تحلیلی بر طرح حفاظت از دادههای شخصی و مقایسه آن با قوانین بینالمللی
حریم خصوصی دادهها یکی از چالشبرانگیزترین موضوعات در حوزههای حقوق، فناوری اطلاعات، جرمشناسی و سیاستگذاری است. در ایران نیز سالها درباره تعریف و مصادیق حریم خصوصی مطالعات متعددی انجام شده است، اما همچنان ابهامات قانونی بسیاری در زمینه مالکیت داده، نقش نهادهای گردآوریکننده اطلاعات و نحوه پردازش دادههای شخصی وجود دارد.
به گزارش کردیت پلاس، حمیدرضا معیری، معاون راهکار و فناوری شرکت آستان، به همراه رضا محسنی قاضی، کارشناس دادسرای ویژه رسیدگی به تخلفات کارکنان دولت، در پژوهشی تطبیقی، قوانین مربوط به حریم خصوصی دادهها در ایران، فرانسه و آمریکا را بررسی کرده و آن را با طرح «حفاظت از دادههای شخصی» که در مجلس شورای اسلامی مطرح شده، مقایسه کردهاند.
مقایسه تطبیقی سه نظام حقوقی در حوزه حریم خصوصی دادهها
چرا فرانسه و آمریکا برای این مقایسه انتخاب شدهاند؟
- فرانسه، بهعنوان کشوری دموکراتیک، در تلاش است سیاستهای خود را در قالب اتحادیه اروپا هماهنگ کند و قوانین دادهای این کشور تحت تأثیر GDPR (مقررات عمومی حفاظت از دادههای اتحادیه اروپا) است.
- آمریکا، بهعنوان نماد سرمایهداری و اقتصاد آزاد، از سیستم فدرالی تبعیت میکند که در آن ایالتها قوانین خاص خود را درباره حریم خصوصی و حفاظت از دادهها دارند.
- ایران، برخلاف این دو کشور، از نظام قضایی واحدی پیروی میکند و هیچگونه هماهنگی قضایی یا نظارتی با سایر کشورها در این زمینه ندارد.
مطالعه تطبیقی این سه نظام حقوقی، میتواند به طراحان قوانین در ایران کمک کند تا رویکردی متناسب با واقعیتهای اکوسیستم دادهای کشور اتخاذ کنند.
طرح حفاظت از دادههای شخصی در ایران؛ الگوبرداری از GDPR یا یک مدل بومی؟
بررسی طرح پیشنهادی «حفاظت از دادههای شخصی» نشان میدهد که این طرح بهطور گسترده از قانون GDPR اتحادیه اروپا الگوبرداری شده است، اما در برخی بخشها، تلاش شده ملاحظات بومی نیز در آن لحاظ شود.
مهمترین اصول طرح حفاظت از دادههای شخصی ایران:
- پردازش دادهها تنها با رضایت مالک داده یا بر اساس قانون مجاز است.
- دادههای شخصی نباید بیش از حد نیاز ذخیره شوند و باید با بالاترین سطح امنیتی محافظت شوند.
- دادههای شخصی فقط در محدوده قانون و برای اهداف مشخصشده پردازش میشوند.
- حقوقی نظیر «حق فراموشی»، «حق اصلاح دادهها» و «حق انتقال اطلاعات» به رسمیت شناخته شده است.
- حقوق گروههای آسیبپذیر، از جمله کودکان، در پردازش دادهها رعایت میشود.
- در صورت سوءاستفاده از دادههای شخصی، مجازاتهای قانونی برای متخلفان در نظر گرفته شده است.
این موارد نشان میدهد که رویکرد کلی طرح، مبتنی بر مقررات سختگیرانه و رویکرد سلبی در برابر تبادل داده با سایر کشورها است، که این موضوع میتواند مانع از همکاریهای بینالمللی در حوزه اقتصاد دیجیتال شود.
مقایسه جرایم و مجازاتهای مرتبط با نقض حریم خصوصی در ایران، اتحادیه اروپا و آمریکا
۱. اتحادیه اروپا (GDPR):
- جریمه سطح اول: تا ۱۰ میلیون یورو یا ۲ درصد از گردش مالی سالانه شرکت متخلف
- جریمه سطح دوم: تا ۲۰ میلیون یورو یا ۴ درصد از گردش مالی سالانه
- این جریمهها شامل نقص در حفاظت از دادهها، عدم شفافیت و نقض حقوق کاربران میشود.
۲. آمریکا:
- ایالات متحده هیچ قانون فدرال واحدی برای حفاظت از دادههای شخصی ندارد.
- هر ایالت قوانین خاص خود را دارد؛ برای مثال، ایالت کالیفرنیا تحت قانون CCPA (قانون حفظ حریم خصوصی مصرفکنندگان) جرایم مربوط به نقض دادهها را هم از نظر مدنی و هم از نظر کیفری قابل تعقیب میداند.
۳. ایران (طرح حفاظت از دادههای شخصی):
- ماده ۳۰ طرح پیشنهادی، مجازات متخلفان را به قانون مجازات اسلامی ارجاع داده است و جریمه مستقلی تعیین نکرده است.
- در ماده ۲۸، برای پردازشگران بینالمللی، جریمهای مشابه حداکثر جرایم GDPR (۴ درصد از درآمد شرکت) در نظر گرفته شده است.
تحلیل:
- در حالی که اتحادیه اروپا و آمریکا مجازاتهای مشخصی برای نقض قوانین دادهای دارند، طرح ایران فاقد جزئیات دقیق درباره اجرای مجازاتها است.
- در آمریکا، تمرکز بیشتر بر حقوق مصرفکنندگان و حق شکایت مدنی است، اما در ایران جرایم بیشتر جنبه کیفری دارند.
چالشهای طرح حفاظت از دادههای شخصی در ایران
۱. ابهام در مالکیت دادهها
- در طرح پیشنهادی، مالک دادهها بهطور صریح مشخص نشده است.
- این خلأ قانونی امکان سوءاستفاده نهادهای گردآورنده داده را افزایش میدهد و میتواند منجر به اختلافات حقوقی گسترده شود.
۲. عدم تعیین دقیق نقش بخش خصوصی
- طرح به نقش نهادهای دولتی در مدیریت دادهها پرداخته، اما نقش شرکتهای خصوصی و استارتاپها در پردازش دادهها را شفاف نکرده است.
- نگاه محدودکننده به تبادل داده با جهان
- برخلاف GDPR که تبادل داده با سایر کشورها را تحت شرایط خاصی مجاز میداند، رویکرد طرح پیشنهادی بیشتر بر کنترل و محدودسازی انتقال دادهها متمرکز است.
- این سیاست میتواند مانع از تعامل ایران با اکوسیستم بینالمللی داده و شرکتهای فناوری جهانی شود.
منبع: way2pay.ir
