تایید خلأهای قانونی حفاظت از داده در ایران
مرکز پژوهش های مجلس با بررسی خلأهای قانونی حفاظت از دادهها به این نتیجه رسیده با وجود شناسایی حق حریم خصوصی در قانون اساسی، قوانین اجرایی جهت تحقق امر حفاظت از حریم خصوصی وجود ندارد.
به گزارش خبرگزاری مهر، مرکز پژوهشهای مجلس در گزارشی به شناسایی خلأهای قانونی حفاظت از دادهها در زنجیره ارزش دادهها پرداخته است و این موضوع در قوانین ایران و ایالات متحده آمریکا با یکدیگر مقایسه کرده است.
هدف این گزارش شناسایی خلاء های قانونی حفاظت ازحقوق دادهها با مقایسه قوانین ایران و ایالات متحده آمریکا است. مطالعه حال حاضر نشان میدهد، قانون اساسی ایران در شناسایی حق حریم خصوصی از قانون اساسی آن کشور مترقی تر است.
در خلاصه مدیریتی این گزارش آمده است: هدف از تدوین این گزارش شناسایی خلأهای قانونی حفاظت از حقوق دادهها با مقایسه قوانین ایران و ایالات متحده آمریکا است.
در قانون اساسی ایالات متحده آمریکا رعایت حریم خصوصی تصریح نشده، اما در اصل ۲۵ قانون اساسی جمهوری اسلامی بر حق حریم خصوصی تصریح شده است. در نتیجه قانون اساسی ایران در شناسایی حق حریم خصوصی به مراتب از قانون اساسی ایالات متحده آمریکا مترقی تر است.
مقایسه قوانین جامع تصویب شده یا در آستانه تصویب ایالات کالیفرنیا، نیویورک، مریلند، ماساچوست، هاوایی و داکوتای شمالی با قانون تجارت الکترونیک ایران مصوب سال ۱۳۸۲ نیز نشان میدهد در قوانین موضوعه مصوب مجلس شورای اسلامی نیز اصل حقوق مربوط به حریم خصوصی به صراحت به رسمیت شناخته شده و حتی مجازات زندان برای تخلف در زمینه رعایت حقوق شخص موضوع داده وضع شده است، اما در قوانین ایران این مشکلات وجود دارند:
* موضوع حریم خصوصی از جنبه شیوه احقاق حقوق و ضوابطی که با اجرای آنها فرد میتواند نسبت به احقاق حقوق خود اقدام کند روشن نشده است.
* درحالی که تکالیفی برای نگهداری و حفظ برخی از اقلام دادهای از سوی برخی کسب و کارها و عرضه کنندگان خدمات فناوری اطلاعات وضع شده، در زمینه حفاظت از این دادهها و شیوه استفاده از این دادهها ضوابط مشخصی وضع نشده است.
برای نمونه طبق تکلیف مواد ۳۲ و ۳۳ قانون جرایم رایانهای ارائه دهندگان خدمات مربوطه موظفند دادههای ترافیکی را حداقل شش ماه و دادههای ذخیره سازی را حداقل پانزده روز پس از خاتمه خدمت نگهداری کنند، اما بازه زمانی که دادهها باید قابلیت حذف یا امحا داشته باشند یا ملاحظات حریم خصوصی و حقوق دادههای اشخاص موضوع این دادهها نیز تصریح نشده اند. گرچه به نظر میرسد احکام حریم خصوصی قانون تجارت الکترونیکی در این حوزه قابل اعمال باشند.
* برای ساماندهی به پدیده دلالهای داده یعنی کسانی که بدون مراورده مستقیم کسب و کاری با اشخاص دادههایی در مورد آنها در اختیار دارند و این دادهها را به فروش میرسانند قوانین کافی وجود ندارد و کسب و کارهای متعددی درحال گردآوری اطلاعات شهروندان در شبکههای اجتماعی مختلف هستند و الزام قانونی هم به افشای اطلاعات به اشخاص موضوع داده از سوی این کسب و کارها وجود ندارد.
* قوانین کسبوکارها را به ایجاد یک امکان مشخص برای درخواست پاک کردن اطلاعات شخصی افراد بکند، ملزم نکرده اند.
* فروش اطلاعات شخصی سامان دهی نشده است حمایتهای حقوقی بیشتر از حریم خصوصی کودکان وجود ندارد.
* حریم خصوصی مطالعه منابع الکترونیکی مقررات گذاری نشده است.
* تکالیف کسبوکارها در زمینه اطلاع رسانی در مورد شیوه مدیریت دادههای شخصی مدون نشده است.
* حریم خصوصی در رابطه کارگر و کارفرما تدوین نشده است.
* کسب و کارها ملزم به اطلاع رسانی پیرامون نشت اطلاعات نیستند.
در توسعه قوانین حمایت از حقوق دادهها و رفع خلأهای قانونی ملاحظاتی همچون، مشخص کردن جامعه هدف، لزوم ساماندهی دلالهای داده، ضرورت در نظر گرفتن حساسیت اطلاعات کتابخانه ای، منع استفاده از اطلاعات کودکان برای تبلیغات، ساماندهی نشت اطلاعات، تکلیف به ایجاد قابلیت نرمافزاری داخل نرم افزارهای برخط برای درخواست دسترسی و پاک شدن اطلاعات، ضرورت بازنگری و تقویت قانون تجارت الکترونیکی مصوب ۱۳۸۲ و انجام مطالعات مروری بیشتر در زمینه صیانت از حقوق دادهها پیشنهاد میشود.
عناوین قانونی مرتبط با حفاظت از دادهها در قوانین ایران و ایالات متحده آمریکا
احکام حریم خصوصی و صیانت از داده در قانون اساسی ایالات متحده آمریکا در مقایسه با قانون اساسی جمهوری اسلامی ایران | |
ایالات متحده | جمهوری اسلامی ایران |
مقاله حق حریم خصوصی (حق تنها گذاشته شده بودن) مقاله شبه جرمهای حریم خصوصی مورد قضائی گریزولد در برابر کنتیکت در سال ۱۹۶۵ مورد قضائی کاتز در برابر ایالات متحده آمریکا در سال ۱۹۶۷ مورد قضائی آیزناشتات در برابر بیرد در سال ۱۹۷۲ |
اصل بیست و دوم قانون اساسی جمهوری اسلامی ایران اصل بیست و سوم قانون اساسی جمهوری اسلامی ایران اصل بیست و پنجم قانون اساسی جمهوری اسلامی ایران رأی شماره ۴۹۰ هیأت عمومی دیوان عدالت اداری با موضوع ابطال تبصره ماده ۷ آئین نامه اجرایی تبصره ۴ ماده ۱۸۱ قانون مالیاتهای مستقیم مصوب وزرای دادگستری و امور اقتصادی و دارایی |
احکام حریم خصوصی در قوانین فدرال ایالات متحده آمریکا در مقایسه با مقررات اجرایی ایران | |
مقررات فدرال حریم خصوصی در بخش دولتی دستور اجرایی ۱۳۶۳۶ با عنوان بهبود امنیت سایبری زیرساختهای حیاتی و رهنمود سیاست ریاست جمهوری یا تاب آوری و امنیت زیرساختهای کلیدی ۱۲ فوریه سال ۲۰۱۳ دستور اجرایی ۱۳۶۹۱ با عنوان بهبود اشتراک اطلاعات امنیت سایبری با بخش خصوصی ۱۳ فوریه سال ۲۰۱۵ دستور اجرایی ۱۳۸۷۳ با عنوان ایمن سازی زنجیره ارزش خدمات و فناوریهای ارتباطات و اطلاعات ماه می سال ۲۰۱۹ دستور اجرایی ۱۴۰۳۴ با عنوان حفاظت از دادههای شخصی آمریکاییها از دشمنان خارجی مقررات فدرال بخش خصوصی |
حریم خصوصی در مصوبات شوراها و هیئت وزیران قوه مجریه جمهوری اسلامی ایران |
احکام حریم خصوصی در قوانین ایالتی ایالات متحده آمریکا در مقایسه با قوانین مصوب مجلس ایران | |
قوانین حریم خصوصی مصرف کننده جامع ایالتی | قانون تجارت الکترونیکی مصوب سال ۱۳۸۲ |
جدول مقایسه قوانین جامع ایالات مختلف آمریکا و قانون تجارت الکترونیک ایران
گرچه از نظر دایره شمول احکام، قانون تجارت الکترونیکی بسیاری از ظواهر یک قانون جامع را دارد، اما فاقد سازوکارهای اجرایی شفاف برای تحقق امر حفاظت از حریم خصوصی است. مثلاً گرچه به شخص موضوع داده اختیار حذف داده پیامهای شخصی او داده میشود، اما سازوکار اعلام دادههای در اختیار، شیوه درخواست و مهلتهای قانونی مشخص نیستند.
نتایج این مطالعه نشان میدهد به طور کلی در توسعه قوانین حمایت از حقوق دادهها و رفع خلأهای قانونی ملاحظات ذیل باید مدنظر قرار گیرد:
۱. مشخص کردن جامعه هدف: قوانین حریم خصوصی از نظر جامعه هدفی که حقوقش مورد تأکید قرار میگیرد، میتوانند مصرف کنندگان خدمات و کالا به صورت عام، کارمندان، مراجعین به کتابخانه ها، استفاده کنندگان از خدمات خاص و کودکان و سایر اقشار نیازمند حمایت را دربر بگیرند.
سطوح حفاظتی که نسبت به هر کدام از این جوامع هدف رعایت میشود، میتواند متفاوت باشد. برای مثال قانونگذار میتواند سختگیری بیشتری در زمینه حذف سوابق مربوط به کودکان یا گردآوری اطلاعات آنها نسبت به اشخاص عادی اعمال کند.
قوانین حریم خصوصی از نظر جامعه هدفی که اعمالش ضابطهمند میشود، میتواند شامل بخش دولتی، فعالین بخش خصوصی به صورت عمومی یا اشخاص حقیقی و حقوقی شاغل در حوزههای خاص شوند. در نتیجه در مستندات پشتیبان هر نوع طرح حقوقی باید استدلال مشخصی بشود که جامعه هدف چگونه انتخاب شده و یا چرا یک جامعه هدف مورد تاکید قرار نمیگیرد.
۲. لزوم ساماندهی دلالهای داده: دلالهای داده بدون ارتباط کسب و کاری با شهروندان اطلاعات آنها را گردآوری کرده و به فروش میرسانند، از این رو لازم است که تکلیف آنها در قوانین کشور مشخص بشود.
۳. ضرورت در نظر گرفتن حساسیت اطلاعات کتابخانه ای: اطلاعات مربوط به ترجیح مطالعاتی افراد، مبین گرایشهای فکری و اندیشه افراد میتواند باشد و از این رو حفاظتهای قانونی شدیدتر در مورد آنها قابل در نظر گرفتن است.
۴. منع استفاده از اطلاعات کودکان برای تبلیغات: برای تحقق هدف حمایت از حریم خصوصی کودکان یکی از عواملی که انگیزه گردآوری اطلاعات کودکان را کاهش میدهد ایجاد ممنوعیت تبلیغ بر اساس اطلاعات عادات کاربری آنها است.
۵. ساماندهی نشت اطلاعات: نشت اطلاعات یکی از موضوعات مهم در زمینه حقوق دادهها است و اطلاع رسانی سریع و جرم انگاری لاپوشانی و پنهان کاری در این زمینه میتواند با حمایت از اطلاع رسانی بهنگام به افراد موضوع داده کمک کند ضرر و آسیب وارده احتمالی حاصل از نشت اطلاعات را کاهش بدهند.
۶. تکلیف به ایجاد قابلیت نرم افزاری داخل نرم افزارهای برخط برای درخواست دسترسی و پاک شدن اطلاعات: ذکر کلی حق دسترسی کاربران در قوانین برای احقاق حقوق کاربران قابلیت اجرایی کافی ندارد و کاربرپسند بودن و سهولت درخواست دسترسی و اصلاح نیز قابلیت تاکید از سوی قانونگذار را دارد.
۷. ضرورت بازنگری و تقویت قانون تجارت الکترونیکی مصوب ۱۳۸۲: با توجه به مفاد این قانون بخشی از هر نوع قانونگذاری در زمینه صیانت از دادهها تعیین و تکلیف وضعیت قانون تجارت الکترونیکی خواهد بود.
۸. ضرورت انجام مطالعات بیشتر: پیشنهاد میشود که در پژوهشهای آینده موضوع مالکیت داده و حفاظت از دادهها با دقت بیشتری بررسی و از یافتههای پژوهش برای بررسی طرحها و لوایح مرتبط استفاده شود. همچنین بررسی کشورهایی مانند ژاپن یا بعضی از کشورهای درحال توسعه مسلمان مانند مالزی، سنگاپور، هند، اندونزی، ترکیه و … در آینده میتواند مفید واقع شوند.