پایان حریم خصوصی در اینستاگرام

به گزارش تابناک به نقل از تسنیم؛ شرکت متا (مالک اینستاگرام، فیسبوک و واتساپ) در تغییری غافلگیرکننده و بحث برانگیز، قابلیت «رمزگذاری سرتاسری» (End-to-End Encryption یا E۲EE) را در پیام‌های مستقیم (دایرکت) اینستاگرام در سراسر جهان غیرفعال کرده است.

این تصمیم که از ۸ مه ۲۰۲۶ (۱۸ اردیبهشت ۱۴۰۵) اجرایی شده، به معنای عقب‌نشینی از بالاترین سطح امنیت پیام و بازگشت به رمزگذاری استاندارد است، موضوعی که واکنش‌های تند فعالان حریم خصوصی را در پی داشته و هم‌زمان با استقبال نهاد‌های حمایت از کودکان مواجه شده است!

تحولات اخیر در سیاست‌های حفاظتی شرکت متا نشان‌دهنده یکی از رادیکال‌ترین چرخش‌های استراتژیک در تاریخ صنعت فناوری اطلاعات است.

براساس مستندات فنی و گزارش‌های رسمی، این شرکت در تاریخ ۸ می ۲۰۲۶ (۱۸ اردیبهشت ۱۴۰۵)، قابلیت رمزگذاری سرتاسری (End-to-End Encryption - E۲EE) را در بخش پیام‌های مستقیم (Direct Messages) پلتفرم اینستاگرام به طور کامل و در سطح جهانی غیرفعال کرده است.

این اقدام که به معنای بازگشت به پروتکل‌های رمزنگاری استاندارد (Standard/Transport Encryption) است، پایانی بر یک دوره هفت‌ساله از وعده‌های حریم خصوصی‌محور تلقی می‌شود که با بیانیه مشهور مارک زاکربرگ در سال ۲۰۱۹ مبنی بر اینکه «آینده خصوصی است» آغاز شده بود.

واکاوی ماهیت خبر و تأیید صحت داده‌های گزارش‌شده

خبر غیرفعال‌سازی رمزگذاری سرتاسری در اینستاگرام در منابع متعدد بین‌المللی و داخلی جنجال زیادی برپا کرده است. متا این تغییر را بدون سروصدای رسانه‌ای زیاد و از طریق به‌روزرسانی در صفحات راهنمای (Help Center) اینستاگرام در مارس ۲۰۲۶ اعلام کرده بود. در این به‌روزرسانی صراحتاً قید شده بود که «پیام‌رسانی با رمزگذاری سرتاسری در اینستاگرام پس از ۸ می ۲۰۲۶ دیگر پشتیبانی نخواهد شد».

این تصمیم نه تنها به معنای توقف توسعه این ویژگی است، بلکه باعث می‌شود تمامی چت‌های رمزنگاری‌شده قبلی نیز لایه حفاظتی خود را از دست بدهند. این حرکت در تضاد مستقیم با روندی است که متا در پلتفرم‌های دیگر خود مانند واتس‌اپ (WhatsApp) و مسنجر (Messenger) دنبال کرده است، جایی که E۲EE همچنان به عنوان پروتکل پیش‌فرض یا گزینه‌ای کلیدی باقی مانده است.

مقایسه فنی سطوح رمزنگاری در پارادایم جدید اینستاگرام

در پارادایم جدید، تفاوت‌های فنی میان رمزنگاری سرتاسری و استاندارد در چند حوزه کلیدی قابل بررسی است:

از نظر محل کلیدگذاری، در سیستم سرتاسری کلید‌ها در دستگاه‌های فرستنده و گیرنده قرار دارند در حالی که در سیستم استاندارد، این کلید‌ها در سرور‌های واسطه متا مستقر هستند. از لحاظ دسترسی فنی، در E۲EE دسترسی شرکت به محتوا عملاً غیرممکن است، اما در رمزنگاری استاندارد، این دسترسی برای مواردی نظیر اجرای قوانین فراهم می‌شود.

قابلیت پایش محتوا نیز در سیستم سرتاسری محدود به فراداده‌هاست، در حالی که در پروتکل استاندارد، امکان اسکن کامل متن و رسانه‌ها وجود دارد. همچنین در برابر حملات نفوذ، محتوای رمزنگاری شده سرتاسری مصونیت بیشتری دارد، اما در رمزنگاری استاندارد، نفوذ به سرور می‌تواند منجر به افشای پیام‌ها شود.

کالبدشکافی دلایل متا: از ادعا‌های رسمی تا واقعیت‌های تجاری

متا در بیانیه‌های کوتاه خود، دلیل اصلی این اقدام را «استقبال اندک کاربران» (Low Adoption) عنوان کرده است. به گفته سخنگوی این شرکت، تعداد بسیار کمی از کاربران اینستاگرام به طور فعال گزینه رمزنگاری سرتاسری را در دایرکت‌ها فعال می‌کردند و این امر ادامه پشتیبانی فنی و نگهداری موازی دو زیرساخت رمزنگاری را توجیه‌ناپذیر کرده بود.

با این حال، تحلیلگران مستقل این استدلال را نوعی فرافکنی می‌دانند چراکه متا هرگز این قابلیت را به صورت پیش‌فرض (Default) فعال نکرد و آن را در تنظیمات پیچیده و لایه‌های زیرین اپلیکیشن پنهان کرده بود.

فشار نهاد‌های مجری قانون و پدیده "تاریکی"

سال‌هاست که نهاد‌هایی مانند FBI در آمریکا، اینترپل و آژانس ملی مبارزه با جرم در بریتانیا (NCA) علیه رمزنگاری سرتاسری فعالیت می‌کنند. آنها معتقدند E۲EE فضایی تاریک (Going Dark) برای فعالیت مجرمان فراهم می‌کند که دسترسی پلیس حتی با حکم قضایی را ناممکن می‌سازد. حذف این قابلیت در اینستاگرام، پاسخی مستقیم به این فشار‌ها تلقی می‌شود که به متا اجازه می‌دهد مجدداً به عنوان «همکار نهاد‌های قانونی» در ردیابی جرایم سایبری ایفای نقش کند.

قانون TAKE IT DOWN؛ بهانه‌ای که متا به آن نیاز داشت

یکی از عواملی که متا خود بیش از هر چیز دیگری به آن استناد می‌کند، اجرایی شدن قانون فدرال "ابزار‌های مقابله با بهره‌کشی شناخته شده از طریق از کار انداختن دیپ‌فیک‌های فناورانه در وب‌سایت‌ها و شبکه‌ها" (TAKE IT DOWN Act) در ایالات متحده است. این قانون که در ۱۹ می ۲۰۲۵ به امضا رسید و مهلت یک‌ساله انطباق آن در ۱۹ می ۲۰۲۶ به پایان می‌رسد، پلتفرم‌ها را موظف می‌کند تصاویر خصوصی بدون رضایت و جعل‌های عمیق را ظرف ۴۸ ساعت حذف کنند.

بررسی مفاد کلیدی این قانون نشان می‌دهد که انطباق با آن در محیط رمزنگاری‌شده دشوار، اما نه غیرممکن است. با این حال، آنچه کمتر گفته می‌شود این است که متا خود ماه‌ها پیش از اعلام رسمی این قانون، مطالعات داخلی برای حذف تدریجی E۲EE را آغاز کرده بود. در چنین شرایطی، قانون TAKE IT DOWN بیش از آنکه یک «فشار ناگهانی» باشد، بهانه‌ای مناسب در اختیار متا قرار داد تا تصمیم راهبردی خود برای بازگشت به رمزنگاری استاندارد را در لفافه «پاسخ به الزامات قانونی» و «حمایت از کاربران در برابر محتوای مضر» توجیه کند.

الزاماتی مانند بازه زمانی ۴۸ ساعته برای حذف محتوا و مسئولیت کیفری تا ۲ سال حبس، اگرچه واقعی‌اند، اما متا به خوبی می‌دانست که راه‌های فنی دیگری (مانند اسکن سمت کلاینت یا رمزنگاری قابل جست‌و‌جو) برای انطباق با قانون بدون حذف کامل رمزگذاری سرتاسری وجود دارد.

بنابراین، استناد اغراق‌آمیز متا به این قانون، بیش از یک الزام فنی، یک فرصت تبلیغاتی و حقوقی بود تا ضمن همراهی با فضای سیاسی آمریکا، تصویر خود را به عنوان پلتفرمی مسئول در برابر افکار عمومی بازسازی کند. از این زاویه، TAKE IT DOWN نه «کاتالیزور» که «پوشش خبری مناسبی» برای تصمیمی بود که متا به دلایل دیگری (مانند اقتصاد داده و فشار پرونده نیومکزیکو) از پیش به آن تمایل داشت.

پرونده ایالت نیومکزیکو: بهانه‌ای که متا به آن نیاز داشت

یکی از عواملی که در گزارش‌های اولیه شاید پررنگ‌تر از حد واقعی به آن پرداخته شده، پرونده قضایی «ایالت نیومکزیکو علیه شرکت متا» است. در مارس ۲۰۲۶، هیئت منصفه دادگاه نیومکزیکو شرکت متا را به دلیل «ارائه عمدی پلتفرم‌های ناامن برای کودکان» و نقض قوانین حمایت از مصرف‌کننده، به پرداخت ۳۷۵ میلیون دلار جریمه محکوم کرد. رائول تورز، دادستان کل نیومکزیکو، با ارائه مدارک داخلی مدعی شد که متا از خطرات رمزنگاری در پنهان کردن فعالیت شکارچیان جنسی آگاه بوده، اما اقدامی نکرده است.

در فاز دوم این محاکمه که در می ۲۰۲۶ (همزمان با حذف رمزنگاری) آغاز شد، ایالت نیومکزیکو خواستار تغییراتی از جمله «حذف رمزنگاری برای تمامی کاربران زیر ۱۸ سال» و انتصاب یک ناظر ایمنی مستقل شد. اما آنچه کمتر گفته شده این است که متا خود ماه‌ها پیش از این احکام، تصمیم راهبردی برای حذف رمزنگاری سرتاسری در اینستاگرام گرفته بود.

در چنین شرایطی، این پرونده بیش از آنکه یک «عامل فشار» تعیین‌کننده باشد، بهانه‌ای مناسب در اختیار متا قرار داد تا تصمیم از‌پیش‌گرفته‌اش را با پوشش «اقدامی داوطلبانه برای حمایت از کودکان» توجیه کند و همزمان تصویری از همکاری با نهاد‌های قضایی به نمایش بگذارد. از این زاویه، حذف جهانی E۲EE نه یک عقب‌نشینی اضطراری، بلکه گامی هوشمندانه در مسیری بود که متا به دلایل دیگری (از جمله فشار قوانینی مانند TAKE IT DOWN و نیاز‌های اقتصادی هوش مصنوعی) از پیش برای آن برنامه ریزی کرده بود.

هوش مصنوعی و اقتصاد داده: محرک‌های پنهان Victoria Baines

در کنار ملاحظات قانونی و اخلاقی، بُعد اقتصادی و فناورانه این تغییر نیز بسیار حائز اهمیت است. ویکتوریا بینز، پروفسور فناوری اطلاعات در کالج گرشام و متخصص امنیت سایبری، در تحلیل‌های خود به این نکته اشاره می‌کند که «شرکت‌های رسانه‌های اجتماعی، ارتباطات ما را به کسب‌وکار خود تبدیل کرده‌اند».

او معتقد است که داده‌های پیام‌های مستقیم (DMs) به دلیل ماهیت صمیمانه و انسانی‌شان، منابعی بی‌نظیر برای آموزش مدل‌های پیشرفته هوش مصنوعی (AI) هستند.

حذف رمزنگاری سرتاسری به متا این قدرت فنی را می‌دهد که محتوای متنی، صوتی و تصویری میلیون‌ها کاربر را در الگوریتم‌های یادگیری ماشین خود ادغام کند! اگرچه متا مدعی است که در حال حاضر از پیام‌های خصوصی برای آموزش AI استفاده نمی‌کند، اما باز شدن قفل فنی این داده‌ها، راه را برای تغییر سیاست‌های آینده و ایجاد جریان‌های درآمدی جدید از طریق تبلیغات فوق‌هدفمند هموار می‌سازد.

تحلیل پیامد‌ها برای گروه‌های آسیب‌پذیر و فعالان مدنی

حذف رمزنگاری سرتاسری، فراتر از یک تغییر فنی، یک بحران امنیتی برای گروه‌های خاص محسوب می‌شود. نهاد‌های حقوق بشری مانند ائتلاف جهانی رمزنگاری (GEC) هشدار داده‌اند که این اقدام، لایه حفاظتی حیاتی را از روزنامه‌نگاران، مدافعان حقوق بشر و اقلیت‌های تحت تعقیب سلب می‌کند.

بدون E۲EE، پیام‌ها در برابر حملات نفوذ به سرور (Server-side breaches) و همچنین پایش‌های گسترده دولتی آسیب‌پذیر هستند. در کشور‌هایی با قوانین سخت‌گیرانه فضای مجازی، این تغییر می‌تواند به معنای دسترسی مستقیم نهاد‌های امنیتی به خصوصی‌ترین مکالمات شهروندان باشد، موضوعی که منجر به افزایش خودسانسوری و کاهش امنیت روانی کاربران شده است.

۴. واتس‌اپ هم امن نیست / افشای تازه از دسترسی کارمندان متا به پیام‌ها

کارشناسان غربی معتقدند ارزیابی سطوح مخاطره برای داده‌های مختلف پس از ۸ می ۲۰۲۶ نشان می‌دهد که امنیت اسناد مالی و کد‌های شناسایی در دایرکت اینستاگرام با ریسک بسیار بالایی همراه است و استفاده از روش‌های آفلاین یا فیزیکی برای تبادل آنها توصیه می‌شود. غربی‌ها برای مکالمات سیاسی و مدنی نیز سطح خطر بسیار بالا را ارزیابی کرده‌اند و مهاجرت به پلتفرم‌های امن‌تر نظیر Signal یا واتس‌اپ که هنوز از E۲EE پشتیبانی می‌کنند، را پیشنهاد کرده‌اند!

اشتراک‌گذاری تصاویر و ویدیو‌های شخصی با ریسک بالا به دلیل احتمال اسکن خودکار توسط پلتفرم مواجه است و استفاده از سرویس‌های ذخیره‌سازی ابری رمزنگاری شده انتخاب ایمن‌تری است. در نهایت، ارتباطات تجاری و حرفه‌ای دارای ریسک متوسط ارزیابی شده‌اند و توصیه شده است که سازمان‌ها از پلتفرم‌های اختصاصی خود برای این امور استفاده کنند.

با آنکه کارشناسان غربی واتس‌اپ را جایگزینی امن‌تر از اینستاگرام معرفی کرده‌اند، شواهد متعددی نشان می‌دهد که حریم خصوصی در واتس‌اپ نیز به آن اندازه که ادعا می‌شود محکم نیست. در ژانویه ۲۰۲۶، یک دعوای حقوقی گروهی در دادگاه فدرال کالیفرنیا علیه متا مطرح شد که در آن کاربرانی از استرالیا، برزیل، هند، مکزیک و آفریقای جنوبی ادعا کردند واتس‌اپ و شرکت مادرش متا علیرغم ادعای رمزگذاری سرتاسری، به محتوای پیام‌های کاربران دسترسی دارند.

بر اساس این شکایت، کارمندان متا می‌توانند با ارسال درخواست ساده به مهندسان شرکت، بدون هیچ نظارت دقیقی به پیام‌های کاربران دسترسی پیدا کرده و آنها را هم به صورت لحظه‌ای و هم از ابتدای ایجاد حساب کاربری بخوانند.

این شکایت همچنین ادعا می‌کند برخی از پیمانکاران سابق متا، از جمله کسانی که از طریق شرکت مشاوره‌ای اکسِنچِر استخدام شده بودند، به پیمانکاران و کارمندان اجازه داده شده به «محتوا و ماهیت» پیام‌های خصوصی کاربران دسترسی گسترده و آزادانه (unfettered) داشته باشند.

شکایت این کاربران به‌ویژه برای روزنامه‌نگاران، فعالان سیاسی و شهروندان ساکن در کشور‌هایی با محدودیت‌های شدید فضای مجازی نگران‌کننده است. متا به‌شدت این اتهامات را تکذیب کرده و آنها را «کاملاً نادرست و پوچ» خوانده است.

اما نکته مهم‌تر این است که این تنها یک ادعا نبود: بر اساس گزارشی از بلومبرگ، یک مأمور ویژه اداره بازرگانی آمریکا پس از یک تحقیق ۱۰ ماهه، مدعی شد شرکت متا می‌تواند به تمام پیام‌های متنی، صوتی و تصویری کاربران، با وجود ادعای رمزگذاری، در قالب غیررمزگذاری‌شده دسترسی داشته باشد.

این مأمور در ایمیل خود در ۱۶ ژانویه ۲۰۲۶ ادعا کرد متا از سال ۲۰۱۹ سیستمی لایه‌بندی‌شده از دسترسی به محتوای پیام‌ها را در اختیار کارمندان و پیمانکاران خود در کشور‌های مختلف (از جمله هند) قرار داده است.

اما این تحقیق به‌طور ناگهانی و تنها چند ماه بعد متوقف و بسته شد. هرچند متا همچنان بر موضع خود مبنی بر عدم دسترسی به محتوای رمزگذاری‌شده پای می‌فشارد، اما توقف ناگهانی این تحقیق و وجود چنین اتهامات جدی از سوی منابع متعدد، تردید‌های عمیقی را درباره امنیت واقعی واتس‌اپ ایجاد کرده است.

واکنش‌های پارادوکسیکال: ایمنی کودک در برابر حریم خصوصی بزرگسال

تصمیم متا شکاف عمیقی میان مدافعان ایمنی کودکان و فعالان حقوق دیجیتال ایجاد کرده است. رانی گوویندر، نماینده انجمن NSPCC، با ابراز خرسندی از این تصمیم معتقد است که رمزنگاری سرتاسری به عاملان سوءاستفاده اجازه می‌داد تا در سایه پنهان بمانند؛ از سوی دیگر، متیو هاجسون، مدیرعامل پلتفرم امن Element، این اقدام را «هدیه‌ای به سیستم‌های نظارتی و مجموعه‌های آموزش هوش مصنوعی» توصیف کرده و آن را تسلیم شدن در برابر فشار‌های سیاسی می‌داند.

این پارادوکس نشان‌دهنده چالش بزرگ حکمرانی دیجیتال در سال ۲۰۲۶ است: چگونه می‌توان امنیت کودکان را بدون قربانی کردن حریم خصوصی کل جامعه تامین کرد؟ متا با انتخاب مسیر «عدم رمزنگاری»، عملاً مسئولیت نظارت را بر عهده گرفته است، اما این کار به قیمت از دست رفتن اعتمادی تمام شده که طی هفت سال با شعار حریم خصوصی بنا کرده بود.

عقب‌نشینی متا از رمزگذاری سرتاسری در اینستاگرام، نقطه عطفی در تاریخ اینترنت محسوب می‌شود. این اقدام نشان‌دهنده پیروزی "نظارت رگولاتوری" و "نیاز‌های داده‌محور هوش مصنوعی" بر "ارزش‌های حریم خصوصی فردی" است!

در حالی که فشار‌های قانونی ناشی از قانون TAKE IT DOWN و پرونده‌های قضایی مانند نیومکزیکو، متا را به سمتی سوق داده که ایمنی ظاهری را بر امنیت ساختاری ترجیح دهد، اما پیامد‌های بلندمدت این تصمیم، از جمله تضعیف امنیت فعالان مدنی و سوءاستفاده احتمالی از داده‌ها برای آموزش AI، همچنان نگران‌کننده است.

واقعیت این است که در سال ۲۰۲۶، اینستاگرام دیگر یک "پیام‌رسان ایمن" نیست، بلکه یک "شبکه اجتماعی عمومی با قابلیت چت تحت نظارت" است.

کاربران و سیاست‌گذاران باید با درک این مرزبندی جدید، نسبت به تدوین پروتکل‌های حفاظتی خود اقدام کنند. این حرکت متا ممکن است اولین دومینو در سقوط استاندارد رمزنگاری در شبکه‌های اجتماعی بزرگ باشد که راه را برای پایش گسترده‌تر و حکمرانی متمرکز داده‌ها توسط غول‌های فناوری هموار می‌سازد.