GDPR ایرانی در مسیر تصویب

لایحه «حفاظت از داده‌های شخصی» با هدف اتخاذ راهکارهای قانونی در حفظ حریم خصوصی کاربران، بار دیگر در جریان تصویب در دولت قرار گرفت تا با ارایه به مجلس، نظام حاکمیت داده در کشور قانونمند شود. آن‌طور که معاون وزیر ارتباطات و فناوری اطلاعات می‌گوید، تفاوت این طرح با طرح حمایت از حقوق کاربران فضای مجازی و خدمات پایه کاربردی که هم‌اکنون در مجلس شورای اسلامی در دست بررسی است، این است که سطوح عملکرد این دو طرح کاملاً متفاوت بوده و اگرچه قطعاً این طرح‌ها متناقض هم نبوده بلکه مکمل هم خواهند بود. اما در طرح حفاظت از اطلاعات، قوانین مرتبط با انتشار داده‌های شخصی قرار است تصویب شود.

نشت اطلاعات و افشای پایگاه اطلاعات هویتی کاربران یکی از موضوعات دارای اهمیت سال‌های اخیر فضای مجازی بوده که هر بار پس از گذشت چند روز، به دلیل نبود قوانین مشخص در مواجهه با آن، به دست فراموشی سپرده می‌شود. برای مثال کمتر از دو سال پیش نشت اطلاعات شناسنامه‌ای ۸۰ میلیون کاربر ایرانی از طریق سرورهای سازمان ثبت احوال و وزارت بهداشت خبرساز شد. پس از آن نیز شاهد افشای بانک اطلاعاتی حاوی اطلاعات شمار زیادی از کاربران ایرانی یکی از شبکه‌های اجتماعی و شماری از کاربران یکی از بازارهای ایرانی نرم‌افزارهای موبایلی بودیم؛ سرقت پایگاه داده سازمان امور دانشجویان وزارت علوم و برخی شرکت‌های هواپیمایی و بانک‌ها نیز از همین دست اتفاقات بوده است که متأثر از فهرست مشترکی از خطاها و ضعف‌های امنیتی در پایگاه‌های داده، عموماً تکرار می‌شود. افشای داده تنها مربوط به کشور ما نیست و نشت اطلاعات میلیون‌ها پروفایل شخصی مربوط به مشترکان فیس بوک در جریان تبلیغات سیاسی انتخابات ریاست‌جمهوری امریکا که توسط شرکت کمبریج آنالیتیکا (یک شرکت تحلیل اطلاعاتی) صورت گرفت از جمله بزرگ‌ترین این پرونده‌ها است. این در حالی است که «داده» در دنیای امروز یک دارایی با ارزش محسوب می‌شود که نشت و سرقت آن تبعات بسیار اقتصادی، اجتماعی و سیاسی را در بردارد و حفاظت قانونی از آن، باید در سازوکارهای مرتبط با نظام حاکمیت داده جای گیرد.

    الزامات قانون نویسی برای حفاظت از  اطلاعات

الزامات قانونگذاری در حفاظت از اطلاعات را می‌توان در قالب چند محور از جمله الزامات استفاده و نگهداری از داده‌های شخصی کاربران، الزامات افشای داده‌های شخصی، حقوق کاربران در زمینه حریم خصوصی، مسوولیت‌های متولیان داده‌های شخصی و الزامات دسترسی کاربر به داده‌های شخصی در فضای مجازی، تعریف کرد. در گزارشی که پیش از این با عنوان «حفاظت از داده‌های کاربران و رویکردهای جهانی» توسط مرکز پژوهش‌های مجلس منتشر شده است، پس از بررسی اسناد و مدارک بین‌المللی و منطقه‌ای حریم خصوصی و حفاظت از داده‌های کاربران، این نتیجه‌گیری حاصل شده که «حفاظت از داده‌های کاربران با توجه به توسعه فناوری اطلاعات و ارتباطات و فضای مجازی به یکی از اولویت‌های سیاستی و قانونگذاری کشورها تبدیل شده و اغلب کشورهای توسعه یافته به تصویب قوانین بخشی یا یکپارچه در این زمینه اقدام کرده‌اند. در این میان کشورهایی همچون پاکستان، گواتمالا، هند، ترکیه، مالزی، مکزیک، فیلیپین، سنگاپور، ونزوئلا دارای کمبود قوانین در این حوزه هستند. ایالات متحده امریکا و ژاپن دارای رویکرد قانونگذاری بوده‌اند و کره جنوبی، استرالیا، کانادا، اتریش، بلژیک، فرانسه، ایتالیا، کانادا، دانمارک، فنلاند، آلمان، یونان، بلژیک، نروژ، ایرلند، پرتغال، اسپانیا، سوئد، سوییس و انگلستان از جمله کشورهایی هستند که دارای قانونگذاری یکپارچه در عرصه حفاظت از داده‌های کاربران هستند. بر این اساس ضرورت تصویب قانون صیانت و حفاظت از داده‌های شخصی در کشور ما نیز احساس می‌شود.»

    تلاش برای محافظت از  حریم خصوصی کاربران در GDPR

حریم خصوصی کاربران فضای مجازی در ایران تاکنون مشمول قانونی نبوده و به همین دلیل بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی به وفور اتفاق می‌افتد. به دلیل مشخص نبودن مصادیق گردآوری، استفاده، نگهداری و افشای اطلاعات و مسوولیت‌های متولیان داده‌های شخصی از جمله شبکه‌های اجتماعی داخلی و خارجی، حفاظت از حریم خصوصی کاربران در فضای مجازی با ابهامات جدی همراه است. این در حالی است که بسیاری از کشورهای دنیا، برای حفاظت از اطلاعات در فضای مجازی قوانین مشخصی تدوین کرده‌اند و اتحادیه اروپا نیز قانون جامعی از صیانت از اطلاعات شخصی به نام GDPR را به تصویب رسانده است. این قانون از ۲۵ ماه مه ‌سال ۲۰۱۸ اجرایی شده و شرکت‌های زیادی در داخل اتحادیه اروپا و حتی خارج از آن، تحت تأثیر این قانون قرار گرفته‌اند. این قانون که حتی مشمول قوانین و مقرراتی برای صادرات اطلاعات شخصی به خارج از اتحادیه اروپا نیز می‌شود، شبکه‌های مجازی را ملزم به تبعیت از قوانین فضای مجازی کشورها برای صیانت از حریم خصوصی کاربران می‌کند و در صورت نقض این قانون، این شبکه‌ها با جریمه‌های سنگینی مواجه می‌شوند. در این قانون به این ابهامات پاسخ داده می‌شود که کدام داده‌های جمع‌آوری شده شامل حریم خصوصی می‌شود؛ چه کسانی می‌توانند از آن استفاده کنند و چه کارهایی باید انجام پذیرد تا کاربر از حفاظت و امانت این اطلاعات مطمئن شود. در نهایت اینکه تحلیل این داده‌ها تحت چه قوانینی ممکن خواهد بود. همین دلیل گفته می‌شود که اگرچه GDPR یک قانون مصوب در داخل اتحادیه اروپا محسوب می‌شود اما محدوده تعریف شده آن تمامی کشورها و شرکت‌هایی که به نوعی با اتحادیه اروپا مراوده دارند را نیز دربرمی گیرد. از این رو شرکت‌های زیادی در امریکا و آسیا نیز اعلام کرده‌اند که به این قانون پایبند خواهند بود. بنابراین می‌توان گفت که این قانون تبدیل به یک استاندارد سطح جهانی برای حفاظت از اطلاعات شخصی شده است.

    تصویب GDPR  به عمر دولت دوازدهم قد نداد

در ایران نیز با توجه به ایجاد موج جهانی برای ملحق شدن به قانونGDPR، بحث تصویب « قانون حفاظت از اطلاعات شخصی» از حدود ۳ سال پیش توسط دولت دوازدهم مطرح شد و این‌طور گفته شد که قرار است حفاظت از داده در کشور بر مبنای قانون GDPR اصلاح و ویرایش شود. خرداد سال ۹۷ محمدجواد آذری جهرمی وزیر وقت ارتباطات و فناوری اطلاعات در پیامی توئیتری اجرای قانون حفاظت از اطلاعات شخصی در اتحادیه اروپا را تبریک گفت و از انتظار برای تصویب چنین لایحه‌ای در ماه‌های آتی در ایران خبر داد. مرداد ۹۷ نیز پیش‌نویس لایحه صیانت از داده‌های شخصی از سوی وزارت ارتباطات منتشر شد. در آن زمان با همکاری مرکز پژوهش‌های مجلس و پژوهشگاه قوه قضاییه و وزارت ارتباطات، پیش‌نویس اولیه مشترک میان دولت، مجلس و قوه قضاییه تهیه شد تا در قالب لایحه‌ای از سمت دولت به مجلس برود. برای مثال کارشناسی در زمینه جرم انگاری در این لایحه در قوه قضاییه انجام شد و برخی کمیسیون‌های تخصصی و فرعی دولت نیز موارد دیگری را مورد بررسی قرار دادند تا بسیاری از مشکلات افشای اطلاعات در فضای مجازی به صورت قانونی حل شود. با این وجود آنطور که انتظار می‌رفت مسیر تصویب این لایحه پیش نرفت و دولت دوازدهم موفق نشد لایحه را برای ارایه به مجلس به سرانجام برساند. اغلب کشورهای دنیا با در نظر گرفتن ویژگی‌های بومی و فرهنگی خود، به جای اینکه از ابتدا قانونی مانند GDPR بنویسند، قانون اتحادیه اروپا را به قانون داخلی خود تغییر داده و بازنگری کرده‌اند. با توجه به دغدغه‌هایی که در کشور ما در خصوص قانون نویسی در حوزه فضای مجازی و حفظ اطلاعات شخصی کاربران وجود دارد، باید رویه‌ای دنبال شود که در کنار بومی‌سازی قانونی مانند GDPR، به موضوعات فنی داخلی نیز توجه ویژه شده و مشخص شود که تطبیق شرکت‌های داخلی، سایت و اپلیکیشن‌ها با این قانون چگونه انجام خواهد شد. به این معنا که شرکت‌ها برای آماده‌سازی خود با قانون GDPR نیازمند چه فعالیت‌ها و زیرساخت‌هایی هستند و چه اقداماتی را باید انجام بدهند یا اینکه فرآیند قانونی حفاظت از حریم شخصی و حفاظت از داده‌ها برای پلتفرم‌های پر مخاطب چگونه دنبال می‌شود. در کنار این موضوع، بحث تقسیم‌بندی وظایف متولیان امنیت داده در کشور نیز در درجه اهمیت قرار دارد و باید در سطح دستگاه‌های حساس و حیاتی و سایر نهادهای مسوول، مورد توجه قرار گیرد.

    اتمام بازنگری لایحه  حفاظت از اطلاعات تا پایان سال

در این راستا محمد خوانساری در گفت‌وگو با مهر در تشریح برنامه‌های وزارت ارتباطات برای حفظ حریم خصوصی کاربران و صیانت از داده‌های شخصی، با اشاره به لایحه‌ای که در دولت قبل در این خصوص به سرانجام نرسید، اظهار داشت: ما در حال بازبینی لایحه GDPR که در دولت قبل برای «حفظ حریم خصوصی و حفاظت از داده» مطرح شده بود، هستیم. وی با بیان اینکه مجددا این لایحه را فعال خواهیم کرد تا در کمیسیون‌های دولت به تصویب برسد و در نهایت از سوی هیات دولت به مجلس تقدیم شود، گفت: این مهم‌ترین کاری است که باید در حوزه حفاظت از اطلاعات انجام شود و به همین خاطر تاکید ما این است که سریع‌تر به نتیجه برسد. وی در پاسخ به این سوال که آیا این لایحه، برگردانی از قانون GDPR اتحادیه اروپا خواهد بود، گفت: قاعدتاً خیر؛ این لایحه را با شرایطی که در کشور داریم باید تطبیق دهیم و بالطبع، قوانین و مقررات ما در کشور برای حفظ حقوق داده و مردم متفاوت است و هر کشور نیز شرایط خاص خود را دارد. اما به نظر می‌رسد خط مشی یکی است و به همین خاطر می‌توان از راهنمایی‌های این قانون استفاده کرد. رییس سازمان فناوری اطلاعات ایران با اشاره به اینکه نسخه مفصلی از قانون حفاظت از اطلاعات در فضای مجازی از سوی سازمان فناوری اطلاعات آماده شده بود، گفت: در دولت سیزدهم و حسب یافته‌ها و تغییراتی که ایجاد شده، وزیر ارتباطات این مسوولیت را به اینجانب محول کردند که بازبینی این لایحه را به شکل خاص دنبال کنم. وی با تاکید بر اینکه GDPR را به عنوان لایحه‌ای که از سوی دولت باید نهایی شود و سریع‌تر به مجلس ارایه شود در دستور کار قرار داده‌ایم، افزود: پیش بینی ما این است که رویه کارشناسی بازنگری این لایحه، تا قبل سال به پایان برسد و ما از ظرفیت کارگروه ویژه اقتصاد دیجیتال دولت برای تصویب شدن این لایحه نیز استفاده خواهیم کرد. خوانساری با بیان اینکه بازبینی مجدد با هدف ارایه یک لایحه جامع و کامل در حوزه حفاظت از اطلاعات در فضای مجازی مدنظر است، گفت: طبیعتاً ما یک بار می‌توانیم شانس خود را برای ارایه لایحه با این مضمون، به مجلس امتحان کنیم. به همین علت بهتر است که این لایحه کامل باشد و چیزی از قلم نیفتد تا قانونی محکم در حفاظت از حقوق مردم تصویب شود و مردم از ثمرات آن بهره مند شوند. معاون وزیر ارتباطات گفت: در صورت نهایی شدن این لایحه در وزارت ارتباطات، پیش‌نویس آن را منتشر خواهیم کرد، گفت: این حق مردم است که در جریان قرار بگیرند و ما چیز پنهانی نداریم. قصدمان دفاع از حقوق مردم به صورت قانونی است. دولت انرژی زیادی خواهد گذاشت تا این لایحه را به مجلس ببرد. وی در مورد تفاوت این طرح با طرح حمایت از حقوق کاربران فضای مجازی و خدمات پایه کاربردی که هم‌اکنون در مجلس شورای اسلامی در دست بررسی است، گفت: سطوح عملکرد این دو طرح کاملاً متفاوت است. اگرچه قطعاً این طرح‌ها متناقض هم نبوده بلکه مکمل هم خواهند بود. اما در طرح حفاظت از اطلاعات، قوانین مرتبط با انتشار داده‌های شخصی قرار است تصویب شود.