سعید میرشاهی
اپلیکیشنهای پیامرسان با میلیاردها کاربر در سراسر جهان به اَشکال فراگیر در حوزه ارتباط، تبدیل شدهاند. آنها نحوه ارتباط ما و اشتراکگذاری اطلاعات با دیگران را در زندگی شخصی و کسبوکارمان تغییر دادهاند؛ بهطوری که اکنون کارمندان معمولا از این برنامههای پیامرسان برای امور تجاری استفاده میکنند.
اما با افزایش استفاده از اپلیکیشنهای پیامرسان، نیاز به جمعآوری دادهها از این برنامهها به شیوه کاملا قانونی از طریق سیستمهای مدیریتشده توسط شرکتها و دستگاههای تلفن همراه، به دلایل حقوقی یا تحقیقاتی، افزایش یافته است.
سایت حقوقی legal.fronteousa در گزارشی چالشهای مرتبط با جمعآوری دادهها از اپلیکیشنهای پیامرسان، انواع دادههای مرتبط و پیشرفتهای جدید که بر رویکردها و سیاستهای حفظ دادهها تاثیر میگذارند را به طور مشخص در خصوص کشور آمریکا بررسی و مرورد کرده است.
- چالشهای جمعآوری دادهها در پیامرسان ثالث
امروزه اکثر کارمندان از برنامههای پیامرسان و دستگاههای تلفن همراه برای امور تجاری استفاده میکنند. این امر دستگاههای موردنیاز شرکتها را نیز شامل میشود. بسیاری از کسبوکارها هنوز ملاحظات مرتبط با سیاست BYOD را دنبال میکنند. BYOD مخفف Bring Your Own Device است.
این اصطلاح که به نامهایی مانند «دستگاه خود را بیاورید»، «فناوری خود را بیاورید»، «تلفن خود را بیاورید» و «کامپیوتر شخصی خود را بیاورید»، نیز شناخته میشود، وضعيتي را توصيف ميکند که کارمندان تمايل دارند دستگاههاي سيار شخصي خود مانند موبايل، تبلت، لپتاپ و… را به محل کار بیاورند و از آنها براي دسترسي به منابع مخصوص شرکت مانند ايميل، پايگاه داده، اطلاعات و سایر برنامههای کاربردی شرکت استفاده کنند.
با این حال، بسته به نوع کار، دستگاه شخصی ممکن است نیازمند بررسی و جمعآوری باشد. در هر صورت، استفاده از برنامههای پیامرسان و دستگاههای تلفن همراه، خطر بیشتری را برای شرکتها ایجاد میکند، زیرا آنها کنترل یا دسترسی کمتری به ارتباطات مرتبط با تجارت دارند.
اما چالشهایی را که اکنون شرکتها برای مدیریت استفاده و جمعآوری دادهها با آنها مواجه هستند، میتوان به 2 حوزه کلی تقسیم کرد: (1) مباحث حقوقی مربوط به موبایل (2) اپلیکیشنهای پیامرسان زودگذر و شبهزودگذر.
- مباحث حقوقی به فرایند دسترسی، بازیابی و تجزیه و تحلیل شواهد دیجیتال از دستگاههای تلفن همراه، با استفاده از روشهای مورد قبول قوانین اشاره دارد. بزرگترین چالش مباحث حقوقی تلفن همراه، همگامی با سرعت فزاینده تغییرات در هر ورژن است، مانند جدیدترین نسخه Apple iOS که در آن امکان ویرایش، لغو ارسال پیامها و بازیابی پیامهای اخیرا حذفشده را فراهم میکند و در نتیجه، داشتن ابزارهای موجود را به چالش میکشد و میتواند در طول بررسیهای حساس به زمان، به تمام دادههای دستگاهها دسترسی داشته باشد.
در حال حاضر، دستگاهها و سیستمعاملهای جدید به طور مداوم منتشر میشوند و هرکدام دارای سیستم فایل و روشهای ذخیرهسازی داده منحصربهفرد هستند که کار را برای کارشناسان حقوقی و قانونی مرتبط با موبایل سخت میکند، زیرا باید با آخرین تغییرات همگام باشند.
بسیار مهم است که تحلیلگر و کارشناس حقوقی، درک عمیقی از سیستمعاملهای تلفن همراه و نحوه ذخیره دادهها در تلفن همراه داشته باشد تا به تشریح نحوه فعالیت کاربر در سطح کلان کمک کند. به عنوان مثال، این تحلیلگران باید بدانند آیا دادهها در اپلیکیشن، در دستگاه ذخیره میشود یا در فضای ابری و اینکه آیا اینها رمزگذاری شده یا خیر. آنها همچنین باید بتوانند اطلاعاتی را که به طور خودکار توسط ابزارهای قانونی تجزیه و تحلیل میشوند و بیانگر فعالیت کاربر هستند، درک کنند.
- اپلیکیشنهای پیامرسان زودگذر به کاربران امکان میدهند که بهطور خودکار پیامهای درون یک برنامه را حذف کنند. برخلاف نرمافزار پیامرسان سنتی، که به کاربر اجازه میدهد محتوا را در حساب خود حذف کند نه در دستگاه گیرنده اما پیامهای زودگذر به کاربر امکان میدهد که تاریخچه محتوا را، هم برای فرستنده و هم برای گیرنده، کنترل کند.
پیامرسان شبه زودگذر نیز به ارتباطاتی گفته میشود که برخی از ویژگیهای تعیینکننده پیامهای زودگذر را تغییر میدهد. رایجترین سیستمهای پیامرسان زودگذر، شبهزودگذر هستند، زیرا مدیران میتوانند تنظیمات حفظ و نگهداری دادهها را تنظیم کنند که اغلب این کار را در سطح سازمانی انجام میدهند. نمونه برنامههای پیامرسان شبه زودگذر عبارتند از:Microsoft Teams و Slack.
در اینجا، دلایل کسبوکاری قوی برای شرکتها به منظور توجه به اپلیکیشنهای پیامرسان وجود دارد. این برنامهها:
- کارآیی و صرفهجویی در هزینه را افزایش میدهند.
- الزامات حداقلسازی دادهها در بسیاری از قوانین و مقررات حفظ حریم خصوصی را رعایت میکنند.
- قرار گرفتن در معرض نقض دادهها را به حداقل میرسانند.
- با طراحی مناسب، حریم خصوصی را تسهیل میکنند.
با این حال، سه مشکل که سازمانها معمولا هنگام جمعآوری دادهها از برنامههای پیامرسان با آنها مواجه هستند، عبارتند از:
- رمزگذاری: بسیاری از برنامههای پیامرسان از رمزگذاری سرتاسری استفاده میکنند؛ به این معنا که پیامها در دستگاه فرستنده رمزگذاری میشوند و فقط میتوانند توسط دستگاه گیرنده رمزگشایی شوند.
- فقدان استاندارد: برخلاف روشهای ارتباطی سنتی مانند ایمیل و پیامک/ متن، هیچ استاندارد مشخصی برای جمعآوری دادهها از برنامههای پیامرسان وجود ندارد. این امر بدان معناست که تیمهای حقوقی، اغلب باید به ابزارها و تکنیکهای اختصاصی برای استخراج دادهها از برنامههای خاص تکیه کنند. با این حال، مقیاسبندی آنها دشوار است و هنگام استخراج یا دریافت توسط طرفهای دریافتکننده، به ناکارآمدی میانجامد.
3. حجم زیاد برنامهها: اپلیکیشنهای پیامرسان زیادی هستند که هرکدام ویژگیها و پایگاه کاربری منحصربهفرد خود را دارند. این موضوع، کار را برای تحلیلگران و نهادهای حقوقی دشوار میکند، زیرا باید با آخرین برنامهها همراه شوند. علاوه بر این، برنامههای جدید، دائما در حال توسعه و انتشار هستند؛ به این معنا که کارشناسان حقوقی، باید متناسب با آخرین فناوریها، بهروز باشند و به سرعت به اپلیکیشنهای جدید دسترسی پیدا کنند.
- سایر پیامرسانها و ملاحظات عمومی
بر اساس آنچه ذکر شد، تا اینجا، چالشهای کلی مربوط به ابزارهای پیامرسان زودگذر و شبه زودگذر را بررسی کردیم اما پذیرفتن این واقعیت نیز مهم است که توسعهدهندگان اپلیکیشن، همچنان به نوآوری و استفاده از فناوریهای جدید ادامه میدهند. این امر چالشهای جدیدی را در حوزه حفظ و نگهداری دادهها ایجاد میکند. به عنوان مثال، در ماه مارس گذشته در نیویورک، جلسهای برگزار شد که در آن اعضای میزگرد درباره مشکلات و پیچیدگیهای کنونی جمعآوری دادهها از برنامههای پیامرسان نسبتا جدید مانند Signal و Discord ابراز تاسف میکردند.
اکنون با نگاه به آینده، باید برای انواع دادههای آینده، اعم از دادههای جدید و موجود، برنامهریزی کنیم، زیرا این دادهها ممکن است به راهکارهای جدید برای حفظ و جمعآوری دادهها از نظر قانونی نیاز داشته باشند. بلاکچین، بیتکوین و کریپتو (رمزارز)، مثالهایی در این زمینه هستند. مثال دیگر، راهحل جدید Salesforce به نام Einstein GPT مبتنی بر ChatGPT است که انتظار میرود پس از انتشار، با Slack ادغام شود.
شکی نیست که ذینفعان eDiscovery با چالشهای آتی که توسط نوآوریهای اپلیکیشن پیامرسان ایجاد میشوند، روبرو خواهند شد، همانطور که این موضوع در گذشته رخ داده است. اکنون تمرکز بیشتر دولت و حوزه نظارت بر ارتباطات، «خارج از پلتفرم» یا «خارج از کانال» است. این امر پیامهای متنی، پیامهای فوری و ارتباطات از طریق برنامههای پیامرسان شخص ثالث مانند واتساپ یا سایر سرویسهای چت زودگذر را شامل میشود. در این رابطه، تیمهای حقوقی باید هوشیار باشند و برای مقابله با چالشها ار طریق راهحلهای ارتباطی جدید آماده شوند.
- روندهای سیاست حفظ دادهها
طی دههها، شرکتها بر حفظ دادهها متمرکز بودهاند، زیرا این موضوع، بر اساس مقررات و قوانین خاص صنعت موردنیاز بود. اکنون، شرکتها با رژیمهای حقوقی متناقض دستوپنجه نرم میکنند که پاکسازی معمول دادهها را تشویق میکنند.
به عنوان مثال، مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) و نیز قانون حقوق حفظ حریم خصوصی کالیفرنیا (CPRA)، شرکتها را ملزم میکند محدودیت ذخیرهسازی دادهها را با دور انداختن ایمن و دائمی دادههایی که دیگر هدف تجاری ندارند یا دیگر مشمول تعهد نگهداری نیستند، اعمال کنند.
با این حال، در سالهای اخیر به دلیل نگرانیها در حوزه امنیت ملی، در زمینه اجرای قانون و حریم خصوصی، روند اپلیکیشنهای پیامرسان به سمت افزایش الزامات نگهداری دادهها بوده است. در این رابطه، نهادهایی که استفاده از پیامهای زودگذر را ممنوع یا محدود کرده یا درباره آن اخطار دادهاند، عبارتند از:
- وزارت دادگستری (DOJ): وزارت دادگستری در ابتدا سازمانهایی را که درباره موضوعات FCPA بررسی میشدند، در سال 2017، از استفاده از پیامهای زودگذر منع کرد اما در سال 2019، این ممنوعیت را کاهش داد و اجازه استفاده از پیامهای زودگذر را در مواردی که «راهنما و کنترلهای مناسب» وجود دارد و در مواردی که «توانایی کسبوکار شرکت را به طور مناسب تضعیف نمیکند»، مجاز دانست.
سوابق یا ارتباطات یا موارد دیگر، باید با خطمشی نگهداری اسناد یا تعهدات قانونی شرکت مطابقت داشته باشد. (DOJ Justice Manual, FCPA Corporate Enforcement Policy § 9-47.120(3)(c), available at justice.gov).
- کمیسیون بورس و اوراق بهادار (SEC): کمیسیون بورس و اوراق بهادار توصیه میکند مشاوران سرمایهگذاری، استفاده تجاری از برنامهها و سایر فناوریهایی را که به راحتی به کارمندان برای ارسال پیام یا برقراری ارتباط ناشناس اجازه میدهد یا برنامههایی که به خاطر امکان تخریب خودکار پیامها یا ممنوعیت مشاهده یا پشتیبانگیری از شخص ثالث، مورد سوءاستفاده قرار میگیرند، ممنوع کنند.
استفاده از نرمافزار پیامرسان زودگذر، ذاتا با الزامات نگهداری دادهها و پارامترهای تخریبی تحمیلشده توسط رگولاتورها، در تضاد است. این موضوع، ممکن است خطمشیهای حفظ سوابق داخلی را در طیف گستردهای از سازمانها نقض کند.
در ایالات متحده، در سال 2021، مدیر بخش اجرایی کمیسیون بورس و اوراق بهادار (SEC) در سخنرانی خود گفت که نهادها «… باید فعالانه درباره بسیاری از مسائل مربوط به انطباق که ناشی از افزایش استفاده از وسایل شخصی و ارتباطات جدید است، مانند کانالها و سایر پیشرفتهای فناوری از جمله برنامههای زودگذر فکر کرده و به آنها رسیدگی کنند.» اندکی پس از سخنرانی 6 اکتبر، نهادهای مختلف دریافتند که عدم رعایت الزامات برای حفظ اسناد، میتواند عواقب جدی در پی داشته باشد.
در سپتامبر 2022، SEC اعلام کرد که 15 کارگزار و یک مشاور سرمایهگذاری وابسته را به دلیل ناکامی در حفظ ارتباطات الکترونیکی با افرادی که از اپلیکیشنهای پیامرسان با دستگاههای شخصی در حوزه مسائل تجاری استفاده میکنند، متهم کرده است. این شرکتها به نقض مقررات ثبت سوابق SEC، اذعان و موافقت کردند جریمههای بیش از 1.1 میلیارد دلار را بپردازند.
وزارت دادگستری (DOJ)، همچنین با ابراز نگرانی درباره استفاده شرکتها از دستگاههای شخصی و برنامههای شخص ثالث و نیز توانایی نظارت بر سوءرفتار و بازیابی دادههای مربوطه در طول تحقیقات، تمرکز خود را بر این حوزه افزایش داد.
این وزارتخانه اعلام کرد: «… دادستانها باید بررسی کنند آیا شرکتها، سیاستها و رویههای موثری را درباره استفاده از دستگاههای شخصی و پلتفرمهای پیام شخص ثالث اجرا کردهاند یا خیر تا اطمینان یابند دادهها و ارتباطات الکترونیکی مرتبط با بیزینس حفظ میشود.»
علاوه بر این، توجه به این نکته مهم است که دادگاههای ایالات متحده، شروع به رسیدگی به موضوع اسناد حذفشده (عمدی) کردهاند. به عنوان مثال، مواردی وجود داشته که در آن هیئت منصفه، مجاز به استنتاج منفی با وجود فقدان شواهد بودهاند، به این دلیل که فقدان شواهد، ناشی از استفاده از پیامهای زودگذر است.
- ملاحظات مربوط به سیاست حفظ دادهها
قبلا اسناد در یک درایو شرکتی مشترک با برنامههای تاییدشده خاص ذخیره میشدند اما از آنجا که برنامههایی مانند Slack و Sharepointدر حوزه فناوری تجاری یکپارچهتر شدهاند، ابزار ردیابی، ذخیرهسازی و اشتراکگذاری نیز پیچیدهتر شده است.
هنگام توسعه، بررسی و اجرای سیاستهای حفظ داده، شرکتها باید برای تعیین پلتفرمهایی که کارکنان برای ارتباطات تجاری استفاده میکنند، زمان بگذارند تا سوابق مربوطه، به درستی حفظ شود.
بسته به نوع صنعت، شرکتها ممکن است سیاستی را درنظر بگیرند که ارسال اطلاعات اساسی را از طریق پلتفرمهای یک پیامرسان خاص ممنوع میکند. رویکرد دیگر برای جمعآوری اطلاعات میتواند شامل ایجاد برنامهای برای گردآوری اطلاعات درباره ماهیت ارتباطاتی باشد که کارکنان از طریق اپلیکیشنها تبادل میکنند. بنابراین شما میتوانید جزییات واقعی درباره دادههایی که در سراسر سازمان تولید میشود، داشته باشید.
هنگامی که جزییات لازم جمعآوری شد، اگر سیاست حفظ سوابق وجود داشته باشد، با رویکرد محتاطانه، میتوان گسترش الزامات نگهداری اطلاعات را برای اعمال آن در همه دادههای اپلیکیشنهای پیامرسان جدید لحاظ کرد تا کارمندان هنگام کسبوکار خود آن را مدنظر قرار دهند.
- نتیجهگیری
مسائل، خطرات و چالشهای مطرحشده در این مقاله، ممکن است طاقتفرسا به نظر برسند اما بهتر است مطمئن باشید که صنعت eDiscovery/Legal در گذشته نیز با چالشهای مشابه، مواجه بوده است، مانند زمانی که پیامک/ متن و چتهای بلومبرگ، جدیدترین قابلیتهای چت بودند. سالها پیش، راهحلهای جدید حقوقی نیاز بود. اکنون جامعه eDiscovery شامل متخصصان حقوقی باهوش و باتجربه است که تشخیص میدهند محیط برای حفظ و جمعآوری دادهها با توجه به راهحلهای مقیاسپذیر در حوزه فناوریهای ارتباطی جدید، بسیار واکنشگراست یا خیر.
تا زمانی که شرکتها، سیاستهایی وضع کنند که نظارت و بازبینی دورهای نحوه تعامل نیروی کار با فناوری برای برقراری ارتباط را شامل شود و هدف آن حفظ روابط نزدیک با ارائهدهندگان خدمات eDiscovery قابل اعتماد یا شرکتهای حقوقی باشد، سازمانها برای غلبه بر چالشهای آینده، به خوبی آماده خواهند شد، زیرا پیشرفتهای اپلیکیشنهای پیامرسان، راههای جدیدی را برای تعامل و همکاری در حوزه کسبوکار معرفی میکند.
3z6u03