رفع خلأهای قانونی مربوط‌به اطلاعات کاربران

۱۴۰۰/۰۷/۰۴ - ۰۰:۰۰:۰۰
کد خبر: ۱۸۲۴۹۰
رفع خلأهای قانونی مربوط‌به اطلاعات کاربران

نمایندگان مجلس با هدف رفع خلأهای قانونی مربوط به داده‌ها و اطلاعات به ویژه داده‌هایی که در فضای مجازی توسط ارایه‌دهندگان خدمات از مردم و کسب‌وکارها گردآوری و پردازش می‌شود، طرح «حمایت و حفاظت از داده‌ها و اطلاعات شخصی» را به صحن علنی ارایه دادند. براساس این طرح برای حفاظت و صیانت از داده‌ها و اطلاعات شخصی، کمیسیون صیانت از داده‌ها و اطلاعات شخصی تشکیل می‌شود. همچنین آن‌طور که نمایندگان مقرر کردند، پردازش داده‌ها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است.

نمایندگان مجلس طرح جدیدی با عنوان حفاظت از داده‌ها ارایه داده‌اند. پیش از این نیز طرح قانون یکپارچه‌سازی داده و اطلاعات ملی در مجلس اعلام وصول شده بود. همچنین دبیر شورای اجرایی فناوری اطلاعات اردیبهشت امسال اعلام کرد لایحه مقررات عمومی حفاظت از داده به زودی در دولت تصویب شده و به مجلس می‌رود. طرح «حمایت و حفاظت از داده و اطلاعات شخصی» اواخر شهریور در صحن علنی اعلام وصول شد. هدف اصلی این طرح، رفع خلأ قانونی مربوط به داده‌ها و اطلاعات به ویژه آن دسته از اطلاعات که در فضای مجازی توسط ارایه‌دهندگان خدمات از مردم و کسب‌وکارها اخذ و گردآوری و پردازش می‌شود. همچنین این طرح قرار است قوانین مرتبط با قانون وظایف و اختیارات وزیر ارتباطات، قانون انتشار و دسترسی آزاد به اطلاعات، قانون تجارت الکترونیکی، قانون مجازات اسلامی، قانون برنامه ششم توسعه و قانون سلامت نظام اداری و غیره را تکمیل کند. این طرح در ۵۶ ماده تدوین و تهیه شده و به امضای ۳۱ نماینده رسیده است. اشخاص مشمول این طرح، اتباع ایرانی و حقیقی و حقوقی عمومی یا خصوصی و اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده‌ها و اطلاعات شخصی آنها درون یا بیرون از ایران پردازش می‌شود، است. پردازش داده‌های اشخاص هم شامل اقداماتی چون ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقه‌بندی، تطبیق، ذخیره‌سازی، اشتراک‌گذاری، فرستادن، توزیع و عرضه، انتشار و دردسترس قراردادن و پاک کردن آنها می‌شود. براساس این طرح کنترل‌گر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگی‌ها و ابزارهای یک یا چند عملیات پردازش داده‌ها و اطلاعات شخصی در اختیار پردازش‌گر را تعیین می‌کند. پردازشگر هم شخصی است که برای پردازش از کنترل‌گر اجازه می‌گیرد. در صورت نبود کنترل‌گر، پردازشگر به عنوان کنترل‌گر شناخته می‌شود.

      حقوق اشخاص درمقابل داده‌ها  و اطلاعات شخصی

از منظر طراحان، اشخاص موضوع این طرح درمقابل داده‌ها و اطلاعات شخصی خود از حقوقی برخوردار هستند. در ابتدا پردازش داده‌ها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است. البته اعلام رضایت باید پیش از پردازش داده‌ها باشد، بیانگر آگاهی شخص موضوع داده باشد و استنادپذیر باشد. پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت‌ها یا موقعیت‌های عمومی، بدون رضایت شخص یا اشخاص موضوع این طرح در صورتی بلامانع است که خودش اجازه داده تا اطلاعات را در معرض پردازش قرار دهد و پردازش روی داده‌ها و اطلاعات خود را منع یا محدود نکرده باشد. در صورتی که شخص موضوع داده فهمید که داده‌های حاصل از پردازش نادرست است یا پردازش داده‌ها خارج از محدود رضایت او بوده، حق دارد هرزمان، خواستار پردازش یا عدم پردازش همه یا بخشی از داده و اطلاعات باشد. اگر فردی به پردازش داده‌های خود رضایت دهد، به معنای آشکار شدن هویت شخص موضوع داده و اطلاعات نیست و باید گمنامی او حفظ شود. البته در مواردی پردازش اطلاعات و داده‌های شخصی در چارچوب قوانین مربوطه بدون رضایت شخص مانعی ندارد. این موارد عبارت هستند از «صیانت از حیثیت، جان و مال شخص موضوع داده ضروری باشد»، «برای صیانت از حیثیت یا جان دیگری و پیشگیری از زیان مالی شدید به او ضروری باشد»، «برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری و برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد.» بهره‌برداری از داده‌ها و اطلاعات شخصی، بدون رضایت شخص در صورتی بلامانع است که گمنامی او حفظ شود، زیان مادی یا معنوی برای او نداشته باشد و جلب رضایت او امکان‌پذیر نباشد.

     کمیسیون صیانت از داده‌ها  و اطلاعات شخصی

آنطور که نمایندگان مشخص کردند، تنظیم و نظارت بر پردازش داده‌ها و اطلاعات شخصی به عهده چهار نهاد است؛ کمیسیون صیانت از داده‌ها و اطلاعات شخصی، هیات نظارت، کارگروه‌های تخصصی و دبیرخانه اجرایی کمیسیون. ۱۳ نفر عضو این کمیسیون هستند که عبارتند از وزیر ارتباطات، وزیر اطلاعات، وزیر کشور، وزیر اقتصاد، وزیر فرهنگ و ارشاد اسلامی، دبیر شورای عالی و رییس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوه‌قضاییه، رییس کمیسیون اصل نودم مجلس، رییس کمیسیون حقوقی و قضایی مجلس، دبیر شورای اجرایی فناوری اطلاعات و دو نفر از صاحب‌نظران دارای سوابق مرتبط با سیاست‌گذاری، حکمروایی داده‌ها و اطلاعات به پیشنهاد دبیر و تایید رییس کمیسیون. براساس این طرح، وزیر ارتباطات و فناوری اطلاعات رییس و دبیر شورای اجرای فناوری اطلاعات دبیر کمیسیون مذکور هستند. به تشخیص رییس کمسیون، جلسات در سطح اعضا یا معاونان آنها تشکیل می‌شود. وظیفه این کمیسیون «همسوسازی امور تنظیم و نظارت بر کارگروه‌های تخصصی با یکدیگر و همچنین با هیات نظارت»، «تعدیل و تجمیع، تلفیق یا تفکیک وظایف یا اعضای کبارگروه‌های تخصصی برپایه اختیارات قانونی آنها»، «تصویب ضوابط و دستورالعمل‌های مربوط به صیانت از داده‌های شخصی و آیین‌نامه داخلی کمیسیون»، «گزارش به مراجع بالادستی درباره وضعیت صیانت از داده‌ها و اطلاعات شخصی وتنظیم و نظارت پردازش آنها»، «تصویب تخلفات و ضمانت اجرایی‌‌های انتظامی» و «صدور احکام روسای کارگروه‌های تخصصی و ناظران ویژه» است. مصوبات و تصمیمات کمیسیون برای کلیه دستگاه‌های اجرایی، کارگروه‌های تخصصی و هیات نظارت و کنترل‌گرایان و پردازش‌گران ضروری است. دبیرخانه این کمیسیون همچنین در وزارت ارتباطات و فناوری اطلاعات تشکیل می‌شود. کمیسیون همچنین با توجه به اولویت‌های مرتبط با صیانت و حفاظت از داده‌ها و اطلاعات شخصی، کارگروه‌های تخصصی متشکل از نمایندگان نهادهای متولی امور حاکمیتی مرتبط با صیانت از داده‌های شخصی در موضوعات خاص نظیر سلامت، بانکداری، امور مالی، امور اجتماعی، امور شهری و غیره تشکیل می‌شود. هرکدام از کارگروه‌ها، مسوولیت اجرا یا نظارت بر حسن اجرای مصوبات کمیسیون را در حیطه کاری خود به عهده دارد. هیات نظارت هم براساس این طرح تشکیل می‌شود که اعضای آن، دادستان کل کشور، رییس کمیسیون اصل نود مجلس و دبیر کمیسیون صیانت از داده‌های شخصی هستند. هیات نظارت در محل دادستانی کل کشور تشکیل می‌شود و وظایفی مانند «نظارت بر حسن اجرای امور نظارتی ابلاغی کمیسیون»، «دریافت و رسیدگی به شکایات ذی‌نفعان صیانت از داده‌ها و اطلاعات شخصی»، «شناسایی و معرفی ناظران ویژه به کمسیون و نظارت بر فعالیت آنها»، «پیشنهاد شیوه‌نامه‌های اختصاصی استنادپذیری ادله ناظر برداده‌ها و اطلاعات شخصی» را به عهده دارد. در بخشی از وظایف هیات نظارت «انتخاب ناظر ویژه» آمده که این ناظر در شرایط ویژه‌ای از سوی این هیات انتخاب می‌شود. در مواردی که پردازش داده‌ها و اطلاعات شخصی حیاتی و حساس باشد، کلان داده‌ها در حال پردازش باشند و زیان‌ها و آسیب‌های جدی به داده‌ها و اطلاعات وارد شود.

     وظایف کنترل‌گران و پردازش‌گران

در این طرح نمایندگان همچنین برای کنترل‌گران و پردازش‌گران وظایف و مسوولیت‌هایی تعیین کردند. البته که براساس این طرح پردازشگر به عنوان شغل یا حرفه مستقل، مستلزم دارا بودن پروانه یا گواهی از مرجع صلاحیتدار است. واگذاری این شغل و حرفه، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیتدار ذی‌ربط است. کنترل‌گر یا پردازش‌گر برای پردازش اطلاعات شخصی افراد موضوع این طرح، باید یکسری اطلاعات در اختیار آنها قرار دهند. یعنی کنترل‌گران یا پردازش‌گردان باید هدف از پردازش، منابع پردازش، ویژگی‌ها و شرایط فنی پردازش، سطح ایمنی و امنیت پردازش را به شخص اعلام کنند، اشخاص موضوع این ماده باید از هویت، ماهیت و فعالیت کنترل‌گران مطلع شوند. کنترل‌گر یا پردازش‌گر موظف هستند ظرف یک ماه از تاریخ دریافت داده‌ها و اطلاعات شخصی این اطلاع‌رسانی‌ها را انجام دهند. آنها همچنین در برابر اشخاص موضوع داده باید پاسخگویی کامل را داشته باشند. کنترل‌گر یا پردازش‌گر موظف است اطلاعاتی مانند اطلاعات هویتی، انواع پردازش‌های انجام شده روی داده‌ها و اطلاعات هویتی کنترل‌گران یا پردازش‌گران را تا ۱۸ ماه پس از پردازش داده نزد خود نگه دارند. اگر صحت و تمامیت داده‌ها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترل‌گر یا پردازش‌گر موظف است، همه نسخه‌های اصلی و مخدوش شده داده‌ها و اطلاعات را به مدت ۶ ماه از تاریخ آخرین پردازش نگهداری کنند. آنطور که در این طرح آمده است، پردازش داده‌ها و اطلاعات در صورتی فرامرزی شناخته می‌شوند که هریک از کنترل‌گران یا پردازش‌گران تابعیت خارجی داشته باشند، سامانه‌های پردازنده داده‌ها و اطلاعات بیرون از قلمرو جمهوری اسلامی باشد و پردازنده‌های نرم‌افزاری در ایران ثبت نشده باشد. البته که در خصوص پردازش داده‌ها و اطلاعات شخصی اتباع ایرانی، این پردازش تنها باید در مراکز داده واقع در داخل کشور یا مراکز خارجی مورد تایید مراجع صلاحیت‌دار انجام گیرد. همه پردازنده‌های سخت‌افزاری و نرم‌افزاری باید از مراجع صلاحیت‌دار گواهی لازم را داشته باشند. این اطلاعات روی شبکه ارتباطی مطمئن جابه‌جا شوند.

     ضمانت اجرایی

آن‌طور که در این طرح مشخص شده، کنترل‌گران و پردازش‌گران در برابر تعهدات خود مسوولیت مستقل دارند و فرد زیان‌دیده می‌تواند به کنترل‌گر یا پردازش‌گر مراجعه کند و خواستار جبران زیان خود شود. اگر شخص موضوع این طرح، حقوق خود را به صورت ناروا درخواست و به دیگری زیانی وارد کند، مسوول جبران آن خواهد بود. در صورت وارد کردن آسیب، مرجع صلاحیت‌دار قضایی یا انتظامی می‌تواند متناسب با نوع و گستره آسیب حیثیتی به موضوع وارد شود و میزان زیان را بسنجند و برای فرد مرتکب شده جریمه تنبیهی در نظر بگیرند. میزان جریمه یا کسب نظر از کمیسیون یا کارگروه‌های تخصصی تعیین و اعمال می‌شود. تخلفات انتظامی مقرر از سوی کمیسیون همه جرایم مقرر در این قانون، نقض تعهدات کنترل‌گران و پردازش‌گران، نقض تعهدات اشخاص موضوع داده در برابر سایر ذی‌نفعان و نقض تعهدات قراردادی یا سایر اسناد تعهدآور را در برمی‌گیرد. در پایان نمایندگان مقرر کرده‌اند تا اعتبارات هزینه‌ای مورد نیاز این قانون به نحوه متمرکز در ردیف بودجه دبیرخانه و پیشنهاد وزارت ارتباطات در لایحه بودجه سالانه درج و به تصویب برسد. از تاریخ تصویب این قانون همچنین کلیه قوانین و مقررات مغایر با آن نسخ می‌شود و تا زمانی که در قوانین بعدی نسخ یا اصلاح مواد و مقررات این قانون به صورت صریح و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود.