مجلس به‌دنبال حفاظت از داده‌های شخصی کاربران در فضای مجازی است

شنبه ۳ مهر ۱۴۰۰ - ۱۸:۳۵
مطالعه 7 دقیقه
مجلس در طرحی جدید به‌دنبال حمایت و حفاظت از داده‌ها و البته اطلاعات شخصی کاربران است.
تبلیغات

این اولین‌بار نیست که مجلس به‌عنوان یک نهاد قانون‌گذار به فکر حفظ داده‌ و اطلاعات شخصی کاربران در فضای مجازی افتاده است. پاییز سال گذشته بود که مجلس طرح قانون یکپارچه‌سازی داده و اطلاعات ملی را اعلام وصول کرد. در این طرح نمایندگان مجلس به‌دنبال یکپارچه‌سازی تبادل اطلاعات بین دستگاه‌های اجرایی هستند.

درواقع این طرح با نام «قانون یکپارچه‌سازی داده‌ها و اطلاعات ملی» در ۱۲ ماده به‌دلیل همکاری‌نکردن دستگا‌های اجرایی در به‌اشتراک‌گذاری داده‌ها و تنوع داده‌ها در دستگاه‌های مختلف و نیز چالش مالکیت داده‌ها طراحی شد. با اینکه هنوز از سرنوشت این طرح خبری نشده، مجلس مجددا طرحی به نام طرح «حمایت و حفاظت از داده‌ و اطلاعات شخصی» را در دستورکار خود قرار داده است.

طرح «حمایت و حفاظت از داده و اطلاعات شخصی» اواخر شهریور در صحن علنی اعلام وصول شده است. هدف اصلی این طرح، رفع خلأ قانونی مربوط به داده‌ها و اطلاعات به‌ویژه آن دسته از اطلاعات خواهد بود که در فضای مجازی ارائه‌دهندگان خدمات از مردم و کسب‌وکارها اخذ و گردآوری و پردازش می‌کنند.

همچنین، این طرح قرار است قوانین مرتبط با قانون وظایف و اختیارات وزیر ارتباطات، قانون انتشار و دسترسی آزاد به اطلاعات، قانون تجارت الکترونیکی، قانون مجازات اسلامی، قانون برنامه ششم توسعه و قانون سلامت نظام اداری و... را تکمیل کند.

طرح مذکور به امضای ۳۱ نماینده رسیده است و اشخاص مشمول این طرح، اتباع ایرانی و حقیقی و حقوقی عمومی یا خصوصی و اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی هستند که داده‌ها و اطلاعات شخصی آن‌ها درون یا بیرون از ایران پردازش می‌شود.

از کنترلگر تا پردازنده داده

طرح «حمایت و حفاظت از داده و اطلاعات شخصی» ۵۶ ماده و بی‌نهایت تبصره دارد. در ماده یک این طرح، هدف اصلی این قانون صیانت از حیثیت و کرامت اشخاص موضوع داده‌ها و اطلاعات است که از راه‌هایی زیر تحقق پیدا می‌کند:

  • تببین حقوق اشخاص موضوع داده‌ها و اطلاعات، به‌ویژه در تعامل با سایر حق‌های مشروع
  • ضابطه‌پذیری پردازش داده‌ها و اطلاعات شخصی
  • مسئولیت‌پذیری کنشگران پردازش داده‌ها و اطلاعات شخصیی
  • هم‌افزایی امور تنظیمی و نظارتی پردازش‌ داده‌ها و اطلاعات شخصی
  • جبران‌پذیری زیان‌ها و آسیب‌های ناشی از پردازش داده‌ها و اطلاعات شخصی

در تعریف داده و اطلاعات شخصی هم آمده است داده‌ و اطلاعاتی که به‌تنهایی یا به‌همراه داده‌های دیگر شخص موضوع داده را قابل‌شناسایی می‌کنند. یکی از بخش‌های جالب این طرح وجود افرادی به نام کنترلگران و پردازشگران است.

طبق تعریف طرح، کنترلگر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگی‌ها و ابزارهای یک یا چند عملیات پرازش داده‌ها و اطلاعات شخصی دراختیار پردازنده را تعیین می‌کند. در تعریف کنترلگر تأکید شده است که مصوبات و تصمیمات مراجع صلاحیت‌دار در امور تنظیمگری، نظارت، ضابطیت و دادرسی درباره پردازش‌ داده‌ و اطلاعات شخصی، جز در مواردی که جنبه فردی دارد، کنترلگر به‌شمار نمی‌آیند.

کنترلگر و پردازنده برای پردازش اطلاعات شخصی افراد موضوع این طرح، باید مجموعه اطلاعاتی دراختیار داشته باشند؛ یعنی کنترلگران و پردازشگردان باید هدف از پردازش، منابع پردازش، ویژگی‌ها و شرایط فنی پردازش، سطح ایمنی و امنیت پردازش را به شخص اعلام کنند و از سوی دیگر اشخاص موضوع این ماده باید از هویت و ماهیت و فعالیت کنترلگران مطلع شوند.

کنترلگر و پردازنده موظف است اطلاعاتی مانند اطلاعات هویتی و انواع پردازش‌های انجام‌شده روی داده‌ها و اطلاعات هویتی کنترلگران یا پردازشگران را تا ۱۸ ماه پس از پردازش داده نزد خود نگه دارند. اگر صحت و تمامیت داده‌ها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترلگر یا پردازنده موظف است همه نسخه‌های اصلی و مخدوش‌شده داده‌ها و اطلاعات را به‌مدت ۶ ماه از تاریخ آخرین پردازش نگه‌داری کنند.

براساس آنچه در این طرح آمده است، پردازش داده‌ها و اطلاعات در صورتی فرامرزی شناخته می‌شوند که هریک از کنترلگران یا پردازشگران تابعیت خارجی داشته باشند و سامانه‌های پردازنده داده‌ها و اطلاعات بیرون از قلمرو ایران باشد و پردازنده‌های نرم‌افزاری در ایران ثبت نشده باشد. البته درخصوص پردازش داده‌ها و اطلاعات شخصی اتباع ایرانی این پردازش فقط باید در مراکز داده واقع در داخل کشور یا مراکز خارجی موردتأیید مراجع صلاحیت‌دار انجام گیرد. همچنین، همه پردازنده‌های سخت‌افزاری و نرم‌افزاری باید از مراجع صلاحیت‌دار گواهی لازم را داشته باشند و این اطلاعات روی شبکه ارتباطی مطمئن جابه‌جا شوند.

اشخاص مشمول این قانون هم اول اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی شامل داده‌ها و اطلاعات شخصی کسانی است که درون یا بیرون از ایران پردازش می‌شود. اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده‌ها واطلاعات شخص آن‌ها را کنترلگر یا پردازنده ایرانی پردازش می‌‌کنند، از دیگر افراد مشمول این طرح درصورت به تصویب رسیدن است.

در ماده ۴ طرح، گفته شده که پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت‌ها یا موقعیت‌های غیرعمومی منوط به رضایت شخص موضوع آن‌ها است. در این ماده، تأکید شده اعلام رضایت اشخاص موضوع داده‌ باید با رعایت شرایطی مانند پیش از پردازش باشد و بیانگر آگاهی شخصی موضوع داده و استنادپذیر باشد.

ماده ۵ این طرح درمورد پردازش داده‌ها درصورت رضایت کاربران صحبت کرده است. در این ماده، نوشته شده است که پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت‌ها یا موقعیت‌های عمومی، بدون رضایت شخصی یا اشخاص موضوع آن‌ها در صورتی بلامانع است که «خود داده‌ها و اطلاعات خود را منع یا محدود نکرده باشد». این ماده یک تبصره هم دارد. در تبصره ماده ۵، اشاره شده است که رضایت حاصل از فریب یا تهدید یا اکراه شخص موضوع داده معتبر نیست و درصورت عدم اهلیت او، رضایت ولی یا قیم او الزامی است: «حالات اغما و مانند آن که بر نبود قصد و اراده او دلالت دارند، موجب عدم اهلیت‌اند.»

تشکیل کمیسیون صیانت از داده‌ها و اطلاعات شخصی

نمایندگان امضاکننده این طرح تنظیم و نظارت بر پردازش داده‌ها و اطلاعات شخصی را برعهده چهار بخش، یعنی کمیسیون صیانت از داده‌ها و اطلاعات شخصی، هیئت نظارت، کارگروه‌های تخصصی و دبیرخانه اجرای کمیسیون گذاشته است.

کمیسیون صیانت از داده‌ها و اطلاعات شخصی شامل چه کسانی می‌شوند؟ در این کمیسیون، نام افرادی همچون وزیر ارتباطات و فناوری اطلاعات به‌عنوان رئیس کمیسیون، وزیران اطلاعات، کشور، اقتصاد و دارایی، فرهنگ و ارشاد، دادستان کل کشور، دبیر شورای عالی و رئیس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوه قضاییه، رئیس کمیسیون حقوقی و قضایی مجلس، رئیس کمیسیون اصل نود مجلس، دبیر شورای اجرایی فناوری اطلاعات به‌عنوان دبیر کمیسیون و همچنین دو نفر از صاحب‌نظران دارای سوابق مرتبط با مدیریت، سیاست‌گذاری، حکمروایی داده‌ها و اطلاعات به پیشنهاد دبیر و تأیید رئیس کمیسیون دیده می‌شود.

اعضای این کمیسیون مشخص‌شده براساس این طرح، وزیر ارتباطات و فناوری اطلاعات رئیس و دبیر شورای اجرای فناوری اطلاعات دبیر کمیسیون مذکور هستند و به تشخیص رئیس کمیسیون، جلسات در سطح اعضا یا معاونان آن‌ها تشکیل می‌شود.

درادامه این طرح به وظایف و اختیارات کمیسیون صیانت از داده‌ها و اطلاعات شخصی اشاره شده است. طبق آنچه در طرح آمده است، وظیفه این کمیسیون عبارت‌اند از:

  • همسوسازی امور تنظیم و نظارت بر کارگروه‌های تخصصی با یکدیگر و همچنین با هیئت نظارت
  • تعدیل و تجمیع، تلفیق یا تفکیک وظایف یا اعضای کارگروه‌های تخصصی برپایه اختیارات قانونی آن‌ها
  • تصویب ضوابط و دستورالعمل‌های مربوط به صیانت از داده‌های شخصی و آیین‌نامه داخلی کمیسیون
  • گزارش به مراجع بالادستی درباره وضعیت صیانت از داده‌ها و اطلاعات شخصی وتنظیم و نظارت پردازش آن‌ها
  • تصویب تخلفات و ضمانت اجرایی‌های انتظامی
  • صدور احکام روسای کارگروه‌های تخصصی و ناظران ویژه است.

دبیرخانه این کمیسیون نیز در وزارت ارتباطات و فناوری اطلاعات تشکیل می‌شود. افزون‌براین، با‌‌توجه‌‌به اولویت‌‌های مرتبط با صیانت و حفاظت از داده‌ها و اطلاعات شخصی، کارگروه‌های تخصصی متشکل از نمایندگان نهادهای متولی امور حاکمیتی مرتبط با صیانت از داده‌های شخصی در موضوعات خاص مانند سلامت، بانکداری، امور مالی، امور اجتماعی، امور شهری و... تشکیل می‌شود. هرکدام از کارگروه‌ها، مسئولیت اجرا یا نظارت بر حسن اجرای مصوبات کمیسیون را در حیطه کاری خود برعهده دارد.

هیئت نظارت هم براساس این طرح تشکیل می‌شود که اعضای آن دادستان کل کشور و رئیس کمیسیون اصل نود مجلس و دبیر کمیسیون صیانت از داده‌های شخصی هستند. علاوه‌براین، هیئت نظارت در محل دادستانی کل کشور تشکیل می‌شود و وظایفی مانند نظارت بر حسن اجرای امور نظارتی ابلاغی کمیسیون، دریافت و رسیدگی به شکایات ذی‌نفعان صیانت از داده‌ها و اطلاعات شخصی، شناسایی و معرفی ناظران ویژه به کمیسیون و نظارت بر فعالیت آن‌ها، پیشنهاد شیوه‌نامه‌های اختصاصی استنادپذیری ادله ناظر بر داده‌ها و اطلاعات شخصی را برعهده دارد.

ضمانت اجرایی طرح

این طرح ضمانت اجرایی هم برای قانونی اجراشدن بندهای مختلف آن در نظر گرفته است. طبق این ضمانت اجرایی، کنترلگران و پردازشگران دربرابر تعهدات خود مسئولیت مستقل دارند و فرد زیان‌دیده می‌تواند به کنترلگر یا پردازنده مراجعه کند و خواستار جبران زیان خود شود. اگر شخص موضوع این طرح حقوق خود را به‌صورت ناروا درخواست و به دیگری زیانی وارد کند، مسئول جبران آن خواهد بود.

درصورت واردکردن آسیب، مرجع صلاحیت‌دار قضایی یا انتظامی می‌تواند متناسب با نوع و گستره آسیب حیثیتی به موضوع وارد شود و میزان زیان را بسنجد و برای فرد مرتکب‌شده جریمه تنبیهی در نظر بگیرد. میزان جریمه یا کسب نظر از کمیسیون یا کارگروه‌های تخصصی تعیین و اعمال می‌شود.

تخلفات انتظامی مقرر از سوی کمیسیون همه جرایم مقرر در این قانون، نقض تعهدات کنترلگران و پردازشگران، نقض تعهدات اشخاص موضوع داده دربرابر سایر ذی‌نفعان و نقض تعهدات قراردادی یا سایر اسناد تعهدآور را دربر می‌گیرد.

در ماده ۵۵ این طرح هم نمایندگان مقرر کرده‌اند تا اعتبارات هزینه‌ای موردنیاز این قانون به نحوه متمرکز در ردیف بودجه دبیرخانه و به پیشنهاد وزارت ارتباطات در لایحه بودجه سالیانه درج و به تصویب برسد.

در پایان این طرح اشاره شده است که از تاریخ تصویب این قانون همه قوانین و مقررات مغایر با آن نسخ می‌شود و تا زمانی که در قوانین بعدی نسخ یا اصلاح مواد و مقررات این قانون به صورت صریح و با ذکر نام این قانون و ماده موردنظر قید نشود، معتبر خواهد بود.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات