عضو هیات علمی دانشگاه شهید بهشتی: تصویب قانون حفاظت از داده‌های شخصی روی مساله رفع فیلترینگ تاثیر گذار است بررسی لایحه حفاظت از داده‌های شخصی دوباره در دستور کار کمیسیون حقوقی دولت قرار گرفت

به گزارش پیوست؛ در نشست تبیین برنامه هفتم پیشرفت در مرکز پژوهش‌ها، باقر انصاری عضو هیات علمی دانشگاه شهید بهشتی اعلام کرد که لایحه حفاظت از داده‌هایی شخصی به کمیسیون حقوقی دولت ارجاع شده است، این در حالی است که در جلسه ۲۰ تیرماه هیات دولت این لایحه در دولت تصویب و قرار بود برای تبدیل شدن به قانون به مجلس ارسال شود.

انصاری درباره لایحه حفاظت از داده که در حال حاضر به کمیسیون حقوقی دولت ارجاع داده شده است به تاثیرگذاری این لایحه در مسأله رفع فیلترینگ اشاره کرد و گفت: لایحه حفاظت از داده‌های شخصی حکمی راجع به فیلترینگ نداده است اما این لایحه می‌تواند یکی از عوامل زمینه ساز فیلترینگ یا رفع فیلترینگ باشد. چون یکی از چالش های مهم فیلترینگ حفاظت از داده‌های کاربران ایرانی است و همچنین سکوهای دیگر خواهان فهمیدن این مسأله هستند که ایران به چه شکلی می‌تواند از داده‌های شخصی کاربران خود حفاظت کند و متاسفانه ایران هیچ جوابی برای این موضوع ندارد. لایحه حفاظت از داده‌های شخصی می‌تواند راه‌حلی برای سکوهای خارجی باشد. ابلاغ لایحه حفاظت از داده‌های شخصی از این جهت که سکوی خارجی حداقل می‌تواند جوابی از سمت ایران درباره حفاظت داده ایرانی داشته باشد،‌ مفید است تا سکوی خارجی برای استقرار دفتری در ایران بتواند تصمیم بگیرد.

تدوین لایحه حفاظت از داده‌های حریم شخصی از سال ۹۶ در دستور کار دولت قرار گرفت و با اینکه وزارت ارتباطات دولت‌های پیشین بارها از نهایی شدن این لایحه خبر داده بود اما این لایحه هیچ‌گاه به خط پایان نرسید. از ابتدای دولت سیزدهم تصویب این لایحه از سوی وزارت ارتباطات و فناوری اطلاعات پیگیری شد. در ابتدا متن تدوین شده از سوی دولت دوازدهم مورد بازبینی قرار گرفت و در نهایت در بهمن ماه ۱۴۰۱ به هیات دولت برای بررسی نهایی ارسال شد. اما به نظر می‌رسد دوباره متن لایحه برای بازبینی در دستور کار دولت قرار گرفته است.

تایید صلاحیت مسئول پردازش داده‌ها توسط یک نهاد امنیتی

عضو هیات علمی دانشگاه شهید بهشتی درباره لایحه حمایت از داده‌ها گفت: لایحه حفاظت از داده برای کسب‌و‌کارها تعیین کرده است که باید مسئول پردازش داده داشته باشند و داده‌های خود را برای بررسی به وزارت ارتباطات بفرستند. اعتقاد دارم که هیچ کسب‌و‌کار و مهندسی راضی به انجام این خواسته نمی‌شود که وزارت ارتباطات داده‌های آنها را تایید کند. چون این فرآیند مانند حراست داده‌ها توسط وزارت اطلاعات در بخش خصوصی است و یکی از نکات چالش برانگیز این لایحه نیز همین مورد است. اعتقاد دارم لایحه داده‌های شخصی باید سه رویکرد را رعایت کند. اولین رویکرد نیز اصول پردازش داده‌ها است و از سال ۱۹۷۰ در جهان وجود دارد و مسأله جدیدی نیست. طبق این اصل، پردازش داده های شخصی باید مشروط به قانون باشد و بدون قانون نمی‌توان پردازش کرد و مبانی پردازش باید رعایت شود.

او ادامه داد: پردازش داده‌های شخصی باید متناسب با هدف یا محدود به اهداف باشد. به تعبیری دیگر پردازش داده‌های شخصی باید به صورت حداقلی باشد و به میزانی که برای هدف لازم است داده پردازش شود .همچنین پردازش داده‌های شخصی باید بر اساس اصل شفافیت و اصل انصاف باشد. البته لازم به ذکر است که  در یک قانون نمی‌توان این موارد را اجرایی کرد و گاهی نیاز است که قوانین مختلفی وضع شود. پردازش داده‌ها بر اساس نیازهای امنیتی یا ارائه خدمات ارتباطی باید جدا بررسی شود. رکن دیگری که باید رعایت شود هم حقوق اشخاص است.

انصاری اضافه کرد: متاسفانه قانون‌نویسی درباره حفاظت از داده‌ها به شکل دوستانه و در قالب گپ‌زدن انجام می‌شود و کار کارشناسی شده و مطالعه شده کمی در این مدل قانون‌نویسی‌ها به کار گرفته می‌شود. در حالی که برای رسیدن به استانداردهای جهانی و جبران عقب‌افتادگی از این استانداردها، باید کارشناسی‌های عمیقی انجام شود. یکی از مواردی که نشان می‌دهد مطالعات لازم و کافی در این مورد انجام نشده است، استفاده از کلمه مالکیت داده است. متاسفانه این پیش فرض و ادبیات اشتباهی درباره داده‌ها است و نباید از این کلمه استفاده کرد.

حمیدرضا هادی‌پور، نماینده معاونت حقوقی وزارت ارتباطات و فناوری اطلاعات به عنوان یکی از مهمانان این نشست، درباره اشاره انصاری به تایید هویت مسئول پردازش داده‌ها گفت: کسی که می‌خواهد در اپراتورها ناظر باشد صلاحیت آنها را باید نهادهای امنیتی تایید کنند و امیدوارم این سوءبرداشت ایجاد نشود که آن مسئول باید نماینده نهادهای امنیتی باشد.