به گزارش خبرنگار مهر، نشست الزامات قانونگذاری در موضوع حمایت از دادههای شخصی با محورهای وضعیت قوانین حمایت از داده در سایر نظامهای حقوقی، بررسی سابقه طرحها و لوایح حفاظت از دادهها در ایران، نقد و بررسی پیش نویس لایحه حمایت و حفاظت از دادههای شخصی با حضور باقر انصاری، پژوهشگر حقوق و عضو هیأت علمی دانشگاه شهیدبهشتی در مرکز راهبردی فرهنگ و رسانه برگزار شد.
باقر انصاری در این نشست توضیحاتی در خصوص آغاز و روند تصویب لایحه حمایت از دادههای شخصی ارائه داد و گفت: در سال ۹۸ لایحهای تحت عنوان لایحه حفاظت از دادههای شخصی در دستور کار دولت قرار گرفت. در نتیجه پیگیریها و بررسیهایی که روی متن اولیه انجام شد، پیشنهاد شد این پیش نویس از منظر نگاه کسب و کارها و متولیان اصلی این حوزه اعم از حقوقی و غیر حقوقی با حضور نمایندگانی از دولت و وزارت ارتباطات مورد بررسی قرار گیرد که به دنبال آن جلسات متعددی با حضور نمایندگانی از شرکتهای مختلف برگزار شد. در جریان این جلسات این لایحه از حفاظت به حمایت از دادههای شخصی تغییر عنوان یافت؛ این لایحه همچنین در کمیسیون فرعی با حضور نمایندگانی از مرکز ملی فضای مجازی و وزارت ارتباطات نیز مورد بررسی قرار گرفته و در نهایت پیش نویس آن تصویب شد.
وی افزود: اخیراً جلسهای هم با رئیس سازمان فناوری اطلاعات با محوریت بررسی مجدد این لایحه برگزار شد تا در صورت نیاز اصلاحات لازم در این باره صورت گیرد؛ طرحهایی هم در مجلس در حمایت از لایحه قبلی مطرح شده که به عقیده من این تعدد طرحها و لوایح موجب کندی و آشفته بازاری میشود.
تاریخچه استفاده از دادههای شخصی در دوره نازی و پس از جنگ جهانی دوم در آمریکا
انصاری در ادامه با تاکید بر این نکته که منظور از حفاظت در اینجا، حفاظت از افراد است نه دادهها، تصریح کرد: ما با تصویب این لایحه بناست از افراد حفاظت کنیم، دادهها که قرار نیست حفاظت شوند و حفاظت از دادهها خود بخشی از حمایت است. حفاظت عمدتاً به تدابیری فیزیکی، مادی و غیر حقوقی اطلاق میشود در صورتی که حمایت شامل مواردی از جمله امرو نهی و به دنبال آن مسئولیتهای کیفری و مدنی و ضمانت اجرایی میشود.
عضو هیئت علمی دانشگاه شهید بهشتی درباره مبحث مهم پردازش دادهها که سوال رایج در این باره است، بیان کرد: موضوع پردازش دادهها را باید در برشهای زمانی مختلفی بررسی کرد؛ یک برش به قبل از جنگ جهانی دوم و قبل از روی کار آمدن دولت هیتلر باز میگردد که تا آن زمان دادههای شخصی به صورت دستی جابجا و ثبت میشد که در آنها با وجود تعهد نسبت به محرمانگی اما هیچ حقوقی در این باره برای افراد در نظر گرفته نمیشد؛ مثلاً در آلمان دولت تحت حزب نازیست قراردادی را با شرکت بینالمللی بسیار مهمی که در آن زمان با نام آی بی ان شناخته میشد برای اعمال نظام تأمین اجتماعی در دولت نازی منعقد میکند که بر این اساس ارائه خدمات اجتماعی مستلزم داشتن اطلاعات اشخاص است که نتیجه جمع آوری دادهها بر مبنای این قرارداد این شد که پس از مدتی افراد دریافتند چگونه دولت میتواند حتی با اقدام به خرید بلیت قطار، آنها را شناسایی و در صورت مجرم بودن بازداشتشان کنند. این موضوع افراد را به تساصل انداخت.
وی در ادامه نمونه دیگری از استفاده از دادههای شخصی عنوان کرده و افزود: در آمریکا به ویژه پس از جنگ جهانی دوم پروژه شکار کومونیستها و اتفاقات دیگری رخ داد که بر مبنای آن بسیاری از افراد از جمله اساتید دانشگاهها که افکار کومونیستی داشتند بازداشت شدند که این ترس را در میان مردم آمریکا ایجاد کرد که دولت از کجا به این اطلاعات دست یافته است این اتفاقات در دهه ۴۰ میلادی رخ میدهد یعنی همزمان با دوره آغاز استفاده از کامپیوتر که در دهه بعد یعنی دهه ۵۰ به دلیل گسترش استفاده از کامپیوتر جمع آوری دادههای شخصی سهولت یافت. همین دادهها منشأ نگرانیهایی در خصوص سوءاستفاده میشود.
معتبرترین قانون حفاظت از داده
انصاری افزود: با ادامه این روند در نهایت در اواخر دهه ۶۰ میلادی این تفکر در دولتهای مختلف ایجاد شد که نباید اجازه داد این دادههای شخصی به همین راحتی جمع آوری و پردازش شود که به این ترتیب در آمریکا و اروپا و آلمان، کمیتههایی برای بررسی این موضوع تشکیل شد. ناگفته نماند که اولین قانون در آلمان سپس در سوئد و بعد در آمریکا تصویب میشود که بعد از آن کشورهای دیگر نیز به تبعیت از آنها اقدام به وضع قانونی در این زمینه میکنند؛ در نهایت معتبرترین قانونی که در این زمینه تصویب میشود قانون GDPR به معنای مقررات عمومی دادههای شخصی است که در سال ۲۰۱۹ در اتحادیه اروپا به تصویب رسیده است.
دادههای شخصی سوخت اقتصاد دیجیتال است
این حقوقدان در ادامه با بیان این نکته که در تدوین اسناد مربوط به دادههای شخصی باید اصولی در نظر گرفته شود، اظهار کرد: نکته اول این است که باید مشخص شود که نسبت دادهها با حریم خصوصی چیست. آیا تفاوتی میان این دو وجود دارد یا خیر. باید بگوییم که در ابتدا تصور میشد تفاوتی میان آنها وجود ندارد که طبق GDPR دادههای شخصی چیزی متفاوت با حریم شخصی است چرا که در حریم خصوصی ما بر اطلاعات خود سلطه و کنترل داریم و این ما هستیم که اجازه استفاده از این اطلاعات را به افراد میدهیم یا خیر. این در حالی است که ما بنا نیست بر دادههای شخصی سلطه داشته باشیم؛ در دنیای واقعی از این دادهها تعبیر به نفت سفید میشود که برای تجارت اقتصاد دیجیتال دنیا بسیار حیاتی و کلیدی است، بنابراین چیزی که حکم سوخت اقتصاد دیجیتال دنیا را دارد بنا نیست که در اختیار افراد قرار گیرد.
وی تاکید کرد: در دادههای شخصی ما به دنبال این هستیم که پردازش دادههای شخصی از اصول و ضوابطی تبعیت کند. در واقع چیزی به نام مالکیت دادهها وجود ندارد، مثلاً به محض فعال کردن یک گوشی تلفن همراه و یا استفاده از یک مرورگر و غیره دادههای ما بلافاصله ثبت می شود و ما عملاً اختیاری در این باره نداریم، بنابراین موضوع مالکیت منتفی است و ما نمیتوانیم از کنترل دادهها جلوگیری کنیم در حریم خصوصی این امکان وجود دارد اما نمیتوان در مورد دادههای شخصی این انتظار را داشت.
موضع اروپا و آمریکا در حمایت از دادههای شخصی؛ حق محور و اقتصاد محور
انصاری در ادامه توجه به اهداف و فلسفه وضع قوانین در قانونگذاری برای دادههای شخصی را به عنوان نکته مهم دیگر در این باره عنوان کرد و گفت: قوانین دادههای شخصی دو هدف کلیدی را دنبال میکنند: نخست اینکه پردازش بی حساب و کتاب دادهها میتواند خطرات زیادی برای همه داشته باشد که یکی از مهمترین آن خطر امنیت شخصی و آزادی افراد است. به این معنا که اگر دادههای شخصی کنترل شود حریم خصوصی ما زیر سوال میرود، بنابراین یک بخش از هدف حمایت از دادههای شخصی، حمایت از حقوق و آزادیهای فردی است که این نگاه در اروپا به دلیل تجارب تلخی که اروپا در استفاده از دادههای شخصی داشتند، بسیار غلبه داشته است. هدف دوم بحث تجاری است که برای سرعت بخشیدن بر حرکت چرخ اقتصاد در زمینه دیجیتال، استفاده از دادههای شخصی تبدیل به یک نیاز میشود.
عضو هیئت علمی دانشگاه شهید بهشتی در ادامه با تاکید بر این نکته که چون آمریکا تجربه تلخ اروپا را در استفاده از دادههای شخصی نداشته و خود را مهد فناوری دنیا میداند تصریح کرد: با توجه به اینکه آمریکا مدعی لیدرشیپی فناوری و استفاده از اینترنت در دنیاست، سیاست خاصی را در استفاده از دادههای شخصی اتخاذ کرده است.
وی افزود: این سیاست مبنی بر این است که در قانونگذاری برای دادههای شخصی نباید به جریان تجارت آزاد دادهها لطمه وارد شود، بنابراین رویکرد اروپا را میتوان یک رویکرد حق محور و رویکرد آمریکا را اقتصاد محور خواند و از آنجا که عمده فناوریهای داده محور دنیا در آمریکا قرار دارند، بنابراین بخش اعظم دادههای دنیا در این کشور جمع شده و آن را تبدیل به دست برتر دنیا کرده است.
انصاری ادامه داد: این در حالی است که اروپاییها معتقدند کشورها در یک جنگ بینالمللی با آمریکا در حوزه دادهها هستند و جنگ فنی را به آن باختهاند از این رو تلاش میکنند از طریق حقوقی آمریکا را کنترل کنند که تصویب GDPR و نیز اعمال جریمههای سنگین برای گوگل در صورت پردازش دادهها به مبلغ ۲۰ میلیون دلار از جمله اقدامات مؤثر در این باره بوده است.
پیشتازی چین از آمریکا در فناوریهای داده محور
این حقوق دادن در ادامه توضیحاتش از یک بازیگر مهم دیگر که نقش بسیار مؤثری در این جریان دارد نام برد و گفت: چین در حوزه فناوری پیشرفت بسیار قابل توجهی داشته است. با ورود گوشیها و سیستم عاملهای چینی به بازار دنیا و نیز استفاده از اینترنت اشیا این کشور وارد عرصه فناوریهای تجاری شد که بر اساس گزارش مجله «تکنولوژیهای پیشرفته» چین با دارا بودن ۳۹ درصد پتنتهای جهان حتی در این زمینه از آمریکا نیز پیشی گرفته و تبدیل به رقیب جدی آن شده است. باید توجه داشت هر کشوری که دارای فناوری داده محور است برای جلب اعتماد دیگران ناگزیر است که در این خصوص امنیت حقوقی ارائه دهد، برای این منظور چین ۵ قانون کلیدی در حوزه دادهها وضع کرده است که آخرین قانونی که لازمالاجرا نیز شده قانون دادههای شخصی ۲۰۲۲ چین است.
انصاری افزود: در این زمینه چین یک رویکرد ترکیبی اتخاذ کرده است یعنی در بخشی از قوانین اروپا و در بخشی دیگر از قوانین آمریکا استفاده کرده است که منجر به ایجاد الگوی سومی تحت عنوان الگوی دادههای شخصی چین شده است. این الگو، یک رویکرد امنیت محور دارد، لذا بسته به رویکرد دولتها این لایحه میتواند اقتصاد محور و یا دادههای شخصی محور باشد.
انتقاد کسب و کارها به لایحه حفاظت از داده
عضو هیئت علمی دانشگاه شهید بهشتی در ادامه توضیحات خود پیرامون بررسی لایحه حفاظت از دادههای شخصی با اشاره به انتقاد کسب و کارها از وضع این قانون گفت: برخی از کسب و کارها عنوان کردهاند این قوانین مهمی که از آن صحبت میشود مانع از توسعه کسب و کارهای نوپا میشود در برخی موارد قانون اجازه استفاده از دادههای شخصی را نمیدهد و همین امر میتواند به یک آسیب اقتصادی جدی منجر شود. در خصوص پردازش دادهها نیز این موضوع صادق است. کسب و کارها معتقدند پردازش نباید به معنای حداکثری تعریف شود و باید از شمولیت عام آن در سطح وسیع کاسته شود تا کسب و کارها بتوانند جایگاه خود را در بازار تثبیت کنند و این از انتقادهای وارد است و همچنان رویکرد ما در ایران در این باره مشخص نیست. برخی قوانین ما در پیش نویس این لایحه حتی از GDPR هم پیشی گرفته است.
سهم بخش خصوصی و دولتی
وی خاطرنشان کرد: یکی از نکات مهم در تدوین لایحه حفاظت از دادههای شخصی این است که آیا در وضع قوانین، بخش عمومی و خصوصی با هم در نظر گرفته میشود و یا برای هر کدام به صورت مجزا قوانین وضع میشود که در این باره باید بگوییم که هیچ تفاوتی میان بخش خصوصی و عمومی وجود ندارد و اروپا و آمریکا و سایر کشورها با گذشت زمان به این نتیجه رسیدند که هر دو بخش باید تابع قوانین یکسانی باشند و تنها در برخی موارد در زمینه پردازش استثنا وجود داشته باشد؛ در بخش عمومی در کشور ما این قانون قابل اجرا نیست و طبق تجربیات گذشته دولت هرگز زیر بار اصول و ضوابط پردازش داده نرفته و نخواهد رفت اما در بخش خصوصی، آن بخش از بخش دولتی که کار بخش خصوصی را انجام میدهد میتواند مشمول این لایحه باشد.
این حقوق دان در ادامه اظهار داشت: در بحث دادههای شخصی ما قصد داریم قانونی وضع کنیم که قلمرو اعمال آن ملی باشد و میخواهیم که فرامرزی باشد یعنی قانونی وضع شود که اتباع خارجی و افراد و شرکتهای ایرانی مقیم در کشورهای خارجی را نیز شامل شود؟ مثلاً در GDPR چنین قانونی وجود دارد. در لوایحی که تاکنون در ایران تدوین شده از برخی از این قوانین تبعیت شده است مثلاً در قانون جرایم رایانهای یک قلمرو اعمال فراسرزمینی داریم اما تاکنون اجرایی نشده است و در حد سند باقیمانده است.
انصاری با اشاره به لایحه حفاظت از داده های شخصی افزود: ما باید قوانین را در حد توانایی خود وضع کنیم و نباید خود را با کشورهایی مانند چین که رقیب آمریکا بود و با اتحادیه اروپا در پردازش دادهها همکاری میکند، بسنجیم. این قانون در واقع تصویر جمهوری اسلامی ایران در بحث دادههای شخصی است بنابراین نمیتوانیم چیزی وضع کنیم که ما را مضحکه دنیا کند.
عضو هیئت علمی دانشگاه شهید بهشتی با تاکید بر این نکته که ۹۵ درصد قوانین وضع شده در خصوص حفاظت از دادههای شخصی مشابه هستند، تصریح کرد: قوانینی وجود دارند که در سطح بینالمللی مهم هستند و بلافاصله ترجمه میشوند و در دسترس قرار میگیرند بنابراین چیزی وجود ندارد که ما بتوانیم در آن ورود کرده و از خود خلاقیت نشان دهیم و سپس اقدام به وضع قوانین عجیب و غریب کنیم که برای دیگران قابل فهم و درک نباشد. باید به زبان فنی و حقوقی قابل فهم برای دنیا سخن بگوییم. مثلاً در بحث راه اندازی دفتر نمایندگی پلتفرمهای خارجی مانند اینستاگرام و واتس اپ و غیره در کشور، شرکت مورد نظر اولین اقدامی که انجام میدهد مطالعه قوانین حفاظت از دادههای شخصی است بنابراین این قوانین باید به اندازه کافی شفاف و قابل فهم باشد که طرف مقابل متوجه آن شود.
وی در خصوص پیش نویس لایحه حفاظت از دادههای شخصی در کشور ضمن اشاره به پویایی فناوری گفت: پویایی فناوری در دنیا سبب شده تا اصول و قوانین نیز هر از چند گاهی تغییر یافته و اصلاح شود لذا باید به این اصول و تغییرات نیز توجه شود، این در حالی است که در لایحه وضع شده در کشور ما کل اصول حذف شده و تقریباً هیچ اصلی در آن نیست.
انصاری افزود: نکته بعدی مربوط به رکن دوم تمام قوانین مربوط به حفاظت از دادههای شخصی یعنی رعایت حقوق افراد است؛ تفاوت «اصول» با «حقوق» در این است که نظارت بر رعایت اصول بر عهده نهادهای ناظر است و نیازی به شاکی و معترض خصوصی ندارد ولی در مورد حقوق امتیازات و اختیاراتی برای اشخاصی که دادههای آنها مورد استفاده قرار میگیرد در نظر گرفته میشود تا آسیبی از ناحیه پردازش دادهها متوجه آنها نباشد.
وی همچنین تأکید کرد: ما باید دولت را از شمول این قانون خارج کنیم چرا که با ورود دولت، سایر ارکان بهم میریزد.