پیشنویس لایحه «صیانت و حفاظت از دادههای شخصی» در ۶ مرداد ۱۳۹۷ با حضور وزیر ارتباطات و فناوری اطلاعات، رئیس مرکز پژوهشهای مجلس و رئیس کمیته ارتباطات و فناوری اطلاعات مجلس رونمایی شد و در ۳۱ اردیبهشت ۱۴۰۰، رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات، وعده داد که این لایحه بهزودی تصویب خواهد شد.
هدف اصلی این قانون «صیانت از حیثیت و کرامت اشخاص موضوع دادهها» اعلام شده است و به گفته آذری جهرمی، «فتوای رهبری، مبدا تدوین لایحه صیانت و حفاظت از دادههای شخصی است و این قانون غیر از حفاظت و صیانت از دادههای شخصی مردم در ایران، در حفظ و صیانت از حریم شخصی و دادههای ایرانیان در کل دنیا نیز کاربرد دارد.»
لایحهای که آذری جهرمی آن را برخاسته از فتوای رهبر جمهوری اسلامی دانسته، به همان میزان که فتوای مزبور شکبرانگیز است، غیرشفاف به نظر میرسد.
در شهریورماه ۱۳۹۴، رهبر جمهوری اسلامی ایران «اهتمام ویژه به سالمسازی و حفظ امنیت همهجانبه فضای مجازی كشور و نیز حفظ حریم خصوصی آحاد جامعه و مقابله موثر با نفوذ و دستاندازی بیگانگان در این عرصه» را از اعضای شورای عالی فضای مجازی خواستار شد. با ملاحظه مفادی از این لایحه که تاکنون منتشر شده است و نیز با توجه به سابقه تجسس حریم خصوصی کاربران اینترنت، تلاش برای تحقق پروژه اینترنت ملی و نیز هراس حاکمیت از دسترسی شهروندان به جریان آزاد اطلاعات، این لایحه را میتوان زمینهساز اقدامهایی دانست که به فیلتر گستردهتر، نظارت حداکثری و استفاده از اطلاعات شخصی کاربران منجر میشود.
در بخش ۴ ماده ۳۸ این لایحه عنوان شده است: «دادههای شخصی اتباع ایرانی تنها در مراکز داده، واقع در قلمرو حاکمیتی جمهوری اسلامی ایران یا مراکز داده خارجی مورد تایید مراجع صلاحیتدار ذخیره شوند و لازم است صلاحیت کنترلگران و پردازشگران خارجی مورد تایید مراجع ذیربط قرار گیرد.»
Read More
This section contains relevant reference points, placed in (Inner related node field)
با توجه به این ماده، میتوان نتیجه گرفت در صورتی که مراجع ذیربط سرویسهای خارجی را تایید نکنند، آنگاه فیلتر شدن آن سرویس دور از ذهن نیست؛ همچنان که این اتفاق درباره تلگرام رخ داد و در پی آن، کاربران به استفاده از سرویسهای ناامن داخلی سوق داده شدند، ممکن است مقامها، سرویسهای دیگری را نیز تایید نکنند و فرایند فیلترکردن، جدیتر از قبل دنبال شود.
در ماده ۱۲ و ۱۳ هم نه تنها به عناوین مختلف نقض حریم خصوصی کاربران را شاهد هستیم، بلکه از تخلف، جرائم و تهدیدهای امنیتی هم تعریف مشخصی ارائه نشده است. در ماده ۱۲ آمده است: «پردازش دادههای شخصی در چارچوب قوانین مربوط، بدون رضایت اشخاص در راستای پیشگیری یا پاسخ به تهدیدهای امنیتی، کشف جرائم یا تخلفات، بلامانع است.» ماده ۱۳ به صراحت اشاره دارد که «بهرهبرداری مالکانه از دادههای شخصی، بدون رضایت شخص در صورتی که گمنامی وی حفظ شود، عرفا زیان مادی یا معنوی برای وی نداشته باشد یا جلب رضایت وی عملا امکانپذیر نباشد، بلامانع است.»
برایند این دو ماده را میتوان تلاش برای دستیابی به دادههای ذخیرهشده کاربران دانست که با صیانت از آنها ارتباطی ندارد و چه بسا از همین رو است که آذری جهرمی اظهار داشته است: «اطلاعاتی از شهروندان ایرانی در سرویسهای بینالمللی ضبط و ثبت میشد که قابل پیگیری نبود. به همین دلیل برای رعایت صیانت از دادههای مردم در حوزه سرویسهای بینالمللی هم در تلاشیم. برای این قانون به تعاملات بینالمللی نیاز داریم.»
در حالی که دست اندرکاران تمامیتخواه بر این باورند که «همه دنیا همین کار را میکنند. همه دنیا این قوانین و مقررات را دارند. در اروپا هم قانونی تحت عنوان GDPR وجود دارد که درباره حفاظت از حریم دادهها است»؛ با وجود این، به نظر میرسد تنها شباهت موجود بین GDPR و لایحه مزبور، اشتراک لفظی است نه محتوایی؛ برای مثال یکی از تدابیر GDPR برای حفظ حریم خصوصی شهروندان آن است که «اطلاعات شخصی باید با استفاده از مستعارسازی یا بینامسازی ذخیره شود و و حداکثر محرمانگی بهطور پیشفرض در نظر گرفته شود، به گونهای که دادهها بدون رضایت صریح بهطور عمومی در دسترس نباشد و بدون اطلاعات اضافی جداگانه برای تعیین هویت اشخاص قابل استفاده نباشد. هیچ اطلاعات شخصی نمیتواند پردازش شود.»
هرچند این ادعا بهصورت ضمنی در لایحه نیز دیده میشود ولی مسئله اساسی آن است که بر اساس بندهای ۱۲ و ۱۳ لایحه «صیانت و حفاظت از دادههای شخصی»، امکان پردازش و بهرهبرداری از داده اشخاص بدون رضایت و اطلاع آنها در موارد متعددی میسر شده است. کارنامه آشکار جمهوری اسلامی در دستگیری فعالان رسانهای، روزنامهنگاران، وبلاگنویسان، کاربران توییتری و اینستاگرامی بهقدری شفاف است که نمیتوان آن را با قوانین مشابه در اروپا مقایسه کرد.
نکته حائز اهمیت دیگر، فقدان نظارت شفاف و مشخص بر پردازشگر و کنترلگر است. برای مقایسه، در بریتانیا دفتر کميسيونر اطلاعات (ICO)، وظیفه نظارت بر حسن اجرای قوانین حمایت از حریم خصوصی کاربران در فضای مجازی را برعهده دارد و موظف است اطلاعات دریافتی از طرف کنترلگرها را در سامانهای که برای عموم شهروندان قابل دستیابی آنلاین و جستوجو است، نگهداری کند. این دفتر مستقيم به پارلمان بریتانیا گزارش میدهد و ریاست این دفتر بر عهده کميسيونر اطلاعات است که فردی مستقل به شمار میرود.
اما بر اساس لایحه «صیانت و حفاظت از دادههای شخصی»، در ایران یک نهاد مشخص وظیفه نظارت را بر عهده ندارد و وزیر دادگستری، رئیس کمیسیون اصل ۹۰ مجلس شورای اسلامی، رئیس مرکز ملی فضای مجازی و دبیر کمیسیون، بر فعالیتها نظارت میکنند و در لایحه، سازوکار نظارتی آنها شفاف مشخص نشده است؛ فارغ از اینکه نظارت و انتصاب این افراد و نهادها در هرم قدرت سیاسی به رهبر جمهوری اسلامی منتهی میشود.
در نهایت، با مطالعه لایحه «صیانت و حفاظت از دادههای شخصی» که هماکنون مراحل تصویب را پشت سر میگذارد، میتوان دریافت که دغدغه دولتمردان نه تنها صیانت از دادههای شخصی شهروندان و تسهیل دسترسی آنان به گردش آزاد اطلاعات نیست، بلکه تلاشی بهظاهر قانونی است که در فتوای رهبر جمهوری اسلامی ریشه دارد و به تجسس، جاسوسی و حکمرانی بر اطلاعات کاربران معطوف است.
