چه سیاست‌هایی برای پیشگیری موثر است؟

پاسخ کوتاه: در حقوق ایران، «سرقت اطلاعات» بسته به ماهیت داده، شیوه دسترسی و نتیجه استفاده، می‌تواند جرم (با عناوین مختلف از جمله دسترسی غیرمجاز، سرقت داده، افشای اسرار، نقض حقوق مؤلف، سوءاستفاده از اسرار تجاری) یا تخلف انتظامی/انضباطی (بر مبنای آیین‌نامه‌های داخلی کارفرما) محسوب شود. برای پیشگیری، ترکیبی از اقدامات حقوقی (قراردادی و انضباطی)، فنی (کنترل دسترسی، DLP)، و آموزشی لازم است. 1) وضعیت حقوقی: جرم یا تخلف؟ - اصل: داده و اطلاعات شرکت اگر دارای ارزش اقتصادی، محرمانه و تلاش معقول برای حفاظت از آن شده باشد، افشای غیرمجاز یا بهره‌برداری از آن می‌تواند هم جرم و هم موجب مسئولیت مدنی و انضباطی باشد. - مهم‌ترین عناوین مجرمانه مرتبط: - دسترسی غیرمجاز، شنود و سرقت داده‌های رایانه‌ای: مواد 1 تا 5 قانون جرایم رایانه‌ای 1388 (ماده 1: دسترسی غیرمجاز؛ ماده 2: شنود غیرمجاز؛ ماده 3: جاسوسی رایانه‌ای؛ ماده 4: تخریب و اخلال؛ ماده 5: انتشار، در دسترس قرار دادن یا معامله داده‌های سری). در صورتی که اطلاعات مشمول طبقه‌بندی «سری و محرمانه» دولتی نباشد، باز هم ماده 1 و 5 می‌توانند قابل استناد باشند برای دسترسی و انتشار غیرمجاز داده‌های محرمانه شرکت. - سرقت داده: هرچند «سرقت» در قانون مجازات اسلامی ناظر بر «اموال مادی» است، اما رویه کیفری در حوزه سایبر معمولاً از عناوینی مانند «دسترسی غیرمجاز»، «برداشت غیرمجاز» و «انتشار غیرمجاز داده» استفاده می‌کند. تبصره‌ها و رویه استنباطی دادگاه‌ها، با استناد به قانون جرایم رایانه‌ای، رفتار «کپی‌برداری و انتقال داده بدون مجوز» را جرم تلقی می‌کنند. - افشای اسرار شغلی و تجاری: ماده 648 قانون مجازات اسلامی (تعزیرات) درباره افشای اسرار حرفه‌ای اشخاص توسط امین/اشخاص خاص؛ و به طور خاص در حوزه تجارت، مواد 65 تا 75 قانون تجارت الکترونیکی 1382 درباره حمایت از «اسرار تجاری الکترونیکی» و ممنوعیت دستیابی، افشاء یا بهره‌برداری غیر