مسائل حقوقی

ثبت‌ نام

مسائل حقوقی مرتبط با هویت در محیط های مجازی

در رابطه با موضوع هویت ، بطور مبسوط توضیحات کافی در بخش مربوط داده شد و نیازی به تکرار آنها نیست . لیکن در رابطه با موارد برشمرده در ذیل توضیحات کافی جهت رفع ابهامات باقی مانده داده می شود .

اهمیت هویت کاربران در جرایم رایانه ای

هویت کاربران در جرایم رایانه ای اهمیت حیاتی دارد . زیرا جرم به هویت منتسب میشود و هویت است که متهم ارتکاب آن می شود و دادگاه برای تبرئه یا محکومیت آن رسیدگی کیفری را آغاز می کند . بنابراین ، چنانچه هویت مرتکب جرم رایانه ای مشخص نباشد ، عملا فرآیند رسیدگی شکل نمی گیرد یا اگر بگیرد ، به صورت معلق و مشروط به آشکار شدن هویت متهم ادامه می یابد و ضابطان دادگستری مکلف می شوند هرچه سریع تر نسبت به کشف هویت وی اقدام و ادله مربوط را گردآوری کنند .

اهمیت حیاتی احراز هویت در جرایم رایانه ای در جلوگیری از تفتيشها و توقیف های ناروای دادهها و سامانه های رایانه ای متعلق به دیگران تجلی می یابد . چنانچه هویت مرتکب جرم ناشناس بماند ، مجریان قانون به ناچار سامانه ها و داده های بسیاری را برای کشف هویت وی تفتیش و بازرسی می کنند که همین امر بر احتمال نقض حریم داده ها و ارتباطات الکترونیکی اشخاص بی گناه می افزاید . لیکن چنانچه هرچه زودتر هویت مرتکب شناسایی گردد ، مجریان قانون سراغ آن دسته از داده ها و یا سامانه هایی خواهند رفت که به وی تعلق داشته یا به وی مربوط می شوند و از مراجعه به داده ها و یا سامانه های دیگران خودداری می کنند .

در همین رابطه ، قانون جرایم رایانه ای در بخش دوم خود با عنوان آیین دادرسی ، فصلی را به جمع آوری ادله الکترونیکی اختصاص داده که مبحث یکم آن راجع به نگهداری داده های ترافیک و اطلاعات کاربران از سوی ارائه دهندگان خدمات میزبانی و دسترسی است . با ملاحظه مفهوم این داده ها که در تبصره های یکم و دوم ماده ۳۲ آمده اند ، محرز می شود که هدف اصلی قانونگذار محرز نگه داشتن هویت کاربران به منظور کشف جرایم احتمالی ارتکابی از سوی آنها در آینده است . در این مواد آمده است :

ماده ۳۲- ارائه دهندگان خدمات دسترسی موظفند داده های ترافیک را حداقل تا شش ماه پس از ایجاد و اطلاعات کاربران را حداقل تا شش ماه پس از خاتمه اشتراک نگهداری کنند .

تبصره ۱- داده ترافیک هرگونه داده ای است که سامانه های رایانه ای در زنجیره ارتباطات رایانه ای و مخابراتی تولید می کنند تا امکان ردیابی آنها از مبدا تا مقصد وجود داشته باشد . این داده ها شامل اطلاعاتی از قبیل مبدأ ، مسیر ، تاریخ ، زمان ، مدت و حجم ارتباط و نوع خدمات مربوطه می شود .

تبصره ۲- اطلاعات کاربر هرگونه اطلاعات راجع به کاربر خدمات دسترسی از قبیل نوع خدمات ، امکانات فنی مورد استفاده و مدت زمان آن ، هویت ، آدرس جغرافیایی یا پستی یا پروتکل اینترنتی ( IP ) ، شماره تلفن و سایر مشخصات فردی اوست .

ماده ۳۳ - ارائه دهندگان خدمات میزبانی داخلی موظفند اطلاعات کاربران خود را حداقل تا شش ماه پس از خاتمه اشتراک و محتوای ذخیره شده و داده ترافیک حاصل از تغییرات ایجاد شده را حداقل تا پانزده روز نگهداری کنند . علاوه بر این ، قانونگذار در ماده ۴۹ مقرر داشته باید اطلاعاتی گردآوری و مستندسازی شود که به

۱۵۰ استانداردهای فنی و ابعاد حقوقی رایانش ابری در ایران ۹ اعتبار و انکارناپذیری ادله الکترونیکی کمک می کند . منظور از انکارناپذیری چیزی جز محرز بودن هویت شخص منسوب به داده ها نیست که این حکم به روشنی جایگاه هویت الکترونیکی را در استنادپذیری ادله به منظور حفظ صحت و تمامیت ، اعتبار و انکارناپذیری ادله الکترونیکی جمع آوری شده ، لازم است مطابق آئین نامه مربوط از آنها نگهداری و مراقبت به عمل آید .

همین موضوع در ماده ۵۰ این قانون در خصوص استنادپذیری ادله الکترونیکی ارائه شده از سوی اشخاصی به جز مجریان قانون نیز تصریح شده است :

ماده ۵۰ - چنانچه داده های رایانه ای توسط طرف دعوا یا شخص ثالثی که از دعوا آگاهی نداشته ایجاد یا پردازش یا ذخیره یا منتقل شده باشد و سامانه رایانه ای با مخابراتی مربوط به نحوی درست عمل کند که به صحت و تمامیت ، اعتبار و انکارناپذیری داده ها خدشه وارد نشده باشد ، قابل استناد خواهد بود .

امکان سوءاستفاده کاربران از ماشین های مجازی

هر مجرمی می تواند شخصأ مرتکب جرم مورد نظر خویش شود یا اینکه برای ارتکاب آن چیزی را ابزار یا وسیله خویش قرار دهد . برای مثال ، ممکن است حیوانی را برای سرقت تربیت کند یا کودک نابالغی را که از لحاظ قانونی مسئولیت کیفری ندارد ، برای تحقق نیات شوم خویش بگمارد . به چنین اشخاصی گفته می شود . یعنی آنهایی که با تحقق بخشیدن اراده خویش در دیگر چیزها ، مرتکب جرم می شوند . اشیاء نیز از این قاعده بیرون نیستند و چنانچه برای تحقق نیات مجرمانه بکار گرفته شوند ، شخصی که آگاهانه آنها را بکار می گیرد ، سزاوار کیفر خواهد بود .

در دنیای سایبر نیز همین قاعده جاری است . چنانچه کاربری برای ارتکاب هر یک از جرایم رایانه ای ماشین های به اصطلاح مجازی بسازد ، همان مباشر معنوی خواهد بود و به کیفر جرمی محکوم خواهد شد که ماشین مجازی به جای وی مرتکب شده است . این موضوع از باب قاعدة سببیت نیز قابل طرح و تحلیل است . در اینجا اصطلاحا سبب اقوى از مباشر مرتکب جرم می شود . به بیان دیگر ، درست است که یک ماشین مجازی داده های دیگری را جعل می کند یا از بین می برد ، اما فاعل آن مجرم شناخته و کیفر می شود .

با این حال ، نکته اساسی اینست که مشخص شود ماشین های مجازی را چه کسی یا کسانی طراحی ، ساخته و اجرا کرده اند تا بر پایه آن احکام مربوط به مباشرت ، شراکت و یا معاونت در جرم بر آنها تحمیل شود . پیش نیاز ورود به این عرصه نیز امکان احراز هویت چنین اشخاصی است که اهمیت دوچندان هویت الکترونیکی آشکار می شود . این موضوع بویژه از آن جهت اهمیت دارد که ممکن است ماشین مجازی برای مدت زمان بسیار کوتاهی پدید آید و رفتار مجرمانه رایانه ای مورد نظر طراحان خود را مرتکب شود و سپس از بین برود . در چنین حالتی ، باید داده های رخدادنگار (Log Files) مربوط به کارکردهای رایانه ای کاربران به دقت و برای مدت زمان مطلوبی ذخیره شود تا در صورت رخداد چنین رویدادهای زیان باری امکان مراجعه به آنها و شناسایی کنشگران آنها فراهم باشد .

لزوم ثبت هویت در محیط مجازی سازی و مدیریت چرخه حیات ماشین های مجازی

همانطور که در بالا و همچنین سایر بخش ها مشاهده شد ، ثبت هویت از سوی فعالان گوناگون این عرصه الزامی انگاشته شده است . برای مثال ، قانون جرایم رایانه ای در مواد ۳۲ و ۳۳ خود ارائه دهندگان خدمات دسترسی و میزبانی را مکلف کرده داده های ترافیک و اطلاعات کاربران را برای شش ماه نگهداری کنند . این حکم عام الشمول است و همه کارکردهای رایانه ای ، از جمله چرخه حیات ماشین های مجازی را در بر می گیرد .

علاوه بر این ، کاربران نیز به شیوه ها و شگردهای مختلف قانونی ناچارند هویت خود را در محیط قابل پردازش رایانه ای آشکار و اعتبار آن را اثبات کنند تا بتوانند از امتیازات قانونی برای استیفای حقوق مشروع خویش بهره مند شوند که در بالا به ماده ۵۰ قانون جرایم رایانه ای اشاره شد .

احکام مندرج در قانون تجارت الکترونیکی نیز بخش دیگری از تدابیر قانونگذار برای آشکار کردن هرچه بیشتر هویت الکترونیکی اشخاص به شمار می آید . در جایی که اعتبار اسناد الکترونیکی به بکارگیری امضای الکترونیکی منوط شده است ، جایگاه تعیین کننده هویت الکترونیکی را نشان میدهد . بدیهی است امضای الکترونیکی به هویت های نامعلوم و گمنام تعلق نمی گیرند و چنانچه کاربری بخواهد از امتیاز رسمی بودن اسناد الکترونیکی خویش بهره مند شود ، می بایست امضاهای الکترونیکی عادی یا مطمئن را بکار گیرد .

با این حال ، اذعان می شود که چنانچه کاربران هویت گمنام یا پنهانی در تراکنشهای الکترونیکی شان داشته باشند ، با هیچ ضمانت اجرای قانونی یا مقرراتی روبرو نمی شوند . یک راهکار درست و اساسی می تواند الزامی نمودن بکارگیری هویت الکترونیکی واقعی و قابل ارزیابی و اعتبارسنجی از سوی همه کاربران باشد و چنانچه می خواهند با بکارگیری شیوه هایی مانند رمزنگاری هویت و یا کاربری شان را پنهان سازند ، باید مراجع صلاحيت دار قانونی بتوانند در صورت لزوم هویت واقعی آنها را بدون چالش ناروایی احراز کنند .

به نظر می‌رسد مرجع مقرراتگذار ارتباطات و فناوری اطلاعات می تواند با پشتوانه اختیار صلاحدیدی که از قانونگذار دریافت کرده ، نسبت به ساماندهی این حوزه اقدام کند . کمیسیون تنظیم مقررات ارتباطات بر پایه اختیاری که به موجب قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات ، مصوب در خصوص تنظیم مقررات ارتباطی کشور دریافت کرده ( بند دماده ۵ ) ، می تواند ارائه دهندگان خدمات ارتباطی و فناوری اطلاعات را موظف کند از ارائه خدمات به آن دسته از کاربرانی که هویت گمنام یا پنهان یا نامعتبر دارند ، خودداری کنند و در صورت مشاهده چنین مواردی ، با ضمانت اجرای مقرراتی روبرو شوند . تجربه چنین رویکردی در سیم کارتهای ارتباطی همراه صورت گرفته و از زمانی که سازمان تنظیم مقررات و ارتباطات رادیویی به طور جدی موضوع را پیگیری و اپراتورهای ارتباطات سیار را ملزم به رعایت مقررات مربوط کرده ، میزان سوءاستفاده از این ابزارها به ۱۳۸۲ ۹ طور قابل ملاحظه ای کاهش یافته است .

قراردادهای الکترونیکی در رایانش ابری

قرارداد الکترونیکی نوع جدیدی از قراردادهای تجاری و حقوقی است که در چند دهه اخیر به دنبال گسترش مبادلات و خدمات الکترونیکی ایجاد شده است . این قراردادها به انواع و اشکال مختلف می پذیرد . طرفین قرارداد معمولا به دنبال کسب بیشترین حقوق ممکن از قبال این قراردادها می باشند که یا به منظور کاهش بار مسئولیت آنها انجام می شود و یا افزایش سود تجاری .

همچنین بازار و رقابت نیز موجبات امتیاز دهی طرفین ذی نفع را فراهم می سازد . در مختلف این قراردادها با رویکرد رایانش ابری می پردازیم .

توافقات خدمات (Services Agreement) و توافقات حق امتیاز پروانه (licensing Agreement)

توافق حق امتیاز پروانه

به طور سنتی یک حق امتیاز نرم افزار به منظور ایفای حقوق تولیدکننده نرم افزار استفاده میشود ، به نحوی که صادر کننده پروانه به دارنده حق امتیاز اجازه میدهد تا از یک نسخه نرم افزار استفاده نماید . دادن امتیاز استفاده معمولا با ملاحظات و ملزوماتی همراه می باشد ، برای مثال دارنده حق امتیاز ممکن است حق کپی و یا ارائه به شخص دیگری را نداشته باشد و یا حق امتیاز او ممکن است مدت دار باشد . صدور پروانه استفاده صادر کننده را در برابر انتقال عمدی و یا سهوی مالکیت یک نرم افزار به شخص یا شرکتی که یک نسخه کپی از آن را دارد محافظت کند . همچنین این حق امتیاز به صادر کننده اجازه میدهد تا تحت شرایط مشخصی کپی نرم افزار را غیر فعال سازد ؛ برای مثال زمانی که استفاده کننده شرایط استفاده را نقض کند و یا پرداخت ماهیانه و یا سالانه را انجام ندهد . ضمن اینکه معمولا استفاده کننده نرم افزار برای دریافت پشتیبانی از صادر کننده یا تولید کننده نرم افزار می بایست حتمأ حق امتیاز معتبر داشته باشد .

فصل چهارم - بررسی توافقات سطح سرویس در خدمات رایانش ابری ۱۲۷ به حداقل برسد . همچنین بازار و رقابت نیز موجبات امتیاز دهی طرفین ذی نفع را فراهم می سازد . در مختلف این قراردادها با رویکرد رایانش ابری می پردازیم . ادامه به بررسی ۱-۴-۴- توافقات خدمات و توافقات حق امتیاز پروانه ۱-۱-۴-۴- توافق حق امتیاز پروانه به طور سنتی یک حق امتیاز نرم افزار به منظور ایفای حقوق تولیدکننده نرم افزار استفاده میشود ، به نحوی که صادر کننده پروانه به دارنده حق امتیاز اجازه میدهد تا از یک نسخه نرم افزار استفاده نماید . دادن امتیاز استفاده معمولا با ملاحظات و ملزوماتی همراه می باشد ، برای مثال دارنده حق امتیاز ممکن است حق کپی و یا ارائه به شخص دیگری را نداشته باشد و یا حق امتیاز او ممکن است مدت دار باشد . صدور پروانه استفاده صادر کننده را در برابر انتقال عمدی و یا سهوی مالکیت یک نرم افزار به شخص یا شرکتی که یک نسخه کپی از آن را دارد محافظت کند. همچنین این حق امتیاز به صادر کننده اجازه میدهد تا تحت شرایط مشخصی کپی نرم افزار را غیر فعال سازد ؛ برای مثال زمانی که استفاده کننده شرایط استفاده را نقض کند و یا پرداخت ماهیانه و یا سالانه را انجام ندهد . ضمن اینکه معمولا استفاده کننده نرم افزار برای دریافت پشتیبانی از صادر کننده یا تولید کننده نرم افزار می بایست حتمأ حق امتیاز معتبر داشته باشد .

توافق خدمات

از طرف دیگر ، یک توافق خدمات به منظور جلوگیری از کپی برداری غیرقانونی از یک نرم افزار طراحی نشده است . در واقع ، کاربرد این توافقات این است که مشخص می نماید که مشتری به کدام یک از سرویس ها حق دسترسی و یا استفاده دارد . توافق خدمات همچنین ممکن است کیفیت سرویس مورد اشاره و پارامترهای دخیل در آن را مشخص نماید . از آنجایی که سرویس ها و نرم افزارها به وسیله ارائه دهنده مدیریت و ارائه میشود ، نگرانی بابت استفاده از نسخه های کپی شده و یا اتمام حق امتیاز مصرف کننده وجود ندارد و مالکیت سرویس و نرم افزارها با ارائه دهنده می ماند و در صورت اتمام قرارداد به آسانی ارائه سرویس متوقف می شود .

اهمیت استفاده از توافقات سطح خدمات در رایانش ابری

در هر سه نوع مدل ارائه سرویس اصلی رایانش ابری Paas) ، (SaaS , IaaS دسترسی به فناوری های مبتنی بر ابر به عنوان یک سرویس به مشتری ارائه میشود . نقطه دسترسی و کنترل به وسیله سمت کاربر اتفاق نمی افتد ( مگر ارائه دهنده خدمات ارائه می شود و هیچ گونه انتقال نرم افزاری به س نرم افزارهای دسترسی به ابر که معمولا رایگان می باشند ) .

یک توافق سطح خدمات تمام شرایط و ضوابط را برای محافظت کافی از کاربران ایر فراهم می کند ، بدون اینکه فراهم کننده یا ارائه دهنده ابر را در گیر مخاطرات و مسئولیتهای حق امتیاز نرم افزار نماید .

قراردادهای استاندارد و توافقات برخط

به طور کلی دو نوع قرارداد وجود دارد که یک ارائه دهنده می تواند بر طبق آن سرویس های خود را در دسترس قرار دهد . نوع اول توافقات برخط می باشد که کاربر یا مشتری قبل از دریافت سرویس با کلیک در صفحات درخواست سرویس توافقنامه را تأیید می کند ، توافق با کلیک نوعی توافقنامه محسوب می شود در به طور سنتی در هنگام نصب بسیار از نرم افزارها و همچنین ثبت نام وب سایت هایا استفاده از خدمات آنلاین در برابر کاربر قرار می گیرد و معمولا با علامت خوردن یک گزینه " من موافقم " در ذیل یک متن ( مفاد توافقات ) انجام می شود . در شکل رایج آن کابر بدون تایید و علامت زدن آن نمی تواند از آن سرویس استفاده نماید . این بدین معناست که مفاد این توافقات به صورت یکطرفه و توسط ارائه دهنده تعیین می گردد و مذاکره دو طرفه ای برای تغییر مفاد آن انجام نخواهد شد . این نوع قرارداد امروزه به صورت متدوالترین توافق نامه آنلاین در سرویس های اینترنتی و عمومی رواج دارد . استفاده از سرویس های ارائه دهندگان مشهوری همچون Facebook، Googleو Microsoft Azure بدین نحو می باشد.

مدل دوم توافقات قراردادهای قابل مذاکره می باشد که برای اعتبار یافتن به امضای طرفین می رسد و در طول تاریخ همواره رایج بوده است ، به عنوان یک شرکت بزرگ که قصد مهاجرت به ابر دارد ( به ویژه ابرهای عمومی Public Clouds ) ، کاربردها و یا داده های بسیار حساس که به ابر منتقل می شوند و یا کاربرانی که علاقه دارند گزینه های بیشتری در قالب توافق نامه کاربر پسند داشته باشند ، مشتریان ممکن است این نوع توافق نامه را ترجیح دهند . به طوری که صرف نظر از هزینه هایی که با استفاده از مزیت های رایانش ابری همچون چند کاربری ، به اشتراک گذاری منابع و مجازی سازی ممکن است به همراه داشته باشد ، برخی کاربران ابر حاضرند به علت ملاحظات حیاتی بر روی داده و کاربرد حساس خود که به ابر منتقل می شود یک قرارداد قابل مذاکره داشته باشند که بتوانند برخی از این ملاحظات را بر ارائه دهنده تحميل نمایند ، ولو اینکه این ملاحظات موجبات افزایش هزینه استفاده از خدمات رایانش ابری را به همراه داشته باشد .

اهمیت سیاستهای حریم خصوصی مطرح شده در قراردادها

سیاست های یک ارائه دهنده ابر در قبال حریم خصوصی یکی از مهمترین مواردی است که یک کاربر باید قبل از انعقاد قرارداد به خوبی به آن توجه کند ؛ چرا که در این سیاست ها ارائه دهنده مشخص کند ( تا حدودی با جزییات ) که چه اقداماتی انجام خواهد داد ( و یا چه اقداماتی را انجام نمی دهد ) تا از اطلاعات شخصی مشتری ابر و کاربران آن به طور امن حفاظت کند . کاربر همچنین باید میزان مطابقت بندهای قرارداد با قوانین حفاظت از حریم خصوصی را بررسی نماید ، هر چند که حتی در صورتیکه ارائه دهنده تمام ملزومات قانونی را لحاظ کرده باشد باز هم تضمین کننده عدم افشای اطلاعات نخواهد بود .

میزان توجه به حریم خصوصی و محافظت از داده کاربران ، و همچنین مسئولیتی که ارائه دهنده در این زمینه بر عهده می گیرد بر روی میزان رقابت یک مشتری به استفاده از ابر ارائه کننده تأثیرگذار است و در صورتیکه رضایت کاربر را به همراه نداشته باشد ممکن است مشتری را مجاب سازد تا از ابر سایر رقبای ارائه دهنده استفاده نماید . در صورتیکه همچون کشور ما در ابتدای امر بازار رقابتی در این خوزه نباشد ، عدم اطمینان کاربران به مسئولیت پذیری ارائه دهنده موجب عدم اطمینان به این فناوری می شود و مشتریان ترجیح خواهند داد تا از سیستم های سنتی خود استفاده نمایند

هویت الکترونیکی کاربران در دنیای رایانش ابری

بهره مندی از همهی حمایت های قانونی و البته پذیرش مسئولیت کاربران خانگی و پاسخگو نگاه داشتن آنها ، به محرز بودن هویت الکترونیکیشان بستگی دارد . چنانچه کاربر به صورت گمنام بابا هویت مجعول در محیط شبکه ای حضور یابد ، نمی تواند انتظار داشته باشد که از حقوق نقض شده اش حمایت قانونی به عمل آید . هرچند اگر مرتکب جرم یا تخلفی شود ، پاسخگو داشتن آن به سادگی امکان پذیر نخواهد بود.

به این ترتیب ، پیش بینی هویت های الکترونیکی معتبر و قابل استناد در دنیای رایانش ابری می تواند دو دستاورد بسیار سودمند داشته باشد که به برپایی و پایداری نظم سایبری و به هنجاری و قانون مداری کنشگران آن کمک قابل توجهی می کند . دستاورد نخست ، آسان شدن مطالبات قانونی و مشروع کنشگران این حوزه است . این موضوع به ویژه دربارهی کاربران خانگی صدق می کند . زیرا دربارهی کاربران اداری و همچنین خصوصی تقریبا می توان با اطمینان از هویت آنها سخن گفت . زیرا گروه نخست از موضع رسمیشان به برهم کنش الکترونیکی می پردازند و گروه دوم نیز برای جلب اطمینان مشتریان هیچ گاه به خود اجازه نمی دهند که با هویت ناشناس و دروغین به کسب و کار بپردازند ، به ویژه آنکه در این فضا به دلیل نداشتن حضور فیزیکی ، جلب اعتماد مشتری به مراتب دشوارتر است و بروز چنین اشتباهی می تواند برای فعال کسب و کار الکترونیکی بسیار گران تمام شود .

با این حال ، کاربر خانگی از این محدودیت ها به دور است به ویژه در کاربری های سرگرمی ممکن است رفتارهایی از او سر زند که پیامدهای قانونی به مقرراتی داشته باشد . حال اگر هویت وی گمنام یا مجعول باشد ، می تواند رفتارهای بسیار زیانبارتری مرتکب شده و البته خود را نیز با خطرهای کند . اساسأ کا کاربری هویت واقعی خود را برای حضور در دنیای سایبر برمی گزیند ، نه تنها از رفتارهای سرزنش آمیز خودداری می کند ، بلکه می کوشد در محیطهایی حضور نیابد که برای وی پیامدزا باشد .

با توجه به اهمیت موضوع ، شاید چنین انتظار رود که حضور کاربران با هویت واقعی در عرصه های مختلف دنیای سایبر الزامی و در صورت به کارگیری هویت های دروغین یا گمنام با ضمانت اجراهای قانونی - مقرراتی روبرو شوند . با اذعان به این موضوع که اهمیت بحث به حدی است که می توان دربارهی ضرورت بهره مندی همهی شهروندان از هویت الکترونیکی و الزام آنها به به کارگیری آن در ناگوارتری روبرو ۹ انجام امور سایبری سخن گفت ، لیکن این نکته را هم نباید فراموش کرد که در مواردی باید به کاربران اجازه داد برای صیانت از خود در برابر خطرهای احتمالی ، هویت جعلی یا گمنام را برای خود برگزینند .

فصل پنجم - بررسی مسائل حقوقی در اشتراک گذاری داده ها در رایانش ابری ۱۴۳ لیکن این امکان برای مجریان قانون وجود داشته باشد که در صورت نیاز به شناسایی هویت واقعی کنشگر مجعول یا گمنام ، به آسانی اقدام کنند و بهره مندی از چنین حقی از سوی کاربران ، آنها را با نکند . دشواری در ایفای وظایف قانونی روبرو اما هم اینک چنین الزامی در قوانین و مقررات پیش بینی نشده و تنها از آن به عنوان یک امتیاز و وسیله ای برای استیفای آسان تر و زودتر حقوق مشروع پیوند خورده با دنیای الکترونیک نام برده شده است . در بالا دیده شد قانون گذار تجارت الکترونیکی از امضای الکترونیکی به منزلهی ابزاری برای اعتباربخشی به اسناد الکترونیکی یاد کرده است . حال آنکه این ابزار می تواند برای احراز هویت الکترونیکی کاربران نیز بسیار کارآمد باشد ؛ لذا فراهم آوردن زمینه های به کارگیری فراگیر آن در کاربری های رایانه ای و شبکه ای می تواند کمک بزرگی به ساماندهی هویتهای معتبر و قابل اعتماد آنها نماید . به ویژه آنکه قانون گذار برای به کارگیری امضای الکترونیکی امتیازهای ویژه ای در نظر گرفته است . با این حال ، باید توجه داشت که امضای الکترونیکی توانایی پشتیبانی هویتی کاربران را در همه ی عرصه های سایبری ندارد و ضروری است در موقعیت های مختلف ابزارهای فناوری متناسب با آنها بکار گرفته شود . برای مثال ، واگذاری نام کاربری و گذرواژه ی اختصاصی و انحصاری برای به کارگیری سامانه های پیام رسان الکترونیکی ، به ویژه رایانامه و همچنین ارتباط با تارنماهایی که خدمات اداری الکترونیکی و کسب و کارهای گوناگون را پشتیبانی می کنند ، می تواند از گزینه های قابل اعتنا باشد . همچنین ، گسترش سازوکارها و نظام پرداخت الکترونیکی ، خودبه خود به ساماندهی هویت الکترونیکی اشخاص می انجامد . زیرا تا هنگامی که شناسه ی هویتی آنها معتبر اعلام نشوند ، نمی توانند به کاربری شبکه ایشان بپردازند و این اقدام ضمن گسترش و شکوفایی نظام کسب و کار الکترونیکی می تواند چنین دستاوردی نیز داشته باشد . ۹ ۴-۵- مسائل حقوقی در محل قرارگیری دادهها بطور کلی ، مسایل حقوقی راجع به محل قرارگیری داده ها را می توان به دو بخش حقوق خصوصی و حقوق کیفری تقسیم کرد . ۱-۴-۵- مسایل حقوق خصوصی راجع به محل قرارگیری دادهها این موضوع هنگامی مطرح می شود که طرفین قرارداد درباره یکی از موضوعات فی مابین با یکدیگر اختلاف پیدا می کنند و در اینجا محل قرارگیری داده ها می تواند مبنایی برای تعیین دادگاه صلاحیت دار رسیدگی کننده اختلاف مطروحه بکار آید . چنانچه طرفین قرارداد به دو کشور متفاوت تعلق داشته باشند ، این موضوع می تواند به تعیین نظام حقوقی صالح به رسیدگی موضوع نیز ارتقاء یابد . به عبارت دیگر ، در اینجا نخست راجع به نظام حقوقی حاکم ، برای مثال جمهوری اسلامی ایران ، تعیین تکلیف دادگاه صلاحیت دار ایرانی که می تواند به موضوع رسیدگی کند ، مشخص می گردد . به می شود و سپس ۲-۴-۵- مسایل حقوق کیفری راجع به محل قرارگیری دادهها محل قرارگیری داده ها می تواند مبنایی برای تعیین نظام حقوق کیفری و همچنین دادگاه صلاحیت دار ۱۳۸۸ کیفری به شمار آید . طبق ماده ۲۸ قانون جرایم رایانه ای ، مصوب ۱

حریم خصوصی در حوزه فناوری اطلاعات و رایانش ابری

امروزه با توسعه کاربرد فن آوری اطلاعات و ارتباطات در جوامع بشری ، تدوین قوانین مناسب برای مات حقوقی و قضایی از خلوت و حریم خصوصی داده پیام های شخصی افراد از اهمیت شایانی برخوردار است ؛ زیرا یکی از راههای مهم ورود خسارت معنوی به حیثیت و شرافت انسان ها از طریق این فن آوری می باشد . قانون گذار در ماده ۸ قانون احترام به آزادی های مشروع و حفظ حقوق شهروندی مصوب سال ۱۳۸۳ مقرر می دارد : "بازرسی ها و معاینات محلی جهت دستگیری متهمان فراری و کشف آلات و ادوات جرم ، بر اساس مقررات قانونی و بدون مزاحمت و در کمال احتیاط انجام شود و از تعرض نسبت به اسناد و مدارک و اشیایی که ارتباطی به جرم نداشته و یا به متهم تعلق ندارند و افشای مضمون نامه ها ، نوشته ها و عکس های فامیلی و فیلم های خانوادگی و ضبط بی مورد آنها خودداری گردد ."

قانون گذار برای حسن اجرای ماده مذکور ، اصول ۲۰ ، ۲۲ ، ۲۳ ، ۲۵ ، ۳۲. ۳۷. ۳۸ و ۳۹ قانون اساسی و مواد ۹۶ ، ۹۹.۹۷ ، ۱۰۰ و ۱۰۴ قانون آیین دادرسی کیفری مصوب ۱۳۸۱، ضمانت اجرای کیفری موضوع مواد ۵۸۰ ، ۵۸۲ ۶۴۸ و ۶۹۱ قانون مجازات را قرار داده است . همچنین با توجه به اصل ۱۲۱ قانون اساسی و مواد ۱ ، ۲ و ۴ قانون مسئولیت مدنی ، صرف نظر از اختلاف دیدگاه های فقهی و حقوقی در شیوه جبران خسارت معنوی که منطبق با اصول کلی حقوقی و قواعد مسلم فقهی همچون قاعده " لاضرر و لاضرار " است ، با پذیرش مسئولیت جبران زیان های معنوی ، ضمانت اجرایی مدنی نیز برای تدارک خسارتهای مدنی ناشی از جرایم علیه حقوق و سرمایه های معنوی اشخاص وجود دارد .

همان طور که در فصل چهارم گفته شد ، چنانچه در پی تحقق مراحل تکامل یافته تر خدمات عمومی دولتی الکترونیکی در هر سه به سطح دولتی - دولتی ، دولتی - مشاغل و دولتی - شهروندان هستیم ، باید اجازه ایجاد ، پردازش ، اصلاح و ذخیره سازی مشترک و همزمان را به ها همهی کنشگران بدهیم تا با شکل گیری یک نظام برهم کنشی فراگیر ، وابستگی به دنیای خاکی برای انجام و پیشبرد امورشان کمینه گردد . لیکن صیانت از صحت و تمامیت داده ها ایجاب می کند نظام ثبت و نگهداری داده های رخدادنگار به درستی کار کند تا در صورت نیاز به اثبات اعتبار پذیری و اطمینان پذیری این امور ، امکان استناد محکمه پسند به آنها وجود داشته باشد . در غیر این صورت ، اعتماد عمومی به این عرصه ی نوین از بین رفته و به رغم سرمایه گذاری های فراوان ، دستاوردی نصیب جامعه نمی شود .

همچنین ، محرمانگی داده ها و اطلاعات نیز بهمان اندازه گوناگونی و گستردگی دارد . در اینجا علاوه داده ها و اطلاعات طبقه بندی شده ی عمومی که میان دستگاههای اجرایی قابل مبادله است ، اطلاعات شخصی و خصوصی اشخاص حقیقی و حقوقی نیز به میان می آید . برای پی بردن به این میزان گستردگی و گوناگونی و حساسیت های کم و بیشی که می تواند نسبت به هر یک از شاخه های حریم اطلاعات الکترونیکی مطرح شود ، شناخت آنها سودمند خواهد بود .

هنگامی که شخص خواسته یا ناخواسته ، ارادی یا به ناچار به دنیای سایبر پا می گذارد ، برای خود هویتی را تعریف می کند یا برایش تعریف می شود که بر پایه ی آن می تواند امور الکترونیکی اش را پیش برد . بر این اساس ، هر کاری که با این شناسه انجام می دهد یا از طرفش به انجام می رسد ، اطلاعات شخصی اش به شمار می آید ؛ لذا به پهناوری و گستردگی کارهایی که فرد خود یا به نمایندگی اش انجام میدهد یا می شود ، اطلاعات شخصی پدید می آید ؛ از ارتباطات الکترونیکی گوناگون صوتی ، تصویری ، متن یا ترکیبی از آنها گرفته تا تراکنش های مالی یا حتی وبگردی های ساده ، همگی اطلاعات شخصی هستند که می توانند مورد سوءاستفاده های گوناگونی قرار گیرند . برای مثال ، در پی جای گرفتن کوکی ها در سامانه ی کاربره داده های مربوط به وبگردی هایش در اختیار تحلیل گران رفتارهای کاربری قرار می گیرد و یافته های آنها برای فرستادن تبلیغات هدفمند بکار می رود ؛ آن چیزی که هم اینک با عنوان اسپم یا هرزنامه ، کاربران را با دشواری های جدی روبرو کرده است .

به این ترتیب ، اطلاعات شخصی سایبری گرچه ابزار ضروری برای انجام کارهای مختلف سایبری است ، اما به شدت آسیب پذیر است و دارنده خود را با دردسرها و حتی زیان های مادی و معده بسیاری روبرو می بیند ؛ لذا برای پاسداری از وی در برابر این تعرضها ، به پیروی از دنیای خاکی ، حر اطلاعات شخصی الکترونیکی پذیرفته و سازوکارهای حمایتی قانونی و مقرراتی آن تصویب و لازم الاجر شده است .

فصل ششم بررسی ابعاد حقوقی حریم خصوصی در رابش ری ۱۴۴ که او برمی گزیند ، هیچ کس دیگری از آن آگاهی نیابد . به همین دلیل ، از آن به حق خلوت با تنها ماندن حریم خصوصی اساسا به قلمروی از زندگی بشر گفته می شود که می خواهد جز خودش و آنهایی نیز تعبیر به طور کلی در پنج شاخه ی اصلی تقسیم می شود : ۱. حریم تمامیت جسمی ۲ حريم منزله ۲ حریم محل کار ؛ ۴. حریم اطلاعات ؛ و ۵ حریم ارتباطات دنیای سایبر به فراخور هر یک از این شاخدها را تحت تأنیر خود قرار داده است . برای مثال اطلاعات مربوط به پیشینه ی درمان فرد در زمردی حریم تمامیت شخصی اش فرار می گیرد . در همین رابطه قانون تجارت الکترونیکی در ماده ۶۰ خود اشعار می دارد ماده ۶۰ - ذخیره ، پردازش و با توزیع داده پیام های مربوط به سوابق پزشکی و بهداشتی شایع آئین نامه ای است که در ماده ( ۷۹ ) این قانون خواهد آمد ماده ۷۹ -ج - آئین نامه مربوط به ماده ( ۶۰ ) این قانون به پیشنهاد وزارت بهداشت ، درمان و آموزش پزشکی و سازمان مدیریت و برنامه ریزی کشور تهیه و به تصویب هیات وزیران خواهد رسید اطلاعات راجع به موقعیت و ویژگی های منرلش ، به حریم منزل و اطلاعات راجع به کسب و کار . به ویژه اسرار تجاری به شاخه ی سوم تعلق می گیرد . حریم اطلاعات خود طیف گسترده ای را در بر می گیرد . برای مثال ، یکی از موضوعات مهم زیرمجموعه ی آن تصویربرداری از اشخاص حاضر در مکان های عمومی است . آیا اساسا چنین کاری مجاز شمرده شود ؟ در صورت مثبت بودن پاسخ ، شرایط آن چه باشد ؟ ارتباطات نیز شاید سرآمد حریم خصوصی افراد باشد و به همین دلیل نعرض آمیزترین کارها به ویژه شنود ، مشمول سخت گیرانه ترین ضوابط شده است . بی گمان همه ی این رفتارها و رویدادها هنگامی زیان بار می شوند و آسیب خود را به دارنده ی دادهها وارد می آورند که هویت واقعی وی با آنها پیوند داشته باشد و چنانچه این هویت پنهان یا به نحوی مخدوش شود ، آسیب پذیری وی منتفی می شود یا به نحو قابل توجهی کاهش می یابد ، لذا همسو با خط مشی های صیانتی از حریم اطلاعات شخصی افراد در دنیای سایبر ، ابزارها با شیوه هایی در اختیار آنها قرار گرفته که از هویت و با داده های شخصی آنها حفاظت می کنند . برای مثال ، شبکه های خصوصی مجازی ( VPN ) بر پایهی فناوری رمزنگاری ، گمنامی و نامفهوم بودن داده ها را تضمین می کنند . همچنین ، شیوه هایی مانند پنهان نگاری از دسترسی اشخاص غیرمجاز به داده ها جلوگیری کند با این حال ، پنهان داشتن هویت با هدف صیانت از حریم خصوصی می تواند حربه ای برای انواع سوءاستفاده ها باشد . می توان از شبکه های خصوصی مجازی با سایر ابزارهای فناوری سایبری حفاظتی برای جابجایی انواع داده ها و محتوای مجرمانه بهره برد ، لذا تأمین امنیت جامعه در یک نگاه کلان و راهبردی می تواند بررسی و بازرسی آن بخش از حریم اطلاعات شخصی ، به ویژه کانال های ارتباطی را توجیه کند که ظن منطقی در بکارگیری آنها برای رفتارهای جنایی وجود دارد . تا آنجا که برخی تحلیل گران از شیشه ای شدن حریم خصوصی افراد به طور کلی و حریم داده های الکترونیکی به طور خاص سخن موضوعی که هم اینک در بیشتر کشورهای غربی نهادینه و خواسته یا ناخواسته از سوی شهروندان پذیرفته شده و به تدریج در حال گسترش و فراگیری است .

حریم خصوصی اساسا به قلمروی از زندگی بشر گفته می شود که می خواهد جز خودش و آنهایی که او برمی گزیند ، هیچ کس دیگری از آن آگاهی نیابد . به همین دلیل ، از آن به حق خلوت با تنها ماندن نیز تعبیر به طور کلی در پنج شاخه ی اصلی تقسیم می شود : ۱. حریم تمامیت جسمی ۲ حريم منزله ۲ حریم محل کار ؛ ۴. حریم اطلاعات ؛ و ۵ حریم ارتباطات.

دنیای سایبر به فراخور هر یک از این شاخدها را تحت تأنیر خود قرار داده است . برای مثال اطلاعات مربوط به پیشینه ی درمان فرد در زمردی حریم تمامیت شخصی اش فرار می گیرد . در همین رابطه قانون تجارت الکترونیکی در ماده ۶۰ خود اشعار می دارد:

ماده ۶۰ - ذخیره ، پردازش و با توزیع داده پیام های مربوط به سوابق پزشکی و بهداشتی شایع آئین نامه ای است که در ماده ( ۷۹ ) این قانون خواهد آمد.

ماده ۷۹ -ج - آئین نامه مربوط به ماده ( ۶۰ ) این قانون به پیشنهاد وزارت بهداشت ، درمان و آموزش پزشکی و سازمان مدیریت و برنامه ریزی کشور تهیه و به تصویب هیات وزیران خواهد رسید.

اطلاعات راجع به موقعیت و ویژگی های منرلش ، به حریم منزل و اطلاعات راجع به کسب و کار . به ویژه اسرار تجاری به شاخه ی سوم تعلق می گیرد . حریم اطلاعات خود طیف گسترده ای را در بر می گیرد . برای مثال ، یکی از موضوعات مهم زیرمجموعه ی آن تصویربرداری از اشخاص حاضر در مکان های عمومی است . آیا اساسا چنین کاری مجاز شمرده شود ؟ در صورت مثبت بودن پاسخ ، شرایط آن چه باشد ؟ ارتباطات نیز شاید سرآمد حریم خصوصی افراد باشد و به همین دلیل نعرض آمیزترین کارها به ویژه شنود ، مشمول سخت گیرانه ترین ضوابط شده است .

بی گمان همه ی این رفتارها و رویدادها هنگامی زیان بار می شوند و آسیب خود را به دارنده ی دادهها وارد می آورند که هویت واقعی وی با آنها پیوند داشته باشد و چنانچه این هویت پنهان یا به نحوی مخدوش شود ، آسیب پذیری وی منتفی می شود یا به نحو قابل توجهی کاهش می یابد ، لذا همسو با خط مشی های صیانتی از حریم اطلاعات شخصی افراد در دنیای سایبر ، ابزارها با شیوه هایی در اختیار آنها قرار گرفته که از هویت و با داده های شخصی آنها حفاظت می کنند . برای مثال ، شبکه های خصوصی مجازی (VPN) بر پایه‌ی فناوری رمزنگاری ، گمنامی و نامفهوم بودن داده ها را تضمین می کنند . همچنین ، شیوه هایی مانند پنهان نگاری از دسترسی اشخاص غیرمجاز به داده ها جلوگیری می‌کنند.

با این حال ، پنهان داشتن هویت با هدف صیانت از حریم خصوصی می تواند حربه ای برای انواع سوءاستفاده ها باشد . می توان از شبکه های خصوصی مجازی با سایر ابزارهای فناوری سایبری حفاظتی برای جابجایی انواع داده ها و محتوای مجرمانه بهره برد ، لذا تأمین امنیت جامعه در یک نگاه کلان و راهبردی می تواند بررسی و بازرسی آن بخش از حریم اطلاعات شخصی ، به ویژه کانال های ارتباطی را توجیه کند که ظن منطقی در بکارگیری آنها برای رفتارهای جنایی وجود دارد . تا آنجا که برخی تحلیل گران از شیشه ای شدن حریم خصوصی افراد به طور کلی و حریم داده های الکترونیکی به طور خاص سخن موضوعی که هم اینک در بیشتر کشورهای غربی نهادینه و خواسته یا ناخواسته از سوی شهروندان پذیرفته شده و به تدریج در حال گسترش و فراگیری است .

آسیب پذیری های بالقوه در نقض حریم خصوصی در رایانش ابری

داده های شخصی ، تا هنگامی که پدید نیامده باشند ، از تعرض مصونند ! و پس از آن باید منتظر انواع تهدیدهای پیش روی آنها بود . امنیت این قسم داده ها نیز با توجه به میزان حساسیت و زیان بالقوة ناشی از افشای ناروا آنها تأمین می شود ؛ لذا صرف وجود تهدید مانع تولید داده های شخصی نمی شود و این داده ها برای پایداری زندگی بشر ضروری اند ، لیكن باید در تأمین امنیت آنها بطور متعارف کوشید و البته ضوابط و مقررات لازم الاجرایی را هم وضع کرد.

از جمله ضوابطی که درباره داده های شخصی وضع می گردد ، اینست که در صورت پایان یافتن کاربری شان ، باید از بین بروند و نگهداری بیشتر آنها جز افزودن بر میزان تهدیدها و تعرضها دستاوردی ندارد . متاسفانه به دلیل نبود قانون حمایت از حریم خصوصی و اطلاعات شخصی در کشورمان ، این چنین ضوابطی پیش بینی نشده و در این زمینه با کاستی و نارسایی جدی قانونی روبرو هستیم

برون سپاری داده های خصوصی

داده های خصوصی بخش قابل توجهی از داده های کاربردی و کاربری اشخاص را در محیط قابل پردازش رایانه ای و فضای تولید و تبادل اطلاعات تشکیل میدهد و بنابراین همانند سایر داده ها موضوع انواع خدمات رایانه ای و فناوری اطلاعات قرار می گیرند و ممکن است به همین منظور برون سپاری شوند ؛ لذا باسا از لحاظ نوع خدماتی که برای داده های رایانه ای تعریف می شود ، تفاوت چندانی میان آنها و جود ندارد .

با این حال ، تأکید بر خصوصی بودن داده ها باعث می شود ضوابط و معیارهای دیگر و بیشتری برای ذخیره سازی ، پردازش و جابه جایی آنها پیش بینی شود . این ضوابط می تواند به موجب قانون و از سوی قانونگذار ، یا به موجب آیین نامه و از سوی مرجع مقرراتگذار فناوری اطلاعات و ارتباطات یا به موجب قرارداد به ارائه دهنده خدماتی که داده های خصوصی نزد آن برون سپاری شده ، ابلاغ گردد .

چنانچه مکان برون سپاری داده ها در بیرون از قلمرو حاکمیتی کشورمان باشد ، قاعدتا قوانین و مقررات حاکم بر آن کشور بر داده های برون سپاری شده حکمفرما خواهد بود و هرگونه قراردادی به منظور برون سپاری این داده ها در پرتو آن ضوابط خواهد بود ؛ مگر اینکه در قوانین و مقررات آن کشور اجازه استناد به قوانین و مقررات کشور دارنده اطلاعات را داده یا اینکه استناد به آنها مغایرتی را پدید نمی آورد .

این موضوع به ویژه در دسترسی ضابطان دادگستری یا مجریان قانون کشور محل برون سپاری داده ها رخ نمایی می کند . در این رابطه ، کشورهایی مثل ایالات متحده آمریکا قوانین آسان تری را برای مأموران خویش پیش بینی کرده اند ، اما کشورهای اروپایی سخت گیرانه تر برخورد کرده اند . حال اگر داده های خصوصی در دو کشوری مانند امریکا و آلمان ذخیره شده و برای تحقیق راجع به یک موضوع جنایی نیاز به دسترسی به این داده ها وجود داشته باشد ، قاعدتا مأموران امریکایی شانس بیشتری خواهند داشت.

عدم اطلاع رسانی افشای اطلاعات

چنین اقدامی نوعا یک تخلف بشمار می آید . اما حسب اینکه این تخلف در چه سطحی تعریف شده باشد ، با ضمانت اجراهای مختلفی روبرو خواهد شد . چنانچه این تخلف در قانون پیش بینی شده باشد ، انتظار می رود برای آن ضمانت اجرای قانونی اعمال گردد که می تواند حتی به کیفرهایی مانند حبس هم بیانجامد . اما چنانچه از سوی مرجع مقرراتگذار تعریف گردد ، ضمانت اجراهای مقرراتی ، مانند جریمه نقدی با کاهش مدت اعتبار یا تعلیق یا حتی لغو پروانه فعالیت را می توان انتظار داشت . اما چنانچه در قرارداد پیش بینی گردد ، از ضمانت اجراهای قراردادی می توان بهره برد .

با این حال ، چنانچه هیچ یک از اینها پیش بینی نشده باشد ، امکان درخواست جبران زیان های وارده افشای اطلاعات افراد وجود خواهد داشت . عدم اطلاع رسانی مسئول نگهداری و ذخیره سازی اطلاعات ، آن هم به صورت بهنگام ممکن است مانع از آن شود که دارنده اطلاعاتی که می توانسته از ورود زنان به خویش در پی افشای آنها جلوگیری به عمل آورد ، بهنگام تدابیر لازم را اتخاذ کند . در اینجا تفاوتی نمی کند که افشای اطلاعات در پی قصور رخ یعنی تقصیر ، یعنی در پی بی احتیاطی و بی مبالاتی.

عدم حذف و پاکسازی کامل داده ها

این موضوع نیز یکی از اقداماتی است که به ویژه باید درباره داده های شخصی و خصوصی مورد توجه قرار گیرد و در بالا نیز اشاره شد ، مقررات کشورهای دارنده نظام حقوقی حاکم بر حریم خصوصی اشخاص ، به صراحت دارندگان آنها را مکلف می کنند در صورت پایان یافتن کاربری و کاربرد آنهاء نسبت به از بین بردن کامل و برگشت ناپذیر شان اقدام کنند . چرا که این داده ها می توانند مورد سوءاستفاده های گوناگونی قرار گیرند و بنابراین ، باید به محض پایان مدت کاربری شان برچیده شوند .

در اینجا نیز می توان در سه سطح قانونی ، مقرراتی و قراردادی موضوع را پیش بینی و ضمانت اجراهای مربوط را مقرر کرد . قاعدتا نه تنها قانونگذار بلکه مرجع مقرراتگذار نیز به تنهایی این موضوع را موضوع ضوابط خویش قرار نمی دهد و باید در کنار سایر مسایل به آنها پرداخته شود ؛ لذا ضروری است با جامع نگری همه جوانب حریم دادههای خصوصی کاربران مورد توجه قرار گیرد .

تهدیدهای جدید و ناشناخته

هنگامی که داده ای نزد یک مرجع پایگاه یا مرکز داده برای ذخیره سازی سپرده می شود ، قاعدتا سیانت از آنها در برابر تهدیدهای پیش روی آنها به عهده آن خواهد بود و وی موظف است با رصد میشگی تهدیدها ، مناسب ترین راهکارهای خنثی کننده آنها را شناسایی و بهنگام آنها را بکار گیرد ؛ با این موضوع باید به صورت یک تعهد برای آنها پیش بینی گردد . لیکن سطح چنین ارد بالا می تواند متفاوت باشد و از قوانین تا مقررات تا قراردادها امتداد یابد.

مسئولیت های ارائه دهندگان خدمات ابری

مسئولیت در واژگان هم به معنای تعهد و تکلیف است و هم ضمانت اجرا ، به بیان دیگر ، هنگامی که از مسئولیت شخصی مانند ارائه دهندگان خدمات سخن گفته می شود ، هم می تواند به معنای تعهدات و تکالیف آنها باشد و هم ضمانت اجراهای قابل اعمال به آنها . اما در ادبیات حقوقی عموما به معنای ضمانت اجراهای قابل اعمال برای نقض تعهدات و تکالیف بکار می رود .

ارائه دهندگان خدمات با داشتن شخصیت حقوقی در قالب انواع شرکت های تجاری ، از اهلیت قانونی لازم برای پذیرش انواع مسئولیتها برخوردارند و هر گاه این شخصیت دچار تزلزل شود یا از بین برود مسئولیت های مترتب بر آن نیز وضعیت ویژه ای خواهند یافت که تحلیل و بررسی این موضوع به مجال دیگری موکول می گردد .

لیکن به طور کلی و همانند سایر اشخاص حقوقی ، یعنی مؤسسات غیرانتفاعی و حتی مؤسسات دولتی ، می توان این گروه را در برابر سه نوع مسئولیت قرار داد : مسئولیت قانونی ، مسئولیت مقرراتی و مسئولیت قراردادی . در زیر به مفهوم و انواع هر یک از این مسئولیت ها و حسب مورد به مستندات قانونی آنها اشاره می شود .

مسئولیت های قانونی ارائه دهندگان خدمات

منظور از مسئولیت قانونی ، آن گونه که از نامش پیداست ، ضمانت اجرایی است که قانون گذار برای نفض تعهدات و تکالیف قانونی مقرر کرده است . فرض بر اینست که قانون گذار هر تکلیف یا تعهدی را در برابر یک حق تعریف می کند تا ایفای آن تکلیف وا حق امور اجتماعی را به طور متعادل متوازن پیش ببرد . برای مثال ، اگر برای گروهی ، مانند یک خانواده ، حق بهره مندی از هزینه ی زندگی (نفقه) را پیش بینی می کند ، شخص مسئول آن ، یعنی سرپرست خانوار را نیز معرفی می کند . یا چنانچه برای شهروندان حق بهره مندی از حریم خلوت یا خصوصی می انگارد ، سایرین را مکلف به رعایت آن می نماید .

مسئولیت های قانونی ارائه دهندگان خدمات نیز بر پایه ی حقوق تعریف شده از سوی قانون گذار برای هر یک از کنشگران پیش روی آنها ، یعنی سایر ارائه دهندگان خدمات ، کاربران و مراجع مقررات گذار آنها شناسایی می شود . برای مثال ، ارائه دهندگان خدمات حق ندارند نسبت به سایر فعالان اقتصادی مرتکب رویای ضد رقابتی شوند یا ارتباطات کاربرانشان را شنود کنند یا اینکه موظفند مقررات مصوب مراجع مقررات گذار را رعایت کنند (توضیحات مربوط به این موارد در ادامه خواهد آمد) .

تضمین پایبندی به مسئولیت های قانونی ، از سوی خود قانون گذار و با تعریف انواع ضمانت اجراهای مدنی و کیفری صورت می گیرد . ضمانت اجراهای مدنی یا بر ماهیت کار انجام شده اثر می گذارند ، مانند اینکه اگر قراردادی بر پایه ی شرایط قانونی منعقد نگردد ، ارزش و اعتبار ندارد ؛ یا اینکه زیان مادی و یا معنوی وارده را سزاوار جبران می داند (قانون مسئولیت مدنی ، مصوب ۱۳۳۹) . اما ضمانت اجراهای کیفری ، هنگامی اعمال می شوند که رفتار یا ترک رفتار متعارض با مسئولیت قانونی جرم شناخته شود . در این صورت ، مرتکب به کیفرهایی مانند اعدام ، حبس ، شلاق ، جزای نقدی یا انواع کیفرهای محروم کننده از حقوق اجتماعی یا جایگزین حبس محکوم می شود .

درباره‌ی ضمانت اجراهای ناشی از عدم ایفای مسئولیت های قانونی از سوی اشخاص حقوقی ، ضمانت اجراهای مدنی از همان آغاز به آنها همانند اشخاص حقیقی تعلق می گرفت . برای مثال ، همان طور که قرارداد منعقده از سوی یک شخص حقیقی قابل ابطال است ، قرارداد شخص حقوقی را هم می توان باطل کرد . یا همان طور که یک شخص حقیقی را می توان مسئول جبران زبان های مادی و یا معنوی وارده به دیگری دانست ، شخص حقوقی نیز از چنین اهلیتی برخوردار است . هرچند با توجه به نوع شخصیت آن میزان مسئولیت قابل اتصاف به آن متغیر است .

اما درباره‌ی مسئولیت کیفری اشخاص حقوقی ، عمری به دیرینگی مسئولیت مدنی آنها ندارد و کشورهایی مانند ما به تازگی در حال تجربه ی آنند ؛ آن هم نه به صورت فراگیر ، بلکه تا این هنگام به صورت محدود که البته همین گستره ی محدود پیوند نزدیکی با مباحث این نوشتار دارد . بر پایهی قانون جرایم رایانه ای ، مصوب ۱۳۸۸ ، چنانچه اشخاص حقوقی مرتکب جرم رایانه ای شوند ، به کیفر مقرر در مادهی ۲۰ محکوم می شوند . ماده ۱۹ این قانون ، شرایط ارتکاب جرم رایانه ای را از سوی اشخاص حقوقی چنین تعریف کرده است :

ماده ۱۹ ، در موارد زير ، چنانچه جرایم رابی به نام شخص حقوقی و در راستای منافع آن ارتکاب باید شخص حقوقی دارای مسئولیت کیفری خواهد بود :

هرگاه مدیر شخص حقوقی مرتکب جرم رایلهای شود .
هرگاه شخص حقوقی مستور ارتکاب جرم رایانه ای را صادر کند و جرم به وقوع بپیوندد
هر گاه یکی از کارمندان شخص حقوقی با اطلاع مدیر یا در اثر عدم نظارت وی مرتکب جرم رایانه ای شود.
هر گاه تمام یا قسمتی از فعالیت شخص حقوقی به ارتکاب جرم رایانه ای اختصاص یافته باشد.

تبصره ۱. مطور از مدیر کسی است که اختیار نمایندگی با تصمیم گیری با نظارت بر شخص راپلهای شود حقوقی را دارد.

تبصره ۲ . مسئولیت کیفری شخص حقوقی مائع مجازات مرتکب نخواهد بود و در صورت نبود شرایط صدر ماده و عدم انشاب جرم به شخص خصوصی فقط شخص حقیقی مسئول خواهد بود.

در صورت فراهم بودن شرایط مذکور در این ماده ، مرتکب به کیفرهای مقرر در ماده ۲۰ محکوم خواهد شد:

ماده ۲۰ . اشخاص حقوقی موضوع ماده فوق ، با توجه به شرایط و اوضاع و احوال جرم ارتکابی ، میزان در آمد و نتایج حاصله از ارتکاب جرم ، علاوه بر سه تا شش برابر حداکثر جزای نقدی جرم ارتکابی ، به ترتیب ذیل محکوم خواهند شد:

چنانچه حداکثر مجازات حبس آن جرم تا پنج سال حبس باشد ، تعطیلی موقت شخص حقوقی از یک تا نه ماه و در صورت تکرار جرم تعطیلی موقت شخص حقوقی از یک تا پنج سال.
چنانچه حداکثر مجازات حبس أن جرم بیش از پنج سال حبس باشد ، تعطیلی موقت شخص حقوقی از یک تا سه سال و در صورت تکرار جرم ، شخص حقوقی منحل خواهد شد .

تبصره - مدیر شخص حقوقی که طبق بند « ب » این ماده منحل می شود ، تا سه سال حق تأسیس با نمایندگی با تصمیم گیری با نظارت بر شخص حقوقی دیگر را نخواهد داشت .

همان طور که دیده می شود ، کیفرها سازگار با شخصیت حقوقی مرتکب پیش بینی شده اند و به همین منظور به جای اعدام ، انحلال و به جای حبس ، تعطیلی موقت و جزای نقدی نیز باشدت بیشتری پیش بینی شده است . زیرا فرض بر اینست که اشخاص حقوقی از شرایط مالی بهتری نسبت به اشخاص حقیقی بهره مندند و همان را وسیله ای برای پیشبرد اهداف جنایی شان قرار میدهنده ل تشدید کیفر آنها ناروا و ناموجه انگاشته نمی شود .

نکته ی قابل توجه دیگر اینست که چنانچه شخص حقیقی یا حقوقی جرم را به مناسبت شغل خویش مرتکب شده باشد ، پیرو ماده ۲۶ این قانون به بیش از دو سوم حداکثر یک یا دو مجازات مقرر محکوم می شود که روشن است این تشدید بر ماده‌ی ۲۰ اعمال و کیفر مقرر در آن با احتساب بیش از دو سوم اعمال خواهد شد :

ماده ۲۶. در موارد زير ، حسب مورد مرتکب به بیش از دو سوم حداکثر یک یا دو مجازات مقرر محکوم خواهد شد:

الف ) هر یک از کارمندان و کارکنان اداره ها و سازمانها یا شوراها و یا شهرداری ها و موسسه ها و شرکتهای دولتی و یا وابسته به دولت یا نهادهای انقلابی و بنیادها و مؤسسه هایی که ولی فقیه اداره می شوند و دیوان محاسبات و مؤسسه‌هایی که با کمک مستمر دولت اداره می شوند و یا دارندگان پایه قضائی و به طور کلی اعضاء و کارکنان قوای سه گانه و همچنین نیروهای مسلح و مأموران به خدمت عمومی اعم از رسمی و غیررسمی به مناسبت انجام وظیفه زیر نظر ۹ مرتکب جرم رایانه ای شده باشند .

متصدی یا متصرف قانونی شبکه های رایانه ای یا مخابراتی که به مناسبت شغل خود مرتکب جرم رایانه ای شده باشد .
داده ها با سامانه های رایانه ای یا مخابراتی ، متعلق به دولت یا نهادها و مراکز ارائه دهنده خدمات باشد .
جرم به صورت سازمان یافته ارتکاب یافته باشد .
جرم در سطح گسترده ای ارتکاب یافته باشد .

برای مثال ، چنانچه یک ارائه دهنده ی خدمات فناوری اطلاعات مرتکب کلاهبرداری رایانه ای موضوع ماده ۱۳ یا جعل رایانه ای موضوع ماده ۲۶ این قانون شود ، هم شخص حقیقی مرتکب رفتار و هم شخص حقوقی حمایت کننده ی آن با جمع بودن شرایط برشمرده مجرم و سزاوار کیفر خواهند بود .

مسئولیتهای مقرراتی ارائه دهندگان خدمات

به دلایلی چند قانون گذار به مصلحت نمی بیند همهی مسئولیت ها را خود پیش بینی و برای آنها ضمانت اجرای قانونی معین کند و آن دسته را که از اهمیت کمتری برخوردارند ، به مراجع مقررات گذار خویش میسپارد تا با تخلف دانستن آنها ، ضمانت اجرای مقرراتی را به مرتکبان تحمیل کنند .

با این حال ، مواردی را می توان برشمرد که قانون گذار خود تخلفات و همچنین ضمانت اجراهای مقرراتی قابل اتخاذ در برابر آنها را برشمرده و تنها تطبيق آنها بر مصادیق و اجرای احکام را به مراجع مقررات گذار سپرده است . از جمله بارزترین آنها ، قانون رسیدگی به تخلفات اداری ، مصوب ۱۳۷۲ است که در ماده ۸ آن تخلفات اداری و در ماده ۹ آن تنبيهات اداری آمده و اعمال آنها نیز به موجب همین به کمیسیون های تخلفات اداری واگذار شده است.

نمونه ی دیگر قانون اجرای سیاستهای کلی اصل ۴۴ قانون اساسی است که به شورای رقابت به عنوان مرجع تنظیم مقررات ارشد ملی چنین اختیاری داده است . هرچند در اینجا نیز تخلفات که عبارتند از رویه های ضد رقابتی و سایر تخلفات نظام بازار به همراه ضمانت اجراهای آنها تعیین شده است .

قانون نظام صنفی کشور ، مصوب ۱۳۸۲ نیز تخلفات اصناف ، مانند گران فروشی و کم فروشی را برشمرده و ضمانت اجراهای آن را نیز تعیین کرده است . لیکن مسئولیت اجرای این احکام را به سازمان تعزیرات حکومتی واگذار کرده است.

سر انجام کمیسیون تنظیم مقررات ارتباطات، بر پایه بند ط ماده ۴۶ قانون برنامه ی پنج سالانه‌ی پنجم توسعه از چنین اختیاری برخوردار شده است . اما با عنایت به اینکه قانون گذار پیرو ایراد شورای نگهبان مشورت وضع شده از سوی کمیسیون را یک تعهد قراردادی و نه مقرراتی پنداشته ، کسب رضایت ارائه دهندگان خدمات برای اعمال ین ضمانت اجراها را الزامی ندانسته که بی گمان هیچ ارائه دهنده‌ی خدمات خرمندی به آن تن نمی دهد، به بیان دیگر ، در اینجا قانون گذار با درک نادرست جایگاه کمیسیون تنظیم مشورت اثبات آن را در حد یک طرف قرارداد تنزل بخشیده و به آن حق پیشنهاد ضمانت اجرای قراردادی به اپراتورها داده بدیهی است این وضعیت بر قاطعیت آن در تنظیم بازار ارتباطات کشور تاثیر قابل توجهی خواهد داشت . در این بند آمده است ؛

ط - به وزارت ارتباطات و فناوری اطلاعات اجازه داده می شود با تصویب کمیسیون تنظیم مقررات ارتباطات ، مبالغی به عنوان حق امتیاز ، خسارت و جریمه عدم انجام تعهدات مندرج در پروانهای صادرها و درآمد عمومی نزد خزانه داری کل کشور واریز نماید . وجوه مورد نیاز جهت توسعه زیرساخت های ارتباطی و فناوری اطلاعات مناطق کمتر توسعه یافته در قالب بودجه سوانی تامین می گردد . جریمه موضوع این بند و میزان آن در صورتی قابل وصول است که در ضمن عقد شرط شده باشد .

از جمله ضمانت اجراهای مقرراتی که هم اینک به موجب موافقت نامه های پروانه ی خدمات ارتباطی اخبار وصول آن به سازمان تنظیم مقررات و ارتباطات رادیویی به عنوان بازوی اجرایی کمیسیون داده شده ، جریمهی نقدی ، کاهش مدت اعتبار ، تعلیق و لغو پروانه است . گرچه عنوان جریمه ی نقدی به نادر ستی جبران خسارت درج شده که خود مشکلاتی را بر سر اعمال آن پدید آورده است . زیرا اساسا در پی تخلفات برشمرده در پروانه ، زیانی به سازمان وارد نمی شود تا بتواند آن را مطالبه کند.

در کنار این احکام قانون تأسیس شرکت مخابرات ایران ، مصوب ۱۳۵۰ ، به وزارت پست و تلگراف و تلفن پیشین اختیار داده بود سوءاستفاده های مخابراتی را تعریف و برای آنها ضمانت اجرای مقرراتی نظر بگیرد.

ماده ۱۴ - تبصره ۱ - موارد استفاده غیر مجاز در آیین نامه ای که از طرف شرکت تهیه و به تصویب وزیر پست و تلگراف و تلفن خواهد رسید تعیین می گردد .

به این ترتیب ، با عنایت به تعریف گسترده ای که قانون گذار در تبصرهی ۱ ماده ۱ خود از مخابرات به عمل آورده و شامل انتقال و ارسال علائم و نوشته ها و تصاویر و صداها و هر گونه اطلاعات دیگر به وسیله سیم با بی سیم و با نور و یا هر رویه الکترومغناطیسی » می شود و قاعدتا همه ی کارکردهای فناوری اطلاعاتی و ارتباطی را در برمی گیرد و از سوی دیگر ، اختیارات وزارت پست و تلگراف و تلفن پیشین به وزارت ارتباطات و فناوری اطلاعات واگذار شده است ، دست کم می توان در خصوص بخشی از سوءاستفاده های فناورانه قابل ارتکاب در عرصه ی رایانش ابری ، مقرراتی را وضع و با متخلفان برخورد کرد.

مسئولیتهای قراردادی ارائه دهندگان خدمات

قرارداد سندی تعهد آور ا است که بر پایه ی رضایت و ارادهی طرفین قرارداد منعقد و لازم الاجرا می گردد . لازم الاتباع بودن قرارداد به ضمانت اجراهای مقرر در آن وابسته است و چنانچه در پک قرارداد ضمانت اجرایی پیش بینی نشده باشد، نمی توان برای آن اعتباری قائل شد .

با این حال ، ممکن است قانون گذار با مراجع مقررات گذار برای پیشگیری از سوءاستفاده های احتمالی از قراردادها ، به ویژه از سوی طرفهای قراردادی که از ابتکار عمل و توان قابل ملاحظه ای نسبت به دیگری برخوردارند ، احکام را وضع و مقرر کنند و چنانچه هر یک از طرفین قصد دارد ضمانت اجرایی را به طرف دیگر پیشنهاد یا تحمیل کند ، باید احکام مربوط را رعایت نماید . برای مثال ، اختیار فسخ قرارداد از جمله مهم ترین بخش های یک قرارداد است که به دلیل اهمیت آن قانون مدنی کشورمان یکی از ابواب خود را به آن اختصاص داده و احکام مفصلی را درباره ی چگونگی استیفای این حق برشمرده است تا زیانی به طرف دیگر و همچنین دارنده ی حق خیار وارد نشود .

علاوه بر این ، ممکن است قانون گذار یا مقررات گذار ، هر یک از طرفین را مکلف کنند تا به ایفای تکلیفی به موجب قرارداد پایبند باشند و در غیر این صورت برای قصور یا تقصیر خود ضمانت اجرایی را بپذیرند . در حوزه خدمات ارتباطی و فناوری اطلاعات ، نمونه ی قابل ذکر موافقت نامه های کیفیت خدمات ( SLA ) است که به ویژه مراجع مقررات گذار ارائه دهنده ی خدمات ارتباطی و فناوری اطلاعات را مکلف می کنند آنها را در قراردادهای خود با کاربران و مشتریانشان ( سایر ارائه دهندگان خدمات ) بگنجانند و به حداقل ضمانت اجراهای مقرر در اثر افت کیفیت خدمات که از سوی مقررات گذار تعیین شده ، پایبند باشند . هرچند پیش بینی و پیشنهاد ضمانت اجرای قراردادی بیشتر می تواند یک مزیت رقابتی برای وی بشمار آید و به رشد کیفی خدمات در بازار کمک کند . به این ترتیب ، مسئولیت های قراردادی گرچه بر پایه ی اراده و اختیار طرفین قرارداد شکل می گیرند ، اما از قوانین و مقررات تأثیر پذیری گریزناپذیری دارند و بنابراین ، هرچه عرصه و گسترہی مورد نظر برای مراجع حاکمیتی حساس تر و مهم تر باشد ، می توانند الزامات بیشتری را برای چگونگی انعقاد قرارداد وضع کنند . گرچه سزاوار است این مقررات تا حدی باشد که آزادی ارادهی طرفین و ابتکار عمل آنها را از بین نبرد و البته حقوق و منافع مشروع هر دو آنها را تأمین کند . در ادامه به موضوعات اختصاصی خدمات قابل ارائه در عرصه ی رایانش ابری در پرتو مسئولیتهای قانونی ، مقرراتی و قراردادی بیشتر پرداخته خواهد شد .

چالش های استفاده از رایانش ابری از منظر حقوقی

چالش های استفاده از رایانش ابری از منظر حقوقی در این بخش مواردی مطرح خواهد شد که می تواند از منظر حقوقی برای فراهم کنندگان ، ارائه دهندگان و یا کاربران و مشتریان رایانش ابری چالش ایجاد نماید .

چند کاربری و اشتراک منابع

از مشخصه های اصلی سرویس های رایانش ابری چندکاربری و اشتراک منابع بین کاربران و مشتریان مختلف می باشد . به این مفهوم که در ذخیره داده ها و همچنین انجام پردازش بر روی داده ها داده کاربران مختلف از مشتریان مختلف ممکن است در کنار هم قرار بگیرد . برای مثال در صورتیکه هیچ گونه جداسازی انجام نشده باشد ممکن است داده یک فروشگاه چند شعبه ای در کنار یک سازمان مهم دولتی قرار بگیرد . اگر چه سازوکارهای فنی زیادی برای جلوگیری از نشت داده های یک کاربر به کاربر دیگر انجام می شود اما تجربه نشان داده که حتی برای فراهم کنندگان معتبر بین المللی ممکن است به دلایل مختلف از جمله ایراد فنی ، خطای انسانی ، حملات خرابکارانه و سایر موارد مشابه اتفاق ذکر شده روی دهد .

لذا ضوابط سخت گیرانه باید وضع شود تا فراهم کنندگان وادار شوند که فناوری ها و سازوکارهای لازم را برای کاهش خطرات مربوط به اشتراک گذاری و ریسک لحاظ کنند . همچنین حوزه های پاسخگویی و طرف پاسخگو باید در قانون ، مقررات و یا توافقات سطح سرویس مشخص شده باشد.

محل قرارگیری داده

از دیگر موارد مهم محل قرار گرفتن داده ها و انجام پردازشها از لحاظ جغرافیایی می باشد . چرا که به علت ویژگیهای ذاتی رایانش ابری محل فیزیکی قرار گرفتن داده ها و انجام پردازش ها به صورت پیش فرض از مشتری پوشیده است ؛ لذا برای فراهم کنندگانی که به صورت بین المللی سرویس های رایانش ابری را ارائه می کنند ، با توجه به تفاوت های احتمالی قوانین در کشورها و نواحی مختلف جغرافیایی ممکن است چالش های حقوقی در این حوزه به وجود آید . در صورتیکه اطلاعات در داخل کشور ذخیره و پردازش شود ، مسئله محل قرارگیری داده ها چالشی ایجاد نخواهد کرد . اما باید قوانین و مقرراتی وجود داشته باشد که طرفهای سوم و پیمانکاران درگیر که بخشی از داده های مشتری یا سایر داده ها همچون اطلاعات تصديق هویت ، حسابرسی مشتریان ، گزارشات سیستم ، درگاه وب و موارد مشابه را در اختیار دارند ، این اطلاعات را به سرورهای خارج از کشور منتقل نکنند . چرا که ممکن است اطلاعات برخی از مشتریان به دلیل حساسیت های امنیتی و راهبردی قابل انتقال به خارج از کشور نباشد .

حریم خصوصی و محافظت از داده ها

یکی از موارد مهمی که معمولا همراه با مباحث مربوط به مخاطرات و خطرهای محافظت از ذخیره و انتقال داده مطرح می شود ، مقررات و قوانین میباشد . هنگامی که داده ای از حمایت های قانونی بهره مند می شود ، در حوزه ی خاصی مانند رایانش ابری ( چه خصوصی ، عمومی یا ترکیبی از آنها نیز باید با رعایت ضوابط مربوطه با آنها رفتار شود که از جمله ی آنها تأیید صلاحیت اشخاصی است که دادههای مشمول حمایت را در اختیار دارند و در این میان ارائه دهندگان خدمات از سنگین ترین مسئولیت ها برخوردارند .

نقض حریم خصوصی اغلب در خارج از رایانش ابری نیز ممکن است برای هر سیستمی ( مبتنی بر ابر یا سنتی ) در ذخیره سازی ، پردازش و یا انتقال اطلاعات شخصی ( حساس ) اتفاق بیفتد . برای مثال در سال ۲۰۱۰ برخی اطلاعات شخصی روی سرویسهای مبتنی بر ابر مانند twitter facebook و google افشا شد .

نگرانی های حریم خصوصی در مدل ابر اساسأ مسئله جدیدی نیست . به عنوان یک کاربر برخوردار از مسئولیت های حقوقی ، کار با اطلاعات واجد وصف محرمانگی در هنگام استفاده از یک ابر تفاوتی با حالتهای قبل ندارد . همان طور که شما داده های شخصی یا طبقه بندی شده را روی سروری که کنترل کافی بر آن ندارید قرار نمی دهید ، بدون بررسی اینکه یک فراهم کننده ابر محافظت کافی از داده های شما در انتقال یا پردازش - دارد یا نه با او کار نخواهید کرد .

همان گونه که اطلاعات شخصی موضوع قوانین حریم خصوصی می باشند ، اسرار تجاری و اطلاعات طبقه بندی شدهی عمومی نیز موضوع قوانین و مقررات مربوطه قرار می گیرند . اطلاعات طبقه بندی که بخشی از آنها به امنیت ملی مربوط می شوند ، معمولا از قوانین و نظارتهای قوی و کافی حمایتی برخوردارند و تا پایین ترین سلسله مراتب اداری لازم الرعايه اند . همچنین از آنجایی که رایانش ابری فناوری نسبتا جدیدی است ، لازم است بررسی دقیقی برای امکان سنجی قرار دادن داده های طبقه بندی شده بر روی آن و تهدیدها و فرصتهای پیش رو به انجام رسد . ناحيه اصلی نگرانی های محتمل در مورد پردازش داده های طبقه بندی شده ، به آن بخش از کاربردهای دولتی در اب عمومی مربوط می شود که طبق قاعده ، سایرین ( فراهم کننده و سایر مشتریان ابر عمومی نباید به این داده ها و پردازش آنها دسترسی داشته باشند . به عبارت دیگر ، هنگامی که ما استفاده از ابر عمومی را ارزیابی می کنیم ، خطوط ارتباطی مجزا و مشخصی دستگاههای اجرایی عالی و تالی برقرار است . به چگونگی نظام سلسله مراتبی و گوناگونی و گسترهی دولت در مفهوم عام ( شامل همه ی قوا و ارکان حاکمیت و مفهوم خاص ( شامل قومی مجریه ) ، به نظر می رسد دولت باید مجموعه ای از ابرهای انجمنی را برای استفاده انحصاری خود ایجاد کند تا هم بتواند از مزایای رایانش ابری بهره ببرد و هم از مشکلات امنیتی احتمالی در یک ابر عمومی دوری کند . از طرف دیگر اگر دولت بخواهد از یک ابر استفاده کند ، سرویس ها باید به نحوی طراحی و تعریف شود که هم علاقه مندی و نیازهای عموم کاربران و هم ملاحظات دولت را پاسخگو باشد . همچنین یک کاربر یا مشتری باید بتواند کنترل کننده های امنیتی افزوده ای را برای تأمین نیازمندیهایش ایجاد کند . هرچند این نکته نیز باید در نظر گرفته شود که مجموعه تمهیدات امنیتی که کاربر می تواند لحاظ کند محدود خواهد بود و ممکن است نتواند بر شکافهای امنیتی ابر عمومی فائق آید

شفافیت

شفافیت یکی از موارد مهم کلیدی در پردازش مشروع و مناسب داده های مشتریان می باشد که طیف وسیعی از اقدامات و ملاحظات را در بر می گیرد ؛ بدین مفهوم چون بر خلاف سیستم های قدیمی داده مشتریان از محل فیزیکیشان خارج می شود و در سیستمی که در مکان دیگری قرار دارد و تحت کنترل فراهم کننده یا فراهم کنندگانی میباشد ذخیره و پردازش می شود ؛ لذا اتفاقاتی که پیرامون این داده می افتد ، از دید مشتری پوشیده است . مسائل بخش های قبلی نیز به نحوی از شفاف نبودن امور تأثیر پذیرند . از جمله این موارد عبارتند از : محل فیزیکی داده ها ، این که داده با کاربران دیگری در منابع و شریک است یا خیر ، چه آسیب هایی حریم خصوصی کاربران را تهدید می کند ؛ لذا شفاف نبودن فراهم کننده سرویس موجب افزایش مخاطرات استفاده از رایانش ابری برای مشتریان میشود و سطح اعتماد به این نوع سرویس را کاهش می دهد . بنابراین باید ضوابطی وضع شود که فراهم کننده را مکلف کنند در بخش های مختلف شفاف سازی را انجام دهد ؛ از جمله اعلام محل پردازش دادهها ، شرکتهای پیمانکار ، اشتراکی بودن منابع ، تهديدات بالقوه و ساز و کارهای امنیتی تعریف شده برای کاربران.

فرآیند حذف داده های شخصی

داده های شخصی باید به نحوی نگهداری شود که هر گاه مهلت استفاده از آن به پایان رسد، به طریق مطمئنی امحا گردد. در صورتی که این داده ها برای انجام امور حقوقی (همچون ممیزی و محاسبه مالیات) باید نگهداری شوند، باید از دسترسی غیر مجاز در امان باشند، همان گونه که قوانین و مقررات مشابه بر اسناد و مکاتبات حقوقی ، اداری و تجاری حکم فرماست، در این حوزه نیز بید پاسخگویی فراهم کننده و کاربر به عنوان دو کنشگر اصلی رایانش ابری مشخص شود. معمولاً مسئولیت اصلی در این حوزه برای پاسخگویی به عهده فراهم کننده است که باید به کاربر یا مشتری خود اطمینان دهد داده ها به طور کامل پس پایان موعد مقرر حذف شده اند و هیچ نسخه ای از آنها نگهداری نمی شود .

فرآیند حذف داده های شخصی صرف نظر از اینکه بر روی چه نوع ابزار ذخیره سازی قرار گرفته باشد ، باید انجام شود ؛ لذا از آنجا که ممکن است برای بالا بردن اطمینان از ماندگاری داده ها به طور همزمان بر روی چند سرور موازی ذخیره شوند ، باید اطمینان داد که تمام نسخ موجود به صورت برگشت ناپذیر حذف می شوند .

مشتری سرویس ابر باید اطمینان حاصل کند که فراهم کننده سرویس عملیات حذف داده را با توجه به حساسیت های ذکر شده به انجام می رساند . بنابراین لازم است که این سطح از اطمینان پذیری و پاسخگویی فراهم کننده ضابطه مند و ضمانت اجراهایی برای تخطی از آنها پیش بینی شود . بدیهی است چنانچه فراهم کننده در این فرآیند پیمانکارانی را به خدمت می گیرد ، باید رعایت ضوابط مربوط را به آنها گوشزد کرده و آنها را پاسخگو نگاه دارد .

از دست دادن داده ها

بحث اصلی در انتقال منابع رایانشی به ابر ، حذف برخی مشکلات و سپرد نگرانی ها و دردسرهای پشتیبان گیری از سیستم و خرابی ها به دیگری است . اما حتی در شرایطی که فراهم کننده ابر از سیستم های موازی در مناطق جغرافیایی مختلف استفاده و توانایی خود در بازیابی از حوادث را ثابت کند و مدارک آزمایش های موفقیت آمیز خود را نشان دهد ، باز هم جای نگرانی وجود خواهد داشت . نمونه از دست رفتن کامل داده ها در اکتبر ۲۰۰۹ اتفاق افتاد ؛ زمانی که تعداد زیادی از کاربران T - Mobile Sidekick اطلاعات تماس های خود را که در ابر ارائه شده توسط Microsoft's Danger ذخیره شده بود از دست دادند . مورد دیگر در سپتامبر ۲۰۰۷ اتفاق افتاد که توسعه نرم افزار پایش جدید باعث شد برخی از ماشین های مجازی Amazon EC۲ حذف شوند .

لذا در این زمینه باید ضوابطی وجود داشته باشد تا فراهم کننده موظف باشد داده های کاربران خود را در هر شرایطی مصون از پاک شدنهای کلی و جزئی بدارد . این ضوابط می تواند در سطوح مختلف قانونی ، مقرراتی یا قراردادی پیش بینی شود . از جمله روش های قابل اتخاذ سنجش عملکرد فراهم کننده و اعمال ضمانت اجراهای مقرراتی و الزام وی به بیمه اطلاعات را می توان برشمرد محدود شدن به یک ارائه دهنده انحصار آفرینی در فناوری )

یکی از موارد نگرانی در رایانش ابری به ویژه در سرویس های تجاری ، محدود شدن به یک فراهم کننده است . برای مثال اگر شما از یک سرویس تأمین نرم افزار برای مدتی استفاده نمایید ممکن است نتوانید به راحتی و در موارد ضروری داده های خود را به برنامه های ابر مشابه یک ارائه کننده دیگر منتقل تأمین بستر یک فراهم کننده استفاده نمایید ممکن است نتوانید نرم افزارهای خود را به بستر فراهم کننده دیگری انتقال دهید . همچنین برای سرویس تأمین زیرساخت ممکن است نتوانید ماشین های مجازی خود را به زیرساخت ابر فراهم کننده جدید منتقل نمایید و بنابراین باید با فراهم کننده فعلی ادامه دهید که در این صورت با هزینه بیشتر و مشکلات ناشی از ساماندهی امور خود در ابر جدید روبرو خواهید شد .

برخی از مؤسسات و اتحادیه ها برای حرکت به سمت سازگاری بین ابرهای فراهم کنندگان مختلف شکل گرفته است ، از جمله انجمن سازگاری رایانش ابری CCIF(Cloud Computing Interoperability Forum - http://www.cloudforum.org/) DMTF(Distributed Management Task Force - http://www.dmtf.org) ، اعلامیه ابر باز (Open Cloud Manifesto - http : //www.opencloud manifesto.org/ )و برخی موارد دیگر . امروزه فراهم کنندگان ابر با مشتریانی روبرو هستند که انتظار دارند خدمات آن با خدمات سایر فراهم کنندگان سازگاری داشته باشد ؛ لذا باید ضوابطی پیش بینی شود تا ملزم شود این گونه موارد را رعایت نماید .

توقف فعالیت ارائه دهنده ابر

از آنجایی که سرویس دهندگان رایانش ابری نسبتا در دنیای تجارت تازه وارد هستند ، سؤالات زیادی در مورد ادامه کار آنان و تعهداتشان وجود دارد . برای مثال در فوریه سال ۲۰۰۹ ، Coghead که یک فراهم کننده تأمین بستر بود به مشتریان خود اعلام کرد که نه هفته فرصت دارند تا مکان جدیدی برای نرم افزارهای خود بیابند و این شرکت به دلیل چالشهای تجاری قادر به ادامه کار نیست . حال فرض کنید شما به عنوان سازمانی که سیستم سنتی خود را برچیده اید و برای دستیابی به مزایای رایانش ابری به ابری مهاجرت کرده اید که توسط یک فراهم کننده تجاری با دولتی به شما ارائه شده است و پس از مدتی استفاده از ابر این فراهم کننده به ناگاه و به دلایل مختلف امکان ناپذیر می شود . در این صورت مشتری با مشکلات زیادی روبرو خواهد شد . پیدا کردن فراهم کننده جدید و عدم سازگاری نرم افزارها ، داده ها و یا ماشین های مجازی با فراهم کننده جدید از این دست مشکلات خواهد بود ؛ و البته این در صورتی است که فراهم کننده ای وجود داشته باشد . در غیر این صورت مشتری چاره ای جز برپاسازی و فراهم کردن سیستم رایانش سنتی خود نیست که ممکن است هیچ اثری از آن باقی نمانده باشد .

بازیابی از آسیب ها و ادامه فعالیت

کاربران باید مطمئن شوند در صورتیکه محیط کاری فراهم کننده با حادثه ای از قبیل آسیب های ناشی از بلایای طبیعی ، جنگ و قطع انرژی روبرو شود ، عملیات و سرویس های آنها ادامه خواهد یافت . معمولا فراهم کنندگان این مهم را با قرار دادن سرورها و زیرساخت هایشان در چندین محل تأمین می کنند که از لحاظ شرایط اقلیمی متفاوت هستند . البته در سیستم های سنتی و غیر ابر نیز امکان حادثه وجود دارد ، ولی در آن حالت امکان مدیریت و بازسازی در دست خود سازمان عامل است . در رایانش ابری این اطمینان باید از سوی فراهم کننده ابر داده شود .

اطلاع رسانی حوادث امنیتی

کاربران نیاز دارند به طور مناسب و حتی الامکان پیشگیرانه از تهدیدها و آسیب های رایانشی از سوی فراهم کننده ابر آگاه شوند . در صورت رخداد حوادث مختلف ، به ویژه حملات امنیتی و سرقت اطلاعات باید اطلاع رسانی لازم از سوی فراهم کننده به مشتری انجام شود . نمونه هایی گزارش ش فراهم کنندگان به دلایل مختلف این مهم را تا زمانی که نتایج آن علنی نشده ، انجام نداده اند . در برخی کشورها قوانینی وضع شده است . در اتحادیه اروپا به تازگی این قوانین حالت جدی تری گرفته ، به ویژه در رخدادهای امنیتی ، شرکت ها باید در صورت سرقت و خرابکاری داده مشتریان به آنها اطلاع رسانی کنند ، در غیر این صورت با ضمانت اجراهای مدنی و حتی کیفری روبرو می شوند .

وظایف مراجع مقررات گذار

در بند پیشین و در جریان بررسی و مقایسهی وظایف و اختیارات مراجع صلاحیت دار در امر مقررات گذار فناوری اطلاعات و خدمات مربوط به آن ، با وظایف چنین مرجعی برای ساماندهی این حوزه و برخورد با تخلفات و اعمال ضمانت اجراهای مقرراتی آشنایی اجمالی صورت گرفت .

لیکن برای شناخت دقیق تر و یکپارچه ی کارکردهای چنین مرجعی ، در این بند یکایک آنها برشمرده و ویژگیها و شرایط هر یک بررسی و تحلیل می‌شود .

استانداردگزینی

به طور کلی هدف از استانداردگزینی ، حفظ کیفیت پایه در کالا و خدمات مربوط به حوزه ی مورد نظر و بهبود هماهنگ و هم سوی آنهاست . برای تأمین کیفیت ، باید استانداردها را در سه شاخه ی اصلی شناسایی و تعریف کرد : سخت افزار ، نرم افزار و محیط .

استانداردهای سخت

افزاری با توجه به ویژگی هایی که برای کالا و خدمات مورد نظر پیش بینی می شود ، سخت افزارها با تجهیزات و امکاناتی که برای خدمت رسانی قرار است تأمین شود ، باید ویژگیهای مطلوب را داشته باشند . ضمن اینکه علاوه بر احراز کارآیی و کارآمدی ، نباید پیامدهای زیان بار زیست محیطی و آسیب های مختلف جسمی و روحی برای کاربران و کارکنان داشته باشد . توجه به این نکات می تواند نظام نامهی استاندارد کیفی سخت افزارهای کاربردی در رایانش ابری را تدوین و تعریف کند .

استانداردهای نرم افزاری

نرم افزار قلب تپندهی خدمات فناوری اطلاعات ، از جمله رایانش ابری است و در بخش های مختلف این نوشتار به انواع نمونه های کاربردی و سیستم عامل های زیرساختی آن اشاره شده است . بی گمان همگی این افزارهای نرم باید از حداقل استانداردهای کیفی برخوردار باشند تا علاوه بر فراهم آوردن نیازمندیهای کاربردی ، ایمنی و امنیت این حوزه را تأمین کرده و آن را برهم نزنند . این مجموعه نیز با توجه به گوناگونی و گستردگی نرم افزارهای کاربردی ، می تواند نظامنامه ی کیفی مفصلی را به خود اختصاص دهد .

استانداردهای محیطی

زیرساخت رایانش ابری را مراکز و پایگاههای داده تشکیل میدهد که برای ساختن آنها باید استانداردهای محیطی گوناگونی را رعایت کرد . برپا کردن آنها در عمق زمین و ایمن کردن آنها در برابر انواع آسیب های طبیعی و اجتماعی از جمله مهم ترین استانداردهای لازم الرعایه برای آغاز به چنین کاری است ؛ لذا احراز صلاحیت مأموران و کارکنان این حوزه نیز می تواند در ذیل مباحث این بخش یا به طور مستقل استانداردگزینی گردد .

صدور مجوز

نظام صدور مجوز در عرصه ی خدمات ارتباطی و فناوری اطلاعات ، در سال های گذشته با دگرگونی های کم و زیادی روبرو بوده است . با بررسی اهداف کلان صدور مجوز میتوان به الگوی مناسبی برای ساماندهی آن دست یافت:

احراز صلاحیت و پیشینه فعالان اقتصادی

یکی از اهداف اصلی صدور مجوز اینست که فعالان اقتصادی پیش از ورود به بازار از لحاظ شرایط عمومی و اختصاصی بررسی و صلاحیت آنها تأیید گردد . برای مثال ، دریافت طرح کسب و کار با تجاری از آنها به منظور احراز فعال برتر با همین هدف صورت می گیرد . زیرا در آنجا متقاضی مجوز متعهد می گردد که در بازه ی زمانی مقرر به شاخص های کیفی و کمی تعیین شده دست یابد و همین امر او را در برابر تعهداتش پاسخگو نگاه می دارد.

کنترل تعداد فعالان اقتصادی

در جایی که یک عرصه ی اقتصادی از کشش کافی برای جذب نامحدود فعالان اقتصادی برخوردار نیست و حمایت از آنها ایجاب می‌کند محدودیت هایی برای ورود به این عرصه مقرر گردد ، مجوزها به تعداد محدود صادر می گردد ؛ لذا در اینجا رقابت بر سر دریافت مجوز است و پس از اخذ آن مرجع مقررات گذار از ورود سایر فعالان به این عرصه جلوگیری می کند . به این ترتیب ، بر پایه ی تعداد مجوزهایی که از سوی مرجع مقررات گذار تعریف می شود ، حسب مورد بازار انحصاری ، دارای وضعیت اقتصادی مسلط و رقابتی در حوزه ی مورد نظر شکل می گیرند.

کنترل فناوریها / خدمات

در جایی مجوز بر پایهی فناوری یا خدمات صادر می شود ، عملا از دستیابی و به کارگیری فعال اقتصادی به فناوری دیگر و یا بالاتر جلوگیری می شود . همچنین ، در جایی که مجوز خدمات محور صادر می شود ، از ارائه ی خدمات دیگری که در مجوز برشمرده نشده ، جلوگیری به عمل می آید و وی مکلف همان خدمات را در بازار ارائه کند .

دریافت حقوق مالیه ی عمومی

صدور مجوز می تواند مبنایی برای وصول درآمد عمومی باشد و بر همین مبنا تعبير حق الامتياز صدور مجوز در ادبیات قانونی - مقرراتی کشورها رواج یافته است . بر این مبنا ، حق الامتیاز به صورت درصدی از درآمد دارنده ی مجوز یا به شکل های دیگر وصول می شود .

تعرفه گذاری

تعرفه گذاری اساسا برای کنترل بازار صورت می گیرد تا از مصرف کنندگان و مشتریان کالا و خدمات حمایت به عمل آید ؛ و الا فرض بر اینست که بازار خود به نرخ تعادلی و توازنی برای ارائه ی کالا و خدمات خویش دست یابد . در چنین شرایطی ، ممکن است یک مرجع مقررات گذار بالاتر ، مانند شورای رقابت ، سیاست های کلی تعرفه گذاری برای عرصه های مختلف اقتصادی را وضع و به مراجع مقررات گذار پایین تر ، مانند کمیسیون تنظیم مقررات ارتباطات ابلاغ کند تا بر پایه ی آن برای خدمات مختلف قابل ارائه در عرصه ی فناوری اطلاعات و رایانش ابری تعرفه های مربوط را وضع و ابلاغ کند . تخطی از این تعرفه ها می تواند با ضمانت اجراهای مقرراتی روبرو شود .

تعرفه گذاری می تواند به صورت طیفی یا مقطوع صورت گیرد . تعرفه گذاری طیفی به این معناست که مرجع مقررات گذار کمینه و بیشینهی تعرفهی قابل استیفا را به دارندهی مجوز اعلام می کند و وی را در گزینش بهای مورد نظر در آن حیطه آزاد می گذارد . اما در تعرفهی مقطوع ، تنها یک نرخ به دارنده مجوز ابلاغ می شود و حق ندارد جز آن را در هزینه های خدمات خویش لحاظ کند .

نظارت و بازرسی

نظارت و بازرسی ابزار ایفای وظایف حاکمیتی مرجع مقررات گذار به شمار می آید . اشاره شد که یکی از اهداف صدور مجوز احراز صلاحیت پیشینی فعال اقتصادی است . لیکن برای احراز ابقای صلاحیت های وی در دورهی اعتبار مجوز و برخورد با تخلفات و رسیدگی به شکایات زیاندیدگان باید امور و کارهای وی مورد نظارت و بازرسی های مختلف قرار گیرد . با توجه به اهمیت موضوع ، در اینجا جنبه های مختلف آن تحلیل و بررسی می شود .

اقسام نظارت

نظارت و بازرسی ، با توجه به دستاوردهای فناورانه ای که هم اینک در اختیار مراجع مقررات گذار قرار گرفته و فعالان اقتصادی نیز به آن مجهزند ، می تواند به دو شکل محیطی و برخط صورت گیرد . بازرسی محیطی درباره ی آن دسته از فعالیت هایی به اجرا در می آید که بخشی از امورشان را در محیط فیزیکی دنبال می کنند و بنابراین بخشی از شاخص های کیفی و کمی راجع به فعالیتشان را هم باید در آنجا رعایت کنند ؛ لذا پیمایش آن محیط می تواند به احراز پایبندی دارنده مجوز و عمل بر پایه ی برنامه ی کسب و کار تقدیمی به مرجع مقررات گذار کمک کند .

نظارت برخط نیز در جایی است که با فعال اقتصادی تنها در محیط شبکه ای قابل پردازش رایانه ای فعالیت می کند و یا می تواند نیازمندیهای نظارتی مرجع مقررات گذار را به صورت شبکه ای برای آن ارسال کند . در اینجا ضروری است هم مرجع مقررات گذار و هم دارنده ی مجوز مورد نظر به یک سری ادوات سخت افزاری و نرم افزاری مجهز باشند تا بتوانند به این مهم جامه ی عمل بپوشانند . نظارت برخط ، نظارت الکترونیکی هم خوانده می شود .

شیوه های نظارت

نظارت می تواند به دو شیوهی منظم و موردی به انجام رسد . نظارت منظم به این معناست که مرجع مقررات گذار برنامهی زمان بندی از پیش تعریف شده ای را به مخاطب نظارت اعلام و بر پایه ی آن به ایفای این وظیفه می پردازد . در اینجا مخاطب می داند که نمایندگان مقررات گذار چه هنگام می آیند و در پی چه چیزهایی هستند ؛ لذا می توانند پیشاپیش خود را برای رویارویی با آنها آماده کنند .

اما در نظارت موردی یا تصادفی ، مرجع مقررات گذار برای روشن شدن مبهم یا شک برانگیز به طور سرزده در موقعیت نظارتی حضور می یابد و داده ها و اطلاعات مورد نیاز خویش را مطالبه می کند . در اینجا محرمانگی نظارت تصادفی اهمیت ویژه ای دارد و نباید پیشاپیش موضوع و مفاد آن برای دارندهی مجوز افشا شود . هرچند این نوع نظارت نباید به گونه ای اجرا شود که وی را به دردسر اندازد ؛ مانند اینکه در مواعد نامتعارفی از شبانه روز به اجرا درآید .

مفاد نظارت

مفاد نظارت همان داده ها و اطلاعات است که با توجه به گوناگونی و گستردگی فعالیت دارنده ی مجوز و تعهدات کمی و کیفی که پذیرا گشته ، باید آنها را در اختیار نمایندگان نظارتی مرجع مقررات گذار قرار دهد . نکته ی بسیار مهم در اینجا اینست که داده ها و اطلاعاتی که مطالبه می شود در گسترهی همان موضوع نظارت باشد و موارد فراتر از آن مطالبه نگردد ؛ و الا ممکن است در معرض نقض محرمانگی داده ها و اطلاعات دارندهی مجوز و حتى تعرض به اسرار تجاری وی قرار گیرند که خود با پیامدهای کیفری روبرو خواهد بود.

رسیدگی به شکایات کاربران و ارائه دهندگان خدمات

مرجع مقررات گذار موظف است به شکایات کاربران دربارهی تخطی ارائه دهندگان خدمات از ایفای وظایف قانونی و مقرراتیشان در ارائه ی خدمات رسیدگی کنند . ایفای این وظیفه نیازمند فراهم آوردن پیش نیازهای آنست که عبارتند از راه اندازی سامانه ی برخط ارتباطی و مکان حضوری دریافت شکایات ، تشکیل گروه بازرسی ویژه و دفاتر رسیدگی فوری به شکایات کاربران.

علاوه بر این ، مراجع مقررات گذار باید به شکایات ارائه دهندگان خدمات دربارهی تخطی سایر ارائه دهندگان خدمات نسبت به ایفای وظایف قانونی - مقرراتیشان رسیدگی و در صورت احراز تخلف ضمانت اجرای مربوط را اعمال کنند . برای مثال ، چنانچه ارائه دهنده ی خدماتی از اتصال متقابل با سایر ارائه دهندگان خدمات سرباز می زند یا مانع از واگشایی شبکه ی انحصاری در اختیارش می شود ، باید مشمول ضمانت اجراهای بازدارنده شود . حال باید دید در عرصه ی رایانش ابری چه اقداماتی می تواند مشمول شکایات ارائه دهندگان خدمات نسبت به یکدیگر قرار گیرد .

اعمال ضمانت های اجرایی مقرراتی

در بخش های گذشته دربارهی مفهوم و ماهیت تخلف به معنای رفتار یا ترک رفتار مغایر مقررات و ضمانت های اجرایی پیش روی آن که تنبيهات مقرراتی و اداری نام دارند ، توضیحاتی داده شد . این موضوع شاه بیت فعالیت یک مرجع مقررات گذار است و چنانچه به این سلاح مجهز نباشد ، نمی توان انتظار داشت که در ایفای وظایف حاکمیتی خویش پیروز می شود و مجموعه عواملی که باید از او پیروی کنند ، با خلع سلاح دیدن مرجع مقررات گذار از پایبندی خود سرباز خواهند زد .

برای اعمال ضمانت اجرای مقرراتی باید از اختیار صلاحدیدی قانونی برخوردار بود . به این معنا که قانون گذار چنین اختیار و وظیفه ای را به مرجع مقررات گذار اعطا کند و دیده شد که این کار به چند شكل امکان پذیر است . تخلفات و تنبيهات از سوی قانون گذار معین و تطبیق آنها با مصادیق به مرجع مقررات گذار واگذار می شود . یا اینکه تعیین تخلفات و تنبیهات نیز به وی واگذار می شود . با اینکه تخلفات را برمی شمرد و تنبیهات را به وی واگذار می کند .

با این حال ، در هیچ یک از حالت های بالا چنین رویه ای دیده نشده و نمی شود که قانون گذار تعیین میزان و نوع ضمانت اجرای مقرراتی را به کسب رضایت از دارندهی مجوز موکول کند . چرا که فرض بر اینست هیچ ارائه دهنده ی خدمات خردمندی به این تنبیه تن نمیدهد ؛ لذا اقدام قانون گذار برنامه ی پنجم در اعطای حق مشروط به کمیسیون تنظیم مقررات برای تعیین ضمانت اجرای مقرراتی تخلفات آن‌ها ، به هیچ وجه با ماهیت آن سازگاری ندارد و بیشتر به یک ضمانت اجرای قراردادی شبیه است ؛ لذا نمی توان انتظار داشت که با اعمال ضمانت اجراهای مقرراتی موضوع بند « ط » ماده ۴۶ قانون مذکور ، نظم مورد انتظار بر این عرصه حکمفرما گشته و دارندگان مجوز از ارتکاب تخلفات مقرراتی سرباز زنند .

به این ترتیب ، چنانچه قرار است مرجع مقررات گذار رایانش ابری توانمند ، کارآمد و اثربخشی طراحی و ایجاد شود ، باید به طور ویژه موضوع اختیار صلاحدیدی آن در برخورد با تخلفات رخدادنی در این عرصه بررسی و تحلیل و در صورت لزوم از قانون گذار اختیارات مورد نیاز آن اخذ گردد تا مشکلاتی که سالهاست مرجع مقررات گذار تنظیم مقررات ارتباطات کشور ، به ویژه در رویارویی با اپراتورهای غول پیکر مخابراتی دست به گریبان است ، بار دیگر نمایان نگردد .