فراموشی حق فراموشی

 چه بلایی قرار است بر سر داده‌‌‌های شما در آن حساب‌های کاربری که از طریق آن خط تلفن و با نام شما در پلتفرم‌‌‌های مختلف ایجاد شده بیاید؟ آیا می‌توان اطلاعات را حذف کرد یا احتمالا مالک بعدی این شماره تلفن، با کمی تلاش می‌تواند به حساب‌‌‌های پیشین شما دست پیدا کند؟ این مساله بار دیگر باب صحبت از یک حق نسبتا فراموش شده را برای کاربران ایرانی باز کرده است؛ «حق فراموش شدن.» این حق حالا به واسطه وضع قوانین و مقرراتی مانند آنچه اتحادیه اروپا در GDPR مورد توجه قرار گرفته، نزد اکثر پلتفرم‌‌‌های خارجی پذیرفته شده است. اما این حق هنوز در ایران آن‌طور که باید جدی گرفته نمی‌شود و شرکت‌های مالک پلتفرم‌‌‌ها به سادگی حاضر به دل‌‌‌کندن از داده‌‌‌های کاربران نیستند.

قبل از ثبت‌نام فکر کن

هر کاربر به فراخور سن، موقعیت و نیاز ممکن است در پلتفرم‌‌‌هایی عضویت داشته باشد که پس از چند سال تمایلی به باقی ماندن ردی از حضور خود در آن فضا نداشته باشد یا حتی نسبت به آن اطلاعاتی که از او در دسترس قرار می‌گیرد، نگران باشد. با الزام حفظ حریم خصوصی افراد، قانون این حق را برای فرد محفوظ دانسته که خواهان حذف اطلاعات خود از پلتفرم‌‌‌های مختلف فعال در سطح وب شود و پلتفرم‌‌‌ها نیز ملزم به آن هستند که آن دسته از اطلاعاتی را که در دسته داده‌‌‌های شخصی فرد قرار می‌‌‌گیرند، حذف کنند. اما ماجرا به همین سادگی نیست. گاهی موانعی سد راه شرکت‌ها در حذف این اطلاعات می‌‌‌شوند و گاهی نیز حذف اطلاعات، آن‌طور که به نظر می‌رسد به طور کامل انجام نمی‌شود. همین امر باعث شده تا حول موضوع رعایت این حق، اما و اگرهای زیادی مطرح شود.

از دو سال پیش «پروژه حق فراموش شدن» به اساس کار فعالیت یک وب‌سایت ایرانی تبدیل شده که بنیان‌گذاران آن می‌‌‌کوشند با افزایش شفافیت حول رعایت این حق در پلتفرم‌‌‌های مختلف ایرانی، هم در مسیر هدایت شرکت‌ها به پایبندی به این حق قدم بردارند و هم کاری کنند که کاربران پیش از ثبت‌‌‌نام و درج اطلاعات در یک وب‌سایت، با دید بازتری نسبت به برگشت‌‌‌پذیر بودن یا نبودن این عضویت فکر کنند. با استفاده از افزونه‌‌‌ای که این تیم طراحی کرده‌‌‌اند، کاربران می‌توانند پیش از عضویت در هر وب‌سایت، امکان حذف حساب کاربری (یا به اصطلاح دیلیت اکانت) در هر پلتفرم و میزان دشواری انجام آن در یک پلتفرم خاص را چک کنند و س‍پس تصمیم بگیرند. آمارهای این پروژه نشان می‌‌‌دهد که در این مدت حدود ۱۸۰ پلتفرم در سرویس «حق فراموش شدن» ثبت شده‌‌‌اند و میزان سختی حذف حساب کاربری در آنها، در چهار سطح مختلف (از غیرممکن تا ساده) مورد بررسی قرار گرفته است.

بر اساس تحلیل انجام شده توسط این تیم در ۱۲۶ مورد از ۱۸۰ پلتفرم ثبت شده، امکان حذف اکانت توسط کاربر عملا غیرممکن است. در ۴۲ پلتفرم، حذف حساب کاربری نیاز به ارسال پیام درخواست (تیکت) به پشتیبانی آن شرکت داشته است. در ۴ پلتفرم، امکان حذف اکانت در چند مرحله امکان‌‌‌پذیر است و تنها ۱۲ پلتفرم فرآیند ساده‌‌‌ای برای حذف حساب کاربری تعریف کرده‌‌‌اند. همین آمار اولیه به خوبی گویای آن است که وضعیت احترام به «حق فراموش شدن» در ایران تا چه اندازه وخیم است.

کدام پلتفرم‌‌‌ها امکان حذف اکانت دارند؟

با جست‌وجوی نام شرکت‌ها و سرویس‌‌‌های مختلف در بخش دایرکتوری این پروژه، می‌توان جزئیاتی از وضعیت در نظر گرفتن امکان حذف اطلاعات در آن پلتفرم را مشاهده کرد. مثلا جست‌وجوی نام دیجی‌‌‌کالا در این دایرکتوری نشان می‌‌‌دهد که اگرچه امکان حذف حساب کاربری در نظر گرفته شده، اما انجام آن در عمل بسیار سخت است؛ زیرا برای این کار لازم است فرد از طریق فرم «تماس با ما» تصویر کارت ملی را ارسال و فرم درخواست را پر کند.

اگرچه طبق نتایج این پروژه، آپارات، محصول صبا ایده در دسته سرویس‌‌‌هایی است که میزان دشواری حذف یک حساب کاربری در آن متوسط برآورد شده، اما فیلیمو دیگر محصول این شرکت امکانی برای حذف حساب کاربری ندارد. جست‌وجوی نام اسنپ، تپسی، دیوار، بازار، کارنامه، فیدیبو، زرین‌‌‌پال، ازکی، نماشا و... که همگی از پلتفرم‌‌‌های پرکاربرد و شناخته شده داخلی به حساب می‌‌‌آیند، نیز مصادف با نمایش این عبارت است: «غیرممکن. امکان حذف در این پلتفرم وجود ندارد.» با این حال مثلا اسنپ مدعی است که امکان حذف اطلاعات حسب درخواست کاربر را فراهم کرده است و کاربران با ثبت درخواست پشتیبانی می‌توانند این خواسته را عملی کنند. طبق توضیحاتی که تیم روابط عمومی اسنپ در اختیار «دنیای اقتصاد» گذاشته است: «کاربران اسنپ برای حذف حساب کاربری‌‌‌شان می‌توانند درخواست‌‌‌ خود را از طریق سوپراپلیکیشن ثبت کنند و تیم پشتیبانی پس از بررسی درخواست‌‌‌، در یک بازه زمانی ۱۴ روزه، حساب کاربری را حذف می‌‌‌کند. در ادامه نتیجه این درخواست از طریق ارسال پیامک به شماره تلفن متصل به حساب کاربری‌‌‌‌‌‌ به کاربر اعلام خواهد شد.»

سوالی که مطرح می‌شود آن است که اساسا با ثبت این درخواست و اعمال فرآیند حذف از سوی شرکت، داده‌‌‌های کاربران تا چه اندازه پاک می‌‌‌شوند؟ آیا این حذف به صورت کامل اتفاق می‌‌‌افتد یا صرفا با اعمال تغییراتی از داده‌‌‌های فرد «سلب هویت» می‌شود. طبق توضیحات روابط عمومی این شرکت، مشخص می‌شود که گویا حذف حساب کاربری در این سوپرآپ نیز آنچنان کامل نیست؛ مثلا عمق حذف اطلاعات در این پلتفرم به گونه‌‌‌ای است که با حذف حساب کاربری در «سوپراپلیکیشن»، حساب کاربری‌‌‌ در سرویس خودرو و سرویس اعتباری اسنپ‌‌‌پی، موجودی کیف پول، اطلاعات سفرها از جمله تاریخچه‌‌ سفرها و تراکنش‌‌‌های مالی حذف می‌‌‌شوند و امتیازهای اسنپ‌‌‌کلاب و تخفیف‌‌‌ها نیز صفر می‌‌‌شوند؛ اما سرویس‌‌‌های دیگر از جمله غذا، سوپرمارکت و … همچنان با همان حساب کاربری در دسترس هستند. تیم اسنپ در ادامه توضیحات خود تاکید کرد: «حساب کاربری حذف شده‌‌‌ قابل‌‌‌برگشت نیست، اما کاربران می‌توانند با همان شماره‌‌‌ تلفن حساب جدیدی بسازند و دوباره از خدمات اسنپ استفاده کنند.»

ادامه بررسی این دایرکتوری نشان می‌‌‌دهد که گویا وضعیت احترام به «حق فراموشی» در مورد شبکه‌‌‌های اجتماعی داخلی تا حدی بهتر است. جست‌وجوی نام سه پیام‌رسان ایتا، بله و سروش پلاس در این دایرکتوری نشان می‌‌‌دهد که امکان حذف حساب کاربری در این پلتفرم‌‌‌ها وجود دارد و فرآیند آن نیز ساده است. امکان حذف حساب کاربری در روبیکا، دیگر شبکه اجتماعی بومی نیز فراهم شده، اما طبق اطلاعات ارائه شده، فرآیند حذف اطلاعات در این پلتفرم در سطح «دشوار» برآورد شده است. بر اساس توضیحات ارائه شده، در نسخه جدید اپلیکیشن موبایل روبیکا، در این برنامه امکان حذف حساب‌‌‌کاربری بعد از گذشت ۷ روز از نصب و لاگین توسط نرم‌افزار اندرویدی وجود دارد. اما هنوز در نسخه دسکتاپ (وب) این فرآیند میسر نیست. با تمام اینها نمی‌توان درستی ادعای حذف کامل اطلاعات در این پلتفرم‌‌‌ها را تایید یا رد کرد.

باید به نهادهای بالادستی پاسخ دهیم

ارزشمندی داده برای یک شرکت و پتانسیل‌‌‌های زیادی که می‌تواند برای کمک به بهبود طراحی محصول، بازاریابی و فروش سرویس داشته باشد، بر کسی پوشیده نیست. همین مساله باعث شده تا در فضای فعلی که قانون چندان دست و پای کسب و کارها را در جمع‌‌‌آوری داده از کاربران نبسته است، حداکثر داده ممکن از کاربر جمع‌‌‌آوری شود. از سوی دیگر نیز شرکت‌ها رغبت چندانی برای دل‌‌‌کندن از این داده‌‌‌ها ندارند و به این ترتیب تمایل کاربران برای پاک کردن ردپای دیجیتال خود و بهره‌‌‌مندی از حق فراموشی، چندان جدی گرفته نمی‌شود. اما وقتی پای صحبت شرکت‌ها می‌‌‌نشینیم، مشخص می‌شود که گویا این ارزشمندی، تنها دلیل مقاومت در برابر ارائه گزینه «دیلیت اکانت» نیست و عوامل دیگری نیز در این مساله دخیلند.

زرین‌‌‌پال یکی از نمونه‌‌‌هایی است که اگرچه در حال کار روی فراهم کردن امکانی برای حذف حساب کاربری طی ثبت درخواست است، اما تاکید دارد که عملا قادر به حذف کامل اطلاعات نیست. این شرکت پاسخگویی به نهادهای بالادستی و الزامات قانونی تعریف شده را از جمله عواملی می‌‌‌داند که باعث شده این شرکت ناچار به نگهداری داده‌‌‌ها تا ۱۰ سال باشد و آن‌طور که مشخص است، این حساسیت برای اکثر شرکت‌هایی که سرویس مالی ارائه می‌‌‌دهند صدق می‌‌‌کند.

مصطفی امیری، مدیرعامل زرین‌‌‌پال در یک مصاحبه با اشاره به موانع قانونی موجود کشور در مسیر اجرای کامل حق فراموش شدن در پلتفرم‌‌‌های داخلی تاکید می‌‌‌کند: اساسا در صنعت مالی، قانون پلتفرم‌‌‌ها و سرویس‌‌‌دهندگان را ملزم کرده تا به مدت ۱۰ سال، تمام تراکنش‌‌‌ها و سابقه رخدادهای مرتبط با هر کاربر را نگهداری کند تا هم رسیدگی‌‌‌ مالیاتی لازم در این مدت انجام شود و هم اینکه هر زمان مقام قضایی حسب شکایتی خواستار بررسی یک حساب شد، امکان ارائه جزئیات آن حساب وجود داشته باشد. وی معتقد است که همین الزام باعث می‌شود شرکت‌های فعال در این حوزه تا حد ممکن، در مقابل تقاضای کاربر برای حذف یا بی‌‌‌نام کردن اطلاعات مقاومت کنند تا از دردسرهای آتی جلوگیری شود. طبق اظهارات این فعال صنعت فین‌تک، گویا حذف اطلاعات حتی پس از گذشت ۱۰سال نیز منوط به آن است که هیچ شکایتی مرتبط با آن کاربر ثبت نشده باشد و وضعیت مالی حساب وی با شرکت سرویس‌‌‌دهنده نیز در حالت تسویه کامل باشد.

آن‌طور که کارشناسان حقوقی می‌‌‌گویند، گویا صنعت مالی تنها حوزه‌‌‌ای نیست که برای حذف اطلاعات در آن حدود زمانی تعریف شده و برای نگهداری برخی اطلاعات در مجموعه‌‌‌هایی مانند اپراتورهای تلفن همراه یا پیام‌رسان‌‌‌ها نیز حداقل زمانِ ۶ماه در نظر گرفته می‌شود. محمد جعفر نعناکار، حقوقدان، در تشریح این موضوع به «دنیای اقتصاد» می‌‌‌گوید: با وجود محدودیت‌‌‌های زمانی تعریف شده برای حوزه‌‌‌های خاص، هیچ‌‌‌کدام از این محدودیت‌‌‌ها مانعی در برابر آن نیست که شما به عنوان یک کاربر، خواهان حذف اطلاعات پروفایل خود از یک پلتفرم باشید و اگر چنین امکانی از سوی پلتفرم یا سرویس‌‌‌دهنده در اختیار کاربر قرار نگیرد، این امکان وجود دارد تا شخص از طریق مراجع قضایی وارد عمل شود و درخواست حذف اطلاعات کند.

نعناکار در پاسخ به این سوال که آیا ناشناس کردن اطلاعات یا مخفی کردن آنها از دید عموم، خلاف حق فراموشی است یا خیر می‌‌‌گوید: داده‌‌‌هایی که می‌توان حق فراموشی را برای آنها قائل شد، در دو دسته قرار می‌‌‌گیرند: یکی داده‌‌‌های پروفایلی کاربر و دیگری داده‌‌‌هایی که حاصل فعالیت او در آن پلتفرم هستند. وی تاکید می‌‌‌کند: «چنانچه کاربر خواهان حذف داده‌‌‌اش از یک پلتفرم باشد، شرکت مالک آن پلتفرم موظف است تمام آن را حذف کند و نمی‌تواند بدون اجازه کاربر، بخشی از داده را برای استفاده‌‌‌های بعدی (شامل تحلیل داده) مورد بهره‌‌‌برداری قرار دهد؛ زیرا در اغلب موارد بر اساس قانون حمایت از حقوق مولفین، مصنفین و هنرمندان و همچنین قانون حمایت از پدیدآورندگان نرم‌‌‌افزارهای رایانه‌‌‌ای، حمایت از مترجمین یا قانون مرتبط با ثبت علائم تجاری، چنین داده‌‌‌هایی در دسته مواردی قرار می‌‌‌گیرند که مالکیت بر آن مترتب است و اگر مالک تقاضای حذف داده داشته باشد، میزبان باید به حق مالک احترام بگذارد و دستور وی را اجابت کند.»

این حقوقدان معتقد است: «اکنون و طبق قوانین موجود، مفهوم حریم خصوصی و صیانت از داده تا حدی مبهم است. در واقع به صورت صریح مشخص نشده که چه داده‌‌‌هایی را در دسته داده‌‌‌های خصوصی قرار دهیم؛ چگونه از آنها محافظت کنیم؛ حدود دسترسی و پردازش آنها چگونه باشد؛ مرجع تخصصی مسوول این موضوع کیست و … در نتیجه جا دارد که قانونگذار توجه جدی‌‌‌تری به این حوزه داشته باشد.»

کار نشد ندارد

با تمام موانعی که ذکر شد، اما کماکان این الزام قابل اجراست؛ کما اینکه بسیاری از پلتفرم‌‌‌های خارجی اکنون این حق را به رسمیت شناخته و برای رفع چالش‌‌‌های موجود راهکاری اندیشیده‌‌‌اند. معین اسدزاده، برنامه‌‌‌نویس و از فعالان حوزه آی‌‌‌تی در گفت‌وگوی خود با «دنیای اقتصاد» به تشریح این بعد از مساله پرداخته و می‌‌‌گوید: یکی از مهم‌ترین گام‌‌‌هایی که پلتفرم‌‌‌ها و شرکت‌های ارائه‌‌‌دهنده خدمات دیجیتال باید در این مسیر بردارند آن است که تا جای ممکن، دیتای غیرضروری از کاربر دریافت نکنند. این مساله هم از بعد حفظ امنیت اطلاعاتی کاربر مهم است و هم مسوولیت پلتفرم در قبال فراهم کردن راهکار حذف اطلاعات را تا حدی سبک می‌‌‌کند. وی در ادامه می‌‌‌افزاید: از سوی دیگر، پلتفرم‌‌‌ها باید خود را ملزم بدانند که قوانین و مقررات جمع‌‌‌آوری و حفظ داده‌‌‌های کاربران را با بیانی ساده اما دقیق، در اختیار کاربر قرار دهند. به گونه‌‌‌ای که فرد با مطالعه این اسناد بتواند کاملا در جریان این قرار بگیرد که چه داده‌‌‌ای از او دریافت شده و در چه مواردی و چگونه قرار است از آن استفاده شود. به اعتقاد این کارشناس در میان اطلاعاتی که از حضور و فعالیت کاربر در یک پلتفرم ایجاد می‌شود، همواره داده‌‌‌هایی وجود دارد که ثبت و نگهداری آنها کمکی به سیاستگذار یا مجری قانون نمی‌‌‌کند و معمولا درخواستی از سوی نهادهای رسمی برای بررسی این داده‌‌‌ها دریافت نمی‌شود. مثلا می‌توان داده‌‌‌ حاصل از ردیابی فعالیت کاربر یا داده‌‌‌های تحلیلی از مدل فعالیت وی را در این دسته گنجاند. اسدزاده تصریح می‌‌‌کند: بهتر است پلتفرم‌‌‌ها چنین داده‌‌‌هایی را بعد از گذشت یک مدت زمان مشخص، به حالت ناشناس (unknown) که هویت مالک آن قابل تشخیص نیست تبدیل کنند تا به این ترتیب ریسک افشای اطلاعات خصوصی کاربران و باقی‌‌‌ ماندن ردی از فعالیت آنها در فضای مجازی به حداقل برسد. اسد‌‌‌زاده تاکید می‌‌‌کند که این رویکرد را می‌توان حتی در مورد داده‌‌‌های حساس‌‌‌تری که از دید قانون‌گذار، مدت زمان مشخصی برای نگهداری و ارائه آنها تعریف شده نیز اجرا کرد و به محض طی شدن بازه زمانی مثلا ۱۰ ساله، داده را ناشناس کرد.

با تمام اینها، اگر شما نیز به عنوان یک کاربر دغدغه دارید تا پلتفرم‌‌‌ها احترام بیشتری به این حق شما بگذارند، می‌توانید نقش خود را در مطالبه‌‌‌گری برای این حق ایفا کنید. در همین راستا، از حدود یک سال پیش کارزاری با عنوان «حق فراموش شدن» نیز تعریف شده است که بر لزوم رعایت این موضوع در مورد کاربران ایرانی تاکید می‌‌‌کند. این اقدام در واقع یک کنش مدنی برای جلب نظر سیاستگذار به موضوع فراهم شدن امکان حذف اطلاعات کاربران در پلتفرم‌‌‌هاست.