راه پرداخت
رسانه فناوری‌های مالی ایران

راه پرداخت ابعاد گوناگون طرح «حمایت و حفاظت از داده و اطلاعات شخصی» را بررسی می‌کند / حفاظت از داده‌ها با چراغ خاموش

سخنگوی کمیسیون آموزش مجلس در گفت‌وگو با راه پرداخت می‌گوید: «مجلس به‌دنبال آن است تا از یک طرف زمینه توسعه ثبت‌محور شدن فعالیت‌های اقتصادی و اخذ مجوزها را فراهم کند و از سوی دیگر از طریق طرح‌هایی چون «حفاظت از داده‌های شخصی»، زمینه ایمن‌سازی اطلاعات اشخاص حقیقی و حقوقی در اینترنت و فضای مجازی را فراهم سازد.»

مهدی بیک‌اوغلو / چهارشنبه 24 شهریورماه بود که محمد رشیدی یکی از اعضای هیئت‌رئیسه مجلس در گفت‌وگو با خبرنگاران پارلمانی از اعلام وصول‌شدن 30 طرح مختلف در نشست علنی پارلمان خبر داد. طرح‌هایی که موضوعات مختلفی؛ از «تشکیل استان بم» گرفته تا «تعیین تکلیف بناهای احداثی در اراضی مصادره‌ای» و… را شامل می‌شدند. اما در میان این طرح‌های متعدد که در آخرین روز کاری مجلس قبل از تعطیلات بلندمدت نمایندگان ارائه شده بود، طرحی وجود داشت که بعد از مدتی توجه تحلیلگران و فعالان رسانه‌ای در حوزه فناوری را به خود جلب کرد.

طرح «حمایت و حفاظت از داده و اطلاعات شخصی»، ایده‌ای است که به نظر می‌رسد با این هدف در فهرست طرح‌های اعلام وصول‌شده مجلس قبل از تعطیلات قرار گرفته تا کمتر توجه‌ها را به خود جلب کند. ظاهراً به باور طراحان این طرح، با توجه به حاشیه‌های گسترده‌ای که پیش از این، طرح «صیانت از فضای مجازی» را با مشکلات عدیده‌ای مواجه کرد، این بار می‌بایست چراغ‌خاموش حرکت کنند تا این طرح کمتر زیر تیغ ارزیابی‌های تحلیلی و نقد رسانه‌ها (و البته برخی حاشیه‌ها) قرار بگیرد. این احتمالات زمانی بیشتر رنگ واقعیت به خود گرفت که برخی نمایندگان مجلس در جریان گفت‌وگو با خبرنگار راه پرداخت از نام طراح این طرح پرده‌برداری و اعلام کردند «مجتبی توانگر» طراح اصلی این طرح است؛ چهره‌ای که پیش از این انتقادات جدی در خصوص طرح صیانت از فضای مجازی مطرح کرده و معتقد بود در شرایط فعلی طرح صیانت باعث بروز مشکلات جدی در اتمسفر اقتصادی کشور خواهد شد.

مجموعه این عوامل باعث شد برخی اعلام کنند طرح حفاظت از داده‌ها تلاش می‌کند در شمایل جایگزینی برای طرح صیانت ظهور و بروز پیدا کند.بلافاصله پس از مشخص‌شدن اصل موضوع، خبرنگاران و تحلیلگران درصدد ابعاد و زوایای پنهان طرح برآمده و تلاش کردند تصویری از محتوای طرح به دست آورند. در گام نخست اعلام شد هدف اصلی این طرح از میان برداشتن برخی کاستی‌های قانونی مرتبط با داده‌ها و اطلاعات است. در گام بعدی نیز مشخص شد که تمرکز اصلی طرح بر آن دسته از اطلاعاتی قرار دارد که ارائه‌دهندگان هر نوع خدمات در فضای مجازی یا شبکه‌های اجتماعی از مردم، فعالان اقتصادی و صاحبان کسب‌وکار دریافت کرده و آن را پردازش و ذخیره می‌کنند. از سوی دیگر این طرح تلاش می‌کند تا برخی خلأهای قانونی در حوزه انتشار و دسترسی آزاد به اطلاعات، قوانین تجارت دیجیتالی و… را نیز سامان‌دهی و برنامه‌ریزی‌های تقنینی برای جرم‌انگاری در خصوص مهم‌ترین موارد را در دستور کار قرار دهد.


منشاء طرح کجاست و محتوای آن چیست؟


اما ردپای ایده‌ای را که 31 نماینده مجلس تلاش می‌کنند آن را ذیل عنوان طرح «صیانت و حفاظت از داده‌های شخصی» وارد مسیر بررسی‌های تقنینی مجلس کنند، باید در لایحه‌ای جست که در مردادماه 1397 با مشارکت «وزارت ارتباطات و فناوری اطلاعات» دولت دوازدهم، «مرکز پژوهش‌های مجلس» (دوره دهم) و البته «پژوهشگاه قوه قضائیه» تدارک دیده شد؛ ایده‌ای در «شش باب» و «78 ماده» که نمایندگان تغییرات مختصری در لایحه اصلی ایجاد و محتوای آن را به 56 ماده و ده‌ها تبصره کاهش دادند.

«باب نخست» طرح در 3 بخش و 3 ماده پیرامون «کلیات»، «اهداف طرح» و «تعریف و دامنه شمول موضوع حفاظت از داده‌ها» بحث می‌کند. «باب دوم» در 5 بخش و 11 ماده در خصوص حقوق اشخاص و موضوع داده‌ها بحث می‌کند که 5 بخش اصلی آن ذیل موضوعاتی چون رضایت به پردازش (بخش نخست)، درخواست پردازش یا توقف آن (بخش دوم)، انجام پردازش (بخش سوم)، گمنامی در پردازش (بخش چهارم) و تعارض با حقوق دیگران (بخش پنجم) بحث می‌کند. «باب سوم» که یکی از مهم‌ترین بخش‌ها و محتوای اصلی اهداف طراحان طرح را تشکیل می‌دهد، در 24 ماده موضوع «تعهدات کنترل‌گران و پردازش‌گران» را مورد توجه قرار داده است، ضمن اینکه «باب چهارم» در 20 ماده پیرامون مسئله «تنظیم و نظارت بر پردازش داده‌های شخصی» بحث می‌کند. «باب پنجم» نیز در 10 ماده درباره مسئولیت‌ها و ضمانت اجرایی مرتبط با طرح بحث می‌کند و نهایتاً «باب ششم» مقوله «نسخ قوانین و تدوین مقررات لازم» را در 2 ماده مورد توجه قرار داده است.

اما در مقدمه توجیهی طرح آمده: «این ایده از یک طرف بر اساس اصول 19، 20، 22، 23، 25، 26، 38 و 39 قانون اساسی در خصوص حقوق ملت و از سوی دیگر مبتنی بر سیاست‌های کلی نظام، ابلاغی مقام معظم رهبری در خصوص موضوعاتی چون امنیت فضای تولید و تبادل اطلاعات و ارتباطات، قانون انتشار و دسترسی آزاد به اطلاعات، قانون سلامت نظام اداری و مبارزه با فساد، طرح‌های صنعتی و علائم تجاری، برنامه ششم توسعه، قانون تجارت، قانون حمایت از حقوق مصرف‌کنندگان و… همچنین در عمل به فتوای مقام معظم رهبری مبنی بر حرام شرعی بودن نقض حریم خصوصی به تصویب می‌رسد»؛ ارکان مهمی که طرح بر بلندای آن بنا شده و تلاش می‌کند تا نقشه‌راه قانونی این اسناد بالادستی را فراهم کند.


این قانون شامل چه افرادی می‌شود؟


درباره افراد حقیقی و حقوقی که این قانون شامل فعالیت‌های آنان می‌شود، در ماده 3 بحث شده است. در این ماده ذکر شده که اشخاص مشمول این قانون عبارت‌اند از: «الف‌ـ اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی، اعم از آنکه داده‌های شخصی آنها درون یا بیرون از ایران پردازش شود. ب‌ـ اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده‌های شخصی آنها از سوی کنترل‌گر یا پردازش‌گر ایرانی پردازش می‌شود.» در ماده 4 هم اشاره شده: «پردازش داده‌های شخصی مربوط به وضعیت‌ها یا موقعیت‌های غیرعمومی، منوط به رضایت شخص موضوع آنهاست.» (البته قبل از آغاز پردازش اطلاعاتی این رضایت باید اخذ شود.)

یکی از نکات جالب توجه در متن طرح؛ تعاریفی است که در خصوص پردازش و کنترل‌گر ارائه می‌شود. در تعریف پردازش و کنترل‌گر آمده: «پردازش یعنی هرگونه عملیات دستی یا خودکار بر داده‌های شخصی شامل ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیـه‌وتحلیل، طبقه‌بندی، ساختاربندی، تطبیق، ذخیره‌سازی، اشتراک‌گذاری، ارسال، توزیع و عرضه، انتشار و در دسترس قرار دادن و پاک‌کردن آنها. کنترل‌گر نیز شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگی‌ها و ابزارهای یک یا چند عملیات پردازش داده‌های شخصی در اختیار پردازش‌گر را تعیین می‌کند.»

در واقع پردازش فرایند جمع‌آوری و ثبت اطلاعات است و کنترل‌گر فردی است که بر اساس قانون، روند اجرای این گردآوری‌ها را دنبال می‌کند. پرسشی که با این توضیحات ممکن است به ذهن خطور کند، آن است که دامنه اختیارات کنترل‌گر برای پردازش داده‌های اطلاعاتی افراد حقیقی و حقوقی چیست؟ در باب سوم پیرامون این موضوع بحث می‌شود و در ماده 19 در خصوص تعهدات کنترل‌گران و پردازش‌گران اشاره می‌کند: «در جایی که اخذ رضایت از شخص موضوع داده الزامی است، متناسب با نوع و میزان پردازش، فراوانی اشخاص موضوع داده، شیوه اعلام رضایت از سوی آنها و هزینه‌های مترتب، رضایت‌نامه مربوطه تدوین و به‌عنوان جزء لاینفک توافق پردازش لحاظ می‌گردد.» عباراتی که نشان می‌دهد کنترل‌گران بدون اخذ رضایت‌نامه از اشخاص حقیقی قادر به پردازش هیچ‌گونه داده‌ای نخواهند بود.


پیگیری شکایات مرتبط به پردازش داده‌ها


اما اگر شخص یا اشخاصی از روند گردآوری و ثبت اطلاعات شکایت داشتند، چگونه می‌توانند روند شکایت را دنبال کنند؟ یکی دیگر از نکات مهم طرح، رویکردی است که در خصوص تشکیل کمیسیون و هیئت نظارت برای پیگیری شکایت‌ها در نظر گرفته است. در بخش نخست باب چهارم ذیل ماده 40 طرح، تشکیل کمیسیونی با عنوان کمیسیون صیانت و حفاظت از داده‌های شخصی، پیش‌بینی شده تا روند کلی فعالیت‌های مرتبط را تحت نظارت دقیقی قرار دهند.

اعضای این کمیسیون 11 نفر و شامل وزرای ارتباطات (رئیس)، اطلاعات، کشور، دادگستری، ارشاد، اقتصاد، دبیر شورای عالی و رئیس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوه قضائیه، رئیس کمیسیون اصل 90 مجلس، دادستان کل کشور و دبیر شورای اجرایی فناوری اطلاعات (دبیر کمیسیون) می‌شود. ضمن اینکه هیئت نظارتی به ریاست وزیر دادگستری در نظر گرفته شده تا بر روند کلی کارگروه‌ها و بخش‌های گوناگون نظارت داشته باشد و به شکایات احتمالی در این زمینه رسیدگی کند.


اهالی بهارستان در این زمینه چه می‌گویند؟


در کنار محتوای این طرح در خصوص چنین طرح‌هایی، یکی از مهم‌ترین پرسش‌هایی که همواره در ذهن افکار عمومی و فعالان اقتصادی شکل می‌گیرد، آن است که آیا قصد و نیت طراحان چنین طرح‌هایی محدود ساختن فعالیت‌های اقتصادی و اجتماعی در بستر فضای مجازی و شبکه‌های اجتماعی است؟ سخنگوی کمیسیون آموزش و تحقیقات مجلس یازدهم در پاسخ به این پرسش خبرنگار راه پرداخت می‌گوید: «در جهان امروز گفته می‌شود اطلاعات مهم‌ترین داشته و ثروت هر کشوری است. اساساً در حوزه‌های مرتبط با تولید ثروت، برخی معتقدند ارزشمندترین دارایی، داده و اطلاعات است. با توجه به این ارزش‌های بنیادین است که کشورها، کارتل‌های بزرگ صنعتی و اَبَربرندها تلاش می‌کنند اتمسفر ایمن‌تری را برای حفاظت از داده‌های اطلاعاتی خود فراهم کنند. بر این اساس، سرمایه‌گذاری‌های کلانی در کشورها و شرکت‌ها صورت می‌گیرد تا محیط امنی را برای داده‌ها فراهم کنند.»

احمد حسین فلاحی، سخنگوی کمیسیون آموزش و تحقیقات مجلس یازدهم

احمد حسین فلاحی در ادامه بیان می‌کند: «حتی اتحادیه اروپا نیز بعد از مشکلاتی که پس از رسوایی‌های افشای اطلاعات شهروندان اروپایی توسط فیس‌بوک و برخی دیگر از شبکه‌های اجتماعی آمریکایی حادث شد، به‌منظور حفاظت از داده‌های شهروندانش، قانونی را ذیل عنوان حفاظت از داده‌های عمومی تصویب و ابلاغ کرد. اما این ضرورت‌های نوین در کشور ما، آن‌گونه که باید و شاید، جدی گرفته نشده است.»

او می‌افزاید: «هرچند در اتمسفر کسب‌وکار کشورمان بارها مواردی از افشای اطلاعات کاربران مشاهده شده، اما هنوز راهکار قانونی برای حفاظت از این داده‌ها تدارک دیده نشده است. مشکلاتی که متأسفانه به‌دلیل فقدان راهکار قانونی امکان تکرار آنها وجود دارد. سال گذشته افشای اطلاعات میلیون‌ها نفر از کاربران تلگرام بازتاب‌های وسیعی در رسانه‌های گروهی پیدا کرد. بعد از آن موضوع، درز داده‌های مرتبط با ثبت احوال و… باعث واکنش‌های زیادی در فضای مجازی شد.»

سخنگوی کمیسیون آموزش مجلس یادآور می‌شود: «بسیاری از کارشناسان و مسئولان سازمان فناوری اطلاعات معتقدند چنانچه دولت قبل، پیش از این، لایحه صیانت از داده‌های شخصی را تصویب می‌کرد و این ضرورت مراحل اداری تبدیل‌شدن به قانون را سریع‌تر طی می‌کرد، چنین افشای اطلاعاتی در اتمسفر اقتصادی و اداری کشور به وقوع نمی‌پیوست. این ضرورت‌ها باعث شدند تا مجلس یازدهم تلاش کند مجموعه‌ای از برنامه‌ریزی‌های تقنینی را با هدف حفاظت از داده‌های اطلاعاتی عمومی کاربران تدارک ببیند.»

نماینده مردم همدان با اشاره به اینکه بر خلاف برخی فضاسازی‌های تبلیغاتی دشمنان، مجلس به‌دنبال محدودسازی یا مسدودسازی فضای مجازی و مشاغل آنلاین نیست، می‌گوید: «یکی از برنامه‌های جدی مجلس در حوزه‌های اقتصادی و معیشتی بهبود محیط‌های کسب‌وکار و تسهیل روند صدور مجوزهاست. بر اساس طرح تسهیل صدور مجوزها، از این پس متقاضیان کسب‌وکار، به جای رویکردهای اعلام محور، با استفاده از روش‌های ثبت‌محور، مجوزهای خود را دریافت می‌کنند. یعنی در یک سامانه ثبت‌نام کرده و پس از سه روز مجوز کسب‌وکار مورد نظر خود را دریافت می‌کنند. طبیعی است که این حجم از اطلاعات ثبتی نیازمند حفاظت و ایمنی است. این داده‌های اطلاعاتی، بخشی از مهم‌ترین داشته‌ها و در واقع ظرفیت‌های کشور محسوب می‌شوند که باید از دسترس بدخواهان دور نگه داشته شوند.»

فلاحی در پایان خاطرنشان کرد: «طرح حمایت و حفاظت از داده‌های شخصی و سایر طرح‌هایی از این دست نیز با چنین ضرورت‌هایی ارائه و روند تصویب و اجرایی‌شدن آن آغاز می‌شود. مجلس به‌دنبال آن است تا از یک طرف زمینه توسعه ثبت‌محور شدن فعالیت‌های اقتصادی را فراهم کند و از سوی دیگر زمینه ایمن‌سازی داده‌های مردم و شرکت‌های اقتصادی این شاهراه‌های ارتباطی را نیز فراهم سازد. این رویکردی است که همزمان با گسترش فعالیت‌های آنلاین و اینترنتی باید مورد توجه قرار بگیرد تا دارایی‌های مردم و ظرفیت‌های کشور دچار آسیب و خسران نشود. در این طرح هم هر حرکتی با کسب اجازه از افراد، شرکت‌ها و در راستای منافع آنها عملیاتی خواهد شد. مجلس هرگز به‌دنبال مسدودسازی یا محدودسازی نبوده و نیست و تنها به‌دنبال حفاظت و صیانت است.»

با عبور از این اظهارنظرها طرح حفاظت از داده‌های شخصی در حال حاضر در دستور کار بررسی‌های کمیسیون صنایع و معادن مجلس قرار دارد. جعفر قادری، نایب‌رئیس کمیسیون ویژه جهش تولید، قرار گرفتن طرح ذیل بررسی‌های کمیسیون صنایع و معادن را دلیلی بر مواجهه تخصصی و کارشناسی مجلس با این طرح ارزیابی می‌کند؛ چراکه از منظر این نماینده، اگر قرار بود رویکردهای حقوقی و قضایی‌، محور اصلی طرح باشد، موضوع در کمیسیون حقوقی و قضایی بررسی می‌شد. اما رویکرد کلی مجلس در رویارویی با چنین طرح‌هایی اقتصادی و تخصصی است.

در نهایت باید دید نمایندگان موفق خواهند شد طرح را به‌صورت چراغ‌خاموش مورد بررسی و تصویب قرار دهند یا سرنوشت دیگری از جنس حاشیه‌هایی که برای طرح صیانت ایجاد شد، در انتظار این طرح خواهد بود؟

نویسنده / مترجم مهدی بیک‌اوغلو
ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.