یادداشت پیش رو خلاصهای از روند شکلگیری این لایحه و برخی انتقادات وارد بر آن را بررسی میکند.
داستان ازآنجا شروع شد که مقام معظم رهبری در سخنرانی ۲۰ فروردینماه ۱۳۹۷ تعرض به امنیت و حریم داخلی مردم را «حرام شرعی» اعلام کردند. پس از وقایع دیماه ۱۳۹۶ و فیلترینگ تلگرام برای مدتی بازار پیامرسانهای داخلی داغ شده بود؛ اما آنچه برخی را دچار شک و تردید کرده بود، امنیت پیامرسانهای داخلی و خدشهدار شدن حریم خصوصی بود.
درواقع رهبر معظم انقلاب در آن سخنرانی ضمن ابراز خرسندی از مطالبه عمومی برای رونق پیامرسانها و شبکههای اجتماعی داخلی، به یکی از مهمترین چالشهای افکار عمومی پاسخ گفته و جریان توجه به حفاظت از داده را کلید زدند.
با توجه به وابستگیهای اجتماعی به تلگرام، شانه خالی کردن از زیر بار مسئولیت فیلترینگ تلگرام بهترین راه فرار از پاسخگویی به افکار عمومی بود؛ لذا برخی مخالفتها و مسئولیت نپذیرفتنها نسبت به فیلترینگ تلگرام و همچنین طعنه به پیامرسانهای داخلی از جانب عدم آمادگی زیرساختی -اعم از فنی و غیر فنی- موضعی بود که میان برخی مسئولین باب شده بود و البته از جانب مردم نیز نسبت به آن موضع پذیرش وجود داشت! ایجاد شک و شبهه راجع به حفاظت از داده در پیامرسانهای داخلی نیز ازجمله آن موضعگیریهایی بود که برخی برای تضعیف پیامرسانهای داخلی در آن برهه از زمان اتخاذ کردند.
پسازآن وقایع، حفاظت از حریم خصوصی کاربران در دستور کار وزارت ارتباطات قرار گرفت و در تدارک لایحهای برای حفاظت از دادهها در کشور برآمد. این خبر در خردادماه 1397 توسط وزیر ارتباطات و در حاشیه تبریک ایشان به مناسبت اجرای قانون GDPR در اروپا رسانهای شد.
قانون GDPR یا قانون عمومی حفاظت از داده اروپا، در سال ۲۰۱۶ وضعشده و از ماه می سال ۲۰۱۸ به اجرا درآمده است. این قانون در ۱۱ فصل بهصورت مفصل به چگونگی حفاظت از دادههای کاربران پرداخته و هرگونه ذخیرهسازی، پردازش و بهرهبرداری از دادهها را منوط به اجازه قانونی کرده است. اگرچه دیگر کشورهایی همچون چین و روسیه نیز قوانینی در این زمینه وضع کردهاند اما ابراز خوشحالی وزیر ارتباطات از GDPR و استقبال از مذاکره و همکاریهای دوجانبه با اروپا نشان از تأثیر و تأثرات این قانون بر لایحه صیانت از داده کشور دارد؛ که البته تا آن موقع هنوز به نگارش درنیامده بود.
او سرانجام پس از مدتی کوتاه، در مرداد ۱۳۹۷، ضمن سخنرانی خود در نمایشگاه الکامپ از لایحه صیانت و حفاظت از دادههای شخصی کاربران رونمایی کرد و آن را مبتنی بر حکم شرعی مقام معظم رهبری دانست.
آنچه از صحبتهای وزیر و دغدغه او برای تدوین چنین لایحهای برمیآید، حفاظت از دادههای مردم، یا به عبارتی ذیل همان حقوق شهروندی بوده است! درواقع این قانون تلاش میکند که دادههای کاربران را در برابر گردآوری، ذخیره سازی، پردازش و بهرهبرداریهای غیرقانونی حفظ نماید از حیثیت و کرامت اشخاص موضوع دادهها صیانت نماید.
مواضع وزیر ارتباطات و همچنین عنوان و متن لایحه پیشنهادی نشاندهنده آن است که این لایحه فقط به دنبال صیانت از حقوق شهروندی و جلوگیری از خدشهدار شدن حریم خصوصی کاربران از طریق حفاظت از دادههای شخصی آنها است، نه حفاظت و صیانت از خود دادهها! چراکه حفاظت از دادهها همچون سکه دو رو دارد! یک روی آن حفظ حریم خصوصی کاربران و تضمین حقوق شهروندی؛ و روی دیگر آن، صیانت از سرمایه گرانبهای کشور یعنی کلاندادهها و حفاظت از حقوق و منابع ملی در برابر شرکتها و کشورهای استثمارگر است.
نمیتوان اهمیت حفاظت از کلان دادهها و جلوگیری از به غارت بردن آن منابعی که امروزه سرمایه ارزشمندی برای کشور محسوب میشوند را کمتر از حفظ حریم خصوصی کاربران و احقاق حقوق شهروندی دانست؛ لذا انتظار میرود که این لایحه نهفقط به مسئله حریم خصوصی، بلکه باید بهصورت جامع به بررسی دادهها و کلاندادهها بپردازد و علاوه بر ایجاد سدی محکم در برابر دستاندازیها به حریم خصوصی و دادههای شخصی کاربران، صیانت از آن منابع ملی برای بهرهبرداری حداکثری و تولید ارزش در درون کشور را نیز در دستور کار خود بگذارد. اگرچه مقام معظم رهبری بنا به مصالح آن زمان، بحث حریم خصوصی را مطرح نمودهاند، اما این بدان معنا نیست که دیگر ابعاد را مغفول گذارد.
البته این لایحه در مورد حقوق شهروندی نیز بهصورت کامل استیفا کننده حقوق کاربران ایرانی نیست. درحالیکه بسیاری از دستاندازیها به حریم خصوصی کاربران ایرانی توسط شرکتها و پلتفرمهای خارجی بوده است، در این لایحه هیچ سازوکار مشخصی برای نحوه تعامل با پلتفرمهای خارجی و احقاق حقوق کاربران ایرانی در موارد احتمالی افشاء یا تعرض به حریم خصوصی آنان بیاننشده است.
با توجه به قانون GDPR و ادبیات مربوط به حفاظت از داده کاربران، به نظر میرسد این حفاظت در 4 حوزه و مرحله بایستی انجام بگیرد: 1-گردآوری دادهها 2-ذخیرهسازی دادهها 3-پردازش دادهها 4-استفاده از دادهها. آنچه بیش از همه در این لایحه به آن پرداخته شده است، بحث پردازش دادهها است و دیگر بخشها به نسبت مغفول واقع گردیدهاند؛ درحالیکه تمامی این بخشها لازمه حفاظت همهجانبه و جامع از حریم خصوصی کاربران و همچنین جلوگیری از خروج کلان دادهها از کشور است.
در ادبیات جهانی حفاظت از داده، مسئله مکان ذخیرهسازی دادهها از طریق مباحثی همچون محلی سازی دادهها (data localization) و اقامت دادهها (data residency) پیگیری شده است. تعیین تکلیف محل ذخیرهسازی دادههای کاربران داخلی و الزام پلتفرمها و کسبوکارهای داخلی و خارجی برای نگهداری و پردازش دادههای ملی درون هر کشور مسئله اصلی موردتوجه در این ادبیات است که متأسفانه در لایحه پیشنهادی به آن توجه نشده است. چگونگی نسبت پلتفرمهای خارجی با دادههای کاربران ایرانی مسئلهای است که این لایحه حتی برای احقاق حقوق شهروندی نیز باید برای آن پاسخی داشته باشد. اگرچه مواد ۳۷ و ۳۸ نکاتی در این زمینه بیان کردهاند اما به نظر میرسد که پاسخگوی نیاز جمهوری اسلامی در این زمینه نیست.
علیرغم دستهبندی نسبتاً خوب بیانشده در لایحه که از قانون اروپا اقتباسشده، در بسیاری از موارد بهکلی گویی بسنده کرده و به جزئیات و اجرائیات نپرداخته است. بهعنوانمثال در بحث پردازش دادهها، مواردی را مشخص کرده است که پردازش بدون اجازه و رضایت کاربر نیز ممکن است (ماده ۱۲) اما مرجع تشخیصدهنده و سازوکار آن را مشخص نکرده است؛ این باعث خواهد شد که حریم خصوصی امری سلیقهای شود و هرکس بنا به تشخیص خود آن را نقض نماید.
پردازش دادههای عمومی که بهصورت رایگان در اختیار هستند (دادههای باز یا open data) یا کلاندادهها و استفاده و کسب درآمد از آنها توسط کسبوکارها دیگر موضوعی است که باید به آن توجه شود. با توجه به محوریت منافع اقتصادی در بخش خصوصی، کسبوکارها با چه شرایطی مجازند دادههای عمومی و کلاندادههای موجود را پردازش کرده و از آن کسب درآمد کنند؟ استفاده دولت از کلان دادههای ملی به چه صورت است؟ کسبوکارها چگونه میتوانند از منابع اطلاعاتی دولتی استفاده نمایند؟ و... اینها بخشی از سؤالاتی است که در این زمینه مطرح است.
نکته بعدی این است که، کسبوکارها بخش عمدهای از مخاطبان لایحه را تشکیل میدهند، اما بهصورت مشخص به آنها اشاره نشده است. بحث مالکیت دادههای کسبوکارها (استارتاپها)، مکان قرارگیری سرورهای آنها، پردازشهای مجاز برای آنها و نسبت این امور با مجوزهای دریافتی آنان مسئلهای است که یا باید بهصورت صریح به آن اشاره گردد و یا اینکه رگولاتوری برای آن تدارک دیده شود.
باتوجه به نقش محوری بازیگران خصوصی در تنظیممقررات، نادیده انگاری جایگاه نمایندگان آنها (بخش خصوصی) در فرایند حکمرانی داده نیز دیگر مسئلهای است که تبعیت از قانون را با مقاومت روبهرو خواهد ساخت. بهطورکلی بهرهگیری از روشها و تسهیلات مختلف برای ایجاد تبعیت و اشاعه قانون امری است که بیش از اینها باید موردتوجه قرار گیرد.
نکته دیگری که باید به آن اشاره کرد، اجرائی و عملیاتی نبودن لایحه است. علیرغم آنکه انتظار میرود در لایحه قانونی نحوه اجرائی سازی مصوبات نیز پشتوانه قانونی خود را ایجاد کند، این لایحه بهجز ضمانتهای تنبیهی ذکرشده، ایجاد کمیسیون (دخالت نهادی) و تعریف دو نقش مبهم کنترلگر و پردازشگر قدم دیگری برای تعریف سازوکار عملیاتی سازی و اجرای قانون برنداشته است. نیاز است در این لایحه علاوه بر اندیشیدن تمهیدات لازم برای سازوکارهای اجرایی سازی، در نقش کنترلگر و پردازشگر نیز بازنگری شده و بهصورت دقیق وظایف، صلاحیتها، اعتبار قانونی، شخصیت حقیقی و حقوقی آنها، نحوه دسترسی به آنها و ... مشخص شود. این درحالی است که قانون GDPR برای اجرایی سازی متوسل به ابزار چکلیست شده و مراحل اجرایی را یکبهیک مدون کرده است.
بهعلاوه، دولتی بودن اکثریت اعضاء کمیسیون، بهعنوان اصلیترین سازوکار اجرای این لایحه(ماده 40)، باعث میشود که ازنظر نهادی، عملاً هرچه دولت بخواهد همان مصوب گردد؛ درصورتیکه مثلاً برای نظارت و مجازات، پررنگتر بودن نقش قوه قضائیه و صائب بودن نظر آن باید خودش را در مناسبات نهادی نیز نشان دهد، که متأسفانه به این امر نیز توجهی نشده است.
یکی از زمینههای بسیار مهم برای اجرایی سازی این قانون تقسیمکار نهادی ملی برای حفاظت از داده است. آنچنانکه در مصوبه «نظام ملی پیشگیری و مقابله با حوادث فضای مجازی» نیز ذکرشده است، نهادهایی مانند نیروی انتظامی، وزارت ارتباطات و... در این امر نقش ایفا میکنند؛ لذا این لایحه باید همراستا با مصوبه ذکرشده و دیگر سیاستهای این حوزه نقش تمامی نهادها را بهصورت شفاف مشخص کند. ارتباط وثیق مرزبانی دیجیتال با حفاظت از داده نیز ما را بر آن میدارد که وظایف دقیق بازیگران مختلف اعم از نظامی، حاکمیتی و دولتی را مشخص نماییم.
فرای این موارد، مباحث حکمرانی اطلاعات دید جامعتری نسب به چگونگی حفاظت از دادهها و اطلاعات دارد که در این مجال فرصت پرداختن به آن نیست؛ اما ذکر این نکته قابلتوجه است که علیرغم وجود مواد ۲۸ و ۲۹ (که البته آنهم مربوط به مرحله پردازش است) نگاه تا حدودی یکبعدی به حکمرانی داده باعث شده است که به مواردی همچون الزامات و پروتکلهای حفاظت از داده برای تولیدکنندگان و واردکنندگان سختافزار و نرمافزار، زیرساختهای مورد نیاز از قبیل مراکز داده و رایانش ابری برای میزبانی داخلی و همچنین قواعد حاکم بر فعالیت پلتفرمهای مختلف در کشور و... کمتر توجه شود.
باید تأکید کرد که اموری مانند ظرفیت زیرساخت داخلی برای نگهداری، پردازش و بهرهبرداری از دادهها ملزوماتیاند که بهعنوان مقدمهای واجب برای تحقق بایدها درزمینه حکمرانی داده و اطلاعات بهحساب آمده و عملاً حفاظت از داده بدون آنها بیمعنی است؛ که البته آنهم سیاستهای حمایتی برای صنایع تولیدکننده و... را میطلبد.
در کل شباهتهای بسیاری را میتوان میان این لایحه و قانون حفاظت از داده اروپا یافت؛ اما ازنظر اتقان و اجرایی بودن، به نسبت آن قانون، ضعفهای بسیاری متوجه لایحه فوق است که باید با کمک یکدیگر برای اصلاح هرچه بهتر آن و اعتلاء خطمشیهای فضای مجازی جمهوری اسلامی ایران کوشید.
لینک مطلب: | http://qomefarda.ir/News/item/18379 |