بررسی قوانین حکمرانی سایبری در دنیای غرب

به گزارش سایت خبری پرسون، در واقعیت اینترنت حتی کلان‌ترین مسائل جهانی را نیز تحت‌تأثیر قرار داده و حتی ماهیت آن‌ها را تغییر داده است. در همین راستا چالش‌های مهمی برای دولت‌ها ایجاد شده است. چالش‌هایی که به‌صورت کلان حکمرانی، امنیت، تجارت، اقتصاد و ... را به امری متفاوت برای دولت‌ها تبدیل کرده است.

حکمرانی سایبری به چه معناست؟

برای اینکه عبارت حکمرانی سایبری را مورد کندوکاو قرار دهیم نیاز است تا آن را بشناسیم. یکی از واژه‌های تشکیل‌دهنده این عبارت حکمرانی است. حکمرانی معادل کلمه انگلیسی governance است. این واژه بر نحوه و شیوه حکومت‌کردن در فضای مجازی دلالت دارد. در واقع رویه‌هایی که حکومت یا همان government برای اعمال حاکمیت در فضای مجازی؛ حکمرانی است.

دیگر واژه تشکیل‌دهنده این مفهوم، سایبر است. کلمه سایبر صفت یا پیشوندی برای اشاره به ارتباط با فناوری اطلاعات، واقعیت مجازی و رایانه و یا بیان ویژگی‌های دیگر آن است. در بین عموم زمانی که از سایبر سخن گفته می‌شود؛ معمولاً فضای مجازی به ذهن تداعی می‌شود. بااین‌حال این واژه معنایی فراتر داشته و همان گونه که گفته شد امور مربوط به فناوری اطلاعات، واقعیت مجازی و رایانه را در برمی‌گیرد.

به‌طورکلی واژه حکمرانی سایبری به حکمرانی در فضای سایبر اشاره دارد. بدین معنی که دولت بر فضای سایبری حکمرانی داشته باشد و از این طریق بتواند اهداف و ارزش‌های موردنظر خود را محقق کند. این اهداف و ارزش‌ها می‌تواند حفاظت از امنیت اطلاعاتی کشور، حفاظت از امنیت اطلاعات کاربران، ایجاد فضای وب امن برای کاربران، جلوگیری از سوء استفاده‌های سایبری و بسیاری موارد دیگر باشد. به همین دلیل دولت‌ها و حکومت‌ها قوانین و الزاماتی را در جهت حکمرانی سایبری خود وضع می‌کنند. در ادامه برخی از این قوانین و الزامات حکمرانی سایبری در کشور‌های مختلف را مرور و بررسی خواهیم کرد.

حکمرانی سایبری در ایالات متحده آمریکا

تمامی ارتباطات الکترونیکی در ایالات متحده توسط کمیسیون ارتباطات فدرال تنظیم می‌شود. ایالات متحده، مطابق با اصل آزادی بیان ذکر شده در متمم اول قانون اساسی، دارای حداقل مقررات محتوایی است. با این حال، این بدان معنا نیست که ایالات متحده هیچ مقرراتی برای اینترنت ندارد. به طور کلی سیاست‌گذاری‌های این کشور در خصوص فضای سایبر و اینترنت به دو دوره متفاوت قبل و بعد از سال ۲۰۰۹ تقسیم می‌شود. تا سال ۲۰۰۹، ایالات متحده با ایده همکاری بین‌المللی برای رفع نگرانی‌ها در فضای سایبری مخالف بود. این کشور با قطعنامه‌های حمایت شده روسیه در سازمان ملل متحد در مورد امنیت اطلاعات مخالف بود. با این حال، در سال ۲۰۰۹، سیاست ایالات متحده دستخوش تغییرات قابل‌توجهی شد و واشنگتن شروع به تعامل با جامعه بین‌المللی در مورد این موضوعات کرد.

دو عامل سبب می‌شد تا ایالات متحده با سیاست‌گذاری‌های سفت‌وسخت در فضای سایبر و همکاری‌های بین‌المللی در حوزه امنیت سایبری مخالفت کند. نخست آنکه این کشور از نظر فناوری در فضای سایبری برتر بود و می‌خواست آزادی عمل خود را در این حوزه حفظ کند. دوم، ایالات متحده در ظاهر حامی اصلی جریان آزاد اطلاعات در سراسر جهان بود. این کشور همواره مدعی است اینترنت ابزاری بسیار مهم در جهت تحقق جریان آزاد اطلاعات است.

در سال ۲۰۰۹ سیاست‌های دولت آمریکا در خصوص حاکمیت سایبری تغییر کرد. در این زمان تحولات جدیدی در امنیت اطلاعات شکل‌گرفته بود. همچنین ناامنی‌ها و حملات سایبری جدی رخ داده بود. از جمله این تهدید‌ها می‌توان حملات سایبری به دولت‌های استونی و گرجستان را نام برد. حمله به استونی وب‌سایت‌های دولتی این کشور و خدمات مهمی مانند بانکداری و ارتباطات را فلج کرده و نظم اجتماعی را به‌شدت تهدید کرد. علاوه بر این، بسیاری از گزارش‌های دولت و شرکت‌های امنیت سایبری ایالات متحده، موارد متعددی از حملات سایبری انجام شده توسط نهاد‌های خارجی در شبکه‌های اطلاعاتی آمریکا را برجسته کردند. با این توضیحات سیاست‌های آمریکا در قبال حکمرانی سایبری متفاوت از قبل شد. مثلاً در اقدامی دولت آمریکا «استراتژی بین‌المللی ایالات متحده برای فضای سایبری» را تنظیم و منتشر کرد که هدف از آن تعیین مسیری برای جامعه بین‌المللی برای همکاری با یکدیگر در فضای سایبری بود.

قانون‌گذاری برای اعمال حاکمیت سایبری

در سال ۲۰۲۱ رئیس‌جمهور آمریکا یکسری از قوانین و راهکار‌ها را در قالب «فرمان اجرایی بهبود امنیت سایبری کشور» تنظیم و منتشر کرد. این فرمان اجرایی بر ۱۱ محور اصلی در خصوص امنیت سایبری تأکید می‌کند. این محور‌ها شامل موارد سیاست‌گذاری، حذف موانع برای اشتراک اطلاعات تهدید، نوسازی امنیت سایبری دولت فدرال، افزایش امنیت زنجیره تأمین نرم‌افزار، تشکیل هیئت بررسی ایمنی سایبری، استانداردسازی یک کتاب راهنما برای پاسخگویی به آسیب‌پذیری‌ها و حوادث امنیت سایبری، بهبود تشخیص آسیب‌پذیری‌ها و حوادث امنیت سایبری در شبکه‌های دولت فدرال، بهبود قابلیت‌های تحقیق و اصلاح دولت فدرال، سیستم‌های امنیت ملی، تعریف واضح مفاهیم و مقررات عمومی می‌شود.

موضوعات مطرح شده تحت این محور‌ها بسیار گسترده است. در ادامه برخی از مهم‌ترین موارد و موضوعات اشاره شده را مرور خواهیم کرد.

جو بایدن در یکی از فرمان‌های ریاست جمهوری به دستگاه‌های مختلف بر لزوم مشارکت بخش خصوصی و دولت تأکید کرده است. او عنوان کرده که بخش خصوصی باید خود را با محیط تهدید در حال تغییر سازگار کند، اطمینان حاصل کند که محصولاتش ایمن کار می‌کنند و با دولت فدرال برای ایجاد فضای سایبری ایمن‌تر شریک شود.

در خصوص مدرن‌سازی امنیت سایبری دولت عنوان شده که برای همگام شدن با محیط تهدید سایبری پویا و پیچیده امروزی، دولت فدرال باید گام‌های قاطعی برای مدرن کردن رویکرد خود به امنیت سایبری بردارد. این گام‌ها شامل افزایش دید دولت فدرال به تهدید‌ها و درعین‌حال حفاظت از حریم خصوصی و آزادی‌های مدنی می‌شود. در این بخش بر متمرکز و ساده کردن دسترسی به داده‌های امنیت سایبری تأکید شده تا تجزیه‌وتحلیل برای شناسایی و مدیریت ریسک‌های این فضا ساده‌تر شود. به‌علاوه سرمایه‌گذاری در هر دو بخش پرسنل حرفه‌ای و فناوری مدرن مورد تأکید قرار گرفته است.

اهمیت افزایش سطح ایمنی نرم‌افزارهای کاربردی با همکاری مراکر علمی

یکی دیگر از مهم‌ترین دستورالعمل‌های ذکر شده در این سند، تأکید بر امنیت نرم‌افزار‌ها است. در این دستورالعمل ذکر شده که نرم‌افزار‌های تجاری موجود در بازار کاملاً قابل‌اعتماد نیستند؛ بنابراین مهم است که نرم‌افزار‌های مهم و حیاتی مورد ارزیابی و تجدیدنظر قرار گیرند. رئیس‌جمهور آمریکا تأکید کرده که باید با همکاری دانشگاه‌ها و بخش خصوصی استانداردها، ابزار‌ها و رویه‌ها مورد ارزیابی و توسعه قرار گیرند.

دیگر گام عملی که در این فرمان ذکر شده، تنظیم و استانداردسازی یک کتاب راهنمای عملی است. تنظیم کتاب ازاین‌جهت است که مسائلی که به‌عنوان آسیب‌پذیری امنیت سایبر در نظر گرفته می‌شوند، واکنش به آنها، رویه‌های مقابله و ... در بین سازمان‌های مختلف یکسان نیستند. از همین رو در این سند عنوان شده که وزیر امنیت داخلی باید با کمک نهاد‌ها و مسئولان مربوطه، مجموعه استانداردی از رویه‌های عملیاتی را ایجاد کرده و منتشر کند.

این فرمان اجرایی موارد مهم دیگری را نیز در برمی‌گیرد که ذیل همان ۱۱ محور اصلی دسته‌بندی می‌شوند. به طور کلی در خصوص شیوه حکمرانی سایبری در آمریکا، به ظاهر تأکید کمی بر ایجاد محدودیت‌ها شده است. در مقابل ایجاد رویه‌های قانونی مناسب، ارتقای ظرفیت‌های فنی، ارتقای ظرفیت‌های نرم‌افزاری، ایجاد تعاریف مشخص و مدون، ایجاد الزامات برای شرکت‌های مخابراتی و رسانه‌ای و ... مورد تأکید قرار گرفته‌اند.

مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا؛ گامی در جهت حکمرانی سایبری

مقررات عمومی حفاظت از داده‌ها شامل کل کشور‌های اتحادیه اروپا می‌شود. در کنوانسیون اروپایی حقوق بشر در سال ۱۹۵۰ ذکر شده «حق هرکسی است که زندگی خصوصی و خانوادگی‌اش، خانه و مکاتباتش مورد احترام قرار گیرد». بر این اساس، اتحادیه اروپا به دنبال تضمین حمایت از این حق از طریق قوانین بوده است. با پیشرفت فناوری دیجیتال و اختراع اینترنت، اتحادیه اروپا نیاز به حفاظت‌های مدرن را تشخیص داد؛ بنابراین در سال ۱۹۹۵ دستورالعمل حفاظت از داده‌های اروپا را تصویب کرد. در این دستورالعمل حداقل استاندارد‌های حفظ حریم خصوصی و امنیت داده‌ها ایجاد شده است.

پس از پیشرفت‌های روزافزون تکنولوژی مرجع حفاظت از داده‌های اروپا اعلام کرد که اتحادیه اروپا به رویکردی جامع در مورد حفاظت از داده‌های شخصی نیاز دارد. بر این اساس قانون GDPR در سال ۲۰۱۶ پس از تصویب پارلمان اروپا لازم‌الاجرا شد و از ۲۵ می ۲۰۱۸، همه سازمان‌ها ملزم به رعایت آن بودند.

هفت اصل حفاظتی مهم از داده‌ها در این قانون وجود دارد که شامل موارد زیر می‌شود:
۱. قانونمندی، انصاف و شفافیت: پردازش باید برای داده‌های قانونی، منصفانه و شفاف انجام گیرد.
۲. محدودیت هدف: داده‌ها باید برای اهداف قانونی که به صراحت در هنگام جمع‌آوری آن‌ها مشخص شده است پردازش شوند.
۳. به‌حداقل‌رساندن داده‌ها: باید تنها به‌اندازه‌ای که برای اهداف مشخص شده ضروری است، داده‌ها جمع‌آوری و پردازش شوند.
۴. دقت: داده‌های شخصی باید دقیق و به‌روز نگه داشته شوند.
۵. محدودیت ذخیره‌سازی: داده‌های شخصی را تنها تا زمانی که برای هدف مشخص شده لازم است، می‌توان ذخیره کرد.
۶. صداقت و محرمانه بودن: پردازش باید به‌گونه‌ای انجام شود که امنیت، یکپارچگی و محرمانه بودن را تضمین کند. مثلاً داده‌ها با استفاده از رمزنگار نگهداری شوند.
۷. پاسخگویی: کنترل‌کننده داده باید بتواند مطابقت پردازش داده‌ها با همه این اصول را نشان دهد.

قانون امنیت فناوری اطلاعات در آلمان

دولت آلمان در سال ۲۰۱۴ پیش‌نویس قانونی را تصویب کرد که گامی ملموس در جهت اجرای حکمرانی سایبری بود. این قانون به‌منظور بهبود امنیت سیستم‌های فناوری اطلاعات به کار گرفته شد. این قانون نقش مهمی را برای اداره فدرال امنیت اطلاعات در نظر گرفته است. به‌عنوان‌مثال این اداره امنیت محصولات و سیستم‌های فناوری اطلاعات موجود در بازار آلمان را می‌سنجد و نتایج را در صورت نیاز منتشر می‌کند. قانون امنیت فناوری اطلاعات آلمان الزامات سخت‌گیرانه‌ای را نیز برای ارائه‌دهندگان خدمات مخابراتی و رسانه‌ای ایجاد کرده است. مثلاً شرکت‌های مخابراتی باید امنیت اتصال کاربران را زیر نظر داشته باشند. همچنین وقتی متوجه می‌شوند که اتصال مشتری مورد سوءاستفاده قرار می‌گیرد، باید به مشتریان خود هشدار دهند. این شرکت‌ها باید طی یک خوداظهاری اطلاعات مربوط به امنیت سیستم‌ها و زیرساخت‌های فناورانه را به اداره فدرال امنیت اطلاعات ارائه دهند.

تاکنون سیستم حقوقی آلمان توانسته است مبارزه خوبی با مشکلات سایبری و جرایم سایبری انجام دهد. بااین‌حال، ازآنجایی‌که نظام حفظ حریم خصوصی داده‌های آلمان یکی از سخت‌گیرانه‌ترین‌ها در سراسر جهان است، مرز بین امنیت و آزادی در فضای سایبری چالش‌برانگیز شده است. با این وجود، آلمان برای دفاع از حاکمیت دیجیتال و امنیت داده‌های خود، یک رژیم حقوق سایبری قوی ایجاد کرده است.