علیرغم ادعای آزادی مطلق و رها بودن از نظارت دولتها در فضای مجازی، اروپا یکی از سختگیرانهترین قوانین در محافظت از دادههای شخصی کاربران را دارد و هر شرکتی که با انبارش دادههای شهروندان اروپایی سروکار دارد باید از مقررات اروپا تبیعت کند.
حفظ حریم شخصی و صیانت از دادههای کاربران در فضای مجازی و به ویژه پیام رسانها از اولویت های همه دولت ها است و تمامی دولتها روش هایی برای تامین امنیت شهروندان به کار بسته اند. اما این موضوع به کاربران ایران به شکلی القا شده که تصور کنند نظارت دولت ها بر فضای مجازی به جای مفید بودن برای آنها یک ابزار محدودکننده خواهد بود. در نتیجه این که تبلیغات فلان پیام رسان به نهادی اطلاعات نمیدهد، مخاطبان را قانع کرده که پیام رسانی که اطلاعات نمیدهند امن هستند. در نتیجه این صحبتها، مردم به جای اینکه نگران کلاهبرداری یا سوء استفاده از حریم شخصی در این شبکهها باشند ناامید شده یا با موضوعات مثل طنز حریم شخصی کاربران در رابطه دختر و پسر مشغول شدهاند.
این در حالی است که بررسی ها نشان می دهد پیشرفته ترین نظام های حقوقی از اشخاص در زمینه پردازش داده های شخصی در سطح دنیا با تجربه چند صد ساله را می توان در کشورهای اتحادیه اروپا سراغ گرفت.
برای آشنایی با نمونه مقررات گذاری در زمینه حفظ حریم خصوصی در فضای مجازی، قانون در اتحادیه اروپا معرفی می شود.
*قانون صیانت از اشخاص در زمینه پردازش داده های شخصی «در اتحادیه اروپایی»
این قانون در مجموعه ای حدود صد صفحه تنظیم شده است. البته مفاد آن اختصاص به شبکه های پیام رسان نداشته و اعم از آن است.
مجموعه قوانین مرتبط با حفاظت از داده ها در کشورهای اروپایی مصوب پارلمان اروپا قِدمتی بیش از دو دهه داشته و از سال 1995اجرا میشده است. در ژانویه سال 2012، کمیسیون اتحادیه اروپا طرحی را برای اصلاحات جامع قوانین مذکور پیشنهاد کرد. این اصلاحات جامع با هدف افزایش کنترل کاربران بر داده های شخصی خود و کاهش هزینه های کسب و کار در این خصوص انجام گرفت. طبق پیشبینی کمیسیون، ایجاد
یک قانون واحد و جامع در سطح اتحادیه اروپا در این زمینه منجر به صرفهجویی مالی قابل توجهی در حوزه کسب و کار خواهد شد. همچنین تقویت اعتماد مصرفکنندگان خدمات آنلاین و نیز رشد و توسعه اشتغال و نوآوری در اروپا را به دنبال خواهد داشت.
طرح فوق در ماه می سال 2016 در کمیسیون مذکور مصوب شده و متن آن در روزنامه رسمی این اتحادیه (Official Journal of the European Union) به زبان های مختلف منتشر شده است.
اگر چه این قانون از تاریخ 22 می 2016 در اتحادیه اروپا لازمالاجرا است، ولی کشورهای این اتحادیه تا تاریخ 21 می 2018 فرصت
دارند که مفاد این قانون را در قوانین ملی خود وارد کنند.
سرفصل های اصلی قانون اروپا برای صیانت از اشخاص در زمینه پردازش داده های شخصی:
اصول پردازش داده های شخصی
حقوق مالک داده
مسئولیت کنترلکنندهها و پردازشگرها
نحوه اعطای مجوزهای پردازش داده و شرایط بدنه اجرایی آن
اصول و مقررات انتقال داده های شخصی به کشورهای دیگر و یا سازمان های بینالمللی
شرایط مقامات و مسئولین ناظر مستقل ملی و وظایف و اختیارات آنها
همکاری و توافق مسئولین ناظر کشورها با یکدیگر
مقررات مربوط به پردازش داده ها در شرایط خاص
همانطور که از سرفصل های فوق نیز مشهود است، این قانون ابعاد گوناگون پردازش داده های شخصی افراد را در فضای مجازی در نظر گرفته است. قانون فوق به تفصیل به جزئیات تمامی حالات مرتبط پرداخته و تمهیدات متناسب از طرف اتحادیه اروپا که یکی از معتبرترین مجامع بینالمللی است اندیشیده شده است. بدین ترتیب این قانون می تواند یکی از منابع مناسب برای تدوین قوانین مشابه و جامع کشور ما در این حوزه نیز باشد.
نکات اساسی قانون اروپا برای صیانت از اشخاص در زمینه پردازش داده های شخصی:
– با وجود این قانون، مجموعه ای واحد از قوانین حفاظت از داده در سراسر اتحادیه اروپا معتبر خواهد بود. ملزومات اداری غیرضروری، از جمله الزامات اطلاعرسانی برای شرکت ها، حذف خواهد شد و 2.3 میلیارد یورو صرفهجویی سالانه برای کسب و کارها را در پی خواهد داشت.
سازمان ها با یک مرجع واحد محافظت از داده ملی در کشورهای این اتحادیه سروکار دارند و مردم هم برای تأمین امنیت داده هایشان به یک مرجع مشخص ملی رجوع می کنند.
افراد دسترسی آسانتری به داده هایشان دارند و می توانند داده های شخصیشان را به آسانی از یک اپراتور به اپراتور دیگر منتقل کنند. این امکان، رقابت بین ارایه کنندگان خدمات را در جلب رضایت مشتری افزایش می دهد.
حق به فراموشی سپرده شدن به افراد کمک می کند تا بهتر بتوانند ریسک محافظت از دادههایشان را مدیریت کنند؛ زیرا این امکان برای افراد فراهم می شود تا داده هایی را که الزام قانونی خاصی برای نگهداشتن آن وجود ندارد حذف کنند.
قوانین اتحادیه اروپا بر شرکت های خارجی که داده های شخصی را پردازش می کنند و در بازار اروپا فعالیت می کنند و به شهروندان اروپا ارائه خدمت می کنند نیز اعمال می شود.
نهادهای مستقل ملی حفاظت از داده ها تقویت خواهد شد تا بتوانند در حوزه خود قوانین اتحادیه اروپا را به نحو بهتری به اجرا درآورند. آنها این قدرت را پیدا خواهند کرد که شرکت های ناقض قوانین حفاظت از داده های اتحادیه اروپا را مجازات کنند. میزان مجازات پیش بینی شده می تواند تا 1 میلیون یورو و یا تا 2 درصد از کل گردش مالی سالانه شرکت خاطی تعیین شود.
*بندهای اصلی قانون صیانت از داده های اشخاص در اتحادیه اروپا
قانون صیانت از اشخاص در زمینه پردازش داده های شخصی در اتحادیه اروپا بخش های گوناگونی در خصوص حقوق مالکان داده و مسئولیت های اپراتورها دارد.
در ادامه، بندهایی از این قانون و خصوصاً دو ماده آن را که تمرکز بیشتری بر حوزه محتوایی موضوع دارند یعنی حق به فراموشی سپرده شدن و حق تصحیح اطلاعات شخصی مورد بررسی قرار داده می شود.
بر اساس بند 22 در مقدمه این قانون، 2 هر نهادی که به هر نحوی از داده های شخصی کاربران واقع در محدوده جغرافیایی اتحادیه اروپا بهرهبرداری میکند ملزم به تبعیت از قانون مذکور است، خواه نهاد مورد نظر در
محدوده جغرافیایی اتحادیه اروپا واقع شده باشد یا خیر. ملاحظه می شود علیرغم اینکه فضای مجازی محدود به مرزهای جغرافیایی کشورها نیست اما این امر رافع مسئولیت حاکمیت کشورها جهت حفاظت از حقوق شهروندانشان در فضای مجازی نخواهد بود.
بر اساس بند 39 در مقدمه این قانون، هرگونه پردازش داده های شخصی باید شفاف بوده و جمعآوری و استفاده از آن با اطلاع رسانی قبلی به صاحبان داده انجام پذیرد. حتی تصریح شده که این اطلاع رسانی باید به زبانی ساده و قابل فهم برای صاحب داده انجام گیرد و روال ها و خطرات احتمالی پردازش مذکور آگاه شوند. در ذخیره سازی داده های کاربران توسط پردازشگرها نیز باید به حداقل زمان ممکن اکتفا شود.
بر اساس بند 82 در مقدمه این قانون، چنانچه پردازشی روی اطلاعات کاربران انجام گیرد، پردازشگر موظف است سابقه آن را نزد خود نگه دارد تا در صورت لزوم و درخواست نهادهای حاکمیتی مربوطه جهت اِعمال وظایف نظارتی و رصدی خود، آن سابقه را در اختیار ایشان قرار دهد.
بر اساس بند 148 در مقدمه این قانون، بهعنوان ضمانت اجرای مقررات مذکور در این قانون مجازاتی از قبیل جرائم نقدی برای هرگونه نقض یا تخطی از آن در نظر گرفته خواهد شد.
ماده 10 این قانون به پردازش داده های شخصی مربوط به اَعمال مجرمانه اختصاص دارد. بر اساس این ماده، هرگونه پردازش داده ها در حیطه مذکور و همچنین مسائل امنیتی کشورها باید تنها توسط نهادها حاکمیتی مربوطه یا تحت اشراف ایشان انجام گیرد. قید انحصاری در این ماده که بررسی امور مجرمانه و امنیتی را صرفاً در حیطه اختیارات نهادهای حاکمیتی قرار میدهد بسیار قابل توجه است.
*حق به فراموشی سپرده شدن و حق تصحیح اطلاعات شخصی
ماده 17 قانون مورد بررسی به حق به فراموشی سپرده شدن اختصاص دارد. مطابق بند 1 این ماده، مالک در این قانون به آن موضوع داده اطلاق می شود (حق دارد که از اپراتور موتور جستجو بخواهد که داده مرتبط با وی را بدون تأخیر یعنی بلافاصله پس از درخواست از نتایج جستجویش حذف کند. اپراتور مربوطه نیز موظف است در صورت وجود شرایط زیر بلافاصله اقدام به حذف داده مذکور کند.
1- داده شخصی موردنظر پس از تاریخ درخواست، در راستای هدفی که به خاطر آن جمعآوری و پردازش شده است، ضروری نباشد.
2- موضوع داده از رضایت خود برای پردازش داده هایش انصراف دهد و دلیل قانونی دیگری نیز برای پردازش داده های وی وجود نداشته باشد.
3- چنانچه موضوع داده به پردازش داده هایش متعاقب بند 1 ماده 21 این قانون اعتراض داشته باشد و دلایل مشروع دیگری برای پردازش آن وجود نداشته باشد و یا اینکه موضوع داده مطابق ماده بند دوم ماده 21 مخالف پردازش داده هایش باشد.
4- داده های شخصی بهطور غیرقانونی پردازش شوند.
5- ضرورتی برای پاک شدن داده های شخصی توسط اپراتور مطابق با قانون اتحادیه اروپا و یا قوانین داخلی اعضا وجود داشته باشد.
6- اطلاعات شخصی برای ارائه خدمات جامعه اطلاعاتی مندرج در ماده 8 جمعآوری شده باشد.
مطابق بند 2 این ماده قانونی، چنانچه اپراتور موتور جستجو (کنترلکننده) داده شخصی فردی را منتشر کند و مطابق بند 1 موظف به حذف آن باشد، اپراتور با در نظر گرفتن فناوری موجود و هزینه های پیادهسازی باید گام های منطقی را برای اطلاع به اپراتورهایی که داده های شخصی را که موضوع داده درخواست نموده پردازش می کنند طی کند تا اینکها، کپی ها و نسخه های تکراری آن داده شخصی را حذف کند.
مطابق بند 3 این ماده قانونی، بندهای 1 و 2 در جهت حذف داده های شخصی به تقاضای افراد، نباید در جایی که پردازش آنها لازم است اعمال شوند.
این موارد عبارتند از:
1- چنانچه برای اعمال حق آزادی بیان و اطلاعات باشد.
2- در جایی که مطابق قانون اتحادیه اروپا یا قانون ملی کشورهای عضو، پردازش آن داده ها ضرورت داشته باشد.
3- به دلیل حفظ منافع عمومی در حوزه هایی نظیر سلامت عمومی
4- برای دستیابی به اهداف مرتبط با منافع عمومی، علمی، تحقیقات تاریخی، گزارش های آماری (مطابق بند 1 از ماده 89)
5-برای استقرار، اعمال و یا دفاع از دعاوی حقوقی ماده 16 قانون مورد بررسی به حق تصحیح اطلاعات شخصی اختصاص دارد. طبق این ماده قانونی، موضوع داده حق دارد که از اپراتور موتور جستجو (کنترلکننده) بخواهد تا بدون تأخیر، اطلاعات شخصی اشتباه مرتبط با وی را تصحیح کند. با در نظر گرفتن هدف پردازش، موضوع داده حق دارد که از کنترلکننده بخواهد تا داده های ناقص مرتبط با خود را با توجه به توضیحات تکمیلی ارائه شده، کامل کند.
با بررسی قانونی که در اینجا ارائه شد دیده می شود که حتی کشورهای لیبرال به وضع قوانین و مقررات گذاری در عرصه فضای مجازی پرداخته اند. بنابراین ادعای آزادی مطلق و رها بودن این فضا از نظارت دولت ها مزاحی بیش نیست. یکی از جنبه های مهم قوانین و مقررات مربوطه که موضوع این نوشتار است حفظ حریم خصوصی کابران است. در ادامه مطلب بررسی وضعیت تلگرام در ایران بررسی می شود.
*حفاظت از داده های کاربران فضای مجازی در ایران
امروزه حفظ حریم خصوصی و صیانت از داده های کاربران فضای مجازی معنای بسیار گسترده ای یافته و یکی از ارکان توسعه این فضا است. مطابق آموزه های اسلامی و همچنین اصول قانون اساسی جمهوری اسلامی، حاکمیت حق دخالت در زندگی خصوصی مردم را ندارد؛ اما به همین ترتیب حاکمیت در برابر حفظ حریم خصوصی شهروندان مسئول است. هم اکنون شبکه های پیام رسان تهدیدی جدی برای این مهم هستند. تقریباً تمامی ایرانیانی که به گوشی هوشمند دسترسی دارند از پیام رسان تلگرام استفاده کنند. آیا در ایران قوانینی برای حفظ حریم خصوصی کاربران وجود دارد و آیا تلگرام متعهد به این امر است؟ نمی توان انکار کرد که حوزه فضای مجازی کشور ما دچار ضعف مفرط قوانین و مقررات بهروز و کارآمد است.
بنا بر اظهار دبیر شورای عالی فضای مجازی (به تاریخ 2 اسفند 1396) ایران جزو کم قانونترین کشورها در عرصه فضای مجازی است. البته در حال حاضر وزارت ارتباطات و فناوری اطلاعات در حال تهیه لایحه حمایت از حریم خصوصی کاربران است. در عین حال هم اکنون یک مصوبه مهم در این زمینه وجود دارد.
بر اساس مصوبه شورای عالی فضای مجازی (به تاریخ 8 خرداد 1395) شرکت های خارجی پیام رسان که داخل ایران فعالیت دارند، برای ادامه فعالیت خود ملزم هستند همه اطلاعات و فعالیت های مرتبط با شهروندان ایرانی را به داخل منتقل کنند. بر این اساس مقرر شده بود همه شبکه های پیام رسان برخط فعال کشور ظرف یک سال آینده از این مصوبه انبارش یا ذخیره سازی داده های خود را در داخل کشور انجام دهند. با این وجود تلگرام تاکنون از پذیرش این مصوبه و اجرای آن استنکاف ورزیده است.
به علاوه، منشور حقوق شهروندی جمهوری اسلامی ایران به مثابه برنامه و خط مشی دولت برای رعایت و پیشبرد حقوق اساسی ملت ایران، در تاریخ 29 آذر 1395 به امضای ریاست جمهوری رسیده است. یکی از سرفصل های این منشور حق دسترسی به فضای مجازی است. بر اساس ماده 35 در این فصل حق شهروندان است که از امنیت سایبری و فناوری های ارتباطی و اطلاع رسانی، حفاظت از داده های شخصی و حریم خصوصی برخوردار باشند. یکی دیگر از سرفصل های منشور حق حریم خصوصی است. بر اساس. ماده 37 در این فصل، تفتیش، گردآوری، پردازش، به کارگیری و افشای نامه ها اعم از الکترونیکی و غیرالکترونیکی، اطلاعات و داده های شخصی و نیز سایر مراسلات پستی و ارتباطات از راه دور نظیر ارتباطات تلفنی، نمابر، بیسیم و ارتباطات اینترنتی خصوصی و مانند اینها ممنوع است مگر به موجب قانون.
ملاحظه می شود که بر اساس موارد فوق، حفاظت از داده های شخصی و پرهیز از گردآوری و پردازش اطلاعات و داده های شخصی شهروندان از حقوق آنان است. تلگرام تعهدی برای اجرای حقوق شهروندی کاربران ایرانی ندارد و لذا عملاً مانع قانونی برای نقض حقوق مذکور ندارد. با وجود تأکیدات الزام آوری که در منشور حقوق شهروندی ابراز شده، انتظار می رود دولت جمهوری اسلامی ایران که خود را مسئول اجرای آن منشور میداند تدبیرات متناسبی اتخاذ کند.
*بی تعهدی تلگرام به حفاظت از داده های شخصی کاربران ایرانی
حجم انبوهی از داده های کاربران ایرانی در تلگرام قرار دارد و بلکه این بستر به ثبت احوال برخط کشور و آرشیو اسناد افراد و خانواده ها تبدیل شده است. محبوبیت تلگرام در ایران به حدی چشمگیر است که درصد بالایی از پهنای باند اینترنت کشور در اختیار تلگرام است و این سایت در رتبه های اول دسترسی از طریق وب و همچنین از طریق دسترسی موبایل در ایران قرار دارد. در عین حال تلگرام هیچگونه تعهدی در هیچ سطحی به کاربران خود یا مقامات مسئول در جمهوری اسلامی ایران نسپرده است. این امر فی نفسه مخالف رویه های مرسوم بین المللی است.
نکته حساس تر آن است که تلگرام از سپردن هرگونه تعهدی در خصوص حقوق کاربران ایرانی استنکاف می ورزد. به راستی داده های بزرگ کاربران ایرانی چگونه استفاده شده و مورد چه پردازش هایی قرار می گیرد؟ تلگرام ظاهراً به فعالیت اقتصادی نمی پردازد و منبع درآمدی حتی از طریق پذیرش آگهی نیز ندارد. لذا این ابهام وجود دارد که تأمین مالی تلگرام به چه نحوی انجام می پذیرد؟ آیا می توان مطمئن بود که داده های کاربران ایرانی در اختیار دولت های متخاصم بیگانه قرار نمی گیرد؟ توجه به این نکته لزوم حساسیت درباره شبکه پیام رسان تلگرام را دوچندان می سازد.
مضاف بر اینکه درصد بسیار بالایی از جرائم فضای مجازی کشور در بستر تلگرام رخ میدهد (مطابق برخی آمارها بیش از 80 درصد). ایجاد شبکه های عنکبوتی برای ارتکاب جرائم سازمان یافته سوءاستفاده از دختران، نیز یکی از عوارضی است که شبکه های مجازی در معرض آن هستند. با این وجود هیچ امکان پیگیری قانونی برای احقاق حق شهروندان در مورد این حجم از جرائم وجود ندارد. واضح است که جرائم سیاسی وامنیتی، بخش بسیار کوچکی از مجموعه جرائم و تخلفاتی است که در کشور رخ می دهد؛ اما معمولاً انعکاس رسانه ای این موارد بسیار بیشتر است. بنابراین وقتی سخن از رسیدگی به جرائم سایبری به میان می آید، ذهن ها معطوف به موارد سیاسی و امنیتی می شود. واقعیت ماجرا اما این نیست. در شرایط کنونی تلگرام، هزاران قاتل و تروریست و کلاهبردار و شیاد و سارق و متجاوز و کودک آزار و پدوفیل، آزادانه می توانند با استفاده از یک پیام رسان بیگانه به اَعمال پلید خود بپردازند و از هرگونه پیگرد قانونی در امان باشند. پذیرفتنی نیست که جان و مال و امنیت ده ها میلیون کاربر ایرانی که بسیاری از آنها از نظر سواد رسانه در سطح پایینی هستند و در معرض انواع سوءاستفاده ها، این چنین بدون هرگونه حفاظت و ضمانتی در خطر قرار گیرد.
حق به فراموشی سپرده شدن و حق تصحیح اطلاعات شخصی نیز در تلگرام هیچ جایگاهی ندارد. پیام هایی که در کانال های تلگرامی منتشر می شوند، در صورت اصلاح و ویرایش و حتی در صورت حذف در دسترس باقی می مانند.
در چند مورد مهم رسوایی های بزرگی در غرب رخ داده و افکار عمومی نسبت به خطر فعالیت شبکه های اجتماعی بدون نظارت قانونی هوشیار شده است. آیا در ایران هم باید یک رسوایی و یا جنایت بزرگ در فضای
مجازی رخ دهد تا بپذیریم که یک پیام رسان بیگانه با دهه با میلیون کاربر نمی تواند خارج از هرگونه نظارت قانونی در کشور عمل کند؟ حاکمیت جمهوری اسلامی ایران در چنین زمینه هایی که مرتبط با حفظ حقوق
شهروندی است مسئول بوده و بنابراین کنترل وضعیت تلگرام از جهت صیانت از داده های کاربران ایرانی اقدام عاجلی را می طلبد.
جمع بندی
صیانت از داده های شخصی یکی از حقوق اولیه کاربران فضای مجازی است در کشورهای پیشرفته جهت الزام بسترهای ارتباطی به حفاظت از حریم خصوصی کاربران قوانینی وضع شده است و در ایران نیز این قوانین وجود دارند اما باید با جدیت اجرا شوند.
اتحادیه اروپا قانونی صدصفحه ای با عنوان صیانت از اشخاص در زمینه پردازش داده های شخصی دارد. بنابراین رها بودن از نظارت دولت ها در فضای مجازی مزاحی بیش نیست.
تلگرام از هرگونه همکاری و سپردن هرگونه تعهدی جهت حفاظت از اطلاعات و داده های کاربران ایرانی استنکاف می ورزد. بنابراین چه دلیلی برای مماشات با این پیان رسان است؟
با این تعاریف اقدام عاجل در قبال بی تعهدی تلگرام به حقوق کاربران ایرانی ضروری به نظر می رسد.
منابع:
متن قانون اتحادیه اروپا برای صیانت از اشخاص در زمینه پردازش داده های شخصی در نشانی https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN در دسترس است.