خلأهای قانونی حفاظت از دادهها در زنجیره ارزش داده
مرکز پژوهش های مجلس در گزارشی به شناسایی خلأهای قانونی حفاظت از داده ها در زنجیره ارزش داده ها با مقایسه قوانین ایران و آمریکا پرداخت.
به گزارش مرکز پژوهشهای مجلس شورای اسلامی، دفتر مطالعات انرژی، صنعت و معدن این مرکز در گزارشی آورده است که حفاظت از دادهها، بهعنوان یک مفهوم حقوقی، دو حوزه حریم خصوصی داده (چگونگی کنترل، گردآوری، استفاده و توزیع اطلاعات شخصی) و امنیت داده (چگونگی حفاظت از دادههای شخصی در مقابل دسترسی و استفاده غیرمجاز و پاسخ به دسترسی یا استفاده غیرمجاز) را با یکدیگر ترکیب میکند.
این گزارش بیان میکند که ضوابط حفاظت از دادهها باید تعادلی بین سهولت توسعه سیستمهای فناوری اطلاعاتی و اطمینان از رعایت مسئولیت کسبوکار و بخش دولتی نسبت به دادههای شهروندان به وجود بیاورد. حساسیت بیشتر بعضی از دادهها مانند دادههای سلامت یا امور مالی نیازمند سطوح بالاتری از ضوابط حفاظت از دادههاست.
در این گزارش آمده است که در حال حاضر بخش حمایت از دادههای شخصی در قانون تجارت الکترونیکی ایران نمیتواند پاسخگوی تمام نیازهای حفاظت از داده باشد. ازاینرو لایحه حفاظت از دادهها در انتظار اعلام وصول و بررسی در مجلس شورای اسلامی است. استفاده از تجارب بینالمللی میتواند به کشور در قانونگذاری دقیقتر کمک کند. بنابراین تجربه ایالات متحده آمریکا بهعنوان کشوری که قانونگذاری حفاظت دادهها را از حدود نیم قرن پیش آغاز و با تبعات مثبت و منفی آن مواجه شدهاست میتواند مفید باشد.
این گزارش مطرح میکند که طبق مطالعات ایالات متحده آمریکا به نظر میرسد برای قانونگذاری در زمینه حفاظت از دادهها این نکات قابلتوجه است. حفاظت از دادهها شامل بخش دولتی و خصوصی میشود. طرحها و لوایح، حقوق اشخاص موضوع دادهها در پایگاههای اطلاعاتی مختلف دولتی و خصوصی را شفافسازی میکنند. ضوابط حفاظت از دادههای حساس از قبیل اطلاعات مالی و سلامتی بسته به سطح حساسیت بالاتر از ضوابط عمومی حفاظت از دادهها تعیین شدهاست.
این گزارش ادامه میدهد که اشخاص موضوع داده مختلف از حفاظتهای قانونی متفاوتی برخوردار هستند. از یکسو کودکان و اقشار آسیبپذیر و مشاغلی مانند خبرنگاران فعال در زمینه افشاگری و مبارزه با فساد، مورد حفاظت بیشتر قانونی قرار گرفتهاند. از سوی دیگر شاغلین مناصب دارای دسترسی به اطلاعات حساس و محرمانه طبق ضوابط قانونی بهعنوان شرط پذیرش جایگاه، داوطلبانه برای مبارزه با فساد، نفوذ و تخلف، نسبت به بخشی از حریم خصوصی خود صرفنظر میکنند. حفاظت از دادهها در شرایط بحران از قبیل همهگیری کرونا مورد بازنگری و تعدیل قرار میگیرد و ضوابط آن برای شرایط بحرانی میتواند انعطافپذیری داشتهباشد.
در ادامه این گزارشها آمده است که حفاظت از دادهها یک فرایند است که با بلوغ سازمانی بخش دولتی محقق میشود. تصویب قوانین دائمی در بلندمدت به توسعه سطح حفاظت دادهها کمک میکند، اما در قوانین توسعهای و سنواتی، ظرفیتسازی حفاظت از دادهها هدفگذاری میشود. در مراحل اولیه ساماندهی حفاظت از دادهها که بلوغ سازمانی پایینتر است، کمک گرفتن از مشاورین بیرونی به این امر سرعت داد، اما با شکلگیری دانش سازمانی، نهادها قادر شدند بدون کمک مشاورین و بهصورت مستقل این وظایف را عهدهدار شوند.
این گزارش در ادامه پیشنهادات و راهکارهای تقنینی ارائه و بیان کرده است که در تدوین لایحه حفاظت از دادهها پیشنهاد میشود که اقتضائات خاص حفاظت از دادههای دولتی (اولویت حقوق شهروندان و اتباع داخلی) و دادههای در اختیار بخش خصوصی (تعادل بین هزینه رعایت ضوابط از سوی بخش خصوصی و حقوق شهروندان)، رعایت انعطافپذیری احکام در لایحه حفاظت از دادهها بهخصوص در شرایط بحرانی از قبیل همهگیری کرونا مدنظر قرار گیرد.
مرکز پژوهشهای مجلس در این گزارش پیشنهاد میدهد که حفاظتهای حریم خصوصی بسته به سطح آسیبپذیری (کودکان و خبرنگاران) و میزانی که شخص موضوع داده در جایگاه قدرت قرار دارد انعطافپذیر شود. نهادهای مستقل برای نظارت بر رعایت ضوابط حفاظت از داده از سوی نهادهای مجری قانونی و بخش خصوصی ایجاد شده و از وابستگی غیرقابل بازگشت و بدون نظارت دولت به بخش خصوصی در ایجاد، نگهداری و عرضه نمایههای مربوط به دادههای حساس مردم پرهیز شود.