روز شنبه، ۶ مرداد ۱۳۹۷، وزارت ارتباطات و فناوری اطلاعات متن کامل لایحه «صیانت و حفاظت از دادههای شخصی» را منتشر کرد که بر اساس گفته محمدجواد آذری جهرمی، وزیر ارتباطات و فناوری اطلاعات، «اولین تجربه وزارت ارتباطات در تدوین لایحهای قانونی است که ضمن بهرهگیری از متخصصین دانشگاهی، از ظرفیت CrowdSourcing یا جمعیسپاری نیز به طور کامل استفاده شده است».
در اولین نگاه به این لایحه ۴۶ هزار کلمهای به راحتی میتوان فهمید که این لایحه کپی دست و پا شکستهای از «مقررات عمومی حفاظت از داده اتحادیه اروپا» یا همان GDPR است، مقرارتی که اتحادیه اروپا بیش از سه ماه پیش آن را اجرایی و شفافیت زیادی در زمینه چگونگی نگهداری و مدیریت دادههای شخصی ایجاد کرد.
آیا این لایحه شفاف و دقیق است؟
با نگاهی کلی به لایحه صیانت و حفاظت از دادههای شخصی میتوان گفت که این لایحه شفافیت لازم را ندارد و با نگاهی به مواد مختلف آن سؤالات و تناقضات زیادی میتوان پیدا کرد.
بر اساس ماده ۳ این لایحه، تمام دادههای کاربران ایرانی (فارغ از محل زندگی آنها و اینکه این دادهها در کجا پردازش میشوند)، تحت پوشش این لایحه قرار میگیرد. علاوه بر این اگر دادههای شهروندان غیرایرانی توسط سرویسهای ایرانی مورد پردازش قرار بگیرد، آنها نیز شامل این لایحه میشوند.
از همین رو آنچه که میتوان از این ماده فهمید آن است که ایرانیان سرتاسر دنیا فارغ از اینکه در کدام کشور زندگی کنند - و به صرف داشتن ملیت ایرانی - تحت پوشش این لایحه قرار میگیرند؛ سؤال مهم در این زمینه نیز این است که با قانون شدن این لایحه، وضعیت سرویسهای آنلاینی مانند گوگل، فیسبوک، اینستاگرام و… چگونه خواهد بود و آیا دولت ایران براساس این قانون به سراغ این شرکتها خواهد رفت یا خیر.
علاوه بر این اگر یک شهروند غیرایرانی عضو یک سرویس ایرانی شود، چه حق و حقوقی برای او وجود خواهد داشت. آیا این شهروند غیرایرانی میتواند از حقوق برابر با یک شهروند ایرانی برخوردار باشد یا خیر و اگر پاسخ مثبت است، آیا سرویسهای آنلاین ظرفیت پاسخگویی به آنها را دارند یا خیر.
باب دوم این لایحه را میتوان بخش مربوط به حریم خصوصی کاربران ایرانی دانست و شاید ماده ۴ را بتوان یکی از مهمترین مادهای این لایجه دانست. براساس این ماده، پردازش دادههای شخصی از «موقعیتهای غیرعمومی» مانند گفتوگو از طریق یک اپلیکیشن پیامرسان، نیاز به رضایت شخص دارد. سؤالی که در این میان پیش میآید آن است که وضعیت سرویسهای آنلاین داخلی مانند پیامرسان سروش چگونه خواهد بود. آیا این سرویسها بدون اجازه کاربر اطلاعات وی را تحلیل نمیکنند؟
علاوه بر این، در این لایحه حق «درخواست پردازش یا توقف» آن به کاربران داده شده است و سوال مهم در مورد این حق آن است که سرویسهای مختلف در ایران - مثلاً کافه بازار - با دریافت درخواست توقف پردازش اطلاعات کاربران چگونه رفتار خواهند کرد. آیا این سرویسها تمام اطلاعات مربوط به کاربران را پاک خواهند کرد؟ چه ابزارهایی برای تضمین انجام آن وجود دارد؟
شاید سخن گفتن از ماده ۳۳ در اینجا جالب باشد که در نقطه مقابل با حق توقف پردازش اطلاعات کاربران قرار دارد زیرا براساس این ماده اطلاعات پاک شده کاربران - که شامل آدرس آیپی و.. است - باید بین شش ماه تا دو سال توسط میزبانان اطلاعات نگهداری شوند.
آیا این لایحه به فعالیت سازمانهای امنیتی و اطلاعاتی در کشور کمک میکند؟
پاسخ این سؤال با توجه به ماده ۱۲ مثبت است و شاید یکی از مشکلات اساسی این لایحه را بتوان همین ماده دانست. این ماده امکان پردازش دادههای شخصی افراد بدون کسب رضایت از آنها را «برای پیشگیری یا پاسخ به تهدیدهای نظم، ایمنی و امنیت عمومی» و «کشف جرائم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی» داده است. این بدان معناست که سرویسهای مختلف بدون اجازه از کاربران میتوانند اطلاعات آنان را پردازش و آنها را در اختیار نهادهای مختلف بگذارند.
وجود همین ماده به نهادهای امنیتی و اطلاعاتی - که در سالهای اخیر همواره خودشان را فراتر از قانون دیدهاند - این امکان را میدهد که به صورت راحتتر و با استناد به همین بند دست به شنود، تحلیل اطلاعات خصوصی کاربران و استفاده از آنها علیه کاربران بزنند.
در بند ب ماده ۲۶ نیز حرف از شفافیت در «نوع و نحوه پردازش، از قبیل تجمیع، تغییر، تجزیه و تحلیل، اشتراکگذاری، نگهداری و پاک کردن دادهها» به میان آمده است. این یعنی اگر یکی از کاربران به یک اپلیکیشن ایرانی مانند سروش درخواست حذف کامل اطلاعاتش را بدهد، آیا این سرویس به صورت کامل این کار را انجام خواهد داد؟ و اگر انجام بدهد، چه تضمینی وجود دارد که اطلاعات به صورت کامل پاک شدهاند و یک نسخه از آنها در جایی ذخیره نشدهاند؟
در ماده ۳۱ هم که بیربط به ماده ۲۶ نیست، حرف از پاسخگویی کامل افراد و سرویسهایی که بر روی اطلاعات افراد کنترل دارند زده شده است. به همین دلیل با قانونی شدن این لایحه سؤالی که پیش میآید این است که اگر فردا روزی یک کاربر از یک سرویس ایرانی - مثلاً دیجیکالا - درخواست کند که لیست تمام اطلاعاتی که از وی ذخیره کرده است را بدهد، آیا چنین چیزی را میتواند ارائه کند یا خیر؟ و آیا سرویسهای آنلاین ایرانی از نظر زیرساخت آمادگی لازم را دارند؟
آیا این لایحه در وضعیت فیلترینگ اینترنت در کشور تأثیر دارد؟
هر چند که در ایران دهها نهاد تصمیمگیرنده برای سانسور اینترنت وجود دارد، اما با این حال در این لایحه که قرار است از حریم خصوصی کاربران حفاظت کند، بهینهسازی فرآیند سانسور اینترنت فراموش نشده است! در بند ت ماده ۳۸ این لایحه میتوان رد پاهایی از راحتتر شدن فرآیند فیلترینگ اینترنت دید زیرا براساس این بند اعضای کمیسیون صیانت از دادههای شخصی میتوانند صلاحیت سرویسهای خارجی را مورد بررسی قرار بدهند. این بدین معناست که براساس این بند این کمیسیون میتواند دسترسی به یک سرویس را به بهانه عدم صلاحیت در پردازش اطلاعات کاربران ایرانی مسدود و فیلتر کند.
بر اساس ماده ۴۰ این لایحه، افرادی که صلاحیت یک سرویس خارجی را تأیید و رد کنند، اکثراً از دولت خواهند بود و این عدم/صلاحیت با رأی اکثریت اعضا به تصویب میرسد.
البته باید به این نکته مهم نیز اشاره کرد که این لایحه هنوز به قانون تبدیل نشده و تا اجرایی شدن آن همچنان راه وجود دارد.