مرکز پژوهش های مجلس در گزارشی به شناسایی خلأهای قانونی حفاظت از داده ها در زنجیره ارزش داده ها با مقایسه قوانین ایران و آمریکا پرداخت.

به گزارش مرکز پژوهش‌های مجلس شورای اسلامی، دفتر مطالعات انرژی، صنعت و معدن این مرکز در گزارشی آورده است که حفاظت از داده‌ها، به‌عنوان یک مفهوم حقوقی، دو حوزه حریم خصوصی داده (چگونگی کنترل، گردآوری، استفاده و توزیع اطلاعات شخصی) و امنیت داده (چگونگی حفاظت از داده‌های شخصی در مقابل دسترسی و استفاده غیرمجاز و پاسخ به دسترسی یا استفاده غیرمجاز) را با یکدیگر ترکیب می‌کند.

این گزارش بیان می‌کند که ضوابط حفاظت از داده‌ها باید تعادلی بین سهولت توسعه سیستم‌های فناوری اطلاعاتی و اطمینان از رعایت مسئولیت کسب‌وکار و بخش دولتی نسبت به داده‌های شهروندان به وجود بیاورد. حساسیت بیشتر بعضی از داده‌ها مانند داده‌های سلامت یا امور مالی نیازمند سطوح بالاتری از ضوابط حفاظت از داده‌هاست.

در این گزارش آمده است که در حال حاضر بخش حمایت از داده‌های شخصی در قانون تجارت الکترونیکی ایران نمی‌تواند پاسخ‌گوی تمام نیازهای حفاظت از داده باشد. ازاین‌رو لایحه حفاظت از داده‌ها در انتظار اعلام وصول و بررسی در مجلس شورای اسلامی است. استفاده از تجارب بین‌المللی می‌تواند به کشور در قانون‌گذاری دقیق‌تر کمک کند. بنابراین تجربه ایالات متحده آمریکا به‌عنوان کشوری که قانون‌گذاری حفاظت داده‌ها را از حدود نیم قرن پیش آغاز و با تبعات مثبت و منفی آن مواجه شده‌است می‌تواند مفید باشد.

این گزارش مطرح می‌کند که طبق مطالعات ایالات متحده آمریکا به نظر می‌رسد برای قانون‌گذاری در زمینه حفاظت از داده‌ها این نکات قابل‌توجه است. حفاظت از داده‌ها شامل بخش دولتی و خصوصی می‌شود. طرح‌ها و لوایح، حقوق اشخاص موضوع داده‌ها در پایگاه‌های اطلاعاتی مختلف دولتی و خصوصی را شفاف‌سازی می‌کنند. ضوابط حفاظت از داده‌های حساس از قبیل اطلاعات مالی و سلامتی بسته به سطح حساسیت بالاتر از ضوابط عمومی حفاظت از داده‌ها تعیین شده‌است.

این گزارش ادامه می‌دهد که اشخاص موضوع داده مختلف از حفاظت‌های قانونی متفاوتی برخوردار هستند. از یک‌سو کودکان و اقشار آسیب‌پذیر و مشاغلی مانند خبرنگاران فعال در زمینه افشاگری و مبارزه با فساد، مورد حفاظت بیشتر قانونی قرار گرفته‌اند. از سوی دیگر شاغلین مناصب دارای دسترسی به اطلاعات حساس و محرمانه طبق ضوابط قانونی به‌عنوان شرط پذیرش جایگاه، داوطلبانه برای مبارزه با فساد، نفوذ و تخلف، نسبت به بخشی از حریم خصوصی خود صرف‌نظر می‌کنند. حفاظت از داده‌ها در شرایط بحران از قبیل همه‌گیری کرونا مورد بازنگری و تعدیل قرار می‌گیرد و ضوابط آن برای شرایط بحرانی می‌تواند انعطاف‌پذیری داشته‌باشد.

در ادامه این گزارش‌ها آمده است که حفاظت از داده‌ها یک فرایند است که با بلوغ سازمانی بخش دولتی محقق می‌شود. تصویب قوانین دائمی در بلندمدت به توسعه سطح حفاظت داده‌ها کمک می‌کند، اما در قوانین توسعه‌ای و سنواتی، ظرفیت‌سازی حفاظت از داده‌ها هدف‌گذاری می‌شود. در مراحل اولیه سامان‌دهی حفاظت از داده‌ها که بلوغ سازمانی پایین‌تر است، کمک گرفتن از مشاورین بیرونی به این امر سرعت داد، اما با شکل‌گیری دانش سازمانی، نهادها قادر شدند بدون کمک مشاورین و به‌صورت مستقل این وظایف را عهده‌دار شوند.

این گزارش در ادامه پیشنهادات و راهکارهای تقنینی ارائه و بیان کرده است که در تدوین لایحه حفاظت از داده‌ها پیشنهاد می‌شود که اقتضائات خاص حفاظت از داده‌های دولتی (اولویت حقوق شهروندان و اتباع داخلی) و داده‌های در اختیار بخش خصوصی (تعادل بین هزینه رعایت ضوابط از سوی بخش خصوصی و حقوق شهروندان)، رعایت انعطاف‌پذیری احکام در لایحه حفاظت از داده‌ها به‌خصوص در شرایط بحرانی از قبیل همه‌گیری کرونا مدنظر قرار گیرد.

مرکز پژوهش‌های مجلس در این گزارش پیشنهاد می‌دهد که حفاظت‌های حریم خصوصی بسته به سطح آسیب‌پذیری (کودکان و خبرنگاران) و میزانی که شخص موضوع داده در جایگاه قدرت قرار دارد انعطاف‌پذیر شود. نهادهای مستقل برای نظارت بر رعایت ضوابط حفاظت از داده از سوی نهادهای مجری قانونی و بخش خصوصی ایجاد شده و از وابستگی غیرقابل بازگشت و بدون نظارت دولت به بخش خصوصی در ایجاد، نگهداری و عرضه نمایه‌های مربوط به داده‌های حساس مردم پرهیز شود.