بررسی لایحه برنامه هفتم توسعه (77): رصد و نظارت بر پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک

نوع گزارش : گزارش های تقنینی

نویسندگان

1 کارشناس گروه دولت الکترونیک و مدیریت داده دفتر مطالعات مدیریت مرکز پژوهشهای مجلس شورای اسلامی

2 سرپرست گروه دولت الکترونیک و مدیریت داده دفتر مطالعات مدیریت مرکز پژوهش های مجلس شورای اسلامی

چکیده

در دنیای امروز و با توسعه خدمات الکترونیکی در فضای مجازی، یکی از نیازهای مطرح در کشور، شکل گیری هویت متناظر برای هر فرد در فضای مذکور است. در این راستا بر اساس تکالیف مصوب هیئت وزیران دو پروژه از ۲۳ پروژه اولویت دار دولت الکترونیک، مربوط به مبحث «استقرار هویت هوشمند اشخاص در دولت الکترونیک» قرار گرفته است که شامل هویت اشخاص «حقیقی» و «حقوقی» است. در قانون برنامه پنج ساله پنجم توسعه جمهوری اسلامی ایران، سازمان ثبت احوال کشور متولی ساخت پایگاه داده اشخاص حقیقی و ارائه سرویس های احراز هویت به متقاضیان بوده و بر همین اساس، هیئت وزیران در اسناد مربوط به «۲۳ پروژه اولویت دار دولت الکترونیک در کشور» نیز، متولی ساخت و به روزرسانی پایگاه داده و سرویس های هویتی اشخاص حقیقی در کشور را سازمان ثبت احوال کشور مشخص کرده اند. این موضوع در تبصره بند «ج» ماده (۱۰۷) لایحه برنامه هفتم توسعه مورد توجه قرار گرفته شده که در این گزارش پس از بررسی و نظارت بر وضعیت پروژه استقرار شخصیت حقیقی در دولت الکترونیک، پیشنهادهایی جهت اصلاح این مواد ارائه شده است.

کلیدواژه‌ها

موضوعات

خلاصه مدیریتی

  • مسئله اصلی

در سالیان اخیر در تمام کشور‌ها؛ اهمیت انتقال خدمات ارائه شده توسط دولت به شهروندان در قالب دولت الکترونیک مشخص شده‌است. این امر می‌تواند منجر به صرفه‌جویی در انرژی برای حمل‌و نقل افراد تا کاهش هدر رفت زمان متقاضیان بیانجامد. احراز هویت کلید اصلی ورود به این عرصه است. اطمینان از صحت احراز هویت فرد در این عرصه، پیش‌نیاز تمامی خدمات ارائه شده به وی می‌باشد.

بنا به «مصوبه بیست و سه پروژه اولویت‌دار هیئت‌وزیران»، «سند نظام هویت معتبر در فضای مجازی»[1] و «مصوبات یازدهمین جلسه شورای اجرایی فناوری اطلاعات»؛ پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک نیز کلید خورد. در اسناد نام‌برده، به صراحت متولی پروژه استقرار هویت هوشمند اشخاص حقیقی، سازمان ثبت احوال معرفی شدهاست، در حالی که در لایحه برنامه هفتم توسعه، سازمان ثبت احوال کشور متولی استقرار هویت اشخاص حقیقی و حقوقی شده‌است که مشکلاتی را در این زمینه ایجاد می‌کند.

  • نقاط قوت و ضعف لایحه

تعیین سازمان ثبت احوال در کشور به‌عنوان  متولی ساخت پایگاه اطلاعات هویتی افراد حقوقی در (تبصره بند (ج) ماده (107)) لایحه برنامه هفتم توسعه موازی کاری محسوب‌می‌شود زیرا سازمان ثبت احوال تنها متولی هویت افراد حقیقی ایرانی در کشور است و ساخت پایگاه داده در حوزه افراد حقوقی و اتباع خارجی به‌ترتیب بر اساس قوانین حاضر با تولی‌گری سازمان اسناد و املاک کشور و وزارت اطلاعات در حال انجام است و فاز‌هایی از ساخت آنان به مرحله بهره‌برداری برای تمام دستگاه‌ها می‌باشد. همچنین بر اساس قوانین پیشین و قانون مدیریت داده و اطلاعات ملی، تولی‌گری پایگاه ثبت اشخاص حقوقی صریحاً به سازمان ثبتاسناد و املاک کشور واگذار شدهاست. لذا اضافه کردن مسئولیت و تولی‌گری پایگاه اشخاص حقوقی به سازمان ثبت احوال کشور، مخالف تمامی قوانین وضع شده پیشین و تقسیم‌کار موجود است و مسئله‌ای را نیز حل نمی‌کند.

  • پیشنهادهای مرکز پژوهش‌ها

پیشنهاد می‌گردد موارد ذیل در لایحه برنامه هفتم اصلاح گردند:

  1. اصلاح ماده (86):

به‌منظور ساماندهی مهاجرین و اتباع بیگانه، وزارت کشور مکلف است ضمن تشکیل سازمان ملی مهاجرت اقدامات زیر را انجام دهد:

الف- تکمیل پایگاه داده اطلاعات مربوط به اتباع خارجی با همکاری وزارت اطلاعات، وزارت امور خارجه، مرکز آمار ایران، فرماندهی انتظامی جمهوری اسلامی ایران، سازمان ثبت احوال کشور و سایر دستگاه‌های اجرایی نسبت به ساماندهی، ورود، خروج، طرد، سرشماری، آمایش سرزمینی و ثبت احوال اتباع بیگانه، پناه‌جویان، مهاجرین قانونی و غیرقانونی، به‌نحوی که تمامی اطلاعات مهاجرین و اتباع بیگانه در پایگاه داده مرجع برخط وزارت کشور با تولی‌گری سازمان ثبت احوال کشور بهصورت یکپارچه گردآوری شود و درگاه‌های بهره‌برداری آن بر اساس ماده (7) قانون مدیریت داده‌ها و اطلاعات ملی (مصوب ۱۴۰۱) برای سایر دستگاه‌ها ایجاد شود. اطلاعات اتباع خارجی در دیگر دستگاههای همکار به وزارت کشور منتقل و ارائه هرگونه خدمات به اتباع بیگانه توسط دستگاه‌های اجرایی باید براساس اطلاعات هویتی این سامانه باشد.

 

  1. اصلاح تبصره بند «ج» ماده (107):

سازمان ثبت‌احوال کشور مکلف است نسبت به راه‌اندازی تکمیل پایگاه ملی هویت اشخاص حقیقی و حقوقی با امکان شناسایی روابط سببی و نسبی اشخاص حقیقی و شناسایی خانوار و سازمان اسناد و املاک کشور مکلف است نسبت به تکمیل و بهروزرسانی پایگاه ملی هویت اشخاص حقوقی اقدام نماید. این سازمان مکلف است سازمان‌های فوق مکلف هستند با همکاری وزارت ارتباطات و فناوری اطلاعات و نظارت مرکز ملی فضای مجازی ظرف مدت دو سال پس از ابلاغ برنامه، نسبت به تکمیل بدون نقص این پایگاه اقدام کرده و ارائه خدمت احراز هویت در ارائه خدمات الکترونیکی به کلیه بخش‌های دولتی و خصوصی از طریق مرکز تبادل اطلاعات اقدام نمایند.

1. مقدمه

 

در دنیای کنونی و در حال پیشرفت، گسترش اینترنت و به‌تبع آن، استفاده و ارائه خدمات در این فضا امری اجتناب‌ناپذیر است. دولت‌ها خواهان استفاده از این شرایط جهت ارائه برخی از خدمات خود در این فضا هستند. در این مقطع، موضوع استقرار و احراز هویت بیش از هر زمانی از اهمیت والایی برخوردار شده است. احراز هویت پیش‌نیاز تمام فعالیت‌های کاربران و شهروندان در دولت الکترونیک است. در ایران از اواخر دهه 1380 شمسی اهمیت این موضوع مشهود شد. با گذشت زمان و گسترش اینترنت و زیرساخت‌های لازم در کشور، توجه دولت به احراز هویت جهت احداث و راه‌اندازی «دولت الکترونیک»[2] جلب شد.

با بررسی‌های صورت گرفته از وضعیت کشور‌های دیگر در انجام و بهره‌برداری از این خدمت و همچنین احساس نیاز به بهره‌برداری نوع بومی سیستم هویتی کشور؛ بنا به «مصوبه بیست‌وسه‌پروژه اولویت‌دار هیئت‌وزیران»،[3] «سند نظام هویت معتبر در فضای مجازی»[4] و «مصوبات یازدهمین جلسه شورای اجرایی فناوری اطلاعات»؛[5] پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک نیز کلید خورد. در اسناد نام‌برده، به صراحت متولی پروژه استقرار هویت هوشمند اشخاص حقیقی، سازمان ثبت‌احوال معرفی شده است. طبق مصوبه مذکور قرار شد تا ثبت‌احوال به‌همراه سامانه‌های «سببی و نسبی» و «هدا» به‌عنوان IDP[6] اصلی مشغول به فعالیت باشند و تا زمان بهره‌برداری مطلوب؛ بانک مرکزی به‌همراه سامانه «نهاب»، قوه قضائیه به‌همراه سامانه «ثنا» و وزارت صمت به‌همراه سامانه «امتا» به‌عنوان IDP‌های فرعی بتوانند در رفع نیاز کشور به احراز هویت کمک کنند.[1 ]

با توجه به اهمیت موضوع، سازمان‌هایی –به‌غیر از سازمان ثبت‌احوال- به‌صورت مستقل برای خود سامانه و زیرساخت‌های جداگانه‌ای برای این امر پدید آورده‌اند. باید دقت داشت که تعداد سامانه و پایگاه‌های داده بخش خصوصی که اطلاعات پایه هویتی شهروندان در آن قرار دارد بسیار بیشتر است و در صورت گسترش این فضا؛ حریم شخصی شهروندان نقض خواهد شد. پیچیدگی حاصل شده از عدم یکپارچگی سامانه‌ها و تعداد زیاد آنان باعث ایجاد عارضه‌هایی در این زمینه شده است.

در گزارش مرکز پژوهش‌های مجلس با عنوان «استفاده از شماره ملی در نظام احراز هویت و یکپارچگی سامانه‌های دولت»،[7] به سابقه طولانی و تنوع تنظیم اسناد و تخصیص شماره برای شناسایی جستارهای[8] مختلف مانند اشخاص و موجودیت‌ها اشاره شده است. تخصیص کد یکی از مهم‌ترین انواع روش‌های شناسایی افراد و اطلاعات حیاتی آنهاست که با گسترش فناوری اطلاعات و ارتباطات در ساختارهای دولتی و کسب‌و‌کارها در سمت پیشخوان به یکی از ارکان مهم نظام احراز هویت الکترونیکی تبدیل شده و در سمت پیشخوان به زیرساختی برای همکاری و تبادل اطلاعات میان دستگاه‌ها در نظام استعلامات میان‌دستگاهی مبدل شده است. از‌این‌رو ساماندهی تخصیص و استفاده از کدها یکی از ارکان لازم برای داشتن دولت الکترونیک چابک و پایدار در تعاملات دولت، کسب‌وکارها و شهروندان است. در کشورهای مختلف تلاش‌هایی برای استفاده از کدهای واحد احراز هویت در جریان است و در این زمینه اقداماتی انجام‌شده که تجربه کشور‌های آمریکا و سنگاپور و همچنین نحوه سازوکار در ایران ارائه شده است.

واژهها و مفاهیم

در این بخش به بررسی برخی از مفاهیم با استفاده از منابع علمی، قوانین و آیین‌نامه‌های مربوطه پرداخته شده است. این مفاهیم شامل مفهوم «هویت دیجیتال»، «استقرار هویت»، «احراز هویت»، «سامانه»، «اطلاعات هویتی» و «اطلاعات هویتی پایه» است.

  1. هویت دیجیتال

هویت دیجیتال به مجموعه داده‌های دیجیتالی اشاره دارد که نشان‌دهنده یک فرد، سازمان یا نهاد است. این داده‌ها ممکن است شامل اطلاعات شخصی، مانند نام، تاریخ تولد، و جزئیات تماس و همچنین فعالیت‌های دیجیتالی مانند خریدهای آنلاین، پست‌های رسانه‌های اجتماعی و سابقه مرور و جستجو[9] در اینترنت باشد. از نظر آکادمیک، هیچ تعریف جهانی از هویت دیجیتال وجود ندارد، زیرا این مفهوم اغلب به روش‌های متفاوت در زمینه‌های مختلف استفاده می‌شود. با‌این‌حال، چندین مقاله علمی تعاریف و توضیحاتی از هویت دیجیتال در زمینه‌های مربوطه ارائه می‌دهند.

به‌عنوان مثال، در زمینه سیستم‌های اطلاعاتی، هویت دیجیتال به‌عنوان (نمایندگی منحصربه‌فرد یک فرد یا موجودیت در یک زمینه دیجیتال، متشکل از ویژگی‌ها، ادعاها، و شناسه‌هایی است که برای اثبات یا احراز هویت استفاده می‌شود) تعریف می‌شود.[9 ]

در حوزه جامعه‌شناسی، هویت دیجیتال به‌عنوان (روش‌هایی است که افراد از طریق رسانه‌های اجتماعی، جوامع آنلاین و دیگر سکو‌های دیجیتال، هویت خود را به‌صورت آنلاین ساخته و انجام می‌دهند) شناخته می‌شود.[10 ]

در روانشناسی، هویت دیجیتالی به‌عنوان (جنبه‌هایی از خودپنداره یک فرد که از طریق رسانه‌ها و فناوری‌های دیجیتال بازنمایی و ارتباط برقرار می‌شود) تعریف می‌شود.[11 ]

در فصل اول، بخش 1-5 در ماده (11) آیین‌نامه داخلی شورای عالی فضای مجازی[10] هویت دیجیتال به‌صورت «مجموعه‌ای از اطلاعات پایه هویتی و صفت‌ها که معرف یک موجودیت واحد است» تعریف شده است. به‌طور‌کلی، هویت دیجیتال یک مفهوم چند بُعدی است که جنبه‌های مختلف حضور آنلاین یک فرد، از‌جمله اطلاعات شخصی، رفتارهای آنلاین و بازنمایی خود را دربر‌می‌گیرد.

  1. استقرار هویت

مفهوم استقرار هویت مفهومی پیچیده و چندوجهی است که در رشته‌های مختلف دانشگاهی به‌طور گسترده مورد بررسی قرار گرفته است. در‌حالی‌که هیچ تعریف واحدی از تثبیت هویت وجود ندارد، به‌طور‌کلی به‌عنوان فرایندی برای ایجاد یک حس پایدار و منسجم از خود در نظر گرفته می‌شود که توسط عوامل مختلفی از‌جمله ویژگی‌های فردی، تعاملات اجتماعی و زمینه فرهنگی شکل می‌گیرد.[12 ]

  1. احراز هویت

احراز هویت به فرایند تأیید هویت یک فرد، دستگاه یا سیستم و اطمینان از واقعی بودن و ایمن بودن اطلاعات یا داده‌های مبادله شده اشاره دارد. این تعریف به‌طور گسترده در ادبیات علمی و دانشگاهی در زمینه‌های علوم کامپیوتر، رمزنگاری و امنیت استفاده می‌شود.

به‌طور‌کلی، تعریف علمی و آکادمیک احراز هویت بر تأیید هویت و استفاده از روش‌ها یا اعتبارنامه‌های مختلف برای اطمینان از واقعی بودن و ایمن بودن اطلاعات یا داده‌های مبادله شده تمرکز دارد.[13 ]

  1. سامانه

سامانه به مجموعه‌ای از اجزا یا عناصر مرتبط و وابسته به‌هم اطلاق می‌شود که به‌عنوان یک موجودیت کامل عمل می‌کنند. اصطلاح سامانه اغلب برای توصیف یک موجودیت یا پدیده پیچیده استفاده می‌شود که می‌تواند به‌جای مجموعه‌ای از بخش‌های منفرد، به‌عنوان یک کل مورد مطالعه و تجزیه و تحلیل قرار گیرد.[14 ]

  1. اطلاعات هویتی

طبق بخش (چ) ماده (1) آیین‌نامه اجرایی بند «د» ماده (۴۶) قانون برنامه پنج‌ساله پنجم توسعه جمهوری اسلامی ایران، اطلاعات هویتی به‌صورت مجموعه مشخصات هویتی، وقایع حیاتی و تبارشناسی مشخص شده است.

  1. اطلاعات هویتی پایه

تعریف اطلاعات هویتی پایه بسته به زمینه‌ای که در آن استفاده می‌شود متفاوت است. به‌طور‌کلی، اطلاعات هویتی پایه به داده‌های جمعیت‌شناختی که یک فرد را توصیف می‌کند؛ مانند نام، سن، جنسیت، نژاد، قومیت و سایر ویژگی‌های شخصی مرتبط اشاره دارد.

در برخی زمینه‌ها، تعریف اطلاعات هویتی پایه ممکن است فراتر از متغیرهای جمعیت‌شناختی ذکر شده در بالا گسترش یابد و سایر عوامل مرتبط مانند وضعیت اجتماعی- اقتصادی، سطح تحصیلات و وضعیت اشتغال را نیز شامل شود.

در فصل اول ماده (11) آیین‌نامه داخلی شورای عالی فضای مجازی بخش 1-4 اطلاعات هویتی پایه به‌صورت «اطلاعات شناسنامه‌ای موجودیت‌ها شامل نسبت‌های پایه بین آنها که به‌ندرت دچار تغییر می‌شوند» تعریف شده است.

فرایند احراز هویت دیجیتال

نقشه راه فرایند احراز هویت با توجه به بررسی استاندارد‌های جهانی- شامل استاندارد‌های «موسسه ملی استانداردها و تکنولوژی»،[11] «استاندارد خدمات شناسایی و اعتماد الکترونیکی»[12] و «ISO 24760:2019»- به شرح شکل 1 است:

در قدم اول متقاضی اطلاعات خود را ثبت می‌کند. در این بخش باید مشخص باشد که چه اطلاعاتی جهت ارائه باید ثبت شود.

در قدم دوم باید صحت‌سنجی اقلام و اطلاعات وارد شده– توسط سازمان متقاضی اطلاعات از مرجع صادرکننده- صورت گیرد.

در قدم سوم تأیید نهایی صحت اطلاعات صورت می‌گیرد و شخص متقاضی می‌تواند تأیید اطلاعات خود را مشاهده کند.

در قدم چهارم سامانه مربوطه برای متقاضی، قابل استفاده و متقاضی تبدیل به کاربر خواهد شد و می‌تواند از امکانات سامانه مد‌نظر استفاده کرده و خدمات را دریافت کند.

البته باید در نظر داشت که هر استاندارد دستور‌العمل منحصر‌به‌خود را دارد و این موارد تنها بخشی از این موارد است.

شکل 1. نقشه ترسیمی فرایند احراز هویت

 

 

شاخص‌های ارزیابی احراز هویت

در استاندارد‌های «خدمات شناسایی و اعتماد الکترونیکی» و «29115ISO » شاخص‌های احراز هویت دیجیتال به 4 دسته– از ساده تا پیشرفته- دسته‌بندی شده‌اند. این شاخص‌ها شامل «Knows»، «Has»، «Is» و «Does» می‌باشند. شاخص «Knows» که ساده‌ترین شاخص احراز هویت شناخته می‌شود؛ شامل کلمه عبور[13] عبارت عبور،[14] پین‌کد[15] و هشتگ[16] است. لذا این شاخص شامل اطلاعاتی است که تقریباً ثابت و غیر‌قابل‌تغییر هستند. این شاخص و مؤلفه‌های آن قابل نفوذ هستند و در طول زمان منسوخ می‌شوند، بنابراین به‌عنوان مکملی برای سایر شاخص‌ها استفاده می‌شوند. شاخص «Has» شامل اطلاعاتی می‌باشد که کاربر، مالک آنهاست. کارت دسترسی،[17] کارت هوشمند،[18] توکن‌های امنیتی،[19] گوشی تلفن همراه، اسناد احراز[20] و کارت‌های اعتباری[21] و نقدی[22] بانکی می‌توانند مثالی برای این نوع شاخص باشند. استاندارد معمول در دنیا، صدور یک نوع از خدمات این شاخص و استفاده از آن در اکثر دستگاه‌هاست، اما در ایران هر نهاد و دستگاهی برای خود دستورالعمل متفاوتی دارد و سامانه‌ها مانند جزیره‌هایی جدا از هم هستند. به‌عنوان مثال در دنیا هر شهروند یک کد ملی منحصربه‌فرد شهروندی[23] دارد که در صورت ثبت آن در سامانه‌های خاص تعبیه شده برای انجام این امر، تمام اطلاعات شخص اعم از سوابق بیمه، سوابق بانکی، سوابق تحصیلی فرد نمایان می‌شود. در‌صورتی‌که در ایران بیمه‌ها، بانک‌ها، سازمان بورس و دستگاه‌های مختلف هر یک برای خود سامانه متفاوتی را بنا نهاده‌اند.[2 ]

شاخص «Is» شامل مواردی است که جزئی از کاربر هستند. این موارد شامل سن، جنسیت، آدرس، اثر انگشت، چهره، قرنیه چشم و صدای آنهاست. در ایران این شاخص در سامانه‌های مربوطه به‌حد قابل قبولی ساخته و پیاده‌سازی شده است. به‌عنوان مثال در سامانه سجام، افراد با شناسایی چهره و کارت ملی و تطابق چهره با بایگانی ثبت‌احوال، می‌توانند احراز هویت شوند. هم‌اکنون پروژه‌هایی در کشور به‌صورت نه چندان موفق در حال توسعه هستند و هنوز به‌حد قابل قبولی جهت ارائه خدمات برای تبدیل به «خدمت واسطه» نشده‌اند. نکته حائز توجه این است که ورود کاربران در تلفن‌های همراه با استفاده از اثر انگشت‌شان، به‌صورت برون‌خط[24] صورت می‌گیرد و تطابق با بانک اطلاعاتی صورت نمی‌گیرد. به همین دلیل این موضوع مدنظر این گزارش نیست. شاخص «Does» که در جهان در مرحله مقدماتی و آزمایشی[25] و غیر‌قابل استفاده برای عموم است، شامل ابزارهای شناخت رفتار کاربر است. دست‌خط کاربر، کلید واژه‌های[26] استفاده شده توسط کاربر، برنامه‌ها و خدمات به کار گرفته شده توسط کاربر،[27] مهارت استفاده از خدمت توسط کاربر و حرکات فیزیکی افراد[28] از‌جمله این ابزارهاست. در حال حاضر در ایران این شاخص مورد بحث قرار نگرفته است و در سطح جهانی، شرکت گوگل[29] از‌جمله شرکت‌هایی است که در این زمینه پیشرو محسوب می‌شود[1 ].

2. قوانین و اسناد بالادستی مربوط به هویت مجازی در ایران

 

قوانین بسیاری بر لزوم تکمیل این پروژه اشاره کرده‌اند که از اصلی‌ترین موارد آن می‌توان به «مصوبه 23 پروژه اولویت‌دار دولت الکترونیک» مصوب جلسه هیئت‌وزیران  مورخ 1397/01/22، «نظام هویت معتبر در فضای مجازی کشور» مصوب جلسه پنجاه‌و نهم شورای عالی فضای مجازی مورخ 1398/06/09 و «مصوبات یازدهمین جلسه شورای اجرایی فناوری اطلاعات» (مصوبه 3) مورخ 1396/01/28 اشاره کرد. باید در نظر داشت که قوانین دیگری به‌صورت غیر‌مستقیم به بحث هویت مجازی در کشور اشاره کرده‌اند، اما یک قانون جامع برای ساماندهی نظام هویت در کشور وجود ندارد. برخی از قوانینی که به‌صورت جزیره‌ای تدوین و مربوط به موضوع هویت در کشور است در جدول 1 بیان شده‌اند.

 

 

جدول 1. قوانین و مقررات در‌خصوص هویت هوشمند اشخاص حقیقی در کشور

ردیف

قوانین و مصوبات

موارد مورد اشاره

۱

نظام هویت معتبر در فضای مجازی کشور با شماره 98/103515 مصوب شورای عالی فضای مجازی مورخ 1398/06/9

تعریف برخی از مفاهیم ابتدایی مربوط به هویت مانند «تأمین‌کننده شناسه»، «تأمین‌کننده صفت‌ها» و «اطلاعات پایه هویتی» - تعریف الزامات زیست‌بوم هویت معتبر در فضای مجازی

۲

مصوبه بیست‌و‌سه پروژه اولویت‌دار هیئت‌وزیران  مورخ 1397/01/22

تعریف 23 پروژه اولیه و اولویت‌دار در حوزه دولت الکترونیک که زیرساخت‌های دولت الکترونیک را تشکیل می‌دهند.

۳

مصوبات یازدهمین جلسه شورای اجرایی فناوری اطلاعات (مصوبه ۵) با عنوان «الزام ارائه خدمات الکترونیکی به اشخاص با احراز هویت و نشانی مکان اقامت یگانه مورخ 1397/02/04

ارائه جزئیات مربوطه در حوزه پروژه نشانی استاندارد مکانی ملی مربوط به بند «۲» جدول اقدامات اجرایی پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک با تولی‌گری سازمان ثبت‌احوال کشور

۴

آیین‌نامه اجرایی ماده 32 قانون تجارت الکترونیکی مصوب جلسه هیئت‌وزیران مورخ 1386/06/11

تعیین حدومرزهای مربوط به گواهی الکترونیکی به‌عنوان یکی از روش‌های احراز هویت در کشور

۵

آیین‌نامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پول‌شویی مصوب جلسه هیئت‌وزیران  مورخ 1398/07/21

لزوم شناسایی اشخاص حقیقی و خارجی و تهیه پایگاه داده با اطلاعات افراد مذکور جهت احراز در آینده

۶

برنامه جامع توسعه تجارت الکترونیکی مصوب جلسه هیئت‌وزیران  مصوب 1384/04/05

الزام وزارت ارتباطات به تدوین قانون جامع حمایت از داده (انجام نشده)، حریم خصوصی و قانون خاص حمایت از داده (انجام نشده) و حریم خصوصی در مخابرات (انجام نشده) تا پایان سال 1385

۷

دستورالعمل استقرار و توسعه مرکز ملی پایش محیط کسب‌وکار مصوب جلسه سی‌و‌نهم ستاد فرماندهی اقتصاد مقاومتی مورخ 1396/04/26

اشاره به سازمان ثبت‌احوال به‌عنوان متولی احراز هویت اشخاص حقیقی در کشور

۸

سند راهبردی امنیت فضای تبادل اطلاعات مصوب جلسه هیئت‌وزیران  مورخ 1384/04/08

یکپارچه‌سازی خدمات مبتنی‌بر کلید عمومی (کارت هوشمند واحد)

۹

سند راهبردی توسعه راهبردی فناوری اطلاعات مصوب کمیته راهبری تدوین نظام جامع فناوری اطلاعات کشور مورخ آبان 1389

توسعه پایگاه‌های داده ملی حیاتی (تعریف شده در سند راهبردی امنیت فضای تبادل اطلاعات) در راستای توسعه کارت هوشمند ملی

۱۰

سیاست تجارت الکترونیک مصوب جلسه هیئت‌وزیران  مورخ 1381/02/29

تأمین کلیه نیازهای توسعه دولت الکترونیک با پیاده‌سازی پایگاه ملی هویتی و طرح کارت هوشمند ملی به‌عنوان یکی از زیرساخت‌های دولت الکترونیک

۱۱

نقشه راه خدمات دولت الکترونیک مصوب شورای عالی اداری مورخ 1393/06/11

ایجاد و فراگیرسازی کارت هوشمند چند‌منظوره ملی

 

3. متولی استقرار هویت اشخاص حقیقی در ایران

با وجود اینکه در قوانین به صراحت متولی استقرار هویت اشخاص حقیقی در ایران، سازمان ثبت‌احوال کشور مشخص شده اما با‌این‌وجود به دلایلی اعم از عدم کارآمدی مطلوب سامانه‌های هویتی ثبت‌احوال و نیاز کشور به احراز هویت، پراکندگی و عدم نظارت بر دستگاه‌ها و سازمان‌ها (بخش خصوصی و دولتی) و وجود ابهام در قوانین؛ سامانه‌هایی موازی با سامانه‌های هویتی ثبت‌احوال به وجود آمده است. در این بخش به بررسی بعضی از این سامانه‌ها پرداخته خواهد شد. شایان ذکر است که تعداد سامانه‌های هویتی در ایران به‌خصوص در بخش خصوصی بسیار زیاد است و حداقل یک پایگاه اطلاعات داده به‌همراه اطلاعات هویتی پایه شهروندان در بسیاری از سازمان‌های غیر‌دولتی وجود دارد. بسیاری از دستگاه‌های دولتی نیز پایگاه داده شامل اطلاعات مذکور را در اختیار دارند که بزرگ‌ترین آنان در این بخش بررسی شده است به‌عنوان مثال سازمان‌های بهره‌بردار از خدمات هویتی سازمان ثبت‌احوال عبارتند از:[30][3، 4]

  1. قوه قضائیه جمهوری اسلامی ایران؛
  2. فرماندهی انتظامی جمهوری اسلامی ایران؛
  3. بانک مرکزی جمهوری اسلامی ایران؛
  4. شبکه بهداشتی کشور؛
  5. شبکه بیمه کشور؛
  6. شبکه آموزشی کشور؛
  7. سازمان بورس و اوراق بهادر؛
  8. سازمان ثبت‌اسناد و املاک کشور؛
  9. اپراتور‌های تلفن همراه.

شکل 2 در «سایت اینترنتی پایش بیست‌و‌سه پروژه اولویت‌دار دولت الکترونیک[31]»، به‌عنوان «مدل مفهومی پروژه» قرار داده شده‌ است. در این شکل، احراز هویت اصلی تنها از طریق سازمان ثبت‌احوال صورت گرفته و سازمان ثبت‌اسناد (در رابطه با به‌روزرسانی وضعیت ازدواج و طلاق مکمل با سامانه سببی و نسبی)، وزارت بهداشت (در رابطه با به‌روزرسانی وضعیت ولادت و فوت مکمل با سامانه سببی و نسبی)، وزارت کشور (در رابطه با وضعیت اتباع ایرانی خارج از کشور)، وزارت امور خارجه (در رابطه با اتباع خارجی در ایران) و شرکت پست (برای موقعیت‌یابی) به‌عنوان دستگاه‌های همکار معرفی شده‌اند. در این شکل مفهومی هیچ اشاره‌ای به باقی سامانه‌های احراز هویت فعال در کشور نشده و صرفاً ورودی و خروجی بعضی از ارکان و نهاد و سامانه‌های احراز هویت را نام برده است. دلیل این امر ایجاد نظم در شرایط فعلی برای ساده‌سازی بیان شده‌است.

 

شکل 2. نظام استقرار هویت اشخاص حقیقی

 

 

سرویس‌های هویتی ارائه شده توسط سازمان ثبت‌احوال به شرح زیر است:[3، 4]

  1. ‌استعلام اطلاعات هویتی بر‌اساس ورودی‌های گوناگون؛
  2. ‌استعلام تصویر چهره؛
  3. ‌انطباق اطلاعات هویتی بر‌اساس ورودی‌های گوناگون؛
  4. ‌استعلام نشانی محل اقامت؛
  5. ‌استعلام اطلاعات سببی و نسبی (پایگاه در حال تکمیل)؛
  6. ‌احراز هویت ۳ عاملی مبتنی‌بر کارت هوشمند ملی؛
  7. سامانه هویت دیجیتال ایرانیان (هدا).

در جدول 2 که توسط سازمان ثبت‌احوال در سامانه پایش و رصد 23 پروژه اولویت‌دار دولت الکترونیک تحت عنوان «وضعیت پیشرفت اجرای پروژه» قرار داده شده؛ گزارش پیشرفت پروژه تحت اظهارات سازمان ثبت‌احوال نشان داده شده ‌است. در ادامه توضیح داده خواهد شد که سامانه‌های هویتی سازمان ثبت‌احوال تنها بخش کوچکی از نظام هویت دیجیتال در کشور است و سامانه‌های دیگری به موازات آن فعالیت می‌کنند.

 

جدول 2. جدول پیشرفت اجرای پروژه استقرار هویت هوشمند

اشخاص حقیقی در دولت الکترونیک (اقدامات مربوط به سازمان ثبتاحوال)

بند

اقدام

پیشرفت برنامه‌ریزیشده (۱۰۰٪)

پیشرفت واقعی

(۵۰٪)

«1»

استعلام آنلاین اطلاعات هویتی اشخاص حقیقی از طریق مرکز ملی تبادل اطلاعات

٪100

٪100

«2»

ایجاد و کاربردی‌سازی اطلاعات مکانی

٪100

73٪

«3»

راه اندازی سامانه سببی و نسبی

٪100

12٪

«4»

ایجاد بستر سرویس هویتی با اتباع ایرانی خارج از کشور و اتباع خارجی

٪100

20٪

«5»

کاربردی‌سازی احراز هویت هوشمند اشخاص حقیقی

٪100

100٪

«6»

ایجاد درگاه احراز هویت اشخاص حقیقی

٪100

100٪

«7»

حذف دریافت کپی مدارک هویتی در ارائه خدمات

٪100

50٪

 

در جدول 2[32] تنها اقدامات مربوط به سازمان ثبت‌احوال و درصد‌های پیشرفت آنان بیان شده است.

در ادامه، به بررسی اقدامات سازمان ثبت‌احوال در‌خصوص اجرای پروژه استقرار هویت هوشمند اشخاص حقیقی متناسب با جدول ۲ پرداخته خواهد شد.

 

بند اول: استعلام آنلاین اطلاعات هویتی اشخاص حقیقی از طریق مرکز ملی تبادل اطلاعات

سازمان ثبت‌احوال کشور بیش از 20 سال است که با فناوری‌های متفاوت استعلامات مربوط به هویت افراد را برای دستگاه‌های متفاوت کشور اجرایی کرده است. از سال 1389 خدمات مربوط به استعلام افراد حقیقی در قالب وب سرویس ارائه شد. پیش از تأسیس «شبکه ملی اطلاعات» و «مرکز ملی تبادلات[33]» تبادلات فوق‌الذکر داده در قالب تفاهم‌نامه میان سازمان ثبت‌احوال کشور و دیگر سازمان‌ها صورت می‌گرفت. در برنامه ششم توسعه[34] سازمان ثبت احوال سرویس‌های خود را در قالب شبکه ملی اطلاعات ارائه کرد. بسیاری از دستگاه‌ها به دلایلی تمایلی به انتقال سرویس‌های خود تحت این شبکه نداشته‌اند. البته با توجه به وظیفه قانونی سازمان ثبت‌احوال مبنی بر ارائه سرویس‌های مربوطه از طریق مرکز ملی تبادل اطلاعات با این‌حال تا پیش از پایان سال 1397 همچنان ارائه سرویس‌های مذکور از طرق قبلی به موازات ارائه خدمات در مرکز ملی تبادل اطلاعات ادامه پیدا کرد. پس از این موضوع سازمان ثبت‌احوال طی مکاتباتی[35] به کلیه بهره‌برداران از این خدمات اعلام‌کرد که سرویس جاری آنها به مرکز ملی تبادل اطلاعات منتقل شده و از این پس ارائه خدمات تنها در این بستر صورت خواهد گرفت.[3] بیش از 200 دستگاه اجرایی، سازمان و نهاد دولتی و خصوصی از خدمات هویتی سازمان ثبت‌احوال کشور در بیش از 200.000 نقطه جغرافیایی بر روی شبکه ملی اطلاعات از خدمات هویتی این سازمان در دو قالب «گذرگاه خدمات دولت»[36] برای بخش دولتی و «گذرگاه عمومی خدمات دولت»[37] برای بخش خصوصی استفاده می‌نمایند. در گذرگاه خدمات دولت تمام موارد و اطلاعات هویتی پایه برای سازمان درخواست‌کننده ارسال می‌شود اما در گذرگاه عمومی خدمات دولت تنها به‌صورت نتیجه‌محور و دو نتیجه «OK» و «NOT OK» برای سازمان‌ها نمایان می‌شود. به‌عنوان مثال از متقاضی احراز هویت 5 قلم موارد هویتی دریافت می‌شود و در پایگاه داده یکسان‌سازی صورت می‌گیرد. در‌صورتی‌که اقلام دریافتی احراز شود سازمان با پیام OK و در غیر این صورت با پیام NOT OK مواجه خواهد شد.[38]

 

بند دوم: ایجاد و کاربردی‌سازی اطلاعات مکانی

عدم وابستگی ارائه خدمات الکترونیکی در کشور به نشانی و محل زندگی، موجب شده است که مردم لزومی در اعلام تغییر نشانی محل زندگی خود نبینند این مسئله باعث پیش آمدن بسیاری از مشکلات از‌جمله عدم تحقق واقعی این بند (ایجاد و کاربردی‌سازی اطلاعات مکانی) می‌شود. به‌منظور تحقق کامل این بند، پنج تکلیف برای دستگاه‌های مختلف تعیین شده است که دو وظیفه از آنها متعلق به سازمان ثبت‌احوال کشور می‌باشد. اولین وظیفه، ارائه امکان تغییر نشانی به‌صورت رایگان و برخط برای شهروندان و وظیفه دوم نیز، فراهم کردن امکان استعلام نشانی افراد برای دستگاه‌های کشور است. اگرچه انجام این تکالیف با موفقیت صورت‌گرفته است، اما جهت تحقق کامل بند دوم، نیاز به تکمیل اطلاعات پایگاه داده‌های مربوطه در پروژه وجود دارد. مادامی‌که اطلاعات و داده‌های پایگاه داده فوق‌الذکر ناقص باشد، بهره‌برداری بی‌نقص از آن ممکن نخواهد بود. به همین دلیل، سازمان ثبت‌احوال مسئولیت ساخت یک وب‌سرویس با قابلیت‌های مذکور را برعهده داشت که این امر با موفقیت انجام‌شده، اما پایگاه داده آن ناقص و نیازمند تکمیل است.[1 ]

 

 

بند سوم: راه‌اندازی سامانه سببی و نسبی

مکانیزه شدن سازمان ثبت‌احوال کشور به اواسط دهه 50 شمسی برمی‌گردد. این طرح با نام «اصلاح اساسی سیستم ثبت‌احوال» و بر‌اساس تبصره «39» برنامه اول توسعه آغاز شد. تمام شناسنامه‌های ثبت‌احوال از سال 1297 بر مبنای سندی در اسناد تحت مالکیت ثبت‌احوال وجود دارد؛ اما از سال 1375 تاکنون به‌دلیل محدودیت‌های فناورانه، تنها اطلاعات انفرادی افراد به پایگاه داده ثبت‌احوال وارد می‌شود. در سال 1382، تصمیم بر دریافت اطلاعات هویتی والدین و سرپرستان آنان تا 2 نسل برای صدور شناسنامه، گرفته شد. در‌واقع ارائه شناسنامه پدر، مادر، پدربزرگان و مادربزرگان برای هر فرد ایرانی خواهان دریافت شناسنامه، اجباری خواهد شد. این طرح ابتدا به‌صورت آزمایشی در سمنان اجرا شد، اما با چالش‌های بسیاری مواجه شد؛ از‌جمله پراکندگی افراد نام‌برده در سراسر کشور که دریافت شناسنامه آنان را غیرممکن می‌ساخت. بعد از مواجهه با این چالش‌ها، تصمیم به اصلاح داده‌های مذکور به‌صورت درون‌دستگاهی و با کمک دستگاه‌های دیگر شد. به این منظور، سازمان ثبت‌احوال کشور با استفاده از ظرفیت دیگر دستگاه‌ها و اطلاعات موجود در پایگاه‌های داده آنان در حال تکمیل شجره‌نامه‌ها در سامانه سببی و نسبی می‌باشد. باید توجه داشت که تکمیل شجره‌نامه‌ها نیازمند کار میدانی وسیعی می‌باشد که در حال انجام است. این پروژه می‌تواند تأثیرات مثبت زیادی را به‌همراه داشته باشد؛ به‌عنوان مثال می‌توان از انتصابات فامیلی در سازمان‌ها جلوگیری کرد.[1، 3]

سال 1390 اسناد قدیمی (تولد و فوت) برای ارائه خدمات فارغ از محل صدور بایگانی شد. با‌این‌وجود در صورت عدم تطابق محل زندگی و صدور شناسنامه فرد؛ دیگر نیازی به مراجعه به محل صدور شناسنامه برای استفاده از خدمات ثبت‌احوال نبود[3].

بر‌اساس اظهار سازمان ثبت‌احوال در «سامانه رصد و پایش 23 پروژه اولویت‌دار دولت الکترونیک»، پیشرفت سامانه سببی و نسبی 12 درصد اعلام شده است. از‌جمله موانع پیشرفت جمع‌آوری داده در این سامانه می‌توان به نبود اطلاعات مربوط به نام مادران از قبل از سال 1370 شمسی به‌ازای هر کد ملی اشاره کرد. بر‌اساس اظهارات سازمان ثبت‌احوال به‌علت عدم تخصیص بودجه معین برای تکمیل پروژه اطلاعات سببی و نسبی، توسعه این سامانه با تأخیر مواجه بوده است. راهکارهای این موضوعات بر‌اساس ادعای سازمان ثبت‌احوال کشور، هماهنگی با دستگاه‌ها جهت به‌روز بودن اطلاعات اقامت و ورود و خروج، فراهم کردن زیرساخت‌ها و بودجه و هماهنگی دستگاه‌های ذی‌ربط، الزامات قانونی جهت احراز هویت واقعی در فضای مجازی و برنامه‌ریزی در راستای داده‌کاوی و هوشمندسازی در نظر گرفته شده است. بر‌اساس خوداظهاری سامانه ثبت‌احوال در سامانه فوق‌الذکر نهادینه و کاربردی کردن ظرفیت‌های کارت ملی هوشمند، نیاز به تکمیل پروژه با پوشش دادن اشخاص حقیقی و اتباع خارجی و حذف هزینه استعلام هویتی اقدامات کلیدی برای این پروژه می‌باشد. همچنین امکان شناسایی روابط سببی و نسبی اشخاص حقیقی به‌صورت اولیه از طریق مرکز ملی تبادل اطلاعات ایجاد شده که این سرویس در حال حاضر در اختیار بانک مرکزی جمهوری اسلامی ایران، مرکز ملی اطلاعات مالی و مبارزه با پول‌شویی[39] و پنجره واحد خدمات دولت هوشمند[40] قرار گرفته شده است.[4]

این سرویس در سامانه متعلق به سازمان ثبت‌احوال ملقب به «سهیم» نیز به‌همراه برخی دیگر از خدمات الکترونیک ثبت‌احوال ارائه شده است. نکته حائز اهمیت در این امر، عدم نمایش این خدمت هنگام ورود به سامانه سهیم از طریق «پنجره ملی خدمات دولت هوشمند» است. به‌بیان ساده‌تر هنگامی‌که کاربر از طریق پنجره ملی خدمات دولت هوشمند وارد سامانه سهیم شود؛ دسترسی او به برخی از خدمات ارائه شده در سامانه سهیم از‌جمله دسترسی به «پایگاه اطلاعات خانواده» و «پایگاه اطلاعات خانوار» مقدور نمی‌باشد. طبق بررسی‌ها و ارائه جداول زمان‌بندی سازمان ثبت‌احوال کشور موظف به تکمیل پایگاه داده مربوطه در سال 1399 بود اما با گذشت سالیان، تاکنون پایگاه داده مربوطه تکمیل نشده است.

 

بند چهارم: ایجاد امکان احراز هویت هوشمند اشخاص حقیقی

در این بند با استفاده از کارت ملی هوشمند و ایجاد روش‌هایی مانند احراز هویت بر پایه مشخصات بیومتریک و موارد مشابه، امکان احراز هویت هوشمند اشخاص حقیقی صورت گرفت که مقدمه و پیش‌نیازی برای بند ششم یا همان «ایجاد درگاه احراز هویت اشخاص حقیقی» است.

 

بند پنجم: پاسخگویی از طریق مرکز ملی تبادل اطلاعات به استعلامات دستگاه‌های ارائه‌دهنده خدمت در‌خصوص صحت اطلاعات هویتی اتباع خارجی

تأیید اطلاعات هویتی اتباع خارجی توسط مرجع صدور شناسه یکتا (کد فراگیر) یکی از روش‌های اثر‌بخش در احراز هویت افراد در کشور است. این بند با مشکلات و چالش‌هایی از قبیل مالکیت حقوقی مرجع صدور کد‌های هویتی روبروست که در بخش چالش‌ها به آن پرداخته شده است.

 

بند ششم: ایجاد درگاه احراز هویت اشخاص حقیقی

سامانه هدا (هویت دیجیتال ایرانیان) برای ساماندهی وضعیت فعلی هویت در کشور توسط سازمان ثبت‌احوال تأسیس شد. سازمان ثبت‌احوال طیف گسترده‌ای از روش‌های احراز هویت را در این سامانه ارائه می‌دهد. این طیف گسترده از انواع روش‌های احراز هویتی به این موضوع اشاره دارد که سامانه هدا برای احراز هویت خدمات مهم و استراتژیک تا احراز هویت خدمات پایه می‌تواند خدمات خود را ارائه دهد.

هر دستگاه می‌تواند با امضای تفاهم‌نامه با سازمان ثبت‌احوال از امکانات این سامانه استفاده کند؛ البته تا پیش از سال 1400 صرفاً بخش دولتی مجوز دریافت خدمات مربوطه از‌سوی این سازمان را دریافت کرده بودند اما از تیر‌ماه 1400 شرکت‌های خصوصی نیز می‌توانند از این سامانه به‌صورت برخط استفاده نمایند. در سامانه هدا هشت قلم اطلاعاتی مورد بررسی قرار می‌گیرد و نتیجه تأیید یا عدم‌تأیید اعلام می‌گردد. وظیفه سامانه هدا نگهداری و محافظت از خدمات سامانه‌های سازمان ثبت‌احوال و ارائه خدمات به سرویس‌ها و سامانه‌های دیگر به‌عنوان بخش مکمل است.[1، 3]

 

بند هفتم: استعلام برخط اطلاعات هویتی اشخاص حقیقی از طریق مرکز ملی تبادل اطلاعات

متولی تحقق این بند تمام دستگاه‌های اجرایی کشور (با چند استثنا) می‌باشند. در بسیاری از موارد مشاهده شده که سازمان‌ها براساس پایگاه داده بسیار ناقص و قدیمی خود استعلامات هویتی افراد را انجام می‌دهند. این کار باعث وجود مشکلات فراوان در اثبات هویت افراد است. به همین دلیل استعلامات تنها باید از طریق مرکز ملی تبادلات با سازمان ثبت‌احوال (برای اطلاعات هویتی پایه) صورت گیرد. راهکار‌های رفع مشکلاتی از قبیل عدم استعلام دستگاه‌ها در ادامه شرح داده شده ‌است.[41]

 

بند هشتم: حذف دریافت کپی مدارک هویتی در ارائه خدمات

از سال 1391، سازمان ثبت‌احوال کشور کارت ملی هوشمند را به بهره‌برداری رساند، و جامعه هدف این طرح افراد بالای 15 سال بود. از این تعداد، نزدیک به 98 درصد افراد جامعه هدف درخواست کارت ملی هوشمند خود را در سامانه مربوطه ثبت کردند. تاکنون حدود 6 میلیون درخواست کارت ملی هوشمند در سامانه ثبت‌شده، اما مشکلات مالی و موانعی مانند تأمین بدنه کارت، باعث بروز تأخیر در تحویل کارت‌های ملی شده است. تا تاریخ 1401/12/23 حدود 60 میلیون کارت ملی هوشمند به متقاضیان صادر شده است.

از سال 1396، برخی از بهره‌برداران با دستگاه‌های دولتی مذاکره کرده تا از کارت ملی هوشمند برای احراز هویت استفاده و مدارک فیزیکی را کاهش دهند. این امر در برخی دستگاه‌ها از‌جمله نظام بانکی، سازمان اسناد و املاک کشور، حوزه قضائی، اپراتورها و وزارت بهداشت تا حدودی عملی شده است. با‌این‌حال، بعضی از دستگاه‌ها به‌علت هزینه‌های گران‌قیمت دستگاه مربوطه و سایر موارد، علاقه‌ای به استفاده از این امکان ندارند. پیش‌بینی سازمان ثبت‌احوال استفاده از کارت ملی برای احراز هویت و حذف مدارک فیزیکی در 3 حوزه صورت‌گرفته بود: حوزه اول احراز هویت حضوری و فیزیکی، حوزه دوم احراز هویت نیمه‌حضوری (بانک و خودپرداز) و حوزه سوم احراز هویت غیر‌حضوری مانند فناوری «ارتباط از فاصله‌ی نزدیک»[42] و سایر موارد.

گفتنی است که گواهی‌های امضای دیجیتال در کارت‌های ملی تاریخ انقضای 10‌ساله دارند و با توجه به صدور اولین کارت ملی در سال 1391، تعداد امضای کارت‌های منقضی شده هر روز در حال افزایش است. برای جلوگیری از هدر‌رفت سرمایه‌های ملی، لازم است این امضا‌ها را به مرحله بهره‌برداری رساند. روش استعلام استناد‌پذیر اطلاعات هویتی از طریق مرکز ملی تبادل اطلاعات در دسترس بوده و استفاده از آن برای تحقق پروژه حذف دریافت کپی مدارک هویتی نیازمند پیگیری از سازمان اداری و استخدامی و نهاد‌های نظارتی است.

 

بند نهم: جایگزینی تمام درگاه‌های هویت با درگاه احراز هویت هوشمند اشخاص حقیقی

همان‌طور که گفته شد؛ تنها متولی موضوع هویت افراد حقیقی در کشور سازمان ثبت‌احوال است و برای احراز هویت این افراد سازمان‌ها مکلفند برای استعلام اقلام هویتی پایه تنها از پایگاه داده سازمان ثبت‌احوال کشور استفاده نمایند. سازوکار درگاه احراز هویت ملی سازمان ثبت‌احوال باید به‌نحوی قرار گیرد تا سازمان‌ها در سامانه‌های خود برای محرز شدن هویت متقاضیان، به آنان یک کد منحصربه‌فرد و یک‌بار مصرف اعطا کرده و آنان را به سامانه ثبت‌احوال ارجاع دهند. پس از طی شدن مراحل احراز هویت در سامانه ثبت‌احوال، متقاضی احراز شده به سامانه اولیه برگشته و به‌عنوان کاربر به فعالیت خود ادامه می‌دهد. در این سیستم سازمان ثبت‌احوال از هدف احراز هویت متقاضی و سازمان اولیه از هویت کاربر اطلاع پیدا نخواهد کرد.

4. سامانه‌های موازی هویتی افراد حقیقی در ایران

همان‌طور که گفته شد متولی ساخت سامانه هویتی افراد حقیقی در کشور سازمان ثبت‌احوال است اما طبق یافته‌های پژوهش، برخی از دستگاه‌ها و سازمان‌های اجرایی در کشور از سامانه‌های ارائه‌دهنده خدمات هویتی (مانند احراز هویت) با تأسیس پایگاه‌های اطلاعاتی مجزا بهره‌برداری نموده‌اند. در ادامه به برخی از این سامانه‌های پرداخته شده است. گفتنی است که تمام این اطلاعات مربوط به سامانه‌های دستگاه‌های دولتی می‌باشند. بسیاری از دستگاه‌ها و نهاد‌های دولتی پایگاه داده خود را ساخته و برخی دیگر به ارائه خدمات هویتی مشغول هستند.

سامانه شاهکار

سازمان تنظیم مقررات و ارتباطات رادیویی ذیل وزارت ارتباطات و فناوری اطلاعات، متولی ساخت و بهره‌برداری از سامانه «شبکه احراز هویت کاربران» یا به‌اختصار شاهکار است. در حال حاضر «خدمت تطبیق» در سامانه شاهکار به‌عنوان یکی از 38 خدمت اصلی این سامانه به نهادها، سازمان‌ها، بانک‌ها و کسب‌و‌کارها ارائه می‌شود. این سامانه به یکی بزرگ‌ترین خدمات ارائه شده در حوزه هویت تبدیل شده است.

از‌جمله اسناد بالادستی ساخت سامانه شاهکار می‌توان به مصوبه جلسه سی‌ام شورای عالی فضای مجازی مورخ 1393/07/07 با عنوان «احراز هویت کاربران در فضای مجازی»، مصوبه جلسه پنجاه‌و‌نهم شورای عالی فضای مجازی مورخ 1398/07/15 با عنوان «نظام هویت معتبر در فضای مجازی» و موافقت‌نامه پروانه اپراتورهای ارتباطی مبنی‌بر لزوم احراز هویت مشترکین اشاره کرد.

فرایند دریافت خدمت هویتی از این سازمان به‌نحوی است که پس از اعطای دسترسی توسط سازمان فناوری اطلاعات و سازمان تنظیم مقررات و ارتباطات رادیویی، مشخصات فنی برای فراخوانی وب‌سرویس به آدرس پست الکترونیکی اعلامی نماینده درخواست‌کننده ارسال خواهد شد. این خدمت به‌عنوان یکی از روش‌های احراز اصالت هویت مالک خدمت (نظیر تطبیق شماره تلفن همراه و کد ملی شخص حقیقی) استفاده می‌شود. در حال حاضر این خدمت از «طریق گذرگاه ملی خدمات دولت»[43] برای دستگاه‌های دولتی و در قالب «گذرگاه عمومی خدمات دولت»[44] قابل استفاده برای کسب‌و‌کارهای مورد تأیید این سازمان است. نقطه قوت سامانه شاهکار در ارائه خدمات در آن صرفاً برای مشترکینی است که دارای سیم کارت‌هایی به نام خودشان هستند این عامل موجب حذف سیم‌کارت‌های فاقد مالک و کاهش تقلب در این بخش خواهد شد.

خدمت شاهکار واسطی بین کاربر مخابراتی و مراجع هویت است که در صورت عبور کاربران از این فیلتر، به خدمات مشخص شده دسترسی می‌یابند. در بررسی‌های صورت گرفته مشخص شد که سامانه شاهکار اطلاعات هویتی پایه شهروندان را دریافت نمی‌کند و تنها خدمت تطبیق کد ملی و سیم‌کارت را با استفاده از کد ملی انجام می‌دهد که شامل موازی‌کاری در این بخش نیست اما وجود این سامانه نمایشگر پراکندگی بحث هویت و احراز آن در کشور و عدم توانایی سازمان ثبت‌احوال به‌تنهایی برای مدیریت موضوع است.[5]

سامانه سماوا

سازمان فناوری اطلاعات ایران ذیل وزارت ارتباطات و فناوری اطلاعات، متولی راه‌اندازی «سامانه ملی احراز هویت و استعلامات ملی» یا به‌اختصار سماواست. سماوا خدمت و بانک اطلاعاتی مشابهی با سامانه «شاهکار» دارد که در ادامه به آن پرداخته شده است. در‌واقع ادغام این دو سامانه در حوزه هویت می‌تواند به موازی‌کاری در این بخش پایان دهد. این خدمت در اختیار کسب‌وکارها قرار می‌گیرد تا بخشی از شناخت کاربران که نیازمند ارتباط با بانک‌های اطلاعاتی حاکمیتی است به‌واسطه آن انجام شود. در این فرایند کاربر از طریق سکوی[45] کسب‌و‌کار، به صفحه سماوا هدایت می‌شود. پس از شناسایی و استعلام موفق، کاربر از صفحه سماوا به سایت کسب‌وکار بازگردانده می‌شود و توکنی[46] در اختیار کسب‌وکار قرار می‌گیرد که باید متناظر با کاربر و نوع فعالیت‌شان آن را نگهداری کند. این توکن تا قبل از زمان انقضا، معتبر است و نیازی به تکرار این فرایند در دفعات بعدی نیست. تشخیص اتمام اعتبار توکن و نیاز به دریافت توکن جدید برای هر کاربر توسط کسب‌وکارها صورت می‌گیرد. هر زمان مراجع ذی‌ربط نیازمند بررسی بیشتر باشند، کسب‌وکارها این توکن را در اختیار ایشان قرار خواهند داد. هدف از راه‌اندازی این سامانه، طراحی معماری مناسب و مطلوب جهت بهره‌گیری از امکانات احراز یکپارچه با رعایت الزامات امنیتی و یکپارچگی سامانه‌های دولت الکترونیکی به‌همراه پیاده‌سازی آن است. در طراحی معماری و پیاده‌سازی، هر دو مقوله احراز هویت یکپارچه با حفظ محرمانگی اطلاعات هویت کاربران و همچنین ارائه راهکار امضای دیجیتال اسناد الکترونیکی مدنظر است. درواقع احراز هویت در این سامانه از طریق سامانه شاهکار صورت می‌گیرد. طبق ادعای سازمان تنظیم مقررات و ارتباطات رادیویی، فعالیت سامانه شاهکار به‌صورت رایگان است اما برای استفاده از آن باید از طریق سامانه سماوا اقدام کرد که در این فرایند، سازمان فناوری اطلاعات بابت این تراکنش هویتی مبلغی دریافت می‌کند که این امر سامانه سماوا را تبدیل به سامانه موازی می‌کند.[5]

سامانه اِمتا

سامانه «احراز مشتریان تجارت الکترونیکی» به‌اختصار «اِمتا» در سال ۱۳۹۹ ذیل قانون تجارت الکترونیکی (مصوب مجلس شورای اسلامی تاریخ 1382/10/17) و ماده (۷) آن مربوط به امضای الکترونیکی،[47] ساخت و راه‌اندازی شد. طراحی، ساخت و بهره‌برداری از این سامانه را مرکز توسعه تجارت الکترونیکی (ذیل وزارت صمت) بر‌عهده داشت. اما در اصل یک پایگاه اطلاعاتی مشتریان است. سامانه امتا صحت اطلاعات اظهار شده مشتریان را پس از استعلام آنلاین از پایگاه‌های اطلاعاتی نهادهای گوناگون تأیید می‌کند. اما در بسیاری از سامانه‌های مربوط به وزارت صمت با همکاری سامانه‌های مربوط به ثبت‌احوال و وزارت ارتباطات و فناوری اطلاعات مسئولیت مربوط به احراز هویت را بر‌عهده دارد. طبق یافته‌های پژوهش؛ هدف اصلی ساخت این سامانه موازی را می‌توان در پی ثبت انحصار سازمان توسعه تجارت الکترونیکی در موضوع مرکز دولتی ریشه و اعطای گواهی امضای الکترونیکی دانست. مرکز توسعه تجارت الکترونیکی قصد داشت تا با ساخت یک سامانه جامع احراز هویت؛ بتواند از خدمات ارائه شده امضای الکترونیک نیز بهره گیرد که در بهره‌برداری از این طرح تا حدودی موفق بود. همچنین در زمان ساخت این سامانه، «پروژه ملی GNAF»[48] به فاز بهره‌برداری نرسیده بود و سازمان توسعه تجارت الکترونیک به‌دنبال استفاده از این فناوری جهت ارائه خدمات هویتی بهتر بود. در حال حاضر و بر‌اساس شرایط حاکم بر کشور سامانه امتا به‌عنوان یک سامانه موازی با سامانه هویتی عامل هویت در کشور (سامانه ثبت‌احوال) شناخته شده‌است. این سامانه هیچ خدمت اضافی بر خدمات سامانه‌های موجود در کشور ارائه نکرده و ادامه به کار این سامانه تنها منابع دولت را مصرف خواهد کرد.

سامانه سجام

سامانه جامع اطلاعات مشتریان[49] یا به‌اختصار «سجام» توسط شرکت سپرده‌گذاری مرکزی اوراق بهادار و تسویه وجوه، توسعه داده شده ‌است. مطابق بند «۲» پانصد‌و‌نهمین صورت‌جلسه هیئت مدیره سازمان بورس و اوراق بهادار مورخ 1397/01/22، کلیه متقاضیان دریافت خدمات پایه بورسی (نظیر کد معاملاتی) در بازار سرمایه کشور، مکلفند نسبت به ثبت اطلاعات خود در سامانه سجام اقدام کنند و ارائه خدمات پایه به مشتریان جدید توسط ارکان بازار سرمایه پس از تاریخ راه‌اندازی سامانه مذکور امکان‌پذیر نیست.

براساس مصوبه داخلی در سازمان بورس اوراق‌بهادار،[50] کاربران و سرمایه‌گذارانی که تا قبل از شهریور 13۹۷ در بورس ثبت‌نام شده بودند، ملزم به ثبت اطلاعات خود در سامانه سجام می‌باشند. همچنین کسانی که از آن تاریخ به‌بعد اقدام به ثبت‌نام در بورس می‌کنند؛ موظف به ثبت اطلاعات خود در سامانه سجام نیز می‌باشند. به‌این‌ترتیب سامانه‌ای جامع از اطلاعات ثبت‌نام‌کنندگان در بورس توسط سازمان بورس اوراق بهادار ایجاد شد. هدف از ایجاد سامانه سجام، مطابقت با قوانین ضد پول‌شویی و ضد تأمین مالی تروریسم بوده است. تا سال 1399 فرایند احراز هویت در سامانه سجام به‌صورت حضوری و با مراجعه به دفاتر پیشخوان دولتی صورت می‌گرفت اما با شیوع کرونا و لزوم رعایت ملزومات بهداشتی و فاصله‌گذاری اجتماعی، شرکت سپرده‌گذاری مرکزی، مجوز احراز هویت غیرحضوری را توسط ارائه‌دهندگان خدمت احراز هویت غیرحضوری صادر کرد. در این سامانه با استفاده از این روش، داده‌هایی که توسط متقاضیان در برنامه‌های کاربردی و برنامه‌های آنلاین بارگذاری و ارسال می‌شود، با اطلاعات سامانه‌های کشور از‌جمله ثبت‌احوال و بانک مرکزی مطابقت داده می‌شود. بر‌اساس پژوهش و جلسات صورت گرفته این سامانه یک سامانه موازی در حوزه هویت با سامانه ثبت‌احوال تلقی شده است و اطلاعات هویتی پایه شهروندان را برای فرایند احراز هویت دریافت کرده که ادامه فعالیت این سامانه در حوزه هویت می‌تواند باعث به خطر افتادن اطلاعات شخصی و خصوصی شهروندان و همچنین هدررفت سرمایه‌های کشور شود. 

سامانه نهاب

سامانه «نظام هویتسنجی الکترونیکی بانکی» یا به‌اختصار نهاب، یک سامانه یکپارچه حاوی اطلاعات هویتی مشتریان است که تخصیص شماره شناسایی منحصربه‌فرد (کد شهاب) برای هر یک از افراد جامعه را در شبکه بانکی میسر ساخته است. این کد مختص به فرد بوده و به‌صورت انحصاری برای هر کارت بانکی نیست. دلیل ساخت این سامانه، یکپارچه‌سازی اطلاعات بانکی افراد با استفاده از کد شهاب بوده است.]7 [به رقم اقدامات صورت گرفته در بانک مرکزی تا سال 1398، توسعه و بهره‌برداری از این سامانه پیشرفت قابل‌توجهی نداشت اما در سال‌های اخیر پیشرفت این سامانه سرعت گرفته و ماژول احراز هویت در این سامانه به مرحله بهره‌برداری در تمام شرایط رسیده است. از قابلیت‌های این سامانه اتصال آنلاین به پایگاه داده سازمان ثبت‌احوال و سامانه کد فراگیر (به‌عنوان سرویس همکار) و سازمان ثبت‌اسناد و املاک کشور (برای احراز هویت اشخاص حقیقی) و خودکار کردن عملیات است که موجب تسریع در روند ارائه خدمات و اعتبارسنجی دقیق می‌شود. از اهداف کلان این پروژه فراهم کردن بستری امن برای انتقال امن اطلاعات هویتی و بانکی مشتریان نظام بانکی به مرکز گواهی بانکی جهت صدور توکن‌های «نماد» بوده و به‌عنوان پروفایل مشتریان بانکی مورد استفاده قرار خواهد گرفت. با توجه به امنیت پایین شبکه بانک‌های کشور و موازی‌کاری مشهود صورت گرفته در این بخش باید سازوکاری تهیه شود تا استعلام مربوط به اطلاعات هویتی پایه تنها از سازمان ثبت‌احوال کشور صورت گیرد و باقی اطلاعات غیر‌پایه اعم از مالی یا غیر‌مالی را بتوان با سامانه‌های مربوطه از‌جمله نهاب استعلام کرد.  

سامانه کد فراگیر

سامانه کد فراگیر به‌عنوان مرجعی برای اتباع خارجی حقیقی و حقوقی حاضر در ایران جهت درخواست و اخذ کد فراگیر است. کلیه اتباع خارجی حاضر در ایران به‌جهت پیگیری امور بانکی، اداری و مالیاتی خود نیاز به ثبت اطلاعات و دریافت کد شاخص به نام کد فراگیر دارند که در این سامانه کد مذکور برای ایشان قابل دریافت است. پس از صدور و تخصیص کد فراگیر، کد مذکور به تلفن همراه اعلامی پیامک و اطلاعات در پایگاه داده ثبت و بایگانی شده و متقاضی می‌تواند در آینده هر زمان با مراجعه به سامانه از طریق کد رهگیری که به وی در قالب پیامک اعلام و کد فراگیر خود را بازیابی نماید. این سامانه بر‌اساس آیین‌نامه تعیین شماره اختصاصی برای اشخاص خارجی مرتبط با کشور مصوب 13۸۷ و آیین‌نامه اجرایی قانون مبارزه با پول‌شویی مصوب 13۸۷ مصوبه هیئت‌وزیران  ساخته شده است. بر‌اساس ماده (۲)[51] آیین‌نامه تعیین شماره اختصاصی برای اشخاص خارجی مرتبط با کشور، وزارت اطلاعات متولی ساخت سامانه مربوطه است. البته چالش‌هایی بر سر مالکیت حقوقی صدور این کد برای اتباع خارجی وجود دارد که در ادامه به آن اشاره شده است. لازم به ذکر است که این سامانه کارکرد هویتی خود را از دست داده و دیگر فعال نیست اما پایگاه‌داده مرجع در این حوزه محسوب‌می‌شود.

 

مراکز میانی صدور گواهی الکترونیکی ریشه

مراکز صدور گواهی الکترونیکی در کشور، به‌عنوان نهاد ارائه‌دهنده خدمات گواهی الکترونیکی، می‌توانند گواهی الکترونیکی با کاربرد احراز هویت صادر نمایند.

در سال 1386 آیین‌نامه اجرایی ماده (32) قانون تجارت الکترونیکی[52] تصویب شد. در این آیین‌نامه سازوکار لازم برای اجرای امضای الکترونیکی به‌صورت کامل بیان شده است. زیرساخت کلید عمومی کشور به‌موجب آیین‌نامه اجرایی ماده (32) قانون تجارت الکترونیکی یک ساختار سلسله‌مراتبی می‌باشد که در رأس آن شورای سیاستگذاری گواهی الکترونیکی کشور قرار دارد.

در رأس ساختار، شورای سیاستگذاری گواهی الکترونیکی کشور و ذیل این شورا، مرکز دولتی صدور گواهی الکترونیکی ریشه که بازوی اجرایی کشور است و ذیل مرکز دولتی صدور گواهی الکترونیکی ریشه مراکز صدور گواهی الکترونیکی میانی خصوصی و دولتی فعالیت می‌نمایند. در همین ساختار مراکز صدور گواهی الکترونیکی میانی می‌توانند در زیرمجموعه خود دفاتر ثبت‌نام را داشته باشند که وظیفه اصلی آنها ثبت‌نام و احراز هویت متقاضیان گواهی الکترونیکی (با کاربردهای مختلف مانند امضای دیجیتال و احراز هویت) است.

گواهی الکترونیکی با کاربرد احراز هویت در‌واقع شناسه دیجیتال یک موجودیت می‌باشد که به‌عنوان شناسه هویتی وی در تعاملات الکترونیکی به کار می‌رود. این شناسه دیجیتالی زمانی به کار می‌رود که در تعاملات الکترونیکی نیاز باشد احراز هویت مبتنی‌بر گواهی الکترونیکی انجام گیرد.

مرکز صدور گواهی الکترونیکی براساس مجوز دریافتی می‌تواند گواهی الکترونیکی را برای 4 سطح اطمینان صادر نماید که هر سطح اطمینان برای شرایط مشخصی قابل استفاده‌است. این نکته قابل‌توجه می‌باشد که نحوه احراز هویت متقاضیان گواهی الکترونیکی برای سطوح اطمینان متفاوت بوده مثلاً مراکز صدور گواهی الکترونیکی میانی می‌توانند برای متقاضیان گواهی الکترونیکی با سطح یک اطمینان که به‌لحاظ کاربردی اهمیت کمتری دارد و در سیستم‌های دارای حساسیت بالا استفاده نمی‌شود، احراز هویت را به‌صورت غیرحضوری و با استفاده از ابزارهای زیست‌سنجی و پایگاه‌های اطلاعات هویتی در کشور انجام دهند و پس از تأیید هویت آنها، گواهی الکترونیکی را صادر نمایند ولی برای سطوح 2 تا 4 اطمینان به‌ترتیب، احراز هویت حضوری و سخت‌گیرانه‌تری انجام می‌گیرد.]6[

بسیاری از مراکز میانی مذکور پایگاه داده حاوی اطلاعات هویتی پایه کاربران را تشکیل دادند که این خود ناقض قوانین مربوط به این حوزه است.

 

5.چالش‌های هویتی اشخاص حقیقی در ایران و راهکارهای آن

 

 

در این قسمت به‌بیان چالش‌های هویتی اشخاص حقیقی در کشور و راهکارهای پیشنهادی پرداخته خواهد شد.

 

5-1. عدم بهره‌برداری از ظرفیت‌های موجود در کارت ملی هوشمند به‌عنوان یکی از ارکان احراز هویت

یکی از خدمات بسیار مهم ارائه شده توسط سازمان ثبت‌احوال بر بستر کارت‌های ملی هوشمند، امضای الکترونیک است. امضای الکترونیکی یک فرایند رمزنگاری نامتقارن است و یک سازوکار امنیتی است که به دو کلید عمومی و خصوصی وابسته می‌باشد که به‌دلیل احراز هویت طرفین در محیط سایبر حائز اهمیت فراوان است. [6]

یکی از چالش‌های این حوزه و مانع بزرگ در به‌کارگیری از تمام ظرفیت‌های کارت ملی، وجود امضا‌های موازی امضای تعبیه شده در کارت ملی است. به‌عنوان مثال اگر فردی بخواهد از خدمات بنگاه‌های متفاوت با استفاده از امضای دیجیتال استفاده کند باید از یکسان بودن «ارائه‌دهندگان خدمات ارتباطی»[53] هر دو بنگاه اطمینان حاصل نماید در غیر این صورت نیاز به تهیه توکن‌های مجزا خواهد شد. به‌عنوان مثال اگر فرد با 10 بنگاه متفاوت تراکنش‌های خود را انجام دهد مجبور به دریافت 10 توکن متفاوت خواهد بود. برخی از توکن‌های نام‌برده که به‌صورت وارداتی مورد استفاده قرار می‌گیرند پس از ورود به کشور قیمت آنان چندین برابر افزایش پیدا می‌کند که این موضوع خود عامل بروز فساد تلقی می‌شود. البته که می‌توان بر روی هر توکن چند گواهی و امضای الکترونیک نصب کرد اما ارائه‌دهندگان خدمات ارتباطی به‌علت فروش و سود بیشتر خود از انجام این امر سرباز می‌زنند.[1 ]با توجه به اینکه توکن امضای دیجیتال نیز در کارت ملی هوشمند افراد تعبیه شده است، در‌حالی انقضای 10‌ساله این توکن‌ها در حال اتمام است که هیچ بهره‌برداری از آنها جهت احراز هویت اشخاص حقیقی صورت نگرفته و منجر به هدر‌رفت هزینه‌های بسیاری شده است. در بند «۹» جدول اقدامات اجرایی پروژه استقرار هویت هوشمند اشخاص حقیقی به صراحت به جایگزینی کلیه درگاه‌های هویت با درگاه احراز هویت هوشمند اشخاص حقیقی اشاره شده است. متولی این بند تمام دستگاه‌های اجرایی کشور می‌باشند. برای تصحیح این فرایند باید بند «۸» تحت‌عنوان «حذف دریافت کپی مدارک هویتی در ارائه خدمات» نیز هم‌زمان با بند «۹» اجرایی گردد. در بسیاری از سازمان‌ها به‌علت عدم وجود نظارت دقیق؛ هنوز از شهروندان درخواست ارائه کپی فیزیکی و چاپی مدارک را دارند در‌صورتی‌که می‌توانند با استعلام از سازمان ثبت‌احوال هویت فرد متقاضی را احراز کنند.

 

5-2. وجود پایگاه‌های داده موازی

بسیاری از دستگاه‌های اجرایی و سازمان‌های دولتی، پایگاه داده مخصوص به خود را جهت احراز هویت تشکیل داده‌اند. در برخی از موارد همان‌طور که بالاتر توضیح داده شد، برخی از سازمان‌ها از این موضوع فراتر رفته و به‌سمت تأسیس سامانه و ارائه خدمات هویتی رفته‌اند. این مسئله خود ریشه دیگر مسائل و چالش‌ها می‌شود که در ادامه به آنها اشاره خواهد شد.

 

  1. پایگاه‌های داده ناامن در کشور

بسیاری از پایگاه‌های داده مذکور از امنیت بسیاری ضعیفی برخوردارند که نتیجه آن را می‌توان به‌صورت مشهود در موارد خاص و فروش اطلاعات شهروندان به قیمت بسیار ناچیز در اینترنت یافت. به‌عنوان مثال در سالیان گذشته در پی هک شدن یکی از اپراتور‌های تلفن همراه در کشور، اطلاعات هویتی مربوط به چند ۱۰ میلیون ایرانی در اینترنت فاش شد که این خود می‌تواند امنیت کشور را مختل کند.

  1. فروش اطلاعات پایگاه‌های داده موازی

برخی از سازمان‌ها و دستگاه‌ها اطلاعات هویتی پایه مربوط به مردم را به فروش گذاشته‌اند که عدم وجود ضمانت اجرای کافی در این رابطه باعث بروز این چالش اساسی در نگهداری امنیت شهروندان شده است. به‌عنوان مثال عوامل و کارمندان شعبه ستادی یکی از بانک‌های کشور، به فروش اطلاعات مربوط به مشتریان و سرمایه‌گذاران روی آورده بود که در‌نهایت توسط دستگاه‌های مربوطه متوقف شد.[1]

  1. افزایش هزینه‌های سامانه‌های موازی

تکمیل پایگاه داده، ساخت سامانه، به‌کارگیری نیروی انسانی و صرف زمان ارزشمند سازمان، همه از‌جمله چالش‌های مربوط به هزینه در بحث موازی‌کاری در این حوزه است. همچنین ساخت سامانه‌های موازی در این بخش می‌تواند باعث بروز سردرگمی برای بخش خصوصی متقاضی دریافت خدمات هویتی باشد.

  1. وجود قوانین و آیین‌نامه‌های متناقض

در برخی موارد اجازه تشکیل پایگاه‌های داده‌ای تحت‌عنوان «باشگاه مشتریان» یا مواردی همانند آن به دستگاه و سازمان‌های مختلف داده شده ‌است که این موضوع، با آیین‌نامه اجرایی بند «د» ماده (۴۶) قانون برنامه پنج‌ساله پنجم توسعه جمهوری اسلامی ایران در تناقض است. به‌عنوان مثال طبق مواد (75)[54] و (93)[55] «آیین‌نامه نحوه تأسیس و اداره مؤسسات اعتباری غیردولتی ۱۳۰۶۷۱ / ت ۴۸۴۳۶ ه» مصوب هیئت‌وزیران  در تاریخ 1393/10/28؛ بانک‌ها می‌توانند تحت‌عنوان «سامانه یکپارچه اطلاعاتی مشتریان در بانک مرکزی» باشگاه مشتریان خود را راه‌اندازی کرده و اطلاعات هویتی پایه شهروندان را ذخیره کند. در این شرایط باید دو قلم اطلاعات هویتی مانند کد ملی و تاریخ تولد نزد بانک باشد و باقی موارد از طریق استعلام از سازمان ثبت‌احوال و سپس پاک‌سازی این اطلاعات پس از استفاده، دریافت نماید اما بانک مرکزی از طریق سامانه نهاب اطلاعات دیگری غیر از موارد مذکور را از مشتریان دریافت می‌کند.

بر‌اساس قانون، آخرین نسخه از اطلاعات هویتی مردم باید در پایگاه‌های داده نزد سازمان ثبت‌احوال قرار داده شده باشد تا در صورت نیاز، آخرین وضعیت اطلاعات استعلام گردد. وجود پایگاه‌های داده موازی باعث بروز مشکلات به‌دلیل عدم به‌روزرسانی و ثبت آخرین وضعیت افراد در آن می‌شود. به‌عنوان مثال اگر شخصی نام خود را عوض کرده باشد، اگر استعلام از پایگاه ملی هویت اشخاص حقیقی کشور صورت نگیرد، اطلاعات ناقص و غلط دریافت خواهد شد و شهروندان با مشکلاتی در گرفتن خدمات مواجه خواهند بود.

 

5-3. عدم وجود ضمانت اجرا برای سازمان‌ها و دستگاه‌های متخلف

با توجه به اهمیت و حساسیت‌های حاکم در حوزه ایجاد امنیت از هویت و حریم شخصی شهروندان؛ ضمانت‌های اجرای فعلی در قوانین کارساز نیست. برای اصلاح مشکلات ذیل این چالش ابتدا باید نحوه مواجهه با تخلف و ضمانت‌های اجرای مربوطه به این حوزه را برای سازمان‌های خصوصی با سازمان‌های دولتی تفکیک نموده و سپس برای هرکدام متناسب با شرایط آنان ضمانت‌های اجرایی را از قبیل مجازات‌ها متناسب با درآمد سازمان خصوصی یا اصلاح سقف مجازات‌ها برای سازمان‌های دولتی در نظر گرفت. به‌عنوان مثال در مقررات عمومی حفاظت از داده اتحادیه اروپا[56] درصدی از درآمد سال گذشته یک سازمان خصوصی در صورت تخلف به‌عنوان جریمه پرداخت می‌شود.[57]

برای رفع موارد این چنینی باید در قانونی تحت‌عنوان حفاظت از حریم خصوصی و هویت شهروندان ضمانت‌های اجرا را به‌صورت دقیق مشخص کرد.

 

5-4. وجود واسطه‌های هویتی

وب‌سایت‌ها و واسطه‌هایی جهت اتصال کاربران و بخش خصوصی برای احراز هویت به‌دلایل مختلفی از‌جمله پیچیده بودن فرایند دریافت خدمات احراز هویت، ایجاد شده‌اند. با وجود عدم دریافت هزینه برای ارائه خدمات هویتی توسط برخی از سازمان‌های ارائه‌دهنده خدمات هویتی و دریافت مبلغ بسیار اندک توسط برخی دیگر؛ این سازمان‌های واسطه‌ای، هزینه‌های کلان (بعضاً تا 6 برابر هزینه دریافتی توسط سازمان‌های ارائه‌دهنده خدمات هویتی برای هر تراکنش هویتی) دریافت می‌کنند. در بسیاری از موارد سازمان‌های واسطه‌ای، هویت متقاضیان و شهروندان را در پایگاه داده خود ذخیره کرده‌اند که این موضوع خود باعث بروز فساد– مانند فروش، سوءاستفاده و انتشار به‌دلیل امنیت ضعیف پایگاه اطلاعاتی خواهد شد. کارکرد این سامانه‌ها به‌نحوی است که از بخش خصوصی درخواست ثبت‌نام در سامانه و دریافت نام کاربری و رمز عبور را خواهند کرد و پس از انجام، نام کاربری و رمز عبور را دریافت و در مدت کوتاهی با استفاده از دانش خود درباره نحوه ثبت درخواست خدمت، بخش خصوصی را به سامانه هویتی متصل کرده و تمام تراکنش‌های هویتی، ابتدا در سامانه هویتی اصلی و سپس در بخش پنل کاربری متقاضی در سایت واسط قرار می‌گیرد. در‌واقع این کسب‌و‌کار‌ها با سوء‌استفاده از مشکلات ساختار‌های کند و آهسته دولتی برای خود شغلی جدید به‌عنوان واسطه ایجاد کرده که مقابله با این پدیده نیازمند تعیین ممنوعیت همکاری سازمان‌ها با آنان، ممنوعیت دسترسی آنان به‌عنوان واسطه به داده‌های مربوطه و سرعت بخشیدن به فرایند دریافت خدمات هویتی برای سازمان‌های متقاضی است. سازمان‌های ارائه‌دهنده خدمات هویتی نظیر سازمان‌های ثبت‌احوال و وزارت ارتباطات و فناوری اطلاعات نیازمند شفاف‌سازی درباره علت طراحی پیچیده فرایند‌ها و عدم برخورد با این گونه واسطه‌ها می‌باشند.  

 

5-5. ابهام در مرجع صدور کد مربوط به اتباع خارجی

کد هویتی اتباع خارجی در کشور، موسوم به کد فراگیر می‌باشد. متولی صدور این کد وزارت اطلاعات است.[۲] اتباع خارجی در کشور پس از دریافت این کد می‌توانند به‌صورت قانونی در کشور فعالیت نمایند.

فرماندهی نیروی انتظامی جمهوری اسلامی ایران به موازات سامانه وزارت اطلاعات؛ سامانه‌ای را در این حوزه راه‌اندازی نموده‌است که داده‌های موجود در این سامانه به‌صورت انحصاری در اختیار فرماندهی نیروی انتظامی جمهوری اسلامی ایران می‌باشد. دلیل انجام این امر، عدم ارائه سرویس پایدار در سامانه مربوطه، به نهاد‌های ذی‌نفع توسط وزارت اطلاعات معرفی شد. بر‌اساس تحقیقات صورت گرفته اسناد بالادستی و مجوزهای قانونی ساخت و راه‌اندازی سامانه فرماندهی نیروی انتظامی جمهوری اسلامی ایران نیز در اختیار نیست. [۲] چالش‌های موجود در سامانه فراجا و موازی‌کاری در تخصیص کد یکتای اتباع خارجی -با وجود پیگیری‌های متعدد از سوی دستگاه‌های متفاوت و شورای عالی امنیت‌ملی- مشکلات متعددی را برای اتباع خارجی و گردشگران در کشور ایجاد کرده است. از جمله مشکلات سامانه هویتی فراجا می‌توان به تعیین ظرفیت محدود استعلام هویت ارائه شده به سازمان و دستگاه‌های اجرایی و همچنین عدم پشتیبانی در برخی از زمان‌های خاص اشاره کرد. وزارت کشور نیز به موازات این دو نهاد، سامانه هویتی اتباع خارجی متفاوتی در کشور تأسیس نموده‌است. هدف از تأسیس این سامانه، گردآوری و تجمیع اطلاعات مربوط به تمام افراد حقیقی غیر ایرانی وارد شده به کشور -از طریق مبادی قانونی- در یک پایگاه داده و اعطای کد هویتی –مانند کد ملی افراد حقیقی ایرانی- به ایشان بود. هدف از این کار، ارائه تمام خدمات در کشور بر اساس دریافت و ثبت کد یکتا برای دریافت خدمات می‌باشد. این سامانه که تحت‌عنوان «سامانه یکپارچه امور اتباع و مهاجرین خارجی»[58] فعالیت خود را در سال ۱۳۹۸ شروع کرد؛ همچنان به‌عنوان یکی از سامانه‌های موازی در این حوزه تلقی می‌شود. از مهم‌ترین ایرادات این سامانه می‌توان به مشکلات فنی آن اشاره کرد. لازم به ذکر است بر اساس نگاشت نهادی «تأمین کنندگان شناسه هویت معتبر»[59] مصوب کمیسیون عالی امنیت فضای مجازی کشور پیرو مصوبه جلسه 59 شورای عالی فضای مجازی در خصوص نظام «هویت معتبر در فضای مجازی»[60] وزارت کشور به‌عنوان متولی و تامین‌کننده اصلی شناسه معتبر برای مهاجرین و اتباع خارجی در لایه کاربرد تعیین شده‌است. شرایط موجود منجر به ایجاد سردرگمی در خصوص متولی اتباع خارجی در ایران شده‌است که نیازمند پیگیری برای یکپارچه‌سازی و صدور کارت ملی برای خارجیان ساکن در ایران توسط وزارت کشور می‌باشد.

 

5-6. ذخیره داده‌های مربوط به هویت پس از طی شدن مراحل احراز توسط دستگاه‌ها و سازمان‌های دولتی

همان‌طور که گفته شد نتیجه احراز هویت افراد متقاضی در دو بستر GSP برای سازمان‌های دولتی و PGSB برای سازمان‌های غیر‌دولتی در شبکه ملی اطلاعات ارسال می‌شود. هنگامی‌که سازمان‌های دولتی استعلامات خود را در این شبکه درخواست می‌کنند؛ تمام داده‌های مربوط برای آنان ارسال می‌شود. به‌عنوان مثال اگر بانک برای اطمینان از نام‌خانوادگی یک فرد، مشخصات وی را استعلام کند؛ آدرس محل سکونت و کد ملی و تحصیلات فرد را نیز دریافت خواهد کرد در‌صورتی‌که نیازی به دریافت چنین اطلاعاتی نبوده است! دریافت اطلاعات به‌صورت حداکثری و بدون مشخص بودن دقیق نیازهای اطلاعاتی هر دستگاه، می‌تواند منجر به چالش‌هایی در‌خصوص حریم خصوصی شهروندان گردد. عدم وجود پروتکل‌های استفاده و نگاه‌داری از داده‌های دریافتی از این سرویس‌ها نیز منجر به نشت اطلاعاتی شهروندان خواهد شد.

5-7. عدم تمایل سازمان‌ها به حذف فیزیکی و کاغذی مدارک

بر‌اساس بند «۸» جدول اقدامات اجرایی پروژه استقرار هویت هوشمند اشخاص حقیقی، تمام دستگاه‌های اجرایی در کشور موظف به استعلام مدارک مورد نیاز از سازمان‌های مربوطه و حذف فیزیکی و کاغذی مدارک مورد نیاز خود می‌باشند. با وجود فراهم شدن زیرساخت‌های فنی و قانونی در این حوزه، بسیاری از سازمان‌ها به‌دلیل عدم وجود فرایند و ضمانت‌های اجرای مشخص در صورت عدم پیروی از مصوبه نام‌برده؛ از انجام این امر سرباز می‌زنند. بزرگ‌ترین ضرر و هزینه این تخلف بر دوش شهروندان قرار می‌گیرد. همچنین پیشرفت و تعالی در بسیاری از حوزه‌ها نیازمند تحلیل داده‌های مربوطه است و مادامی‌که داده‌های مذکور از روی کاغذ به روی سیستم‌ها منتقل نشوند؛ امکان انجام تحلیل و بهینه‌سازی وجود نخواهد داشت.

 

5-8. پیچیدگی فرایند دریافت خدمات هویتی

دریافت خدمات هویتی هر دو بخش خصوصی و دولتی می‌تواند با مشکلات فراوانی از‌جمله پیچیدگی فرایند مربوطه روبه‌رو شود. به‌عنوان مثال برای دریافت خدمت تطبیق کد ملی با شماره تلفن همراه شهروند از سامانه شاهکار سازمان تنظیم مقررات و ارتباطات رادیویی، متقاضیان بهره‌برداری از این خدمت، درخواست خود (مشتمل بر شرح نیازمندی‌ها و نماینده تام‌الاختیار) را به‌صورت مکتوب به اداره کل امنیت سامانه‌های ارتباطی سازمان ارسال نموده و در صورت موافقت، دسترسی‌های لازم از طریق گذرگاه ملی خدمات دولت اعطا می‌شود. البته شرکت‌های حوزه پرداخت، کماکان قادر به استفاده از سامانه فوق بر روی پایگاه شاپرک خواهند بود و این موضوع صرفاً برای سایر کسب‌و‌کارهای مرتبط است. اصالت کسب‌و‌کار کلیه متقاضیان ابتدا باید توسط اداره کل امنیت سامانه‌های ارتباطی سازمان تنظیم مقررات و ارتباطات رادیویی تأیید شود و پس از تأیید کسب‌و‌کار و اخذ مجوز، برای عقد قرارداد به سازمان فناوری اطلاعات مراجعه و نامه‌ای را به معاونت دولت الکترونیک و معاونت سیاستگذاری، به‌منظور برقراری دسترسی از بستر گذرگاه عمومی خدمات دولت یا سامانه سماوا ارائه دهند. لذا ابتدا می‌بایست نامه‌ای به اداره کل امنیت سامانه‌های ارتباطی ارسال و در صورت تأیید موضوع فعالیت، عقد تفاهم‌نامه و قرارداد با سازمان فناوری اطلاعات، دسترسی به سامانه فوق، توسط این سازمان برقرار خواهد شد. گفتنی است فرایند مذکور در کمترین زمان ممکن نزدیک به 1 الی 2 ماه زمان خواهد برد و این در صورتی است که برخی سایت‌های واسطه‌ای هویتی در کمتر از یک هفته تمام امور تشریح شده را طی خواهند کرد.

 

 

6. پیشنهادهای سیاستی

 

احراز هویت در کشور شاه‌کلید انجام امور مربوط به دولت الکترونیک است.

در گزارش موجود؛ مفاهیم ابتدایی هویت ارائه و تبیین شد. مفاهیم ابتدایی در قوانین و مصوبات شوراها و سازمان‌های مربوطه نیز برای مورد بررسی قرار گرفت. قوانین کشور در حوزه هویت و اسناد بالادستی با محوریت پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک، نحوه پردازش و عملکرد سامانه هدا سازمان ثبت‌احوال، سامانه‌های موازی هویتی، چالش‌ها و راهکار‌های رفع آنان نیز مورد بررسی قرار گرفت. در بخش زیر راهکار‌های رفع چالش‌های این حوزه تشریح شده است.

 

6-1. تهیه قانون حفاظت از حریم خصوصی و هویت شهروندان

تهیه قانون حفاظت از حریم خصوصی و هویت شهروندان به‌معنای ایجاد یک قانون یا مجموعه قوانین در یک کشور است که به حفظ حقوق حریم خصوصی و اطلاعات شخصی افراد می‌پردازد. این قوانین به‌عنوان یک چارچوب قانونی، سیاست‌ها و مقرراتی را برای جمع‌آوری، استفاده، ذخیره و انتقال اطلاعات شخصی تعیین می‌کنند.

ضرورت تهیه قانون حفاظت از حریم خصوصی و هویت شهروندان به شرح زیر است:

  1. حفاظت از حریم خصوصی: قانون حفاظت از حریم خصوصی به افراد حق کنترل بر روی اطلاعات شخصی خود را می‌دهد و از دسترسی غیرمجاز به این اطلاعات جلوگیری می‌کند.
  2. حفاظت از امنیت شخصی: قوانین حفاظت از حریم خصوصی و هویت شهروندان می‌توانند از تهدیداتی مانند سرقت هویت، تعقیب و تحقیقات غیرمجاز، و سوءاستفاده از اطلاعات شخصی در نقض امنیت شخصی محافظت کنند. افراد می‌توانند از این قوانین برای محافظت از اطلاعات حساس خود استفاده کنند و از آسیب‌های احتمالی جلوگیری نمایند.
  3. حفظ اعتماد عمومی: وجود یک قانون حفاظت از حریم خصوصی و هویت شهروندان می‌تواند اعتماد عمومی را به حکومت و نظام حاکم در یک کشور افزایش دهد. افراد باید به اطمینان برسند که از اطلاعات شخصی آنها به‌درستی محافظت می‌شود و بدون اجازه یا استفاده نادرست استفاده نخواهد شد. این اعتماد به‌منظور اثربخشی در سیستم قضائی و حکومت اهمیت زیادی دارد.
  4. توازن بین امنیت و حریم خصوصی: یکی از چالش‌های مهم در تهیه قوانین حفاظت از حریم خصوصی، توازن بین امنیت و حریم خصوصی است. در یک کشور، نیاز به امنیت عمومی نیز وجود دارد، اما این نیاز باید با حفظ حریم خصوصی افراد توازن یابد. قوانین مناسب و دقیق در این زمینه می‌توانند از دسترسی غیرمجاز دولت و سازمان‌ها به اطلاعات شخصی جلوگیری کنند، در‌عین‌حال امنیت عمومی را حفظ نمایند. در‌نتیجه، تهیه قانون حفاظت از حریم خصوصی و هویت شهروندان در یک کشور، به‌منظور حفظ حقوق افراد، اعتماد عمومی، امنیت شخصی، و توازن مناسب بین امنیت و حریم خصوصی، ضروری است.

برای رفع چالش‌های یاد شده؛ این قانون باید برخی عناصر را به شرح زیر در خود تببین و تشریح نماید:

  • تعریف دقیق اطلاعات شخصی: قانون باید اطلاعات شخصی را به‌درستی تعریف کند تا پوشش کاملی برای انواع اطلاعاتی که تحت حفاظت قرار می‌گیرند، فراهم شود. این ممکن است شامل نام، آدرس، شماره تماس، شماره شناسنامه، اطلاعات مالی و سایر جزئیات شناختی فرد باشد. در گذشته همان‌طور که در ابتدای گزارش شرح داده شد؛ شورای عالی فضای مجازی برخی از این تعاریف را در مصوبه‌های خود قرار داده اما این تعاریف و تعریف آنان تاکنون در قوانین ذکر نشده است. همچنین برخی از تعاریف در مواد قانونی به‌صورت گسیخته قرار گرفته که از نمونه‌های آن می‌توان به تعریف عباراتی همچون «اسرار شخصی» در قانون مطبوعات، «اسرار مردم» قانون مجازات اسلامی و «صوت، تصویر یا فیلم خصوصی و خانوادگی و اسرار دیگر» در قانون جرائم رایانه‌ای اشاره کرد اما هیچ‌کدام از این تعاریف دقیق نیست و تنها برای رفع چالش‌ها در قوانین مربوطه به کار رفته است.[8]
  • حقوق شهروندان: قوانین حفاظت از حریم خصوصی باید حقوق شهروندان را در مورد جمع‌آوری، استفاده، ذخیره و انتقال اطلاعات شخصی تضمین کنند. این حقوق ممکن است شامل حق کنترل بر روی اطلاعات شخصی، حق دسترسی به اطلاعاتی که درباره خود ذخیره کرده‌اند، حق اصلاح و حذف اطلاعات ناصحیح یا ناکامل، و حق حفظ اطلاعات شخصی در مواردی که دیگران به آن دسترسی ندارند؛ باشد.
  • محدودیت‌ها برای جمع‌آوری و استفاده از اطلاعات: قانون حفاظت از حریم خصوصی و هویت شهروندان باید محدودیت‌ها و شرایطی را برای جمع‌آوری و استفاده از اطلاعات شخصی تعیین کند. این شامل نیاز به رضایت‌نامه‌ها، اطلاع‌رسانی مناسب، محدودیت‌های مربوط به استفاده تجاری و انتقال اطلاعات به افراد حقیقی و حقوقی است. در این رابطه به‌صورت محدود و پراکنده در قوانین به محدودیت‌ها برای نوع و نحوه دریافت اطلاعات مواردی ذکر شده اما احساس نیاز به وجود قانونی جامع و کامل رفع‌کننده نیاز‌ها در این حوزه به‌شدت مشهود است. به‌عنوان مثال در بند «ب» ماده (1) قانون انتشار و دسترسی آزاد به اطلاعات،[61] به‌جای اصطلاح «داده‌های شخصی» از اصطلاح «اطلاعات شخصی» استفاده شده و آن را شامل اطلاعات فردی نظیر نام و نام‌خانوادگی، نشانی‌های محل سکونت و محل کار، وضعیت زندگی خانوادگی، عادت‌های فردی، ناراحتی‌های جسمی، شماره حساب بانکی و رمز عبور دانسته است. این تعریف به‌طوری تفکیکی میان داده و اطلاعات قائل نشده است. برای مثال؛ «وضعیت زندگی خانوادگی، عادت‌های فردی و ناراحتی‌های جسمی» فراتر از داده‌ها را دربرگرفته و در مقوله «اطلاعات» قرار می‌گیرند. مواردی مانند این‌گونه تعارضات که باعث ایجاد خلأ و گمراهی‌های قانونی می‌شوند, همگی نیازمند بازبینی در این قانون پیشنهادی می‌باشند.[8]
  • امنیت و حفاظتاطلاعات: این قانون باید اقدامات مناسبی را برای حفظ امنیت و حفاظت از اطلاعات شخصی افراد تعیین کند. این شامل استفاده از فناوری‌های امنیتی، رمزنگاری، کنترل دسترسی، حفاظت در برابر نفوذ و سایر اقدامات امنیتی است.
  • نظارت و رصد مستقل: این قانون باید یک نظام نظارتی و رصد و پایش مستقل برای اطمینان از رعایت قوانین حفاظت از حریم خصوصی و اطلاعات شخصی فراهم کند. این شامل تشریح نقش سازمان‌های نظارتی مستقل، هیئت‌های تخصصی و مکانیسم‌های شکایت و تجدید‌نظر در آن است.

تهیه قانون حفاظت از حریم خصوصی و هویت شهروندان باعث اطمینان افراد از حفظ اطلاعات شخصی خود، توازن مناسب بین امنیت و حریم خصوصی، و ارتقای اعتماد عمومی به حکومت و سازمان‌های مختلف می‌شود.  

 

6-2. ضمانت‌های اجرای مرتبط

همان‌طور که پیش‌تر گفته شد؛ ضمانت‌های اجرایی در این حوزه باید به‌صورتی تفکیک شود تا از بروز تخلفات جلوگیری شود. به‌عنوان مثال در‌صورتی‌که قانون به پرداخت هزینه نقدی یک دستگاه دولتی متخلف در این حوزه اشاره نماید آنگاه سازمان متخلف در باقی امور خود نیز دچار مشکلاتی به‌دلیل کمبود بودجه خواهد شد. پیشنهاد می‌گردد در قانون مربوط به حفاظت از حریم خصوصی و هویت شهروندان، ضمانت‌های اجرا را بر‌اساس مواردی مانند صورت‌های مالی سازمان‌ها، نوع سازمان اعم از انواع خصوصی و دولتی، سابقه سازمان در تخلفات صورت گرفته و موارد مربوطه بررسی شود.

 

6-3. انحصار داده و اطلاعات هویتی پایه در سازمان ثبت‌احوال کشور

بر‌اساس قانون مدیریت داده و اطلاعات ملی مصوب ۱۴۰۱، سازمان ثبت‌احوال متولی اداره و به‌روزرسانی «پایگاه ملی هویت اشخاص حقیقی» است. بر‌اساس ماده (10) این قانون «این متولیان مکلفند بر‌اساس مصوبات کارگروه تعامل‌پذیری دولت الکترونیکی اقدامات اجرایی لازم را برای تحقق اهداف این قانون به اجرا گذارند» و مبتنی‌بر تبصره «2» ماده (10): «دستگاه‌ها و نهادهای مشمول این قانون حسب اعلام کارگروه مزبور، ضمن به‌روزرسانی داده‌ها و اطلاعات خود، موظف به همکاری با متولیان پایگاه‌های داده‌ها و اطلاعات پایه می‌باشند».

با توجه به مفاد این قانون مشخص است که تنها متولی پایگاه ملی هویت اشخاص حقیقی سازمان ثبت‌احوال است و دیگر دستگاه‌ها و نهادها باید با متولی این پایگاه همکاری نمایند. این نکته نمایان‌گر و مؤید قوانین قبلی در‌خصوص تجمیع و انحصار اطلاعات هویتی پایه در سازمان ثبت‌احوال است.

گفتنی است که چالش‌ها و مشکلات و فرایندهای طولانی و تعلل این سازمان در افزایش تعداد استعلامات مورد نیاز کشور جهت انجام خدمات الکترونیکی، خود موجب ایجاد پایگاه‌های دیگر و سرویس‌های دیگر در کشور شده است. لذا اگرچه باید جهت انجام استعلامات مورد نیاز کشور باید راهکارهایی مورد نظر قرار گیرند اما مرجعیت اطلاعات هویتی پایه باید در سازمان ثبت‌احوال به قوت خود باقی بماند. سازمان ثبت‌احوال کشور باید با تمام قوت ظرفیت اجرایی خود را گسترده کرده و پاسخ‌گوی نیاز استعلامات خدمات الکترونیکی باشد و تعلل در این زمینه باید موجب مجازات و محرومیت‌هایی برای این سازمان مهم باشد.  

 

6-4. مشخص شدن فرایند‌های مربوطه در هر سازمان و اعطای دسترسی به اطلاعات هویتی بر‌اساس نوع نیاز

همان‌طور که گفته شد یکی از چالش‌های حوزه هویت؛ سوءاستفاده از اطلاعات هویتی شهروندان است. طبق بررسی‌ها روش‌های زیادی برای سوءاستفاده از شرایط در این حوزه وجود دارد. به‌عنوان مثال زمانی‌که شخصی برای افتتاح یک حساب قرض‌الحسنه وارد بانک می‌شود بسیاری از اطلاعات دریافتی از ایشان– مانند تحصیلات و شغل- داده‌های مرتبطی نیستند اما اگر همان فرد بخواهد برای افتتاح یک حساب جاری برای دریافت دسته چک اقدام نماید؛ اطلاعات مذکور اهمیت پیدا خواهد کرد. این موضوع نمایانگر عدم وجود پروتکل‌هایی جهت مشخص بودن نوع و میزان داده مورد نیاز برای هر خدمت است و دستگاه‌ها در این حوزه می‌توانند به داده‌های مربوط و نامربوطی دسترسی پیدا کنند و از شهروندان تقاضا نمایند. نوع و میزان داده و اطلاعات مورد نیاز در هر فرایند و هر خدمت الکترونیکی باید از پیش تعیین شده باشد و به اطلاع شهروندان برسد و گرفتن اطلاعات بیش از آنچه که مورد نیاز است جرم تلقی گردد.

اگرچه بر‌اساس تکالیف مختلفی، گرفتن داده و اطلاعات از شهروندان در خدمات الکترونیکی اشتباه است و همه اطلاعات باید بر‌اساس استعلامات از پایگاه‌های داده انجام گیرد. این مسئله در ماده (104) لایحه پیشنهادی برنامه هفتم نیز مورد اشاره قرار گرفته است.

 

6-5. کوتاه و آسان شدن فرایند دریافت سرویس‌های هویتی از سازمان‌های ارائه‌دهنده خدمات هویتی

طولانی بودن فرایند دریافت مجوز در سازمان‌ها می‌تواند به بروز فساد و مشکلات مالی و ساختاری منجر شود به‌خصوص در‌صورتی‌که این مجوز مربوط به فرایند احراز هویت باشد. وجود سرویس‌های هویتی واسطه نتیجه فساد‌های مربوط به این امر می‌باشند. برای تحقق این امر و راهکار، باید مؤلفه‌هایی با امتیاز‌های از پیش تعیین شده در برنامه هفتم برای سازمان ثبت‌احوال و تنظیم مقررات و ارتباطات رادیویی و دیگر ارائه‌دهندگان قانونی خدمات هویتی برای ارائه خدمات خود تعیین شود و بودجه اعطایی به آنان برای ارائه خدمات هویت محور تحت‌تأثیر قرار گیرد.

البته یکی از دلایل طولانی شدن این فرایند را می‌توان در برون‌سپاری‌های ارائه خدمات توسط دستگاه‌های دولتی دانست که این امر باعث طولانی‌تر شدن زنجیره این فرایند خواهد شد. به‌عنوان مثال سازمان ثبت‌احوال ارائه خدمات هویتی خود را از طریق دو شرکت خصوصی واسطه انجام می‌دهد که این کار از طریق سازمان فناوری اطلاعات نیز قابل انجام بوده است.

7.راهکارها و پیشنهادها

 

 

همان‌طور که پیش‌تر گفته شد دو ماده (107) و (86) به ساخت پایگاه داده هویتی در کشور اشاره دارد. دو پیشنهاد اصلاحی در رابطه با (بند «الف» ماده (86)) و (تبصره «ج» ماده (107)) به شرح زیر است:

ماده (86)

به‌منظور ساماندهی مهاجرین و اتباع بیگانه، وزارت کشور مکلف است ضمن تشکیل سازمان ملی مهاجرت، اقدامات زیر را انجام دهد:

الف- با همکاری وزارت امور خارجه، وزارت اطلاعات، مرکز آمار ایران، فرماندهی انتظامی جمهوری اسلامی ایران، سازمان ثبت‌احوال کشور و سایر دستگاه‌های اجرایی، نسبت به ساماندهی، ورود، خروج، طرد، سرشماری، آمایش سرزمینی و ثبت‌احوال اتباع بیگانه، پناه‌جویان، مهاجرین قانونی و غیرقانونی، به‌نحوی اقدام نماید که تمامی اطلاعات مهاجرین و اتباع بیگانه در یک پایگاه داده مرجع برخط و یکپارچه گردآوری شود و درگاه‌های بهره‌برداری آن بر‌اساس ماده (7) قانون مدیریت داده‌ها و اطلاعات ملی (مصوب ۱۴۰۱) برای سایر دستگاه‌ها ایجاد شود. ارائه هرگونه خدمات به اتباع بیگانه توسط دستگاه‌های اجرایی باید براساس اطلاعات هویتی این سامانه باشد.

 

توضیحات کارشناسی

با توجه به آیین‌نامه تعیین شماره اختصاصی برای اشخاص خارجی مرتبط با کشور مصوب 13۸۷ و آیین‌نامه اجرایی قانون مبارزه با پول‌شویی مصوب 13۸۷ مصوبه هیئت‌وزیران ؛ وزارت اطلاعات موظف به ساخت پایگاه اطلاعاتی در رابطه با اتباع خارجی در ایران است. بر اساس مصوبه جلسه 59 شورای عالی فضای مجازی و نگاشت نهادی «تأمین کنندگان شناسه هویت معتبر» مصوب کمیسیون عالی امنیت فضای مجازی کشور، وزارت کشور (سازمان ثبت احوال کشور) موظف به ارائه خدمات هویتی به اتباع خارجی می‌باشد. وظایف سازمان ثبت احوال در حوزه هویت در کشور وزارت کشور در کنترل وضعیت هویتی اتباع خارجی در ایران در قوانین و اسناد بالادستی تشریح شده‌است. به‌عنوان مثال در ماده (10)[62] «قانون مدیریت داده‌ها و اطلاعات ملی»،[63] سازمان ثبت احوال کشور متولی پایگاه داده اشخاص حقیقی در ایران شناخته شده‌است. با توجه به این موضوع پیشنهاد می‌گردد تا نقش سازمان ثبت احوال در کشور در این حوزه به‌صورت شفاف در این ماده تشریح گردد.

وجود مصوبات و آیین‌نامه‌های اجرایی پراکنده با محوریت‌های متفاوت باعث ایجاد ابهام در خصوص شمول قانون درباره سازمان متولی هویت اتباع خارجی در کشور می‌باشد که نیازمند اصلاح آن به‌واسطه برنامه توسعه است. همچنین با توجه به رویکرد عدم ساختار‌سازی و دستور بر چابک‌سازی، متناسب‌سازی، انعطاف‌پذیری و منطقی کردن اندازه دولت پیشنهاد می‌گردد وظایف محوله به معاونت مربوطه در وزارت کشور تفویض گردد و سازمانی تحت‌عنوان سازمان ملی مهاجرت تشکیل نشود.

 

پیشنهاد

به‌منظور ساماندهی مهاجرین و اتباع بیگانه، وزارت کشور مکلف است ضمن تشکیل سازمان ملی مهاجرت اقدامات زیر را انجام دهد:

الف) تکمیل پایگاه داده اطلاعات مربوط به اتباع خارجی با همکاری وزارت اطلاعات، وزارت امور خارجه، مرکز آمار ایران، فرماندهی انتظامی جمهوری اسلامی ایران، سازمان ثبت احوال کشور و سایر دستگاه‌های اجرایی نسبت به ساماندهی، ورود، خروج، طرد، سرشماری، آمایش سرزمینی و ثبت احوال اتباع بیگانه، پناه‌جویان، مهاجرین قانونی و غیرقانونی، به‌نحوی که تمامی اطلاعات مهاجرین و اتباع بیگانه در پایگاه داده مرجع برخط وزارت کشور با تولی‌گری سازمان ثبت احوال کشور بهصورت یکپارچه گردآوری شود و درگاه‌های بهره‌برداری آن بر اساس ماده (7) قانون مدیریت داده‌ها و اطلاعات ملی (مصوب ۱۴۰۱) برای سایر دستگاه‌ها ایجاد شود. اطلاعات اتباع خارجی در دیگر دستگاههای همکار به وزارت کشور منتقل و ارائه هرگونه خدمات به اتباع بیگانه توسط دستگاه‌های اجرایی باید براساس اطلاعات هویتی این سامانه باشد.

 

ماده (107)، تبصره بند «ج»

سازمان ثبت‌احوال کشور مکلف است نسبت به راه‌اندازی پایگاه ملی هویت اشخاص حقیقی و حقوقی با امکان شناسایی روابط سببی و نسبی اشخاص حقیقی و شناسایی خانوار اقدام نماید. این سازمان مکلف است با همکاری وزارت ارتباطات و فناوری اطلاعات ظرف مدت یک‌سال پس از ابلاغ برنامه، نسبت به ارائه خدمت احراز هویت در ارائه خدمات الکترونیکی به کلیه بخش‌های دولتی و خصوصی اقدام نماید.

توضیحات کارشناسی

در برنامه پنجم توسعه و در بند «د» ماده (46) آن به صراحت به وظیفه و انحصار سازمان ثبت‌احوال در اختیار داشتن اطلاعات هویتی افراد حقیقی اشاره شده است. این اطلاعات شامل اطلاعات مربوط به تولد، ازدواج، طلاق، فوت و تغییرات مشخصات هویتی و صدور گواهی (امضا الکترونیکی) است. همچنین اشخاص حقیقی و حقوقی موظف به ارائه خدمات خود به مردم با استفاده از کارت ملی شدند. البته در آن زمان این بند بیشتر به ساخت پایگاه اطلاعاتی جمعیتی مربوط به صدور کارت ملی اشاره دارد اما با استفاده از همین پایگاه در سال‌های بعد، سامانه‌هایی مانند «هدا» و «سببی و نسبی» فعال شدند.

همچنین بر‌اساس تبصره «۲» بند «ث» ماده (۶۷) برنامه ششم توسعه، تمام دستگاه‌های کشور برای موارد مربوط به استعلامات بین دستگاه موظف به استفاده و ارائه این خدمات بر بستر شبکه ملی اطلاعات هستند. بر همین اساس سازمان ثبت‌احوال تمام خدمات استعلامی و هویتی مربوط به سامانه‌های هویتی خود را تنها بر پایه شبکه ملی اطلاعات ارائه می‌دهد. خدمات هویتی ارائه شده توسط این سازمان در شبکه نام‌برده بر پایه پایگاه داده‌ای که در برنامه پنجم توسعه داده شده؛ انجام می‌شود.

با توجه به فعالیت‌های انجام‌شده در این حوزه در سازمان ثبت‌احوال، سابقه طولانی ساخت پایگاه‌های داده مذکور قانون و مشکلات فعلی کشور باید نکات زیر در اصلاح این ماده را در نظر گرفت.

الف) در این تبصره، به راه‌اندازی پایگاه اطلاعات ملی مربوط به اشخاص حقوقی توسط سازمان ثبت‌احوال کشور اشاره شده که این امر در گذشته توسط سازمان اسناد و املاک کشور انجام شده است. پایگاه مربوطه توسط اداره کل ثبت شرکت‌ها و مؤسسات غیر‌تجاری پس از مصوبه شماره 12176/ت 55285 ه مورخ 1397/02/09 هیئت‌وزیران  با عنوان «پروژه استقرار هویت هوشمند اشخاص حقوقی در دولت الکترونیک» به‌عنوان یکی از 23 پروژه اولویت‌دار دولت الکترونیک ساخت و به بهره‌برداری رسیده است. سازمان اسناد و املاک 600 صفحه سند پشتیبان برای این پروژه تهیه کرده و بر‌اساس سامانه رصد و پایش 23 پروژه اولویت‌دار دولت الکترونیک تا انتهای سال 1399 پیشرفت واقعی 44% را در کارنامه خود ثبت کرده است. بنابراین کلمه «اشخاص حقوقی» در این ماده اضافه است. اگر نیاز به ساماندهی افراد حقوقی در این حوزه وجود دارد باید ماده دیگری برای سازمان اسناد و املاک قرار داده شود.

ب) موضوع حائز اهمیت در این حوزه؛ مالکیت انحصاری سازمان ثبت‌احوال کشور بر اطلاعات هویتی، به‌خصوص اطلاعات هویتی پایه است. با‌این‌حال کشور شاهد مواردی مانند وجود پایگاه‌های داده موازی برای استفاده درون‌سازمانی یا ارائه خدمات هویتی می‌باشد. همچنین برخی از سازمان‌ها اطلاعات مربوط به شهروندان را در پایگاه‌های داده خود ذخیره می‌کنند که خود باعث بروز مشکلات و چالش‌های فراوانی در این حوزه است.

پ) در حال حاضر سازمان ثبت‌احوال خدمات احراز هویتی خود را به بسیاری از دستگاه‌ها و نهاد‌ها دولتی و خصوصی در قالب سامانه هدا از‌جمله قوه قضائیه جمهوری اسلامی ایران، فرماندهی انتظامی جمهوری اسلامی ایران (تمام زیر‌بخش‌ها)، بانک مرکزی جمهوری اسلامی ایران، شبکه بهداشتی کشور، شبکه بیمه کشور، شبکه آموزشی کشور، سازمان بورس و اوراق بهادر، سازمان ثبت‌اسناد و املاک کشور و اپراتور‌های تلفن همراه در کشور ارائه می‌دهد.[3] پایگاه داده و زیرساخت‌های مربوط به سامانه هدا با پیگیری‌های مکرر مرکز ملی فضای مجازی در حال تکمیل است اما سامانه سببی و نسبی برای تکمیل درخت جمعیت با شیب کم و تعلل‌های بسیار در حال تکمیل است.[1]

ت) نظارت مرکز ملی فضای مجازی بر تکمیل این پایگاه ضروری و لازم است. رسالت وزارت ارتباطات هماهنگی برای موارد فنی در ساخت، تکمیل و گسترش این موارد می‌باشد اما برخی از تصمیم‌گیری و پیگیری‌ها در سطوح دیگری نیازمند نظارت مرکز ملی فضای مجازی است.

پایگاه داده مربوط به اشخاص حقیقی توسط سازمان اسناد و املاک ساخته شده اما در برنامه‌های توسعه به آن پرداخته نشده است. ورود رسمی این پایگاه به قوانین توسعه (و نه فقط آیین‌نامه‌های مصوب هیئت‌وزیران ) می‌تواند گام بزرگی در تکمیل این پایگاه ناقص به‌خصوص در بخش ثبت شرکت‌ها باشد. البته که تکمیل این پایگاه داده در بخش ۲ بند «ط» تبصره «2» قانون بودجه سال 1402 به صراحت مشخص شده اما به‌رغم تخصیص بودجه مربوطه به سازمان اسناد و املاک جهت تکمیل پایگاه داده مربوط به اشخاص حقوقی در کشور، وظیفه ساخت و نظارت بر پایگاه داده اشخاص حقوقی در کشور به سازمان ثبت‌احوال محول شده‌است.

 

پیشنهاد

سازمان ثبت‌احوال کشور مکلف است نسبت به راه‌اندازی تکمیل پایگاه ملی هویت اشخاص حقیقی و حقوقی با امکان شناسایی روابط سببی و نسبی اشخاص حقیقی و شناسایی خانوار و سازمان اسناد و املاک کشور مکلف است نسبت به تکمیل و بهروزرسانی پایگاه ملی هویت اشخاص حقوقی اقدام نماید. سازمان‌های فوق مکلف هستند با همکاری وزارت ارتباطات و فناوری اطلاعات و نظارت مرکز ملی فضای مجازی ظرف مدت دو سال پس از ابلاغ برنامه، نسبت به تکمیل بدون نقص این پایگاه اقدام کرده و ارائه خدمت احراز هویت در ارائه خدمات الکترونیکی به کلیه بخش‌های دولتی و خصوصی از طریق مرکز تبادل اطلاعات اقدام نمایند.

 

 

پیوست

  

 

جدول 1. جدول اقدامات اجرایی ساخت سامانه شاهکار (سازمان تنظیم مقررات و ارتباطات رادیویی

ردیف

عنوان اقدام

شرح اقدام

مسئول

توصیف پروژه

توضیحات

درصد پیشرفت

1

شروع فرایند تحقیقات اولیه در‌خصوص راه‌اندازی سامانه شاهکار

شناسایی و شناخت سرویس‌های ارتباطی موجود و مشخصه‌های آنها شناسایی و شناخت اشخاص موجود و مشخصه‌های آنان

سازمان تنظیم مقررات و ارتباطات رادیویی

شناسایی انواع سرویس‌های ارتباطی مانند ADSL، Mobile، Wireless و سایر سرویس‌ها– شناسایی انواع اشخاص مانند حقیقی و حقوقی، ایرانی و غیر‌ایرانی

ایجاد مستندات علمی و دریافت موارد مربوطه از کلیه دارندگان پروانه‌های اطلاعاتی

100

2

ایجاد شبکه کشوری شاهکار

ایجاد بستر امن جهت تبادل اطلاعات

سازمان تنظیم مقررات و ارتباطات رادیویی

ایجاد یک شبکه کشوری امن فی‌ما‌بین سامانه شاهکار و کلیه دارندگان پروانه ارتباطاتی

 

100

3

راه‌اندازی اولیه سرویس

راه‌اندازی سرویس Mobile به‌عنوان سرویس اولیه

سازمان تنظیم مقررات و ارتباطات رادیویی

راه‌اندازی سرویس پایلوت با اپراتور‌های تلفن همراه

ثبت اطلاعات هویتی دارندگان سرویس‌های تلفن همراه

100

4

اتصال به سامانه ثبت‌احوال

ایجاد سرویس برخط با سازمان ثبت‌احوال جهت احراز هویت افراد حقیقی ایرانی

سازمان تنظیم مقررات و ارتباطات رادیویی

ایجاد سرویس برخط با سازمان ثبت‌احوال جهت احراز هویت افراد حقیقی ایرانی

 

100

5

اضافه شدن سایر سرویس‌های ارتباطی به سامانه شاهکار

اضافه شدن سرویس‌های تلفن ثابت و ADSL و به‌ترتیب سایر سرویس‌های به سامانه شاهکار

سازمان تنظیم مقررات و ارتباطات رادیویی

ثبت سایر سرویس‌ها توسط اپراتور‌های ارتباطی

 

100

6

ایجاد ارتباط با سامانه ثبت شرکت‌ها جهت احراز هویت افراد حقوقی ایرانی

ایجاد سرویس برخط با سازمان ثبت شرکت‌ها جهت احراز هویت افراد حقوقی ایرانی

سازمان تنظیم مقررات و ارتباطات رادیویی

ایجاد سرویس برخط با سازمان ثبت شرکت‌ها جهت احراز هویت افراد حقوقی ایرانی

 

100

7

ایجاد ارتباط با پلیس گذرنامه ناجا

ایجاد سرویس برخط با پلیس گذرنامه ناجا جهت احراز هویت افراد حقیقی غیرایرانی

سازمان تنظیم مقررات و ارتباطات رادیویی

ایجاد سامانه هویتی برای اتباع خارجی با فراجا

عدم برخورداری سامانه فراجا از کیفیت مناسب

50

 

 

 
[1] دفتر مطالعات مدیریت، مرکز ملی فضای مجازی، صورت‌جلسه با محوریت پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک، مرکز پژوهش‌های مجلس شورای اسلامی، 1401/12/22.
[2] دفتر مطالعات انرژی، صنعت و معدن، استفاده از شماره ملی در نظام احراز هویت و یکپارچگی سامانه‌های دولت،، مرکز پژوهش‌های مجلس شورای اسلامی، 1399/08/05، شماره مسلسل: 31017206.
[3] دفتر مطالعات مدیریت، سازمان ثبت‌احوال کشور، صورت‌جلسه با محوریت پروژه استقرار هویت هوشمند اشخاص حقیقی در دولت الکترونیک، دفتر مرکزی سازمان ثبت‌احوال کشور، 1401/11/19.
[4] معاونت فناوری و اطلاعات جمعیتی، گزارش عملکرد سازمان در 23 پروژه اولویت‌دار دولت الکترونیک، سازمان ثبت‌احوال کشور، اردیبهشت 1402.
[5] دفتر مطالعات مدیریت، سازمان تنظیم مقررات و ارتباطات رادیویی، صورت‌جلسه با محوریت خدمات احراز هویت اشخاص حقیقی، دفتر مرکزی سازمان تنظیم مقررات و ارتباطات رادیویی، 1402/02/13.
[6] موسوی صالح م، جامی س، طایفی نصرآبادی م. ح، دفتر مطالعات مدیریت، نظارت بر عملکرد دستگاه‌های اجرایی در به‌کارگیری امضای الکترونیکی، مرکز پژوهش‌های مجلس شورای اسلامی، 1401/10/18، شماره مسلسل: 18650.
[7] میرمحمد صادقی حسین، آذری متین افشین. زیرساخت فنی حقوقی تصدیق هویت در بانکداری نوین با نگاهی به جرم دسترسی غیرمجاز. حقوقی دادگستری 1397؛82(101 ):213-231.
[8] انصاری ب. حق دسترسی به اطلاعات: آزادی اطلاعات. دفتر مطالعات و برنامه‌ریزی رسانه‌ها. وزارت فرهنگ و ارشاد اسلامی. 1397
[9] Camp JL. Digital identity. IEEE Technology and society Magazine. 2004 Oct 4;23(3):34-41.
[10] Richerson PJ, Boyd R. Not by genes alone: How culture transformed human evolution. University of Chicago press; 2008 Jun 20.
[11] Fox J, Moreland JJ. The dark side of social networking sites: An exploration of the relational and psychological stressors associated with Facebook use and affordances. Computers in human behavior. 2015 Apr 1;45:168-76.
[12] Gallo, Roberto, Henrique Kawakami and Ricardo Dahab. “On Device Identity Establishment and Verification.” European Public Key Infrastructure Workshop (2009).
[13] Gollmann, Dieter. “What Is Authentication? ” Security Protocols Workshop (1999).
[14] Ladyman, James, James Lambert and Karoline Wiesner. “What is a complex system? ” European Journal for Philosophy of Science 3 (2020): 33-67.
[15] Wijayarathna C, Arachchilage NA. An empirical usability analysis of the google authentication api. InProceedings of the evaluation and assessment on software engineering 2019 Apr 15 (pp. 268-274).