استثنائات ممنوعیت پردازش داده‌پیام‌های شخصی خاص در شبکه‌های ارتباطی و سیاست‌گذاری مناسب: مطالعه تطبیقی نظام حقوقی اتحادیه اروپا و ایران

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دکترای حقوق عمومی، دانشکده حقوق و علوم سیاسی، دانشگاه تهران، تهران، ایران.

2 دکترای حقوق خصوصی دانشگاه علوم قضایی و خدمات اداری، تهران، ایران.

چکیده

شبکه به کامپیوترهای متصل به هم اطلاق می‌گردد که نسبت به پردازش اطلاعات اقدام می‌کنند. اطلاعات تحت پردازش در شبکه‌های ارتباطی در دو دسته شخصی و غیرشخصی تقسیم‌بندی می‌شوند. اطلاعات غیرشخصی، اطلاعاتی هستند که در اختیار عموم جامعه بوده و پردازش آن‌ها فاقد هرگونه تشریفات یا محدودیت‌ها است. اما اطلاعات شخصی، اطلاعاتی هستند که پردازش آن‌ها به‌طور مستقیم یا غیرمستقیم منجر به شناسایی اشخاص شده و شروع فرایند پردازش آن‌ها نیاز به برخی شرایط و ملزومات دارد. در این میان دسته خاصی از اطلاعات شخصی نیز که به‌عنوان اطلاعات شخصی خاص شناخته می‌شوند، دربردارنده محدودیت‌های بیشتری در اجرای فرایند پردازش هستند. بااین‌حال، قانون‌گذاران کشورها بنابر مصالحی، استثنائاتی را بر این ممنوعیت‌ها پیش‌بینی کرده‌اند. سؤال اصلی پژوهش حاضر این است که استثنائات ممنوعیت پردازش داده‌پیام‌های شخصی خاص در شبکه‌های ارتباطی چیست؟ برای پاسخ به سؤال مذکور، پژوهش حاضر به روش اسنادی و مطالعه تطبیقی حقوق ایران و اتحادیه اروپا، استثنائات مذکور را در دو دسته استثنائات قهری و قراردادی تقسیم‌بندی نموده و در قسمت نتیجه‌گیری نیز نسبت به ارائه برخی توصیه‌های سیاست‌گذارانه در رفع خلأهای موجود در نظام حقوقی ایران اقدام کرده است.

تازه های تحقیق

همان‌طور که بیان شد، پردازش داده‌پیام‌های شخصی خاص در نظام حقوقی ایران به حکم ماده 58 قانون تجارت الکترونیکی دارای حکم ممنوعیت بوده و جز در صورت اخذ رضایت صریح موضوع داده امکان پردازش اطلاعات وجود ندارد. در این میان برخی استثنائات قهری و قراردادی نیز برای این حکم کلی در قوانین و مقررات مصوب یا در حال تصویب در کشور ایران قابل استخراج می‌باشند که در متن پژوهش به آن‌ها اشاره شد. اما مشکل اساسی موجود در این نظام، خلأ برخی سیاست‌گذاری‌های تقنینی و اجرایی است که می‌توان به شرح ذیل نسبت به رفع آن‌ها اقدام نمود:

۱.‌ متأسفانه ماده 2 قانون تجارت الکترونیکی ایران که دربردارنده مفهوم داده‌پیام و داده‌پیام شخصی است، دارای اجمال و ابهام بوده و این مفهوم را به درستی نمی‌توان از ماده 2 برداشت نمود. اثر این ابهام نیز می‌تواند در تفسیر ماده 58 قانون تجارت الکترونیکی که از عبارت ذخیره، پردازش و توزیع داده‌پیام شخصی پرده برداشته نیز تسری یابد. به‌عبارت‌دیگر، بند (ر) ماده 2 قانون فوق‌الذکر از عبارت «داده‌پیام مربوط به شخص» پرده برداشته که می‌تواند در وهله اول این موضوع را به ذهن حواله دهد که در نظام حقوقی ایران داده‌پیام شخصی داده‌پیامی است که تنها به‌طور مستقیم منجر به شناسایی یک فرد می‌گردد. درحالی‌که بسیاری از داده‌پیام‌ها به نوعی می‌باشند که پردازش آن‌ها به‌طور غیرمستقیم نیز می‌تواند منجر به شناسایی اشخاص گردد و این یک خلأ تقنینی در کشور ایران است. بر این مبنا متن پیشنهادی در خصوص اصلاح بند (ر) ماده 2 قانون فوق‌الذکر به شرح ذیل است:

بند (ر) ماده 2: داده‌پیام‌های شخصی به هرگونه اطلاعاتی که پردازش آن‌ها به صورت مستقیم و غیرمستقیم امکان شناسایی شخص موضوع داده را فراهم نموده اطلاق می‌گردد که می‌تواند از طریق معیارهای ذیل شناسایی شود:

الف. بر اساس ماهیت داده‌پیام: داده‌پیام‌هایی که ماهیتاً به اشخاص منتسب می‌باشند و شامل داده‌های بیومتریک، شخصیتی و زیستی آن‌ها هستند. همچنین داده‌هایی که در صورت ضمیمه به سایر اطلاعات قابلیت انتساب و شناسایی افراد را فراهم نمایند نیز داده‌پیام‌های شخصی خواهند بود.

ب. بر اساس اهداف حاصل از پردازش: داده‌پیام‌هایی که در راستای شناخت خصیصه یا خصوصیاتی از اشخاص حقیقی مورد پردازش قرار می‌گیرند.

تبصره: به هرگونه عملیاتی که در جهت اقداماتی مانند جمع‌آوری، نگهداری، آنالیز، ذخیره، حذف، اصلاح و تغییر اطلاعات انجام می‌گیرد، پردازش گفته می‌شود.

۲.‌ تعیین سازوکار اعطای مجوز فعالیت به شرکت‌های پردازنده اطلاعات در راستای بهبود نظارت بر فعالیت آن‌ها: با توجه به اینکه ماده 79 قانون تجارت الکترونیکی، وزارت صنعت، معدن و تجارت را مکلف به ایجاد زیرساخت‌های اجرای این قانون نموده است، این وزارت خانه باید مراکزی مانند مرکز توسعه تجارت الکترونیکی، سازمان تنظیم مقررات رادیویی یا نظام فنی رایانه‌ای یا اتحادیه کسب و کارهای اینترنتی را مکلف به اعطای مجوز فعالیت به شرکت‌های فعال در فرایند پردازش و نظارت بر عملکرد آن‌ها نماید. در این راستا مرجع نظارتی می‌تواند ضوابطی را در جهت اعطای مجوز به شرکت‌های مذکور و همچنین ارائه گزارش عملکرد پیش‌بینی نماید. ازجمله ضوابطی که می‌توان در جهت اعطای مجوز به این شرکت‌ها در نظر گرفت، برخورداری این شرکت‌ها از تمکن مالی برای جبران خسارات ناشی از عملکرد است که می‌تواند از طریق اعطای وثیقه و تضمین مالی در هنگام اخذ مجوز فعالیت صورت پذیرد. علاوه‌بر آن برخورداری از تخصص در حوزه فعالیت موضوع مهم دیگری است که می‌تواند از طریق بررسی مدارک ارائه شده در این زمینه احراز نمود.

۳.‌ نکته دیگر در این زمینه ضرورت تعیین ضمانت اجراهای مدنی و جبران خسارات و اعطای سازوکار تعیین و وصول این نوع جریمه‌ها از طریق نهاد ناظر پیش‌بینی شده در پیشنهاد فوق است. مقررات مصوب سال 2016 اتحادیه اروپا در ماده 83 خود، امکان اعمال جریمه‌ای معادل 20000 یورو یا چهار درصد از کل گردش مالی شرکت در سال گذشته را به متخلفین از دستورات مقامات نظارتی مصرح در مقررات این قانون پیش‌بینی کرده است. درحالی‌که قانون تجارت الکترونیکی در ماده 71 خود، تنها نسبت به تعیین مجازات حبس کیفری برای تخلف از مقررات مواد 58 و 59 قانون تجارت الکترونیکی اکتفا نموده و ضمانت اجرای دیگری در جهت تضمین امنیت پردازش اطلاعات ندارد. این در حالی است که می‌توان به پیش‌بینی جریمه‌های نقدی هم در محدوده اجرای دستورات مقامات نظارتی و هم تخلف از مقررات پیش‌بینی شده در پیشگیری از تشکیل پرونده‌های قضایی مؤثر است.

۴.‌ صداوسیمای جمهوری اسلامی نیز می‌تواند با ایجاد برنامه‌های آموزشی، متناسب با سن هر قشر جامعه و دعوت از کارشناسان حقوقی نسبت به برگزاری برنامه‌های آموزشی به اقشار مختلف جامعه اقدام نماید. در برنامه‌های آموزشی باید سه محور مورد توجه قرار گیرد که شامل تبیین مفهوم داده‌پیام‌های شخصی و دسته خاص آن‌ها، حقوق اشخاص موضوع داده در فرایند پردازش و وظایف مدیران و اشخاص پشتیبان شبکه‌های تبادل اطلاعات در امر پردازش و همچنین اصول قانونی حاکم بر پردازش اطلاعات می‌باشند.

 

کلیدواژه‌ها


عنوان مقاله [English]

Exceptions to the Prohibition on Processing Special Categories of Personal Data in Communication Networks and Appropriate Policy-Making: A Comparative Study of the Legal Systems of the European Union and Iran

نویسندگان [English]

  • Moslem Agaei Tog 1
  • Mahdi Naser 2
1 PhD in Public Law, Faculty of Law and Political Science, University of Tehran, Tehran, Iran.
2 PhD in Private Law, University of Judicial Sciences and Administrative Services, Tehran, Iran .
چکیده [English]

A network refers to interconnected computers that process information. The data processed in communication networks can be categorized into personal and non-personal information. Non-personal data consists of information that is publicly accessible and can be processed without formalities or restrictions. In contrast, personal data refers to information that, directly or indirectly, leads to the identification of individuals and whose processing requires certain conditions and prerequisites. Among personal data, a particular subset—referred to as ‘special categories of personal data’—is subject to stricter limitations on processing. Nevertheless, lawmakers in various jurisdictions have provided exceptions to these prohibitions based on specific interests or considerations. The central question of this study is: What are the exceptions to the prohibition on processing special categories of personal data in communication networks? To answer this question, this research adopts a document-based and comparative method, examining the legal systems of Iran and the European Union. It classifies the exceptions into two categories: involuntary (statutory) and contractual exceptions. In its conclusion, the study also offers policy recommendations to address the existing legal gaps in Iran’s legal system.

کلیدواژه‌ها [English]

  • Special Categories of Personal Data
  • Communication Networks
  • Exceptions
  • European Union law
  • IranianLaw
آقایی طوق، مسلم؛ ناصر، مهدی (1403). «محدودیت‌های اعمال قواعد حفاظت از پردازش اطلاعات در شبکه‌های ارتباطی: مطالعه‌ای تطبیقی در حقوق ایران و اتحادیه اروپا»، فصلنامه حقوق عمومی تطبیقی، دوره 1، شماره 2.
لاریجانی، مریم (1387). «نظریه لاک: رضایت یا قرارداد»، فصلنامه پژوهش‌های فلسفی-کلامی، دوره 9، شماره 4.
لطیف زاده، مهدیه؛ قبولی درافشان، سید محمدمهدی؛ محسنی، سعید (1401). «تبیین اسباب مشروعیت پردازش داده‌های شخصی از منظر حقوق اتحادیه اروپا و ایران»، فصلنامه مطالعات حقوقی.
References
Authority, (Last visited 28/02/2024), Cambridge Dictionary, https://dictionary.cambridge.org/dictionary/english/authority.
Barrett Paula, Doggett Lorna, (Last visited 08/05/2024), Shining a light on the meaning of “necessity” under GDPR Our eight point summary of the EDPB’s draft guidance, online Edition: https://www.eversheds-sutherland.com/documents/services/what-necessity-means-for-gdpr-our-eight-point-summary.pdf, 2019
Rekosh Edwin, (Last visited 22/04/2024), Who defines the public interest?, international Journal of Human rights, online edition https://sur.conectas.org/en/defines-public-interest/
ICO Information Commissioners Office, (Last Visited 10/03/2024), What is valid consent?, https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/consent/what-is-valid-consent/#top
Yasar Kinza, (Last visited 15/02/2024), Gillis Alexander , computer network, https://www.techtarget.com/searchnetworking/definition/network
Alexandria, (Last visited 15/03/2024), Decentralized Network, https://coinmarketcap.com/alexandria/glossary/decentralized-network
Bhalla Anshika, (Last visited 11/02/2024), Centralized vs. Decentralized Digital Networks: Understanding The Differences, https://www.blockchain-council.org/blockchain/centralized-vs-decentralized-digital-networks/
Lutkevich Ben,, (Last visited 12/03/2024), Definition Intranet, https://www.techtarget.com/whatis/definition/intranet
van der Sloot, Bart, (2017), ‘Do Privacy and Data Protection Rules Apply to Legal Persons and Should They? A Proposal for a Two-tiered System’, 31 Computer Law and Security Review, Volume 13, Issue 8, pp 18-34
Voigt, Paul, & von dem Bussche, Axel, (2017), The EU General Data Protection Regulation (GDPR). Springer International Publishing
Finck Michèle,Pallas Frank, (2020), They who must not be identified—distinguishing personal from non-personal data under the GDPR«,International Data Privacy Law,Volume10,Issue1,February, pp11–36
Intersoft Consulting, (Last visited 22/4/2024), General Data Protection Regulation (GDPR), https://gdpr-info.eu/art-40-gdpr/