راه پرداخت
رسانه فناوری‌های مالی ایران

نقدی بر لایحه حمایت از داده و حریم خصوصی در فضای مجازی

محمد جعفر نعناکار؛ وکیل پایه یک دادگستری و استاد دانشگاه / لایحه حمایت از داده و حریم خصوصی در فضای مجازی که به همت سازمان فناوری اطلاعات ایران و پژوهشگاه قوه قضاییه و دانشگاه علم و فرهنگ تدوین شده است یکی از مهم‌ترین لوایح در خصوص حفظ حریم خصوصی و صیانت از داده‌ها و اطلاعات کاربران در حوزه فضای سایبر است که علی‌رغم کوشش فراوان دارای اشکالات شکلی و ماهوی آن هم به صورت بنیادین است که در صورت عدم اصلاح موارد می‌تواند منجر به فاجعه‌ای حقوقی شود فاجعه‌ای که در عالم حقوق به آن قوانین جرم‌زا می‌گویند.

عدم حفاظت از اطلاعات مخصوصاً اطلاعات مالی می‌تواند از جمله مواردی باشد که موجبات ضرر را برای صاحبان داده ایجاد نماید، جالب آنکه در این لایحه از اطلاعات مالی صیانتی به عمل نیامده است که در ادامه به نقد این لایحه می‌پردازیم.

 

اشکالات شکلی

  1. متأسفانه به جای واژه الکترونیکی از واژه الکترونیک استفاده شده است که اهل فن تفاوت‌های میان این دو را به خوبی می‌دانند، اصولاً حمایت از داده و حریم خصوص در فضای الکترونیکی رخ می‌دهد نه در فضای الکترونیک و اصالتاً فضای الکترونیک موجودیت خارجی ندارد.
  2. این قانون دارای دو باب دوم است!
  3. در ماده ۱۶ به بند 1 ماده 16 ارجاع شده که این ماده اصلاً بند ندارد، احتمالاً منظور ماده ۱۵ بوده است.
  4. در ماده 19 به بند 3 ماده 16 اشاره شده در حالی که ماده 16 اصلاً بند ندارد، احتمالاً منظور ماده ۱۵ بوده است.
  5. ماده 22 بدون هیچ دلیل موجهی به صورت مجزا از ماده 20 قرار گرفته در حالی که هر دو ماده در خصوص تکلیف «کنترل‌گر» است.
  6. در بند «پ» ماده ۲۵ و بند «د» ماده ۲۷، به نماینده کانون وکلا اشاره شده در حالی که مرکز مشاوران قوه قضاییه موضوع ماده 187 برنامه توسعه نادیده گرفته شده است و این خود تبعیضی آشکار است.

 

اشکالات ماهوی

  1. در تعاریف آمده در بندهای 7 گانه ماده یک ابهامات بسیاری وجود دارد که می‌بایست تعیین تکلیف شود به عنوان نمونه:
    1. در بند ۲ و 4 ماده 1 عبارت «جمع‌آوری» و «گردآوری» آمده است و این امر باعث خلط معانی کارکردی عمل «پردازش» و «جمع‌آوری» داده می‌گردد.
    2. در بند 2 ماده 1 «پردازش» تعریف شده است و در آخر این بند آمده «… و بتوان آن داده را به شخص موضوع آن مرتبط کرد.» سؤال اساسی آن است که اگر نتوان داده را به شخصی مرتبط کرد آیا پردازشی صورت نپذیرفته است؟ اگر این پردازش بدون ارتباط را به رسمیت نشناسیم چگونه اطلاعات جدید را از داده‌های جمع‌آوری شده استخراج نماییم، آیا این اطلاعات فاقد ارزش هستند؟ آیا این اطلاعات مورد حمایت قانونی نخواهند بود؟
    3. در بند 5 ماده 1 «کنترل گر» تعریف شده است و این تعریف از این جهت دارای اهمیت است که بسیاری از عملکردها و فرآیندهای پیش‌بینی شده در این قانون توسط کنترل گر صورت می‌پذیرد، حال آنکه در این تعریف کاستی‌هایی وجود دارد به طور مثال آمده است «کنترل گر» عبارت است از هر شخص حقیقی و حقوقی که بر اساس قرارداد یا قانون یا در عمل هدف و چگونگی ثبت و پردازش داده را تعیین می‌کند، به عبارت دیگر یعنی کنترل گر دخالتی در امور اجرایی نداشته و فقط تعیین کننده خط مشی است و البته معلوم نیست منظور از چگونگی ثبت و پردازش داده چیست؟ آیا منظور از ثبت همان ایجاد داده است؟ در صورتی که این تعریف به صورت صحیح اصلاح نگردد از نظر حقوقی «کنترل گر» با استمساک به این تعریف می‌تواند بسیاری از وظایف قانونی و عدم تعهد به وظایف را توجیه نماید که این امر بسی خطرناک و آسیب زا است.
  2. در ماده 2 لایحه اشاره شده است که این قانون برای محافظت از حریم داده‌های شخصی و حمایت از حیثیت و کرامت هر فرد ایجاد شده است، سؤال آنکه پس وضعیت اشخاص حقوقی و صیانت از اسرار تجاری و یا برندینگ آن چگونه خواهد بود؟ با توجه به توسعه کسب‌وکارهای اینترنتی بسیار زیاد و فعالیت شرکت‌های سنتی در این فضا آیا نیازی به حمایت از داده‌های شخصی این‌گونه شرکت‌ها ملاک نبوده است؟ همچنین در قسمت اخیر این ماده آمده «…هر ذی‌نفعی می‌تواند بر پردازش داده‌های شخصی نظارت داشته باشد»، اما چگونگی این نظارت با عنایت به پیچیدگی‌های فنی بیان نشده است حال آنکه در این ماده از عبارت «هر کس» به جای «هر شخص» استفاده شده است که خود دارای بحث‌های عمیق حقوقی است، زیرا که باز محدودیتی برای اشخاص حقوقی ایجاد نموده و از آنان حمایتی به عمل نمی‌آورد.
  3. در ماده ۳ این قانون باز نیز شخصیت‌های حقوقی مورد توجه قرار نگرفته‌اند که شاهد مثال آن بندهای 3 و ۷ است. به صورتی که معلوم نیست برخورد قانون با شرکت‌های در حال انحلال و تصفیه چگونه است و یا در صورت ضرر به اشخاص حقوقی چگونه باید جبران خسارت نمود.
  4. همچنین در بند 4 ماده 3 فرآیندی پیش‌بینی شده است که می‌تواند بسیار فسادزا باشد و دلیل آن نیز معلوم نیست که چه بوده است که اختیارات بسیار زیادی را به کمسیون در خصوص عدم اعتبار به رضایت شخص مبنی بر ایجاد داده یا پردازش داده شده است.
  5. در بند 7 ماده ۳ که خود نوعی آیین دادرسی به حساب می‌آید و خارج از مسائل مدنی است نیز چندین ایراد به چشم می‌خورد، نخست عدم تعیین تکلیف اشخاص حقوقی در صورت متضرر شدن و دوم اینکه در این بند تنها به جبران خسارت متعارف بسنده شده است، حال آنکه اگر خسارت نا متعارف بود چگونه عمل خواهد شد؟ همچنین در قسمت آخر این بند واژه «او» باید به «ثالث» تغییر نماید.
  6. در ماده 5 لایحه در خصوص اسرار تجاری باز هم بحثی به میان نیامده است.
  7. در بند 1 ماده ۷ به شرط اعلامی در ماده ۲ اشاره شده، حال آنکه در این ماده اصلاً شرطی بیان نشده است مگر قابل انتصاب بودن که آن هم اشتباه است.
  8. در ماده 8 مسئولیت صحت و تمامیت داده‌ها به عهده ثبت‌کننده این داده‌ها گذاشته شده است، حال آنکه معلوم نیست ثبت‌کننده داده اصولاً کیست.
  9. در ماده 9 وظیفه حذف یا اصلاح داده بر عهده کنترل گر گذاشته شده است که این امر در تزاحم با ماده ۸ و وظایف ثبت‌کننده اطلاعات است.
  10. قسمت ابتدایی ماده 10 در تضاد آشکار با بند 1 ماده 2 است، در بند 1 ماده 2 عنوان شده در عمل پردازش باید بتوان داده را به شخص موضوع آن مرتبط کرد در حالی که در ماده 10 آمده باید پردازش به گونه‌ای باشد که شخص موضوع داده قابل شناسایی نباشد، همچنین در ماده 10 آمده است که باید اهداف اعلام شده در ماده ۳ را نیز مد نظر قرارداد در حالی که در ماده ۳ اصلاً هدفی عنوان نشده است.
  11. در بندهای 4 گانه ماده ۱۲ فرایندی پیش‌بینی شده است که با تفسیر موسع می‌توان بیان کرد که کلاً و اصالتاً می‌توان بدون رضایت به داده‌ها دسترسی پیدا نمود.
  12. ماده 13 لایحه دارای تالی فاسد است و ابهامات زیادی در خصوص نحوه استفاده تجاری را در بر می‌گیرد.
  13. در بند 2 ماده ۱۵ داده‌های حساس تعریف شده است و در بند 1 ایجاد، پردازش و استفاده از این نوع اطلاعات ممنوع اعلام شده است حال آنکه اطلاعات مالی در این بند به چشم نمی‌خورد و وضعیت جسمانی نیز جزء اطلاعات حساس قلمداد شده است در حالی که دریافت اطلاعات جسمانی می‌تواند در تعیین خط مشی‌ها و توازن در ارائه خدمات بهداشتی و شهروندی از اهمیت فراوانی برخوردار باشد جالب آنکه محکومیت‌های کیفری جزء داده‌های حساس است در حالی که این اطلاعات در سجل کیفری می‌بایست قهرا ثبت و قابل استعلام مراجع گوناگون باشد.
  14. استثنای بند 3-5 ماده ۱۵ نیز به صورت بسیار کلی است و می‌توان آن را به هر نحوی تفسیر نمود، یکی از راه‌های محدود سازی این بند شاید مراجعه به حکم دادگاه باشد.
  15. ماده ۱۶ مرکز آمار ایران را در خصوص جمع‌آوری اطلاعات حساس مستثنا نموده حال آنکه اصلاً معلوم نیست این مرکز چه نیازی به این‌گونه اطلاعات دارد و جمع‌آوری این اطلاعات خود نقض غرض است.
  16. ماد ۱۸ نیز استثنائات فراوانی را مطرح نموده که غیر قابل پذیرش است.
  17. ماده 19 در تضاد با ماده 20 و 4 است.
  18. قسم دوم بند ب ماده ۲۰ بسیار کلی است و می‌تواند تفاسیر متعددی را در پی داشته باشد.
  19. در ماده 21 از کمیسیون مرکزی حمایت از داده‌ها و آزادی اطلاعات نام برده شده است که در قانون تعریفی از آن به میان نیامده است.
  20. در خصوص تبصره ۲ ماده ۲۵ نیز رویه غلطی در نظر گرفته شده و معلوم نیست در صورت عدم موافقت قاضی چه اتفاقی رخ خواهد داد.

در پایان امید است تهیه‌کنندگان لوایح قبل از انتشار پیش‌نویس نظر افراد و اشخاص خبره را اخذ و از جهات گوناگون موارد، تعهدات و تکالیف را مورد بررسی قرار دهند.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.