23 شهریور
حقوقی

آیا کد ملی افراد، حریم خصوصی محسوب می‌شود؟

Posted by author-avatar
۰

تعریف ارائه شده از حریم شخصی

حریم شخصی یا خصوصی این امکان را برای افراد فراهم می‌کند تا از مداخلات غیرمجاز در زندگی خود جلوگیری کنند و برای دیگران مرزی قائل شوند. حریم خصوصی را می‌توان یک حق انسانی دانست که در صورت رعایت و حفظ آن، افراد یک جامعه، امنیت و آرامش را تجربه می‌کنند.

به زبانی ساده‌تر، حریم خصوصی هر فرد، اطلاعات و زندگی شخصی اوست. زیرا هر فرد دارای اطلاعاتی ارزشمند است که دسترسی غیرمجاز افراد به آنها می‌تواند زمینه برهم خوردن آرامش فرد و قرارگیری وی در معرض آسیب‌های اجتماعی و مالی را فراهم کند. در یک جامعه بزرگ، تنها به واسطه تعیین حریم خصوصی است که افراد می‌توانند برای ارتباطات خود با افراد و دنیای بیرون، حد و مرزی معین کنند و مانع از آن شوند که اطلاعات آنها از سوی دیگران اعم از دولت، سازمان، شرکت‌ها و اشخاص حقیقی کنترل گردد.

لازم به ذکر است که حریم خصوصی تنها مختص به افرادی خاص نیست و کلیه افراد، گروه‌ها، سازمان‌ها و غیره را شامل می‌شود. تاکنون بیش از ۱۳۰ کشور، در گروه کشورهای حمایت‌کننده قوانین مرتبط با حفظ حریم خصوصی قرار گرفته‌اند و از این قوانین پیروی می‌کنند.

حوزه‌های مختلف حریم خصوصی افراد

حریم خصوصی افراد دارای حوزه‌های مختلفی است و هر فرد، شرکت، فرهنگ یا کشور از تعریف خاصی از حریم شخصی برخوردار است که ممکن است دارای جنبه جسمی و روحی باشد. شرایطی از قبیل شرایط جسمانی، بیماری‌های خاص و خاطرات، به این جنبه مرتبط هستند. جنبه دیگر حریم خصوصی دربرگیرنده روابط خانوادگی فرد است که از مورد قبلی وسعت بیشتری دارد و گاهی روابط اجتماعی فرد را نیز تحت الشعاع قرار می‌دهد.

در مقابل اطلاعاتی نیز با جنبه عمومی و اجتماعی بیشتری هستند که مواردی چون رشته تحصیلی، ملیت، تفریحات، مشخصات ظاهری و شغل فرد را شامل می‌شوند و تعیین آنها به عنوان حریم خصوصی به تشخیص خود فرد برمی‌گردد. براساس توضیحات بالا دسته‌بندی خاصی را نمی‌توان برای حریم خصوصی قائل شد اما با این حال، حریم خصوصی در کل به دو دسته اصلی زیر تقسیم می‌شود:

حریم خصوصی جسمانی افراد

حریم خصوصی جسمانی را می‌توان عدم امکان تجاوز افراد به خلوت شخصی فردی و بر هم زدن آرامش و امنیت او دانست. در برخی از کشورها برای این نوع از حریم خصوصی، قوانینی تعیین شده است. برای نمونه یکی از این قوانین، رعایت فاصله اشخاص با یکدیگر است که این قانون تحت عنوان فاصله شخصی (Personal Space)  معرفی می‌شود.

حریم خصوصی اطلاعاتی افراد

منظور از حریم خصوصی اطلاعاتی همان حفاظت از داده‌هاست که مواردی چون جمع‌آوری و نگهداری داده و اطلاعات دیجیتال یا غیردیجیتال داده‌ها را شامل می‌شود که این داده‌ها، اطلاعاتی مانند اسناد، مدارک شناسایی، فایل‌های دیجیتالی شخصی، امضای دیجیتال، رمز عبور و… هستند.

این روزها باتوجه به پیشرفت فناوری و انجام بیشتر امور در فضای اینترنتی، حریم شخصی دیجیتالی افراد اهمیت مضاعفی پیدا نموده‌است. زیرا در موارد غیر دیجیتال حفظ امنیت راحت‌تر امکان‌پذیر است. به عنوان مثال افراد می‌توانند با قرار دادن اسناد و مدارک غیر دیجیتال در یک گاوصندوق، امنیت مطلوبی را برای آنها فراهم کنند اما در رابطه با اسناد دیجیتال و اطلاعاتی که در فضای اینترنت قابل انتشار هستند کار دشوارتر است.

کدملی و حریم خصوصی

چه دلایلی سبب اهمیت حفظ حریم خصوصی افراد می‌شود؟

تصور کنید روزی گوگل نیز همچون فیسبوک اقدام به افشای اطلاعات شخصی افراد به سایر سازمان‌ها نماید. در این شرایط تمامی اطلاعات شخصی افراد توسط سازمان مورد نظر قابل دستیابی خواهد بود. حال اگر ایمیل شخصی شما از سوی آن سازمان به منظور ارسال و دریافت اطلاعات غیرقانونی استفاده شود چه اتفاقی می‌افتد؟

اما اینترنت نیز با وجود خطراتی که ممکن است گاهی برای حریم خصوصی افراد به همراه داشته باشد با قوانینی که در نظر گرفته است امنیت خوبی را توانسته برای اطلاعات شخصی افراد تامین کند. لذا به این صورت نیست که شرکت‌های ارائه‌دهنده سرویس در اینترنت به راحتی قادر به انتشار اطلاعات شخصی کاربران باشند. همچنین شرکت‌های بزرگ، در مقابل اطلاعات کاربران، تعهدات بسیاری دارند و به این قوانین و تعهدات پایبند هستند.

برای حفظ حریم خصوصی افراد در اینترنت چه قوانینی وضع شده‌است؟

در بسیاری از کشورها، به منظور حفظ حریم خصوصی افراد قوانینی مانند کمیسیون تجارت فدرال (FTC) برای تجارت منصفانه و عدم فریب کاربران وجود دارد؛ این کمیسیون در زمینه حریم خصوصی، تنظیم‌کننده اصلی است و برای شرکتهای نقض‌کننده این قوانین، اقداماتی اجرایی به همراه دارد. این قوانین عدم رعایت سیاست‌های حریم خصوصی در داده‌های ارسال شده از سوی کاربران و عدم محافظت مناسب از اطلاعات شخصی را شامل می‌شود.

از دیگر قوانین مرتبط با این موضوع  می‌توان به مواردی مانند قانون کلاهبرداری و سوءاستفاده رایانه‌ای (CFAA)، حفظ حریم خصوصی ارتباطات الکترونیکی (ECPA) و غیره نیز اشاره نمود.

انتشار کدملی

آیا کدملی افراد واقعا حریم خصوصی به حساب می‌آید؟

«شیوه‌نامه تشخیص و تفکیک اطلاعات مربوط به حریم خصوصی و اطلاعات شخصی از اطلاعات عمومی» مصوبه شماره ۲۴۶۲۹۴ مورخ ۱۳۹۸/۹/۱۱کمیسیون انتشار و دسترسی آزاد به اطلاعات، کد ملی افراد، از جمله اطلاعات حریم خصوصی آن‌ها به حساب نمی‌آید و انتشار آن‌ها مصداق تجاوز به حریم خصوصی نیست و منع قانونی ندارد.
این شیوه‌نامه که بر اساس ماده ۱۸ قانون انتشار و دسترسی آزاد به اطلاعات مصوب ۱۳۸۷ و آیین‌نامه‌های اجرایی آن، در تاریخ ۱۳۹۷/۷/۲۹ به تصویب کمیسیون انتشار و دسترسی آزاد به اطلاعات رسیده، بر اساس تبصره ۲ ماده ۱۸ قانون انتشار و دسترسی آزاد به اطلاعات که مقرر می‌دارد مصوبات کمیسیون پس از تأیید رئیس‌جمهور لازم‌الاجرا است در تاریخ ۱۳۹۸/۹/۲ به تأیید رئیس محترم جمهور رسیده است.
کاری که در این شیوه‌نامه انجام شده است، اطلاعات شخصی از اطلاعات محرمانه جدا شده و مصادیق آن هم بیان شده است.

مصادیق اشاره شده در قانون

طبق این شیوه‌نامه، اصلی‌ترین مصادیق حریم خصوصی این موارد هستند (این نکته مهم است که در مورد حریم خصوصی دیگر این موضوع مطرح نیست که این اطلاعات قانونی بدست آمده یا غیر قانونی. در هر صورت حریم خصوصی هستند و انتشار آن‌ها جرم است)

  1. اطلاعات داخل منزل اشخاص
  2. اطلاعات داخل گوشی تلفن
  3. اطلاعات موجود در رایانه افراد
  4. اطلاعات راجع به کودکان از جمله عکس، فیلم یا صوت یا سوابق آن‌ها
  5. اطلاعات راجع به اختلافات و دعاوی خانوادگی
  6. اطلاعاتی که در نتیجه شنود یا نظارت الکترونیکی از افراد تهیه شده است
  7. اطلاعاتی که در نتیجه ورود بدون اذن به منزل یا مکان خصوصی تهیه شده است
  8. اطلاعات داخل کمدها و کشوهای محل کار در صورتی که مکان کار خصوصی باشد یا کلید آنها در اختیار فرد قرار گرفته باشد
  9. اطلاعات (اعم از عکس، متن، جدول و غیره) متعلق به یک فرد که به طور عمومی منتشر یا افشا نشده است. (این مورد هم شامل کد ملی نمی‌شود، چون سایت روزنامه رسمی کشور این اطلاعات را به صورت عمومی منتشر کرده است)
  10. اطلاعاتی که از طریق دوربین‌های نصب شده در اماکن عمومی، میادین، معابر و جاده‌ها درباره افراد تهیه می‌شود.
  11. اطلاعاتی که از سوی مخبران و افشاگران، درباره افراد به مؤسسات عمومی گزارش می‌شود.
  12. اطلاعاتی که مراجع نظارتی همانند سازمان بازرسی کل کشور، دیوان محاسبات کشور، حراست‌ها و… درباره افراد تهیه می‌کنند.
  13. اطلاعاتی که توسط مقامات امنیتی از افراد تهیه شده است.

اطلاعات شخصی، چه اطلاعاتی هستند؟

در ادامه شیوه‌نامه، مصادیق اطلاعات شخصی بیان می‌شود که اطلاعات هویتی یکی از آن‌هاست:
۱. اسم مستعار
۲.ساعت، روز و ماه تولد
۳.شماره شناسنامه یا کارت ملی، محل صدور شناسنامه، شماره مسلسل و سری شناسنامه مشخصات بستگان نزدیک افراد از جمله والدین، همسر، فرزندان، برادر و خواهر، عروس و داماد و محل تولد و اقامت آنان
۴.وضعیت فرزند خواندگی
۵.وضعیت تاهل یا تجرد
۶.عکس افراد
۷.اطلاعات تغییر جنسیت
۸.داده‌های چهره نگاری
۹. آثار انگشتان افراد
۱۰.گروه خون
۱۱.مشخصات ژنتیکی
۱۲.شماره پروانه اقامت یا گذرنامه
۱۳. فیلمی که بدون اذن یا اجازه فرد از وی تهیه شده است
۱۴. اطلاعات راجع به ازدواج، طلاق، فسخ نکاح یا رجوع یا بذل مدت
۱۵. هویت اشخاص اهدا‌کننده و دریافت‌کننده جنین
۱۶. اطلاعات مذکور در دفاتر ثبت کل وقایع و اسناد سجلی
۱۷. عکس، فیلم و متن و صدای کودکان
۱۸. کپی یا رونوشت شناسنامه، گذرنامه و سایر اسناد و مدارک مذکور در بالا.

چه استثنائاتی برای داده‌های شخصی وجود دارد؟

البته استثنائاتی برای این داده‌های هویتی وجود دارد که از مصادیق داده‌های شخصی به حساب نمی‌آیند:
۱. داده‌های راجع به هویت اشخاص حقوقی (شرکت‌ها، موسسات، سازمانهای مردم‌نهاد و غیره)
۲. نام و نام خانوادگی افراد
۳. سال و استان محل تولد
۴. کد پستی، آدرس و شماره تلفن محل کار عمومی
۵. عکس پرسنلی

کدملی از داده‌های محرمانه نیست، اما شخصی هست! چرا آن را منتشر می‌کنید؟

در پاسخ باید گفت که همه اطلاعات شخصی تا زمانی اجازه انتشار ندارد که خود فرد، اجازه انتشار آن‌ها را بدهد. در مواردی که افراد اجازه انتشار عمومی را بدهند، دیگر محدودیتی در انتشار داده‌های شخصی نیست.

افرادی که شرکت ثبت می‌کنند، داده‌ها و اطلاعاتی را از خود به روزنامه رسمی می‌دهند که آن را به صورت عمومی منتشر کند. یکی از این اطلاعات، کد ملی است. روزنامه رسمی هم با انتشار عمومی آگهی‌های افراد، کد ملی‌هایی که در آگهی هستند را از زمره اطلاعات شخصی بیرون می‌آورد.

نکته آخر هم اینکه شیوه‌نامه انتشار و دسترسی آزاد به اطلاعات، در ماده بند دوم، ماده هشتم به صراحت بیان می‌کند که:
ماده۸ ـ اطلاعات و داده‌های اقتصادی زیر در زمره اطلاعات و داده‌های شخصی محسوب نمی‌شود:
۱. اطلاعات عضویت در هیات مدیره بنگاه‌های اقتصادی
۲. اطلاعات کلیه پرداخت‌های اشخاص به مؤسسات عمومی
۳. مجوز‌های کسب و کار صادره از موسسات عمومی یا خصوصی (با رعایت شیوه‌نامه انتشار و دسترسی آزاد به اطلاعات مجوزهای دولتی)
به عبارت دیگر عضویت افراد به عنوان هیات مدیره شرکت‌ها محرمانه نیست و انتشار آن منع قانونی ندارد.

انتهای پیام/ منبع: روزنامه نگاری الکترونیک به نقل از رسمیو

16 شهریور
مدیریت استراتژیک, مدیریت سازمان

مدیریت و حاکمیت هویت چیست و چرا سازمان‌ها به آن نیاز دارند؟

Posted by author-avatar
۰
حمیدرضا تائبی مدیریت و حاکمیت هویت چیست و چرا سازمان‌ها به آن نیاز دارند؟
مدیریت و حاکمیت هویت (IGA سرنام Identity Governance & Administration) یک چارچوب مدیریتی است که برای شناسایی، کنترل و محافظت از هویت افراد در سازمان استفاده می‌شود. IGA شامل مجموعه‌ای از رویه‌ها، سیاست‌ها و ابزارهایی است که برای اطمینان از این که افراد مجاز به منابع سازمان دسترسی دارند استفاده می‌شود.

مدیریت و حاکمیت هویت چیست؟

مدیریت و حاکمیت هویت، یک رویکرد استراتژیک برای مدیریت و کنترل هویت‌ها، دسترسی‌ها و سیاست‌های امنیتی در سازمان‌ها است. هدف اصلی IGA، اطمینان حاصل کردن از این موضوع است که دسترسی‌ها به منابع اطلاعاتی، سیستم‌ها و برنامه‌ها، بر اساس سطح دسترسی مجاز و نیازهای کاربران تعیین می‌شود. IGA بر سه رکن کلیدی زیر تاکید زیادی دارد:

  • مدیریت هویت (Identity Management): این مفهوم به ایجاد، مدیریت و حفاظت از هویت کاربران در سازمان اشاره دارد. این فرآیند شامل ثبت‌نام کاربران، اختصاص شناسه‌های منحصربه‌فرد، تعیین نقش‌ها و مجوزها، مدیریت رمز عبور و سیاست‌های امنیتی مربوط به هویت کاربران است.
  • مدیریت دسترسی (Access Management): این ویژگی مربوط به تعیین و کنترل دسترسی کاربران به منابع سازمانی است که شامل اعمال سیاست‌ها و مجوزهای دسترسی، مدیریت چرخه حیات دسترسی (از ساخت تا حذف حساب‌های کاربری) و اجرای سیاست‌ها و محدودیت‌های امنیتی است.
  • حاکمیت (Governance): این رویکرد به مدیریت کنترل‌ها، رویه‌ها و فرآیندهای مدیریت هویت و دسترسی مرتبط است. هدف اصلی حاکمیت، اطمینان حاصل کردن از این موضوع است که سیستم‌ها و فرآیندهای مدیریت هویت و دسترسی، با قوانین و مقررات سازگاری دارند و استانداردهای امنیتی را رعایت می‌کنند.

با استفاده از معماری IGA، سازمان‌ها قادر به انجام کارهای زیر خواهند بود:

  •    هویت کاربران را به‌شکل موثری مدیریت کنند و اجازه ندهند هویت‌های تکراری یا ناشناس ساخته شوند.
  •    سیاست‌ها و مجوزهای دسترسی را به‌صورت متمرکز تعیین و کنترل کنند.
  •    دسترسی‌ها را بر اساس نیازها و شرح وظایف تعیین کنند.
  •    ریسک‌های امنیتی را کاهش دهند و از زیرساخت‌ها در برابر تهدیدات داخلی و خارجی محافظت کنند.
  •    حصول اطمینان از پایبندی به قوانین، مقررات و استانداردهای مرتبط با حفظ امنیت و حریم خصوصی.

مدیریت و حاکمیت هویت چه مزایایی در اختیار سازمان‌ها قرار می‌دهد؟

IGA یک ابزار مهم برای اطمینان از امنیت سازمان است. با استفاده از IGA، سازمان‌ها می‌توانند خطرات مربوط به هویت را کاهش دهند و از دسترسی غیرمجاز به منابع جلوگیری کنند. علاوه بر این، IGA می‌تواند به سازمان‌ها کمک کند با رعایت مقررات کشوری یا بین‌المللی با جریمه‌های سنگین روبه‌رو نشوند.

مجموعه‌  فعالیت‌هایی را که برای اطمینان از امنیت هویت مورد استفاده قرار می‌گیرند بررسی کنیم. این فعالیت‌ها به‌شرح زیر هستند:

  •     ‌شناسایی و مدیریت هویت‌ها: این فرآیند شامل شناسایی تمام هویت‌هایی است که به سیستم‌ها و منابع سازمان دسترسی دارند و همچنین مدیریت دسترسی این هویت‌ها به منابع.
  •    کنترل دسترسی: این فرآیند شامل اعمال سیاست‌های دسترسی به منابع برای اطمینان از این موضوع است که افراد فقط به منابعی که نیاز دارند دسترسی دارند.
  •    نظارت بر هویت: این فرآیند شامل نظارت بر فعالیت‌های هویت (کارهای انجام‌شده توسط کاربر) برای شناسایی فعالیت‌های مشکوک است.
  •    پاسخ به حوادث: این فرآیند شامل پاسخ به حوادث مثل دسترسی غیرمجاز یا سوء‌استفاده از هویت است.

IGA یک چارچوب پیچیده است که نیاز به درک عمیقی از امنیت و هویت دارد. با این حال، IGA ابزار ارزشمندی است که می‌تواند به سازمان‌ها کمک کند تا امنیت خود را بهبود بخشند و الزامات مقرراتی را برآورده کنند:

  •      کاهش خطرات مربوط به هویت: IGA می‌تواند خطرات مربوط به هویت مانند دسترسی غیرمجاز، سوء‌استفاده از هویت و حملات فیشینگ را کاهش دهد.
  •      بهبود مدیریت هزینه‌ها: IGA می‌تواند به سازمان‌ها کمک کند تا هزینه‌های مربوط به امنیت را کاهش دهند.
  •      بهبود تجربه کاربر: IGA می‌تواند تجربه کاربری را با بهبود فرآیندهای مدیریت هویت و دسترسی بهبود ببخشد.

گردش کار پیاده‌سازی سیستم‌های IGA

پیاده‌سازی یک سیستم مدیریت و حاکمیت هویت شامل مراحل زیر است:

  • تحلیل نیازها: در مرحله تحلیل نیاز‌ها، نیازهای سازمان در حوزه مدیریت هویت و دسترسی تحلیل می‌شوند که شامل شناسایی موارد استفاده، الزامات امنیتی، قوانین و مقررات قابل اجرا و سیاست‌های سازمان است. این تحلیل کمک می‌کند تا نیازهای دقیق سازمان مشخص شوند و یک استراتژی دقیق پیاده‌سازی مشخص شود.
  • طراحی سیستم: در این مرحله، ساختار و طراحی سیستم IGA بر اساس نیازها و استراتژی مشخص‌شده تعیین می‌شود که شامل تعریف فرآیندها، نقش‌ها، مجوزها و سیاست‌های دسترسی است. همچنین، تعیین فناوری‌های مورد استفاده برای پیاده‌سازی سیستم نیز در این مرحله انجام می‌شود.
  • پیاده‌سازی و تنظیمات: پس از طراحی، سیستم IGA به‌شکل عملی پیاده‌سازی می‌شود که شامل نصب و پیکربندی نرم‌افزارهای مورد نیاز برای سیستم IGA است. همچنین، اطمینان حاصل می‌شود که سیستم با سیاست‌ها و قوانین سازمان سازگاری دارد و به‌درستی کار می‌کند.
  • اطلاعات‌دهی و انتقال داده‌ها: در این مرحله، اطلاعات مربوط به هویت‌ها، نقش‌ها، مجوزها و سیاست‌ها به سیستم IGA منتقل می‌شوند. این فرآیند ممکن است شامل انتقال اطلاعات از سیستم‌های قبلی، وارد کردن داده‌ها به سیستم جدید و تطبیق داده‌ها با ساختار جدید باشد.
  • آزمون و ارزیابی: در این مرحله، سیستم IGA باید آزمایش و ارزیابی شود تا از عملکرد صحیح آن اطمینان حاصل شود. این موضوع شامل آزمون عملکرد، آزمون امنیتی و ارزیابی سیستم است. همچنین، در این مرحله می‌توان مشکلات موجود را شناسایی و رفع کرد.
  • آموزش و آشنایی با سیستم: پس از ارزیابی، کاربران و مدیران سازمان باید با سیستم IGA آشنا شوند و به آن‌ها آموزش لازم داده شود. فرآیند فوق شامل آموزش کاربران در استفاده از سیستم، آشنایی با فرآیندها و قوانین مربوطه و ارائه راهنماها و منابع آموزشی است.
  • نگه‌داری و بهبود: سیستم IGA باید به‌طور مداوم نگه‌داری شده، بهبود یافته و با نیازهای سازمان همسو شود. برای دستیابی به چنین هدفی، کارشناسان امنیت باید روی مبحث مانیتورینگ و رصد عملکرد سیستم، رفع خطاها و مشکلات، اعمال بهبودها و ارتقای نسخه‌های جدید نرم‌افزارها متمرکز شوند.

در طول این مراحل، همکاری و هماهنگی بین تیم‌های مختلف، ارتباط با ذی‌نفعان سازمان، مدیریت تغییرات و استراتژی کلی پیاده‌سازی اهمیت زیای دارد. مهم است بدانید که گردش کار پیاده‌سازی IGA بستگی به نیازها و محیط سازمان دارد و ممکن است در هر سازمانی متفاوت باشد.

انتهای پیام/ منبع: روزنامه نگاری الکترونیک به نقل از شبکه

فناوری اطلاعات و ارتباطات Tags:,