دیتای من حراج

هرچقدر دنیای صنعت ابعاد گسترده‌تری یافت، بر اهمیت داده‌های کاربران افزوده شد. به مرور زمان صنایع دریافتند جهت ایجاد مزیت رقابتی و اقناع مردم برای برگزیدن آنها از میان گزینه‌های متعدد، نیاز است تا ذائقه، عادت‌ها و سلایق مشتریان بالقوه خود را درک و از این طریق آنها را به مشتریان بالفعل تبدیل کنند. تا پیش از ظهور اینترنت و شبکه‌های اجتماعی و کسب‌و‌کارهایی که بر بستر اینترنت فعالیت می‌کنند،

دریافت داده از کاربران و بررسی آنها زمان و هزینه بسیاری می‌طلبید. محققان لازم بود گروه‌های بزرگ و متفاوتی از افراد را مورد واکاوی قرار دهند و روند فعالیت آنها را با دقت زیر نظر داشته باشند. اما اینترنت سبب شد تا به‌یکباره حجم عظیمی از داده‌ها روی بستری قرار گیرد که حالا امکان دسته‌بندی و بررسی این داده‌ها به اشکال گوناگون در دسترس بود. آن‌قدر حجم داده‌ها گسترش یافت که دریافت این اطلاعات، مدیریت آنها و دسته‌بندی و دریافت نتایج از آن به یک علم مهم تبدیل شد.

بر این اساس طبیعی است که دسترسی به اطلاعات تا این حد وسوسه‌انگیز باشد. داده‌هایی که می‌توانند از شرکت‌هایی که به‌واسطه جنس فعالیت‌هایشان پایگاهی بزرگ دارند، هک شوند. حتی گاهی همین شرکت‌ها می‌توانند با بررسی داده‌هایشان، امکان‌های جدیدی برای درآمدزایی خلق کنند یا حتی با فروش آنها به شرکت‌های دیگر به مبالغ هنگفتی دست یابند. اما آیا شرکت‌ها صاحب داده‌های مشتریان هستند؟ در این میان حریم خصوصی کاربران چه می‌شود؟ رضایت این کاربران درخصوص استفاده از داده‌هایشان کجای این معادلات قرار می‌گیرد؟

مراقب داده‌ها نبودید؟ غرامت پرداخت کنید!

شرکت‌ها وظیفه دارند از داده‌هایی که به‌امانت در اختیارشان قرار گرفته، محافظت کنند و در صورت عمل نکردن به این وظیفه، ملزم به پرداخت غرامت‌های سنگین هستند.

در سال ۲۰۱۷ شرکت Equifax با یک مورد هک گسترده مواجه شد. در جریان این اتفاق داده‌های بیش از ۱۴۷ میلیون نفر در اختیار هکرها قرار گرفت. این داده‌ها شامل نام و نام خانوادگی، تاریخ تولد، آدرس و شماره تأمین اجتماعی چندین میلیون شهروند آمریکایی بود. شرکت Equifax که یکی از سه آژانس بزرگ اعتبارسنجی در ایالات‌متحده است، به کسب‌و‌کارها و مصرف‌کنندگان خدمات مختلفی چون گزارش‌های اعتباری و خدمات مدیریت هویت ارائه می‌دهد. هرچند این شرکت با وجود نقض داده‌های مشتریان همچنان یکی از بزرگ‌ترین و معتبرترین آژانس‌های اعتبارسنجی آمریکاست، اما طی دعواهای حقوقی پس از این اتفاق، این شرکت به پرداخت جریمه‌ای معادل ۳/۷۷/۳ میلیارد دلار توسط کمیسیون تجارت فدرال (FTC) و دفتر حمایت از حقوق مصرف‌کنندگان (CFPB) ایالات‌متحده محکوم شد.

در مورد مشابه، شرکت گوگل نیز در سال ۲۰۱۹ به‌دلیل نقض داده‌ها که سبب شد اطلاعات شخصی بیش از ۵۰۰ میلیون کاربر +Google در معرض خطر قرار بگیرد، توسط FTC به پرداخت جریمه‌ای ۱۷۰ میلیون دلاری محکوم شد. نقض داده‌ها در این مورد شامل اطلاعاتی مانند نام و آدرس ایمیل، شماره تلفن و تاریخ تولد بود.

در سال ۲۰۱۶ اطلاعات ۵۷ میلیون کاربر اوبر هک شد که هفت‌میلیون نفر از این تعداد، رانندگان اوبر بودند. در آن زمان شرکت اوبر این اتفاق را گزارش نکرد و با هکرها وارد مذاکره شد تا از درز اطلاعاتی جلوگیری کند. داده‌هایی که از کاربران در اختیار هکرها قرار گرفته بود، شامل نام، آدرس ایمیل، شماره تلفن و در مورد رانندگان، شماره گواهینامه آنها بود.

پس از گذشت بیش از یک سال، ماجرای این هک افشا شد و این شرکت برای نقض اطلاعاتی و سرپوش گذاشتن روی این اتفاق به ۱۴۸ میلیون دلار پرداخت جریمه محکوم شد.

در سال ۲۰۲۰ نیز شرکت T-Mobile که سومین اپراتور بزرگ تلفن همراه در ایالات‌متحده است، به‌دلیل نقض داده‌ها که سبب شد اطلاعات شخصی بیش از ۶۶ میلیون کاربر در معرض خطر قرار بگیرد، توسط FTC به پرداخت ۵۲/۵ میلیون دلار جریمه محکوم شد. داده‌های کاربران شامل نام، آدرس، تاریخ تولد و شماره تأمین اجتماعی آنها بود.

درواقع حفاظت از داده‌های کاربران مسئله‌ای به‌شدت جدی است و شرکت‌هایی که داده‌های مشتریان را به هر نحوی جمع‌آوری می‌کنند، وظیفه دارند تا اقدامات امنیتی لازم را برای جلوگیری از درز اطلاعاتی انجام دهند و مسئولیت هر اتفاقی که به هنگام نقض این داده‌ها رخ دهد، برعهده شرکت‌ها خواهد بود، زیرا دسترسی هکرها به اطلاعات افراد می‌تواند زمینه‌ساز کلاهبرداری‌ها و فیشینگ گسترده شود.

استفاده بدون رضایت، سوءاستفاده است

این‌گونه نیست که شرکت‌ها این اختیار را داشته باشند تا از اطلاعاتی که کاربران به آنها ارائه می‌دهند، به هر شکلی که علاقه‌مند بودند، استفاده کنند. زمان دریافت این اطلاعات باید به‌شکل شفاف به کاربر اعلام شود که این داده‌ها در چه جاهایی قابلیت استفاده خواهند داشت. به‌علاوه بهره‌برداری از این داده‌ها در جهت ایجاد انحصار و اقدامات ضدرقابتی نیز جریمه‌های سنگینی در پی دارد. در ایالات‌متحده آمریکا و اتحادیه اروپا قوانین سفت و سختی در این خصوص وجود دارد. به‌خصوص این موضوع در اروپا با جدیت بیشتری دنبال می‌شود. کوچک یا بزرگ بودن شرکت‌ها سبب نمی‌شود تا مراجع قانونی از برخورد با آنها صرف‌نظر کنند و اتفاقاً شرکت‌های بزرگ که دسترسی به داده‌های کاربران بیشتری دارند، بیشتر هم زیر ذره‌بین قرار می‌گیرند و نهادهای نظارتی به طور مداوم فعالیت آنها و رعایت کردن استانداردها توسط این شرکت‌ها را رصد می‌کنند.

شرکت فیس‌بوک که امروز آن را با نام متا می‌شناسیم، در سال ۲۰۱۹ به‌دلیل آنکه اطلاعات شخصی ۸۷ میلیون کاربر فیس‌بوک را بدون رضایت آنها جمع‌آوری کرده و در اختیار شرکت تحلیل داده کمبریج آنالیتیکا قرار داده است، پنج میلیارد دلار جریمه شد. همچنین این شرکت در سال ۲۰۲۱ نیز به‌دلیل نقض قوانین حریم خصوصی کودکان ۲۲۷ میلیون دلار جریمه پرداخت کرد.

شرکت گوگل به‌دلیل استفاده نادرست از اطلاعات شخصی کاربران جهت تبلیغات هدفمند در سال ۲۰۱۹ توسط اتحادیه اروپا ۵۰ میلیارد دلار جریمه شد. این اتحادیه دو سال پیش‌تر شرکت آمازون را نیز به‌دلیل نقض قوانین حریم خصوصی اتحادیه اروپا ۸۸۷ میلیون یورو جریمه کرده بود. اتحادیه اروپا قوانین محکمی جهت حراست از داده‌های کاربران با عنوان GDPR دارد و روی نحوه جمع‌آوری و استفاده از داده‌های کاربران توسط شرکت‌ها حساس است.

شرکت اپل هم سال ۲۰۲۰ ناچار شد جریمه‌ای ۱۳ میلیارد یورویی پرداخت کند، زیرا به نقض قوانین ضد انحصارطلبی اتحادیه اروپا متهم شده بود.

همچنین شرکت تیک‌تاک در سال ۲۰۱۹ به‌دلیل جمع‌آوری غیرقانونی اطلاعات کودکان زیر ۱۳ سال به پرداخت جریمه ۵/۷ میلیون دلاری به FTC محکوم شد و مضاف بر آن ۱۷۰ میلیون دلار جریمه به ایالت‌های مختلف آمریکا پرداخت کرد.

اطلاعات کاربران زیر دست هکرها

با گسترش فعالیت کسب‌و‌کارهای فناوری‌محور و فراگیر شدن استفاده مردم از خدمات و محصولات این کسب‌و‌کارها، در ایران نیز شاهد موارد متعدد هک و سوءاستفاده از داده‌های کاربران هستیم. طی سال‌های اخیر موارد مختلفی در ابعاد کوچک و بزرگ روی داده، اما یکی از جنجالی‌ترین و متأخرترین آنها، هک اسنپ‌فود بود.

تا مدت‌ها توییتر پر بود از شوخی‌هایی که مردم با سفارش نوشیدنی یکی از کاربران اسنپ‌فود می‌کردند. ولی اصل ماجرا شوخی نبود. یک گروه هکری مدعی شده بود که اطلاعات بیش از ۲۰ میلیون کاربر اسنپ‌فود را هک کرده و برای اثبات ادعای خود، تصویر از بخشی از این اطلاعات را منتشر کرده بود که به سوژه شبکه‌های مجازی تبدیل شد. در پی این اتفاق و به گفته خود این شرکت، اسنپ‌فود با هکرها وارد مذاکره شد و با پرداخت وجه مورد نظر آنها، از انتشار این اطلاعات جلوگیری کرد. در همان زمان بحث‌های مختلفی درخصوص ضعف قوانین در مورد حفاظت از داده‌های کاربران مطرح شد. برخی به نبود قوانین سفت و سخت در ایران در جهت حفاظت از داده‌های کاربران اشاره داشتند و معتقد بودند عدم دسترسی کاربران به حذف اطلاعات خود از پایگاه داده این شرکت، یکی از موارد نقض حریم خصوصی کاربران است و درحالی‌که بعضی از این کاربران مدت‌ها بود از خدمات این شرکت استفاده نمی‌کردند، اما به‌دلیل نگهداری داده‌هایشان در این شرکت و عدم دسترسی‌شان جهت حذف آنها، در معرض درز اطلاعات شخصی‌شان قرار گرفته بودند.

برخی نیز از زاویه دیگری به این مسئله پرداخته و معتقد بودند، رقم ناچیزی که شرکت‌های بزرگ برای باگ بانتی (کشف و ارائه گزارش آسیب‌پذیری یا باگ از نرم‌افزار و دریافت پاداش) پرداخت می‌کنند، یکی از مهم‌ترین عواملی است که سبب‌ساز چنین اتفاقاتی می‌شود. آنها می‌گفتند این مبلغ انگیزه لازم را برای اطلاع دادن ضعف‌های امنیتی توسط برنامه‌نویسان ایجاد نمی‌کند و راه را برای سوءاستفاده هکرها باز می‌گذارد. پس از این هک، شرکت اسنپ رقم باگ بانتی خود را افزایش داد.

اما اسنپ‌فود همان‌طور که اولین شرکتی نیست که طی سال‌های اخیر با مسئله هک مواجه شده، آخرین هم نبود و چندی بعد از این واقعه، سازمان حج و زیارت نیز هک شد.

طبیعی است که برخی شهروندان از میزان اهمیت داده‌های خود آگاهی کافی نداشته باشند. مثلاً در مورد هک اسنپ‌فود عده‌ای به شوخی می‌گفتند اینکه ما کی و کجا کباب خورده‌ایم، به کار چه کسی می‌آید و چه اهمیتی دارد؟ اما متخصصان و قانون‌گذاران می‌دانند موارد متعدد هک‌شدن شرکت‌های خصوصی و سازمان‌های دولتی کار را برای کلاهبرداران ساده‌تر از گذشته کرده و می‌تواند به افزایش موارد فیشینگ بینجامد. وقتی کلاهبرداران به اطلاعاتی جزئی مانند آدرس محل سکونت، کد ملی، شماره تلفن و... دسترسی داشته باشند، قطعاً گزینه‌های متنوع‌تری برای کلاهبرداری از شهروندان در دسترس خواهند داشت و راحت‌تر می‌توانند اعتماد افراد را به خود جلب کنند.

ای فلانی عزیز!

از سوی دیگر بسیاری از افراد با پیام‌های تبلیغاتی که به‌وفور برای آنها ارسال می‌شود، مشکل جدی دارند. در حالی برخی شرکت‌ها با نام کوچک و صمیمانه، شخص را مورد خطاب قرار می‌دهند که فرد موردنظر مطمئن است هرگز اطلاعات خود را در دسترس این شرکت قرار نداده است. دسترسی به اطلاعات افراد در چنین شرایطی از دو طریق انجام پذیرفته است؛ یا یکی از شرکت‌هایی که این اطلاعات را داشته آن را به شرکت موردنظر فروخته یا از داده‌هایی که در اثر هک‌های گسترده احتمالاً در دارک‌وب در دسترس است، استفاده شده است. در هر حال نتیجه یکسان خواهد بود؛ اطلاعات فرد موردنظر بدون رضایت شخص در اختیار دیگری قرار گرفته است.

اما سوءاستفاده از اطلاعات کاربران به همین‌جا ختم نمی‌شود. در غیاب قوانین بازدارنده، شرکت‌ها این امکان را دارند که از داده‌های کاربران خود در راستای درآمدزایی بیشتر استفاده کنند. برای مثال تصور کنید شما پلتفرم سفارش غذا هستید. تحلیل مجموعه داده‌هایی که این پلتفرم در اختیار دارد، می‌تواند نشان دهد که چه غذاهایی در چه بازه قیمتی و در چه مناطقی بیشترین فروش را دارند. حالا کافی است این شرکت اقدام به تأسیس رستوران‌هایی کند که این داده‌ها را در اختیار دارند. موفقیت تضمینی است، درحالی‌که نه رستوران‌های همکار، نه کاربران نهایی اطلاعی از این اقدام شما ندارند و نمی‌دانند از داده‌هایشان به این شکل استفاده شده است. این مدل از سوءاستفاده از اطلاعات کاربران می‌تواند در هر کسب‌و‌کاری بنا بر ماهیت آن اتفاق بیفتد و به درآمدزایی‌های بیشتری منجر شود که از انحصار و رفتارهای ضد رقابتی نشئت می‌گیرد.

قانون داریم یا نداریم؟

اتفاقاً مجموعه قوانینی درخصوص حفاظت از داده‌های کاربران در کشور وجود دارد. شورای ملی رقابت نیز قرار است با انحصار و برخوردهای ضد رقابتی مقابله کند. اما چندین عامل سبب می‌شود بازدارندگی لازم وجود نداشته باشد.

اول اینکه به باور کارشناسان، مجموعه قوانینی که جهت حفاظت از داده‌های کاربران وجود دارد، بیشتر واکنشی هستند. به این معنی که اتفاقی رخ داده و حالا می‌توان به‌شکلی قانونی آن را محکوم کرد. اما ناگفته پیداست که بسیاری از کاربران دانش، زمان و حوصله پیگیری‌های قضایی این‌چنینی را ندارند. به همین دلیل است که اتحادیه اروپا قوانین را به نحوی وضع کرده که خاصیت پیشگیرانه نیز داشته باشند. به این معنی که با کمک کارشناسان استانداردهایی را برای فعالیت شرکت‌ها در نظر گرفته و دائماً رفتار شرکت‌ها را رصد می‌کند و بر آنها نظارت دارد تا بتواند راه سوءاستفاده را مسدود کند. درصورتی‌که شرکت‌ها از این استانداردها تخلف کنند، با جریمه‌های مالی بسیار سنگین مواجه خواهند شد.

در ثانی، قوانین شفاف و به‌روز نیستند و امکان تفسیرهای متعدد را فراهم می‌کنند. درصورتی‌که وقتی یک طرف شرکتی با امکانات حقوقی گسترده و در طرف دیگر کاربری با دانش ناکافی وجود دارد، قوانین باید تا حد امکان از شفافیت برخوردار باشند تا تضییع حقوق کاربر در صورت شکایت او، اتفاق نیفتد.

البته می‌توان این سؤال را نیز مطرح کرد که در شرایطی که سازمان‌های دولتی کوچک و بزرگ با بی‌توجهی به موارد امنیتی، اطلاعات کاربران را در معرض هک قرار می‌دهند، آیا می‌توان انتظار داشت رفتار مناسبی در مواجهه با سوءاستفاده از داده‌های کاربران و رعایت نکردن حریم خصوصی آنها صورت پذیرد؟