طفل شش‌ماهه مرکز ملی فضای مجازی

دستورالعمل موردبحث به طور کلی پنج تکلیف اصلی برای ارائه‌‌‌دهندگان خدمات اینترنتی تعیین کرده،  اما نه‌تنها برای واژگان اصلی مثل پردازش و داده‌‌‌های مرتبط با کاربران تعریفی ارائه نشده،  بلکه تعیین ضوابط برخی از این تکالیف مثل رمزنگاری،  به دستورالعمل‌‌‌های بعدی (که قرار است توسط تنظیم‌‌‌گران بخشی مشخص شود) موکول شده است. نخستین تکلیف مشخص‌شده در این دستورالعمل این است که سامانه‌‌‌ها و سکوهای فضای مجازی در رابطه با داده‌‌‌هایی که جمع‌‌‌آوری می‌‌‌کنند به کاربران اطلاع دهند و رضایت آنها را برای جمع‌‌‌آوری و پردازش جلب کنند.

اگرچه اصل کسب رضایت برای جمع‌‌‌آوری و پردازش داده‌‌‌های شخصی در بسیاری از کشورهای جهان پذیرفته شده است،  اما این اصل به طور معمول در قوانینی مثل مقررات عمومی حفاظت از داده‌‌‌ اتحادیه اروپا (GDPR) استثنائات متعددی دارد،  از جمله اینکه برای پردازش داده‌‌‌هایی که قبلا در فضای عمومی منتشر شده‌‌‌اند و در دسترس همگان قرار دارند،  نیازی به دریافت رضایت نیست و صرفا باید به شخص موضوع داده اطلاع‌‌‌رسانی شود (ماده۱۴‌GDPR ‌). یا در مواردی که پردازش داده برای اجرای قرارداد یا نفع حیاتی کاربر یا دیگران ضرورت دارد،  دریافت رضایت ضروری نیست (ماده ۶‌GDPR).‌ در دستورالعمل موردبحث به این موارد استثنا توجه نشده است که درعمل فقط باعث محدود شدن فعالیت سکوها،  توانایی آنها برای نوآوری و توسعه خدمات برمبنای تحلیل داده می‌‌‌شود.

افزون بر این،  تصمیم‌‌‌گیری درخصوص رضایت یا عدم‌‌‌رضایت به پردازش داده از طرف کاربر تا حد زیادی به «شناخت پردازشگران داده» و «افرادی که به طور ثانویه به داده‌‌‌ها دسترسی پیدا می‌‌‌کنند»،  بستگی دارد؛ اما این موارد جزو اطلاعاتی که ارائه‌‌‌دهندگان خدمات باید به اطلاع کاربر برسانند،  ذکر نشده و درخصوص تبادل و به اشتراک‌‌‌گذاری داده نیز حکمی در دستورالعمل وجود ندارد. به این ترتیب مشخص نیست بدون این اطلاعات چگونه کاربران می‌توانند درخصوص جمع‌‌‌آوری و پردازش داده‌‌‌های شخصی خود تصمیم‌‌‌گیری کنند. در تبصره ۲ بند ۱ دستورالعمل نیز گفته شده است که سکوها باید ظرف مدت سه ماه رضایت کاربران را نسبت به داده‌‌‌هایی که پیش از این جمع‌‌‌آوری و ذخیره‌‌‌سازی کرده‌‌‌اند دریافت کنند. البته مشخص نیست در صورتی که کاربران درباره‌‌‌ این داده‌‌‌ها تعیین تکلیف نکنند،  (به طور مثال به ایمیلی که از طرف سکوها ارسال می‌‌‌شود و شرایط جمع‌آوری و پردازش داده را مشخص می‌‌‌کند،  پاسخ ندهند) سکوها می‌توانند از این داده‌‌‌ها استفاده کنند یا خیر. این نواقص و ابهامات موجود در دستورالعمل،  در شرایطی که نظارت بر اجرای آن به تنظیم‌‌‌گران بخشی متعدد واگذار شده است،  می‌تواند باعث ایجاد رویه‌‌‌های متناقض و اعمال احکام غیرمنصفانه نسبت به سکوها شود.

یکی دیگر از احکام دستورالعمل این است که سکوها،  داده‌‌‌هایی را که کاربران درخواست حذف آنها را دارند،  بلافاصله امحا کنند. این موضوع که اغلب در ادبیات این حوزه با عنوان حق فراموشی مطرح می‌‌‌شود،  با محدودیت‌‌‌های متعددی روبه‌رو است. در عمل،  ارائه‌دهندگان خدمات،  برمبنای داده‌‌‌هایی که از کاربران دریافت می‌‌‌کنند،  سرمایه‌‌‌گذاری‌‌‌های کلانی انجام می‌‌‌دهند و الگوریتم‌‌‌های مختلف را طراحی و اجرا می‌‌‌کنند. حذف داده‌‌‌ها می‌تواند به عملکرد کسب‌‌‌وکارها آسیب قابل‌‌‌توجهی برساند و حتی با منافع و حقوق سایر کاربران در تعارض باشد. دستورالعمل موردبحث بدون درنظر گرفتن این استثنائات و محدودیت‌‌‌ها،  صرفا سکوها را ملزم به حذف داده‌‌‌های کاربران مبتنی بر درخواست آنان کرده است. همچنین اعمال این حکم باید نسبت به داده‌‌‌های شخصی کاربران باشد،  در حالی که در متن دستورالعمل گفته شده است «داده‌‌‌های مرتبط از قبیل حذف حساب‌‌‌ کاربری،  تمام یا بخشی از داده‌‌‌های مرتبط با فعالیت آنان در سامانه و سکو» که با تفسیر موسع می‌تواند تمامی داده‌‌‌های جمع‌آوری‌شده توسط سکوها را دربر گیرد.  

یکی از سوالات اصلی درخصوص اجرای این دستورالعمل نیز این است که اگر تنظیم‌‌‌گران بخشی درخصوص رعایت یا عدم‌رعایت مقررات توسط ارائه‌‌‌دهندگان خدمات،  اختلاف‌‌‌نظر‌‌‌ داشته باشند،  چه باید کرد؟ درحال حاضر کسب‌‌‌وکارهای اینترنتی مجبورند از نهادهای مختلفی مجوز دریافت کنند و واگذار کردن نظارت بر انجام تکالیفی که با ابهامات پیش‌‌‌گفته روبه‌رو است،  زمینه‌‌‌ اختلاف‌‌‌نظر بین تنظیم‌‌‌گران متعدد حوزه فضای مجازی و سردرگمی بیشتر کسب‌‌‌وکارها را فراهم می‌‌‌کند. از طرف دیگر،  نظارت مستقیم مرکز ملی فضای مجازی بر اجرای این دستورالعمل نیز به منزله ورود در امور تنظیم‌‌‌گری و عدول از وظایف و اختیارات مشخص‌شده برای این نهاد است.

نباید از نظر دور داشت که نظارت بر اجرای مقررات مرتبط با حفاظت از داده‌‌‌های شخصی در هیچ کشوری به سادگی امکان‌‌‌پذیر نشده است چه اینکه معمولا نظارت‌‌‌های پسینی پرهزینه و دشوار هستند. بااین‌حال سازوکار اجرای تکالیف مقرر شده در این دستورالعمل و نظارت بر فعالیت ارائه‌‌‌دهندگان خدمات،  غیرشفاف و به‌‌‌خاطر تشتت نهادهای درگیر ناکارآمد است. درعین حال جلوگیری از استمرار ارائه خدمات که به عنوان یکی از ضمانت اجراهای الزامات ذکر شده،  می‌تواند به آسانی مانع عملکرد سکوها و سامانه‌‌‌های فضای مجازی توسط تنظیم‌‌‌گران بخشی شود. درنهایت باید گفت دستورالعمل ابلاغ‌شده بسیاری از حقوق و تکالیف مرتبط با حفاظت از داده‌‌‌های شخصی را پوشش نداده و همچنان خلأ قانونی در این حوزه پابرجاست؛ به طور مثال،  به حق دسترسی و اصلاح داده‌‌‌های شخصی و حق انتقال داده‌‌‌ها پرداخته نشده است. همچنین این دستورالعمل تفاوتی بین مسوولیت‌‌‌های کسب‌‌‌وکارهای کوچک،  متوسط و بزرگ قائل نشده و برای همه مسوولیت‌‌‌های یکسان درنظر گرفته است که می‌تواند آسیب‌‌‌های جبران‌‌‌ناپذیری برای کسب‌‌‌وکارهای اینترنتی به همراه داشته باشد. شتاب‌‌‌زدگی در ابلاغ دستورالعملی که نقص‌‌‌ها و ابهامات زیادی دارد می‌تواند نتایج زیان‌‌‌باری برای کسب‌‌‌وکارها و کاربران به همراه داشته باشد.