فناوری اطلاعات و ارتباطات

لایحه «حفاظت از داده» به زودی راهی مجلس می شود

لایحه «حفاظت از داده» به زودی راهی مجلس می شود

لایحه «حفاظت از داده» به زودی راهی مجلس می شود

به گزارش خبرنگار مهر، با رشد روز افزون فعالیت در فضای مجازی و با گسترش انواع و اقسام پیام رسانه‌ای اجتماعی و پلتفرم‌ها، حجم داده‌ها و اطلاعات نیز در این فضا افزایش می‌یابد و همین روند رو به رشد چالش‌های امنیت سایبری را در درجه اول برای فرد فرد کاربران و پس از آن برای امنیت ملی به وجود می‌آورد.

هشدارهای کارشناسان این حوزه حاکی از آن است که داده‌های کاربران، روزانه در حجم و اندازه‌های متفاوتی در فضای «دارک وب» در حال داد و ستد است و از آن گذشته بسیاری از شرکت‌های بزرگ فناوری که سرمایه اصلی آنها همین داده‌های کاربران و مخاطبانشان است، اطلاعات را با اهداف تبلیغاتی، سیاسی و اجتماعی با اصحاب قدرت مبادله می‌کنند.

از همین رو ورود امن به فضای مجازی و اعتمادسازی برای کاربران در راستای حفظ حریم شخصی آنها و از همه مهمتر وضع قوانین و چارچوب برای داده‌های سایبری شهروندان هر کشور در راستای حفظ امنیت ملی از اهمیت بالایی برخوردار است و در سال‌های اخیر بسیاری از کشورهای پیشرفته در این زمینه گام برداشته و دست به اقداماتی زده‌اند.

حفاظت از اطلاعات به سبک اروپا و آمریکا

اتحادیه اروپا قانون جامعی از صیانت از اطلاعات شخصی به نام GDPR را به تصویب رسانده است. این قانون از ۲۵ ماه می سال ۲۰۱۸ اجرایی شده و شرکت‌های زیادی در داخل اتحادیه اروپا و حتی خارج از آن، تحت تأثیر این قانون قرار گرفته‌اند.

این قانون که حتی مشمول قوانین و مقرراتی برای صادرات اطلاعات شخصی به خارج از اتحادیه اروپا نیز می‌شود، شبکه‌های مجازی را ملزم به تبعیت از قوانین فضای مجازی کشورها برای صیانت از حریم خصوصی کاربران می‌کند و در صورت نقض این قانون، این شبکه‌ها با جریمه‌های سنگینی مواجه می‌شوند.

در این قانون به این ابهامات پاسخ داده می‌شود که کدام داده‌های جمع آوری شده شامل حریم خصوصی می‌شود؛ چه کسانی می‌توانند از آن استفاده کنند و چه کارهایی باید انجام پذیرد تا کاربر از حفاظت و امانت این اطلاعات مطمئن شود. در نهایت اینکه تحلیل این داده‌ها تحت چه قوانینی ممکن خواهد بود.

به دنبال اتحادیه اروپا، کشورهایی همچون آمریکا و کانادا نیز در خارج از این اتحادیه اقدام به اعمال قوانین مشابه با GDPR کردند. در غیاب قوانین فدرال حفظ حریم خصوصی داده‌ها، برخی از ایالت‌های آمریکا در حال ایجاد قانون خود هستند. کالیفرنیا قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا تحت عنوان California Consumer Privacy Act (CCPA) را در سال ۲۰۱۸ به تصویب رساند و آن را با قانون حقوق حریم خصوصی کالیفرنیا در سال ۲۰۲۰ به روز کرد. مشابه با GDPR، مقررات کالیفرنیا به ساکنان این ایالت امکان می‌دهد اطلاعات شخصی خود را کنترل کنند.

نگرانی در مورد اجرای ایالت به ایالت قوانین حفاظت از داده‌های فردی و حریم خصوصی این است که اگرچه شباهت‌هایی در بین مقررات ایالت‌ها وجود دارد، اما تفاوت‌هایی نیز مشاهده می‌شود. مسئله‌ای که در اینجا مطرح می‌شود این است که مشاغل باید از طیف وسیعی از دستورات پیروی کنند که برخی از آن‌ها ممکن است با یکدیگر تناقض داشته باشند.

پس از آمریکا، کانادا نیز برای حفاظت از حریم خصوصی مصرف کنندگان اقدام به وضع قوانینی بسیار مشابه به GPDR تحت عنوان PIPEDA کرد. این قانون داده‌های شخصی را به عنوان هر اطلاعاتی که می‌تواند برای شناسایی یک فرد مورد استفاده قرار گیرد، تعریف می‌کند که شامل سن، نام، تاریخ تولد، همه شماره‌های شناسنامه، درآمد، نژاد و قومیت، گروه خونی، نظرات، ارزیابی‌ها، موقعیت اجتماعی، اقدامات انضباطی و پرونده‌های کارکنان، اعتبار، وام و سوابق پزشکی می‌شود.

روش‌های آسیایی صیانت از داده

چین، ژاپن، هند، اندونزی و فیلیپین از جمله معروف ترین کشورهایی هستند که استفاده از داده‌های ملی خود را قانونمند کرده‌اند یا در حال وضع قوانینی به همین منظور هستند.

چین: قانون حفاظت از حریم اطلاعات شخصی را در سال گذشته تصویب و اجرا کرد این قانون در راستای قانونمندسازی اینترنت و حفظ حریم خصوصی کاربران تدوین شد. قانون حفاظت از حریم اطلاعات شخصی در حقیقت بخشی از تلاش چین برای قانونمند سازی فضای سایبری است و پیش بینی می‌شود الزامات بیشتری را برای شرکت‌های فناوری تعیین کند.

چین به شرکت‌های فناوری بزرگ خود دستور داده تا اطلاعات کاربران را بهتر ذخیره کنند. در قانون مذکور اشاره شده شیوه کنترل اطلاعات خصوصی کاربران باید شفاف و به دلایل معقول باشد. همچنین جمع آوری اطلاعات باید محدود شود.

ژاپن: در ژاپن قانون حفاظت از داده‌های خصوصی(APPI) به طور کلی موارد مربوط به محافظت از حریم خصوصی داده‌ها را در بر می‌گیرد. در سال ۲۰۱۶ میلادی APPI بندهای متعددی به آن اضافه و در می ۲۰۱۷ میلادی اجرایی شد. پیش از افزوده شدن این بندها APPI فقط شامل حامل اپراتورهای کسب و کاری می‌شد که هرگونه مخازن داده‌های خصوصی بیش از ۵ هزار فرد در روز را طی ۶ ماه در اختیار داشتند. اما در بندهای تصویب شده این الزام حذف شد. تحت قانون APPI که در ۲۰۱۷ میلادی اجرایی شد کمیسیون حفاظت از داده‌های خصوصی( PPC) به عنوان یک آژانس جداگانه ایجاد شد که وظایف آن شامل حفاظت از حقوق و منافع افراد همزمان با ترویج استفاده مفید و مناسب از داده‌های خصوصی است.

لایحه «حفاظت از داده» به زودی راهی مجلس می شود

هند: دولت هند نیز با پس گرفتن لایحه حفاظت از داده و حریم خصوصی سال ۲۰۱۹، مشغول تهیه یک قانون جامع جدید است. لایحه سال ۲۰۱۹ میلادی که شرکت‌های بزرگ فناوری مانند فیس بوک و گوگل را نگران کرده بود، قوانین سختگیرانه ای بر جریان انتقال داده‌های کاربران به خارج از مرزهای کشور ارائه و پیشنهاد کرده بود به دولت هند اختیاراتی داده شود تا داده‌های کاربران را از شرکت‌ها بخواهد. این بخشی از قوانین سختگیرانه ای بود که دولت نارندا مودی (نخست وزیر هند) قصد داشت برای شرکت‌های بزرگ فناوری وضع کند.

بر اساس بیانیه دولت، تصمیم به بازپس گرفتن لایحه در حالی گرفته شده که بررسی یک پنل پارلمانی از پیش نویس لایحه ۲۰۱۹ نشان داده بود بسیاری از بندها نیازمند ایجاد یک چهارچوب قانونی جامع و جدید هستند. اکنون دولت لایحه‌ای جدید در این زمینه ارائه خواهد کرد.

آشوانی وایشناو وزیر فناوری اطلاعات هند اعلام کرده دولت نوشتن لایحه جدید را آغاز کرده و اکنون در مراحل پیشرفته آن است. همچنین نسخه‌ای از آن به زودی برای عموم مردم عرضه می‌شود. دولت هند تصمیم دارد لایحه جدید را تأیید و تا اوایل ۲۰۲۳ میلادی به قانون تبدیل کند.

اندونزی: پارلمان اندونزی نیز لایحه جدیدی درباره حفاظت از داده‌های خصوصی تصویب کرده که طبق آن افرادی که قانون را نقض می‌کنند با ۶ سال زندانی و شرکت‌های متخلف با جریمه‌های نقدی روبه‌رو می‌شوند. بر اساس این لایحه رئیس‌جمهور اندونزی می‌تواند یک هیأت نظارت برای جریمه کردن کنترل‌کنندگان داده‌ها به دلیل نقض قانون و جمع‌آوری یا انتشار غیرمجاز داده‌های خصوصی تشکیل دهد. بیشترین میزان جریمه برای شرکت‌ها معادل ۲ درصد درآمد سالانه آنها است و حتی ممکن است به ضبط اموال یا حراج آنها منجر شود.

این قانون شامل یک بازه ۲ ساله پیروی از قانون است اما در این مرحله هنوز مشخص نیست با موارد نقض قانون چگونه برخورد می‌شود. طبق قانون مذکور افراد برای تحریف داده‌های شخصی کاربران تا ۶ سال و برای جمع‌آوری غیرقانونی اطلاعات تا ۵ سال زندانی می‌شوند. در صورت نشت داده‌ها، کاربران می‌توانند غرامت دریافت کنند و رضایت خود را برای استفاده از داده‌هایشان پس بگیرند.

ایران و جایگاه قانونی داده‌های سایبری

حریم خصوصی و حفاظت از داده‌های کاربران فضای مجازی در ایران تاکنون مشمول قانون کاملی نبوده و به همین دلیل بسیاری از مصادیق نقض حریم خصوصی در فضای مجازی به وفور اتفاق می‌افتد و در سال‌های اخیر نیز شاهد تجربیات ناگواری از نشت اطلاعات بودیم.

تجربیاتی که هر بار پس از گذشت چند روز به دلیل نبود قوانین مشخص در مواجهه با آن، به دست فراموشی سپرده می‌شود.

بر اساس تحقیق مرکز پژوهش‌های مجلس، در ایران قوانینی که حریم خصوصی را از جنبه تجمیع داده‌ها بررسی کند وجود ندارند. گرچه قوانین و برنامه‌های متعددی برای تجمیع اطلاعات شهروندان در موضوعات یارانه‌ها در دستور کار قرار دارد و باز استفاده از داده‌های شهروندان برای اهدافی جز اهداف اولیه در دستور کار است که البته با توجه به اینکه متقاضیان یارانه نسبت به این امر رضایت دارند، این موضوع قابل توجیه است، اما ذخیره و نگهداری اطلاعات افرادی که متقاضی دریافت یارانه نیستند، محل اشکال است.

در موضوع تهاجم‌ها اعم از نفوذ و مداخله در تصمیم گیری ها نیز قوانین صریحی که موضوع را به خوبی پوشش دهند وضع نشده است. همینطور دسترس پذیر ساختن فزاینده در قوانین فعلی به خوبی مورد توجه قرار نگرفته است. همچنین ترک فعل‌های مهمی همچون سلب اختیار از ترابرد پذیری داده‌های شخصی و پنهان کاری در مورد اقدامات علیه امنیت داده و رعایت قلمرو قضائی داده‌ها در قوانین قبلی مشاهده نشد.

قانون تجارت الکترونیکی به تنهایی بخش‌های زیادی از موضوع حریم خصوصی را پوشش می‌دهد، اما وجود مواد قانونی به معنای این نیست که این قوانین کامل هستند و نیاز به بازنگری ندارند. زیرا چارچوب نظری بسیاری از سایر جنبه‌های قانون مانند تعیین متولی اجرای قانون و تدوین آئین نامه اجرایی و ضمانت اجرای قوانین را پوشش نمی‌دهد و این موارد باید با مقایسه متون قانونی با یکدیگر حاصل شود.

اقدام دولت؛ لایحه «حفاظت از داده‌های شخصی»

در همین راستا پیش نویس لایحه حفاظت از داده‌ها در حال طی مراحل تبدیل شدن به لایحه و تقدیم به مجلس شورای اسلامی است و طرحی نیز در مجلس شورای اسلامی در زمینه حفاظت از داده‌ها اعلام وصول شده است.

محمد خوانساری، رئیس سازمان فناوری اطلاعات پیش از این درباره لایحه حفاظت از داده‌های شخصی به مهر گفته بود: کاری که اکنون در دست داریم مربوط به لایحه حفاظت از داده‌های شخصی است. اگر استارت آپ‌ها قصد دارند کار خود را به شکل درستی انجام دهند و رشد متوازنی داشته باشند، باید از داده‌های مردم حفاظت کنند.

وی گفت: مثال ساده در این بخش، این است که کاربران دوست ندارند زمانی که با شماره خود در سایتی ثبت‌نام می‌کنند، آن شماره در اختیار شرکت‌های تبلیغاتی قرار گیرد. تکلیف داده در این مقوله مشخص نیست؛ زیرا قوانین فعلی ما به دلیل بازخوانی‌های متفاوت از قوانین، نمی‌تواند به شکل شفاف عمل کند. بنابراین یکی از مواردی که در بخش حقوقی مربوط به شرکت‌های استارت آپی پیگیری می‌کنیم این است که بتوانیم در سال جاری لایحه حفاظت از داده‌های شخصی را از طریق دولت به مجلس تقدیم کنیم.

لایحه «حمایت و حفاظت از داده‌های شخصی» با برگزاری بیست و ششمین جلسه کمیسیون راهبری کارگروه ویژه اقتصاد دیجیتال دولت به ریاست عیسی زارع‌پور وزیر ارتباطات و فناوری اطلاعات و با حضور نمایندگان دستگاه‌های عضو ماه گذشته در محل وزارت ارتباطات برگزار و برای ارائه به کارگروه نهایی شد.

لایحه «حفاظت از داده» به زودی راهی مجلس می شود

عیسی زارع پور، وزیر ارتباطات و فناوری اطلاعات درباره آخرین وضعیت این لایحه به مهر گفت: نسخه نهایی لایحه در وزارت ارتباطات در حال نهایی شده است و به زودی به دولت ارسال می‌شود تا برای طی مراحل قانونی به مجلس ارائه شود.

وی افزود: مهم‌ترین ویژگی این قانون برطرف کردن نگرانی مردم از حفظ حریم خصوصی و داده‌های خود در پلتفرم‌های داخلی است که باید نظام‌مند شوند.

وزیر ارتباطات گفت: بر اساس این قانون باید حقوق و تکالیف دارندگان داده‌های مردم به صورت کاملاً شفاف و مشخص تدوین شود.

اقدام مجلس؛ طرح «حکمرانی داده»

این در حالی است که طی یک سال گذشته مجلس نیز در این راستا اقدام به تهیه طرح حکمرانی داده کرده است.

رضا تقی پور انوری عضو کمیسیون صنایع و از ارائه دهندگان طرح حکمرانی داده در مجلس پیش از این در گفتگو با خبرنگار مهر در مورد این طرح که با عنوان «طرح یکپارچه سازی داده و اطلاعات ملی» در دستور کار مجلس قرار داشت، گفته بود: طرح حکمرانی داده که با عنوان طرح «دوام» نیز شناخته می‌شود، با هماهنگی دوستان در شورای اجرایی فناوری اطلاعات تهیه شده است.

وی با اشاره به اینکه موضوع یکپارچه سازی اطلاعات ملی با هدف ارائه خدمات منسجم به مردم از جمله اهداف این طرح است، گفته بود: در این طرح پیشنهاد شده که کمیسیون داده‌ها و اطلاعات ملی (دوام) ذیل مرکز ملی فضای مجازی تشکیل شود.

وی همچنین در مورد سرنوشت طرح حکمرانی داده با توجه به اینکه وزارت ارتباطات نیز در حال تهیه لایحه حفاظت از داده است، گفت: دولت هر زمانی اختیار آن را دارد که لایحه به مجلس ارائه دهد و در بسیاری مواقع نیز سابقه این را داشته‌ایم که یک طرح مجلس با یک لایحه دولت ادغام شود؛ در این مورد نیز ما هیچ مخالفتی نداریم.

عضو کمیسیون صنایع و معادن مجلس شورای اسلامی خاطرنشان کرد: علت اینکه ما در بسیاری مواقع به مجلس طرحی را ارائه می‌دهیم، خلأ قانونی و نبود قوانین مرتبط است. در مواردی که احساس می‌کنیم قانونگذاری در این حوزه با خلأ همراه است و لایحه‌ای نیز از سوی دولت وجود ندارد، خودمان دست به کار شده و طرح ارائه می‌دهیم.

به گزارش مهر، مدتهاست که صاحب نظران حوزه فضای مجازی به مجلس و دولت هشدار داده و می‌دهند که به تدوین یک قانون جامع و پایه در خصوص حریم خصوصی و حکمرانی داده بپردازند. همچنین به زعم فعالان این حوزه اهمیت این موضوع تا حدی است که باید یک اجماع کامل روی آن در دولت، مجلس و سایر ارکان نظام و کشور شکل بگیرد و از سوی دیگر باید برای مردم نیز این مطلب به درستی توضیح داده شود که اهمیت مسئله چیست و حفاظت از داده چه نقشی در زندگی آن‌ها دارد.

حال باید دید با توجه به اعلام وزیر ارتباطات مبنی بر اینکه لایحه حفاظت از داده به زودی به دولت و پس از آن راهی مجلس می‌شود، داده‌های سایبری ایرانیان تا پایان سال رنگ قانون می‌گیرد یا نه.

دیدگاهتان را بنویسید