چرا لایحه حفاظت از داده و حریم خصوصی در ایران به نتیجه نرسید؟ + به‌روزرسانی

به گزارش پیوست، عیسی زارع‌پور، وزیر ارتباطات و فناوری اطلاعات، در مصاحبه‌ای با خبرگزاری فارس با اشاره به فتوای مقام معظم رهبری و تاکید ایشان بر این موضوع که داده‌های مردم جزو حریم خصوصی است و باید از آن حفاظت شود گفت: «در این خصوص تاکنون کارهای زیادی انجام شده که یکی از آنها لایحه حفاظت از داده و حریم خصوصی است که اکنون در حال طی مراحل نهایی برای ارسال به مجلس است. تدوین این لایحه یعنی ما از داده‌های شخصی مردم در پلتفرم داخلی حفاظت می‌کنیم.»

ماجرای قانون‌گذاری برای حفاظت از داده‌های مردم به بیش از ۱۸ سال پیش بازمی‌گردد. خرداد ۱۳۸۳، لایحه حریم خصوصی در کمیسیون لوایح دولت تصویب شد. از آنجا که هنوز استفاده از فضای مجازی به معنای امروزی آن رایج نبود، بخش اندکی از این لایحه به حفظ حریم خصوصی در ارتباطات الکترونیکی اختصاص دارد. در ماده شصت و سوم این قانون آمده بود رهگیری ارتباطات از راه دور (نظیر ارتباطات از طریق تلفن، تلگراف، تلکس، فکس، انواع بی‌سیم و سایر وسایل) و پایش ارتباطات کلامی و حضوری افراد ممنوع است مگر با رعایت قانون. ماده‌ بعدی این قانون، این رهگیری را در شرایطی مجاز می‌داند که مقام صلاحیت‌دار قضایی بداند رهگیری می‌تواند منجر به جلوگیری از وقوع جرم، کشف ادله جرم در حال وقوع یا جرمی که رخ داده است، می‌شود.

در خصوص ارتباطات اینترنتی، ماده‌ شصت و نهم این لایحه ۱۸ساله به صراحت بیان می‌کند شنود، ضبط، ذخیره یا دیگر انواع رهگیری ارتباطات خصوصی اینترنتی اشخاص بدون رضایت آنها مجاز نیست مگر آنکه شرایطی که در خود لایحه پیشنهادی عنوان شده بود رعایت شود.

این لایحه در مهرماه ۱۳۸۴ درست چند روز پس از مستقر شدن محمود احمدی‌نژاد در ساختمان پاستور، از سوی نمایندگان مجلس شورای اسلامی وقت رد شد. سال‌ها بعد با رشد و گسترش استفاده از فضای مجازی در ارتباطات روزمره، مجدداً بحث حفاظت از اطلاعات مردم به میان آمد.

خیز بلند برای تصویب مقررات اروپایی

فراگیری اینترنت و تبادل داده‌ها روی این بستر لزوم حفظ داده‌های و اهمیت محرمانگی داده‌های شخصی را دوچندان کرد. از نیمه دهه ۹۰ کسب‌وکارهای اینترنتی توسعه یافته بودند و حال هر کدام از آنها داده‌هایی از کاربران‌شان را در اختیار داشتند اما برای حفظ محرمانگی آنها یا نحوه نگهداری‌شان هیچ مصوبه‌ای وجود نداشت از همین رو اگر داده‌های مردم نیز به دلیل نشت اطلاعات یا هک از بین می‌رفت و منتشر می‌شد امکان شکایت از آنها وجود نداشت همچنان که داده‌های تلفن همراه مردم به سادگی به فروش رسید.

دی‌ماه ۱۳۹۶، وزارت ارتباطات با همکاری تعدادی از پژوهشگران اقدام به تهیه پیش‌نویسی از لایحه حمایت از داده‌ها و حریم خصوصی در فضای مجازی کرد و پس از انتشار آن از صاحب‌نظران درخواست شد نظرات خود را درباره آن بیان کنند.

شش ماه بعد در خرداد ۱۳۹۷، زمانی که اتحادیه اروپا قانونی را با عنوان GDPR یا مقررات عمومی حفاظت از داده اتحادیه اروپا تصویب کرد، محمدجواد آذری جهرمی وزیر وقت ارتباطات و فناوری اطلاعات در توییتی به زبان انگلیسی با تبریک به کمیسیون اروپا بابت این مصوبه نوشت:«من به دنبال ارسال لایحه‌ای برای حفاظت از داده‌ها در ماه‌های آتی و راه‌اندازی گفت‌وگوهای سازنده با اتحادیه اروپا درباره همکاری‌های قانونی و فنی هستم.»

هرچند آذری جهرمی در رسیدن به هدف خود ناکام ماند اما در طول دوره وزارتش هرگاه خبری از نشت اطلاعات منتشر می‌شد، بر لزوم تصویب این لایحه تاکید می‌کرد.

لایحه صیانت از داده‌ها

مرداد همان سال، خبری مبنی بر رونمایی از لایحه صیانت از داده‌های شخصی منتشر شد. هدف اصلی این قانون، صیانت از داده‌های شخصی ذکر شد. یک سال بعد از رونمایی از این لایحه و در سال ۱۳۹۸ پیگیری خبرگزاری‌های مختلف مشخص کرد نمایندگان از سرنوشت این لایحه‌ی ۷۸ ماده‌ای بی‌خبرند. در اصل این لایحه در پیچ و خم‌های تصویب در کمیسیون‌های مختلف به سرانجام نرسید.

بر اساس آنچه در لایحه پیشنهادی دولت روحانی برای حفاظت از داده‌های شخصی مطرح شده، «پردازش داده‌های شخصی مربوط به وضعیت‌ها یا موقعیت‌های غیرعمومی، منوط به رضایت شخص موضوع آنهاست و پردازش داده‌های شخصی بدون رضایت اشخاص را در شرایطی که برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی ضروری باشد یا باعث صیانت از حیثیت، جان یا مال خود شخص شود مجاز دانسته است.»

این لایحه در تعاریف برخی مفاهیم مانند داده شخصی حساس و برخی از مقررات شباهت‌هایی با GDPR یا همان مقررات عمومی حفاظت از داده اتحادیه اروپا دارد.

مقررات عمومی حفاظت از داده اتحادیه اروپا چیست؟

طبق آنچه در صفحه ویکی‌پدیای GDPR منتشر شده است، مقررات عمومی حفاظت از داده اتحادیه اروپا شامل احکام و الزاماتی مرتبط با پردازش اطلاعات شخصی قابل تشخیص در اتحادیه اروپا می‌شود و همه کسب‌وکارهایی که با این منطقه اقتصادی مراوده کاری دارند باید به این مقررات پایبند باشند. بدین ترتیب، فرایندهای کسب‌وکار که اطلاعات شخصی را اداره می‌کنند باید مبتنی بر «حفاظت اطلاعات از طریق طراحی و به‌طور پیش‌فرض» باشند؛ یعنی اطلاعات شخصی باید با استفاده از مستعارسازی یا بی‌نام‌سازی ذخیره و حداکثر محرمانگی به‌ طور پیش‌فرض در نظر گرفته شود.

همچنین در این مقرره آمده است: پردازش اطلاعات شخصی که آشکارگر نژاد، قومیت، عقاید سیاسی، اعتقادات مذهبی یا فلسفی یا عضویت در اتحادیه‌های کارگری است باید ممنوع شود. همچنین پردازش داده‌های ژنتیکی و داده‌های بیومتریک به منظور شناسایی منحصربه‌فرد یک شخص حقیقی، داده‌های مربوط به سلامت، زندگی جنسی و گرایش جنسی افراد ممنوع است.

اما این بند نیز تبصره‌هایی دارد. یکی از مهم‌ترین تبصره‌ها به کنترلگر اجازه می‌دهد این نوع داده‌ها را برای حفاظت از منافع حیاتی فرد دارنده اطلاعات یا شخص حقیقی دیگری پردازش کند؛ اگر فردی که اطلاعات متعلق به اوست، از نظر فیزیکی یا قانونی قادر به رضایت دادن نباشد. علاوه بر این، برای ایجاد، اعمال یا دفاع از دعاوی حقوقی یا هر زمان دیگری که دادگاه در حال اقدام در حوزه مقام قضایی خود است، پردازش این داده‌های شخصی بلامانع است.

بومی‌سازی مقررات حفاظت از داده

در شهریورماه ۱۴۰۰، دو سال بعد از آنکه نمایندگان مجلس وقت از سرنوشت لایحه صیانت از داده‌ها ابراز بی‌اطلاعی می‌کردند، گروهی از آنها با هدف رفع خلأهای قانونی مربوط به داده‌ها و اطلاعات به ویژه داده‌هایی که در فضای مجازی توسط ارائه‌دهندگان خدمات از مردم و کسب‌وکارها گردآوری و پردازش می‌شود، طرح «حمایت و حفاظت از داده‌ها و اطلاعات شخصی» را اعلام وصول کردند.

در ماده دوم این طرح، بخشی که به تعاریف واژگان اختصاص دارد، داده و اطلاعات شخصی را داده و اطلاعاتی تعریف می‌کند که به تنهایی یا به همراه داده‌های دیگر، شخص موضوع داده را می‌شناساند و نشانی از تفکیک میان داده‌های شخصی و داده‌های حساس شخصی نیست.

بنا بر آنچه در این طرح بیان شده است، پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت‌ها یا موقعیت‌های غیرعمومی، منوط به رضایت شخصی است که داده‌ها به او مربوط می‌شود. همچنین شخص حقیقی یا حقوقی که داده به او تعلق دارد این حق را داراست که در هر زمان، پردازش یا عدم پردازش همه یا بخشی از داده‌ها و اطلاعات را بخواهد. مشروط بر آنکه داده‌ها و اطلاعات یا نتایج حاصل از آنها نادرست باشد یا داده‌ها و اطلاعات یا پردازش آنها خارج از محدوده رضایت او باشد.

اما این طرح نیز در پیچ و خم بررسی‌ها متوقف شد تا آبان‌ماه که وزیر ارتباطات از تدوین لایحه حفاظت از داده‌ها و حریم خصوصی کاربران فضای مجازی خبر داد. پنجم دی‌ماه نیز از قول عیسی زارع‌پور گفته شد که این طرح در مسیر مجلس است. هرچند هنوز جزئیاتی از محتوای لایحه اخیر وزارت ارتباطات در خصوص حفاظت از داده‌های شخصی منتشر نشده و مشخص نیست این لایحه بر پایه همان لایحه دولت دوازدهم تدوین و به‌روز شده یا لایحه جدیدی در این خصوص تدوین شده است، اما تدوین چندباره‌ طرح‌هایی برای صیانت از اطلاعات شخصی مردم در دولت‌ها و دوره‌های مختلف مجلس نشان از اهمیت قانون‌گذاری در این مورد دارد، موضوعی که هر بار به دلایل سیاسی از دستور کار کنار گذاشته می‌شود اما بار دیگر در دولتی دیگر به گونه‌ای دیگر مطرح می‌شود.

به‌روزرسانی

وزارت ارتباطات و فناوری اطلاعات اعلام کرده که در بیست‌وششمین جلسه کمیسیون راهبری کارگروه ویژه اقتصاد دیجیتال دولت پیش‌نویس لایحه قانون حمایت و حفاظت از داده‌های شخصی برای ارائه به کارگروه ویژه اقتصاد دیجیتال نهایی شده است.