از لایحه «صیانت و حفاظت از داده‌های شخصی» چه انتظاری می‌توان داشت؟

روز شنبه، ۶ مرداد ۱۳۹۷، وزارت ارتباطات و فناوری اطلاعات متن کامل لایحه «صیانت و حفاظت از داده‌های شخصی» را منتشر کرد که بر اساس گفته محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات،‌ «اولین تجربه وزارت ارتباطات در تدوین لایحه‌ای قانونی است که ضمن بهره‌گیری از متخصصین دانشگاهی، از ظرفیت CrowdSourcing یا جمعی‌سپاری نیز به طور کامل استفاده شده است».

در اولین نگاه به این لایحه ۴۶ هزار کلمه‌ای به راحتی می‌توان فهمید که این لایحه کپی دست و پا شکسته‌ای از «مقررات عمومی حفاظت از داده اتحادیه اروپا» یا همان GDPR است، مقرارتی که اتحادیه اروپا بیش از سه ماه پیش آن را اجرایی و شفافیت زیادی در زمینه چگونگی نگهداری و مدیریت داده‌‌های شخصی ایجاد کرد.

آیا این لایحه شفاف و دقیق است؟

با نگاهی کلی به لایحه صیانت و حفاظت از داده‌های شخصی می‌توان گفت که این لایحه شفافیت لازم را ندارد و با نگاهی به مواد مختلف آن سؤالات و تناقضات زیادی می‌توان پیدا کرد.

بر اساس ماده ۳ این لایحه، تمام داده‌های کاربران ایرانی (فارغ از محل زندگی آنها و اینکه این داده‌ها در کجا پردازش می‌شوند)، تحت پوشش این لایحه قرار می‌گیرد. علاوه بر این اگر داده‌های شهروندان غیرایرانی توسط سرویس‌های ایرانی مورد پردازش قرار بگیرد، آنها نیز شامل این لایحه می‌شوند.

از همین رو آنچه که می‌توان از این ماده فهمید آن است که ایرانیان سرتاسر دنیا فارغ از اینکه در کدام کشور زندگی کنند - و به صرف داشتن ملیت ایرانی - تحت پوشش این لایحه قرار می‌گیرند؛‌ سؤال مهم در این زمینه نیز این است که با قانون شدن این لایحه، وضعیت سرویس‌های آنلاینی مانند گوگل، فیس‌بوک، اینستاگرام و… چگونه خواهد بود و آیا دولت ایران براساس این قانون به سراغ این شرکت‌ها خواهد رفت یا خیر.

علاوه بر این اگر یک شهروند غیرایرانی عضو یک سرویس ایرانی شود، چه حق و حقوقی برای او وجود خواهد داشت. آیا این شهروند غیرایرانی می‌تواند از حقوق برابر با یک شهروند ایرانی برخوردار باشد یا خیر و اگر پاسخ مثبت است، آیا سرویس‌های آنلاین ظرفیت پاسخگویی به آنها را دارند یا خیر.

باب دوم این لایحه را می‌توان بخش مربوط به حریم خصوصی کاربران ایرانی دانست و شاید ماده ۴ را بتوان یکی از مهم‌ترین مادهای این لایجه دانست. براساس این ماده، پردازش داده‌های شخصی از «موقعیت‌های غیرعمومی» مانند گفت‌وگو از طریق یک اپلیکیشن پیام‌رسان، نیاز به رضایت شخص دارد. سؤالی که در این میان پیش می‌آید آن است که وضعیت سرویس‌های آنلاین داخلی مانند پیام‌رسان سروش چگونه خواهد بود. آیا این سرویس‌ها بدون اجازه کاربر اطلاعات وی را تحلیل نمی‌کنند؟

علاوه بر این، در این لایحه حق «درخواست پردازش یا توقف» آن به کاربران داده شده است و سوال مهم در مورد این حق آن است که سرویس‌های مختلف در ایران - مثلاً کافه بازار - با دریافت درخواست توقف پردازش اطلاعات کاربران چگونه رفتار خواهند کرد. آیا این سرویس‌ها تمام اطلاعات مربوط به کاربران را پاک خواهند کرد؟ چه ابزارهایی برای تضمین انجام آن وجود دارد؟

شاید سخن گفتن از ماده ۳۳ در اینجا جالب باشد که در نقطه مقابل با حق توقف پردازش اطلاعات کاربران قرار دارد زیرا براساس این ماده اطلاعات پاک شده کاربران - که شامل آدرس آی‌پی و.. است - باید بین شش ماه تا دو سال توسط میزبانان اطلاعات نگهداری شوند.

آیا این لایحه به فعالیت سازمان‌های امنیتی و اطلاعاتی در کشور کمک می‌کند؟

پاسخ این سؤال با توجه به ماده ۱۲ مثبت است و شاید یکی از مشکلات اساسی این لایحه را بتوان همین ماده دانست. این ماده امکان پردازش داده‌های شخصی افراد بدون کسب رضایت از آنها را «برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی» و «کشف جرائم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی» داده است. این بدان معناست که سرویس‌های مختلف بدون اجازه از کاربران می‌توانند اطلاعات آنان را پردازش و آنها را در اختیار نهادهای مختلف بگذارند.

وجود همین ماده به نهادهای امنیتی و اطلاعاتی - که در سال‌های اخیر همواره خودشان را فراتر از قانون دیده‌اند - این امکان را می‌دهد که به صورت راحت‌تر و با استناد به همین بند دست به شنود، تحلیل اطلاعات خصوصی کاربران و استفاده از آنها علیه کاربران بزنند.

در بند ب ماده ۲۶ نیز حرف از شفافیت در «نوع و نحوه پردازش، از قبیل تجمیع، تغییر، تجزیه و تحلیل، اشتراک‌گذاری، نگهداری و پاک کردن داده‌ها» به میان آمده است. این یعنی اگر یکی از کاربران به یک اپلیکیشن ایرانی مانند سروش درخواست حذف کامل اطلاعاتش را بدهد، آیا این سرویس به صورت کامل این کار را انجام خواهد داد؟ و اگر انجام بدهد، چه تضمینی وجود دارد که اطلاعات به صورت کامل پاک شده‌اند و یک نسخه از آنها در جایی ذخیره نشده‌اند؟

در ماده ۳۱ هم که بی‌ربط به ماده ۲۶ نیست، حرف از پاسخگویی کامل افراد و سرویس‌هایی که بر روی اطلاعات افراد کنترل دارند زده شده است. به همین دلیل با قانونی شدن این لایحه سؤالی که پیش می‌آید این است که اگر فردا روزی یک کاربر از یک سرویس ایرانی - مثلاً دیجیکالا - درخواست کند که لیست تمام اطلاعاتی که از وی ذخیره کرده است را بدهد، آیا چنین چیزی را می‌تواند ارائه کند یا خیر؟ و آیا سرویس‌های آنلاین ایرانی از نظر زیرساخت آمادگی لازم را دارند؟

آیا این لایحه در وضعیت فیلترینگ اینترنت در کشور تأثیر دارد؟

هر چند که در ایران ده‌ها نهاد تصمیم‌گیرنده برای سانسور اینترنت وجود دارد، اما با این حال در این لایحه که قرار است از حریم خصوصی کاربران حفاظت کند، بهینه‌سازی فرآیند سانسور اینترنت فراموش نشده است! در بند ت ماده ۳۸ این لایحه می‌توان رد پاهایی از راحت‌تر شدن فرآیند فیلترینگ اینترنت دید زیرا براساس این بند اعضای کمیسیون صیانت از داده‌های شخصی می‌توانند صلاحیت سرویس‌های خارجی را مورد بررسی قرار بدهند. این بدین معناست که براساس این بند این کمیسیون می‌تواند دسترسی به یک سرویس را به بهانه عدم صلاحیت در پردازش اطلاعات کاربران ایرانی مسدود و فیلتر کند.

بر اساس ماده ۴۰ این لایحه، افرادی که صلاحیت یک سرویس خارجی را تأیید و رد کنند، اکثراً از دولت خواهند بود و این عدم/صلاحیت با رأی اکثریت اعضا به تصویب می‌رسد.

البته باید به این نکته مهم نیز اشاره کرد که این لایحه هنوز به قانون تبدیل نشده و تا اجرایی شدن آن همچنان راه وجود دارد.