الگوی حفاظت از داده های شخصی در آمریکا، اروپا و چین

به گزارش خبرنگار مهر، نشست الزامات قانونگذاری در موضوع حمایت از داده‌های شخصی با محورهای وضعیت قوانین حمایت از داده در سایر نظام‌های حقوقی، بررسی سابقه طرح‌ها و لوایح حفاظت از داده‌ها در ایران، نقد و بررسی پیش نویس لایحه حمایت و حفاظت از داده‌های شخصی با حضور باقر انصاری، پژوهشگر حقوق و عضو هیأت علمی دانشگاه شهیدبهشتی در مرکز راهبردی فرهنگ و رسانه برگزار شد.

باقر انصاری در این نشست توضیحاتی در خصوص آغاز و روند تصویب لایحه حمایت از داده‌های شخصی ارائه داد و گفت: در سال ۹۸ لایحه‌ای تحت عنوان لایحه حفاظت از داده‌های شخصی در دستور کار دولت قرار گرفت. در نتیجه پیگیری‌ها و بررسی‌هایی که روی متن اولیه انجام شد، پیشنهاد شد این پیش نویس از منظر نگاه کسب و کارها و متولیان اصلی این حوزه اعم از حقوقی و غیر حقوقی با حضور نمایندگانی از دولت و وزارت ارتباطات مورد بررسی قرار گیرد که به دنبال آن جلسات متعددی با حضور نمایندگانی از شرکت‌های مختلف برگزار شد. در جریان این جلسات این لایحه از حفاظت به حمایت از داده‌های شخصی تغییر عنوان یافت؛ این لایحه همچنین در کمیسیون فرعی با حضور نمایندگانی از مرکز ملی فضای مجازی و وزارت ارتباطات نیز مورد بررسی قرار گرفته و در نهایت پیش نویس آن تصویب شد.

وی افزود: اخیراً جلسه‌ای هم با رئیس سازمان فناوری اطلاعات با محوریت بررسی مجدد این لایحه برگزار شد تا در صورت نیاز اصلاحات لازم در این باره صورت گیرد؛ طرح‌هایی هم در مجلس در حمایت از لایحه قبلی مطرح شده که به عقیده من این تعدد طرح‌ها و لوایح موجب کندی و آشفته بازاری می‌شود.

تاریخچه استفاده از داده‌های شخصی در دوره نازی و پس از جنگ جهانی دوم در آمریکا

انصاری در ادامه با تاکید بر این نکته که منظور از حفاظت در اینجا، حفاظت از افراد است نه داده‌ها، تصریح کرد: ما با تصویب این لایحه بناست از افراد حفاظت کنیم، داده‌ها که قرار نیست حفاظت شوند و حفاظت از داده‌ها خود بخشی از حمایت است. حفاظت عمدتاً به تدابیری فیزیکی، مادی و غیر حقوقی اطلاق می‌شود در صورتی که حمایت شامل مواردی از جمله امرو نهی و به دنبال آن مسئولیت‌های کیفری و مدنی و ضمانت اجرایی می‌شود.

عضو هیئت علمی دانشگاه شهید بهشتی درباره مبحث مهم پردازش داده‌ها که سوال رایج در این باره است، بیان کرد: موضوع پردازش داده‌ها را باید در برش‌های زمانی مختلفی بررسی کرد؛ یک برش به قبل از جنگ جهانی دوم و قبل از روی کار آمدن دولت هیتلر باز می‌گردد که تا آن زمان داده‌های شخصی به صورت دستی جابجا و ثبت می‌شد که در آنها با وجود تعهد نسبت به محرمانگی اما هیچ حقوقی در این باره برای افراد در نظر گرفته نمی‌شد؛ مثلاً در آلمان دولت تحت حزب نازیست قراردادی را با شرکت بین‌المللی بسیار مهمی که در آن زمان با نام آی بی ان شناخته می‌شد برای اعمال نظام تأمین اجتماعی در دولت نازی منعقد می‌کند که بر این اساس ارائه خدمات اجتماعی مستلزم داشتن اطلاعات اشخاص است که نتیجه جمع آوری داده‌ها بر مبنای این قرارداد این شد که پس از مدتی افراد دریافتند چگونه دولت می‌تواند حتی با اقدام به خرید بلیت قطار، آن‌ها را شناسایی و در صورت مجرم بودن بازداشتشان کنند. این موضوع افراد را به تساصل انداخت.

وی در ادامه نمونه دیگری از استفاده از داده‌های شخصی عنوان کرده و افزود: در آمریکا به ویژه پس از جنگ جهانی دوم پروژه شکار کومونیست‌ها و اتفاقات دیگری رخ داد که بر مبنای آن بسیاری از افراد از جمله اساتید دانشگاه‌ها که افکار کومونیستی داشتند بازداشت شدند که این ترس را در میان مردم آمریکا ایجاد کرد که دولت از کجا به این اطلاعات دست یافته است این اتفاقات در دهه ۴۰ میلادی رخ می‌دهد یعنی همزمان با دوره آغاز استفاده از کامپیوتر که در دهه بعد یعنی دهه ۵۰ به دلیل گسترش استفاده از کامپیوتر جمع آوری داده‌های شخصی سهولت یافت. همین داده‌ها منشأ نگرانی‌هایی در خصوص سوءاستفاده می‌شود.

معتبرترین قانون حفاظت از داده

انصاری افزود: با ادامه این روند در نهایت در اواخر دهه ۶۰ میلادی این تفکر در دولت‌های مختلف ایجاد شد که نباید اجازه داد این داده‌های شخصی به همین راحتی جمع آوری و پردازش شود که به این ترتیب در آمریکا و اروپا و آلمان، کمیته‌هایی برای بررسی این موضوع تشکیل شد. ناگفته نماند که اولین قانون در آلمان سپس در سوئد و بعد در آمریکا تصویب می‌شود که بعد از آن کشورهای دیگر نیز به تبعیت از آن‌ها اقدام به وضع قانونی در این زمینه می‌کنند؛ در نهایت معتبرترین قانونی که در این زمینه تصویب می‌شود قانون GDPR به معنای مقررات عمومی داده‌های شخصی است که در سال ۲۰۱۹ در اتحادیه اروپا به تصویب رسیده است.

داده‌های شخصی سوخت اقتصاد دیجیتال است

این حقوقدان در ادامه با بیان این نکته که در تدوین اسناد مربوط به داده‌های شخصی باید اصولی در نظر گرفته شود، اظهار کرد: نکته اول این است که باید مشخص شود که نسبت داده‌ها با حریم خصوصی چیست. آیا تفاوتی میان این دو وجود دارد یا خیر. باید بگوییم که در ابتدا تصور می‌شد تفاوتی میان آن‌ها وجود ندارد که طبق GDPR داده‌های شخصی چیزی متفاوت با حریم شخصی است چرا که در حریم خصوصی ما بر اطلاعات خود سلطه و کنترل داریم و این ما هستیم که اجازه استفاده از این اطلاعات را به افراد می‌دهیم یا خیر. این در حالی است که ما بنا نیست بر داده‌های شخصی سلطه داشته باشیم؛ در دنیای واقعی از این داده‌ها تعبیر به نفت سفید می‌شود که برای تجارت اقتصاد دیجیتال دنیا بسیار حیاتی و کلیدی است، بنابراین چیزی که حکم سوخت اقتصاد دیجیتال دنیا را دارد بنا نیست که در اختیار افراد قرار گیرد.

وی تاکید کرد: در داده‌های شخصی ما به دنبال این هستیم که پردازش داده‌های شخصی از اصول و ضوابطی تبعیت کند. در واقع چیزی به نام مالکیت داده‌ها وجود ندارد، مثلاً به محض فعال کردن یک گوشی تلفن همراه و یا استفاده از یک مرورگر و غیره داده‌های ما بلافاصله ثبت می ‎ شود و ما عملاً اختیاری در این باره نداریم، بنابراین موضوع مالکیت منتفی است و ما نمی‌توانیم از کنترل داده‌ها جلوگیری کنیم در حریم خصوصی این امکان وجود دارد اما نمی‌توان در مورد داده‌های شخصی این انتظار را داشت.

موضع اروپا و آمریکا در حمایت از داده‌های شخصی؛ حق محور و اقتصاد محور

انصاری در ادامه توجه به اهداف و فلسفه وضع قوانین در قانونگذاری برای داده‌های شخصی را به عنوان نکته مهم دیگر در این باره عنوان کرد و گفت: قوانین داده‌های شخصی دو هدف کلیدی را دنبال می‌کنند: نخست اینکه پردازش بی حساب و کتاب داده‌ها می‌تواند خطرات زیادی برای همه داشته باشد که یکی از مهمترین آن خطر امنیت شخصی و آزادی افراد است. به این معنا که اگر داده‌های شخصی کنترل شود حریم خصوصی ما زیر سوال می‌رود، بنابراین یک بخش از هدف حمایت از داده‌های شخصی، حمایت از حقوق و آزادی‌های فردی است که این نگاه در اروپا به دلیل تجارب تلخی که اروپا در استفاده از داده‌های شخصی داشتند، بسیار غلبه داشته است. هدف دوم بحث تجاری است که برای سرعت بخشیدن بر حرکت چرخ اقتصاد در زمینه دیجیتال، استفاده از داده‌های شخصی تبدیل به یک نیاز می‌شود.

عضو هیئت علمی دانشگاه شهید بهشتی در ادامه با تاکید بر این نکته که چون آمریکا تجربه تلخ اروپا را در استفاده از داده‌های شخصی نداشته و خود را مهد فناوری دنیا می‌داند تصریح کرد: با توجه به اینکه آمریکا مدعی لیدرشیپی فناوری و استفاده از اینترنت در دنیاست، سیاست خاصی را در استفاده از داده‌های شخصی اتخاذ کرده است.

وی افزود: این سیاست مبنی بر این است که در قانونگذاری برای داده‌های شخصی نباید به جریان تجارت آزاد داده‌ها لطمه وارد شود، بنابراین رویکرد اروپا را می‌توان یک رویکرد حق محور و رویکرد آمریکا را اقتصاد محور خواند و از آنجا که عمده فناوری‌های داده محور دنیا در آمریکا قرار دارند، بنابراین بخش اعظم داده‌های دنیا در این کشور جمع شده و آن را تبدیل به دست برتر دنیا کرده است.

انصاری ادامه داد: این در حالی است که اروپایی‌ها معتقدند کشورها در یک جنگ بین‌المللی با آمریکا در حوزه داده‌ها هستند و جنگ فنی را به آن باخته‌اند از این رو تلاش می‌کنند از طریق حقوقی آمریکا را کنترل کنند که تصویب GDPR و نیز اعمال جریمه‌های سنگین برای گوگل در صورت پردازش داده‌ها به مبلغ ۲۰ میلیون دلار از جمله اقدامات مؤثر در این باره بوده است.

پیشتازی چین از آمریکا در فناوری‌های داده محور

این حقوق دادن در ادامه توضیحاتش از یک بازیگر مهم دیگر که نقش بسیار مؤثری در این جریان دارد نام برد و گفت: چین در حوزه فناوری پیشرفت بسیار قابل توجهی داشته است. با ورود گوشی‌ها و سیستم عامل‌های چینی به بازار دنیا و نیز استفاده از اینترنت اشیا این کشور وارد عرصه فناوری‌های تجاری شد که بر اساس گزارش مجله «تکنولوژی‌های پیشرفته» چین با دارا بودن ۳۹ درصد پتنت‌های جهان حتی در این زمینه از آمریکا نیز پیشی گرفته و تبدیل به رقیب جدی آن شده است. باید توجه داشت هر کشوری که دارای فناوری داده محور است برای جلب اعتماد دیگران ناگزیر است که در این خصوص امنیت حقوقی ارائه دهد، برای این منظور چین ۵ قانون کلیدی در حوزه داده‌ها وضع کرده است که آخرین قانونی که لازم‌الاجرا نیز شده قانون داده‌های شخصی ۲۰۲۲ چین است.

انصاری افزود: در این زمینه چین یک رویکرد ترکیبی اتخاذ کرده است یعنی در بخشی از قوانین اروپا و در بخشی دیگر از قوانین آمریکا استفاده کرده است که منجر به ایجاد الگوی سومی تحت عنوان الگوی داده‌های شخصی چین شده است. این الگو، یک رویکرد امنیت محور دارد، لذا بسته به رویکرد دولت‌ها این لایحه می‌تواند اقتصاد محور و یا داده‌های شخصی محور باشد.

انتقاد کسب و کارها به لایحه حفاظت از داده

عضو هیئت علمی دانشگاه شهید بهشتی در ادامه توضیحات خود پیرامون بررسی لایحه حفاظت از داده‌های شخصی با اشاره به انتقاد کسب و کارها از وضع این قانون گفت: برخی از کسب و کارها عنوان کرده‌اند این قوانین مهمی که از آن صحبت می‌شود مانع از توسعه کسب و کارهای نوپا می‌شود در برخی موارد قانون اجازه استفاده از داده‌های شخصی را نمی‌دهد و همین امر می‌تواند به یک آسیب اقتصادی جدی منجر شود. در خصوص پردازش داده‌ها نیز این موضوع صادق است. کسب و کارها معتقدند پردازش نباید به معنای حداکثری تعریف شود و باید از شمولیت عام آن در سطح وسیع کاسته شود تا کسب و کارها بتوانند جایگاه خود را در بازار تثبیت کنند و این از انتقادهای وارد است و همچنان رویکرد ما در ایران در این باره مشخص نیست. برخی قوانین ما در پیش نویس این لایحه حتی از GDPR هم پیشی گرفته است.

سهم بخش خصوصی و دولتی

وی خاطرنشان کرد: یکی از نکات مهم در تدوین لایحه حفاظت از داده‌های شخصی این است که آیا در وضع قوانین، بخش عمومی و خصوصی با هم در نظر گرفته می‌شود و یا برای هر کدام به صورت مجزا قوانین وضع می‌شود که در این باره باید بگوییم که هیچ تفاوتی میان بخش خصوصی و عمومی وجود ندارد و اروپا و آمریکا و سایر کشورها با گذشت زمان به این نتیجه رسیدند که هر دو بخش باید تابع قوانین یکسانی باشند و تنها در برخی موارد در زمینه پردازش استثنا وجود داشته باشد؛ در بخش عمومی در کشور ما این قانون قابل اجرا نیست و طبق تجربیات گذشته دولت هرگز زیر بار اصول و ضوابط پردازش داده نرفته و نخواهد رفت اما در بخش خصوصی، آن بخش از بخش دولتی که کار بخش خصوصی را انجام می‌دهد می‌تواند مشمول این لایحه باشد.

این حقوق دان در ادامه اظهار داشت: در بحث داده‌های شخصی ما قصد داریم قانونی وضع کنیم که قلمرو اعمال آن ملی باشد و می‌خواهیم که فرامرزی باشد یعنی قانونی وضع شود که اتباع خارجی و افراد و شرکت‌های ایرانی مقیم در کشورهای خارجی را نیز شامل شود؟ مثلاً در GDPR چنین قانونی وجود دارد. در لوایحی که تاکنون در ایران تدوین شده از برخی از این قوانین تبعیت شده است مثلاً در قانون جرایم رایانه‌ای یک قلمرو اعمال فراسرزمینی داریم اما تاکنون اجرایی نشده است و در حد سند باقیمانده است.

انصاری با اشاره به لایحه حفاظت از داده های شخصی افزود: ما باید قوانین را در حد توانایی خود وضع کنیم و نباید خود را با کشورهایی مانند چین که رقیب آمریکا بود و با اتحادیه اروپا در پردازش داده‌ها همکاری می‌کند، بسنجیم. این قانون در واقع تصویر جمهوری اسلامی ایران در بحث داده‌های شخصی است بنابراین نمی‌توانیم چیزی وضع کنیم که ما را مضحکه دنیا کند.

عضو هیئت علمی دانشگاه شهید بهشتی با تاکید بر این نکته که ۹۵ درصد قوانین وضع شده در خصوص حفاظت از داده‌های شخصی مشابه هستند، تصریح کرد: قوانینی وجود دارند که در سطح بین‌المللی مهم هستند و بلافاصله ترجمه می‌شوند و در دسترس قرار می‌گیرند بنابراین چیزی وجود ندارد که ما بتوانیم در آن ورود کرده و از خود خلاقیت نشان دهیم و سپس اقدام به وضع قوانین عجیب و غریب کنیم که برای دیگران قابل فهم و درک نباشد. باید به زبان فنی و حقوقی قابل فهم برای دنیا سخن بگوییم. مثلاً در بحث راه اندازی دفتر نمایندگی پلتفرم‌های خارجی مانند اینستاگرام و واتس اپ و غیره در کشور، شرکت مورد نظر اولین اقدامی که انجام می‌دهد مطالعه قوانین حفاظت از داده‌های شخصی است بنابراین این قوانین باید به اندازه کافی شفاف و قابل فهم باشد که طرف مقابل متوجه آن شود.

وی در خصوص پیش نویس لایحه حفاظت از داده‌های شخصی در کشور ضمن اشاره به پویایی فناوری گفت: پویایی فناوری در دنیا سبب شده تا اصول و قوانین نیز هر از چند گاهی تغییر یافته و اصلاح شود لذا باید به این اصول و تغییرات نیز توجه شود، این در حالی است که در لایحه وضع شده در کشور ما کل اصول حذف شده و تقریباً هیچ اصلی در آن نیست.

انصاری افزود: نکته بعدی مربوط به رکن دوم تمام قوانین مربوط به حفاظت از داده‌های شخصی یعنی رعایت حقوق افراد است؛ تفاوت «اصول» با «حقوق» در این است که نظارت بر رعایت اصول بر عهده نهادهای ناظر است و نیازی به شاکی و معترض خصوصی ندارد ولی در مورد حقوق امتیازات و اختیاراتی برای اشخاصی که داده‌های آن‌ها مورد استفاده قرار می‌گیرد در نظر گرفته می‌شود تا آسیبی از ناحیه پردازش داده‌ها متوجه آن‌ها نباشد.

وی همچنین تأکید کرد: ما باید دولت را از شمول این قانون خارج کنیم چرا که با ورود دولت، سایر ارکان بهم می‌ریزد.