پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
راه پرداخت ابعاد گوناگون طرح «حمایت و حفاظت از داده و اطلاعات شخصی» را بررسی میکند / حفاظت از دادهها با چراغ خاموش
سخنگوی کمیسیون آموزش مجلس در گفتوگو با راه پرداخت میگوید: «مجلس بهدنبال آن است تا از یک طرف زمینه توسعه ثبتمحور شدن فعالیتهای اقتصادی و اخذ مجوزها را فراهم کند و از سوی دیگر از طریق طرحهایی چون «حفاظت از دادههای شخصی»، زمینه ایمنسازی اطلاعات اشخاص حقیقی و حقوقی در اینترنت و فضای مجازی را فراهم سازد.»
مهدی بیکاوغلو / چهارشنبه 24 شهریورماه بود که محمد رشیدی یکی از اعضای هیئترئیسه مجلس در گفتوگو با خبرنگاران پارلمانی از اعلام وصولشدن 30 طرح مختلف در نشست علنی پارلمان خبر داد. طرحهایی که موضوعات مختلفی؛ از «تشکیل استان بم» گرفته تا «تعیین تکلیف بناهای احداثی در اراضی مصادرهای» و… را شامل میشدند. اما در میان این طرحهای متعدد که در آخرین روز کاری مجلس قبل از تعطیلات بلندمدت نمایندگان ارائه شده بود، طرحی وجود داشت که بعد از مدتی توجه تحلیلگران و فعالان رسانهای در حوزه فناوری را به خود جلب کرد.
طرح «حمایت و حفاظت از داده و اطلاعات شخصی»، ایدهای است که به نظر میرسد با این هدف در فهرست طرحهای اعلام وصولشده مجلس قبل از تعطیلات قرار گرفته تا کمتر توجهها را به خود جلب کند. ظاهراً به باور طراحان این طرح، با توجه به حاشیههای گستردهای که پیش از این، طرح «صیانت از فضای مجازی» را با مشکلات عدیدهای مواجه کرد، این بار میبایست چراغخاموش حرکت کنند تا این طرح کمتر زیر تیغ ارزیابیهای تحلیلی و نقد رسانهها (و البته برخی حاشیهها) قرار بگیرد. این احتمالات زمانی بیشتر رنگ واقعیت به خود گرفت که برخی نمایندگان مجلس در جریان گفتوگو با خبرنگار راه پرداخت از نام طراح این طرح پردهبرداری و اعلام کردند «مجتبی توانگر» طراح اصلی این طرح است؛ چهرهای که پیش از این انتقادات جدی در خصوص طرح صیانت از فضای مجازی مطرح کرده و معتقد بود در شرایط فعلی طرح صیانت باعث بروز مشکلات جدی در اتمسفر اقتصادی کشور خواهد شد.
مجموعه این عوامل باعث شد برخی اعلام کنند طرح حفاظت از دادهها تلاش میکند در شمایل جایگزینی برای طرح صیانت ظهور و بروز پیدا کند.بلافاصله پس از مشخصشدن اصل موضوع، خبرنگاران و تحلیلگران درصدد ابعاد و زوایای پنهان طرح برآمده و تلاش کردند تصویری از محتوای طرح به دست آورند. در گام نخست اعلام شد هدف اصلی این طرح از میان برداشتن برخی کاستیهای قانونی مرتبط با دادهها و اطلاعات است. در گام بعدی نیز مشخص شد که تمرکز اصلی طرح بر آن دسته از اطلاعاتی قرار دارد که ارائهدهندگان هر نوع خدمات در فضای مجازی یا شبکههای اجتماعی از مردم، فعالان اقتصادی و صاحبان کسبوکار دریافت کرده و آن را پردازش و ذخیره میکنند. از سوی دیگر این طرح تلاش میکند تا برخی خلأهای قانونی در حوزه انتشار و دسترسی آزاد به اطلاعات، قوانین تجارت دیجیتالی و… را نیز ساماندهی و برنامهریزیهای تقنینی برای جرمانگاری در خصوص مهمترین موارد را در دستور کار قرار دهد.
منشاء طرح کجاست و محتوای آن چیست؟
اما ردپای ایدهای را که 31 نماینده مجلس تلاش میکنند آن را ذیل عنوان طرح «صیانت و حفاظت از دادههای شخصی» وارد مسیر بررسیهای تقنینی مجلس کنند، باید در لایحهای جست که در مردادماه 1397 با مشارکت «وزارت ارتباطات و فناوری اطلاعات» دولت دوازدهم، «مرکز پژوهشهای مجلس» (دوره دهم) و البته «پژوهشگاه قوه قضائیه» تدارک دیده شد؛ ایدهای در «شش باب» و «78 ماده» که نمایندگان تغییرات مختصری در لایحه اصلی ایجاد و محتوای آن را به 56 ماده و دهها تبصره کاهش دادند.
«باب نخست» طرح در 3 بخش و 3 ماده پیرامون «کلیات»، «اهداف طرح» و «تعریف و دامنه شمول موضوع حفاظت از دادهها» بحث میکند. «باب دوم» در 5 بخش و 11 ماده در خصوص حقوق اشخاص و موضوع دادهها بحث میکند که 5 بخش اصلی آن ذیل موضوعاتی چون رضایت به پردازش (بخش نخست)، درخواست پردازش یا توقف آن (بخش دوم)، انجام پردازش (بخش سوم)، گمنامی در پردازش (بخش چهارم) و تعارض با حقوق دیگران (بخش پنجم) بحث میکند. «باب سوم» که یکی از مهمترین بخشها و محتوای اصلی اهداف طراحان طرح را تشکیل میدهد، در 24 ماده موضوع «تعهدات کنترلگران و پردازشگران» را مورد توجه قرار داده است، ضمن اینکه «باب چهارم» در 20 ماده پیرامون مسئله «تنظیم و نظارت بر پردازش دادههای شخصی» بحث میکند. «باب پنجم» نیز در 10 ماده درباره مسئولیتها و ضمانت اجرایی مرتبط با طرح بحث میکند و نهایتاً «باب ششم» مقوله «نسخ قوانین و تدوین مقررات لازم» را در 2 ماده مورد توجه قرار داده است.
اما در مقدمه توجیهی طرح آمده: «این ایده از یک طرف بر اساس اصول 19، 20، 22، 23، 25، 26، 38 و 39 قانون اساسی در خصوص حقوق ملت و از سوی دیگر مبتنی بر سیاستهای کلی نظام، ابلاغی مقام معظم رهبری در خصوص موضوعاتی چون امنیت فضای تولید و تبادل اطلاعات و ارتباطات، قانون انتشار و دسترسی آزاد به اطلاعات، قانون سلامت نظام اداری و مبارزه با فساد، طرحهای صنعتی و علائم تجاری، برنامه ششم توسعه، قانون تجارت، قانون حمایت از حقوق مصرفکنندگان و… همچنین در عمل به فتوای مقام معظم رهبری مبنی بر حرام شرعی بودن نقض حریم خصوصی به تصویب میرسد»؛ ارکان مهمی که طرح بر بلندای آن بنا شده و تلاش میکند تا نقشهراه قانونی این اسناد بالادستی را فراهم کند.
این قانون شامل چه افرادی میشود؟
درباره افراد حقیقی و حقوقی که این قانون شامل فعالیتهای آنان میشود، در ماده 3 بحث شده است. در این ماده ذکر شده که اشخاص مشمول این قانون عبارتاند از: «الفـ اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی، اعم از آنکه دادههای شخصی آنها درون یا بیرون از ایران پردازش شود. بـ اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که دادههای شخصی آنها از سوی کنترلگر یا پردازشگر ایرانی پردازش میشود.» در ماده 4 هم اشاره شده: «پردازش دادههای شخصی مربوط به وضعیتها یا موقعیتهای غیرعمومی، منوط به رضایت شخص موضوع آنهاست.» (البته قبل از آغاز پردازش اطلاعاتی این رضایت باید اخذ شود.)
یکی از نکات جالب توجه در متن طرح؛ تعاریفی است که در خصوص پردازش و کنترلگر ارائه میشود. در تعریف پردازش و کنترلگر آمده: «پردازش یعنی هرگونه عملیات دستی یا خودکار بر دادههای شخصی شامل ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیـهوتحلیل، طبقهبندی، ساختاربندی، تطبیق، ذخیرهسازی، اشتراکگذاری، ارسال، توزیع و عرضه، انتشار و در دسترس قرار دادن و پاککردن آنها. کنترلگر نیز شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگیها و ابزارهای یک یا چند عملیات پردازش دادههای شخصی در اختیار پردازشگر را تعیین میکند.»
در واقع پردازش فرایند جمعآوری و ثبت اطلاعات است و کنترلگر فردی است که بر اساس قانون، روند اجرای این گردآوریها را دنبال میکند. پرسشی که با این توضیحات ممکن است به ذهن خطور کند، آن است که دامنه اختیارات کنترلگر برای پردازش دادههای اطلاعاتی افراد حقیقی و حقوقی چیست؟ در باب سوم پیرامون این موضوع بحث میشود و در ماده 19 در خصوص تعهدات کنترلگران و پردازشگران اشاره میکند: «در جایی که اخذ رضایت از شخص موضوع داده الزامی است، متناسب با نوع و میزان پردازش، فراوانی اشخاص موضوع داده، شیوه اعلام رضایت از سوی آنها و هزینههای مترتب، رضایتنامه مربوطه تدوین و بهعنوان جزء لاینفک توافق پردازش لحاظ میگردد.» عباراتی که نشان میدهد کنترلگران بدون اخذ رضایتنامه از اشخاص حقیقی قادر به پردازش هیچگونه دادهای نخواهند بود.
پیگیری شکایات مرتبط به پردازش دادهها
اما اگر شخص یا اشخاصی از روند گردآوری و ثبت اطلاعات شکایت داشتند، چگونه میتوانند روند شکایت را دنبال کنند؟ یکی دیگر از نکات مهم طرح، رویکردی است که در خصوص تشکیل کمیسیون و هیئت نظارت برای پیگیری شکایتها در نظر گرفته است. در بخش نخست باب چهارم ذیل ماده 40 طرح، تشکیل کمیسیونی با عنوان کمیسیون صیانت و حفاظت از دادههای شخصی، پیشبینی شده تا روند کلی فعالیتهای مرتبط را تحت نظارت دقیقی قرار دهند.
اعضای این کمیسیون 11 نفر و شامل وزرای ارتباطات (رئیس)، اطلاعات، کشور، دادگستری، ارشاد، اقتصاد، دبیر شورای عالی و رئیس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوه قضائیه، رئیس کمیسیون اصل 90 مجلس، دادستان کل کشور و دبیر شورای اجرایی فناوری اطلاعات (دبیر کمیسیون) میشود. ضمن اینکه هیئت نظارتی به ریاست وزیر دادگستری در نظر گرفته شده تا بر روند کلی کارگروهها و بخشهای گوناگون نظارت داشته باشد و به شکایات احتمالی در این زمینه رسیدگی کند.
اهالی بهارستان در این زمینه چه میگویند؟
در کنار محتوای این طرح در خصوص چنین طرحهایی، یکی از مهمترین پرسشهایی که همواره در ذهن افکار عمومی و فعالان اقتصادی شکل میگیرد، آن است که آیا قصد و نیت طراحان چنین طرحهایی محدود ساختن فعالیتهای اقتصادی و اجتماعی در بستر فضای مجازی و شبکههای اجتماعی است؟ سخنگوی کمیسیون آموزش و تحقیقات مجلس یازدهم در پاسخ به این پرسش خبرنگار راه پرداخت میگوید: «در جهان امروز گفته میشود اطلاعات مهمترین داشته و ثروت هر کشوری است. اساساً در حوزههای مرتبط با تولید ثروت، برخی معتقدند ارزشمندترین دارایی، داده و اطلاعات است. با توجه به این ارزشهای بنیادین است که کشورها، کارتلهای بزرگ صنعتی و اَبَربرندها تلاش میکنند اتمسفر ایمنتری را برای حفاظت از دادههای اطلاعاتی خود فراهم کنند. بر این اساس، سرمایهگذاریهای کلانی در کشورها و شرکتها صورت میگیرد تا محیط امنی را برای دادهها فراهم کنند.»
احمد حسین فلاحی در ادامه بیان میکند: «حتی اتحادیه اروپا نیز بعد از مشکلاتی که پس از رسواییهای افشای اطلاعات شهروندان اروپایی توسط فیسبوک و برخی دیگر از شبکههای اجتماعی آمریکایی حادث شد، بهمنظور حفاظت از دادههای شهروندانش، قانونی را ذیل عنوان حفاظت از دادههای عمومی تصویب و ابلاغ کرد. اما این ضرورتهای نوین در کشور ما، آنگونه که باید و شاید، جدی گرفته نشده است.»
او میافزاید: «هرچند در اتمسفر کسبوکار کشورمان بارها مواردی از افشای اطلاعات کاربران مشاهده شده، اما هنوز راهکار قانونی برای حفاظت از این دادهها تدارک دیده نشده است. مشکلاتی که متأسفانه بهدلیل فقدان راهکار قانونی امکان تکرار آنها وجود دارد. سال گذشته افشای اطلاعات میلیونها نفر از کاربران تلگرام بازتابهای وسیعی در رسانههای گروهی پیدا کرد. بعد از آن موضوع، درز دادههای مرتبط با ثبت احوال و… باعث واکنشهای زیادی در فضای مجازی شد.»
سخنگوی کمیسیون آموزش مجلس یادآور میشود: «بسیاری از کارشناسان و مسئولان سازمان فناوری اطلاعات معتقدند چنانچه دولت قبل، پیش از این، لایحه صیانت از دادههای شخصی را تصویب میکرد و این ضرورت مراحل اداری تبدیلشدن به قانون را سریعتر طی میکرد، چنین افشای اطلاعاتی در اتمسفر اقتصادی و اداری کشور به وقوع نمیپیوست. این ضرورتها باعث شدند تا مجلس یازدهم تلاش کند مجموعهای از برنامهریزیهای تقنینی را با هدف حفاظت از دادههای اطلاعاتی عمومی کاربران تدارک ببیند.»
نماینده مردم همدان با اشاره به اینکه بر خلاف برخی فضاسازیهای تبلیغاتی دشمنان، مجلس بهدنبال محدودسازی یا مسدودسازی فضای مجازی و مشاغل آنلاین نیست، میگوید: «یکی از برنامههای جدی مجلس در حوزههای اقتصادی و معیشتی بهبود محیطهای کسبوکار و تسهیل روند صدور مجوزهاست. بر اساس طرح تسهیل صدور مجوزها، از این پس متقاضیان کسبوکار، به جای رویکردهای اعلام محور، با استفاده از روشهای ثبتمحور، مجوزهای خود را دریافت میکنند. یعنی در یک سامانه ثبتنام کرده و پس از سه روز مجوز کسبوکار مورد نظر خود را دریافت میکنند. طبیعی است که این حجم از اطلاعات ثبتی نیازمند حفاظت و ایمنی است. این دادههای اطلاعاتی، بخشی از مهمترین داشتهها و در واقع ظرفیتهای کشور محسوب میشوند که باید از دسترس بدخواهان دور نگه داشته شوند.»
فلاحی در پایان خاطرنشان کرد: «طرح حمایت و حفاظت از دادههای شخصی و سایر طرحهایی از این دست نیز با چنین ضرورتهایی ارائه و روند تصویب و اجراییشدن آن آغاز میشود. مجلس بهدنبال آن است تا از یک طرف زمینه توسعه ثبتمحور شدن فعالیتهای اقتصادی را فراهم کند و از سوی دیگر زمینه ایمنسازی دادههای مردم و شرکتهای اقتصادی این شاهراههای ارتباطی را نیز فراهم سازد. این رویکردی است که همزمان با گسترش فعالیتهای آنلاین و اینترنتی باید مورد توجه قرار بگیرد تا داراییهای مردم و ظرفیتهای کشور دچار آسیب و خسران نشود. در این طرح هم هر حرکتی با کسب اجازه از افراد، شرکتها و در راستای منافع آنها عملیاتی خواهد شد. مجلس هرگز بهدنبال مسدودسازی یا محدودسازی نبوده و نیست و تنها بهدنبال حفاظت و صیانت است.»
با عبور از این اظهارنظرها طرح حفاظت از دادههای شخصی در حال حاضر در دستور کار بررسیهای کمیسیون صنایع و معادن مجلس قرار دارد. جعفر قادری، نایبرئیس کمیسیون ویژه جهش تولید، قرار گرفتن طرح ذیل بررسیهای کمیسیون صنایع و معادن را دلیلی بر مواجهه تخصصی و کارشناسی مجلس با این طرح ارزیابی میکند؛ چراکه از منظر این نماینده، اگر قرار بود رویکردهای حقوقی و قضایی، محور اصلی طرح باشد، موضوع در کمیسیون حقوقی و قضایی بررسی میشد. اما رویکرد کلی مجلس در رویارویی با چنین طرحهایی اقتصادی و تخصصی است.
در نهایت باید دید نمایندگان موفق خواهند شد طرح را بهصورت چراغخاموش مورد بررسی و تصویب قرار دهند یا سرنوشت دیگری از جنس حاشیههایی که برای طرح صیانت ایجاد شد، در انتظار این طرح خواهد بود؟