امنیت داده‌ها؛ حفظ حریم خصوصی

مریم لطفی: بیش از  18 سال است که ماجرای حفاظت از داده‌ها و اطلاعات شخصی از سوی دولتمردان مطرح شده است؛ اما این موضوع به سیاق خیلی از طرح‌ها و لوایح دیگر، از دولتی به دولت دیگر و از مجلسی به مجلس دیگر به ارث رسیده است و در نهایت بعد از گذشت بیش از یک دهه به سراشیبی تعیین تکلیف نزدیک شده است. ابتدا لایحه «حریم خصوصی» معرفی شد و بعد از کش‌وقوس‌های بسیار و رفت‌وآمدهای فراوان، امروز صحبت از لایحه «حمایت و حفاظت از داده‌های شخصی» مطرح است. موضوع حفاظت از داده‌ها بعد از اعتراضات سال گذشته و اصرار دولت به کوچ مردم به شبکه‌های اجتماعی داخلی قوت بیشتری گرفت و آن‌طور که معاون وزیر ارتباطات گفته است، این لایحه اکنون در انتظار تصویب هیئت دولت است.

آن‌طور که رضا باقری‌اصل، معاون وزیر ارتباطات در امور مجلس، گفته است، لایحه «حمایت و حفاظت از داده‌های شخصی» به دنبال نظام‌مندکردن داده‌ها، حفظ حریم خصوصی کاربران و حفاظت از داده‌ها در سکوهای اینترنتی است و البته به نفع حمایت بیشتر از مردم و کسب‌وکارهای این حوزه تدوین و تکمیل شده است.

محمد خوانساری، رئیس سازمان فناوری اطلاعات هم گفته بود اگر استارت‌آپ‌ها قصد دارند کار خود را به شکل درستی انجام دهند و رشد متوازنی داشته باشند، باید از داده‌های مردم حفاظت کنند؛ «مثال ساده در این بخش، این است که کاربران دوست ندارند زمانی که با شماره خود در سایتی ثبت‌نام می‌کنند، آن شماره در اختیار شرکت‌های تبلیغاتی قرار گیرد. تکلیف داده در این مقوله مشخص نیست؛ زیرا قوانین فعلی ما به دلیل بازخوانی‌های متفاوت از قوانین نمی‌تواند به شکل شفاف عمل کند؛ بنابراین یکی از مواردی که در بخش حقوقی مربوط به شرکت‌های استارت‌آپی پیگیری می‌کنیم، این است که بتوانیم در سال جاری لایحه حفاظت از داده‌های شخصی را از طریق دولت به مجلس تقدیم کنیم».

بر اساس پیش‌نویس این لایحه، داده شخصی داده‌ای است که به وسیله آن، به‌تنهایی یا به همراه داده‌های دیگر بتوان شخصِ موضوع آن را شناسایی کرد.

ماده سه لایحه «حمایت و حفاظت از داده‌های شخصی» تأکید می‌کند که ایجاد، پردازش و استفاده از داده‌های شخصی باید مبتنی بر رضایت صریح یا ضمنی اشخاص موضوع آن باشد. مگر به حکم قانون. اعلام رضایت حاصل از فریب یا تهدید یا اکراه معتبر نیست. کنترلگر باید پیش از ایجاد، پردازش یا استفاده از این داده‌ها، هدف معین و قانونی خود از این امور و همچنین حسب مورد عواقب ارائه‌ندادن این داده‌ها را به نحو صریح اعلام کند.

به‌طور کلی این لایحه بر متضررنشدن فردی که داده‌های شخصی او پردازش یا استفاده می‌شود، تأکید دارد. مثلا در ماده پنج این لایحه آمده است: «پردازش داده‌های شخصی اشخاص حقوقی نباید موجب نقض حقوق و آزادی‌های مشروع، افشای داده‌های شخصی یا سلب امنیت اشخاص حقیقی شود». ماده 10 هم می‌گوید: داده‌های شخصی باید به گونه‌ای پردازش و استفاده شوند که شخص موضوع داده قابل شناسایی نباشد؛ مگر اینکه شناسایی شخص موضوع داده برای اجرای قانون یا دستیابی به اهداف اعلام‌شده در ماده 3 ضروری باشد. لایحه «حمایت و حفاظت از داده‌های شخصی» برای پردازش داده‌های شخصی بدون کسب اجازه از شخص شرایطی را در نظر گرفته است؛ اینکه پردازش داده‌ها برای انجام تکالیفی که قانون‌گذار تعیین کرده، ضروری باشد، موضوع حفظ حیثیت یا جان شخص موضوع داده در میان باشد. یا برای حفظ منافع مسلم شخص موضوع داده ضروری و با آن منافع متناسب باشد؛ اما امکان کسب رضایت از او ممکن نباشد. یک شرط دیگر هم برای این حالت وجود دارد؛ اینکه پردازش داده‌ها برای حفظ امنیت عمومی، حفظ امنیت ملی، منافع ملی، تعقیب جرم یا حفظ سلامت و ایمنی عمومی ضروری باشد.

ماده 13 این لایحه نیز به استفاده تجاری از داده شخصی اشاره دارد؛ «به شرط آنکه هویت اشخاص موضوع داده شناسایی نشود، مجاز است». لایحه «حمایت و حفاظت از داده‌های شخصی» بندی را به داده‌های حساس اختصاص داده است. منظور از داده‌های حساس، داده‌های مرتبط با عقاید سیاسی، حزبی، فلسفی، دینی یا مذهبی، قومیت، وضعیت جسمانی، رفتارهای جنسی، اتهامات و محکومیت‌های کیفری محسوب می‌شوند.

به صورت کلی استفاده از داده‌های شخصی حساس یا اجبار اشخاص به ارائه این نوع داده‌ها ممنوع است، مگر در چند مورد: «شخص موضوع داده رضایت صریح خود را به این امور بیان کرده باشد. برای حفظ زندگی شخص موضوع داده ضروری باشد و به دلیل اهلیت‌نداشتن رضایت او فاقد اثر قانونی باشد یا تحصیل رضایت از او به دلیل دیگری عملا ممکن نباشد. شخص موضوع داده آن داده را به طور عمومی منتشر کرده باشد. برای کشف جرم یا اجرای مجازات ضروری باشد. برای حفظ نظم عمومی یا امنیت ملی ضروری باشد. قانون ایجاد یا پردازش یا استفاده از این نوع داده را بدون رضایت شخص موضوع داده مجاز کرده باشد».

 نهادهای نظارتگر

این لایحه کمیسیون‌های استانی حمایت از داده‌ها در محل استانداری را به‌عنوان نهاد نظارت‌کننده بر اجرای صحیح مقررات این قانون در نظر گرفته است. این کمیسیون‌های استانی که در استانداری‌ها تشکیل می‌شود، متشکل از پنج نفر است: یک قاضی به انتخاب رئیس قوه قضائیه به‌عنوان رئیس کمیسیون، یک خبره به انتخاب رئیس‌جمهور، یک وکیل به انتخاب هیئت‌مدیره کانون وکلای منطقه‌ای، یک خبره به انتخاب شورای عالی استان‌ها و مدیر اداره کل مدیریت و برنامه‌ریزی استان یا معاون ذی‌ربط او.

لایحه برای تخلف از مواد قانونی مجازات‌هایی را هم پیش‌بینی کرده است. «هرکس به طور غیرمجاز داده‌های شخصی دیگران را ایجاد، جمع‌آوری، پردازش یا استفاده کند، به جزای نقدی درجه 6 محکوم خواهد شد. در‌صورتی‌که مرتکب، این اقدامات را به قصد انتفاع مالی خود یا دیگری انجام داده باشد یا از این طریق موجب وارد‌شدن ضرر مالی یا حیثیتی به دیگری شده باشد، به مجازات حبس و جزای نقدی درجه 6 محکوم خواهد شد». جزای نقدی درجه 6 با توجه به ماده 19 قانون مجازات اسلامی و اصلاحاتی که در سال 1399 بر روی آن صورت گرفت، بیش از 60 میلیون ریال تا 240 میلیون ریال است.

 پیشینه محافظت از داده‌ها

ماجرای حفاظت از داده‌های شخصی ید طولایی دارد و راه درازی آمده است؛ حدود 19 سال. خرداد سال 1383، عبدالله رمضان‌زاده، دبیر و سخنگوی دولت اصلاحات، از تصویب لایحه «حریم خصوصی» در کمیسیون لوایح دولت خبر داد. حمایت از حریم خلوت و تنهایی افراد، اطلاعات شخصی و ارتباطات و شفاف‌سازی اختیارات و مسئولیت‌های ارکان و اجزای مختلف حکومت در زمینه رعایت حریم خصوصی ازجمله اهداف تصویب این لایحه عنوان شد.

البته این لایحه علاوه بر حفظ حریم خصوصی در زمینه اطلاعات و ارتباطات، حریم خصوصی جسمانی، حریم خصوصی اماکن و منازل و حریم خصوصی در محل کار را هم شامل می‌شد و در واقع بخش کمی از آن به حفاظت از اطلاعات مربوط بود. این لایحه ارتباطات را شامل ارتباطات کلامی، حضوری، کتبی، الکترونیکی، سیمی و... تعریف می‌کرد و در ماده شصت‌وسوم آن آمده بود رهگیری ارتباطات از راه دور (نظیر ارتباطات از طریق تلفن، تلگراف، تلکس، فکس، انواع بی‌سیم و سایر وسایل) و پایش ارتباطات کلامی و حضوری افراد ممنوع است؛ مگر با رعایت قانون. القصه اینکه در این لایحه تجاوز به حریم خصوصی افراد با مجازات‌های حبس، جریمه نقدی و انفصال از خدمات دولتی همراه بود.

این لایحه اما در مجلس هفتم مقبول نیفتاد و با مخالفت نمایندگان وقت مجلس رد شد. چند‌سالی گذشت و با توسعه ارتباطات، فضای مجازی و رونق کسب‌وکارهای اینترنتی ماجرای حفاظت از داده‌ها دوباره مطرح شد. سال 1396 پیش‌نویش لایحه «حمایت از داده‌ها و حریم خصوصی در فضای مجازی» از سوی وزارت ارتباطات و با همکاری پژوهشگران تهیه و به‌منظور جمع‌آوری نظرات صاحب‌نظران منتشر شد. اصل محدودیت در جمع‌آوری اطلاعات، کیفیت جمع‌آوری و استفاده از داده‌‌ها و اطلاعات، مشخص‌بودن هدف از جمع‌آوری و استفاده از داده‌ها و اطلاعات، محدودیت در استفاده و عدم افشا (مگر به ‌حکم قانون یا رضایت فرد)، اصل تضمین‌های حفاظت از داده‌ها و اطلاعات، شفافیت اقدامات-ابزارها و ماهیت داده‌های هدف، لزوم جلب مشارکت فردی و اصل پاسخ‌گویی در قبال اجرای سایر اصول، از‌جمله اصل‌های در نظر گرفته‌شده برای تدوین این لایحه بودند.

مرداد سال 1397 هم‌زمان با نخستین روز از نمایشگاه الکامپ ۲۴ با حضور محمدجواد آذری‌جهرمی، وزیر وقت ارتباطات و فناوری اطلاعات، در دولت حسن روحانی از پیش‌نویس لایحه «صیانت و حفاظت از داده‌های شخصی» رونمایی شد. در این لایحه آمده بود: «پردازش داده‌های شخصی مربوط به وضعیت‌ها یا موقعیت‌های غیرعمومی، منوط به رضایت شخص موضوع آنهاست و پردازش داده‌های شخصی بدون رضایت اشخاص را در شرایطی که برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری باشد یا باعث صیانت از حیثیت، جان یا مال خود شخص شود مجاز دانسته است».

این ماجرا تا حدودی مسکوت و بلاتکلیف ماند تا سال 1400 که نمایندگان مجلس طرح جدیدی را با عنوان حفاظت از داده‌ها ارائه دادند. همان موقع پیوست دراین‌باره نوشت: «نمایندگان مجلس با هدف رفع خلأهای قانونی مربوط به داده‌ها و اطلاعات به‌ویژه داده‌هایی که در فضای مجازی از سوی ارائه‌دهندگان خدمات از مردم و کسب‌وکارها گردآوری و پردازش می‌شود، طرح «حمایت و حفاظت از داده‌ها و اطلاعات شخصی» را به صحن علنی ارائه دادند. بر اساس این طرح برای حفاظت و صیانت از داده‌ها و اطلاعات شخصی، کمیسیون صیانت از داده‌ها و اطلاعات شخصی تشکیل می‌شود. همچنین آن‌طور که نمایندگان مقرر کردند، پردازش داده‌ها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است».

 در انتظار دولت

اما سال 1401 و در جریان اعتراضات که با اختلالات شدید اینترنتی، فیلترینگ و محدودیت‌های دسترسی به پیام‌رسان‌های خارجی همراه بود، دولت ابراهیم رئیسی و عیسی زارع‌پور، وزیر ارتباطات، به تشویق مردم جهت استفاده از پیام‌رسان‌های داخلی روی آوردند.

دی‌ماه 1401 زارع‌پور گفته بود: «حضور میلیونی هم‌وطنان در سکوهای داخلی نشان‌دهنده آن است که این سکوها مسئله‌ای به جهت کارکردی ندارند و ما باید تلاش کنیم که رغبت را در هم‌وطنان ایجاد و اعتماد آنها را برای آمدن به این سکوها بیشتر کنیم. در‌این‌خصوص تاکنون کارهای زیادی انجام شده که یکی از آنها لایحه داده و حریم خصوصی است که اکنون در‌ حال طی مراحل نهایی برای ارسال به مجلس است. تدوین این لایحه یعنی ما از داده‌های شخصی مردم در پلتفرم داخلی حفاظت می‌کنیم». البته همان موقع اغلب نظرسنجی‌ها نشان می‌داد که با وجود فیلترینگ تمایل مردم به استفاده از پیام‌رسان‌های خارجی 

بیشتر است.

30 بهمن 1401 کلیات پیش‌نویس لایحه «حمایت و حفاظت از داده‌های شخصی» در هفتمین جلسه کارگروه ویژه اقتصاد دیجیتال تصویب شد و قرار شد پس ارجاع به هیئت دولت و تصویب در آنجا، به مجلس شورای اسلامی ارسال شود.

کار به سال 1402 افتاد و در ‌نهایت روز شنبه، هفت خرداد‌ماه جاری، رضا باقری‌اصل، معاون وزیر ارتباطات در امور مجلس درباره آخرین وضعیت لایحه «حمایت و حفاظت از داده‌های شخصی» گفت که کارگروه اقتصاد دیجیتال، این لایحه را تصویب کرده و در تعامل با بخش غیردولتی و کسب نظر از خبرگان برای تصمیم‌گیری نهایی خیلی زود به هیئت دولت ارجاع داده خواهد شد. او گفته بود این لایحه بعد از تصویب در هیئت دولت، برای تبدیل‌شدن به قانون به مجلس شورای اسلامی ارجاع داده می‌شود و امیدواریم با فوریت مورد بررسی قرار گیرد.

 خلأهای قانونی

چند روز پیش مرکز پژوهش‌های مجلس شورای اسلامی پژوهشی در زمینه خلأ‌های قانونی حفاظت از داده‌ها در زنجیره ارزش داده‌ها و مقایسه قوانین ایران و ایالات متحده آمریکا منتشر کرد. این پژوهش تأکید می‌کرد که قانون اساسی ایران در شناسایی حق حریم خصوصی از قانون اساسی آمریکا مترقی‌تر است، اما در زمینه اجرا خلأهایی دارد: «قوانین مصوب مجلس شورای اسلامی اصل حق حریم خصوصی را به نحو مناسبی به رسمیت شناخته‌اند، اما احقاق حقوق از نظر اجرائی با خلأهایی مواجه است. اگرچه از نظر دایره شمول، قوانین کشور مانند قانون تجارت الکترونیکی بسیاری از جوانب یک قانون جامع حریم خصوصی را دارد، یعنی حق حریم خصوصی را به رسمیت می‌شناسد و نقض آن را جرم‌انگاری می‌کند. همین‌طور مصادیق اطلاعات حریم خصوصی در شیوه‌نامه تشخیص و تفکیک اطلاعات مربوط به حریم خصوصی و اطلاعات شخصی از اطلاعات عمومی مصوب سال ۱۳۹8 مشخص شده است. اما قوانین کشور سازوکارهای اجرائی شایسته برای تحقق امر حفاظت از حریم خصوصی ندارد».

این گزارش به‌صراحت می‌گوید که موضوع حریم خصوصی از جنبه شیوه احقاق حقوق و ضوابطی که با اجرای آنها فرد می‌تواند نســبت به احقاق حقوق خود اقدام کند، روشن نشده است. «درحالی که تکالیفی برای نگهداری و حفظ برخی از اقلام داده‌ای ازســوی برخی کســب‌‌وکارها و عرضه‌کنندگان خدمات فناوری اطلاعات وضع شده، در ‌زمینه حفاظت از این داده‌ها و شیوه استفاده از این داده‌ها ضوابط مشخصی وضع نشده است. برای نمونه طبق تکلیف مواد 32 و 33 قانون جرائم رایانه‌ای ارائه‌دهندگان خدمات مربوطه موظف‌اند داده‌های ترافیکی را حداقل شش ‌ماه و داده‌های ذخیره‌سازی را حداقل 15 روز پس از خاتمه خدمت نگهداری کنند اما بازه زمانی که داده‌ها باید قابلیت حذف یا امحا داشته باشند یا ملاحظات حریم خصوصی و حقوق داده‌های اشخاص موضوع این داده‌ها نیز تصریح نشده‌اند».

این پژوهش از اصطلاح دلال‌های داده برای کسانی که بدون مراوده مستقیم کسب‌وکاری با اشخاص داده‌هایی در مورد آنها در اختیار دارند و این داده‌ها را به فروش می‌رسانند استفاده می‌کند و می‌گوید قوانین کافی درباره این افراد وجود ندارد. کسب‌وکارهای متعددی در حال گردآوری اطلاعات شهروندان در شبکه‌های اجتماعی مختلف هستند درحالی‌که الزام قانونی به افشای اطلاعات به اشخاص موضوع داده 

از سوی این کسب‌وکارها وجود ندارد.