لایحه صیانت از دادههای شخصی در انتظار تصویب
گروه دانش و فن
شبکههای اجتماعی و پیامرسانها با توجه به ماهیتی که دارند، تحت حوزه قوانین GDPR یا مقررات عمومی حفاظت از داده قرار میگیرند و لایحه صیانت از دادههای شخصی نیز با توجه به اهمیت رعایت صیانت از دادههای مردم ایران در حوزه سرویسهای بینالمللی در حال پیگیری است.
این در حالی است که لایحه صیانت از دادههای شخصی اخیرا توسط سازمان فناوری اطلاعات کشور رونمایی و مقرر شد برای تصویب به هیات دولت و سپس برای تبدیل شدن به قانون به مجلس برود. هدف اصلی این لایحه، صیانت از حیثیت و کرامت اشخاص موضوع دادههاست که شامل تبیین حقوق اشخاص موضوع دادهها، بهویژه در تعامل با سایر حقهای مشروع، ضابطهمندی فرایند پردازش دادههای شخصی، مسوولیتپذیری پردازش، همافزایی امور تنظیمی و نظارتی پردازش و جبرانپذیری زیانها و آسیبهای پردازش است.
به گزارش ایسنا، در بند هشتم منشور حقوق شهروندی با عنوان «حق دسترسی به فضای مجازی» آمده که حق شهروندان است که از امنیت سایبری و فناوریهای ارتباطی و اطلاعرسانی، حفاظت از دادههای شخصی و حریم خصوصی برخوردار باشند. پیش از این هم در قانون تجارت الکترونیکی، درباره حفاظت از دادههای شخصی مطالبی ذکر شده بود که با توجه به مواد تصویبی این قانون، کسانی که این قوانین را نقض کنند، مجرم محسوب میشوند.
محمدجواد آذری جهرمی - وزیر ارتباطات و فناوری اطلاعات - با اشاره به این لایحه و با تاکید بر لزوم صیانت از دادههای مردم در سرویسهای موجود در فضای مجازی بیان کرده بود: پیش از این در فضای مجازی و برای سرویسهایی که هر روز با سرعت بیشتری در حال رشد هستند، لایحهای نداشتیم. همچنین اطلاعاتی از شهروندان ایرانی در سرویسهای بینالمللی ضبط و ثبت میشد که قابلیت پیگیری نداشت. به همین دلیل برای رعایت صیانت از دادههای مردم در حوزه سرویسهای بینالمللی هم در تلاشیم. برای این قانون نیاز به تعاملات بینالمللی داریم.
رسول سراییان رییس سابق سازمان فناوری اطلاعات نیز اظهار کرده بود: لایحه صیانت از دادههای شخصی سندی است که اگر مردم نگرانی و دغدغهای درباره دادههایشان دارند با مطالعه این سند و تضامینی که به آنها داده شده، میتوانند اعتماد کنند؛ همچون سایر قوانین و مقررات. همه دنیا هم همین کار را میکنند. همه دنیا این قوانین و مقررات را دارند. در اروپا هم قانونی هست تحت عنوان GDPR که درباره حفاظت از حریم دادههاست.
از سویی دیگر اتحادیه اروپا به منظور صیانت از حریم خصوصی افراد و محافظت از دادههای شخصی آنها، قانونی موسوم به GDPR (مقررات عمومی حفاظت از داده) تصویب کرد که همه شرکتهای ارایهدهنده خدمات به کاربران که با دادههای شخصی افراد سروکار دارند را ملزم به رعایت آن میکند. اگر چه این قانون در اتحادیه اروپا وضع شده است اما حوزه سرزمینی آن محدود به اعضای اتحادیه اروپا نیست و دایره شمول آن شرکتها و سازمانهایی که در این اتحادیه مستقر نیستند را نیز میتواند در برگیرد.
حوزه فراگیر و گسترده این قانون و ضمانتهای اجرایی مستحکم آن از یک طرف و جرایم سنگینی که در صورت تخلف از آنها به شرکتها تحمیل میشود باعث شد سازگاری با این قانون به شکل جدی در دستور کار بسیاری از شرکتها به خصوص شرکتهای حوزه فناوری اطلاعات و ارایهدهنده سرویسهای شبکه اجتماعی قرار گیرد.
همچنین ماهیت این قانون و دید جامع و فراگیر آن در ارتباط با حریم خصوصی افراد و محافظت از دادهها، باعث شده است که مطالعه آن از منظر نیازهای امنیتی بسیار مهم باشد. نیازهای موجود در این قانون متناسب با دغدغههای شرکتها و ارایهدهندگان سرویسهای شبکه اجتماعی داخلی و سایر فعالان حوزه فناوری اطلاعات است.
اقدامات انجامشده در راستای GDPR
شبکههای اجتماعی پدیده فراگیر عصر حاضر هستند که فرایند تعامل افراد با یکدیگر را تسهیل میکنند. در این میان حجم زیادی از دادهها که نشاندهنده علایق، دیدگاهها و نظرات افراد است در بستر شبکههای اجتماعی مانند فیسبوک یا توییتر تا پیامرسانهایی مانند تلگرام و واتساپ به اشتراک گذاشته میشود. با توجه به ماهیت شبکههای اجتماعی، آنها بطور قطع تحت حوزه قوانین GDPR قرار میگیرند.
اکثر شبکههای اجتماعی از شماره موبایل یا آدرس ایمیل برای ثبتنام کاربران استفاده میکنند. پروفایل شخصی افراد در این شبکهها به همراه مطالبی که توسط کاربر در این شبکهها منتشر میشود و پاسخهایی که از سوی کاربر در پاسخ به یک مطلب گذاشته میشود میتواند مورد تحلیل قرار گیرد تا جایی که ویژگیهای شخصیتی افراد را میتوان از طریق مطالبی که مورد پسند او قرار گرفته است تا حد بسیار دقیقی مشخص کرد.
با توجه به تهدیدات موجود در ارتباط با نقض حریم خصوصی توسط اطلاعات موجود در شبکههای اجتماعی و سایر سیستمهایی که با دادههای شخصی افراد سروکار دارند، اتحادیه اروپا تلاشهای خود را برای ایجاد بستر قانونی جهت محافظت از دادهها و حریم خصوصی افراد شروع کرد تا اینکه در نهایت قانون جامع و فراگیری موسوم به GDPR در اتحادیه اروپا وضع و تصویب شد تا محافظت از دادههای شهروندان اتحادیه اروپا را ارتقاء دهد و چارچوبی جهت استفاده تجاری از دادههای شخصی افراد در سرتاسر اتحادیه اروپا مشخص کند و جایگزین قوانین محافظتی قبلی شود.
قانونGDPR از دادههای شخصی افراد و کسانی که بطور فیزیکی در اتحادیه اروپا ساکن هستند حتی اگر شهروند اتحادیه اروپا نباشند، محافظت میکند. با توجه به حوزهای که برای آن تعریف شده و دربرگیرنده پایش رفتار افراد نیز هست، دایره شمول و حوزه قابل اعمال آن بسیار گسترده است و بطور مشخص شامل همه وبسایتها و برنامههایی که فعالیت کاربران خود در فضای دیجیتال را رصد میکنند میشود.
تعریف GDPR از حوزه دادههای شخصی نیز تا حد زیادی وسیع و گسترده است. اتحادیه اروپا در ارتباط با حفاظت از حریم خصوصی افراد بهشدت قاطع و محکم عمل میکند و امروز با وضع این قانون جامع، مسیر جدیدی را برای محافظت از حقوق افراد شروع کرده است و با وضع جریمههای مالی سنگین تا سرحد ۴ درصد سود کل یک شرکت، که میتواند به راحتی شرکتها را در بازار با چالش مواجه کند، از اجرای این قوانین پشتیبانی میکند.
اقدامات برخی شرکتها در راستای تبعیت از GDPRحداقلی بوده که از آن جمله میتوان به پیامرسان تلگرام اشاره کرد. بر اساس ادعای سایت رسمی تلگرام، از آنجایی که حریم خصوصی افراد از همان ابتدا دغدغه اصلی تلگرام بوده است، برای سازگاری با قوانین GDPR نیازمند تغییر جدی در فرایندها و روال خود نبودهاند زیرا تلگرام از دادههای افراد برای هدف قرار دادن آنها در معرض نمایش تبلیغات استفاده نمیکند و این اطلاعات به دیگران فروخته نمیشود و تلگرام جزئی از خانواده هیچ شرکتی نیست. تلگرام تنها اطلاعاتی را نگهداری میکند که برای ارایه کارکردهای خود در قالب خدمات غنی ابری به آن نیاز دارد.
همچنین بر اساس ادعای شرکت فیسبوک، این شرکت هماکنون با قوانین محافظت از دادههای اتحادیه اروپا که شامل GDPR نیز میشود، سازگار است و فرایند آمادهسازی این شرکت با کمک تیم محافظت از دادهها صورت گرفته است. در تمام طول فرایند آمادهسازی، فیسبوک متعهد به سه مساله شفافیت، پاسخگویی و امکان کنترل بوده است. این شرکت تلاش کرد تا شفافیت را از طریق تعریف سیاستهای دادهای و نحوه پردازش دادههای شخصی افراد تامین کند. همچنین در این زمینه آموزشهای لازم در ارتباط با محصولات این شرکت را به کاربران ارایه کند.