امنیت و حریم خصوصی در فضای مجازی
رسانه وبلاگ- با توجه به تلاش بسیاری از دولت ها در جهان برای کنترل محتوای الکترونیک رد وبدل شده توسط شهروندان با هدف حفظ امنیت ملی که در برخی کشورهای جهان و به خصوص در آمریکا در چند سال اخیر جنجال گسترده ای برپا کرده این پرسش به ذهن متبادر می شود که این امر اصولا از نظر فنی تا چه میزان امکان پذیر است و چه ابعادی دارد.
پرسشی که در گام نخست به ذهن متبادر می شود این است که آیا کنترل محتوا و اطلاعات مربوط به ارسال کنندگان و دریافت کنندگان پیامک و پست الکترونیکی از لحاظ فنی امکان پذیر است؟
کاربران حرفه ای تلفن همراه می دانند که کنترل پیامک، از لحاظ فنی کاملاً عملی است و حتی لزومی ندارد که یکایک پیام ها خوانده شوند بلکه با تعریف چند فیلتر ساده، می توان پیام های حاوی کلمات و عبارات خاص را دسته بندی و مشاهده کرد. اما در رابطه با پست الکترونیکی، مساله به طور کلی متفاوت است.
هر نشانی پست الکترونیکی با توجه به نام دامنه ی (Domain) سرویس دهنده ی آن پست الکترونیکی از روی سرور مخصوص به همان سرویس دهنده ارسال می شود. برای مثال، پست های الکترونیکی یاهو (Yahoo) از طریق سرورهای شرکت یاهو و پست های الکترونیکی جی میل (GMail) از روی سرورهای جی میل که متعلق به شرکت گوگل است ارسال می شوند.
از آنجا که سرورهای یاد شده در آمریکا قرار دارند، کنترل آنها از داخل خاک دیگر کشورها تقریبا محال است، مگر آنکه با هک کردن این سرورها کنترل آنها را بدست آورند یا شرکت های دارنده ی سرورها توافق کرده باشند اطلاعات کاربران شان را در اختیار مقامات آن کشور قرار دهند.
با این حال، چنانچه شخصی برای خود نام دامنه (domain) ثبت کرده باشد و پست الکترونیکی خود را روی آن نام دامنه ایجاد کند (نه روی دامنه های عمومی و رایگان مانند Yahoo و )Gmail، و همچنین سِروِر مورد استفاده خود را از میان دیتا سنترهای (Data Center) داخل یک کشور خاص انتخاب نموده و اطلاعات خود را روی این سرورها قرار داده باشد، می توان تصور کرد که نهادهای آن کشور بتوانند سِروِر مذکور را کنترل و به محتوای آن دسترسی یابند. ولی معمولا کسانی که آگاهانه برضد نظام سیاسی یک کشور فعالیت کرده و از ابزار فناوری اطلاعات و ارتباطات استفاده می کنند، با استخدام نیروهای توانمند فنی دانش خود را افزایش داده و برای حفظ امنیت خود، اطلاعات شان را بر روی سِروِرهای داخل آن کشور قرار نمی دهند تا به راحتی شناسایی و ردگیری نشوند.
همچنین باید توجه داشت که اساساً هرگونه استفاده از اینترنت اعم از ارسال و دریافت پست الکترونیکی، جزئیات و محتوای گفتگوها (chat)، صفحات وبِ مشاهده شده و حتی مدت زمان مشاهده ی هر صفحه قابل کنترل و ردیابی است. اما راه هایی نیز برای جلوگیری از این کنترل و شنود وجود دارد، که استفاده از فیلترشکن ها مهم ترین و شایع ترینِ آنهاست. فیلترشکن راه عبور اطلاعات از مبدا به مقصد را تغییر می دهد و هم اطلاعات و هم مسیر انتقال آن را از دید نرم افزارهای فیلترینگ پنهان می کند. وی پی ان (VPN) یکی از ابزارهایی است که در دسته ی فیلترشکن ها قرار می گیرد.
وی پی ان افزون بر اینکه مسیر حرکت کاربر در اینترنت را تغییر می دهد، تمام اطلاعات ارسالی و دریافتی او ــ مثلاً پست الکترونیکی، chat و یا صفحه ای که آن را باز کرده ــ را رمزگذاری می کند تا هیچ یک از اطلاعات ارسالی یا دریافتی وی توسط دیگران قابل کنترل و ردیابی نباشد. در صورت استفاده از وی پی ان یا سرویس هایی که مراسلات الکترونیکی را رمزنگاری کنند، گفتگوهای نوشتاری و صوتی (Voice Chat) با دشواری بسیار زیاد برای اشخاص ثالث قابل مشاهده و دسترسی خواهند بود.
استفاده از HTTPS به جای HTTP نیز راه مطمئن دیگری برای جلوگیری از مطلع شدنِ دیگران از اقداماتی است که یک کاربر در اینترنت انجام می دهد، چراکه تمامی اطلاعاتِ ارسال و دریافت شده در صفحه ای که از پروتکل HTTPS استفاده می کند به صورت رمزگذاری شده ارسال و دریافت می شوند (حرف «S» در انتهای HTTP به این معناست که کاربر در صفحه ای قرار دارد که از پروتکل امنیتی SSL بهره می گیرد). البته باید توجه داشت که، امنیت در دنیای مجازی یک پدیده ی نسبی است یعنی هیچ روشی به عنوان امن ترین روش وجود ندارد.
متخصصین امنیت در فضای مجازی هر روزه روش های جدیدی برای حفظ امنیت داده ها، اطلاعات، و شبکه می یابند و هم زمان با آنها، نفوذگران و نقض کنندگان امنیت نیز روش های جدیدتری برای نفوذ و مخدوش کردن امنیت آنها ابداع می کنند. تحقیق و تجربه نشان داده در کشورهای در حال توسعه و حتی گاه در کشورهای توسعه یافته، قوانین و مقررات پا به پای ابداعات و اختراعات حرکت نمی کنند و غالباً مدتی پس از آنکه تکنولوژی مرزها را در نوردید، حقوق ساماندهی وضع موجود را از رهگذر وضع قوانین و مقررات لازم انجام می دهد.
موضوع حریم خصوصی در فضای مجازی
به طور کلی، حریم خصوصی در چهار حوزه قابل بحث است: حریم خصوصی در منازل و اماکن، حریم خصوصی جسمانی، حریم خصوصی اطلاعاتی (حق اولیه افراد در محرمانه ماندن و جلوگیری از تحصیل، پردازش، و انتشار داده های شخصی مربوط به خود، مگر در موارد قانونی)، و حریم خصوصی ارتباطاتی (حق اشخاص در محرمانه نگه داشتن محتوای تمامی اشکال مراسلات و مخابرات متعلق به خود). آنچه در این نوشتار بدان پرداخته شده، حریم خصوصی اطلاعاتی است که برای رعایت اختصار صرفاً اصطلاح حریم خصوصی به کار رفته است. حریم خصوصی اطلاعاتی (Information Privacy) نیز با سه اصطلاح امنیت داده (Data Security)، امنیت اطلاعات (Information Security)، و حمایت از داده (data protection) متردادف است.
از این رو، برای فهم بهتر مفهوم حریم خصوصی در فضای مجازی، شایسته است تفاوت این اصطلاح را با واژه امنیت دریابیم.
الف) حریم خصوصی و امنیت در فضای مجازی: شاکله ی بحث حریم خصوصی بر این مبنا استوار است که هر فردی این حق را دارد که خود درباره ی اینکه دیگران تا چه اندازه از زندگی شخصی او بدانند و یا در آن وارد شوند تصمیم بگیرد و در صورت عدم تمایل، آنها را از این کار منع کند.
می دانیم که فضای مجازی از سه عنصر داده، اطلاعات و شبکه تشکیل شده است، و مقوله ی امنیت در فضای مجازی را نیز در سه حوزه ی امنیت داده ها، امنیت اطلاعات، و امنیت شبکه باید بررسی کرد. امنیت خود از دو رکن تشکیل می شود: صحت (یعنی حفظ تمامیت [Integrity])، و محرمانگی (Confidentiality)، و منظور از ایجاد امنیت در فضای مجازی یعنی ایجاد شرایطی که در آن، صحت و محرمانگی داده ها، اطلاعات، و شبکه حفظ و تضمین شود. برای مثال، وقتی می گوئیم صحت در امنیت لپ تاپ شما، یعنی اینکه لپ تاپ تان باید سالم بماند و دیگران نباید بتوانند به آن صدمه ای وارد کنند (یعنی جرم علیه خودِ مال رخ ندهد)، و همچنین کسی نباید حق مالکیت شما را به عنوان مالک لپ تاپ سلب کند، و مثلاً آن را به سرقت ببرد (یعنی جرم علیه مالکیتِ مالک رخ ندهد).
اما محرمانگی به این معناست که کسی بدون رضایت صاحب لپ تاپ نباید به اطلاعات مربوط به آن و یا اطلاعات درون آن واقف شود، مثلاً بدون رضایت شما نتواند لپ تاپ را در دست بگیرد و یا اطلاعات درون لپ تاپ را مشاهده کند. پس، نقض امنیت در فضای مجازی یعنی الف) تعرض به تمامیت و سلامت داده های شخصی و نیز تعرض به شبکه، و ب) نقض محرمانگی، یعنی مطلع شدن از داده های شخصی و آنچه در شبکه وجود دارد.
به همین ترتیب، در فضای مجازی متجاوز به کسی گفته می شود که امنیت داده ها و شبکه و یا هر دو را نقض کرده باشد، و ناقض حریم خصوصی هم به کسی گفته می شود که به داده هایی که به یک شخص اختصاص دارد به هر شکلی واقف شود و از آنها کسب اطلاع کند، و یا اینکه اینگونه داده ها را به هر شکلی تصاحب و به نفع خود استفاده کند، یا آنها را دستکاری نموده تغییر دهد.
از این رو، نقض حریم خصوصی اطلاعاتی شهروندان عملاً به معنای نقض امنیت داده ها و اطلاعات آنان است، و هرگونه تلاش برای حمایت و رعایت این حریم، افزایش امنیت و احساس ایمن بودن را در میان کابران فضای مجازی موجب خواهد شد. در نتیجه، قوانین ناظر به رعایت حریم خصوصی اطلاعتی، در عمل باعث حمایت از ایجاد و حفظ امنیت در فضای مجازی نیز می شوند.
ب) حریم خصوصی در قوانین جاری کشور: مساله ی حریم خصوصی کم ـ و ـ بیش و به انحاء مختلف در قوانین و مقررات جاری کشور مورد اشاره قرار گرفته است. اما در ارتباط با فضای مجازی، قوانین اندکی به این موضوع پرداخته اند که به تعدادی از آنها خواهیم پرداخت. قانون تجارت الکترونیک مصوب 17/10/82 نخستین قانونی است که بر لزوم رعایت حریم خصوصی فعالان حوزه ی تجارت الکترونیکی تاکید نموده (برای نمونه، تحت عنوان حمایت از داده پیام موضوع مواد 62 تا 66)، چراکه اگر کاربران از مصون بودن حریم خصوصی خود اطمینان نیابند به فعالیت و کسب و کار در این عرصه مشغول نخواهند شد.
سپس، در سه لایحه ای که در سال 1383 از سوی دولت وقت با عناوین «جرایم رایانه ای»، «حریم خصوصی»، و «آزادی اطلاعات» به مجلس شورای اسلامی تقدیم شد، رعایت حریم خصوصی شهروندان، چه در دنیای و چه در مادی فضای مجازی، صورت قانونی یافت. هرچند از این سه، لایحه ی حریم خصوصی به طور کامل کنار گذاشته شد، لایحه ی جرایم رایانه ای پس از جرح و تعدیل های بسیار در 5/3/88 با عنوان قانون جرایم رایانه ای تصویب شد، و بالاخره لایحه ی آزادی اطلاعات پس از چندین بار رفت و آمد میان مجلس و شورای نگهبان، در 31/5/88 با عنوان قانون انتشار و دسترسی آزاد به اطلاعات از تصویب مجمع تشخیص مصلحت نظام گذشت.
در لایحه ی حمایت از حریم خصوصی آمده بود شنود، ضبط، ذخیره یا دیگر انواع رهگیری ارتباطات خصوصی اینترنتی اشخاص بدون رضایت آنها مجاز نیست، و همچنین هیچ کس اجازه ی رهگیری ارتباطات از راه دور و پایش ارتباطات کلامی ـ حضوری افراد را ندارد، مگر با مجوز قانونی. در فصل چهارم از قانون 23 ماده ای انتشار و دسترسی آزاد به اطلاعات نیز به رعایت حریم خصوصی اختصاص یافته، اما تعداد نسبتاً قابل توجهی از مجموع 56 ماده قانون جرائم رایانه ای به طور مستقیم یا غیرمستقیم به این موضوع پرداخته اند.
برای نمونه، تبصره ی ماده 48 قانون جرائم رایانه ای مقرر داشته «دسترسی به محتوای ارتباطات غیرعمومی ذخیره شده، نظیر پست الکترونیکی یا پیامک، در حکم شنود و مستلزم رعایت مقررات مربوط است»، و مهم ترین مساله درباره ی این مقررات، لزوم وجود دستور کتبی مقام ذیصلاح قضایی برای هرگونه شنود است. بنابراین ملاحظه می شود که حتی در صورتی که از لحاظ تکنولوژیکی امکان دسترسی به محتوای پست های الکترونیکی میسر باشد، از لحاظ قانونی بدون حکم مقام مجاز قضایی نمی توان این محتواها را کنترل و مطالعه کرد.
پ) حریم خصوصی و تجارب برخی کشورها: پس از وقایع 11 سپتامبر 2001، دولت وقت آمریکا برای بالا بردن امنیت داخلی، قانونی را تصویب کرد که به واسطه این قانون امکان شنود همه مکالمات تلفنی، پیامک ها، پست های الکترونیکی و … را بدون اخذ مجوز قضایی داشته باشد.
در آن زمان، رسانه های داخلی این موضوع را به منزله ی یک نقطه ضعف برای دولت آمریکا می دانستند و تاکید داشتند که دولت به نقض حریم شخصی افراد مبادرت کرده است. اما مسئولین آمریکایی با این استدلال که امنیت ملی ایالات متحده موضوعی مهم تر از حفظ حریم شخصی شهروندان است و با استفاده از فضای احساسی حاکم در آن زمان، این قانون و دیگر مقرره های قانونی مزد نظر خود را وضع کردند.
صرف نظر از صحیح یا ناصحیح بودن این اقدام، تلاش دولت آمریکا در اقناع افکار عمومی و جلب همراهی آنان در این مسیر از طریق سخنرانی ها، نوشته های منتشر شده در نشریات چاپی و الکترونیکی، و نیز تبلیغات رسانه ای، قابل توجه است؛ چه، به خوبی می دانستند که همراهی افکار عمومی برگ برنده ی آنان در عرصه های ملی و بین المللی است. دولت های انگلستان، فرانسه، دانمارک، هلند و بسیاری از دیگر کشورهای عضو اتحادیه ی اروپایی و نیز برخی کشورهای غیراروپایی نیز همین رویه را در پیش گرفتند و قوانینی به تصویب رساندند که اگرچه نقض آشکار حریم خصوصی شهروندان این کشورها محسوب می شد، جلوگیری از بروز حوادث تروریستی و حفظ امنیت کشور به مراتب مهم تر از پایبندی به قوانین اساسی ملی و مقررات حقوق بشری اتحادیه دانسته و اعلام می گردید.
در این کشورها نیز اقناع افکار عمومی، به درستی و یا با استفاده از حیله و فریب، به هر روی همراهی ملت های این کشورها را به دنبال داشته است.
دامنه ی محدودسازی حریم خصوصی تا بدانجا گسترده شده که، برای مثال، چندی پیش دادگاهی در بلژیک حکمی صادر کرد که بر اساس آن، کارفرمایان بلژیکی می توانند بدون آگاهی دادن به کارمندان خود، در شرایط ویژه ای چگونگی استفاده ی آنان از اینترنت و حتی محتوای پست های الکترونیکی شان را کنترل کنند. چنین کاری تا پیش از این حکم در صورتی در این کشور قانونی بود که کارفرما رسماً کارمندان خود را از وجود چنین کنترلی مطلع می ساخت ولی از این پس، بررسی اطلاعات داد و ستد شده و محتوای مراسلات کارمندان در شرکت ها نیازمند اطلاع رسانی قبلی نیست.
نتیجه ی بحث
واقعیت این است که هیچ نظامی در هیچ جای دنیا اجازه نمی دهد حاکمیتش زیر سؤال برود، و به همین دلیل اقداماتی مانند پایش پست های الکترونیکی برای حفظ حاکمیت می تواند امری پذیرفتنی باشد. حکومت ها، چه مردم سالار و چه غیرمردم سالار، برای حفظ حاکمیت خود، از تمامی ابزارهای معقول و متعارف بهره می گیرند و در این مسیر حریم خصوصی شهروندان شان را نیز به پای اقتدار خود قربانی می کنند.
نمونه های بیشماری از نقض حریم خصوصی و حقوق شهروندی را به ویژه پس از 11 سپتامبر 2001 می توان در ایالات متحده و بسیاری از کشورهای اروپایی و غیر اروپایی مشاهده کرد. بنابراین، همواره و تقریباً در همه ی کشورها حفظ «نظم عمومی» و «امنیت ملی» در برابر حریم خصوصی ترجیح داده می شود، و هرگاه دولت ها بین حفظ نظم و امنیت جامعه و احترام به حریم خصوصی شهروندان مختار به انتخاب یکی از این دو گزینه شوند، تردیدی در انتخاب امنیت ملی و نقض حریم خصوصی به خود راه نمی دهند.
البته باید به این نکته هم توجه داشت که مسئولان در این کشورها معمولا تلاش می کنند برای اقناع افکار عمومی از کلامی مستدل و منطقی بهره برده و در به کارگیری اصطلاحات فنی و ظرائف تخصصی نهایت دقت را به عمل آورند تا ضمن هدایت و اقناع افکار عمومی، عموم شهروندان نیز در جهت همکاری با قانون گذاران و مسئولان رضایت کامل داشته باشند.
بدیهی است برخوردهای عصبی تند و شتابزده در این زمینه که با استفاده غیردقیق و غیرکارشناسانه از لغات و اصطلاحات فنی همراه شود نتیجه عکس به بار آورده و نه تنها در میان کارشناسان و نیروهای متخصص و فنی، بلکه در میان مردم هم واکنش منفی و مقاومت به وجود می اورد.
انتهای پیام/.
افشین فیروزمنش
ماهنامه تحلیلگران عصر اطلاعات
سلام. اگه امکانش هست می خواستم بدونم برای نوشتن این مقاله از چه منابعی استفاده شده؟
پاسخ وبلاگ نیوز:
با سلام
متأسفانه منابع این مقاله در اختیار ماهنامه تحلیلگران عصر اطلاعات قرار دارد و ما به آن دسترسی نداریم.
با تشکر