نقدی بر لایحه حمایت از داده و حریم خصوصی در فضای مجازی

• 25 فروردین 1397 07:5 ق.ظ
• محمدجعفر نعناکار

لایحه حمایت از داده و حریم خصوصی در فضای مجازی که به همت سازمان فناوری اطلاعات ایران و پژوهشگاه قوه قضاییه و دانشگاه علم و فرهنگ تدوین شده است، یکی از مهم‌ترین لوایح در خصوص حفظ حریم خصوصی و صیانت از داده‌ها و اطلاعات کاربران در حوزه فضای سایبر است که به‌رغم کوشش فراوان دارای اشکالات شکلی و ماهوی، آن‌هم به‌صورت بنیادین است که در صورت اصلاح نشدن موارد می‌تواند به فاجعه‌ای حقوقی منجر شود؛ فاجعه‌ای که در عالم حقوق به آن قوانین جرم‌زا می‌گویند.

حفاظت نكردن از اطلاعات، به‌خصوص اطلاعات مالی می‌تواند از جمله مواردی باشد که موجبات ضرر را برای صاحبان داده ایجاد كند. جالب آنکه در این لایحه از اطلاعات مالی صیانتی به‌عمل نیامده است که در ادامه به نقد این لایحه می‌پردازیم.

اشکالات شکلی:

1.متاسفانه به جای واژه الکترونیکی از واژه الکترونیک استفاده شده است که اهل فن تفاوت‌های میان این دو را به‌خوبی می‌دانند، اصولا حمایت از داده و حریم خصوصي در فضای الکترونیکی رخ می‌دهد نه در فضای الکترونیک و اصالتا فضای الکترونیک موجودیت خارجی ندارد.

2.این قانون دارای دو باب دوم است!

3.در ماده ۱۶ به بند 1 ماده 16 ارجاع شده، در‌حالي‌كه این ماده اصلا بند ندارد، احتمالا منظور ماده ۱۵ بوده است.

4.در ماده 19 به بند 3 ماده 16 اشاره شده، درحالی‌که ماده 16 اصلا بند ندارد، احتمالا منظور ماده ۱۵ بوده است.

5.ماده 22 بدون هیچ دلیل موجهی به‌صورت مجزا از ماده 20 قرار گرفته، درحالی‌که هر دو ماده در خصوص تکلیف «کنترل‌گر» است.

6.در بند «پ» ماده ۲۵ و بند «د» ماده ۲۷‌، به نماینده کانون وکلا اشاره شده، درحالی‌که مرکز مشاوران قوه قضاییه موضوع ماده 187 برنامه توسعه نادیده گرفته شده و این خود تبعیضی آشکار است.

اشکالات ماهوی‌

1.در تعاریف آمده در بندهای هفت‌‌گانه ماده یک، ابهامات بسیاری وجود دارد که بايد تعیین تکلیف شود. براي نمونه:

1.1 .در بند 2 و 4 ماده 1 عبارت «جمع‌آوری» و «گرد‌آوری» آمده است و این امر باعث خلط معانی کارکردی عمل «پردازش» و «جمع‌آوری» داده می‌شود.

1.2‌.‌در بند 2 ماده 1 «پردازش» تعریف شده است و در آخر این بند آمده «... و بتوان آن داده را به شخص موضوع آن مرتبط کرد.» پرسش اساسی آن است که اگر نتوان داده را به شخصی مرتبط کرد، آیا پردازشی صورت نپذیرفته است؟ اگر این پردازش بدون ارتباط را به‌رسمیت نشناسیم چگونه اطلاعات جدید را از داده‌های جمع‌آوری شده استخراج كنيم، آیا این اطلاعات فاقد ارزش هستند؟ آیا این اطلاعات مورد حمایت قانونی نخواهند بود؟

1.3‌.در بند 5 ماده 1 «کنترل‌گر» تعریف شده و این تعریف از این جهت دارای اهمیت است که بسیاری از عملکردها و فرایندهای پیش‌بینی شده در این قانون توسط کنترل‌گر صورت می‌پذیرد، حال آنکه در این تعریف کاستی‌هایی وجود دارد. براي مثال، آمده است «کنترل‌گر» عبارت است از هر شخص حقیقی و حقوقی که بر اساس قرارداد یا قانون یا در عمل هدف و چگونگی ثبت و پردازش داده را تعیین می‌کند. به عبارت دیگر یعنی کنترل‌گر دخالتی در امور اجرایی نداشته و فقط تعیین‌کننده خط مشی است و البته معلوم نیست منظور از چگونگی ثبت و پردازش داده چیست؟ آیا منظور از ثبت همان ایجاد داده است؟ درصورتی‌که این تعریف به‌صورت صحیح اصلاح نشود، از نظر حقوقی «کنترل‌گر» با استمساک به این تعریف می‌تواند بسیاری از وظایف قانونی و تعهد نكردن به وظایف را توجیه كند که این امر بسی خطرناک و آسیب‌زا است.

2 .در ماده 2 لایحه اشاره شده است که این قانون برای محافظت از حریم داده‌های شخصی و حمایت از حیثیت و کرامت هر فرد ایجاد شده است. پرسش آنکه پس وضعیت اشخاص حقوقی و صیانت از اسرار تجاری یا برندینگ آن چگونه خواهد بود؟ با توجه به توسعه کسب‌و‌کارهای اینترنتی بسیار زیاد و فعالیت شرکت‌های سنتی در این فضا آیا نیازی به حمایت از داده‌های شخصی این‌گونه شرکت‌ها ملاک نبوده است؟ همچنین در قسمت اخیر این ماده آمده «...هر ذی‌نفعی می‌تواند بر پردازش داده‌های شخصی نظارت داشته باشد»،‌ اما چگونگی این نظارت با عنایت به پیچیدگی‌های فنی بیان نشده است، حال آنکه در این ماده از عبارت «هر کس» به جای «هر شخص» استفاده شده که خود دارای بحث‌های عمیق حقوقی است؛ زیرا باز محدودیتی برای اشخاص حقوقی ایجاد كرده و از آنان حمایتی به‌عمل نمی‌آورد.

3 .در ماده 3 این قانون باز نیز شخصیت‌های حقوقی مورد توجه قرار نگرفته‌اند که شاهد مثال آن بندهای 3 و 7 است، به‌صورتی‌که معلوم نیست برخورد قانون با شرکت‌های در حال انحلال و تصفیه چگونه است یا در صورت ضرر به اشخاص حقوقی چگونه باید جبران خسارت كرد.

4‌. همچنین در بند 4 ماده 3 فرایندی پیش‌بینی شده است که می‌تواند بسیار فسادزا باشد و دلیل آن نیز معلوم نیست که چرا اختیارات بسیار زیادی را به کمیسیون در خصوص عدم اعتبار به رضایت شخص مبنی بر ایجاد داده یا پردازش داده شده است.

5 .در بند 7 ماده 3 که خود نوعی آیین دادرسی به‌حساب می‌آید و خارج از مسايل مدنی است نیز چند ایراد به‌چشم می‌خورد. نخست عدم تعیین تکلیف اشخاص حقوقی در صورت متضرر شدن و دوم اینکه در این بند تنها به جبران خسارت متعارف بسنده شده است، حال آنکه اگر خسارت نامتعارف بود چگونه عمل خواهد شد؟ همچنین در قسمت آخر این بند واژه «او» باید به «ثالث» تغییر کند.

6 .در ماده 5 لایحه در خصوص اسرار تجاری باز هم بحثی به میان نیامده است.

7 .در بند 1 ماده 7 به شرط اعلامی ‌در ماده 2 اشاره شده، حال آنکه در این ماده اصلا شرطی بیان نشده است، مگر قابل انتصاب بودن که آن هم اشتباه است.

8 .در ماده 8 مسوولیت صحت و تمامیت داده‌ها به عهده ثبت‌کننده این داده‌ها گذاشته شده است، حال آنکه معلوم نیست ثبت‌کننده داده اصولا کیست.

9.در ماده 9 وظیفه حذف یا اصلاح داده بر عهده کنترل‌گر گذاشته شده است که این امر در تزاحم با ماده 8 و وظایف ثبت‌کننده اطلاعات است.

10 .قسمت ابتدایی ماده 10 در تضاد آشکار با بند 1 ماده 2 است، در بند 1 ماده 2 عنوان شده در عمل پردازش باید بتوان داده را به شخص موضوع آن مرتبط کرد، درحالی‌که در ماده 10 آمده باید پردازش به‌گونه‌ای باشد که شخص موضوع داده قابل شناسایی نباشد، همچنین در ماده 10 آمده است که باید اهداف اعلام‌شده در ماده 3 را نیز مد نظر قرارداد، در‌حالی‌که در ماده 3 اصلا هدفی عنوان نشده است.

11 .در بند‌های چهارگانه ماده 12 فرایندی پیش‌بینی شده است که با تفسیر موسع می‌توان بیان کرد که کلا و اصالتا می‌توان بدون رضایت به داده‌ها دسترسی پیدا کرد.

12 .ماده 13 لایحه دارای تالی فاسد است و ابهامات زیادی در خصوص نحوه استفاده تجاری را دربر می‌گیرد.

13.در بند 2 ماده 15 داده‌های حساس تعریف شده و در بند 1 ایجاد، پردازش و استفاده از این نوع اطلاعات ممنوع اعلام شده است، حال آنکه اطلاعات مالی در این بند به‌چشم نمی‌خورد و وضعیت جسمانی نیز جزو اطلاعات حساس قلمداد شده، درحالی‌که دریافت اطلاعات جسمانی می‌تواند در تعیین خط مشی‌ها و توازن در ارایه خدمات بهداشتی و شهروندی از اهمیت فراوانی برخوردار باشد. جالب آنکه محکومیت‌های کیفری جزو داده‌های حساس است، درحالی‌که این اطلاعات در سجل کیفری بايد قهرا ثبت و قابل استعلام مراجع گوناگون باشد.

14 .استثنای بند 3-5 ماده 15 نیز به‌صورت بسیار کلی است و می‌توان آن را به هر نحوی تفسیر کرد. یکی از راه‌های محدودسازی این بند شاید مراجعه به حکم دادگاه باشد.

15 .ماده 16 مرکز آمار ایران را در خصوص جمع‌آوری اطلاعات حساس مستثنا کرده، حال آنکه اصلا معلوم نیست این مرکز چه نیازی به این‌گونه اطلاعات دارد و جمع‌آوری این اطلاعات خود نقض غرض است.

16‌.ماد ۱۸ نیز استثنائات فراوانی را مطرح کرده که غیرقابل پذیرش است.

17‌ .ماده 19 در تضاد با ماده 20 و 4 است.

18‌ .قسم دوم بند «ب» ماده 20 بسیار کلی است و می‌تواند تفاسیر متعددی را در پی داشته باشد.

19 .در ماده 21 از کمیسیون مرکزی حمایت از داده‌ها و آزادی اطلاعات نام برده شده که در قانون تعریفی از آن به میان نیامده است.

20.در خصوص تبصره 2 ماده 25 نیز رویه غلطی در نظر گرفته شده و معلوم نیست در صورت موافقت نكردن قاضی چه اتفاقی رخ خواهد داد.

در پایان امید است تهیه‌کنندگان لوایح پيش از انتشار پیش‌نویس، نظر افراد و اشخاص خبره را اخذ و از جهات گوناگون موارد، تعهدات و تکالیف را مورد بررسی قرار دهند.

vrgl.ir/TmV8c