درباره دستورالعمل جدید حفاظت از حریم خصوصی و دادههای کاربران
دستوراتی بدون نظارت و ضمانت اجرا
درست ۴۳سال پیش، در ۸ بهمن ۱۳۵۹ (۲۸ ژانویه ۱۹۸۱)، در استراسبورگ فرانسه اولین سند الزامآور بینالمللی برای حمایت از حریم خصوصی دادههای شخصی در دنیای دیجیتال به امضای دولتها رسید. این سند کنوانسیون ۱۰۸ نام دارد که ۵۵ کشور عضو آن هستند. حتی قبل از تدوین کنوانسیون ۱۰۸ برخی کشورها به خطرات جدی سیستمهای کامپیوتری برای حریم خصوصی شهروندان پی برده بودند. ذخیره و پردازش و انتقال آنقدر سریع و پنهان شده بود که افراد معمولی هیچ گاه از آنچه در واقعیت بر سر دادههایشان میآید، باخبر نمیشدند. سوئد اولین کشور در جهان بود که در سال ۱۳۵۱ برای جلوگیری از سوءاستفاده از دادههای خصوصی شهروندانش در دنیای دیجیتال، قانونی تصویب کرد.
قوانین حمایت از دادههای شخصی در طول زمان و با پیشرفت تکنولوژی پیچیدهتر و پختهتر شدند. در واقع آنچه مقررات حمایت از دادههای شخصی اتحادیه اروپا (GDPR) را تبدیل به الگویی در این حوزه کرده است، تاریخ ریشهدار۵۰ ساله و ثبات قدم در حمایت از حقهای دیجیتال است. ۵۰ سال دیرتر از کشور سوئد و ۴۳ سال دیرتر از ۵۵ کشور عضور کنوانسیون ۱۰۸، بالاخره دستورالعملی در ایران منتشر شد که دستگاهها و شرکتهای خصوصی ارائهدهنده خدمات آنلاین را ملزم به رعایت موازینی برای حفظ حریم خصوصی اطلاعات کند.
سامانهها و پلتفرمهای ایرانی موظف شدهاند به کاربر اطلاع دهند که هر داده را به چه منظوری جمعآوری میکنند. برای هر استفاده جدید از داده نیز باید دوباره از کاربر اجازه گرفته شود. همچنین کاربران باید بدانند کدام داده، برای رسیدن به هدف مورد نظر، ضروری است. کاربر باید از روش جمعآوری دادهها نیز مطلع باشد؛ برای مثال برخی دادهها از طریق ردگیری دستگاه الکترونیک و موقعیت جغرافیایی مشتری جمعآوری میشوند. بنابر این دستورالعمل جدید، تمام این موارد باید به صراحت به کاربر اطلاع داده شود و در صورت عدم رضایت کاربر امکان جمعآوری، ذخیره و پردازش اطلاعات وجود ندارد.
همچنین این دستورالعمل برای اولین بار حق کاربر ایرانی برای درخواست پاک شدن اطلاعاتش در سایتها، سامانهها و سکوهای آنلاین را شناسایی کرده است؛ تدبیری که اگر پیش از این اندیشیده شده بود، اطلاعات چند سال فعالیت کاربران در سرویسهای آنلاینی مانند اسنپفود به دست هکرها نمیافتاد.
اما این دستورالعمل جدید چهار مادهای هیچ ابزاری برای نظارت بر نحوه اجرا پیشبینی نکرده است:
● اینکه آیا دستگاهها و شرکتهای خصوصی الزامی به ثبت پردازشهای صورتگرفته روی دادههای کاربران دارند تا در صورت لوزم بتوان میزان مطابقت فرآیندها با مقررات را سنجید؟
● آیا در نهادها و شرکتها نیروی متخصصی وجود دارد که بر رعایت حقوق کاربران نظارت داشته باشد و شکایات کاربران در این خصوص را دریافت و گزارش کند؟
● به غیر از لغو و عدم تمدید مجوز سامانهها و سکوها آیا ضمانت اجرای دیگری که خسارات وارده به افراد را جبران کند وجود دارد؟
● چرا مانند سایر کشورها جریمههای نقدی سنگینی برای عدم رعایت مقررات مربوط به حریم خصوصی دادهها پیشبینی نشده است؟
برای هیچکدام از این پرسشها و شاید صدها پرسش دیگر در این دستورالعمل چهار مادهای، پاسخی پیدا نمیشود. به نظر میرسد نپرداختن به این جزئیات در چنین دستورالعملی ناشی از رویکرد برخورد با بحران بعد از وقوع آن باشد، نه رویکرد پیشگیری از بحران.
بعد از دومینوی هکهای تپسی، شرکتهای بیمه و اسنپ فود که اطلاعات شخصی میلیونها ایرانی در جریان آنها به سرقت رفت، انتقاد بسیاری متوجه نهادهای سیاستگذار و قانونگذار در حوزه سایبری شد. به نظر میرسد شورای عالی فضای مجازی هم این واقعیت را که نبود قوانین و مقررات حمایت از دادههای شخصی زمینه چنین هکهای گستردهای را فراهم کردهاند، پذیرفت که با چنین سرعتی دستورالعملی برای حافظت از دادههای شخصی صادر کرد. اما آنچه مقررات حفاظت از دادههای شخصی را متفاوت میکند، نقش آنها در جلوگیری از به خطر افتادن اطلاعات شخصی افراد است. در ادامه با برخی از مکانیزمهایی که GDPR با استفاده از آنها احتمال به خطر افتادن حریم خصوصی دادههای کاربران را کاهش میدهد، آشنا میشویم:
ارزیابی میزان تاثیر بر حریم خصوصی دادهها
بر اساس مقررات GDPR حتی قبل از اجرایی شدن یک پروژه جدید، باید مطمئن شویم که حریم خصوصی دادهها به خطر نمیافتد. این مکانیزم به اصل «حمایت از دادهها در مرحله طراحی» مربوط میشود. به این ترتیب که اگر پروژهای قبل از اجرا در «ارزیابی میزان تاثیر بر حریم خصوصی دادهها» رد شود، به دلیل خطرناک بودن، دیگر امکان استفاده از آن برای پردازش دادههای شخصی کاربران وجود ندارد.
GDPRانجام این ارزیابی را در موارد زیر الزامی کرده است:
● از تکنولوژیهای جدید استفاده میشود.
● مکان و رفتار افراد رصد و دنبال میشوند.
● بر اساس GDPR برخی اطلاعات از حساسیت بالاتری برخوردار هستند و «دادههای شخصی ویژه» نامیده میشوند. از این نوع دادهها باید با احتیاط بیشتری مراقبت کرد؛ زیرا نشت و به سرقت رفتن آنها میتواند آسیبهای وسیع و جبرانناپذیری به افراد وارد کند. این دسته شامل اطلاعات مربوط به ریشههای قومی و نژادی، عقاید سیاسی و فلسفی، عضویت در اتحادیهها، اطلاعات ژنتیک، بایومتریک، اطلاعات سلامت، و اطلاعات مربوط به زندگی جنسی میشود.
● اگر از این دادهها برای تصمیمگیریهای اتوماتیک (مانند هوش مصنوعی) استفاده میشود.
● دادههای کودکان پردازش شود.
● در صورت نشت دادهها آسیب فیزیکی به فرد وارد شود.
به این ترتیب و با توجه به حساس بودن اطلاعات و نتایج فاجعهباری که نقض حریم خصوصی چنین دادهایی به دنبال دارد، نمیتوان حتی منتظر ماند و دید که آیا مقررات قانونی در زمان راهاندازی سایت و سامانه یا سکو رعایت میشوند یا نه؟
پیشگیری از بروز خطر ایجاب میکند که قبل از راهاندازی سامانهها از میزان امنیتشان مطمئن بود. در زمان برنامهریزی پروژههای جدید باید رعایت اصول مربوط به کسب رضایت از صاحب داده، داشتن اجازه قانونی برای پردازش، وجود ضرورت برای پردازش دادهها و اینکه این پردازش خطری برای حقوق و آزادیهای فرد دارد یا نه، ارزیابی شوند. نهادهای ملی مسوول اجرای مقررات حمایت از دادههای شخصی، فرمهای نمونه این ارزیابیها را تهیه کرده و در اختیار عموم قرار میدهند. برای مثال اگر پردازش دادههای مکانی کاربران در زمانی که از سرویس تاکسی اینترنتی استفاده نمیکنند، هیچ ضرورتی نداشته باشد، نمیتواند از این ارزیابی موفق بیرون بیاید.
آفیسر حمایت از دادههای شخصی
آفیسر حمایت از دادههای شخصی، کارمند شرکت یا دستگاهی است که با دادههای شخصی افراد سر و کار دارد. او موظف است بر اجرای کامل مقررات حمایت از دادههای شخصی در آن شرکت یا دستگاه نظارت داشته باشد. بر اساس مقررات GDPR در سه مورد استخدام آفیسر حمایت از دادههای شخصی الزامی است:
۱. اگر یک نهاد عمومی با دادههای شخصی سروکار داشته باشد؛ مانند سامانههای دولت الکترونیک.
۲. در صورتی که سامانه یا سکو اعمال و رفتار کاربران خود را رصد و پیگیری میکند؛ مانند شبکههای اجتماعی و پلتفرمهای فروش آنلاین. این سامانهها برای پی بردن به اینکه کدام محتوا و تبلیغ ممکن است توجه کاربر را جلب کند رفتارهای آنلاین او را زیر نظر دارند.
۳. زمانی که با حجم بالایی از «دادههای شخصی ویژه» سر و کار دارند؛ برای مثال بیمارستانها و شرکتهای بیمه و شرکتهایی که با اطلاعات ژنتیک افراد کار میکنند، موظف به استخدام آفیسر هستند.
روشن است که وضع مقررات بدون توجه به ارزیابیهای پیش از اجرا و نظارت بر اجرا، نمیتواند در عمل از دادههای شخصی افراد محافظت کند؛ به خصوص آنکه مردم عادی با ظرایف فنی آشنا نیستند تا بتوانند با شناسایی تخلف پیگیر اجرای حقوق خود شوند.
بیان این نکته نیز حائز اهمیت است که به دلیل جدید بودن این مباحث در ایران، نه نیروی حقوقی متخصص و آشنا به مسائل حقوقی حمایت از دادههای شخصی به حد نیاز تربیت شدهاند و نه جامعه مدنی قوی و آشنایی برای پیگیری و رصد رعایت حقوق کاربران در این عرصهها فعالیت دارند؛ مواردی که در صورت تحقق، در کنار یک قانون جامع و بهروز میتوانند تشکیلدهنده اضلاع مثلث حمایت از اطلاعات خصوصی افراد در عصر سایبری باشند.