چالش‌ طرح جدید مجلس برای داده‌های تجاری

  پررنگ شدن نقش داده‌ها

ورود تکنولوژی به دنیای امروز، ماهیت بسیاری از مفاهیم را تغییر داده است که «داده‌ها» نیز از این امر مستثنی نیستند. تا چند دهه پیش، داده‌های مهم سازمان‌های مختلف به مجموعه اسناد کاغذی محدودی خلاصه می‌شدند و چالش چندانی پیرامون موضوع مدیریت این داده‌ها، مالکیت آنها، حریم خصوصی و... مطرح نبود؛ اما اکنون با تغییر ساختار داده‌ها از حالت سنتی و ورود آنها به دنیای دیجیتال، نه‌تنها نوع داده‌های تولیدی در هر سازمان و کسب‌وکاری تغییر کرده، بلکه پیچیدگی‌های بسیاری به‌خصوص از نظر ضریب اهمیت این داده‌ها، مالکیت حقوقی آنها، حریم خصوصی کاربران و... ایجاد شده است. این امر قانون‌گذاران را ناچار به تدوین قوانینی کرده است تا براساس آنها سازمان‌های مختلف، به‌خصوص شرکت‌های خصوصی بتوانند حوزه اختیارات خود را برای دسترسی به داده‌ها شناخته و همچنین برای حمایت از داده‌های کاربرانی که با کسب‌وکار این شرکت‌ها در تعاملند، استراتژی درستی در پیش بگیرند. شاید در نگاه اول، داده‌های مربوط به سفرهای درون‌شهری، تراکنش‌های بانکی یا جست‌وجوهای انجام‌شده در پلت‌فرم‌های مختلف توسط یک کاربر چندان اهمیتی نداشته باشد، اما با توجه به کاربردهایی که می‌توان از ترکیب مجموعه‌ای از چنین داده‌هایی با هوش‌مصنوعی به‌دست آورد، عمق اهمیت این موضوع مشخص می‌شود.

یکی از خلأهای اساسی که در فضای قانون‌گذاری کشور حس می‌شود، نبود قانون حریم خصوصی است. در تمام دنیا، این قانون یکی از قوانین زمینه‌ای تلقی شده و مبنای تفسیر دیگر قوانین در نظر گرفته می‌شود. مثلا در آمریکا، قانونی با عنوان «قانون حریم خصوصی» وجود دارد که مشخص می‌کند چه داده‌ای محرمانه تلقی می‌شود و سازمان‌ها در مقابل چنین داده‌هایی چه رویکردی باید اتخاذ کنند. به موجب این قانون چنانچه نهادی نیاز به‌دسترسی به چنین داده‌هایی داشته باشد، باید با تهیه حکم قضایی مبنی بر نیاز به آن داده، نسبت به‌دسترسی به آن اقدام کند. پیامدها و مسوولیت افشای احتمالی چنین داده‌هایی بر عهده آن نهاد خواهد بود و کاربر می‌تواند در مقابل افشای چنین داده‌ای از نهاد مزبور شکایت و ادعای غرامت کند. کارشناسان معتقدند جای چنین رویکردی در فضای قانون‌گذاری ما خالی است.

   باز شدن فضای اطلاعاتی

داده معادل کلمه دیتا (data) ریزترین موجودیت اطلاعاتی است که ساختار کاملا مشخصی دارد و تفسیرپذیر نیست؛ اما برعکس آن، اطلاعات (information)، حجمی از داده‌ها را شامل می‌شود که بدون وجود ساختار مشخص و از پیش تعیین‌شده‌ای تجمیع شده و در قالب ساختاری تفسیرپذیر ارائه می‌شود. به همین دلیل تمایز میان این دو مورد بسیار مهم است.  نیما نامداری، از فعالان حوزه کسب‌وکارهای دیجیتال در گفت‌وگو با «دنیای‌اقتصاد» می‌گوید: یکپارچه‌سازی و اشتراک‌گذاری «داده‌ها» بین سازمان‌های مختلف و ایجاد دسترسی آزاد برای تبادل اطلاعات، حرکتی خوب و ضروری است، اما انتقال آن از «کارگروه تعامل‌پذیری دولت الکترونیک» به زیرمجموعه مرکز ملی فضای مجازی کار چندان سنجیده‌ای نیست؛ زیرا این یک کار اجرایی و از اختیارات دولت است و انتقال آن به یک نهاد شورایی که کارکرد اجرایی ندارد، کار اشتباهی است. نامداری در تشریح این طرح می‌افزاید: افزایش تعامل‌پذیری بین دستگاه‌ها مستلزم دو کار است. پیش از آنکه این تعامل‌پذیری اتفاق بیفتد، باید ساختار داده در دستگاه‌های دولتی یکسان شود. در برخی حوزه‌ها مانند ثبت‌احوال و بانکداری این کار انجام شده است، اما مثلا اطلاعات پستی که در قالب متن نوشته می‌شود، ساختار استانداردی ندارد و اطلاعاتی از این دست نیز کم نیستند که این امر ایجاد تعامل‌پذیری در این مورد را دشوار می‌کند. در سند مربوط به این طرح آورده شده است که متقاضیان داده‌ها و اطلاعات می‌توانند دستگاه‌ها و نهادهای مشمول این قانون و شرکت‌ها و موسسات بخش غیردولتی و اشخاص مسوول کسب‌وکارهایی باشند که برای ارائه خدمات الکترونیکی و هوشمند یا تکمیل فرآیندهای الکترونیکی نیازمند داده و اطلاعات هستند. نامداری با تاکید بر اهمیت دسترسی اشخاص ثالث بیرون دولت (مانند کسب‌وکارهای خصوصی) به برخی از این داده‌های دولتی می‌گوید: در بسیاری موارد، کسب‌وکارهایی مانند استارت‌آپ‌های فینتکی برای سرویس‌دهی به اطلاعات هویتی کاربران مانند کدملی، شماره موبایل، مالکیت و... نیاز دارند تا بتوانند کاربر را احراز هویت کرده و از بروز انواع تخلفات اعم از پولشویی و کلاه‌برداری جلوگیری کنند. درحالی‌که اکنون برای دسترسی به چنین اطلاعاتی سازوکار مشخصی وجود ندارد و کسب‌وکارها جز با نامه‌نگاری‌ها و محدودیت‌های فراوان نمی‌توانند به چنین امکاناتی دست پیدا کنند. این فعال حوزه تکنولوژی ضمن تاکید بر اهمیت این اقدام در راستای باز شدن فضای داده‌های حاکمیتی می‌گوید: اجرای این طرح مستلزم در نظر گرفتن ظرافت‌های بسیاری است؛ زیرا باید باز شدن فضای دسترسی، همراه با حفظ محرمانگی داده‌های کاربران باشد. نامداری در ادامه اضافه می‌کند: در کشورهای پیشرفته اساسا برای نحوه اخذ این دسترسی‌ها سازوکار و ضوابط مشخصی وجود دارد؛ مثلا پیش از آنکه داده‌های بانکی یک کاربر در اختیار یک سازمان ثالث قرار گیرد، از او کسب اجازه می‌شود. نامداری تاکید می‌کند: اهمیت این طرح وقتی مشخص می‌شود که این دسترسی استاندارد برای نهادهای ثالث خصوصی ایجاد شود، وگرنه اشتراک‌گذاری داده‌ها میان نهادهای دولتی مختلف پیش‌تر نیز تا حدی انجام می‌شد و اتفاق چندان جدید و عجیبی نیست.

   چالش‌های طرح جدید

به دلیل اینکه در این طرح اشاره مستقیمی به‌دسترسی به داده‌های بخش‌خصوصی نشده است، ابعاد تاثیرگذاری آن به‌طور واضح مشخص نیست و تا زمانی که جزئیات این طرح کاملا مشخص نشود، امکانی برای سنجش میزان تاثیر آن بر برخی کسب‌وکارهای خصوصی و استارت‌آپی وجود نخواهد داشت. حتی اگر این اختیار در مورد کسب‌وکارهای خصوصی از نهادهای حاکمیتی سلب شود، تکلیف نهادهای نیمه‌خصوصی چه خواهد شد؛ زیرا اکنون بسیاری از کسب‌وکارهای آنلاین شاخص شرکت مانند تاکسی‌های اینترنتی یا حتی برخی بانک‌های خصوصی، سهامداران دولتی دارند و ممکن است به‌خاطر وجود این سهامداران، ملزم به ارائه داده‌های کاربرانشان به بخش‌های دولتی شوند.

نامداری با انتقاد از برخی از بخش‌های این طرح می‌گوید: در طرح مذکور آمده است که «داده ملی، داده‌ای است که به هر شکلی در اختیار بخش دولتی قرار گرفته است»، درحالی که این تعریف غلط است و در واقع داده ملی، داده‌ای است که دستگاه دولتی بنا به وظایف خود مکلف به داشتن آن است. به‌عنوان مثال فرض کنید وزارت بهداشت به بهانه نظارت به تمامی اپلیکیشن‌های سلامت اعلام کند داده‌هایشان را در اختیار این نهاد قرار دهند، درحالی‌که این داده‌ها، داده ملی نیستند و ممکن است وزارت بهداشت بنا به نیازی مقطعی این درخواست را مطرح کرده باشد. وی با تاکید بر سابقه دستگاه‌های دولتی در ولع جمع‌آوری داده‌های بی‌مورد از بخش‌های خصوصی می‌گوید: این موضوع نگرانی ایجاد می‌کند؛ چراکه با ملی تلقی شدن چنین داده‌هایی، راه برای استفاده دستگاه‌های دیگر از این داده‌ها باز می‌شود و پیامدهای دیگری برای کسب‌وکارها ایجاد می‌شود. این امر در ابعاد مالی اهمیت دوچندانی پیدا می‌کند؛ زیرا ممکن است با استفاده از این داده‌ها، زمینه برای مالیات‌تراشی‌های بی‌مورد در مورد برخی کسب‌وکارها ایجاد شود. نامداری با تاکید بر همکاری همیشگی کسب‌وکارهای اینترنتی در پرداخت مالیات می‌گوید: بدون شک کسی با پرداخت مالیات مخالفتی ندارد، اما با شناختی که از نظام مالیاتی داریم، این سازمان ترجیح می‌دهد فقط عملکرد خود در بودجه دولت را مدنظر قرار دهد و به هر طریقی مالیات بسازد.

نامداری مبهم بودن موضع این طرح در قبال «متادیتا» را از دیگر چالش‌های این طرح به حساب آورده و می‌گوید: متادیتا یا فراداده، داده‌ای است که به فهم و تفسیر داده اصلی کمک می‌کند. سوال این است که آیا در این قانون درباره فراداده‌ها فکری شده است یا خیر. چنانچه الزام اشتراک‌گذاری فراداده‌ها نیز مانند «داده‌ها» ایجاد شود، راه برای استفاده سلیقه‌ای از این فراداده‌ها باز می‌شود و این نگران‌کننده است.

عباس خاراباف، از دیگر فعالان کسب‌وکارهای دیجیتال درباره نگرانی‌های حول موضوع مالکیت داده‌ها و اختیار دسترسی نهادهای مختلف به آنها می‌گوید: براساس مقررات مواد ۲۱ و ۲۳ قانون جرائم رایانه‌ای (مواد ۷۴۹ و ۷۵۱ قانون مجازات) ارائه‌دهندگان خدمات دسترسی و میزبانی مکلف هستند داده‌های مربوط به کاربرانشان را جمع‌آوری کنند. همچنین در قوانین و مقررات مختلف حوزه فضای مجازی تاکیدات بسیاری درخصوص حفاظت از حریم شخصی اشخاص و داده‌های آنان وجود دارد. برای مثال در مواد ۵۸، ۵۹ و ۶۰ قانون تجارت الکترونیکی مقررات سخت‌گیرانه‌ای را برای جمع‌آوری و استفاده از این داده‌ها بر کسب‌وکارها تحمیل کرده است و در مواد ۱۷ و ۲۴ «آیین‌نامه جمع‌آوری و استنادپذیری ادله الکترونیکی» این امر فقط با دستور مقام قضایی امکان‌پذیر است. افزون بر آن، مقام قضایی برای دستیابی به داده‌های اشخاص باید ظن قوی بر ارتکاب جرم داشته باشد. ورای تما‌م این مباحث، دستور به اخذ اطلاعات کسب‌وکارها باید صریح و شفاف و مشتمل بر شخص ارائه‌دهنده، موضوع و نوع داده‌ها، شیوه و زمان تحویل داده‌ها و مرجع تحویل نیز باشد. به علاوه مطابق با ماده ۶۷۳ قانون آیین دادرسی کیفری باید به صورت محدود و با تعیین حدود آن صورت گیرد.

 وی تصریح می‌کند: این درحالی است که بعضا مقام‌های قضایی درخواست توقیف یا تفتیش داده‌ها را بدون در نظر گرفتن موارد فوق انجام می‌دهند. به‌طور مثال یک‌باره درخواست دریافت اطلاعات تمام کاربران یک کسب‌وکار اینترنتی را که دارای میلیون‌ها کاربر است، صادر می‌کنند؛ چنین درخواستی در دنیای فیزیکی و مادی بسیار بسیار نادر است و مشخص نیست چرا در دنیای مجازی هر روز بر تعداد چنین درخواست‌هایی افزوده می‌شود. به بیان دیگر بسیاری از نهادها با درخواست‌های دور از منطق خود مبنی بر دسترسی به داده‌های بخش‌خصوصی، علاوه بر اینکه الزامات و وجوه قانونی مربوط به این موضوع و حریم خصوصی اشخاص را زیر پا می‌گذارند، مالکیت داده‌های پردازش‌شده از سوی کسب‌وکارها را که متعلق به شخص خودشان است نیز نادیده گرفته و هیچ‌گونه مرزبندی و احترامی برای این موضوع قائل نیستند. این درحالی است که اقدامات این‌چنینی ‌می‌تواند در دنیای کسب‌وکارهای فضای مجازی که بخش قابل‌توجهی از ارزش و اعتبارشان بر پایه داده‌هایی است که در اختیار دارند، حاشیه امن آنها را سلب کرده و در واقع انگیزه و اعتماد لازم برای ادامه فعالیت و ورود به عرصه‌های جدید را از بین ببرد. با این اوصاف به‌نظر می‌رسد با توجه به حساسیت داده‌های محرمانه و حریم خصوصی- که این روزها به مساله‌ای مهم در حاکمیت دیجیتال تبدیل شده است- تصمیم‌گیری درباره طرح‌های این‌چنینی می‌تواند با چالش‌های جدی همراه باشد. از همین‌رو، شفافیت بیشتر درباره جزئیات و پیامدهای اجرای این طرح می‌تواند پاسخ مناسبی برای دغدغه‌ها و نگرانی‌های کسب‌وکارها، کاربران و تمام ذی‌نفعان آن باشد.