و کارآمد با آنها برای دوام کسب‌وکارشان در بلندمدت بسیار مهم است. علاوه بر این، پارلمان کشورها باید مقرراتی را در زمینه حاکمیت سایبری با در نظر گرفتن ویژگی‌های هر صنعت تصویب کنند. همچنین بخش خصوصی باید توسط بخش دولتی حمایت شود و بالعکس.

• آیا حاکمیت سایبری یک کشور را ملزم به رعایت مقررات غول‌های فناوری می‌کند؟ اگر نه، آیا آن کشور با محدودیت مواجه خواهد شد؟
  من به عنوان یک وکیل بلژیکی، به حاکمیت سایبری در سطح ملی فکر نمی‌کنم. بلکه بیشتر در سطح اروپایی معتقدم. اتحادیه اروپا مقررات عمومی‌حفاظت از داده‌ها (GDPR) را تصویب کرد که مستقیماً در 27 کشور عضو اعمال می‌شود. این بدان معناست که پارلمان این کشورها نمی‌توانند هیچ قانون ملی را در زمینه حاکمیت سایبری تصویب کنند.

چراکه اتحادیه اروپا از نظر حقوقی قدرتمند است. اکثر شرکت‌ها کشورها باید به GDPR احترام بگذارند. درعین‌حال که برای شرکت‌ها در هنگام فروش محصولات یا خدمات که در اتحادیه اروپا هستند، اعمال می‌شود. همین امر در مورد شرکت‌هایی که دفتر ثبت‌شده در اتحادیه اروپا دارند نیز صدق می‌کند. همچنین GDPR در مورد غول‌های فناوری نیز اعمال می‌شود.

لذا هیچ تفاوتی بین شرکت‌های کوچک و متوسط با غول‌های فناوری وجود ندارد. اگر آنها از GDPR پیروی نکنند، باید جریمه‌هایی را بپردازند که می‌تواند تا 4 درصد از گردش مالی آنها یا 20 میلیون یورو برسد. کشورهای اتحادیه اروپا با محدودیت‌هایی از سوی غول‌های فناوری مواجه نخواهند شد، اگر این شرکت‌ها از رویه‌های اعلامی‌پیروی کنند. زیرا این شرکت‌ها توسط GDPR که به عنوان یک مرجع مشروع قوی در سراسر جهان شناخته شده، محافظت می‌شوند.

این در حالی است که حقوق افراد بر قدرت غول‌های فناوری ارجحیت دارد. کمیسیون اروپا که بر اجرای GDPR نظارت می‌کند، در اعمال جریمه برای غول‌های فناوری که البته به مشتریان اتحادیه اروپا وابسته هستند تردیدی نخواهد داشت. در عین حال که غول‌های فناوری در این زمینه آزادی عمل چندانی ندارند.

• مقررات کلی حفاظت از داده‌های اتحادیه اروپا یا در آمریکا که سندی در این زمینه تهیه شده است آیا در کشورهای دیگر مثلا آسیا باید این مقررات رعایت شود؟ یا اگر مقررات خاص خود را داشته باشند، آیا این موارد منجر به محدودیت می‌شود؟
  همانطور که در بالا توضیح داده شد، GDPR برای هر شرکت که محصولات و/یا خدمات را به افراد در اتحادیه اروپا می‌فروشد اعمال می‌شود. هرچند کشورها نیازی به پیروی از GDPR ندارند، اما مقامات دولتی، شرکت‌ها و سازمان‌های کشورهای غیر عضو اتحادیه اروپا باید GDPR را رعایت کنند. اگر این کار را نکنند جریمه خواهند شد. به عنوان مثال، اتحادیه اروپا، آژانس اتحادیه اروپا را برای امنیت سایبری (ENISA) ایجاد کرد. این آژانس وظیفه تهیه طرح‌های صدور گواهینامه خاص برای امنیت سایبری را دارد. اگر شرکت‌ها می‌خواهند مشتریان اتحادیه اروپا را از دست ندهند و مورد اعتماد افراد و شرکت‌ها اتحادیه اروپا باشند، باید این گواهی‌ها را دریافت کنند.

البته یک شرکت آسیایی در صورت فروش محصولات و خدمات به اتحادیه اروپا باید از قوانین کشور خود و GDPR پیروی کند. چالش زمانی است که GDPR و قوانین آسیایی باهم مطابقت نداشته باشند. در این مواقع شرکت باید ارزیابی کند که چگونه می‌تواند خود را با هر دو قانون مطابقت دهد. به عنوان مثال، تقریباً تمام قوانین حفظ حریم خصوصی از شرکت‌ها می‌خواهد که سیاست‌های حفظ حریم خصوصی و کوکی‌ها را در وب سایت خود اعمال کنند. بنابراین چنین شرکتی باید یک سیاست حفظ حریم خصوصی منطبق با GDPR و یک خط مشی حفظ حریم خصوصی که الزامات قانون حریم خصوصی آسیا را برآورده می‌کند، مدنظر قرار گیرد.

• به نظر شما حدومرزهای حاکمیت سایبری بر اساس کشورها چگونه باید اعمال شود؟
  به نظر من کشورها باید شیوه‌های حاکمیت سایبری را به صورت متناسب و قانونی اعمال کنند. کشورها باید قوانینی را اتخاذ کنند که شناسایی موثر حوادث سایبری را تضمین کند. شرکت‌ها نیاز به حمایت سازمانی و فنی بخش دولتی دارند. پس از همه‌گیری کووید، کارمندان دور‌کار هدف مجرمان سایبری بوده‌اند. این در حالی است که انتظار می‌رود رخنه‌های ابری در سال‌های آینده به شدت افزایش یابد.

همین امر در مورد دستگاه‌های مبتنی بر اینترنت اشیا نیز صدق می‌کند. چراکه با افزایش پهنای باند G 5 در برابر حملات سایبری آسیب‌پذیرتر می‌شوند. مقامات کشورها باید امنیت سایبری را تضمین کنند؛ یعنی اطمینان حاصل کنند که داده‌های شخصی، از جمله داده‌های حساس، سرقت نمی‌شوند. این ماموریت نباید به کشورها اجازه دهد تولید داده‌ها را محدود کرده و محتوای داده‌ها را کنترل کنند.

در همین حال اما برخی معتقدند حاکمیت سایبری پایان اینترنت آزاد تلقی می‌شود و از سوی دیگر کشورها قوانین و بهانه‌های خاص خود را برای ملی کردن اینترنت دارند. به نظر شما چگونه می‌توان تعادلی بین حفظ آزادی بیان و درعین‌حال حمایت از حقوق شهروندان و اعمال حاکمیت ملی در فضای مجازی انجام داد؟
آزادی بیان امکان دارد در مواردی که حقوق شهروندان در خطر است، محدود شود. البته هر اقدامی‌که آزادی بیان را محدود کند باید توجیه شود و این اقدام نیز صرفا باید توسط قانون انجام شود.

به عنوان مثال، پرونده معروف گوگل در دیوان عدالت اتحادیه اروپا (CJEU) وجود دارد. در 5 مارس 2010، یک شهروند اسپانیایی، شکایتی را علیه La VanguardiaEdiciones SL، یک روزنامه اسپانیایی، و شرکت گوگل Google Spain و Google Inc به آژانس حفاظت از داده‌های اسپانیا (AEPD) ارایه کرد. چراکه اطلاعات درباره خانه بازپس‌گرفته‌اش بابت بدهی‌های تامین اجتماعی در نتایج گوگل کاملاً بی‌ربط ‌بود. به گفته وی، حقوق خصوصی وی نقض شده بود. برای این منظور، او از آژانس حفاظت از داده‌های اسپانیا درخواست کرد که روزنامه صفحات حاوی اطلاعات شخصی او را حذف یا تغییر دهد. علاوه بر این، او از گوگل درخواست کرد که اطلاعات شخصی خود را در نتایج جستجو حذف کند.

در 30 ژوئیه 2010، آژانس حفاظت از داده‌های اسپانیا تصمیم گرفت که شکایت شهروند اسپانیایی علیه روزنامه را رد کند، زیرا انتشار حاوی اطلاعات از نظر قانونی به دنبال دستور وزارت کار و امور اجتماعی اسپانیا توجیه داشت. اما AEPD شکایت علیه گوگل را تایید و درخواست کرد که اطلاعات شخصی مربوط به شهروند اسپانیایی را در نتایج جستجو حذف کنند.

گوگل در مورد تصمیم آژانس حفاظت از داده‌های اسپانیا در دادگاه عالی ملی اسپانیا که پرونده را به دادگاه اتحادیه اروپا ارجاع داده بود با این سؤال که 1- آیا دستورالعمل حفاظت از داده‌ها برای موتورهای جستجو مانند گوگل اعمال می‌شود یا خیر، درخواست تجدیدنظر کرد.

دوم اینکه با توجه به اینکه سرور پردازش داده این شرکت در ایالات متحده است، آیا این دستورالعمل برای Google Spain اعمال می‌شود یا خیر و سوم اینکه آیا یک فرد حق دارد درخواست کند که داده‌های شخصی وی از طریق موتور جستجو از دسترس خارج شود.

این در حالی بود که در 13 مه 2014، دیوان عدالت اتحادیه اروپا به سه سؤال دادگاه عالی ملی اسپانیا پاسخ داد.

ابتدا، دیوان عدالت اتحادیه اروپا تأیید کرد که دستورالعمل حفاظت از داده‌ها برای موتورهای جستجوی اینترنتی مانند Google اعمال می‌شود. زیرا آنها کنترل کننده داده‌های شخصی هستند. دوم، دیوان عدالت اتحادیه اروپا تصمیم گرفته است که حتی اگر سرور فیزیکی شرکتی که داده‌ها را پردازش می‌کند در خارج از اروپا واقع شده باشد، قوانین اتحادیه اروپا برای اپراتورهای موتورهای جستجو در صورتی که شعبه یا شعبه‌ای در یک کشور عضو داشته باشند اعمال ‌شود. سوم، دیوان عدالت اتحادیه اروپا تأیید کرد که زمانی که داده‌های شخصی نادرست، نامربوط باشد، یک فرد حق دارد درباره حذف اطلاعات خصوصی از جستجوهای اینترنتی درخواست کند. در این زمینه، موتورهای جستجوی اینترنتی مانند گوگل باید درخواست‌های حذف از داده‌ها را ارزیابی کنند.

در پایان، باید بگویم حق حریم خصوصی و آزادی بیان هر دو حقوق ارزشمندی هستند. آنچه در عمل اهمیت دارد این است که نتیجه یک پرونده هم برای افراد و هم برای کل جامعه باید منصفانه باشد.