لایحه حمایت از داده و حریم خصوصی در فضای مجازی که به همت سازمان فناوری اطلاعات ایران و پژوهشگاه قوه قضاییه و دانشگاه علم و فرهنگ تدوین شده است، یکی از مهمترین لوایح در خصوص حفظ حریم خصوصی و صیانت از دادهها و اطلاعات کاربران در حوزه فضای سایبر است که بهرغم کوشش فراوان دارای اشکالات شکلی و ماهوی، آنهم بهصورت بنیادین است که در صورت اصلاح نشدن موارد میتواند به فاجعهای حقوقی منجر شود؛ فاجعهای که در عالم حقوق به آن قوانین جرمزا میگویند.
حفاظت نكردن از اطلاعات، بهخصوص اطلاعات مالی میتواند از جمله مواردی باشد که موجبات ضرر را برای صاحبان داده ایجاد كند. جالب آنکه در این لایحه از اطلاعات مالی صیانتی بهعمل نیامده است که در ادامه به نقد این لایحه میپردازیم.
اشکالات شکلی:
1.متاسفانه به جای واژه الکترونیکی از واژه الکترونیک استفاده شده است که اهل فن تفاوتهای میان این دو را بهخوبی میدانند، اصولا حمایت از داده و حریم خصوصي در فضای الکترونیکی رخ میدهد نه در فضای الکترونیک و اصالتا فضای الکترونیک موجودیت خارجی ندارد.
2.این قانون دارای دو باب دوم است!
3.در ماده ۱۶ به بند 1 ماده 16 ارجاع شده، درحاليكه این ماده اصلا بند ندارد، احتمالا منظور ماده ۱۵ بوده است.
4.در ماده 19 به بند 3 ماده 16 اشاره شده، درحالیکه ماده 16 اصلا بند ندارد، احتمالا منظور ماده ۱۵ بوده است.
5.ماده 22 بدون هیچ دلیل موجهی بهصورت مجزا از ماده 20 قرار گرفته، درحالیکه هر دو ماده در خصوص تکلیف «کنترلگر» است.
6.در بند «پ» ماده ۲۵ و بند «د» ماده ۲۷، به نماینده کانون وکلا اشاره شده، درحالیکه مرکز مشاوران قوه قضاییه موضوع ماده 187 برنامه توسعه نادیده گرفته شده و این خود تبعیضی آشکار است.
اشکالات ماهوی
1.در تعاریف آمده در بندهای هفتگانه ماده یک، ابهامات بسیاری وجود دارد که بايد تعیین تکلیف شود. براي نمونه:
1.1 .در بند 2 و 4 ماده 1 عبارت «جمعآوری» و «گردآوری» آمده است و این امر باعث خلط معانی کارکردی عمل «پردازش» و «جمعآوری» داده میشود.
1.2.در بند 2 ماده 1 «پردازش» تعریف شده است و در آخر این بند آمده «... و بتوان آن داده را به شخص موضوع آن مرتبط کرد.» پرسش اساسی آن است که اگر نتوان داده را به شخصی مرتبط کرد، آیا پردازشی صورت نپذیرفته است؟ اگر این پردازش بدون ارتباط را بهرسمیت نشناسیم چگونه اطلاعات جدید را از دادههای جمعآوری شده استخراج كنيم، آیا این اطلاعات فاقد ارزش هستند؟ آیا این اطلاعات مورد حمایت قانونی نخواهند بود؟
1.3.در بند 5 ماده 1 «کنترلگر» تعریف شده و این تعریف از این جهت دارای اهمیت است که بسیاری از عملکردها و فرایندهای پیشبینی شده در این قانون توسط کنترلگر صورت میپذیرد، حال آنکه در این تعریف کاستیهایی وجود دارد. براي مثال، آمده است «کنترلگر» عبارت است از هر شخص حقیقی و حقوقی که بر اساس قرارداد یا قانون یا در عمل هدف و چگونگی ثبت و پردازش داده را تعیین میکند. به عبارت دیگر یعنی کنترلگر دخالتی در امور اجرایی نداشته و فقط تعیینکننده خط مشی است و البته معلوم نیست منظور از چگونگی ثبت و پردازش داده چیست؟ آیا منظور از ثبت همان ایجاد داده است؟ درصورتیکه این تعریف بهصورت صحیح اصلاح نشود، از نظر حقوقی «کنترلگر» با استمساک به این تعریف میتواند بسیاری از وظایف قانونی و تعهد نكردن به وظایف را توجیه كند که این امر بسی خطرناک و آسیبزا است.
2 .در ماده 2 لایحه اشاره شده است که این قانون برای محافظت از حریم دادههای شخصی و حمایت از حیثیت و کرامت هر فرد ایجاد شده است. پرسش آنکه پس وضعیت اشخاص حقوقی و صیانت از اسرار تجاری یا برندینگ آن چگونه خواهد بود؟ با توجه به توسعه کسبوکارهای اینترنتی بسیار زیاد و فعالیت شرکتهای سنتی در این فضا آیا نیازی به حمایت از دادههای شخصی اینگونه شرکتها ملاک نبوده است؟ همچنین در قسمت اخیر این ماده آمده «...هر ذینفعی میتواند بر پردازش دادههای شخصی نظارت داشته باشد»، اما چگونگی این نظارت با عنایت به پیچیدگیهای فنی بیان نشده است، حال آنکه در این ماده از عبارت «هر کس» به جای «هر شخص» استفاده شده که خود دارای بحثهای عمیق حقوقی است؛ زیرا باز محدودیتی برای اشخاص حقوقی ایجاد كرده و از آنان حمایتی بهعمل نمیآورد.
3 .در ماده 3 این قانون باز نیز شخصیتهای حقوقی مورد توجه قرار نگرفتهاند که شاهد مثال آن بندهای 3 و 7 است، بهصورتیکه معلوم نیست برخورد قانون با شرکتهای در حال انحلال و تصفیه چگونه است یا در صورت ضرر به اشخاص حقوقی چگونه باید جبران خسارت كرد.
4. همچنین در بند 4 ماده 3 فرایندی پیشبینی شده است که میتواند بسیار فسادزا باشد و دلیل آن نیز معلوم نیست که چرا اختیارات بسیار زیادی را به کمیسیون در خصوص عدم اعتبار به رضایت شخص مبنی بر ایجاد داده یا پردازش داده شده است.
5 .در بند 7 ماده 3 که خود نوعی آیین دادرسی بهحساب میآید و خارج از مسايل مدنی است نیز چند ایراد بهچشم میخورد. نخست عدم تعیین تکلیف اشخاص حقوقی در صورت متضرر شدن و دوم اینکه در این بند تنها به جبران خسارت متعارف بسنده شده است، حال آنکه اگر خسارت نامتعارف بود چگونه عمل خواهد شد؟ همچنین در قسمت آخر این بند واژه «او» باید به «ثالث» تغییر کند.
6 .در ماده 5 لایحه در خصوص اسرار تجاری باز هم بحثی به میان نیامده است.
7 .در بند 1 ماده 7 به شرط اعلامی در ماده 2 اشاره شده، حال آنکه در این ماده اصلا شرطی بیان نشده است، مگر قابل انتصاب بودن که آن هم اشتباه است.
8 .در ماده 8 مسوولیت صحت و تمامیت دادهها به عهده ثبتکننده این دادهها گذاشته شده است، حال آنکه معلوم نیست ثبتکننده داده اصولا کیست.
9.در ماده 9 وظیفه حذف یا اصلاح داده بر عهده کنترلگر گذاشته شده است که این امر در تزاحم با ماده 8 و وظایف ثبتکننده اطلاعات است.
10 .قسمت ابتدایی ماده 10 در تضاد آشکار با بند 1 ماده 2 است، در بند 1 ماده 2 عنوان شده در عمل پردازش باید بتوان داده را به شخص موضوع آن مرتبط کرد، درحالیکه در ماده 10 آمده باید پردازش بهگونهای باشد که شخص موضوع داده قابل شناسایی نباشد، همچنین در ماده 10 آمده است که باید اهداف اعلامشده در ماده 3 را نیز مد نظر قرارداد، درحالیکه در ماده 3 اصلا هدفی عنوان نشده است.
11 .در بندهای چهارگانه ماده 12 فرایندی پیشبینی شده است که با تفسیر موسع میتوان بیان کرد که کلا و اصالتا میتوان بدون رضایت به دادهها دسترسی پیدا کرد.
12 .ماده 13 لایحه دارای تالی فاسد است و ابهامات زیادی در خصوص نحوه استفاده تجاری را دربر میگیرد.
13.در بند 2 ماده 15 دادههای حساس تعریف شده و در بند 1 ایجاد، پردازش و استفاده از این نوع اطلاعات ممنوع اعلام شده است، حال آنکه اطلاعات مالی در این بند بهچشم نمیخورد و وضعیت جسمانی نیز جزو اطلاعات حساس قلمداد شده، درحالیکه دریافت اطلاعات جسمانی میتواند در تعیین خط مشیها و توازن در ارایه خدمات بهداشتی و شهروندی از اهمیت فراوانی برخوردار باشد. جالب آنکه محکومیتهای کیفری جزو دادههای حساس است، درحالیکه این اطلاعات در سجل کیفری بايد قهرا ثبت و قابل استعلام مراجع گوناگون باشد.
14 .استثنای بند 3-5 ماده 15 نیز بهصورت بسیار کلی است و میتوان آن را به هر نحوی تفسیر کرد. یکی از راههای محدودسازی این بند شاید مراجعه به حکم دادگاه باشد.
15 .ماده 16 مرکز آمار ایران را در خصوص جمعآوری اطلاعات حساس مستثنا کرده، حال آنکه اصلا معلوم نیست این مرکز چه نیازی به اینگونه اطلاعات دارد و جمعآوری این اطلاعات خود نقض غرض است.
16.ماد ۱۸ نیز استثنائات فراوانی را مطرح کرده که غیرقابل پذیرش است.
17 .ماده 19 در تضاد با ماده 20 و 4 است.
18 .قسم دوم بند «ب» ماده 20 بسیار کلی است و میتواند تفاسیر متعددی را در پی داشته باشد.
19 .در ماده 21 از کمیسیون مرکزی حمایت از دادهها و آزادی اطلاعات نام برده شده که در قانون تعریفی از آن به میان نیامده است.
20.در خصوص تبصره 2 ماده 25 نیز رویه غلطی در نظر گرفته شده و معلوم نیست در صورت موافقت نكردن قاضی چه اتفاقی رخ خواهد داد.
در پایان امید است تهیهکنندگان لوایح پيش از انتشار پیشنویس، نظر افراد و اشخاص خبره را اخذ و از جهات گوناگون موارد، تعهدات و تکالیف را مورد بررسی قرار دهند.
vrgl.ir/TmV8c
دیدگاهها