حاکمیت داده در اروپا؛ تکمیل پازل یا راهبرد تازه؟
اروپا پس از تصویب GDPR در سال 2016 و اجرایی سازی آن در سال 2018 قوانین دیگری را نیز برای تنظیمگری فضای دیجیتال مصوب نموده است. قانون خدمات دیجیتال (DSA[1]) و قانون بازار دیجیتال (DMA[2]) حدوداً 4 سال پس از اجرایی سازی GDPR و در سال 2022 به تصویب رسیده است که مجموعه این مقررات بهعنوان نقاط مهم و کلیدی در تنظیمگری فضای دیجیتال اروپا به حساب میآیند. اروپا با رویکرد حقمحور (محوریت حفظ حقوق کاربران) خود سعی کرده است در این تنظیمگریها از حقوق شهروندی افراد حفاظت کند و البته در اسناد اخیر، اقتصاد و نوآوری را نیز مورد توجه قرار داده است.
چالشهای احقاق حقوق اروپایی
اینکه چرا اروپا پس از تصویب مقررات عمومی حفاظت از دادهها (GDPR) به سراغ تدوین و تصویب مقررات دیگری رفته است جای تأمل و تحلیل بسیاری دارد که میتوان احتمالات مختلفی ناظر به آن مطرح کرد؛ اولین و محتملترین گزینه که اتفاقاً در خود این مقررات نیز به آن اشاره شده، این است که این مقررات تکمیلکننده یک دیگر بوده و با تصویب یکی، دیگری کنار گذاشته نمیشود؛ بلکه همچون پازل در کنار یکدیگر قرار میگیرند؛ اما این تبیین و تقریر خالی از اشکال نیست و میتوان صوربندی دیگری از این جریان داشت. صورتبندی مدنظر این نگاشت اجمالاً آن است که تصویب اسناد جدید در حوزه تنظیمگری خدمات دیجیتال حاصل ناکامی نسبی اروپا در تحقق اهدافش در GDPR و بهتبع، در احقاق حقوق افراد است.
به نظر نگارنده، روبهرو شدن GDPR با چالشهایی که اروپا را از تحقق اهدافش منع میکرد، باعث شده است آنها به سراغ تدوین قوانین و مقررات جدیدی بروند تا بتوانند اهداف حاکمیتی خود در حوزه دیجیتال را محقق کنند. در ادامه به برخی از این چالشها به صورت مختصر اشاره میشود:
- چالش امنیتی: دغدغه کشف یا پیشبینی جرم یکی از چالشهایی است که با حق فراموشی و رویکردهای افراطی حریم خصوصی متعارض است. بنابراین این رویکرد در دغدغههای امنیتی و نظارتی با چالش مواجه میشود. این چالش موجب تقویت رژیم چینی و دغدغههای مطرح شده در آن می شود. چنین دغدغههایی در نسبت با پلتفرمهای خارجی در اسناد DSA و DMA مطرح شده است و اجازه دسترسی به دادهها را برای نمایندگان اروپا تدارک دیده است.
- چالش نوآوری: در رویکرد اروپایی که تأکید زیادی بر حفاظت از دادهی شخصی و حریم خصوصی افراد میشود، شرکتها برای نوآوری و ارائه خدمات بهتر و جدیدتر مبتنی بر دادهی کاربران با مشکل مواجه میشوند و به نوعی این رویکرد موجب اختلال و کندشدن نوآوری و ترمز نوآوری در شرکتها خواهد شد. این چالش در راستای دغدغههایی است که بیشتر در رژیم آمریکایی حکمرانی داده مطرح می شود. بر این اساس، اتفاقاً DSA و DMA تعادلی بین تقویت نوآوری و رقابت ایجاد می کنند و در عین حال برای اطمینان از حمایت از مصرف کننده و ایجاد محیط آنلاین امن تلاش میکنند.
- چالش تعارض حق شخصی: مثلاً دو نفر در اروپا هستند که یکی میخواهد دسترسی به دادهی او وجود داشته باشد تا شرکتها بتوانند به اون خدمات شخصیسازی شده ارائه دهند و دیگری نمیخواهد اصلاً دادهاش در اینترنت بماند و این این اجازه را نمیدهد. حال اگر این دو کاربر ایمیلی رد و بدل کنند تعارضی در حقوق آنها پیش خواهد آمد؛ از طرفی یکی نمیخواهد هیچ اثری از او بماند و از طرف دیگر برای ارائه خدمت به کاربر دیگر بایستی دسترسی به این داده وجود داشته باشد که چه کسی برای کاربر دیگر ایمیل ارسال کرده است. بنابراین در دادهی چند وجهی، پیچیدگیهایی در تفسیر حق شخصی و تعارض امیال اشخاص محق در یک دادگان اتفاق میافتد.
- پیچیدگی فنی در اعمال حق: اولین نکته در بحث عملیات آن است که چطور میشود نظارت کرد و دریافت که شرکتهایی همچون گوگل و مایکروسافت این کار انجام دادهاند و به قانون پایبند بودهاند یا خیر؟ فقط میتوان گفت که اگر روزی افشا شد که چنین اتفاقی افتاده، آن شرکتها جریمه شوند؛ اما به صورت فعالانه نمیتوان نظارت و اعمال قانون کرد. بنابراین رویکرد مذکور هم از لحاظ هزینه و هم از لحاظ ابزار نظارت (احراز تمکین به قانون) دچار مشکل خواهد شد. به علاوه، با گسترش اینترنت در جوامع امروزی عملاً پاک شدن تاریخچه اینترنت غیر ممکن است و این حق که کاربران بتوانند به طور کامل دادههای خود را حذف کنند به راحتی امکان پذیر نیست. ایجاد دغدغه نظارت بر الگوریتمهای پلتفرمها در مقررات جدید نشاندهنده آن است که این دغدغه هنوز هم وجود دارد.
- چالش ذخیرهسازی محلی: محدودیت های جغرافیایی برای ذخیره داده در عصر ابریسازی باعث میشود که ذخیرهسازی محلی دادهها با مشکل مواجه شود. بهعلاوه، نظامهای حقوقی کشورهای مختلف و به رسمیت شناختن ذخیرهسازی محلی داده در آن نظامها عملیاتیسازی این مورد را در دادههای چند وجهی و فرامرزی که کاربران متعددی در آن دخیل هستند را به چالش میکشاند.
احیای حقوق؛ این بار با واسطهها!
بهنظر وجود چنین چالشهایی که اجراییسازی GDPR را مخصوصاً در نقطه اصلی دغدغه یعنی «انتقال فرامرزی دادهها» با مشکل مواجه میسازد باعث شده است که اروپا به سمت بازنگری در تدوین مقررات برود و ایدهها و راهبردهای جدیدی برای «حاکمیت دیجیتال اروپا» و حفاظت از حقوق شهروندان تدارک ببیند. این دغدغه و تغییر راهبرد خود را در قوانین جدید اروپا، یعنی DSA و DMA نشان داده است.
همانطور که پیش از این نیز اشاره شد، میتوان برای این ادعا پشتیبانهای مختلفی ذکر نمود؛ مثلاً علیرغم تدوین مقررات جامع در حوزه داده، در این مقررات مجدداً به بحث امنیت دادهها و چگونگی دسترسی به دادهها اشاره شده است که احتمال اثربخش نبودن مقررات قبلی را قوت میبخشد. بهعنوان مثال در بند اول ماده 30 قانون خدمات دیجیتال (DSA) اشاره شده است که پلتفرمهای بزرگ موظفاند دسترسی به داده را برای نمایندگان کشورهای مختلف مهیا نمایند و از طرفی نمایندگان نیز باید امنیت و محرمانگی داده را حفظ کنند. بنابراین، اگر خواستههای اروپا در مقابل تبادل داده فرامرزی محقق شده بود، عملاً نیازی به تدوین این سازوکارها نبود. یا در مورد دیگری، راهبرد قانون بازار دیجیتال، بر رقابتی کردن بازار و به بند کشیدن شرکتهای موسوم به آگفام انتخاب شده است که فرصت توسعه را برای پلتفرمهای اروپایی ایجاد نماید. به گفته کمیسیون اروپا 90 درصد از پلتفرمهای فعال در اتحادیه اروپا متعلق به شرکتهای کوچک و متوسط است در حالی که بیشتر ارزش بازار توسط شرکتهای بزرگ ایجاد میشود. این بدان معنا است راهبردها برای حفاظت از داده و صیانت از حقوق کاربران از مقررهگذاری به سمت توسعه پلتفرمها و فناوریهای اروپایی و بازکردن بازار برای ارزشآفرینی بیشتر رفته است؛ اگرچه قبلیها را نیز نفی نمیکند.
بنابراین، اروپا با ناکامی نسبی در تحقق اهداف، راهبرد خود برای حفاظت از حاکمیت دیجیتال اروپا را تغییر داده و در نسل دوم مقررات گذاری خود به سراغ «تنظیمگری واسطهها» رفته است. در ادبیات این قوانین بهطور کلی سه نوع واسطه مشخص شده است: 1-ارائه دهندگان خدمات ارتباطی محض مانند ISPها که مسئولیت انتقال و تبادل دادهها را برعهده دارند 2-ارائه دهندگان خدمات کش داده[3] که بهصورت موقت ممکن است داده را نزد خود نگهداری کنند مانند CDN ها و 3-ارائه دهندگان خدمات میزبانی که داده را ذخیرهسازی میکنند.
بر این اساس برای واسطهها مسئولیتهایی مشخص شده است و راهبرد تنظیمگری، از تمرکز بر «داده» به تمرکز بر «واسطهها و پلتفرمهای بزرگ» منتقل شده است؛ اگرچه اهداف هنوز هم ثابت است و حفظ و حراست از حقوق کاربران هنوز هم دغدغه آنها است. از این رو در DSA برای خدمات واسطهای ارتباطی مانند ispها، خدمات میزبانی مانند زیرساختهای ابری، پلتفرمهای آنلاین و پلتفرمهای آنلاین بسیار بزرگ (پلتفرمهایی با بیش از 45 میلیون کاربر در اروپا) مقرراتی تعیین شده است. در DMA نیز با عنوان نمودن عبارت «پلتفرمهای دروازهبان» (gatekeepers) بار دیگر دغدغه مواجهه با این پلتفرمها مطرح شده و تلاش شده است که بازار اروپا از انحصار این پلتفرمها خارج شود.
شکل 1- لایههای مختلف خدمات در DSA
اروپا و راهبردی جدید
مجموعاً از این دغدغهها میتوان این نتیجه را گرفت که اروپا نتوانسته است با GDPR تبادل داده فرامرزی خود را آنطور که بایسته و شایسته است کنترل نماید و برای تحقق حقوق کاربران خود به سراغ تنظیمگری پلتفرمها و واسطهها رفته است تا از این طریق بتواند دغدغههای حقوقی، فرهنگی، سیاسی و امنیتی خود را محقق نماید. بهنوعی احتمالاً آنها به این نتیجه رسیدهاند که حتی همان حفاظت از داهها و حقوق کاربران نیز با وجود چالشهای عملیاتی و ابهامات موجود جز با توسعه پلتفرمهای اروپایی ممکن نیست؛ اگرچه با مقررات سعی میشود حتیالامکان از آسیب به این ارزشها کاست. در جدول زیر مقایسهای اجمالی میان DSA و DMA ارائه خواهد گردید[4]:
معیار | DSA | DMA |
سطح تحلیل | دربرگرفتن طیف وسیعی از خدمات واسطهای دیجیتال و پیشبینی الزامات سختگیرانهتر برای پلتفرمهای آنلاین و موتورهای جستجوی بسیار بزرگ | دروازهبانها یا شرکتهایی با نفوذ و تأثیر قابل توجه در بازار. شرکتهایی که تا به امروز ذیل این مقررات قرار گرفتهاند: اپل، آمازون، آلفابت، متا، بایتدانس و مایکروسافت (شرکتهایی که به آگفام معروفاند) |
هدف اصلی | ایجاد فضای دیجیتال امنتر، حفاظت از حقوق اساسی کاربران و ایجاد زمین بازی برابر برای مشاغل در اتحادیه اروپا | تقویت بازار دیجیتال منصفانه و رقابتی. دروازهبانان باید از مجموعه قوانینی پیروی کنند که از انجام اقدامات ناعادلانه در پلتفرمهایشان جلوگیری میکند و محیط دیجیتالی عادلانهتر و رقابتیتر را ترویج میکند. |
اقدامات و وظایف مدنظر | تعدیل محتوا سازوکارهای رسیدگی به شکایات کاربران شفافیت الگوریتمها و معیارهای رتبهبندی همکاری با مقامات در مواردی همچون دسترسی به داده اقدامات لازم برای جلوگیری از انتشار محتوای غیرقانونی | حذف اقدامات ناعادلانه یا ضد رقابتی ایجاد دسترسی به دادهی جمعآوری یا تولید شده در پلتفرمهای دروازهبان جلوگیری از جانبداری در عملکرد یا خدمات شرکای خاص خود شفافیت در مورد شیوههای تعدیل محتوا |
نوع مقررات گذاری | پسینی: تعیین اصول و تعهدات کلی برای واسطههای آنلاین. این رویکرد امکان انطباق با چالشها و فناوریهای در حال تحول را فراهم میکند. | پیشینی؛ به این معنی که قبل از وقوع هر گونه آسیب احتمالی، تعهدات خاصی را بر پلتفرمهای دیجیتال تحمیل میکند. |
بهصورت خاص در حوزه حفاظت از داده نیز در DSA مقرراتی پیرامون استفاده از دادههای شخصی افراد برای تبلیغات تدوین شده است که پلتفرمها را موظف میکنند اهداف تبلیغاتی و چرایی هدف قرارگرفتن یک فرد در تبلیغات را شفاف نمایند؛ همچنین تبلیغات مبتنی بر برخی دادههای شخصی همچون تبلیغات هدفمند برای خردسالان بر اساس پروفایل شخصی و تبلیغات مبتنی بر اعتقادات مذهبی و گرایشهای سیاسی نیز ممنوع شده است. همچنین شرکتهای دیجیتال نیز بایستی نمایندهای قانونی در یکی از کشورهای 27گانه اتحادیه اروپا تعیین کنند تا از آن طریق ایجاد دسترسی به دادههای مورد نیاز نماینده قانونی کشورها توسط پلتفرمها تدارک دیده شده است.
بهطور کلی، اگرچه اروپا با تدوین مقررات جدید و قانونگذاریهای متعدد سعی دارد اهداف خود را محقق کند و بهصورت نسبی نیز موفقیت آمیز عمل کرده است؛ اما به نظر در موج بعدی، یعنی موج سوم مواجهه، اروپا به این نتیجه میرسد که برای حفظ حقوق افراد در مسئله تبادل فرامرزی دادهها، راه مطمئنتری جز توسعه بومی اینگونه فناوریها نخواهد داشت. همانطور که مکرون روزی اینترنت اروپایی را در برابر اینترنت کالیفرنیایی مطرح کرد، خدمات اروپایی نیز در برابر دروازهبانهای آمریکایی مطرح خواهد شد؛ اگرچه بارقههای این موج از هماکنون و با قانون DMA که بهنوعی قانون ضدانحصار برای آگفام است دیده میشود.
[1] Digital service act
[2] Digital market act
[3] Data Cache
[4] برگرفته شده از: https://usercentrics.com/knowledge-hub/differences-between-digital-markets-act-and-digital-services-act/