دوم تا هشتم دی ماه، به عنوان هفته حریم خصوصی دادهها در جهان گرامی داشته میشود. این هفته یادآور امضای «کنوانسیون ۱۰۸» در ۲۸ ژانویه ۱۹۸۱ است؛ اولین معاهده الزامآور بینالمللی که به موضوع حمایت از دادههای خصوصی افراد پرداختهاست.
امسال هفته حریم خصوصی دادهها در ایران با انتشار دستورالعمل حفاظت از حریم خصوصی کاربران در سامانهها و سکوهای فضای مجازی همزمان شده است؛ سندی که برای اولین بار برخی حقوق مربوط به حفاظت از دادههای شخصی در فضای مجازی را برای کاربران ایرانی شناسایی کرده است.
تاکنون در ایران سه بار تلاش شده تا قانونی برای موضوع گسترده حفاظت از دادههای شخصی تدوین شود اما هنوز این تلاشها به نتیجه نرسیدهاند. بنابراین میتوان دریافت که چنین دستورالعمل کوتاهی بر پایه کار تحقیقاتی دقیق و همهجانبه، چه از نظر حقوقی و چه فنی، صورت نگرفته است و صرفا پاسخی سطحی به هک و نشر متعدد اطلاعات کاربران ایرانی در اینترنت بوده است.
البته در این دستورالعمل نیز ضمانتهای لازم و کافی برای حفاظت از شهروندان ایرانی در برابر دستگاههای امنیتی و قضایی پیشبینی نشدهاست. به عنوان مثال در بخش شرایط حذف اطلاعات کاربران، با اتکا به عباراتی مانند «مشروط به عدم مغایرت با قوانین و مقررات کشور و ماموریتها و تکالیف دستگاههای اجرایی»، در عمل دست مقامات امنیتی و قضایی را برای دسترسی به دادههای کاربران باز گذاشته است.
حق فراموشی، درخواستی است که جامعه مدافعان آزادی و حقوق اینترنت از سالها پیش برای به دست آوردن آن فعالیت میکردند. به عنوان مثال، کارزاری با همین نام از سال ۱۴۰۰ مشغول فعالیت است.
با وجود آنکه در این دستورالعمل درباره ذخیره دادههای هویتی به روش رمزنگاریشده صحبت شده است، اما مشخص نیست این رمزنگاری با چه استانداردی باید انجام شود. این بند همچنین در تناقض با بند قبلی است. زیرا در صورتی که دادههای هویتی کاربران با رمزنگاریهای محکم و یکطرفه صورت گرفته باشد، دیگر حتی در صورت درخواست نهادی قانونی و با فرض طی شدن روند شفاف قانونی نیز، این دادهها قابل بازیابی نخواهند بود.
عنوان کامل این مقرره «دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمعآوری، پردازش و نگهداری اطلاعات کاربران در سامانهها و سکوهای فضای مجازی» است که به عنوان بخش اول از «سند سیاستها و الزامات حفاظت از دادهها» معرفی شده است. هنوز مشخص نیست که این سیاستها از چند بخش تشکیل شدهاند و بخشهای بعدی قرار است به چه موضوعاتی بپردازند.
علیرغم وجود تناقضات در محتوای دستورالعمل و باز گذاشتن دست نهادهای امنیتی و قضایی برای دسترسی به دادههای کاربران، برخی حقوق برای اولینبار برای کاربر ایرانی در این سند شناسایی و معرفی شده اند.
اما نباید فراموش کرد اسناد حقوقی حمایت از دادههای شخصی امروز در جهان از ظرایف حقوقی و فنی بسیاری برخوردار هستند تا موضوعات و پیچیدگیهای مختلفی را پوشش دهند. این متون مفصل به نحوی تدوین شدهاند که در مقابل پیشرفت بسیار سریع تکنولوژی اطلاعات و ارتباطات و هوش مصنوعی کارایی خود را از دست ندهند.
برای مثال مقررات حمایت از دادههای شخصی اتحادیه اروپا GDPR از ۹۹ ماده در ۱۱ فصل و ۱۷۳ بیانیه تفسیری تشکیل شده است. بنابراین دستورالعملهای چند مادهای نمیتوانند جایگزین مناسبی برای قانون جامع حمایت از دادههای شخصی باشند.
در ایران اولین تلاش برای تهیه نسخه پیشنویس قانونی برای حمایت از دادههای شخصی در سال ۱۳۹۷ در زمان وزارت آذری جهرمی صورت گرفت. اما این پیش نویس ۲۹ مادهای به صورت لایحه به مجلس ارایه نشد. . در سال ۱۳۹۹ نیز پیشنویس دیگری در قالب طرح توسط نمایندگان به مجلس ارایه شد که با روی کار آمدن دولت رییسی مسکوت ماند.
لایحه «حفاظت و صیانت از دادههای شخصی» در حال تدوین در دولت رییسی، سومین تلاش برای تهیه قانونی برای حمایت از دادههای شخصی ایرانیان است که هنوز پیشنویس آن به پایان نرسیده است.
بررسی مفاد دستورالعمل
مخاطب این سند ارایهدهندگان خدمات از طریق سامانهها و سکوهای فضای مجازی (پلتفرمها)هستند. که هم شامل شرکتها و اشخاص خصوصی میشود و هم دستگاههایی که از طریق سامانههای مبتنی بر فضای مجازی خدمات عمومی ارایه میدهند.
اگر راهکارها و الزامات ذکر شده در دستورالعمل «حفظ حریم خصوصی مرتبط با جمعآوری، پردازش و نگهداری دادههای کاربران» را بر اساس استانداردهای حقوق حمایت از دادههای شخصی طبقهبندی کنیم چنین فهرستی حاصل میشود:
۱. مفاد مربوط به اصل شفافیت و کسب رضایت
- کاربران باید به نحوه جمعآوری اطلاعات آگاهی داشته باشند و به آن رضایت دهند
- کاربران باید بدانند اطلاعات به روش ارایه مستقیم از سوی کاربر جمعآوری میشود یا با استفاده از دستگاهها و سیستمها
- کاربران باید بدانند هر داده برای چه هدفی جمعآوری میشود و نسبت به آن جمعآوری رضایت دهند
- کاربران باید بدانند برای هر هدف کدام داده ضروری است و کدام اختیاری؛ و بتوانند از ارایه اطلاعات اختیاری خودداری کنند
- استفاده جدید از دادهها نیاز به کسب رضایت مجدد از کاربر دارد
۲. اصل ضرورت و به حداقل رسانی
- دادهها باید در حدی که برای انجام تکالیف قانونی یا ادامه کسب و کار لازم است جمعآوری، پردازش و نگهداری شوند. این دو مورد نیز باید متناسب با همان هدف مشخصی باشند که به کاربر اطلاعدادهشده و رضایت او کسب شدهاست.
۳. حفاظت از محرمانگی
- دادههایی که از طریق آنها میتوان به هویت افراد پی برد، باید به صورت رمزنگاری شده ذخیره شوند.
۴. حق بر فراموشی
- کاربران میتوانند درخواست پاک شدن دادههایشان را داشته باشند
- درخواست پاک شدن باید بلافاصله اجرا شود
- این درخواست میتواند شامل حذف حساب کاربری و تمام یا بخشی از دادهای مربوط به فعالیتهای آنها در سامانه یا پلتفرم باشد
- دادههای ترافیک و دادههای کاربران در راستای اجرای ماده ۶۶۷ قانون آیین دادرسی کیفری، بعد از حذف از سامانه و پلتفرم، برای نگهداری به پایگاههای داده پشتیبانی که آنلاین نیستند و از شبکههای ارتباطی عمومی نیز جدا هستند، منتقل میشوند و بعد از ۶ ماه از آنجا نیز باید پاک شوند.
۵. ضمانت اجرا
- در صورت عدم رعایت مواد این دستورالعمل، مجوزهای ارایهدهندگان خدمات و پلتفرمها تمدید نمیشود
- اگر در نتیجه عدم رعایت موارد بالا حریم خصوصی افراد نقض شد، مسوولیت حقوقی و کیفری آن بر عهده دستگاهها و پلتفرمهاست.
مهلتهایی که برای اجرای مفاد دستورالعمل تعیین شدند، عبارتند از:
- مهلت دو ماهه: برای اجرای مقررات دستورالعمل برای جمعآوری دادههای جدید
- مهلت سهماهه: برای اجرای موارد مربوط به اجرای شفافیت، کسب رضایت کاربر حداقلرسانی برای دادههایی که پیش از تصویب این دستورالعمل جمعآوری، ذخیره و پردازش شدهاند
- مهلت یکماهه: جهت استفاده از قابلیت احراز هویت سازمان ثبت احوال برای جلوگیری از چندباره کاری در جمعآوری اطلاعات هویتی. به نظر میرسد این مهلت بعد از فراهم شدن ساز و کار لازم توسط ثبت احوال، بر اساس «نظام هویت معتبر در فضای مجازی کشور»، اعمال خواهد شد.
رابطه دستورالعمل با اجرای چراغ خاموش طرح صیانت
در اسفند ۱۴۰۰ آخرین نسخه طرح صیانت منتشر شد، این نسخه نیز با واکنش و مخالفت وسیع کاربران و فعالان کسب و کارهای مجازی روبرو شد. بعد از آن بود که به جای مجلس، اجرای تمام و کمال طرح دور از غوغا در مرجع دیگری دنبال شد. آن مرجع دیگر جایی نبود جز شورای عالی فضای مجازی.
این نهاد در سال ۱۳۹۰ به دستور رهبر ایران تشکیل شد و اعضای آن نیز توسط رهبر منصوب میشوند، یا تغییر میکنند. از سال ۱۳۹۰، شورای عالی فضای مجازی بالاترین مقام تصمیمگیرنده در مورد سیاستهای سایبری ایران بود. اما به تدریج مشخص شد که شورای عالی فضای مجازی برای خود اختیاراتی فراتر از سیاستگذاری قایل است و به سمت قانونگذاری حرکت میکند.
به موجب قانون اساسی قانونگذاری باید در اختیار مجلس باشد. این قدرت نیز ناشی از آن است که تنها نمایندگان منتخب مردم میتوانند دست به تدوین قانون بزنند. اما در عمل دیده میشود که مصوبات نهادهای غیرانتخابی متعددی حکم قانون را پیدا کردهاند؛ نهادهایی مانند شورای عالی انقلاب فرهنگی، مجمع تشخیص مصلحت نظام، شورای عالی امنیت ملی و شورای عالی فضای مجازی.
یکی از نکات جنجالی طرح صیانت که مخالفت بسیاری را به دنبال داشت، این موضوع بود که مجلس در این طرح به صورت صریح و روشن حق قانونگذاری خود در فضای مجازی را به شورای عالی فضای مجازی واگذار میکرد.
در بند «خ» ماده یک آخرین نسخه طرح صیانت که در اسفند ۱۴۰۰ منتشر شد، علاوه بر نقش سیاستگذاری و نظارت، تصویب مقررات و آییننامههای مربوط به فضای مجازی به صورت کامل به یکی از زیر مجموعههای شورای عالی فضای مجازی یعنی «کمیسیون عالی تنظیم مقررات فضای مجازی» (که از این به بعد در این متن کمیسیون عالی نامیده میشود) اعطا شده بود.
هر چند که بعد از اسفند ۱۴۰۰ دیگر طرح صیانت در مجلس دنبال نشد، اما عملیاتی کردن برنامههای طرح صیانت در شورای عالی فضای مجازی دنبال شد. در همین راستا با به روز کردن وظایف و اختیارات کمیسیون عالی در اردیبهشت ۱۴۰۱ اختیارات این کمیسیون از سیاستگذاریهای کلان فراتر رفت و به قانونگذاری نزدیک شد.
به نحوی که کمیسیون عالی، مسوول تصویب دستورالعمل و ضوابط و الزامات اجرایی، فنی و نظارتی فضای مجازی شد. به این ترتیب نهادی که از این به بعد در مورد جمعآوری و پردازش داده و حفظ حریم خصوصی کاربران در پلتفرمها، امنیت سایبری، نرخگذاری برای خدمات فضای مجازی و محتوای فضای مجازی تصمیمگیری و مقرراتگذاری میکند، این کمیسیون عالی است. مصوبههایی که ماهیت قانونگذاری دارند، اما بیرون از مجلس تصویب میشوند.