رفع خلأهای قانونی مربوطبه اطلاعات کاربران
نمایندگان مجلس با هدف رفع خلأهای قانونی مربوط به دادهها و اطلاعات به ویژه دادههایی که در فضای مجازی توسط ارایهدهندگان خدمات از مردم و کسبوکارها گردآوری و پردازش میشود، طرح «حمایت و حفاظت از دادهها و اطلاعات شخصی» را به صحن علنی ارایه دادند. براساس این طرح برای حفاظت و صیانت از دادهها و اطلاعات شخصی، کمیسیون صیانت از دادهها و اطلاعات شخصی تشکیل میشود. همچنین آنطور که نمایندگان مقرر کردند، پردازش دادهها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است.
نمایندگان مجلس طرح جدیدی با عنوان حفاظت از دادهها ارایه دادهاند. پیش از این نیز طرح قانون یکپارچهسازی داده و اطلاعات ملی در مجلس اعلام وصول شده بود. همچنین دبیر شورای اجرایی فناوری اطلاعات اردیبهشت امسال اعلام کرد لایحه مقررات عمومی حفاظت از داده به زودی در دولت تصویب شده و به مجلس میرود. طرح «حمایت و حفاظت از داده و اطلاعات شخصی» اواخر شهریور در صحن علنی اعلام وصول شد. هدف اصلی این طرح، رفع خلأ قانونی مربوط به دادهها و اطلاعات به ویژه آن دسته از اطلاعات که در فضای مجازی توسط ارایهدهندگان خدمات از مردم و کسبوکارها اخذ و گردآوری و پردازش میشود. همچنین این طرح قرار است قوانین مرتبط با قانون وظایف و اختیارات وزیر ارتباطات، قانون انتشار و دسترسی آزاد به اطلاعات، قانون تجارت الکترونیکی، قانون مجازات اسلامی، قانون برنامه ششم توسعه و قانون سلامت نظام اداری و غیره را تکمیل کند. این طرح در ۵۶ ماده تدوین و تهیه شده و به امضای ۳۱ نماینده رسیده است. اشخاص مشمول این طرح، اتباع ایرانی و حقیقی و حقوقی عمومی یا خصوصی و اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که دادهها و اطلاعات شخصی آنها درون یا بیرون از ایران پردازش میشود، است. پردازش دادههای اشخاص هم شامل اقداماتی چون ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقهبندی، تطبیق، ذخیرهسازی، اشتراکگذاری، فرستادن، توزیع و عرضه، انتشار و دردسترس قراردادن و پاک کردن آنها میشود. براساس این طرح کنترلگر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگیها و ابزارهای یک یا چند عملیات پردازش دادهها و اطلاعات شخصی در اختیار پردازشگر را تعیین میکند. پردازشگر هم شخصی است که برای پردازش از کنترلگر اجازه میگیرد. در صورت نبود کنترلگر، پردازشگر به عنوان کنترلگر شناخته میشود.
حقوق اشخاص درمقابل دادهها و اطلاعات شخصی
از منظر طراحان، اشخاص موضوع این طرح درمقابل دادهها و اطلاعات شخصی خود از حقوقی برخوردار هستند. در ابتدا پردازش دادهها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است. البته اعلام رضایت باید پیش از پردازش دادهها باشد، بیانگر آگاهی شخص موضوع داده باشد و استنادپذیر باشد. پردازش دادهها و اطلاعات شخصی مربوط به وضعیتها یا موقعیتهای عمومی، بدون رضایت شخص یا اشخاص موضوع این طرح در صورتی بلامانع است که خودش اجازه داده تا اطلاعات را در معرض پردازش قرار دهد و پردازش روی دادهها و اطلاعات خود را منع یا محدود نکرده باشد. در صورتی که شخص موضوع داده فهمید که دادههای حاصل از پردازش نادرست است یا پردازش دادهها خارج از محدود رضایت او بوده، حق دارد هرزمان، خواستار پردازش یا عدم پردازش همه یا بخشی از داده و اطلاعات باشد. اگر فردی به پردازش دادههای خود رضایت دهد، به معنای آشکار شدن هویت شخص موضوع داده و اطلاعات نیست و باید گمنامی او حفظ شود. البته در مواردی پردازش اطلاعات و دادههای شخصی در چارچوب قوانین مربوطه بدون رضایت شخص مانعی ندارد. این موارد عبارت هستند از «صیانت از حیثیت، جان و مال شخص موضوع داده ضروری باشد»، «برای صیانت از حیثیت یا جان دیگری و پیشگیری از زیان مالی شدید به او ضروری باشد»، «برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری و برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد.» بهرهبرداری از دادهها و اطلاعات شخصی، بدون رضایت شخص در صورتی بلامانع است که گمنامی او حفظ شود، زیان مادی یا معنوی برای او نداشته باشد و جلب رضایت او امکانپذیر نباشد.
کمیسیون صیانت از دادهها و اطلاعات شخصی
آنطور که نمایندگان مشخص کردند، تنظیم و نظارت بر پردازش دادهها و اطلاعات شخصی به عهده چهار نهاد است؛ کمیسیون صیانت از دادهها و اطلاعات شخصی، هیات نظارت، کارگروههای تخصصی و دبیرخانه اجرایی کمیسیون. ۱۳ نفر عضو این کمیسیون هستند که عبارتند از وزیر ارتباطات، وزیر اطلاعات، وزیر کشور، وزیر اقتصاد، وزیر فرهنگ و ارشاد اسلامی، دبیر شورای عالی و رییس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوهقضاییه، رییس کمیسیون اصل نودم مجلس، رییس کمیسیون حقوقی و قضایی مجلس، دبیر شورای اجرایی فناوری اطلاعات و دو نفر از صاحبنظران دارای سوابق مرتبط با سیاستگذاری، حکمروایی دادهها و اطلاعات به پیشنهاد دبیر و تایید رییس کمیسیون. براساس این طرح، وزیر ارتباطات و فناوری اطلاعات رییس و دبیر شورای اجرای فناوری اطلاعات دبیر کمیسیون مذکور هستند. به تشخیص رییس کمسیون، جلسات در سطح اعضا یا معاونان آنها تشکیل میشود. وظیفه این کمیسیون «همسوسازی امور تنظیم و نظارت بر کارگروههای تخصصی با یکدیگر و همچنین با هیات نظارت»، «تعدیل و تجمیع، تلفیق یا تفکیک وظایف یا اعضای کبارگروههای تخصصی برپایه اختیارات قانونی آنها»، «تصویب ضوابط و دستورالعملهای مربوط به صیانت از دادههای شخصی و آییننامه داخلی کمیسیون»، «گزارش به مراجع بالادستی درباره وضعیت صیانت از دادهها و اطلاعات شخصی وتنظیم و نظارت پردازش آنها»، «تصویب تخلفات و ضمانت اجراییهای انتظامی» و «صدور احکام روسای کارگروههای تخصصی و ناظران ویژه» است. مصوبات و تصمیمات کمیسیون برای کلیه دستگاههای اجرایی، کارگروههای تخصصی و هیات نظارت و کنترلگرایان و پردازشگران ضروری است. دبیرخانه این کمیسیون همچنین در وزارت ارتباطات و فناوری اطلاعات تشکیل میشود. کمیسیون همچنین با توجه به اولویتهای مرتبط با صیانت و حفاظت از دادهها و اطلاعات شخصی، کارگروههای تخصصی متشکل از نمایندگان نهادهای متولی امور حاکمیتی مرتبط با صیانت از دادههای شخصی در موضوعات خاص نظیر سلامت، بانکداری، امور مالی، امور اجتماعی، امور شهری و غیره تشکیل میشود. هرکدام از کارگروهها، مسوولیت اجرا یا نظارت بر حسن اجرای مصوبات کمیسیون را در حیطه کاری خود به عهده دارد. هیات نظارت هم براساس این طرح تشکیل میشود که اعضای آن، دادستان کل کشور، رییس کمیسیون اصل نود مجلس و دبیر کمیسیون صیانت از دادههای شخصی هستند. هیات نظارت در محل دادستانی کل کشور تشکیل میشود و وظایفی مانند «نظارت بر حسن اجرای امور نظارتی ابلاغی کمیسیون»، «دریافت و رسیدگی به شکایات ذینفعان صیانت از دادهها و اطلاعات شخصی»، «شناسایی و معرفی ناظران ویژه به کمسیون و نظارت بر فعالیت آنها»، «پیشنهاد شیوهنامههای اختصاصی استنادپذیری ادله ناظر بردادهها و اطلاعات شخصی» را به عهده دارد. در بخشی از وظایف هیات نظارت «انتخاب ناظر ویژه» آمده که این ناظر در شرایط ویژهای از سوی این هیات انتخاب میشود. در مواردی که پردازش دادهها و اطلاعات شخصی حیاتی و حساس باشد، کلان دادهها در حال پردازش باشند و زیانها و آسیبهای جدی به دادهها و اطلاعات وارد شود.
وظایف کنترلگران و پردازشگران
در این طرح نمایندگان همچنین برای کنترلگران و پردازشگران وظایف و مسوولیتهایی تعیین کردند. البته که براساس این طرح پردازشگر به عنوان شغل یا حرفه مستقل، مستلزم دارا بودن پروانه یا گواهی از مرجع صلاحیتدار است. واگذاری این شغل و حرفه، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیتدار ذیربط است. کنترلگر یا پردازشگر برای پردازش اطلاعات شخصی افراد موضوع این طرح، باید یکسری اطلاعات در اختیار آنها قرار دهند. یعنی کنترلگران یا پردازشگردان باید هدف از پردازش، منابع پردازش، ویژگیها و شرایط فنی پردازش، سطح ایمنی و امنیت پردازش را به شخص اعلام کنند، اشخاص موضوع این ماده باید از هویت، ماهیت و فعالیت کنترلگران مطلع شوند. کنترلگر یا پردازشگر موظف هستند ظرف یک ماه از تاریخ دریافت دادهها و اطلاعات شخصی این اطلاعرسانیها را انجام دهند. آنها همچنین در برابر اشخاص موضوع داده باید پاسخگویی کامل را داشته باشند. کنترلگر یا پردازشگر موظف است اطلاعاتی مانند اطلاعات هویتی، انواع پردازشهای انجام شده روی دادهها و اطلاعات هویتی کنترلگران یا پردازشگران را تا ۱۸ ماه پس از پردازش داده نزد خود نگه دارند. اگر صحت و تمامیت دادهها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترلگر یا پردازشگر موظف است، همه نسخههای اصلی و مخدوش شده دادهها و اطلاعات را به مدت ۶ ماه از تاریخ آخرین پردازش نگهداری کنند. آنطور که در این طرح آمده است، پردازش دادهها و اطلاعات در صورتی فرامرزی شناخته میشوند که هریک از کنترلگران یا پردازشگران تابعیت خارجی داشته باشند، سامانههای پردازنده دادهها و اطلاعات بیرون از قلمرو جمهوری اسلامی باشد و پردازندههای نرمافزاری در ایران ثبت نشده باشد. البته که در خصوص پردازش دادهها و اطلاعات شخصی اتباع ایرانی، این پردازش تنها باید در مراکز داده واقع در داخل کشور یا مراکز خارجی مورد تایید مراجع صلاحیتدار انجام گیرد. همه پردازندههای سختافزاری و نرمافزاری باید از مراجع صلاحیتدار گواهی لازم را داشته باشند. این اطلاعات روی شبکه ارتباطی مطمئن جابهجا شوند.
ضمانت اجرایی
آنطور که در این طرح مشخص شده، کنترلگران و پردازشگران در برابر تعهدات خود مسوولیت مستقل دارند و فرد زیاندیده میتواند به کنترلگر یا پردازشگر مراجعه کند و خواستار جبران زیان خود شود. اگر شخص موضوع این طرح، حقوق خود را به صورت ناروا درخواست و به دیگری زیانی وارد کند، مسوول جبران آن خواهد بود. در صورت وارد کردن آسیب، مرجع صلاحیتدار قضایی یا انتظامی میتواند متناسب با نوع و گستره آسیب حیثیتی به موضوع وارد شود و میزان زیان را بسنجند و برای فرد مرتکب شده جریمه تنبیهی در نظر بگیرند. میزان جریمه یا کسب نظر از کمیسیون یا کارگروههای تخصصی تعیین و اعمال میشود. تخلفات انتظامی مقرر از سوی کمیسیون همه جرایم مقرر در این قانون، نقض تعهدات کنترلگران و پردازشگران، نقض تعهدات اشخاص موضوع داده در برابر سایر ذینفعان و نقض تعهدات قراردادی یا سایر اسناد تعهدآور را در برمیگیرد. در پایان نمایندگان مقرر کردهاند تا اعتبارات هزینهای مورد نیاز این قانون به نحوه متمرکز در ردیف بودجه دبیرخانه و پیشنهاد وزارت ارتباطات در لایحه بودجه سالانه درج و به تصویب برسد. از تاریخ تصویب این قانون همچنین کلیه قوانین و مقررات مغایر با آن نسخ میشود و تا زمانی که در قوانین بعدی نسخ یا اصلاح مواد و مقررات این قانون به صورت صریح و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود.