مرکز پژوهش های مجلس با بررسی خلأهای قانونی حفاظت از داده‌ها به این نتیجه رسیده با وجود شناسایی حق حریم خصوصی در قانون اساسی، قوانین اجرایی جهت تحقق امر حفاظت از حریم خصوصی وجود ندارد.

به گزارش خبرگزاری مهر، مرکز پژوهش‌های مجلس در گزارشی به شناسایی خلأهای قانونی حفاظت از داده‌ها در زنجیره ارزش داده‌ها پرداخته است و این موضوع در قوانین ایران و ایالات متحده آمریکا با یکدیگر مقایسه کرده است.

هدف این گزارش شناسایی خلاء های قانونی حفاظت ازحقوق داده‌ها با مقایسه قوانین ایران و ایالات متحده آمریکا است. مطالعه حال حاضر نشان می‌دهد، قانون اساسی ایران در شناسایی حق حریم خصوصی از قانون اساسی آن کشور مترقی تر است.

در خلاصه مدیریتی این گزارش آمده است: هدف از تدوین این گزارش شناسایی خلأهای قانونی حفاظت از حقوق داده‌ها با مقایسه قوانین ایران و ایالات متحده آمریکا است.

در قانون اساسی ایالات متحده آمریکا رعایت حریم خصوصی تصریح نشده، اما در اصل ۲۵ قانون اساسی جمهوری اسلامی بر حق حریم خصوصی تصریح شده است. در نتیجه قانون اساسی ایران در شناسایی حق حریم خصوصی به مراتب از قانون اساسی ایالات متحده آمریکا مترقی تر است.

مقایسه قوانین جامع تصویب شده یا در آستانه تصویب ایالات کالیفرنیا، نیویورک، مریلند، ماساچوست، هاوایی و داکوتای شمالی با قانون تجارت الکترونیک ایران مصوب سال ۱۳۸۲ نیز نشان می‌دهد در قوانین موضوعه مصوب مجلس شورای اسلامی نیز اصل حقوق مربوط به حریم خصوصی به صراحت به رسمیت شناخته شده و حتی مجازات زندان برای تخلف در زمینه رعایت حقوق شخص موضوع داده وضع شده است، اما در قوانین ایران این مشکلات وجود دارند:

* موضوع حریم خصوصی از جنبه شیوه احقاق حقوق و ضوابطی که با اجرای آنها فرد می‌تواند نسبت به احقاق حقوق خود اقدام کند روشن نشده است.

* درحالی که تکالیفی برای نگهداری و حفظ برخی از اقلام داده‌ای از سوی برخی کسب و کارها و عرضه کنندگان خدمات فناوری اطلاعات وضع شده، در زمینه حفاظت از این داده‌ها و شیوه استفاده از این داده‌ها ضوابط مشخصی وضع نشده است.

برای نمونه طبق تکلیف مواد ۳۲ و ۳۳ قانون جرایم رایانه‌ای ارائه دهندگان خدمات مربوطه موظفند داده‌های ترافیکی را حداقل شش ماه و داده‌های ذخیره سازی را حداقل پانزده روز پس از خاتمه خدمت نگهداری کنند، اما بازه زمانی که داده‌ها باید قابلیت حذف یا امحا داشته باشند یا ملاحظات حریم خصوصی و حقوق داده‌های اشخاص موضوع این داده‌ها نیز تصریح نشده اند. گرچه به نظر می‌رسد احکام حریم خصوصی قانون تجارت الکترونیکی در این حوزه قابل اعمال باشند.

* برای ساماندهی به پدیده دلال‌های داده یعنی کسانی که بدون مراورده مستقیم کسب و کاری با اشخاص داده‌هایی در مورد آنها در اختیار دارند و این داده‌ها را به فروش می‌رسانند قوانین کافی وجود ندارد و کسب و کارهای متعددی درحال گردآوری اطلاعات شهروندان در شبکه‌های اجتماعی مختلف هستند و الزام قانونی هم به افشای اطلاعات به اشخاص موضوع داده از سوی این کسب و کارها وجود ندارد.

* قوانین کسبوکارها را به ایجاد یک امکان مشخص برای درخواست پاک کردن اطلاعات شخصی افراد بکند، ملزم نکرده اند.

* فروش اطلاعات شخصی سامان دهی نشده است حمایت‌های حقوقی بیشتر از حریم خصوصی کودکان وجود ندارد.

* حریم خصوصی مطالعه منابع الکترونیکی مقررات گذاری نشده است.

* تکالیف کسبوکارها در زمینه اطلاع رسانی در مورد شیوه مدیریت داده‌های شخصی مدون نشده است.

* حریم خصوصی در رابطه کارگر و کارفرما تدوین نشده است.

* کسب و کارها ملزم به اطلاع رسانی پیرامون نشت اطلاعات نیستند.

در توسعه قوانین حمایت از حقوق داده‌ها و رفع خلأهای قانونی ملاحظاتی همچون، مشخص کردن جامعه هدف، لزوم ساماندهی دلال‌های داده، ضرورت در نظر گرفتن حساسیت اطلاعات کتابخانه ای، منع استفاده از اطلاعات کودکان برای تبلیغات، ساماندهی نشت اطلاعات، تکلیف به ایجاد قابلیت نرمافزاری داخل نرم افزارهای برخط برای درخواست دسترسی و پاک شدن اطلاعات، ضرورت بازنگری و تقویت قانون تجارت الکترونیکی مصوب ۱۳۸۲ و انجام مطالعات مروری بیشتر در زمینه صیانت از حقوق داده‌ها پیشنهاد می‌شود.

عناوین قانونی مرتبط با حفاظت از داده‌ها در قوانین ایران و ایالات متحده آمریکا

احکام حریم خصوصی و صیانت از داده در قانون اساسی ایالات متحده آمریکا در مقایسه با قانون اساسی جمهوری اسلامی ایران
ایالات متحده جمهوری اسلامی ایران

مقاله حق حریم خصوصی (حق تنها گذاشته شده بودن)

مقاله شبه جرم‌های حریم خصوصی

مورد قضائی گریزولد در برابر کنتیکت در سال

۱۹۶۵

مورد قضائی کاتز در برابر ایالات متحده آمریکا در سال ۱۹۶۷

مورد قضائی آیزناشتات در برابر بیرد در سال ۱۹۷۲

اصل بیست و دوم قانون اساسی جمهوری اسلامی ایران

اصل بیست و سوم قانون اساسی جمهوری اسلامی ایران

اصل بیست و پنجم قانون اساسی جمهوری اسلامی ایران

رأی شماره ۴۹۰ هیأت عمومی دیوان عدالت اداری با موضوع ابطال تبصره ماده ۷ آئین نامه اجرایی تبصره ۴ ماده ۱۸۱ قانون مالیات‌های مستقیم مصوب وزرای دادگستری و امور اقتصادی و دارایی

احکام حریم خصوصی در قوانین فدرال ایالات متحده آمریکا در مقایسه با مقررات اجرایی ایران

مقررات فدرال حریم خصوصی در بخش دولتی

دستور اجرایی ۱۳۶۳۶ با عنوان بهبود امنیت سایبری زیرساخت‌های حیاتی و رهنمود سیاست ریاست جمهوری یا تاب آوری و امنیت زیرساخت‌های کلیدی ۱۲ فوریه سال ۲۰۱۳

دستور اجرایی ۱۳۶۹۱ با عنوان بهبود اشتراک اطلاعات امنیت سایبری با بخش خصوصی ۱۳ فوریه سال ۲۰۱۵

دستور اجرایی ۱۳۸۷۳ با عنوان ایمن سازی زنجیره ارزش خدمات و فناوری‌های ارتباطات و اطلاعات ماه می سال ۲۰۱۹

دستور اجرایی ۱۴۰۳۴ با عنوان حفاظت از داده‌های شخصی آمریکایی‌ها از دشمنان خارجی

مقررات فدرال بخش خصوصی

حریم خصوصی در مصوبات شوراها و هیئت وزیران قوه مجریه جمهوری اسلامی ایران
احکام حریم خصوصی در قوانین ایالتی ایالات متحده آمریکا در مقایسه با قوانین مصوب مجلس ایران
قوانین حریم خصوصی مصرف کننده جامع ایالتی قانون تجارت الکترونیکی مصوب سال ۱۳۸۲

جدول مقایسه قوانین جامع ایالات مختلف آمریکا و قانون تجارت الکترونیک ایران

گرچه از نظر دایره شمول احکام، قانون تجارت الکترونیکی بسیاری از ظواهر یک قانون جامع را دارد، اما فاقد سازوکارهای اجرایی شفاف برای تحقق امر حفاظت از حریم خصوصی است. مثلاً گرچه به شخص موضوع داده اختیار حذف داده پیام‌های شخصی او داده می‌شود، اما سازوکار اعلام داده‌های در اختیار، شیوه درخواست و مهلت‌های قانونی مشخص نیستند.

نتایج این مطالعه نشان می‌دهد به طور کلی در توسعه قوانین حمایت از حقوق داده‌ها و رفع خلأهای قانونی ملاحظات ذیل باید مدنظر قرار گیرد:

۱. مشخص کردن جامعه هدف: قوانین حریم خصوصی از نظر جامعه هدفی که حقوقش مورد تأکید قرار می‌گیرد، می‌توانند مصرف کنندگان خدمات و کالا به صورت عام، کارمندان، مراجعین به کتابخانه ها، استفاده کنندگان از خدمات خاص و کودکان و سایر اقشار نیازمند حمایت را دربر بگیرند.

سطوح حفاظتی که نسبت به هر کدام از این جوامع هدف رعایت می‌شود، می‌تواند متفاوت باشد. برای مثال قانونگذار می‌تواند سختگیری بیشتری در زمینه حذف سوابق مربوط به کودکان یا گردآوری اطلاعات آنها نسبت به اشخاص عادی اعمال کند.

قوانین حریم خصوصی از نظر جامعه هدفی که اعمالش ضابطه‌مند می‌شود، می‌تواند شامل بخش دولتی، فعالین بخش خصوصی به صورت عمومی یا اشخاص حقیقی و حقوقی شاغل در حوزه‌های خاص شوند. در نتیجه در مستندات پشتیبان هر نوع طرح حقوقی باید استدلال مشخصی بشود که جامعه هدف چگونه انتخاب شده و یا چرا یک جامعه هدف مورد تاکید قرار نمی‌گیرد.

۲. لزوم ساماندهی دلال‌های داده: دلال‌های داده بدون ارتباط کسب و کاری با شهروندان اطلاعات آنها را گردآوری کرده و به فروش می‌رسانند، از این رو لازم است که تکلیف آنها در قوانین کشور مشخص بشود.

۳. ضرورت در نظر گرفتن حساسیت اطلاعات کتابخانه ای: اطلاعات مربوط به ترجیح مطالعاتی افراد، مبین گرایش‌های فکری و اندیشه افراد می‌تواند باشد و از این رو حفاظت‌های قانونی شدیدتر در مورد آنها قابل در نظر گرفتن است.

۴. منع استفاده از اطلاعات کودکان برای تبلیغات: برای تحقق هدف حمایت از حریم خصوصی کودکان یکی از عواملی که انگیزه گردآوری اطلاعات کودکان را کاهش می‌دهد ایجاد ممنوعیت تبلیغ بر اساس اطلاعات عادات کاربری آنها است.

۵. ساماندهی نشت اطلاعات: نشت اطلاعات یکی از موضوعات مهم در زمینه حقوق داده‌ها است و اطلاع رسانی سریع و جرم انگاری لاپوشانی و پنهان کاری در این زمینه می‌تواند با حمایت از اطلاع رسانی بهنگام به افراد موضوع داده کمک کند ضرر و آسیب وارده احتمالی حاصل از نشت اطلاعات را کاهش بدهند.

۶. تکلیف به ایجاد قابلیت نرم افزاری داخل نرم افزارهای برخط برای درخواست دسترسی و پاک شدن اطلاعات: ذکر کلی حق دسترسی کاربران در قوانین برای احقاق حقوق کاربران قابلیت اجرایی کافی ندارد و کاربرپسند بودن و سهولت درخواست دسترسی و اصلاح نیز قابلیت تاکید از سوی قانونگذار را دارد.

۷. ضرورت بازنگری و تقویت قانون تجارت الکترونیکی مصوب ۱۳۸۲: با توجه به مفاد این قانون بخشی از هر نوع قانونگذاری در زمینه صیانت از داده‌ها تعیین و تکلیف وضعیت قانون تجارت الکترونیکی خواهد بود.

۸. ضرورت انجام مطالعات بیشتر: پیشنهاد می‌شود که در پژوهش‌های آینده موضوع مالکیت داده و حفاظت از داده‌ها با دقت بیشتری بررسی و از یافته‌های پژوهش برای بررسی طرح‌ها و لوایح مرتبط استفاده شود. همچنین بررسی کشورهایی مانند ژاپن یا بعضی از کشورهای درحال توسعه مسلمان مانند مالزی، سنگاپور، هند، اندونزی، ترکیه و … در آینده می‌تواند مفید واقع
شوند.