بررسی فساد در زنجیره تأمین دادههای فضای مجازی
مرکز پژوهش های مجلس در گزارشی، فساد در زنجیره تأمین داده های فضای مجازی را بررسی کرد.
به گزارش روابط عمومی مرکز پژوهشهای مجلس شورای اسلامی، دفتر مطالعات فرهنگ و آموزش این مرکز در گزارشی با عنوان «فساد در زنجیره تأمین دادههای فضای مجازی» بیان میکند که فساد در زنجیره تأمین داده بهمعنای دستیابی، گردآوری، ذخیرهسازی، پردازش، افشا، انتقال، اعطای دسترسی به بانک داده، امحای دادهها و بهطورکلی سوءاستفاده یا استفاده خارج از ضوابط قانونی از دادهها برای بهدست آوردن منافع شخصی یا گروهی میشود.
این گزارش مطرح میکند که فساد در داده میتواند در حوزههای مختلفی از جمله علمی، اقتصادی، سیاسی، فرهنگی، محیط زیست و سلامت رخ دهد و تأثیرات جدی بر سیاست، اقتصاد، افکار عمومی و حتی زیرساخت کشور داشته باشد. تصور مالکیت اشخاصی غیر از اشخاص موضوع داده و یا تولیدکنندگان داده از آنجا معنی پیدا میکند که دادهها در کنار یکدیگر، تولیدکننده مفاهیم کلیتری از اطلاعات در نسبت با کلیت جامعه هستند؛ این مفاهیم کلی، نشاندهنده ویژگیها و خصوصیات جامعه هستند که از حیطه مالکیت شخصی افراد، موضوع و تولیدکنندگان آن خارج میشود. دادههای شخصی و دادههای غیرشخصی تقسیمبندی متعارفی است که برای تفکیک دو نوع داده از یکدیگر مطرح میشود.
این گزارش ادامه میدهد که حاکمیتها با طرح مقررات محافظت از دادههای عمومی (برای مثال آن چیزی که در اروپا با عنوان قانون GDPR میشناسند)، سعی در حفظ و صیانت از تمامیت و استقلال جامعه در کنار حفظ حق مالکیت شخصی افراد را دارند.
در این گزارش آمده است که در بحث ریشهیابی فساد، اهمیت دادهها از دو منظر اجتماعی- سیاسی و اقتصادی بیش از سایر جوانب حائز اهمیت است. از منظر اقتصادی فساد در حوزه داده عمدتاً با انگیزههایی نظیر کسب سود نامتعارف، رقابت غیرمنصفانه، انحراف مالیاتی و رانتهای اطلاعاتی و از منظر سیاسی- اجتماعی عمدتاً با انگیزههایی نظیر دستکاری و نفوذ در جریانات سیاسی، سوءاستفاده و دستکاری غیرمجاز در مدیریت اطلاعات عمومی و تأثیرات گسترده بر افکار عمومی و حوزه عمومی، انحراف در جریان صحیح اطلاعرسانی و دسترسی به اطلاعات صورت میپذیرد.
این گزارش بیان میکند که تجربیات بینالمللی نشان میدهد که کشورهای پیشرو از طریق ایجاد سازوکارهای نظارتی، نهادهای تنظیمگر و رویههای تقنین و قضائی، اقداماتی را برای جلوگیری از بروز فساد در زنجیره تأمین دادهها طرحریزی کردهاند؛ اما این امر در کشور ما بهرغم برخی از اقدامات مثبت تا حد زیادی مغفول مانده و جای توجه دارد. بهطور مثال در کشورهای کره جنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از ۱۲۴ الزام قانونی در حوزه حفاظت از دادههای شخصی وجود دارد، این درحالی است که در قوانین ایران ۱۳ الزام دیده شدهاست.
این گزارش توضیح میدهد که ابعاد مسئله فساد در زنجیره تأمین دادهها موضوعی پیچیده است که نیازمند بررسی عمیق علل و عوامل مختلف است. بنابراین عوامل آسیبپذیر (مصادیق) در زنجیره تأمین داده، امنیت فناوری و ضعف در سازوکارهای نظارتی که به افزایش فساد در شبکههای داده منجر میشود به این شرح است؛ دسترسی، جمعآوری و افشای غیرمجاز داده، پردازش و نگهداری دادهها برای همیشه، استفاده مجدد بیرویه از دادهها، عدم استقرار نهاد تنظیمگر بخشی و فقدان نظارت مؤثر بر دادهها، ایجاد محدودیت شخص موضوع داده در انتقال دادهها در زیستبوم محصور، ضعف ضوابط و سازوکارهای دسترسی، بیتوجهی به امنیت دادهها و در برابر سرعت پردازش، ارتقا نیافتن امنیت دادهها، عدم اطلاعرسانی به شخص موضوع داده درخصوص پردازش الگوریتمی دادهها.
این گزارش ادامه میدهد که از این منظر و با توجه به آنچه گفته شد برای کاهش فساد در زنجیره تأمین دادهها، میتوان اقدامات متعددی را در ابعاد مختلف موضوع پیشبینی کرد. ازجمله اقدامات ممکن میتوان به تشکیل نهادهای تخصصی تنظیمگر داده، بهروزرسانی قوانین و مقررات، توسعه استانداردهای ایمنی و پدافندی داده، توسعه فرایندهای شفاف در زنجیره تأمین داده، ایجاد نظارتهای مؤثر بر دارندگان دسترسی به انواع دادهها، افزایش آگاهی و آموزش مردم در مورد مخاطرات به اشتراکگذاری داده، اشاره کرد.
مرکز پژوهشهای مجلس در این گزارش با توجه به اقتضائات بومی و ساختارهای حکمرانی- سیاستی تأثیرگذار بر زنجیره تأمین دادههای کشور پیشنهادهایی در سه بخش سیاستی-تقنینی، فنی-اجرایی و چارچوبهای تنظیم گری، با هدف جلوگیری از بروز فساد در زنجیره تأمین داده مطرح میکند.
این مرکز بهعنوان راهکار سیاستی-تقنین مواردی نظیر تصویب قانون حمایت و حفاظت از داده و اطلاعات شخصی (تصویب طرح شماره ثبت ۶۱۲ دوره یازدهم مجلس شورای اسلامی که در تاریخ ۱۲/۰۷/۱۳۹۹ اعلام وصول شدهاست)، تصویب سند جامع امنیت فضای مجازی کشور با تأکید بر نگاشت دقیق نهادی از دستگاهها و نظارت مستمر بر آن از طریق نهاد ناظر و تصویب ضمانت اجرای سند مذکور توسط مجلس شورای اسلامی، تصویب قانون الزام به انتشار داده و اطلاعات (تصویب طرح شماره ثبت ۲۸۳ دوره یازدهم مجلس شورای اسلامی که مورخ ۶/۰۸/۱۳۹۹ اعلام وصول شدهاست) را پیشنهاد میکند.
در این گزارش راهکارهای فنی و اجرایی به این شرح است که الف) تدوین دستورالعمل اجرایی برای ستاد پدافند غیرعامل و فاوا، همانطور که در ماده (۱۰۳) قانون برنامه هفتم پیشرفت برای هماهنگی دستگاهها و بهمنظور کنترل امنیت سایبری و نظارت مستمر بر آنها پیشبینی شدهاست. ب) الزام به گزارش شفافیت درخصوص رضایت کاربران در اشتراکگذاری دادهها، تضمین امنیت دادهها، ناشناسسازی و مستعارسازی دادهها، رعایت حقوق شخص موضوع داده (اطلاعرسانی، دسترسی، اصلاح، حذف، انتقال، اعتراض، قرار نگرفتن در معرض پردازش خودکار)، ایجاد استانداردهای امنیتی، سیاستهای انتقال دادههای فرامرزی و سازوکارهای اخلاقی مدیریت داده توسط بازیگران زنجیره تأمین داده در سند سیاستیدادگان که پیشنویس آن در مرکز ملی فضای مجازی در حال تهیه است.
در بخش سوم پیشنهاد مرکز پژوهشهای مجلس به اصلاح وظایف و ساختار کمیسیون موضوع ماده (۱۸) قانون انتشار و دسترسی آزاد به اطلاعات اشاره شده که از طریق افزودن اعضای فرا دولتی (بخش خصوصی و سایر ذیربط ان حاکمیتی و بخش عمومی غیردولتی) به کمیسیون، پیشبینی وظایف قانونی و ضمانت اجرای اداری، انتظامی و قضائی برای مستنکفین از قانون و تعیین شاخصهای ارزیابی عملکرد دستگاهها و مؤسسات خصوصی از طریق کمیسیون و ارائه گزارش ۶ ماهه رتبهبندی دستگاهها، براساس این شاخص به هیئتوزیران و کمیسیون فرهنگی مجلس شورای اسلامی امکانپذیر است.
این گزارش همچنین پیشنهاد استقرار نهاد تنظیمگر بخشی دادهها از طریق تصویب مادهواحده تقسیمکار ملی برای همکاری میان دو نهاد تنظیمگر (کارگروه تعاملپذیر دولت الکترونیکی موضوع ماده (۳) قانون مدیریت دادهها و اطلاعات ملی و کمیسیون موضوع ماده (۱۸) قانون انتشار و دسترسی آزاد به اطلاعات) را مطرح میکند.