می‌توان از تپسی و بیمه‌ها به دلیل هک شدن شکایت کرد؟ | یک تفاوت مهم در حقوق شهروندی ایران با سایر کشورها

امیر محمد حسینی

هک ۱۹ شرکت بیمه‌ای و تپسی اطلاعات میلیون‌ها کاربر را به حراج برده است. بیش از ۱۱۵ میلیون ذخیره اطلاعات شرکت‌های بیمه شامل «نام و نام خانوادگی، تاریخ تولد، نام پدر، کد ملی و شماره شناسنامه و شماره تلفن» در این هک سرقت شده است. بنابر اطلاعات منتشرشده از شرکت تپسی نیز اطلاعات ۲۷ میلیون مسافر و ۶ میلیون راننده به سرقت رفته است. به نظر می‌رسد که آنچه در این میان مغفول مانده اما حقوق شهروندانی که ممکن است از این سرقت آسیب‌های مادی و معنوی ببینند.

در بسیاری از کشورهای توسعه‌یافته و نظام‌های حقوقی در چنین مواقعی شرکت‌های سرقت‌شده ملزم به دادن غرامت به شهروندان هستند. موسسات حقوقی نیز به شکل مستقیم سراغ شهروندان آسیب‌دیده می‌روند و با بستن قراردادی شرکت‌ها را به دادگاه می‌کشند تا غرامت را از آن‌ها بگیرند.

اما آیا چنین امکانی در ایران نیز وجود دارد؟ آیا تپسی و شرکت‌های بیمه‌ای غیر از عذرخواهی و گرفتن ژست مسئولیت‌پذیری، موظف به دادن خسارت به کسانی که اطلاعاتشان سرقت شده هستند؟

هوشنگ پوربابایی وکیل پایه یک دادگستری به این سوال فراز پاسخ می‌دهد. پوربابایی می‌گوید در صورت وجود داشتن دو شرط، می‌توان از این شرکت‌های خسارت گرفت.

در ادامه مشروح این گفت‌وگو را می‌خوانید.

پس از این هک گسترده، آیا شهروندان می‌توانند سرقت اطلاعات خود را در دادگاه پیگیری کنند؟

این موضوع از دو جنبه حقوقی قابل بررسی است.

نخست اینکه از حیث جرایم یارانه‌ای وقتی فرد یا گروهی با شکستن تدابیر امنیتی به یک رسانه‌ای وارد می‌شود موضوع به لحاظ کیفری قابلیت تعقیب دارد و می‌توان در دادسرا آن‌ها را مورد تعقیب قرار داد.

نکته دیگر به لحاظ حقوق شهروند است. سوال شما این است که آیا وقتی موسسه‌ای که اطلاعات و اخبار و هویت مدنی یا جسمانی افراد را در دست دارد مورد سرقت قرار بگیرد، مسئولیتی متوجه اوست؟ آن هم درشرایطی که این موسسه تدابیر و دیواره‌های امنیتی را برای حفظ این اسرار به کار نمی‌برد و افراد سودجو و سوءاستفاده‌گر به دلایل مختلف با شکستن این دیواره‌ها به اطلاعات مردم دسترسی پیدا می‌کنند.

یعنی می‌توان این شرکت‌ها را به عنوان مسئولیت مدنی مورد تعقیب قرار داد؟

در کشورهای پیشرفته موسسات حقوقی وجود دارند که می‌توانند مطالبه خسارت کنند و برخی از آن‌ها را به عنوان غرامت در اختیار مردم بگذارند.

در ایران مطابق ماده یک قانون مسئولیت مدنی مصوب سال ۱۳۳۹ در صورتی که کسی مرتکب تقصیر شده باشد و موجب ورود خسارت به دیگری شده باشد قطعا مسئول است. یعنی عدم رعایت تدابیر امنیتی از سوی شرکت‌ها نشان می‌دهد که تقصیر محرز است. چرا که اگر تقصیری وجود نداشت هکرها قادر به نفوذ به این سامانه‌ها نبودند و اطلاعات را سرقت نمی‌کردند.

به این ترتیب حداقل به لحاظ عرفی باید ثابت شود که تدابیر امنیتی که فعلا موجود است را به کار برده و به اصطلاح احتیاط‌های متعارفی که سایر شرکت‌ها انجام می‌دهند را انجام داده.

اما نکته مهم دیگر اینجاست که برابر قانون مسئولیت مدنی، باید خسارتی نیز از این تقصیر به کسی وارد شده باشد. این خسارت می‌تواند مادی یا معنوی باشد. در صورتی که خسارت به کسی وارد نشده باشد و طرف نتواند ادعا کند که از محل فروش اطلاعات آسیب مادی یا معنوی دیده، موضوع قابلیت تعقیب ندارد.

بنابراین می‌توان گفت که زمینه‌های حقوقی پیگیری موضوع بسیار سخت در نظر گرفته شده؟

همانطور که گفتم، نظام حقوقی ایران می‌تواند با نظام حقوقی کشورهای پیشرفته در حوزه مسئولیت مدنی متفاوت باشد. بنابراین در این خصوص تازمانی که خسارت به کسی وارد نشده باشد، از دیدگاه من قابلیت پیگیری ندارد اما اگر خسارتی وارد شود شهروندان می‌تواند موضوع را پیگیری کنند.  

چرا در ایران موسسات حقوقی مستقیم سراغ مردم نمی‌روند تا با گرفتن وکالت این دست پروند‌ه‌ها را پیگیری کنند؟

موسسات حقوقی در کشور ما نیز مثل کشورها توسعه‌یافته وجود دارد. اما اینکه موسسات حقوقی مستقیم سراغ مردم بروند، کمتر دیده می‌شود. نکته دیگر اینجاست که آیا نظام حقوقی ایران با صرف سرقت اطلاعات مردم به آن‌ها خسارت می‌دهد؟ اگر چنین باشد مردم خود پیگیر این موضوع خواهند شد.

کار تپسی و دیگر شرکت‌ها قطعا به دلیل اینکه استانداردهای لازم امنیتی را نداشتند با اشکال روبه‌ور است. اما باید در این بین خسارتی متوجه مردم شود تا بتوانند از محل سرقت اطلاعات خود از این شرکت‌ها خسارت بگیرند. بنابراین در وهله اول در نظام حقوقی ایران باید تقصیر شرکت مورد نظر ثابت شود و سپس وارد شدن خسارت به دلیل آن تقصیر نیز اثبات شود.

چه تفاوتی میان ایران و دیگر نظام‌های حقوقی، به ویژه نظام حقوقی کشورهای توسعه‌یافته وجود دارد؟

یک سیستم حقوقی مسئولیت مدنی مبتنی بر تقصیر و دیگر مبتنی بر خطر و دیگری ممکن است مبتنی بر خطرـ منفعت باشد.

برخی نظام‌های حقوقی می‌گویند همین که شما شرکت، اپلیکیشن یا موسسه‌ای ایجاد می‌کنید و از آن منفعت کسب می‌کنید، هر اتفاقی برای کاربران رخ دهد به صورت مطلق باید خسارت دهید.

کشورهایی که نظام حقوقی کاملو دارند شامل انگلیس، آمریکا و کانادا و غیره اینگونه هستند. یعنی اگر این اتفاق در آن کشورها رخ می‌داد با پیگیری حقوقی شرکت مورد نظر ناچار به دادن خسارت و غرامت به کاربران و کسانی که اطلاعاتشان سرقت شده بود.