توقف داده‌‌ها در پیچ‌وخم قانونی؛ نقد و بررسی لایحه «صیانت و حفاظت از داده‌های شخصی»

خبر افشاء و به
فروش گذاشتن داده‌های بیش از ۵ میلیون کاربر سیب اپ و بیش از ۴۲ میلیون کاربر
تلگرام موجب شد که برای بار دیگر لایحه « صیانت و حفاظت از داده‌های شخصی» که حدود
۲ سال از تدوین آن می‌گذرد، در محافل نخبگانی به معرض نقد و بررسی گذاشته شود.
یادداشت پیش رو خلاصه‌ای از روند شکل‌گیری این لایحه و برخی انتقادات وارد بر آن
را بررسی می‌کند.

داستان ازآنجا
شروع شد که مقام معظم رهبری در سخنرانی ۲۰ فروردین‌ماه ۱۳۹۷ تعرض به امنیت و حریم
داخلی مردم را «حرام شرعی» اعلام کردند. پس از وقایع دی‌ماه ۱۳۹۶ و فیلترینگ
تلگرام برای مدتی بازار پیام‌رسان‌های داخلی داغ شده بود؛ اما آنچه برخی را دچار
شک و تردید کرده بود، امنیت پیام‌رسان‌های داخلی و خدشه‌دار شدن حریم خصوصی بود. درواقع
رهبر معظم انقلاب در آن سخنرانی ضمن ابراز خرسندی از مطالبه عمومی برای رونق پیام‌رسان‌ها
و شبکه‌های اجتماعی داخلی، به یکی از مهم‌ترین چالش‌های افکار عمومی پاسخ گفته و
جریان توجه به حفاظت از داده را کلید زدند.

با توجه به وابستگی‌های
اجتماعی به تلگرام، شانه خالی کردن از زیر بار مسئولیت فیلترینگ تلگرام بهترین راه
فرار از پاسخگویی به افکار عمومی بود؛ لذا برخی مخالفت‌ها و مسئولیت نپذیرفتن‌ها
نسبت به فیلترینگ تلگرام و همچنین طعنه به پیام‌رسان‌های داخلی از جانب عدم آمادگی
زیرساختی -اعم از فنی و غیر فنی- موضعی بود که میان برخی مسئولین باب شده بود و
البته از جانب مردم نیز نسبت به آن موضع پذیرش وجود داشت!  ایجاد شک و شبهه راجع به حفاظت از داده در پیام‌رسان‌های
داخلی نیز ازجمله آن موضع‌گیری‌هایی بود که برخی برای تضعیف پیام‌رسان‌های داخلی
در آن برهه از زمان اتخاذ کردند.

پس‌ازآن وقایع، حفاظت
از حریم خصوصی کاربران در دستور کار وزارت ارتباطات قرار گرفت و در تدارک لایحه‌ای
برای حفاظت از داده‌ها در کشور برآمد. این خبر در خردادماه ۱۳۹۷ توسط وزیر
ارتباطات و در حاشیه تبریک ایشان به مناسبت اجرای قانون GDPR در اروپا رسانه‌ای شد.

 قانون GDPR
یا قانون عمومی حفاظت از داده اروپا، در سال ۲۰۱۶ وضع‌شده و از ماه می سال ۲۰۱۸ به
اجرا درآمده است. این قانون در ۱۱ فصل به‌صورت مفصل به چگونگی حفاظت از داده‌های
کاربران پرداخته و هرگونه ذخیره‌سازی، پردازش و بهره‌برداری از داده‌ها را منوط به
اجازه قانونی کرده است. اگرچه دیگر کشورهایی همچون چین و روسیه نیز قوانینی در این
زمینه وضع کرده‌اند اما ابراز خوشحالی وزیر ارتباطات از GDPR و استقبال از مذاکره و همکاری‌های دوجانبه با اروپا
نشان از تأثیر و تأثرات این قانون بر لایحه صیانت از داده کشور دارد؛ که البته تا
آن موقع هنوز به نگارش درنیامده بود.

او سرانجام پس از مدتی کوتاه، در مرداد ۱۳۹۷، ضمن سخنرانی خود در نمایشگاه الکامپ از لایحه صیانت و حفاظت از داده‌های شخصی کاربران رونمایی کرد و آن را مبتنی بر حکم شرعی مقام معظم رهبری دانست. آنچه از صحبت‌های وزیر و دغدغه او برای تدوین چنین لایحه‌ای برمی‌آید، حفاظت از داده‌های مردم، یا به عبارتی تحقق همان حقوق شهروندی بوده است! درواقع این قانون تلاش می‌کند که داده‌های کاربران را در برابر گردآوری، ذخیره سازی، پردازش و بهره‌برداری‌های غیرقانونی حفظ نماید و از حیثیت و کرامت اشخاص موضوع داده‌ها صیانت نماید.

مواضع وزیر
ارتباطات و همچنین عنوان و متن لایحه پیشنهادی نشان‌دهنده آن است که این لایحه فقط
به دنبال صیانت از حقوق شهروندی و جلوگیری از خدشه‌دار شدن حریم خصوصی کاربران از
طریق حفاظت از داده‌های شخصی آن‌ها است، نه حفاظت و صیانت از خود داده‌ها! چراکه
حفاظت از داده‌ها همچون سکه دو رو دارد! یک روی آن حفظ حریم خصوصی کاربران و تضمین
حقوق شهروندی؛ و روی دیگر آن، صیانت از سرمایه گران‌بهای کشور یعنی کلان‌داده‌ها و
حفاظت از حقوق و منابع ملی در برابر شرکت‌ها و کشورهای استثمارگر است. نمی‌توان
اهمیت حفاظت از کلان داده‌ها و جلوگیری از به غارت بردن آن منابعی که امروزه سرمایه
ارزشمندی برای کشور محسوب می‌شوند را کمتر از حفظ حریم خصوصی کاربران و احقاق حقوق
شهروندی دانست؛ لذا انتظار می‌رود که این لایحه نه‌فقط به مسئله حریم خصوصی، بلکه باید
به‌صورت جامع به بررسی داده‌ها و کلان‌داده‌ها بپردازد و علاوه بر ایجاد سدی محکم
در برابر دست‌اندازی‌ها به حریم خصوصی و داده‌های شخصی کاربران، صیانت از آن منابع
ملی برای بهره‌برداری حداکثری و تولید ارزش در درون کشور را نیز در دستور کار خود
بگذارد. اگرچه مقام معظم رهبری بنا به مصالح آن زمان، بحث حریم خصوصی را مطرح نموده‌اند،
اما این بدان معنا نیست که دیگر ابعاد را مغفول گذارد.

البته این لایحه
در مورد حقوق شهروندی نیز به‌صورت کامل استیفا کننده حقوق کاربران ایرانی نیست. درحالی‌که
بسیاری از دست‌اندازی‌ها به حریم خصوصی کاربران ایرانی توسط شرکت‌ها و پلتفرم‌های
خارجی بوده است، در این لایحه هیچ سازوکار مشخصی برای نحوه تعامل با پلتفرم‌های
خارجی و احقاق حقوق کاربران ایرانی در موارد احتمالی افشاء یا تعرض به حریم خصوصی
آنان بیان‌نشده است.

با توجه به قانون GDPR و ادبیات مربوط به حفاظت از داده کاربران، به نظر می‌رسد این
حفاظت در ۴ حوزه و مرحله بایستی انجام بگیرد: ۱-گردآوری داده‌ها ۲-ذخیره‌سازی داده‌ها
۳-پردازش داده‌ها ۴-استفاده از داده‌ها. آنچه بیش از همه در این لایحه به آن پرداخته
شده است، بحث پردازش داده‌ها است و دیگر بخش‌ها به نسبت مغفول واقع گردیده‌اند؛ درحالی‌که
تمامی این بخش‌ها لازمه حفاظت همه‌جانبه و جامع از حریم خصوصی کاربران و همچنین
جلوگیری از خروج کلان داده‌ها از کشور است.

در ادبیات جهانی
حفاظت از داده، مسئله مکان ذخیره‌سازی داده‌ها از طریق مباحثی همچون محلی سازی داده‌ها
(data localization)
و اقامت داده‌ها (data residency) پیگیری شده است. تعیین تکلیف محل ذخیره‌سازی داده‌های کاربران
داخلی و الزام پلتفرم‌ها و کسب‌وکارهای داخلی و خارجی برای نگهداری و پردازش داده‌های
ملی درون هر کشور مسئله اصلی موردتوجه در این ادبیات است که متأسفانه در لایحه
پیشنهادی به آن توجه نشده است. چگونگی نسبت پلتفرم‌های خارجی با داده‌های کاربران
ایرانی مسئله‌ای است که این لایحه حتی برای احقاق حقوق شهروندی نیز باید برای آن
پاسخی داشته باشد. اگرچه مواد ۳۷ و ۳۸ نکاتی در این زمینه بیان کرده‌اند اما به
نظر می‌رسد که پاسخگوی نیاز جمهوری اسلامی در این زمینه نیست.

علی‌رغم دسته‌بندی
نسبتاً خوب بیان‌شده در لایحه که از قانون اروپا اقتباس‌شده، در بسیاری از موارد به‌کلی
گویی بسنده کرده و به جزئیات و اجرائیات نپرداخته است. به‌عنوان‌مثال در بحث
پردازش داده‌ها، مواردی را مشخص کرده است که پردازش بدون اجازه و رضایت کاربر نیز
ممکن است (ماده ۱۲) اما مرجع تشخیص‌دهنده و سازوکار آن را مشخص نکرده است؛ این
باعث خواهد شد که حریم خصوصی امری سلیقه‌ای شود و هرکس بنا به تشخیص خود آن را نقض
نماید.

پردازش داده‌های
عمومی که به‌صورت رایگان در اختیار هستند (داده‌های باز یا open data) یا کلان‌داده‌ها و استفاده و کسب
درآمد از آن‌ها توسط کسب‌وکارها دیگر موضوعی است که باید به آن توجه شود. با توجه
به محوریت منافع اقتصادی در بخش خصوصی، کسب‌وکارها با چه شرایطی مجازند داده‌های عمومی
و کلان‌داده‌های موجود را پردازش کرده و از آن کسب درآمد کنند؟ استفاده دولت از
کلان داده‌های ملی به چه صورت است؟ کسب‌وکارها چگونه می‌توانند از منابع اطلاعاتی
دولتی استفاده نمایند؟ و… این‌ها بخشی از سؤالاتی است که در این زمینه مطرح است.

نکته بعدی این است
که، کسب‌وکارها بخش عمده‌ای از مخاطبان لایحه را تشکیل می‌دهند، اما به‌صورت مشخص
به آن‌ها اشاره نشده است. بحث مالکیت داده‌های کسب‌وکارها (استارتاپ‌ها)، مکان
قرارگیری سرورهای آن‌ها، پردازش‌های مجاز برای آن‌ها و نسبت این امور با مجوزهای
دریافتی آنان مسئله‌ای است که یا باید به‌صورت صریح به آن اشاره گردد و یا اینکه
رگولاتوری برای آن تدارک دیده شود. باتوجه به نقش محوری بازیگران خصوصی در تنظیم‌مقررات،
نادیده انگاری جایگاه نمایندگان آن‌ها (بخش خصوصی) در فرایند حکمرانی داده نیز
دیگر مسئله‌ای است که تبعیت از قانون را با مقاومت روبه‌رو خواهد ساخت. به‌طورکلی بهره‌گیری
از روش‌ها و تسهیلات مختلف برای ایجاد تبعیت و اشاعه قانون امری است که بیش از این‌ها
باید موردتوجه قرار گیرد.

نکته دیگری که
باید به آن اشاره کرد، اجرائی و عملیاتی نبودن لایحه است. علی‌رغم آنکه انتظار می‌رود
در لایحه قانونی نحوه اجرائی سازی مصوبات نیز پشتوانه قانونی خود را ایجاد کند، این
لایحه به‌جز ضمانت‌های تنبیهی ذکرشده، ایجاد کمیسیون (دخالت نهادی) و تعریف دو نقش
مبهم کنترل‌گر و پردازشگر قدم دیگری برای تعریف سازوکار عملیاتی سازی و اجرای قانون
برنداشته است. نیاز است در این لایحه علاوه بر اندیشیدن تمهیدات لازم برای
سازوکارهای اجرایی سازی، در نقش کنترل‌گر و پردازشگر نیز بازنگری شده و به‌صورت
دقیق وظایف، صلاحیت‌ها، اعتبار قانونی، شخصیت حقیقی و حقوقی آن‌ها، نحوه دسترسی به
آن‌ها و… مشخص شود. این درحالی است که قانون GDPR برای اجرایی سازی متوسل به ابزار چک‌لیست شده و مراحل اجرایی را یک‌به‌یک
مدون کرده است.

به‌علاوه، دولتی
بودن اکثریت اعضاء کمیسیون، به‌عنوان اصلی‌ترین سازوکار اجرای این لایحه(ماده ۴۰)،
 باعث می‌شود که ازنظر نهادی، عملاً هرچه
دولت بخواهد همان مصوب گردد؛ درصورتی‌که مثلاً برای نظارت و مجازات، پررنگ‌تر بودن
نقش قوه قضائیه و صائب بودن نظر آن باید خودش را در مناسبات نهادی نیز نشان دهد،
که متأسفانه به این امر نیز توجهی نشده است.

یکی از زمینه‌های
بسیار مهم برای اجرایی سازی این قانون تقسیم‌کار نهادی ملی برای حفاظت از داده
است. آن‌چنان‌که در مصوبه «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» نیز ذکرشده
است، نهادهایی مانند نیروی انتظامی، وزارت ارتباطات و… در این امر نقش ایفا می‌کنند؛
لذا این لایحه باید هم‌راستا با مصوبه ذکرشده و دیگر سیاست‌های این حوزه نقش تمامی
نهادها را به‌صورت شفاف مشخص کند. ارتباط وثیق مرزبانی دیجیتال با حفاظت از داده
نیز ما را بر آن می‌دارد که وظایف دقیق بازیگران مختلف اعم از نظامی، حاکمیتی و
دولتی را مشخص نماییم.

فرای این موارد،
مباحث حکمرانی اطلاعات دید جامع‌تری نسب به چگونگی حفاظت از داده‌ها و اطلاعات
دارد که در این مجال فرصت پرداختن به آن نیست؛ اما ذکر این نکته قابل‌توجه است که علی‌رغم
وجود مواد ۲۸ و  29 (که البته آن‌هم مربوط
به مرحله پردازش است) نگاه تا حدودی یک‌بعدی به حکمرانی داده باعث شده است که به
مواردی همچون الزامات و پروتکل‌های حفاظت از داده برای تولیدکنندگان و واردکنندگان
سخت‌افزار و نرم‌افزار، زیرساخت‌های موردنیاز از قبیل مراکز داده و رایانش ابری
برای میزبانی داخلی و همچنین قواعد حاکم بر فعالیت پلتفرم‌های مختلف در کشور و… کمتر
توجه شود. باید تأکید کرد که اموری مانند ظرفیت زیرساخت داخلی برای نگهداری، پردازش
و بهره‌برداری از داده‌ها ملزوماتی‌اند که به‌عنوان مقدمه‌ای واجب برای تحقق
بایدها درزمینه حکمرانی داده و اطلاعات به‌حساب آمده و عملاً حفاظت از داده بدون آن‌ها
بی‌معنی است؛ که البته آن‌هم سیاست‌های حمایتی برای صنایع تولیدکننده و… را می‌طلبد.

در کل شباهت‌های بسیاری را می‌توان میان این لایحه و قانون حفاظت از داده اروپا یافت؛ اما ازنظر اتقان و اجرایی بودن، به نسبت آن قانون، ضعف‌های بسیاری متوجه لایحه فوق است که باید با کمک یکدیگر برای اصلاح هرچه بهتر آن و اعتلاء خط‌مشی‌های فضای مجازی جمهوری اسلامی ایران کوشید.


آخرین مطالب سایت