مجلس بهدنبال حفاظت از دادههای شخصی کاربران در فضای مجازی است
این اولینبار نیست که مجلس بهعنوان یک نهاد قانونگذار به فکر حفظ داده و اطلاعات شخصی کاربران در فضای مجازی افتاده است. پاییز سال گذشته بود که مجلس طرح قانون یکپارچهسازی داده و اطلاعات ملی را اعلام وصول کرد. در این طرح نمایندگان مجلس بهدنبال یکپارچهسازی تبادل اطلاعات بین دستگاههای اجرایی هستند.
درواقع این طرح با نام «قانون یکپارچهسازی دادهها و اطلاعات ملی» در ۱۲ ماده بهدلیل همکارینکردن دستگاهای اجرایی در بهاشتراکگذاری دادهها و تنوع دادهها در دستگاههای مختلف و نیز چالش مالکیت دادهها طراحی شد. با اینکه هنوز از سرنوشت این طرح خبری نشده، مجلس مجددا طرحی به نام طرح «حمایت و حفاظت از داده و اطلاعات شخصی» را در دستورکار خود قرار داده است.
طرح «حمایت و حفاظت از داده و اطلاعات شخصی» اواخر شهریور در صحن علنی اعلام وصول شده است. هدف اصلی این طرح، رفع خلأ قانونی مربوط به دادهها و اطلاعات بهویژه آن دسته از اطلاعات خواهد بود که در فضای مجازی ارائهدهندگان خدمات از مردم و کسبوکارها اخذ و گردآوری و پردازش میکنند.
همچنین، این طرح قرار است قوانین مرتبط با قانون وظایف و اختیارات وزیر ارتباطات، قانون انتشار و دسترسی آزاد به اطلاعات، قانون تجارت الکترونیکی، قانون مجازات اسلامی، قانون برنامه ششم توسعه و قانون سلامت نظام اداری و... را تکمیل کند.
طرح مذکور به امضای ۳۱ نماینده رسیده است و اشخاص مشمول این طرح، اتباع ایرانی و حقیقی و حقوقی عمومی یا خصوصی و اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی هستند که دادهها و اطلاعات شخصی آنها درون یا بیرون از ایران پردازش میشود.
از کنترلگر تا پردازنده داده
طرح «حمایت و حفاظت از داده و اطلاعات شخصی» ۵۶ ماده و بینهایت تبصره دارد. در ماده یک این طرح، هدف اصلی این قانون صیانت از حیثیت و کرامت اشخاص موضوع دادهها و اطلاعات است که از راههایی زیر تحقق پیدا میکند:
- تببین حقوق اشخاص موضوع دادهها و اطلاعات، بهویژه در تعامل با سایر حقهای مشروع
- ضابطهپذیری پردازش دادهها و اطلاعات شخصی
- مسئولیتپذیری کنشگران پردازش دادهها و اطلاعات شخصیی
- همافزایی امور تنظیمی و نظارتی پردازش دادهها و اطلاعات شخصی
- جبرانپذیری زیانها و آسیبهای ناشی از پردازش دادهها و اطلاعات شخصی
در تعریف داده و اطلاعات شخصی هم آمده است داده و اطلاعاتی که بهتنهایی یا بههمراه دادههای دیگر شخص موضوع داده را قابلشناسایی میکنند. یکی از بخشهای جالب این طرح وجود افرادی به نام کنترلگران و پردازشگران است.
طبق تعریف طرح، کنترلگر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگیها و ابزارهای یک یا چند عملیات پرازش دادهها و اطلاعات شخصی دراختیار پردازنده را تعیین میکند. در تعریف کنترلگر تأکید شده است که مصوبات و تصمیمات مراجع صلاحیتدار در امور تنظیمگری، نظارت، ضابطیت و دادرسی درباره پردازش داده و اطلاعات شخصی، جز در مواردی که جنبه فردی دارد، کنترلگر بهشمار نمیآیند.
کنترلگر و پردازنده برای پردازش اطلاعات شخصی افراد موضوع این طرح، باید مجموعه اطلاعاتی دراختیار داشته باشند؛ یعنی کنترلگران و پردازشگردان باید هدف از پردازش، منابع پردازش، ویژگیها و شرایط فنی پردازش، سطح ایمنی و امنیت پردازش را به شخص اعلام کنند و از سوی دیگر اشخاص موضوع این ماده باید از هویت و ماهیت و فعالیت کنترلگران مطلع شوند.
کنترلگر و پردازنده موظف است اطلاعاتی مانند اطلاعات هویتی و انواع پردازشهای انجامشده روی دادهها و اطلاعات هویتی کنترلگران یا پردازشگران را تا ۱۸ ماه پس از پردازش داده نزد خود نگه دارند. اگر صحت و تمامیت دادهها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترلگر یا پردازنده موظف است همه نسخههای اصلی و مخدوششده دادهها و اطلاعات را بهمدت ۶ ماه از تاریخ آخرین پردازش نگهداری کنند.
براساس آنچه در این طرح آمده است، پردازش دادهها و اطلاعات در صورتی فرامرزی شناخته میشوند که هریک از کنترلگران یا پردازشگران تابعیت خارجی داشته باشند و سامانههای پردازنده دادهها و اطلاعات بیرون از قلمرو ایران باشد و پردازندههای نرمافزاری در ایران ثبت نشده باشد. البته درخصوص پردازش دادهها و اطلاعات شخصی اتباع ایرانی این پردازش فقط باید در مراکز داده واقع در داخل کشور یا مراکز خارجی موردتأیید مراجع صلاحیتدار انجام گیرد. همچنین، همه پردازندههای سختافزاری و نرمافزاری باید از مراجع صلاحیتدار گواهی لازم را داشته باشند و این اطلاعات روی شبکه ارتباطی مطمئن جابهجا شوند.
اشخاص مشمول این قانون هم اول اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی شامل دادهها و اطلاعات شخصی کسانی است که درون یا بیرون از ایران پردازش میشود. اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که دادهها واطلاعات شخص آنها را کنترلگر یا پردازنده ایرانی پردازش میکنند، از دیگر افراد مشمول این طرح درصورت به تصویب رسیدن است.
در ماده ۴ طرح، گفته شده که پردازش دادهها و اطلاعات شخصی مربوط به وضعیتها یا موقعیتهای غیرعمومی منوط به رضایت شخص موضوع آنها است. در این ماده، تأکید شده اعلام رضایت اشخاص موضوع داده باید با رعایت شرایطی مانند پیش از پردازش باشد و بیانگر آگاهی شخصی موضوع داده و استنادپذیر باشد.
ماده ۵ این طرح درمورد پردازش دادهها درصورت رضایت کاربران صحبت کرده است. در این ماده، نوشته شده است که پردازش دادهها و اطلاعات شخصی مربوط به وضعیتها یا موقعیتهای عمومی، بدون رضایت شخصی یا اشخاص موضوع آنها در صورتی بلامانع است که «خود دادهها و اطلاعات خود را منع یا محدود نکرده باشد». این ماده یک تبصره هم دارد. در تبصره ماده ۵، اشاره شده است که رضایت حاصل از فریب یا تهدید یا اکراه شخص موضوع داده معتبر نیست و درصورت عدم اهلیت او، رضایت ولی یا قیم او الزامی است: «حالات اغما و مانند آن که بر نبود قصد و اراده او دلالت دارند، موجب عدم اهلیتاند.»
تشکیل کمیسیون صیانت از دادهها و اطلاعات شخصی
نمایندگان امضاکننده این طرح تنظیم و نظارت بر پردازش دادهها و اطلاعات شخصی را برعهده چهار بخش، یعنی کمیسیون صیانت از دادهها و اطلاعات شخصی، هیئت نظارت، کارگروههای تخصصی و دبیرخانه اجرای کمیسیون گذاشته است.
کمیسیون صیانت از دادهها و اطلاعات شخصی شامل چه کسانی میشوند؟ در این کمیسیون، نام افرادی همچون وزیر ارتباطات و فناوری اطلاعات بهعنوان رئیس کمیسیون، وزیران اطلاعات، کشور، اقتصاد و دارایی، فرهنگ و ارشاد، دادستان کل کشور، دبیر شورای عالی و رئیس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوه قضاییه، رئیس کمیسیون حقوقی و قضایی مجلس، رئیس کمیسیون اصل نود مجلس، دبیر شورای اجرایی فناوری اطلاعات بهعنوان دبیر کمیسیون و همچنین دو نفر از صاحبنظران دارای سوابق مرتبط با مدیریت، سیاستگذاری، حکمروایی دادهها و اطلاعات به پیشنهاد دبیر و تأیید رئیس کمیسیون دیده میشود.
اعضای این کمیسیون مشخصشده براساس این طرح، وزیر ارتباطات و فناوری اطلاعات رئیس و دبیر شورای اجرای فناوری اطلاعات دبیر کمیسیون مذکور هستند و به تشخیص رئیس کمیسیون، جلسات در سطح اعضا یا معاونان آنها تشکیل میشود.
درادامه این طرح به وظایف و اختیارات کمیسیون صیانت از دادهها و اطلاعات شخصی اشاره شده است. طبق آنچه در طرح آمده است، وظیفه این کمیسیون عبارتاند از:
- همسوسازی امور تنظیم و نظارت بر کارگروههای تخصصی با یکدیگر و همچنین با هیئت نظارت
- تعدیل و تجمیع، تلفیق یا تفکیک وظایف یا اعضای کارگروههای تخصصی برپایه اختیارات قانونی آنها
- تصویب ضوابط و دستورالعملهای مربوط به صیانت از دادههای شخصی و آییننامه داخلی کمیسیون
- گزارش به مراجع بالادستی درباره وضعیت صیانت از دادهها و اطلاعات شخصی وتنظیم و نظارت پردازش آنها
- تصویب تخلفات و ضمانت اجراییهای انتظامی
- صدور احکام روسای کارگروههای تخصصی و ناظران ویژه است.
دبیرخانه این کمیسیون نیز در وزارت ارتباطات و فناوری اطلاعات تشکیل میشود. افزونبراین، باتوجهبه اولویتهای مرتبط با صیانت و حفاظت از دادهها و اطلاعات شخصی، کارگروههای تخصصی متشکل از نمایندگان نهادهای متولی امور حاکمیتی مرتبط با صیانت از دادههای شخصی در موضوعات خاص مانند سلامت، بانکداری، امور مالی، امور اجتماعی، امور شهری و... تشکیل میشود. هرکدام از کارگروهها، مسئولیت اجرا یا نظارت بر حسن اجرای مصوبات کمیسیون را در حیطه کاری خود برعهده دارد.
هیئت نظارت هم براساس این طرح تشکیل میشود که اعضای آن دادستان کل کشور و رئیس کمیسیون اصل نود مجلس و دبیر کمیسیون صیانت از دادههای شخصی هستند. علاوهبراین، هیئت نظارت در محل دادستانی کل کشور تشکیل میشود و وظایفی مانند نظارت بر حسن اجرای امور نظارتی ابلاغی کمیسیون، دریافت و رسیدگی به شکایات ذینفعان صیانت از دادهها و اطلاعات شخصی، شناسایی و معرفی ناظران ویژه به کمیسیون و نظارت بر فعالیت آنها، پیشنهاد شیوهنامههای اختصاصی استنادپذیری ادله ناظر بر دادهها و اطلاعات شخصی را برعهده دارد.
ضمانت اجرایی طرح
این طرح ضمانت اجرایی هم برای قانونی اجراشدن بندهای مختلف آن در نظر گرفته است. طبق این ضمانت اجرایی، کنترلگران و پردازشگران دربرابر تعهدات خود مسئولیت مستقل دارند و فرد زیاندیده میتواند به کنترلگر یا پردازنده مراجعه کند و خواستار جبران زیان خود شود. اگر شخص موضوع این طرح حقوق خود را بهصورت ناروا درخواست و به دیگری زیانی وارد کند، مسئول جبران آن خواهد بود.
درصورت واردکردن آسیب، مرجع صلاحیتدار قضایی یا انتظامی میتواند متناسب با نوع و گستره آسیب حیثیتی به موضوع وارد شود و میزان زیان را بسنجد و برای فرد مرتکبشده جریمه تنبیهی در نظر بگیرد. میزان جریمه یا کسب نظر از کمیسیون یا کارگروههای تخصصی تعیین و اعمال میشود.
تخلفات انتظامی مقرر از سوی کمیسیون همه جرایم مقرر در این قانون، نقض تعهدات کنترلگران و پردازشگران، نقض تعهدات اشخاص موضوع داده دربرابر سایر ذینفعان و نقض تعهدات قراردادی یا سایر اسناد تعهدآور را دربر میگیرد.
در ماده ۵۵ این طرح هم نمایندگان مقرر کردهاند تا اعتبارات هزینهای موردنیاز این قانون به نحوه متمرکز در ردیف بودجه دبیرخانه و به پیشنهاد وزارت ارتباطات در لایحه بودجه سالیانه درج و به تصویب برسد.
در پایان این طرح اشاره شده است که از تاریخ تصویب این قانون همه قوانین و مقررات مغایر با آن نسخ میشود و تا زمانی که در قوانین بعدی نسخ یا اصلاح مواد و مقررات این قانون به صورت صریح و با ذکر نام این قانون و ماده موردنظر قید نشود، معتبر خواهد بود.