ITanalyze

مرکز پژوهش های مجلس در گزارشی، فساد در زنجیره تأمین داده های فضای مجازی را بررسی کرد.

به گزارش روابط عمومی مرکز پژوهش‌های مجلس شورای اسلامی، دفتر مطالعات فرهنگ و آموزش این مرکز در گزارشی با عنوان «فساد در زنجیره تأمین داده‌های فضای مجازی» بیان می‌کند که فساد در زنجیره تأمین داده به‌معنای دستیابی، گردآوری، ذخیره‌سازی، پردازش، افشا، انتقال، اعطای دسترسی به بانک داده، امحای داده‌ها و به‌طور‌کلی سوء‌استفاده یا استفاده خارج از ضوابط قانونی از داده‌ها برای به‌دست آوردن منافع شخصی یا گروهی می‌شود. 

این گزارش مطرح می‌کند که فساد در داده می‌تواند در حوزه‌های مختلفی از جمله علمی، اقتصادی، سیاسی، فرهنگی، محیط زیست و سلامت رخ دهد و تأثیرات جدی بر سیاست‌، اقتصاد، افکار عمومی و حتی زیرساخت کشور داشته باشد. تصور مالکیت اشخاصی غیر از اشخاص موضوع داده و یا تولید‌کنندگان داده از آنجا معنی پیدا می‌کند که داده‌ها در کنار یکدیگر، تولیدکننده مفاهیم کلی‌تری از اطلاعات در نسبت با کلیت جامعه هستند؛ این مفاهیم کلی، نشان‌دهنده ویژگی‌ها و خصوصیات جامعه هستند که از حیطه مالکیت شخصی افراد، موضوع و تولید‌کنندگان آن خارج می‌شود. داده‌های شخصی و داده‌های غیرشخصی تقسیم‌بندی متعارفی است که برای تفکیک دو نوع داده از یکدیگر مطرح می‌شود. 

این گزارش ادامه می‌دهد که حاکمیت‌ها با طرح مقررات محافظت از داده‌های عمومی (برای مثال آن چیزی که در اروپا با عنوان قانون GDPR می‌شناسند)، سعی در حفظ و صیانت از تمامیت و استقلال جامعه در کنار حفظ حق مالکیت شخصی افراد را دارند. 

در این گزارش آمده است که در بحث ریشه‌یابی فساد، اهمیت داده‌ها از دو منظر اجتماعی‌- سیاسی و اقتصادی بیش از سایر جوانب حائز اهمیت است. از منظر اقتصادی فساد در حوزه داده عمدتاً با انگیزه‌هایی نظیر کسب سود نامتعارف، رقابت غیرمنصفانه، انحراف مالیاتی و رانت‌های اطلاعاتی و از منظر سیاسی- اجتماعی عمدتاً با انگیزه‌هایی نظیر دست‌کاری و نفوذ در جریانات سیاسی، سوءاستفاده و دست‌کاری غیرمجاز در مدیریت اطلاعات عمومی و تأثیرات گسترده بر افکار عمومی و حوزه عمومی، انحراف در جریان صحیح اطلاع‌رسانی و دسترسی به اطلاعات صورت می‌پذیرد.

این گزارش بیان می‌کند که تجربیات بین‌المللی نشان می‌دهد که کشورهای پیشرو از طریق ایجاد سازوکارهای نظارتی، نهادهای تنظیم‌گر و رویه‌های تقنین و قضائی، اقداماتی را برای جلوگیری از بروز فساد در زنجیره تأمین داده‌ها طرح‌ریزی کرده‌اند؛ اما این امر در کشور ما به‌رغم برخی از اقدامات مثبت تا حد زیادی مغفول مانده و جای توجه دارد. به‌طور مثال در کشورهای کره جنوبی، فرانسه، ایرلند، کانادا، انگلستان و ایتالیا بیش از ۱۲۴ الزام قانونی در حوزه حفاظت از داده‌های شخصی وجود دارد، این در‌حالی است که در قوانین ایران ۱۳ الزام دیده شده‌است.

این گزارش توضیح می‌دهد که ابعاد مسئله فساد در زنجیره تأمین داده‌ها موضوعی پیچیده است که نیازمند بررسی عمیق علل و عوامل مختلف است. بنابراین عوامل آسیب‌پذیر (مصادیق) در زنجیره تأمین داده‌، امنیت فناوری و ضعف در سازوکارهای نظارتی که به افزایش فساد در شبکه‌های داده منجر می‌شود به این شرح است؛ دسترسی، جمع‌آوری و افشای غیرمجاز داده، پردازش و نگهداری داده‌ها برای همیشه، استفاده مجدد بی‌رویه از داده‌ها، عدم استقرار نهاد تنظیم‌گر بخشی و فقدان نظارت مؤثر بر داده‌ها، ایجاد محدودیت شخص موضوع داده در انتقال داده‌ها در زیست‌بوم محصور، ضعف ضوابط و سازوکارهای دسترسی، بی‌توجهی به امنیت داده‌ها و در برابر سرعت پردازش، ارتقا نیافتن امنیت داده‌ها، عدم اطلاع‌رسانی به شخص موضوع داده در‌خصوص پردازش الگوریتمی داده‌ها. 

این گزارش ادامه می‌دهد که از این منظر و با توجه به آنچه گفته شد برای کاهش فساد در زنجیره تأمین داده‌ها، می‌توان اقدامات متعددی را در ابعاد مختلف موضوع پیش‌بینی کرد. از‌جمله اقدامات ممکن می‌توان به تشکیل نهادهای تخصصی تنظیم‌گر داده، به‌روزرسانی قوانین و مقررات، توسعه استانداردهای ایمنی و پدافندی داده، توسعه فرایندهای شفاف در زنجیره تأمین داده، ایجاد نظارت‌های مؤثر بر دارندگان دسترسی به انواع داده‌ها، افزایش آگاهی و آموزش مردم در مورد مخاطرات به اشتراک‌گذاری داده، اشاره کرد. 

مرکز پژوهش‌های مجلس در این گزارش با توجه به اقتضائات بومی و ساختارهای حکمرانی- سیاستی تأثیرگذار بر زنجیره تأمین داده‌های کشور پیشنهادهایی در سه بخش سیاستی-تقنینی، فنی-اجرایی و چارچوب‌های تنظیم گری، با هدف جلوگیری از بروز فساد در زنجیره تأمین داده مطرح می‌کند. 

این مرکز به‌عنوان راهکار سیاستی-تقنین مواردی نظیر تصویب قانون حمایت و حفاظت از داده و اطلاعات شخصی (تصویب طرح شماره ثبت ۶۱۲ دوره یازدهم مجلس شورای اسلامی که در تاریخ ۱۲/۰۷/۱۳۹۹ اعلام وصول شده‌است)، تصویب سند جامع امنیت فضای مجازی کشور با تأکید بر نگاشت دقیق نهادی از دستگاه‌ها و نظارت مستمر بر آن از طریق نهاد ناظر و تصویب ضمانت اجرای سند مذکور توسط مجلس شورای اسلامی، تصویب قانون الزام به انتشار داده و اطلاعات (تصویب طرح شماره ثبت ۲۸۳ دوره یازدهم مجلس شورای اسلامی که مورخ ۶/۰۸/۱۳۹۹ اعلام وصول شده‌است) را پیشنهاد می‌کند. 

در این گزارش راهکارهای فنی و اجرایی به این شرح است که الف) تدوین دستورالعمل اجرایی برای ستاد پدافند غیرعامل و فاوا، همان‌طور که در ماده (۱۰۳) قانون برنامه هفتم پیشرفت برای هماهنگی دستگاه‌ها و به‌منظور کنترل امنیت سایبری و نظارت مستمر بر آنها پیش‌بینی شده‌است. ب) الزام به گزارش شفافیت در‌خصوص رضایت کاربران در اشتراک‌گذاری داده‌ها، تضمین امنیت داده‌ها، ناشناس‌سازی و مستعار‌سازی داده‌ها، رعایت حقوق شخص موضوع داده (اطلاع‌رسانی، دسترسی، اصلاح، حذف، انتقال، اعتراض، قرار نگرفتن در معرض پردازش خودکار)، ایجاد استانداردهای امنیتی، سیاست‌های انتقال داده‌های فرامرزی و سازوکارهای اخلاقی مدیریت داده توسط بازیگران زنجیره تأمین داده در سند سیاستی‌دادگان که پیش‌نویس آن در مرکز ملی فضای مجازی در حال تهیه است. 

در بخش سوم پیشنهاد مرکز پژوهش‌های مجلس به اصلاح وظایف و ساختار کمیسیون موضوع ماده (۱۸) قانون انتشار و دسترسی آزاد به اطلاعات اشاره شده که از طریق افزودن اعضای فرا دولتی (بخش خصوصی و سایر ذی‌ربط ان حاکمیتی و بخش عمومی غیردولتی) به کمیسیون، پیش‌بینی وظایف قانونی و ضمانت اجرای اداری، انتظامی و قضائی برای مستنکفین از قانون و تعیین شاخص‌های ارزیابی عملکرد دستگاه‌ها و مؤسسات خصوصی از طریق کمیسیون و ارائه گزارش ۶ ماهه رتبه‌بندی دستگاه‌ها، براساس این شاخص به هیئت‌وزیران و کمیسیون فرهنگی مجلس شورای اسلامی امکان‌پذیر است. 

این گزارش همچنین پیشنهاد استقرار نهاد تنظیم‌گر بخشی داده‌ها از طریق تصویب ماده‌واحده تقسیم‌کار ملی برای همکاری میان دو نهاد تنظیم‌گر (کارگروه تعامل‌پذیر دولت الکترونیکی موضوع ماده (۳) قانون مدیریت داده‌ها و اطلاعات ملی و کمیسیون موضوع ماده (۱۸) قانون انتشار و دسترسی آزاد به اطلاعات) را مطرح می‌کند. 

متن کامل گزارش.