پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
محمد جعفر نعناکار؛ وکیل پایه یک دادگستری و استاد دانشگاه / لایحه حمایت از داده و حریم خصوصی در فضای مجازی که به همت سازمان فناوری اطلاعات ایران و پژوهشگاه قوه قضاییه و دانشگاه علم و فرهنگ تدوین شده است یکی از مهمترین لوایح در خصوص حفظ حریم خصوصی و صیانت از دادهها و اطلاعات کاربران در حوزه فضای سایبر است که علیرغم کوشش فراوان دارای اشکالات شکلی و ماهوی آن هم به صورت بنیادین است که در صورت عدم اصلاح موارد میتواند منجر به فاجعهای حقوقی شود فاجعهای که در عالم حقوق به آن قوانین جرمزا میگویند.
عدم حفاظت از اطلاعات مخصوصاً اطلاعات مالی میتواند از جمله مواردی باشد که موجبات ضرر را برای صاحبان داده ایجاد نماید، جالب آنکه در این لایحه از اطلاعات مالی صیانتی به عمل نیامده است که در ادامه به نقد این لایحه میپردازیم.
اشکالات شکلی
- متأسفانه به جای واژه الکترونیکی از واژه الکترونیک استفاده شده است که اهل فن تفاوتهای میان این دو را به خوبی میدانند، اصولاً حمایت از داده و حریم خصوص در فضای الکترونیکی رخ میدهد نه در فضای الکترونیک و اصالتاً فضای الکترونیک موجودیت خارجی ندارد.
- این قانون دارای دو باب دوم است!
- در ماده ۱۶ به بند 1 ماده 16 ارجاع شده که این ماده اصلاً بند ندارد، احتمالاً منظور ماده ۱۵ بوده است.
- در ماده 19 به بند 3 ماده 16 اشاره شده در حالی که ماده 16 اصلاً بند ندارد، احتمالاً منظور ماده ۱۵ بوده است.
- ماده 22 بدون هیچ دلیل موجهی به صورت مجزا از ماده 20 قرار گرفته در حالی که هر دو ماده در خصوص تکلیف «کنترلگر» است.
- در بند «پ» ماده ۲۵ و بند «د» ماده ۲۷، به نماینده کانون وکلا اشاره شده در حالی که مرکز مشاوران قوه قضاییه موضوع ماده 187 برنامه توسعه نادیده گرفته شده است و این خود تبعیضی آشکار است.
اشکالات ماهوی
- در تعاریف آمده در بندهای 7 گانه ماده یک ابهامات بسیاری وجود دارد که میبایست تعیین تکلیف شود به عنوان نمونه:
- در بند ۲ و 4 ماده 1 عبارت «جمعآوری» و «گردآوری» آمده است و این امر باعث خلط معانی کارکردی عمل «پردازش» و «جمعآوری» داده میگردد.
- در بند 2 ماده 1 «پردازش» تعریف شده است و در آخر این بند آمده «… و بتوان آن داده را به شخص موضوع آن مرتبط کرد.» سؤال اساسی آن است که اگر نتوان داده را به شخصی مرتبط کرد آیا پردازشی صورت نپذیرفته است؟ اگر این پردازش بدون ارتباط را به رسمیت نشناسیم چگونه اطلاعات جدید را از دادههای جمعآوری شده استخراج نماییم، آیا این اطلاعات فاقد ارزش هستند؟ آیا این اطلاعات مورد حمایت قانونی نخواهند بود؟
- در بند 5 ماده 1 «کنترل گر» تعریف شده است و این تعریف از این جهت دارای اهمیت است که بسیاری از عملکردها و فرآیندهای پیشبینی شده در این قانون توسط کنترل گر صورت میپذیرد، حال آنکه در این تعریف کاستیهایی وجود دارد به طور مثال آمده است «کنترل گر» عبارت است از هر شخص حقیقی و حقوقی که بر اساس قرارداد یا قانون یا در عمل هدف و چگونگی ثبت و پردازش داده را تعیین میکند، به عبارت دیگر یعنی کنترل گر دخالتی در امور اجرایی نداشته و فقط تعیین کننده خط مشی است و البته معلوم نیست منظور از چگونگی ثبت و پردازش داده چیست؟ آیا منظور از ثبت همان ایجاد داده است؟ در صورتی که این تعریف به صورت صحیح اصلاح نگردد از نظر حقوقی «کنترل گر» با استمساک به این تعریف میتواند بسیاری از وظایف قانونی و عدم تعهد به وظایف را توجیه نماید که این امر بسی خطرناک و آسیب زا است.
- در ماده 2 لایحه اشاره شده است که این قانون برای محافظت از حریم دادههای شخصی و حمایت از حیثیت و کرامت هر فرد ایجاد شده است، سؤال آنکه پس وضعیت اشخاص حقوقی و صیانت از اسرار تجاری و یا برندینگ آن چگونه خواهد بود؟ با توجه به توسعه کسبوکارهای اینترنتی بسیار زیاد و فعالیت شرکتهای سنتی در این فضا آیا نیازی به حمایت از دادههای شخصی اینگونه شرکتها ملاک نبوده است؟ همچنین در قسمت اخیر این ماده آمده «…هر ذینفعی میتواند بر پردازش دادههای شخصی نظارت داشته باشد»، اما چگونگی این نظارت با عنایت به پیچیدگیهای فنی بیان نشده است حال آنکه در این ماده از عبارت «هر کس» به جای «هر شخص» استفاده شده است که خود دارای بحثهای عمیق حقوقی است، زیرا که باز محدودیتی برای اشخاص حقوقی ایجاد نموده و از آنان حمایتی به عمل نمیآورد.
- در ماده ۳ این قانون باز نیز شخصیتهای حقوقی مورد توجه قرار نگرفتهاند که شاهد مثال آن بندهای 3 و ۷ است. به صورتی که معلوم نیست برخورد قانون با شرکتهای در حال انحلال و تصفیه چگونه است و یا در صورت ضرر به اشخاص حقوقی چگونه باید جبران خسارت نمود.
- همچنین در بند 4 ماده 3 فرآیندی پیشبینی شده است که میتواند بسیار فسادزا باشد و دلیل آن نیز معلوم نیست که چه بوده است که اختیارات بسیار زیادی را به کمسیون در خصوص عدم اعتبار به رضایت شخص مبنی بر ایجاد داده یا پردازش داده شده است.
- در بند 7 ماده ۳ که خود نوعی آیین دادرسی به حساب میآید و خارج از مسائل مدنی است نیز چندین ایراد به چشم میخورد، نخست عدم تعیین تکلیف اشخاص حقوقی در صورت متضرر شدن و دوم اینکه در این بند تنها به جبران خسارت متعارف بسنده شده است، حال آنکه اگر خسارت نا متعارف بود چگونه عمل خواهد شد؟ همچنین در قسمت آخر این بند واژه «او» باید به «ثالث» تغییر نماید.
- در ماده 5 لایحه در خصوص اسرار تجاری باز هم بحثی به میان نیامده است.
- در بند 1 ماده ۷ به شرط اعلامی در ماده ۲ اشاره شده، حال آنکه در این ماده اصلاً شرطی بیان نشده است مگر قابل انتصاب بودن که آن هم اشتباه است.
- در ماده 8 مسئولیت صحت و تمامیت دادهها به عهده ثبتکننده این دادهها گذاشته شده است، حال آنکه معلوم نیست ثبتکننده داده اصولاً کیست.
- در ماده 9 وظیفه حذف یا اصلاح داده بر عهده کنترل گر گذاشته شده است که این امر در تزاحم با ماده ۸ و وظایف ثبتکننده اطلاعات است.
- قسمت ابتدایی ماده 10 در تضاد آشکار با بند 1 ماده 2 است، در بند 1 ماده 2 عنوان شده در عمل پردازش باید بتوان داده را به شخص موضوع آن مرتبط کرد در حالی که در ماده 10 آمده باید پردازش به گونهای باشد که شخص موضوع داده قابل شناسایی نباشد، همچنین در ماده 10 آمده است که باید اهداف اعلام شده در ماده ۳ را نیز مد نظر قرارداد در حالی که در ماده ۳ اصلاً هدفی عنوان نشده است.
- در بندهای 4 گانه ماده ۱۲ فرایندی پیشبینی شده است که با تفسیر موسع میتوان بیان کرد که کلاً و اصالتاً میتوان بدون رضایت به دادهها دسترسی پیدا نمود.
- ماده 13 لایحه دارای تالی فاسد است و ابهامات زیادی در خصوص نحوه استفاده تجاری را در بر میگیرد.
- در بند 2 ماده ۱۵ دادههای حساس تعریف شده است و در بند 1 ایجاد، پردازش و استفاده از این نوع اطلاعات ممنوع اعلام شده است حال آنکه اطلاعات مالی در این بند به چشم نمیخورد و وضعیت جسمانی نیز جزء اطلاعات حساس قلمداد شده است در حالی که دریافت اطلاعات جسمانی میتواند در تعیین خط مشیها و توازن در ارائه خدمات بهداشتی و شهروندی از اهمیت فراوانی برخوردار باشد جالب آنکه محکومیتهای کیفری جزء دادههای حساس است در حالی که این اطلاعات در سجل کیفری میبایست قهرا ثبت و قابل استعلام مراجع گوناگون باشد.
- استثنای بند 3-5 ماده ۱۵ نیز به صورت بسیار کلی است و میتوان آن را به هر نحوی تفسیر نمود، یکی از راههای محدود سازی این بند شاید مراجعه به حکم دادگاه باشد.
- ماده ۱۶ مرکز آمار ایران را در خصوص جمعآوری اطلاعات حساس مستثنا نموده حال آنکه اصلاً معلوم نیست این مرکز چه نیازی به اینگونه اطلاعات دارد و جمعآوری این اطلاعات خود نقض غرض است.
- ماد ۱۸ نیز استثنائات فراوانی را مطرح نموده که غیر قابل پذیرش است.
- ماده 19 در تضاد با ماده 20 و 4 است.
- قسم دوم بند ب ماده ۲۰ بسیار کلی است و میتواند تفاسیر متعددی را در پی داشته باشد.
- در ماده 21 از کمیسیون مرکزی حمایت از دادهها و آزادی اطلاعات نام برده شده است که در قانون تعریفی از آن به میان نیامده است.
- در خصوص تبصره ۲ ماده ۲۵ نیز رویه غلطی در نظر گرفته شده و معلوم نیست در صورت عدم موافقت قاضی چه اتفاقی رخ خواهد داد.
در پایان امید است تهیهکنندگان لوایح قبل از انتشار پیشنویس نظر افراد و اشخاص خبره را اخذ و از جهات گوناگون موارد، تعهدات و تکالیف را مورد بررسی قرار دهند.