حاکمیت داده در اروپا؛ تکمیل پازل یا راهبرد تازه؟

اروپا پس از تصویب GDPR در سال 2016 و اجرایی سازی آن در سال 2018 قوانین دیگری را نیز برای تنظیم‌گری فضای دیجیتال مصوب نموده است. قانون خدمات دیجیتال (DSA[1]) و قانون بازار دیجیتال (DMA[2]) حدوداً 4 سال پس از اجرایی سازی GDPR و در سال 2022 به تصویب رسیده است که مجموعه این مقررات به‌عنوان نقاط مهم و کلیدی در تنظیم‌گری فضای دیجیتال اروپا به حساب می‌آیند. اروپا با رویکرد حق‌محور (محوریت حفظ حقوق کاربران) خود سعی کرده است در این تنظیم‌گری‌ها از حقوق شهروندی افراد حفاظت کند و البته در اسناد اخیر، اقتصاد و نوآوری را نیز مورد توجه قرار داده است.

چالش‌های احقاق حقوق اروپایی

اینکه چرا اروپا پس از تصویب مقررات عمومی حفاظت از داده‌ها (GDPR) به سراغ تدوین و تصویب مقررات دیگری رفته است جای تأمل و تحلیل بسیاری دارد که می‌توان احتمالات مختلفی ناظر به آن مطرح کرد؛ اولین و محتمل‌ترین گزینه که اتفاقاً در خود این مقررات نیز به آن اشاره شده، این است که این مقررات تکمیل‌کننده یک دیگر بوده و با تصویب یکی، دیگری کنار گذاشته نمی‌شود؛ بلکه همچون پازل در کنار یکدیگر قرار می‌گیرند؛ اما این تبیین و تقریر خالی از اشکال نیست و می‌توان صور‌بندی دیگری از این جریان داشت. صورت‌بندی مدنظر این نگاشت اجمالاً آن است که تصویب اسناد جدید در حوزه تنظیم‌گری خدمات دیجیتال حاصل ناکامی نسبی اروپا در تحقق اهدافش در GDPR و به‌تبع، در احقاق حقوق افراد است.

به نظر نگارنده، روبه‌رو شدن GDPR با چالش‌هایی که اروپا را از تحقق اهدافش منع می‌کرد، باعث شده است آن‌ها به سراغ تدوین قوانین و مقررات جدیدی بروند تا بتوانند اهداف حاکمیتی خود در حوزه دیجیتال را محقق کنند. در ادامه به برخی از این چالش‌ها به صورت مختصر اشاره می‌شود:

• چالش امنیتی: دغدغه کشف یا پیش‌بینی جرم یکی از چالش‌هایی است که با حق فراموشی و رویکردهای افراطی حریم خصوصی متعارض است. بنابراین این رویکرد در دغدغه‌های امنیتی و نظارتی با چالش مواجه می‌شود. این چالش موجب تقویت رژیم چینی و دغدغه‌های مطرح شده در آن می شود. چنین دغدغه‌هایی در نسبت با پلتفرم‌های خارجی در اسناد DSA و DMA مطرح شده است و اجازه دسترسی به داده‌ها را برای نمایندگان اروپا تدارک دیده است.
• چالش نوآوری: در رویکرد اروپایی که تأکید زیادی بر حفاظت از داده‌ی شخصی و حریم خصوصی افراد می‌شود، شرکت‌ها برای نوآوری و ارائه خدمات بهتر و جدیدتر مبتنی بر داده‌ی کاربران با مشکل مواجه می‌شوند و به نوعی این رویکرد موجب اختلال و کندشدن نوآوری و ترمز نوآوری در شرکت‌ها خواهد شد. این چالش در راستای دغدغه‌هایی است که بیشتر در رژیم آمریکایی حکمرانی داده مطرح می شود. بر این اساس، اتفاقاً DSA و DMA تعادلی بین تقویت نوآوری و رقابت ایجاد می کنند و در عین حال برای اطمینان از حمایت از مصرف کننده و ایجاد محیط آنلاین امن تلاش می‌کنند.
• چالش تعارض حق شخصی: مثلاً دو نفر در اروپا هستند که یکی می‌خواهد دسترسی به داده‌ی او وجود داشته باشد تا شرکت‌ها بتوانند به اون خدمات شخصی‌سازی شده ارائه دهند و دیگری نمی‌خواهد اصلاً داده‌اش در اینترنت بماند و این این اجازه را نمی‌دهد. حال اگر این دو کاربر ایمیلی رد و بدل کنند تعارضی در حقوق آن‌ها پیش خواهد آمد؛ از طرفی یکی نمی‌خواهد هیچ اثری از او بماند و از طرف دیگر برای ارائه خدمت به کاربر دیگر بایستی دسترسی به این داده وجود داشته باشد که چه کسی برای کاربر دیگر ایمیل ارسال کرده است. بنابراین در داده‌ی چند وجهی، پیچیدگی‌هایی در تفسیر حق شخصی و تعارض امیال اشخاص محق در یک دادگان اتفاق می‌افتد.
• پیچیدگی فنی در اعمال حق: اولین نکته در بحث عملیات آن است که چطور می‌شود نظارت کرد و دریافت که شرکت‌هایی همچون گوگل و مایکروسافت این کار انجام داده‌اند و به قانون پایبند بوده‌اند یا خیر؟ فقط می‌توان گفت که اگر روزی افشا شد که چنین اتفاقی افتاده، آن شرکت‌ها جریمه شوند؛ اما به صورت فعالانه نمی‌توان نظارت و اعمال قانون کرد. بنابراین رویکرد مذکور هم از لحاظ هزینه و هم از لحاظ ابزار نظارت (احراز تمکین به قانون) دچار مشکل خواهد شد. به علاوه، با گسترش اینترنت در جوامع امروزی عملاً پاک شدن تاریخچه اینترنت غیر ممکن است و این حق که کاربران بتوانند به طور کامل داده‌های خود را حذف کنند به راحتی امکان پذیر نیست. ایجاد دغدغه نظارت بر الگوریتم‌های پلتفرم‌ها در مقررات جدید نشان‌دهنده آن است که این دغدغه هنوز هم وجود دارد.
• چالش ذخیره‌سازی محلی: محدودیت های جغرافیایی برای ذخیره داده در عصر ابری‌سازی باعث می‌شود که ذخیره‌سازی محلی داده‌ها با مشکل مواجه شود. به‌علاوه، نظام‌های حقوقی کشورهای مختلف و به رسمیت شناختن ذخیره‌سازی محلی داده در آن نظام‌ها عملیاتی‌سازی این مورد را در داده‌های چند وجهی و فرامرزی که کاربران متعددی در آن دخیل هستند را  به چالش می‌کشاند.

احیای حقوق؛ این بار با واسطه‌ها!

به‌نظر وجود چنین چالش‌هایی که اجرایی‌سازی GDPR را مخصوصاً در نقطه اصلی دغدغه یعنی «انتقال فرامرزی داده‌ها» با مشکل مواجه می‌سازد باعث شده است که اروپا به سمت بازنگری در تدوین مقررات برود و ایده‌ها و راهبردهای جدیدی برای «حاکمیت دیجیتال اروپا» و حفاظت از حقوق شهروندان تدارک ببیند. این دغدغه و تغییر راهبرد خود را در قوانین جدید اروپا، یعنی DSA و DMA نشان داده است.

همانطور که پیش از این نیز اشاره شد، می‌توان برای این ادعا پشتیبان‌های مختلفی ذکر نمود؛ مثلاً علی‌رغم تدوین مقررات جامع در حوزه داده، در این مقررات مجدداً به بحث امنیت داده‌ها و چگونگی دسترسی به داده‌ها اشاره شده است که احتمال اثربخش نبودن مقررات قبلی را قوت می‌بخشد. به‌عنوان مثال در بند اول ماده 30  قانون خدمات دیجیتال (DSA) اشاره شده است که پلتفرم‌های بزرگ موظف‌اند دسترسی به داده را برای نمایندگان کشورهای مختلف مهیا نمایند و از طرفی نمایندگان نیز باید امنیت و محرمانگی داده را حفظ کنند. بنابراین، اگر خواسته‌های اروپا در مقابل تبادل داده فرامرزی محقق شده بود، عملاً نیازی به تدوین این سازوکارها نبود. یا در مورد دیگری، راهبرد قانون بازار دیجیتال، بر رقابتی کردن بازار و به بند کشیدن شرکت‌های موسوم به آگفام انتخاب شده است که فرصت توسعه را برای پلتفرم‌های اروپایی ایجاد نماید. به گفته کمیسیون اروپا 90 درصد از پلتفرم‌های فعال در اتحادیه اروپا متعلق به شرکت‌های کوچک و متوسط است در حالی که بیشتر ارزش بازار توسط شرکت‌های بزرگ ایجاد می‌شود. این بدان معنا است راهبردها برای حفاظت از داده و صیانت از حقوق کاربران از مقرره‌گذاری به سمت توسعه پلتفرم‌ها و فناوری‌های اروپایی و بازکردن بازار برای ارزش‌آفرینی بیشتر رفته است؛ اگرچه قبلی‌ها را نیز نفی نمی‌کند.

بنابراین، اروپا با ناکامی نسبی در تحقق اهداف، راهبرد خود برای حفاظت از حاکمیت دیجیتال اروپا را تغییر داده و در نسل دوم مقررات گذاری خود به سراغ «تنظیم‌گری واسطه‌ها» رفته است. در ادبیات این قوانین به‌طور کلی سه نوع واسطه مشخص شده است: 1-ارائه دهندگان خدمات ارتباطی محض مانند ISPها که مسئولیت انتقال و تبادل داده‌ها را برعهده دارند 2-ارائه دهندگان خدمات کش داده[3] که به‌صورت موقت ممکن است داده را نزد خود نگه‌داری کنند مانند CDN ها و 3-ارائه دهندگان خدمات میزبانی که داده را ذخیره‌سازی می‌کنند.

بر این اساس برای واسطه‌ها مسئولیت‌هایی مشخص شده است و راهبرد تنظیم‌گری، از تمرکز بر «داده» به تمرکز بر «واسطه‌ها و پلتفرم‌های بزرگ» منتقل شده است؛ اگرچه اهداف هنوز هم ثابت است و حفظ و حراست از حقوق کاربران هنوز هم دغدغه آن‌ها است. از این رو در DSA برای خدمات واسطه‌ای ارتباطی مانند isp‌ها، خدمات میزبانی مانند زیرساخت‌های ابری، پلتفرم‌های آنلاین و پلتفرم‌های آنلاین بسیار بزرگ (پلتفرم‌هایی با بیش از 45 میلیون کاربر در اروپا) مقرراتی تعیین شده است. در DMA نیز با عنوان نمودن عبارت «پلتفرم‌های دروازه‌بان» (gatekeepers) بار دیگر دغدغه مواجهه با این پلتفرم‌ها مطرح شده و تلاش شده است که بازار اروپا از انحصار این پلتفرم‌ها خارج شود.

شکل 1- لایه‌های مختلف خدمات در DSA

اروپا و راهبردی جدید

مجموعاً از این دغدغه‌ها می‌توان این نتیجه را گرفت که اروپا نتوانسته است با GDPR تبادل داده فرامرزی خود را آنطور که بایسته و شایسته است کنترل نماید و برای تحقق حقوق کاربران خود به سراغ تنظیم‌گری پلتفرم‌ها و واسطه‌ها رفته است تا از این طریق بتواند دغدغه‌های حقوقی، فرهنگی، سیاسی و امنیتی خود را محقق نماید. به‌نوعی احتمالاً آن‌ها به این نتیجه رسیده‌اند که حتی همان حفاظت از داه‌ها و حقوق کاربران نیز با وجود چالش‌های عملیاتی و ابهامات موجود جز با توسعه پلتفرم‌های اروپایی ممکن نیست؛ اگرچه با مقررات سعی می‌شود حتی‌الامکان از آسیب به این ارزش‌ها کاست. در جدول زیر مقایسه‌ای اجمالی میان DSA و DMA ارائه خواهد گردید[4]:

معیار	DSA	DMA
سطح تحلیل	دربرگرفتن طیف وسیعی از خدمات واسطه‌ای دیجیتال و پیش‌بینی الزامات سخت‌گیرانه‌تر برای پلتفرم‌های آنلاین و موتورهای جستجوی بسیار بزرگ	دروازه‌بان‌ها یا شرکت‌هایی با نفوذ و تأثیر قابل توجه در بازار. شرکت‌هایی که تا به امروز ذیل این مقررات قرار گرفته‌اند: اپل، آمازون، آلفابت، متا، بایت‌دانس و مایکروسافت (شرکت‌هایی که به آگفام معروف‌اند)
هدف اصلی	ایجاد فضای دیجیتال امن‌تر، حفاظت از حقوق اساسی کاربران و ایجاد زمین بازی برابر برای مشاغل در اتحادیه اروپا	تقویت بازار دیجیتال منصفانه و رقابتی. دروازه‌بانان باید از مجموعه قوانینی پیروی کنند که از انجام اقدامات ناعادلانه در پلتفرم‌هایشان جلوگیری می‌کند و محیط دیجیتالی عادلانه‌تر و رقابتی‌تر را ترویج می‌کند.
اقدامات و وظایف مدنظر	تعدیل محتوا سازوکارهای رسیدگی به شکایات کاربران شفافیت الگوریتم‌ها و معیارهای رتبه‌بندی همکاری با مقامات در مواردی همچون دسترسی به داده اقدامات لازم برای جلوگیری از انتشار محتوای غیرقانونی	حذف اقدامات ناعادلانه یا ضد رقابتی ایجاد دسترسی به داده‌ی جمع‌آوری یا تولید شده در پلتفرم‌های دروازه‌بان جلوگیری از جانبداری در عملکرد یا خدمات شرکای خاص خود شفافیت در مورد شیوه‌های تعدیل محتوا
نوع مقررات گذاری	پسینی: تعیین اصول و تعهدات کلی برای واسطه‌های آنلاین. این رویکرد امکان انطباق با چالش‌ها و فناوری‌های در حال تحول را فراهم می‌کند.	پیشینی؛ به این معنی که قبل از وقوع هر گونه آسیب احتمالی، تعهدات خاصی را بر پلتفرم‌های دیجیتال تحمیل می‌کند.

 

به‌صورت خاص در حوزه حفاظت از داده نیز در DSA مقرراتی پیرامون استفاده از داده‌های شخصی افراد برای تبلیغات تدوین شده است که پلتفرم‌ها را موظف می‌کنند اهداف تبلیغاتی و چرایی هدف قرارگرفتن یک فرد در تبلیغات را شفاف نمایند؛ همچنین تبلیغات مبتنی بر برخی داده‌های شخصی همچون تبلیغات هدفمند برای خردسالان بر اساس پروفایل شخصی و تبلیغات مبتنی بر اعتقادات مذهبی و گرایش‌های سیاسی نیز ممنوع شده است. همچنین شرکت‌های دیجیتال نیز بایستی نماینده‌ای قانونی در یکی از کشورهای 27گانه اتحادیه اروپا تعیین کنند تا از آن طریق ایجاد دسترسی به داده‌های مورد نیاز نماینده قانونی کشورها توسط پلتفرم‌ها تدارک دیده شده است.

به‌طور کلی، اگرچه اروپا با تدوین مقررات جدید و قانون‌گذاری‌های متعدد سعی دارد اهداف خود را محقق کند و به‌صورت نسبی نیز موفقیت آمیز عمل کرده است؛ اما به نظر در موج بعدی، یعنی موج سوم مواجهه، اروپا به این نتیجه می‌رسد که برای حفظ حقوق افراد در مسئله تبادل فرامرزی داده‌ها، راه مطمئن‌تری جز توسعه بومی این‌گونه فناوری‌ها نخواهد داشت. همان‌طور که مکرون روزی اینترنت اروپایی را در برابر اینترنت کالیفرنیایی مطرح کرد، خدمات اروپایی نیز در برابر دروازه‌بان‌های آمریکایی مطرح خواهد شد؛ اگرچه بارقه‌های این موج از هم‌اکنون و با قانون DMA که به‌نوعی قانون ضدانحصار برای آگفام است دیده می‌شود.

 

[1] Digital service act

[2] Digital market act

[3] Data Cache

[4] برگرفته شده از: https://usercentrics.com/knowledge-hub/differences-between-digital-markets-act-and-digital-services-act/