پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
حل معمای دسترسی به اطلاعات بانکی
نیما نامداری، معاون طرح و توسعه شرکت تجارت الکترونیکی ارتباط فردا؛ دنیای اقتصاد / در روزهای اخیر سازمان امور مالیاتی به انتقاد شدید از کسانی پرداخته که مانع دسترسی این سازمان به اطلاعات مالی اشخاص حقیقی و حقوقی میشوند. همزمان گفته میشود تقریباً نیمی از بانکها (اغلب بانکهای بزرگ و دولتی) از امضای توافقنامه ارسال اطلاعات مشتریان برای ادارات مالیاتی سرباز زدهاند. بانکهای مخالف معتقدند آنچه سازمان امور مالیاتی میخواهد بسیار فراتر از حدود تعیینشده در قانون است.
این اختلاف نظر را میتوان مصداق چالش جدی «محرمانگی و مالکیت دادههای مالی اشخاص حقیقی و حقوقی» دانست که با گسترش فناوری اطلاعات و نیز فناوری مالی (Fin-Tech) روز به روز بر ابعاد آن افزوده میشود.
ریشه اصلی این مشکل به ضعف نظام حقوقی ایران بازمیگردد. در نظام حقوقی ایران هیچ قانون جامعی که حریم خصوصی را تعریف کند، وجود ندارد. بهعنوان مثال در ایالات متحده از سال ۱۹۷۴ قانونی به نام Privacy Act وجود دارد که تمام مصادیق اطلاعات محرمانه اشخاص حقیقی و حقوقی را که اصل بر محرمانه بودن آنها است، مشخص کرده و تمام شرایط گردآوری، ثبت، نگهداری و دسترسی به این اطلاعات را مشخص کرده است. در کانادا علاوهبر قانون جامعی که حریم خصوصی را تعریف و حمایت میکند قانون دیگری به نام حفاظت از حریم شخصی و مستندات الکترونیکی (PIPEDA) هم وجود دارد که عمدتاً بر اطلاعات الکترونیکی اشخاص تمرکز دارد. طبیعی است که بر اساس این قوانین دهها آییننامه و ضابطه اجرایی هم تدوین و اجرا میشود.
در اغلب کشورهای توسعهیافته چنین قوانین جامعی وجود دارد و مبنای دسترسی نهادهای مختلف قانونی نظیر دادگستری، نهاد مالیاتی، نهاد مبارزه با قاچاق، نهاد کنترل پولشویی و… به اطلاعات خصوصی اشخاص این قوانین است. البته در سالهای اخیر در بسیاری از کشورها برای تعریف حریم خصوصی در حوزه سلامت قوانین مستقلی وضع شده است که بهدلیل تحولات سریع و رشد شتابان حوزه بیوانفورماتیک است. در هر حال قانون حریم خصوصی مشخص میکند چه اطلاعاتی مصداق حریم خصوصی هستند و چه کسانی مجازند به این اطلاعات دسترسی داشته باشند. هرگونه درخواست اطلاعاتی که تحت حفاظت این قانون هستند در قالب فرمهای کاغذی یا الکترونیکی اگر توسط نهادهای استثنا شده در این قانون (که حوزه دسترسی آنها هم محدود و معین است) نباشد، جرم محسوب میشود. همچنین در قوانین حریم خصوصی دقیقاً مشخص شده است که خود فرد در چه شرایطی میتواند شخصاً به فرد دیگری اجازه دسترسی به اطلاعات خود را بدهد و تبعات آن چگونه است.
یکی از جنبههای کلیدی این قوانین، مجازاتی است که برای سهلانگاری در اجرای قانون پیشبینی شده است. چنانچه نهادی (مثلاً ادارات مالیاتی) اجازه دسترسی به اطلاعات خصوصی افراد را داشته باشند اگر اطلاعاتی که به آنها داده شده در موضوعی غیر از آنچه قانون مشخص کرده (مثلاً در تشخیص مالیات) به کار گرفته شود یا اطلاعات در اختیار شخص ثالثی قرار گیرد، جرم کیفری رخ داده و مجازاتهای سنگینی در حد زندان برای فرد خاطی پیشبینی شدهاست. شهروندان طبق همین قانون میتوانند علیه نهاد خاصی اعلام جرم کرده و درخواست غرامت کنند. به همین دلیل عموماً نهادهایی که طبق قانون حریم خصوصی اجازه دسترسی به برخی اطلاعات را دارند در استفاده از این حق محتاط هستند؛ زیرا عواقب آن و مسئولیت اجرای نادرست آن بسیار برایشان سنگین است.
اما در ایران چنین قانونی وجود ندارد. مشخص نیست اطلاعات خصوصی کدام است، روال دسترسیهای مجاز چیست، روال نگهداری چیست، الکترونیکی و کاغذی چه فرقی دارد، سهلانگاری در حفظ محرمانگی چه مجازاتی دارد، مسئولیت اشخاص ثالث در حفظ محرمانگی اطلاعات افشا شده، چیست و دهها موضوع دیگر بلاتکلیف است. فراتر از اطلاعات بانکی، مصادیق حریم خصوصی در بیمه، گمرک، حوزه سلامت، حوزه مخابرات و ارتباطات، بورس، نظام آموزشی، نظام وظیفه و… هیچ کدام مشخص نیست. هر شهروند ایرانی مجبور است در دهها سازمان و نهاد دولتی و خصوصی، اطلاعات شخصی خود را ثبت کند و معلوم نیست بسیاری از این اطلاعات به چه کار این دستگاهها میآید و چگونه محرمانگی این اطلاعات نزد این دستگاهها تضمین میشود.
باید توجه داشت موضوع صرفاً یک بحث قانونی نیست و بحثهای حقوقی جدی در این مسئله وجود دارد. بحث اصلی این است که اساساً اطلاعات مرتبط با حریم خصوصی متعلق به چه کسی است. مثلاً اطلاعات بانکی فرد متعلق به خود او است یا متعلق به بانک است و آیا بانک میتواند بدون رضایت فرد اطلاعات بانکی او را به اشخاص دهد؟ آیا دسترسی به اطلاعات الکترونیکی محرمانه بهنحویکه صرفاً رایانه قادر به بهرهبرداری از آن باشد و هیچ فردی آن را مشاهده نکند (مثلاً آنگونه که در سیستمهای اعتبارسنجی استفاده میشود) ضامن حفظ محرمانگی است؟ در نقطه مقابل، این روزها که بحث بانکداری باز (Open Banking) مطرح است، اگر مشتری یک بانک خودش بخواهد به اشخاص ثالثی اجازه دسترسی به برخی اطلاعات محدود خود را بدهد (چیزی شبیه وکالت) آیا بانک میتواند استنکاف کند؟
این مثالها نشان میدهد موضوع دسترسی به اطلاعات مالی مسئلهای بسیار فراتر از آن چیزی است که این روزها در فضای اقتصادی کشور مطرح است. در بحث مالیات، تنها استناد سازمان امور مالیاتی ماده ۲۳۱ قانون مالیاتهای مستقیم است که خیلی کلی به وزیر اقتصاد اجازه داده اطلاعات بانکی مورد نیاز را بهصورت موردی از بانکها دریافت کند و به سازمان امور مالیاتی انتقال دهد؛ اما به استناد همین قانون کلی، سازمان امور مالیاتی انتظار دسترسی به میلیونها قلم اطلاعات اشخاص حقیقی و حقوقی در بانکها را دارد. بدون آنکه معلوم باشد سازوکار حقوقی و فنی و فرآیند دسترسی و استفاده از این اطلاعات چیست.
بدیهی است که نهاد مالیاتی قانون باید به هر اطلاعاتی که به تشخیص و وصول مالیات حقه کمک کند دسترسی داشته باشد؛ اما باید مسئولیتهای سازمان پس از دسترسی هم مشخص باشد. چه کسانی درون سازمان این اطلاعات را استفاده خواهندکرد و اگر در حفظ محرمانگی کوتاهی کردند با چه مجازاتی روبهرو خواهند شد؟ آیا این صرفاً یک تخلف اداری است یا آنگونه که در دیگر کشورها رایج است یک جرم کیفری است؟ زیرساختهای فناوری اطلاعات سازمان امور مالیاتی برای تضمین انتقال و ذخیرهسازی امن اطلاعات چیست؟ برای امحای اطلاعات محرمانه چه فکری شده است؟ آیا این دسترسی مستلزم اطلاع خود فرد نیز هست؟
در مجموع، یکی از تکالیف حکومت تعریف حریم خصوصی و تعیین چارچوبهای حقوقی حاکم بر آن است. طبیعی است در این چارچوب باید حقوق و تکالیف اشخاص حقیقی و حقوقی و نیز نهادهای حاکمیتی هم مشخص شود. دسترسی سازمان امور مالیاتی به اطلاعات بانکی و مالی اشخاص قطعاً یک ضرورت است؛ اما باید متقابلاً حقوق اشخاص و ابزارهای حفاظت از تجاوز به حریم خصوصی نیز مشخص شود؛ به ویژه آنجا که پای نهادهای قدرتمند حکومتی مطرح است.