لایحه «حفاظت از دادههای شخصی» با هدف اتخاذ راهكارهای قانونی در حفظ حریم خصوصی كاربران، بار دیگر در جریان تصویب در دولت قرار گرفت تا با ارائه به مجلس، نظام حاكمیت داده در كشور قانونمند شود.
به گزارش رادیو پیام از خبرگزاری مهر: نشت اطلاعات و افشای پایگاه اطلاعات هویتی كاربران یكی از موضوعات دارای اهمیت سالهای اخیر فضای مجازی بوده كه هر بار پس از گذشت چند روز، به دلیل نبود قوانین مشخص در مواجهه با آن، به دست فراموشی سپرده میشود.
برای مثال كمتر از 2 سال پیش نشت اطلاعات شناسنامهای 80 میلیون كاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت خبرساز شد. پس از آن نیز شاهد افشای بانك اطلاعاتی حاوی اطلاعات شمار زیادی از كاربران ایرانی یكی از شبكههای اجتماعی و شماری از كاربران یكی از بازارهای ایرانی نرمافزارهای موبایلی بودیم؛ سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم و برخی شركتهای هواپیمایی و بانكها نیز از همین دست اتفاقات بوده است كه متأثر از فهرست مشتركی از خطاها و ضعفهای امنیتی در پایگاههای داده، عموماً تكرار میشود.
افشای داده تنها مربوط به كشور ما نیست و نشت اطلاعات میلیونها پروفایل شخصی مربوط به مشتركان فیس بوك در جریان تبلیغات سیاسی انتخابات ریاست جمهوری آمریكا كه توسط شركت كمبریج آنالیتیكا (یك شركت تحلیل اطلاعاتی) صورت گرفت از جمله بزرگترین این پروندهها است.
این در حالی است كه «داده» در دنیای امروز یك دارایی با ارزش محسوب میشود كه نشت و سرقت آن تبعات بسیار اقتصادی، اجتماعی و سیاسی را در بردارد و حفاظت قانونی از آن، باید در سازوكارهای مرتبط با نظام حاكمیت داده جای گیرد.
الزامات قانون نویسی برای حفاظت از اطلاعات
الزامات قانونگذاری در حفاظت از اطلاعات را میتوان در قالب چند محور از جمله الزامات استفاده و نگهداری از دادههای شخصی كاربران، الزامات افشای دادههای شخصی، حقوق كاربران در زمینه حریم خصوصی، مسئولیتهای متولیان دادههای شخصی و الزامات دسترسی كاربر به دادههای شخصی در فضای مجازی، تعریف كرد.
در گزارشی كه پیش از این با عنوان «حفاظت از دادههای كاربران و رویكردهای جهانی» توسط مركز پژوهشهای مجلس منتشر شده است، پس از بررسی اسناد و مدارك بینالمللی و منطقهای حریم خصوصی و حفاظت از دادههای كاربران، این نتیجهگیری حاصل شده كه «حفاظت از دادههای كاربران با توجه به توسعه فناوری اطلاعات و ارتباطات و فضای مجازی به یكی از اولویتهای سیاستی و قانونگذاری كشورها تبدیل شده و اغلب كشورهای توسعه یافته به تصویب قوانین بخشی یا یكپارچه در این زمینه اقدام كردهاند. در این میان كشورهایی همچون پاكستان، گواتمالا، هند، تركیه، مالزی، مكزیك، فیلیپین، سنگاپور، ونزوئلا دارای كمبود قوانین در این حوزه هستند. ایالات متحده آمریكا و ژاپن دارای رویكرد قانونگذاری بودهاند و كره جنوبی، استرالیا، كانادا، اتریش، بلژیك، فرانسه، ایتالیا، كانادا، دانمارك، فنلاند، آلمان، یونان، بلژیك، نروژ، ایرلند، پرتغال، اسپانیا، سوئد، سوئیس و انگلستان از جمله كشورهایی هستند كه دارای قانونگذاری یكپارچه در عرصه حفاظت از دادههای كاربران هستند. بر این اساس ضرورت تصویب قانون صیانت و حفاظت از دادههای شخصی در كشور ما نیز احساس میشود.»
این ضرورت بر مبنای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به حقوق ملت به ویژه اصول 19، 20، 22، 23، 25، 26، 38 و 39 قانون اساسی و نیز سیاستهای كلی نظام، ابلاغی مقام معظم رهبری درباره شبكههای اطلاع رسانی رایانهای به ویژه بندهای یك و 7، نظام اداری به ویژه بند 23، پدافند غیرعامل به ویژه بند 11، امنیت فضای تولید و تبادل اطلاعات به ویژه بند یك و برنامه ششم توسعه به ویژه بندهای 36، 3-55 قابل پیگیری است و با در نظر گرفتن این اسناد، میتوان به شاخصها و سیاستهای مشخصی برای قانونگذاری درباره حفاظت از داده دست یافت.
لایحه حفاظت از دادههای شخصی به جریان افتاد
GDPR و تلاش برای محافظت از حریم خصوصی كاربران
حریم خصوصی كاربران فضای مجازی در ایران تاكنون مشمول قانونی نبوده و به همین دلیل بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی به وفور اتفاق میافتد.
به دلیل مشخص نبودن مصادیق گردآوری، استفاده، نگهداری و افشای اطلاعات و مسئولیتهای متولیان دادههای شخصی از جمله شبكههای اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی كاربران در فضای مجازی با ابهامات جدی همراه است.
این در حالی است كه بسیاری از كشورهای دنیا، برای حفاظت از اطلاعات در فضای مجازی قوانین مشخصی تدوین كردهاند و اتحادیه اروپا نیز قانون جامعی از صیانت از اطلاعات شخصی به نام GDPR را به تصویب رسانده است. این قانون از 25 ماه می سال 2018 اجرایی شده و شركتهای زیادی در داخل اتحادیه اروپا و حتی خارج از آن، تحت تأثیر این قانون قرار گرفتهاند.
این قانون كه حتی مشمول قوانین و مقرراتی برای صادرات اطلاعات شخصی به خارج از اتحادیه اروپا نیز میشود، شبكههای مجازی را ملزم به تبعیت از قوانین فضای مجازی كشورها برای صیانت از حریم خصوصی كاربران میكند و در صورت نقض این قانون، این شبكهها با جریمههای سنگینی مواجه میشوند.
در این قانون به این ابهامات پاسخ داده میشود كه كدام دادههای جمع آوری شده شامل حریم خصوصی میشود؛ چه كسانی میتوانند از آن استفاده كنند و چه كارهایی باید انجام پذیرد تا كاربر از حفاظت و امانت این اطلاعات مطمئن شود. در نهایت اینكه تحلیل این دادهها تحت چه قوانینی ممكن خواهد بود.
در GDPR به این ابهامات پاسخ داده میشود كه كدام دادههای جمع آوری شده شامل حریم خصوصی میشود؛ چه كسانی میتوانند از آن استفاده كنند و چه كارهایی باید انجام پذیرد تا كاربر از حفاظت و امانت این اطلاعات مطمئن شود
به همین دلیل گفته میشود كه اگرچه GDPR یك قانون مصوب در داخل اتحادیه اروپا محسوب میشود اما محدوده تعریف شده آن تمامی كشورها و شركتهایی كه به نوعی با اتحادیه اروپا مراوده دارند را نیز دربرمی گیرد. از این رو شركتهای زیادی در آمریكا و آسیا نیز اعلام كردهاند كه به این قانون پایبند خواهند بود. بنابراین میتوان گفت كه این قانون تبدیل به یك استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شده است.
تصویب GDPR به عمر دولت دوازدهم قد نداد
در ایران نیز با توجه به ایجاد موج جهانی برای ملحق شدن به قانون GDPR ، بحث تصویب « قانون حفاظت از اطلاعات شخصی» از حدود 3 سال پیش توسط دولت دوازدهم مطرح شد و اینطور گفته شد كه قرار است حفاظت از داده در كشور بر مبنای قانون GDPR اصلاح و ویرایش شود.
خرداد سال 97 محمدجواد آذری جهرمی وزیر وقت ارتباطات و فناوری اطلاعات در پیامی توئیتری اجرای قانون حفاظت از اطلاعات شخصی در اتحادیه اروپا را تبریك گفت و از انتظار برای تصویب چنین لایحهای در ماههای آتی در ایران خبر داد.
مرداد 97 نیز پیشنویس لایحه صیانت از دادههای شخصی در این لینك از سوی وزارت ارتباطات منتشر شد.
در آن زمان با همكاری مركز پژوهشهای مجلس و پژوهشگاه قوه قضائیه و وزارت ارتباطات، پیشنویس اولیه مشترك میان دولت، مجلس و قوه قضائیه تهیه شد تا در قالب لایحهای از سمت دولت به مجلس برود. برای مثال كارشناسی در زمینه جرم انگاری در این لایحه در قوه قضائیه انجام شد و برخی كمیسیونهای تخصصی و فرعی دولت نیز موارد دیگری را مورد بررسی قرار دادند تا بسیاری از مشكلات افشای اطلاعات در فضای مجازی به صورت قانونی حل شود.
با این وجود آنطور كه انتظار میرفت مسیر تصویب این لایحه پیش نرفت و دولت دوازدهم موفق نشد لایحه را برای ارائه به مجلس به سرانجام برساند.
بازنگری در GDPR ایرانی و حركت به سمت حفاظت از حریم خصوصی
اغلب كشورهای دنیا با در نظر گرفتن ویژگیهای بومی و فرهنگی خود، به جای اینكه از ابتدا قانونی مانند GDPR بنویسند، قانون اتحادیه اروپا را به قانون داخلی خود تغییر داده و بازنگری كردهاند.
با توجه به دغدغههایی كه در كشور ما در خصوص قانون نویسی در حوزه فضای مجازی و حفظ اطلاعات شخصی كاربران وجود دارد، باید رویهای دنبال شود كه در كنار بومی سازی قانونی مانند GDPR، به موضوعات فنی داخلی نیز توجه ویژه شده و مشخص شود كه تطبیق شركتهای داخلی، سایت و اپلیكیشنها با این قانون چگونه انجام خواهد شد. به این معنا كه شركتها برای آماده سازی خود با قانون GDPR نیازمند چه فعالیتها و زیرساختهایی هستند و چه اقداماتی را باید انجام بدهند و یا اینكه فرآیند قانونی حفاظت از حریم شخصی و حفاظت از دادهها برای پلتفرمهای پر مخاطب چگونه دنبال میشود؟ در كنار این موضوع، بحث تقسیم بندی وظایف متولیان امنیت داده در كشور نیز در درجه اهمیت قرار دارد و باید در سطح دستگاههای حساس و حیاتی و سایر نهادهای مسئول، مورد توجه قرار گیرد.
لایحه حفاظت از دادههای شخصی به جریان افتاد
با این وجود هم اكنون معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات از اهتمام دولت سیزدهم برای به ثمر رساندن لایحه حفاظت از حریم خصوصی كاربران خبر داده و گفته است كه این لایحه قرار است از سوی دولت به مجلس ارائه شود.
محمد خوانساری در گفتگو با خبرنگار مهر در تشریح برنامههای وزارت ارتباطات برای حفظ حریم خصوصی كاربران و صیانت از دادههای شخصی، با اشاره به لایحهای كه در دولت قبل در این خصوص به سرانجام نرسید، اظهار داشت: ما در حال بازبینی لایحه GDPR كه در دولت قبل برای «حفظ حریم خصوصی و حفاظت از داده» مطرح شده بود، هستیم.
وی با بیان اینكه مجدداً این لایحه را فعال خواهیم كرد تا در كمیسیونهای دولت به تصویب برسد و در نهایت از سوی هیأت دولت به مجلس تقدیم شود، گفت: این مهمترین كاری است كه باید در حوزه حفاظت از اطلاعات انجام شود و به همین خاطر تاكید ما این است كه سریعتر به نتیجه برسد.
معاون وزیر ارتباطات در پاسخ به این سوال كه آیا این لایحه ، برگردانی از قانون GDPR اتحادیه اروپا خواهد بود، گفت: قاعدتاً خیر؛ این لایحه را با شرایطی كه در كشور داریم باید تطبیق دهیم و بالطبع، قوانین و مقررات ما در كشور برای حفظ حقوق داده و مردم متفاوت است و هر كشور نیز شرایط خاص خود را دارد. اما به نظر میرسد خط مشی یكی است و به همین خاطر میتوان از راهنماییهای این قانون استفاده كرد.
رئیس سازمان فناوری اطلاعات ایران با اشاره به اینكه نسخه مفصلی از قانون حفاظت از اطلاعات در فضای مجازی از سوی سازمان فناوری اطلاعات آماده شده بود، گفت: در دولت سیزدهم و حسب یافتهها و تغییراتی كه ایجاد شده، وزیر ارتباطات این مسئولیت را به اینجانب محول كردند كه بازبینی این لایحه را به شكل خاص دنبال كنم.
اتمام بازنگری لایحه حفاظت از اطلاعات تا پایان سال
وی با تاكید بر اینكه GDPR را به عنوان لایحهای كه از سوی دولت باید نهایی شود و سریعتر به مجلس ارائه شود در دستور كار قرار دادهایم، افزود: پیش بینی ما این است كه رویه كارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت كارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه نیز استفاده خواهیم كرد.
پیش بینی ما این است كه رویه كارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت كارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه استفاده خواهیم كرد
خوانساری با بیان اینكه بازبینی مجدد با هدف ارائه یك لایحه جامع و كامل در حوزه حفاظت از اطلاعات در فضای مجازی مدنظر است، گفت: طبیعتاً ما یك بار میتوانیم شانس خود را برای ارائه لایحه با این مضمون، به مجلس امتحان كنیم. به همین علت بهتر است كه این لایحه كامل باشد و چیزی از قلم نیافتد تا قانونی محكم در حفاظت از حقوق مردم تصویب شود و مردم از ثمرات آن بهره مند شود.
معاون وزیر ارتباطات گفت: در صورت نهایی شدن این لایحه در وزارت ارتباطات، پیشنویس آن را منتشر خواهیم كرد، گفت: این حق مردم است كه در جریان قرار بگیرند و ما چیز پنهانی نداریم. قصدمان دفاع از حقوق مردم به صورت قانونی است. دولت انرژی زیادی خواهد گذاشت تا این لایحه را به مجلس ببرد.
وی در مورد تفاوت این طرح با طرح حمایت از حقوق كاربران فضای مجازی و خدمات پایه كاربردی كه هم اكنون در مجلس شورای اسلامی در دست بررسی است، گفت: سطوح عملكرد این دو طرح كاملاً متفاوت است. اگرچه قطعاً این طرحها متناقض هم نبوده بلكه مكمل هم خواهند بود. اما در طرح حفاظت از اطلاعات، قوانین مرتبط با انتشار دادههای شخصی قرار است تصویب شود.
به گزارش رادیو پیام از مهر، موضوع قانون گذاری در حوزه حكمرانی داده از سال گذشته نیز در مجلس یازدهم مورد پیگیری قرار گرفت و نمایندگان به دلیل خلأ قوانین مرتبط با این حوزه، دو طرح «طرح یكپارچه سازی داده و اطلاعات ملی» و «الزام به انتشار داده و اطلاعات عمومی» را در جریان تصویب قرار دادهاند.
از سوی دیگر بخشی از طرح حمایت از حقوق كاربران و خدمات پایه فضای مجازی نیز در راستای تنظیمگری حقوق كاربران فضای مجازی تعریف شده است.
حال در صورتی كه روند بازنگری لایحه دولت در زمینه حفاظت از اطلاعات نیز تا پایان امسال به اتمام برسد و دولت روند تصویب آن را سرعت بخشد، میتوان امیدوار بود كه این لایحه از ابتدای سال 1401 با قید فوریت در كنار سایر قوانین مرتبط در مجلس، وارد فرآیند تصویب شود.
به این ترتیب از سال آینده شاهد پیاده سازی نظام حاكمیت داده در كشور و قانونمند شدن انتشار اطلاعات در فضای مجازی خواهیم بود.
