بررسی تطبیقی قوانین داده و حریم خصوصی در ایران، آمریکا و فرانسه

نگاهی به طرح حفاظت از داده‌های شخصی مجلس و تطبیق آن با قوانین آمریکا و فرانسه

نویسنده: راه پرداخت انتشار: 21 اسفند سال 1403 ساعت 9:12 0

حریم خصوصی یکی از مناقشه برانگیزترین بحث‌های پژوهشی میان رشته در میان رشته‌های حقوق، فناوری اطلاعات، جرم شناسی و فقه است. درکشور ما نیز سال‌هاست در خصوص تعریف و مصادیق حریم خصوصی مطالعات تطبیقی و راهبردی به منظور تصویب قوانین و بخش‌نامه‌های کاربردی انجام شده است. حریم خصوصی هنگامی که به فضای تبادل داده وارد می‌شود چالش‌های بیشتری ایجاد می‌کند. داده‌های افراد در فضای مجازی بدون اطلاع آنها می‌توانند از مبادی قانونی تبادل شوند بدون آنکه مالک اصلی داده (مردم) از آن آگاهی یابند.

مالک داده کیست؟
نقش سازمان گردآوری کننده در مالکیت چیست؟

به گزارش روابط عمومی آستان، پرسش‌هایی هستند که در کشور پاسخ روشن و صریح قانونی برای آن وجود ندارد. برای بررسی بیشتر آنها حمیدرضا معیری، معاون راهکار و فناوری شرکت آستان به همراه رضا محسنی قاضی، دادسرای ویژه رسیدگی به تخلف کارکنان دولت، به بررسی تطبیقی قوانین مرتبط در دو کشور فرانسه و آمریکا و سپس نگاشت آن بر طرح «حفاظت از داده‌های شخصی» که توسط نمایندگان مجلس پیشنهاد شده است، کرده‌اند.

علت انتخاب این دوکشور این است که یکی از آنها نماد دموکراسی و دیگری نماد سرمایه‌داری است و علاوه بر آن فرانسه‌ دموکرات تلاش دارد خود و قوانینش را در قالب هویت پیوسته‌ای تحت عنوان اتحادیه اروپا ارزیابی کند و آمریکای سرمایه‌داری تلاش دارد به فدرالیسم احترام گذاشته و هر ایالت در آن می‌تواند قوانین خاص ایالتی خود را مصوب و در حوزه قضایی خود لازم الاتباع کند.

ایرانِ تحت حاکمیت جمهوری اسلامی برخلاف این دو از یک حوزه‌ قضایی واحد پیروی کرده و خود را جزیی از یک نظام قضایی منطقه‌ای یا جهانی به شمار نمی‌آورد.

تطبیق سه‌گانه‌ این حوزه‌های قضایی موجب می‌شود تا دید بهتری به طراحان قوانین ارائه شود و بتوانند با مسئله داده و مالکیت و … تعامل درست‌تری داشته باشند.

اشتیاق وصف ناپذیر حاکمیت برای ورود به حوزه‌ هوش مصنوعی به مناقشات مالکیت داده بیش از پیش دامن خواهد زد. این مطالعه تطبیقی که در اولین کنفرانس علمی حکمرانی داده و هوش مصنوعی دانشگاه تهران برگزیده شده است تلاش دارد از رهگذر مطالعه تطبیقی خلاها و نقاط کور طرح هایی مانند «طرح حفاظت از داده های شخصی» را بررسی و آشکار کند.

با یک نظر می‌توان دریافت که طرح مذکور از روی قانون EU GDPR کپی شده و تا حدی هم تلاش شده ملاحظات بومی به آن اضافه شود که البته این کار نیز در نوع خود کار چندان نادرستی نیست. توجه به پیشینه و الگوهای موفق در حوزه‌های تحقیقاتی وکتابخانه‌ای مناسب است اما نگاشت یک به یک آن در عمل به نظر می‌رسد نارسایی‌هایی ایجاد کند.

نیاز است محققان منابع و الگوهای برتر را رصد و مطالعه کرده اما خروجی‌ای متناسب با واقعیت و نیاز فعلی ارایه کنند.

در طرح حفاظت از داده‌های شخصی از مؤلفه‌های بالا در خصوص پردازش این موارد ذکر شده:

داده‌های شخصی تنها در صورتی پردازش می‌شود که رضایت شخص موضوع داده اخذ شده یا به موجب قانون باشد؛
داده‌های شخصی بیش از حد لازم ذخیره نم‌یشود و در تمامی فرایندهای پردازش، ایمن نگهداشته می شود؛
داده‌های شخصی فقط در محدوده قانون و امور مرتبط با کسب‌وکار اخذ کننده داده‌ها استفاده می‌شود و بدون مجوز در اختیار دیگری قرار داده نمی‌شود؛
حقوق مرتبط با داده‌های شخصی نظیر حق فراموشی و حق اصلاح و انتقال داده ها به رسمیت شناخته می‌شود؛
حقوق افراد به ویژه کودکان و گروه‌های حساس، در پردازش داده های شخصی رعایت می‌شود؛
در صورت سوءاستفاده یا پردازش‌های خارج از قانون به نحو مقتضی با متخلف و مجرم برخورد قانونی می‌شود.

در خصوص مجازات‌ها تطابق به شکل زیر است:

قوانین حفظ حریم خصوصی داده‌ها نقش محوری در حفاظت از اطلاعات شخصی افراد در عصر دیجیتال ایفا می‌کند. در این بخش نگاهی به مکانیسم‌های اجرایی و مجازات‌های دو حوزه‌ قضایی اروپا و آمریکا می‌پردازیم.

در قانون GDPR اتحادیه اروپا دو سطح جریمه مشخص شده است:

سطح یک جریمه‌هایی تا ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه.
سطح دوم جریمه‌هایی تا ۲۰ میلیون یورو یا ۴ درصد گردش مالی سالانه.

این جرائم شامل طیف وسیعی از تخلفات، از جمله اقدامات ناکافی حفاظت از داده ها، عدم شفافیت و عدم رعایت حقوق موضوع داده نیز می‌شود.

مقامات نظارتی در هر یک از کشورهای عضو اتحادیه اروپا مسئول اجرای GDPR هستند.

ایالات متحده همچنان در این مورد نیز متکثر و ایالتی قانون‌گذاری می‌کند. در برخی ایالت‌ها مانند کالیفرنیا قوانین حفظ حریم خصوصی مصرف کننده کالیفرنیا اجازه می‌دهند جرایم مربوط به این قوانین به صورت مدنی (حقوقی) و کیفری مورد تعقیب قرار گیرند.

با وجود تمایزهای اساسی بین دو حوزه‌ قضایی مورد پژوهش این نوشتار هر دو حوزه (اروپا و امریکا) بر الزام جرایم و ضرورت اعمال آن پافشاری دارند.

ماده‌ ۳۰ بند الف طرح پیشنهادی حفاظت از داده‌های شخصی مجازات را به قانون مجازات اسلامی مصوب سال ۹۲ ارجاع داده و به صورت مستقیم جریمه‌ای در نظر نگرفته است. در ماده ۲۸ همین طرح در خصوص پردازشگران بین‌المللی مجازاتی مشابه حداکثر جریمه‌ تعیین شده در GDPR یعنی همان چهار درصد تعیین شده اما به‌جای گردش مالی از درآمد شرکت نام برده شده است.

نتیجه‌ این پژوهش به اختصار چنین بیان شده:

مطالعه تطبیقی دو قانون که از دید حوزه‌ قضایی با یکدیگر تمایز دارند و تعمیم آن به طرحی موسوم به «حفاظت از داده‌های شخصی» نشان داد که طرح یاد شده با مطالعه دو قانون اروپایی و امریکایی تدوین شده‌اند. جهش ناگهانی طرح به مسئله هوش مصنوعی تا حدی منطبق با رویکرد حاکمیت به هوش مصنوعی است.

مالکیت داده که مبنای حقوقی طرح دعوایی در این حوزه می‌تواند باشد در این طرح مغفول مانده و هیچ کجا صراحتا مالک داده را مشخص نمی‌کند. اگرچه طرحی که بررسی شد قانون نیست و تأثیری در اکوسیستم ندارد اما ذهنیت قانون‌گذار در مواجهه با داده‌ها را نشان می‌دهد.

رویکرد طرح پیشنهادی حفاظت از داده‌های شخصی در قبال تبادل داده با جهان رویکردی سلبی و محدود کننده است.

پیشنهاد می‌شود پژوهش‌های آینده بر مبانی حقوقی مورد نیاز اکوسیستم با استفاده از روش دلفی تمرکز کنند و ابتدا مؤلفه‌ها و متغیرهای تأثیرگذار بر اکوسیستم تبادل داده را استخراج کنند و بر اساس میزان اهمیت و ارتباط آن با اکوسیستم راه را برای قانون‌گذار روشن کنند.