دستوراتی بدون نظارت و ضمانت اجرا

درست ۴۳سال پیش، در ۸ بهمن ۱۳۵۹ (۲۸ ژانویه ۱۹۸۱)، در استراسبورگ فرانسه اولین سند الزام‌‌‌آور بین‌‌‌المللی برای حمایت از حریم خصوصی داده‌‌‌های شخصی در دنیای دیجیتال به امضای دولت‌‌‌ها رسید. این سند کنوانسیون ۱۰۸ نام دارد که ۵۵ کشور عضو آن هستند. حتی قبل از تدوین کنوانسیون ۱۰۸ برخی کشورها به خطرات جدی سیستم‌‌‌های کامپیوتری برای حریم خصوصی شهروندان پی ‌‌‌برده بودند. ذخیره و پردازش و انتقال‌‌‌ آنقدر سریع و پنهان شده بود که افراد معمولی هیچ گاه از آنچه در واقعیت بر سر داده‌‌‌هایشان می‌‌‌آید، باخبر نمی‌‌‌شدند. سوئد اولین کشور در جهان بود که در سال ۱۳۵۱ برای جلوگیری از سوءاستفاده از داده‌‌‌های خصوصی شهروندانش در دنیای دیجیتال، قانونی تصویب کرد.

قوانین حمایت از داده‌‌‌های شخصی در طول زمان و با پیشرفت تکنولوژی‌‌‌ پیچیده‌‌‌تر و پخته‌‌‌تر شدند. در واقع آنچه مقررات حمایت از داده‌‌‌های شخصی اتحادیه اروپا (GDPR)  را تبدیل به الگویی در این حوزه کرده است، تاریخ ریشه‌‌‌دار۵۰ ساله‌‌‌ و  ثبات قدم در حمایت از حق‌‌‌های دیجیتال است. ۵۰ سال دیرتر از کشور سوئد و ۴۳ سال دیرتر از ۵۵ کشور عضور کنوانسیون ۱۰۸، بالاخره دستورالعملی در ایران منتشر شد که دستگاه‌‌‌ها و شرکت‌‌‌های خصوصی ارائه‌‌‌دهنده خدمات آنلاین را ملزم به رعایت موازینی برای حفظ حریم خصوصی اطلاعات کند.

سامانه‌‌‌ها و پلتفرم‌‌‌های ایرانی موظف شده‌‌‌اند به کاربر اطلاع دهند که هر داده را به چه منظوری جمع‌‌‌آوری می‌کنند. برای هر استفاده جدید از داده نیز باید دوباره از کاربر اجازه گرفته شود. همچنین کاربران باید بدانند کدام داده، برای رسیدن به هدف مورد نظر، ضروری است. کاربر باید از روش جمع‌‌‌آوری داده‌‌‌ها نیز مطلع باشد؛ برای مثال برخی داده‌‌‌ها از طریق ردگیری دستگاه الکترونیک و موقعیت جغرافیایی مشتری جمع‌‌‌آوری می‌‌‌شوند. بنابر این دستورالعمل جدید، تمام این موارد باید به صراحت به کاربر اطلاع داده شود و در صورت عدم رضایت کاربر امکان جمع‌‌‌آوری، ذخیره و پردازش اطلاعات وجود ندارد.

همچنین این دستورالعمل برای اولین بار حق کاربر ایرانی برای درخواست پاک شدن اطلاعاتش در سایت‌‌‌ها، سامانه‌‌‌ها و سکوهای آنلاین را شناسایی کرده است؛ تدبیری که اگر پیش از این اندیشیده شده بود، اطلاعات چند سال فعالیت کاربران در سرویس‌‌‌های آنلاینی مانند اسنپ‌‌‌فود به دست هکرها نمی‌‌‌افتاد.

اما این دستورالعمل جدید چهار ماده‌‌‌ای هیچ ابزاری برای نظارت بر نحوه اجرا پیش‌‌‌بینی نکرده است:

● اینکه آیا دستگاه‌‌‌ها و شرکت‌‌‌های خصوصی الزامی به ثبت پردازش‌‌‌های صورت‌گرفته روی داده‌‌‌های کاربران دارند تا در صورت لوزم بتوان میزان مطابقت فرآیندها با مقررات را سنجید؟

●  آیا در نهادها و شرکت‌‌‌ها نیروی متخصصی وجود دارد که بر رعایت حقوق کاربران نظارت داشته باشد و شکایات کاربران در این خصوص را دریافت و گزارش کند؟

● به غیر از لغو و عدم تمدید مجوز سامانه‌‌‌ها و سکوها آیا ضمانت اجرای دیگری که خسارات وارده به افراد را جبران کند وجود دارد؟

● چرا مانند سایر کشورها جریمه‌‌‌های نقدی سنگینی برای عدم رعایت مقررات مربوط به حریم خصوصی داده‌‌‌ها پیش‌‌‌بینی نشده است؟

برای هیچ‎کدام از این پرسش‌‌‌ها و شاید صدها پرسش دیگر در این دستورالعمل چهار ماده‌‌‌ای، پاسخی پیدا نمی‌‌‌شود.  به نظر می‌‌‌رسد نپرداختن به این جزئیات در چنین دستورالعملی ناشی از رویکرد برخورد با  بحران بعد از وقوع آن  باشد، نه رویکرد پیشگیری از بحران.

بعد از دومینوی هک‌‌‌های تپسی، شرکت‌‌‌های بیمه و اسنپ فود که اطلاعات شخصی میلیون‌‌‌ها ایرانی در جریان آنها به سرقت رفت، انتقاد بسیاری متوجه‌‌‌ نهادهای سیاستگذار و قانون‌گذار در حوزه سایبری شد. به نظر می‌‌‌رسد شورای عالی فضای مجازی هم این واقعیت را که نبود قوانین و مقررات حمایت از داده‌‌‌های شخصی زمینه چنین هک‌‌‌های گسترده‌‌‌ای را فراهم کرده‌‌‌اند، پذیرفت که با چنین سرعتی دستورالعملی برای حافظت از داده‌‌‌های شخصی صادر کرد. اما آنچه مقررات حفاظت از داده‌‌‌های شخصی را متفاوت می‌‌‌کند، نقش آنها در جلوگیری از به خطر افتادن اطلاعات شخصی افراد است. در ادامه با برخی از مکانیزم‌‌‌هایی که GDPR  با استفاده از آنها احتمال به خطر افتادن حریم خصوصی داده‌‌‌های کاربران را کاهش می‌‌‌دهد، آشنا می‌شویم:

ارزیابی میزان تاثیر بر حریم خصوصی داده‌‌‌ها

بر اساس مقررات GDPR حتی قبل از اجرایی شدن یک پروژه جدید، باید مطمئن شویم که حریم خصوصی داده‌‌‌ها به خطر نمی‌‌‌افتد. این مکانیزم به اصل «حمایت از داده‌‌‌ها در مرحله طراحی» مربوط می‌‌‌شود. به این ترتیب که اگر پروژه‌‌‌ای قبل از اجرا در «ارزیابی میزان تاثیر بر حریم خصوصی داده‌‌‌ها» رد شود، به دلیل خطرناک بودن، دیگر امکان استفاده از آن برای پردازش داده‌‌‌های شخصی کاربران وجود ندارد.

 GDPRانجام این ارزیابی را در موارد زیر الزامی کرده است:

● از تکنولوژی‌‌‌های جدید استفاده می‌‌‌شود.

● مکان و رفتار افراد رصد و دنبال می‌‌‌شوند.

● بر اساس GDPR  برخی اطلاعات از حساسیت بالاتری برخوردار هستند و «داده‌‌‌های شخصی ویژه» نامیده می‌‌‌شوند. از این نوع داده‌‌‌ها باید با احتیاط بیشتری مراقبت کرد؛ زیرا نشت و به سرقت رفتن آنها می‌‌‌تواند آسیب‌‌‌های وسیع و جبران‌‌‌ناپذیری به افراد وارد کند. این دسته شامل اطلاعات مربوط به ریشه‌‌‌های قومی و نژادی، عقاید سیاسی و فلسفی، عضویت در اتحادیه‌‌‌ها، اطلاعات ژنتیک، بایومتریک، اطلاعات سلامت، و اطلاعات مربوط به زندگی جنسی می‌‌‌شود.

● اگر از این داده‌‌‌ها برای تصمیم‌‌‌گیری‌‌‌های اتوماتیک (مانند هوش مصنوعی) استفاده می‌‌‌شود.

● داده‌‌‌های  کودکان پردازش شود.

● در صورت نشت داده‌‌‌ها آسیب فیزیکی به فرد وارد ‌‌‌شود.

به این ترتیب و با توجه به حساس بودن اطلاعات و نتایج فاجعه‌‌‌باری که نقض حریم خصوصی چنین دادهایی به دنبال دارد، نمی‌‌‌توان حتی منتظر ماند و دید که آیا مقررات قانونی در زمان راه‌‌‌اندازی سایت و سامانه یا سکو رعایت می‌‌‌شوند یا نه؟

پیشگیری از بروز خطر ایجاب می‌‌‌کند که قبل از راه‌‌‌اندازی سامانه‌‌‌ها از میزان امنیت‌‌‌شان مطمئن بود. در زمان برنامه‌‌‌ریزی پروژه‌‌‌های جدید باید رعایت اصول مربوط به کسب رضایت از صاحب داده، داشتن اجازه قانونی برای پردازش، وجود ضرورت برای پردازش داده‌‌‌ها و اینکه این پردازش خطری برای حقوق و آزادی‌‌‌های فرد دارد یا نه،‌‌‌ ارزیابی شوند. نهادهای ملی مسوول اجرای مقررات حمایت از داده‌‌‌های شخصی، فرم‌‌‌های نمونه این ارزیابی‌‌‌ها را تهیه کرده و در اختیار عموم قرار می‌‌‌دهند. برای مثال اگر پردازش داده‌‌‌های مکانی کاربران در زمانی که از سرویس تاکسی اینترنتی استفاده نمی‌‌‌کنند، هیچ ضرورتی نداشته باشد، نمی‌‌‌تواند از این ارزیابی موفق بیرون بیاید.

آفیسر حمایت از داده‌‌‌های شخصی

آفیسر حمایت از داده‌‌‌های شخصی، کارمند شرکت یا دستگاهی است که با داده‌‌‌های شخصی افراد سر و کار دارد. او موظف است بر اجرای کامل مقررات حمایت از داده‌‌‌های شخصی در آن شرکت یا دستگاه نظارت داشته باشد. بر اساس مقررات GDPR در سه مورد استخدام آفیسر حمایت از داده‌‌‌های شخصی الزامی است:

۱. اگر یک نهاد عمومی با داده‌های شخصی سروکار داشته باشد؛ مانند سامانه‌‌‌های دولت الکترونیک.

۲. در صورتی که سامانه یا سکو اعمال و رفتار کاربران خود را رصد و پیگیری می‌‌‌کند؛ مانند شبکه‌‌‌های اجتماعی و پلتفرم‌‌‌های فروش آنلاین. این سامانه‌‌‌ها برای پی‌‌‌ بردن به اینکه کدام محتوا و تبلیغ ممکن است توجه کاربر را جلب کند رفتارهای آنلاین او را زیر نظر  دارند.

۳. زمانی که با حجم بالایی از «داده‌‌‌های شخصی ویژه» سر و کار دارند؛ برای مثال بیمارستان‌‌‌ها و شرکت‌‌‌های بیمه و شرکت‌‌‌هایی که با اطلاعات ژنتیک افراد کار می‌‌‌کنند‌‌‌، موظف به استخدام آفیسر هستند.

روشن است که وضع مقررات بدون توجه به ارزیابی‌‌‌های پیش از اجرا و نظارت بر اجرا، نمی‌‌‌تواند در عمل از داده‌‌‌های شخصی افراد محافظت کند؛ به خصوص آنکه مردم عادی با ظرایف فنی آشنا نیستند تا بتوانند با شناسایی تخلف پیگیر اجرای حقوق خود شوند.

بیان این نکته نیز حائز اهمیت است که  به دلیل جدید بودن این مباحث در ایران، نه نیروی حقوقی متخصص و آشنا به مسائل حقوقی حمایت از داده‌‌‌های شخصی به حد نیاز تربیت شده‌‌‌اند و نه جامعه مدنی قوی و آشنایی برای پیگیری و رصد رعایت حقوق کاربران در این عرصه‌‌‌ها فعالیت دارند؛ مواردی که در صورت تحقق، در کنار یک قانون جامع  و به‌‌‌روز می‌‌‌توانند تشکیل‌‌‌دهنده اضلاع مثلث حمایت از اطلاعات خصوصی افراد در عصر سایبری باشند.