موازی کاری مجلس با دولت بر سر حفاظت از دادهها:
حامیان طرح صیانت به فکر حفاظت از دادههای شخصی کاربران افتادند
طرح «حفاظت از دادههای شخصی» از سوی برخی نمایندگان مجلس تهیه شده که در میان آنها نام حامیان طرح پر سر و صدای صیانت از کاربران در فضای مجازی نیز دیده میشود.
طرح «حفاظت از دادههای شخصی» از سوی برخی نمایندگان مجلس تهیه شده که در میان آنها نام حامیان طرح پر سر و صدای صیانت از کاربران در فضای مجازی نیز دیده میشود. به نظر میرسد صبر نمایندگان برای به نتیجه رسیدن لایحه حمایت از دادههای دولت تمام شده و خودشان دست به کار شدند.
به گزارش «فنزی» هدف از این طرح، حفاظت از دادههای اشخاص و جلوگیری از سوءاستفاده عنوان شده است. طراحان به دنبال ضابطهمند کردن پردازش دادهها و پاسخگو کردن پردازشگران دادههای شخصی هستند. همچنین حمایت از حقوق کاربران و شرکتهای دانشبنیان در مقابل پلتفرمهای انحصاری غیربومی که حقوق شهروندان را نقض میکنند، از دیگر اهداف این طرح یاد شده است.
این طرح توسط مجلسیان در حالی دنبال میشود که مدتهاست وزارت ارتباطات در دولتهای دوازدهم، سیزدهم و حالا هم چهاردهم، تهیه لایحه «حمایت از داده و حریم خصوصی در فضای مجازی» را دنبال میکند. «ستار هاشمی» وزیر ارتباطات نیز اخیراً گفته بود این لایحه به کمیسیون برگشته و در حال نهایی شدن است: «امیدواریم در آینده نزدیک به نتیجه برسد.»
حال این اقدام موازی چند نماینده مجلس برای تدوین چنین طرحی، جالب توجه است. شاید آنها از تعلل چندساله وزارت ارتباطات برای رسیدگی به این موضوع، ناراضی هستند.
هدف طرح حفاظت از دادههای شخصی چیست؟
در مقدمه توجیهی این طرح آمده است: «بنابر اصل 22 قانون اساسی، حیثیت، جان، مال و حقوق اشخاص باید از تعرض مصون بماند.» بانیان این طرح معتقدند قوانین و مقررات فعلی پاسخگوی پیگیری حقوق مردم در فضای مجازی نیست و ضمانت اجرایی لازم برای حفاظت از دادههای شخصی وجود ندارد: «به همین علت در تدوین این طرح تلاش شده تا با مبنا قرار دادن حقوق اشخاص از فعالیتهای قانونی بر دادهها حمایت شود و به منظور پیشگیری از نقض حقوق اشخاص، ضوابط و الزامات مشخصی برای پردازش دادهها تدوین شود.»
تعاریف دادهها
قبل از بررسی این طرح 36 مادهای بهتر است ابتدا با تعاریف داده در آن بیشتر آشنا شویم. یکی از مفاهیم یاد شده، «داده شخصی» است که به هرگونه دادهای که موجب شناسایی یک شخص شود، گفته میشود. منظور از «پردازش» نیز هرگونه عملیات دیجیتال بر دادههای شخصی است که توسط پردازشگر یا همان پلتفرمها و سامانهها انجام میشود.
دادههای شخصی یا حیاتی نیز این گونه تعریف شده: «دادههای شخصی مربوط به سلامت جسمانی یا روانی و همچنین دادههای شخصی که پردازش یا عدم پردازش آنها، به از دست رفتن کلی حقوق قانونی شخص موضوع داده منجر میشود.»
الزام جلب رضایت کاربر
طبق این لایحه، پردازش دادههای شخصی نیازمند رضایت شخص است و پردازشگران داده موظف هستند ظرف شش ماه از لازمالاجرا شدن قانون، رضایت اشخاص را بگیرند. البته امکان تمدید این مهلت تا یکسال وجود دارد.
ماده 4 این اجازه را به کاربران میدهد تا در صورتی که دادهها یا نتایج حاصل از آنها درست نباشد یا پردازشی خارج از محدوده رضایتشان صورت گرفته باشد، بتوانند درخواست کنند تا همه یا بخشی از دادههای شخصیشان حذف شود. پلتفرم و سامانه نیز موظف است تا ظرف 72 ساعت، دادههای مربوطه را حذف کند.
رضایت به پردازش نیز به معنای اجازه افشای هویت شخص نیست و حق ناشناس ماندن اشخاص باید حفظ شود. در این طرح همچنین به مسأله هوش مصنوعی اشاره شده است. توسعه هوش مصنوعی از طریق دادهها میسر است از همین رو در ماده 12 آمده است که بهرهبرداری از دادههای موضوع این قانون برای استفاده از ظرفیتهای هوش مصنوعی تنها در صورتی نیاز به جلب رضایت کاربر دارد که به طور متعارف، زیان مادی یا معنوی نداشته باشد.
تشکیل کمیسیون حمایت از دادههای شخصی
نمایندگان مجلس پیشنهاد کردهاند کمیسیون حمایت از دادههای شخصی با حضور هشت عضو تشکیل شود: وزیر ارتباطات و فناوری اطلاعات رئیس این کمیسیون خواهد بود. از سوی دیگر وزیر اطلاعات، دادگستری، فرهنگ و ارشاد اسلامی، معاون علمی رئیس جمهور، دادستان کل کشور، رئیس مرکز ملی فضای مجازی یا معاونان آنها به همراه یک نفر صاحب نظر حوزه فناوری اطلاعات و هوش مصنوعی، اعضای این کمیسیون را تشکیل خواهند داد.
تهیه و تصویب ضوابط و مقررات پردازشگران، ایجاد وحدترویه برای گرفتن دادههای ضروری از کاربران برای تداوم فعالیت پلتفرمها، تعیین شرایط فعالیت پردازشگران فرامرزی، تهیه و تصویب تعرفههای مربوط به خدمات مسئول حمایت از دادههای شخصی از جمله وظایف این کمیسیون است.
یک هیئت بدوی و یک هیئت تجدید نظر نیز باید تشکیل شود تا تخلفات و ضمانت اجرایی این قانون را پیگیری کنند.
تعهدات پردازشگران داده
پردازشگر داده باید هدف، نوع و نحوه پردازش را به اطلاع کاربران برساند. حریم پردازش دادهها را تعیین کند و هویت، ماهیت و فعالیت خود را اعلام کند.
همچنین کسی که بخواهد به عنوان پردازشگر کلاندادهها فعالیت کند باید گواهی صلاحیت از وزارت ارتباطات دریافت کند.
آنهایی که مسئول حمایت از دادههای شخصی هستند باید این دادهها را رمزنگاری، نسخههای پشتیبان حفاظت شده ایجاد کنند و صلاحیت عمومی برای کارکنان دارای دسترسی را بگیرند.
پردازشگر مسئول جبران خسارت ناشی از نقض تعهدات این قانون شده است. او علاوه بر جبران خسارت باید از زیان دیده عذرخواهی کند و تلاش موثر برای بازیابی موقعیت اجتماعی زیان دیده انجام دهد. موضوعاتی که کاملاً تفسیرپذیر و احتمالا دردسرساز خواهند بود. برای پردازش خلاف دادههای حیاتی نیز حبس درنظر گرفته شده است.
در صورت تصویب این طرح، برخی از مواد قانون تجارت الکترونیکی مصوب سال 1382 نسخ میشوند. این مواد شامل تعریف داده، حمایت از «داده پیام»های شخصی و نقض حمایت از «داده پیام»های شخصی باز میگردد.
