نسخه انگلیسی
دسترسی‌پذیری
اندازه متن
100%

چهار ماده متناقض به جای قانون جامع: دستورالعمل حفاظت از حریم خصوصی  کاربران در سامانه‌ها و سکوهای فضای مجازی

پاسخ سیاست‌گذاران سایبری ایران به هک‌های وسیعی که یکی از پس از دیگری در سال ۱۴۰۲ به وقوع پیوستند و اطلاعات میلیون‌ها کاربر ایرانی را به سرقت بردند

دوم تا هشتم دی ماه، به عنوان هفته حریم خصوصی داده‌ها در جهان گرامی داشته می‌شود. این هفته یادآور امضای «کنوانسیون ۱۰۸» در ۲۸ ژانویه ۱۹۸۱ است؛ اولین معاهده‌ الزام‌آور بین‌المللی‌ که به موضوع حمایت از داده‌های خصوصی افراد پرداخته‌است.

امسال هفته حریم خصوصی داده‌ها در ایران با انتشار دستورالعمل حفاظت از حریم خصوصی کاربران در سامانه‌ها و سکوهای فضای مجازی همزمان شده است؛ سندی که برای اولین بار برخی حقوق مربوط به حفاظت از داده‌های‌ شخصی در فضای مجازی را برای کاربران ایرانی شناسایی کرده است.

تاکنون در ایران سه بار تلاش شده تا قانونی برای موضوع گسترده‌ حفاظت از داده‌های شخصی تدوین شود اما هنوز این تلاش‌ها به نتیجه نرسیده‌اند. بنابراین می‌توان دریافت که چنین دستورالعمل کوتاهی بر پایه کار تحقیقاتی دقیق و همه‌جانبه، چه از نظر حقوقی و چه فنی، صورت نگرفته است و صرفا پاسخی‌ سطحی به هک و نشر متعدد اطلاعات کاربران ایرانی در اینترنت بوده است.

البته در این دستورالعمل نیز ضمانت‌های لازم و کافی برای حفاظت از شهروندان ایرانی در برابر دستگاه‌های امنیتی و قضایی پیش‌بینی نشده‌است. به عنوان مثال در بخش شرایط حذف اطلاعات کاربران، با اتکا به عباراتی مانند «مشروط به عدم مغایرت با قوانین و مقررات کشور و ماموریت‌ها و تکالیف دستگاه‌های اجرایی»، در عمل دست مقامات امنیتی و قضایی را برای دسترسی به داده‌های کاربران باز گذاشته است.

حق فراموشی، درخواستی است که جامعه مدافعان آزادی و حقوق اینترنت از سال‌ها پیش برای به دست آوردن آن فعالیت می‌کردند. به عنوان مثال، کارزاری با همین نام از سال ۱۴۰۰ مشغول فعالیت است.

با وجود آنکه در این دستورالعمل درباره ذخیره داده‌های هویتی به روش رمزنگاری‌شده صحبت شده است، اما مشخص نیست این رمزنگاری با چه استانداردی باید انجام شود. این بند همچنین در تناقض با بند قبلی است. زیرا در صورتی که داده‌های هویتی کاربران با رمزنگاری‌های محکم و یک‌طرفه صورت گرفته باشد، دیگر حتی در صورت درخواست نهادی قانونی و با فرض طی شدن روند شفاف قانونی نیز، این داده‌ها قابل بازیابی نخواهند بود.

عنوان کامل این مقرره «دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی» است که به عنوان بخش اول از «سند سیاست‌ها و الزامات حفاظت از داده‌ها» معرفی شده است. هنوز مشخص نیست که این سیاست‌ها از چند بخش تشکیل شده‌اند و بخش‌های بعدی قرار است به چه موضوعاتی بپردازند.

علی‌رغم وجود تناقضات در محتوای دستورالعمل و باز گذاشتن دست نهاد‌های امنیتی و قضایی برای دسترسی به داده‌های کاربران،  برخی حقوق برای اولین‌بار برای کاربر ایرانی در این سند شناسایی و معرفی شده اند.

اما نباید فراموش کرد اسناد حقوقی حمایت از داده‌های شخصی امروز در جهان از ظرایف حقوقی و فنی بسیاری برخوردار هستند تا موضوعات و پیچیدگی‌های مختلفی را پوشش دهند. این متون مفصل به نحوی تدوین شده‌اند که در مقابل پیشرفت بسیار سریع تکنولوژی اطلاعات و ارتباطات و هوش مصنوعی کارایی خود را از دست ندهند.

برای مثال مقررات حمایت از داده‌های شخصی اتحادیه اروپا GDPR  از  ۹۹ ماده در ۱۱ فصل و ۱۷۳ بیانیه‌ تفسیری تشکیل شده است. بنابراین دستورالعمل‌های چند ماده‌ای نمی‌توانند جایگزین مناسبی برای قانون جامع حمایت از داده‌های شخصی باشند.

در ایران اولین تلاش برای تهیه نسخه پیش‌نویس قانونی برای حمایت از داده‌های شخصی در سال ۱۳۹۷ در زمان وزارت آذری جهرمی صورت گرفت. اما این پیش نویس ۲۹ ماده‌ای به صورت لایحه به مجلس ارایه نشد. . در سال ۱۳۹۹ نیز پیش‌نویس دیگری در قالب طرح توسط نمایندگان به مجلس ارایه  شد که با روی کار آمدن دولت رییسی مسکوت ماند.

لایحه «حفاظت و صیانت از داده‌های شخصی» در حال تدوین در دولت رییسی، سومین تلاش برای تهیه قانونی برای حمایت از داده‌های شخصی ایرانیان است که هنوز پیش‌نویس آن به پایان نرسیده است.

بررسی مفاد دستورالعمل

مخاطب این سند ارایه‌دهندگان خدمات از طریق سامانه‌ها و سکوهای فضای مجازی (پلتفرم‌ها)هستند. که هم شامل شرکت‌ها و اشخاص خصوصی می‌شود و هم دستگاه‌هایی که از طریق سامانه‌های مبتنی بر فضای مجازی خدمات عمومی ارایه می‌دهند.

اگر راهکارها و الزامات ذکر شده در دستورالعمل  «حفظ حریم خصوصی مرتبط با جمع‌آوری، پردازش و نگهداری داده‌های کاربران»  را بر اساس استانداردهای حقوق حمایت از داده‌های شخصی  طبقه‌بندی کنیم چنین فهرستی حاصل می‌شود:

۱. مفاد مربوط به اصل شفافیت و کسب رضایت

  • کاربران باید به نحوه‌ جمع‌آوری اطلاعات آگاهی داشته باشند و به آن رضایت دهند
  • کاربران باید بدانند اطلاعات به روش ارایه مستقیم از سوی کاربر جمع‌آوری می‌شود یا با استفاده از دستگاه‌ها و سیستم‌ها
  • کاربران باید بدانند هر داده برای چه هدفی جمع‌آوری می‌شود و نسبت به آن جمع‌آوری رضایت دهند
  • کاربران باید بدانند برای هر هدف کدام داده ضروری است و کدام اختیاری؛ و بتوانند از ارایه‌ اطلاعات اختیاری خودداری کنند
  • استفاده‌ جدید از داده‌ها نیاز به  کسب رضایت مجدد از کاربر دارد

۲. اصل ضرورت و به حداقل رسانی

  • داده‌ها باید در حدی که  برای انجام تکالیف قانونی یا ادامه کسب و کار لازم است جمع‌آوری، پردازش و نگهداری شوند. این دو مورد نیز باید متناسب با همان هدف مشخصی باشند که به کاربر اطلاع‌داده‌شده و رضایت  او  کسب شده‌است.

۳. حفاظت از محرمانگی

  • داده‌هایی که از طریق آن‌ها می‌توان به هویت افراد پی برد، باید به صورت رمزنگاری شده ذخیره شوند.

۴. حق بر فراموشی

  • کاربران می‌توانند درخواست پاک شدن داده‌هایشان را داشته باشند
  • درخواست پاک شدن باید بلافاصله اجرا شود
  • این درخواست می‌تواند شامل حذف حساب کاربری و تمام یا بخشی از دادهای مربوط به فعالیت‌های آن‌ها در سامانه یا پلتفرم باشد
  • داده‌های ترافیک و داده‌های کاربران در راستای اجرای ماده ۶۶۷  قانون آیین دادرسی کیفری، بعد از حذف از سامانه و پلتفرم، برای نگهداری به پایگاه‌های داده پشتیبانی که آنلاین نیستند و از شبکه‌های ارتباطی عمومی نیز جدا هستند، منتقل می‌شوند  و بعد از ۶ ماه از آنجا نیز باید پاک شوند.

۵. ضمانت اجرا

  • در صورت عدم رعایت مواد این دستورالعمل، مجوزهای ارایه‌دهندگان خدمات و پلتفرم‌ها تمدید نمی‌شود
  • اگر در نتیجه عدم رعایت موارد بالا حریم خصوصی افراد نقض شد، مسوولیت حقوقی و کیفری آن بر عهده دستگاه‌ها و پلتفرم‌هاست.

مهلت‌هایی که برای اجرای مفاد دستورالعمل  تعیین شدند، عبارتند از:

  • مهلت دو ماهه: برای اجرای مقررات دستورالعمل برای جمع‌آوری داده‌های جدید
  • مهلت سه‌ماهه: برای اجرای موارد مربوط به اجرای شفافیت، کسب رضایت کاربر حداقل‌رسانی برای داده‌هایی که پیش از تصویب این دستورالعمل جمع‌آوری، ذخیره و پردازش شده‌اند
  • مهلت یک‌ماهه: جهت استفاده از قابلیت احراز هویت سازمان ثبت احوال برای جلوگیری از چندباره کاری در جمع‌آوری اطلاعات هویتی. به نظر می‌رسد این مهلت بعد از فراهم شدن ساز و کار لازم توسط ثبت احوال، بر اساس «نظام هویت معتبر در فضای مجازی کشور»، اعمال خواهد شد.

رابطه دستورالعمل با اجرای چراغ خاموش طرح صیانت

در اسفند ۱۴۰۰ آخرین نسخه طرح صیانت منتشر شد، این نسخه نیز با واکنش و مخالفت وسیع کاربران و فعالان کسب و کارهای مجازی روبرو شد. بعد از آن بود که به جای مجلس، اجرای تمام و کمال طرح دور از غوغا در مرجع دیگری دنبال شد. آن مرجع دیگر جایی نبود جز شورای عالی فضای مجازی. 

این نهاد در سال ۱۳۹۰ به دستور رهبر ایران تشکیل شد و  اعضای آن نیز توسط رهبر منصوب می‌شوند، یا تغییر می‌کنند. از سال ۱۳۹۰، شورای عالی فضای مجازی بالاترین مقام تصمیم‌گیرنده در مورد سیاست‌های سایبری ایران بود. اما به تدریج مشخص شد که شورای عالی فضای مجازی برای خود اختیاراتی فراتر از سیاست‌گذاری قایل است و به سمت قانونگذاری حرکت می‌کند.

به موجب قانون اساسی قانون‌گذاری باید در اختیار مجلس باشد. این قدرت نیز ناشی از آن است که تنها نمایندگان منتخب مردم می‌توانند دست به تدوین قانون بزنند. اما در عمل دیده می‌شود که مصوبات نهادهای غیرانتخابی متعددی حکم قانون را پیدا کرده‌اند؛ نهادهایی مانند شورای عالی انقلاب فرهنگی، مجمع تشخیص مصلحت نظام، شورای عالی امنیت ملی و شورای عالی فضای مجازی. 

یکی از نکات جنجالی طرح صیانت که مخالفت بسیاری را به دنبال داشت، این موضوع بود که مجلس در این طرح به صورت صریح و روشن حق قانونگذاری خود در فضای مجازی را به شورای عالی فضای مجازی واگذار می‌کرد.

در بند «خ» ماده یک آخرین نسخه طرح صیانت که در اسفند ۱۴۰۰ منتشر شد، علاوه بر نقش سیاستگذاری و نظارت، تصویب مقررات و آیین‌نامه‌های مربوط به فضای مجازی به صورت کامل به یکی از زیر مجموعه‌های شورای عالی فضای مجازی یعنی  «کمیسیون عالی تنظیم مقررات فضای مجازی» (که از این به بعد در این متن کمیسیون عالی نامیده می‌شود) اعطا شده بود.

هر چند که بعد از اسفند ۱۴۰۰ دیگر طرح صیانت در مجلس دنبال نشد، اما عملیاتی کردن برنامه‌های طرح صیانت در شورای عالی فضای مجازی دنبال شد. در همین راستا با به روز کردن وظایف و اختیارات کمیسیون عالی در اردیبهشت ۱۴۰۱ اختیارات این کمیسیون از  سیاستگذاری‌های کلان فراتر رفت و به قانونگذاری نزدیک شد. 

به نحوی که کمیسیون عالی، مسوول تصویب دستورالعمل و ضوابط و الزامات اجرایی،  فنی و نظارتی فضای مجازی  شد. به این ترتیب نهادی که از این به بعد در مورد جمع‌آوری و پردازش داده و حفظ حریم خصوصی کاربران در پلتفرم‌ها، امنیت سایبری، نرخ‌گذاری برای خدمات فضای مجازی و محتوای فضای مجازی تصمیم‌گیری و مقررات‌گذاری می‌کند، این کمیسیون عالی است. مصوبه‌هایی که ماهیت قانونگذاری دارند، اما بیرون از مجلس تصویب می‌شوند.

برچسب‌ها
نسخه انگلیسی
اندازه نوشته‌ها
100%