نوع مقاله : مقاله پژوهشی
نویسندگان
1 دکترای حقوق عمومی، دانشکده حقوق و علوم سیاسی، دانشگاه تهران، تهران، ایران.
2 دکترای حقوق خصوصی دانشگاه علوم قضایی و خدمات اداری، تهران، ایران.
چکیده
تازه های تحقیق
همانطور که بیان شد، پردازش دادهپیامهای شخصی خاص در نظام حقوقی ایران به حکم ماده 58 قانون تجارت الکترونیکی دارای حکم ممنوعیت بوده و جز در صورت اخذ رضایت صریح موضوع داده امکان پردازش اطلاعات وجود ندارد. در این میان برخی استثنائات قهری و قراردادی نیز برای این حکم کلی در قوانین و مقررات مصوب یا در حال تصویب در کشور ایران قابل استخراج میباشند که در متن پژوهش به آنها اشاره شد. اما مشکل اساسی موجود در این نظام، خلأ برخی سیاستگذاریهای تقنینی و اجرایی است که میتوان به شرح ذیل نسبت به رفع آنها اقدام نمود:
۱. متأسفانه ماده 2 قانون تجارت الکترونیکی ایران که دربردارنده مفهوم دادهپیام و دادهپیام شخصی است، دارای اجمال و ابهام بوده و این مفهوم را به درستی نمیتوان از ماده 2 برداشت نمود. اثر این ابهام نیز میتواند در تفسیر ماده 58 قانون تجارت الکترونیکی که از عبارت ذخیره، پردازش و توزیع دادهپیام شخصی پرده برداشته نیز تسری یابد. بهعبارتدیگر، بند (ر) ماده 2 قانون فوقالذکر از عبارت «دادهپیام مربوط به شخص» پرده برداشته که میتواند در وهله اول این موضوع را به ذهن حواله دهد که در نظام حقوقی ایران دادهپیام شخصی دادهپیامی است که تنها بهطور مستقیم منجر به شناسایی یک فرد میگردد. درحالیکه بسیاری از دادهپیامها به نوعی میباشند که پردازش آنها بهطور غیرمستقیم نیز میتواند منجر به شناسایی اشخاص گردد و این یک خلأ تقنینی در کشور ایران است. بر این مبنا متن پیشنهادی در خصوص اصلاح بند (ر) ماده 2 قانون فوقالذکر به شرح ذیل است:
بند (ر) ماده 2: دادهپیامهای شخصی به هرگونه اطلاعاتی که پردازش آنها به صورت مستقیم و غیرمستقیم امکان شناسایی شخص موضوع داده را فراهم نموده اطلاق میگردد که میتواند از طریق معیارهای ذیل شناسایی شود:
الف. بر اساس ماهیت دادهپیام: دادهپیامهایی که ماهیتاً به اشخاص منتسب میباشند و شامل دادههای بیومتریک، شخصیتی و زیستی آنها هستند. همچنین دادههایی که در صورت ضمیمه به سایر اطلاعات قابلیت انتساب و شناسایی افراد را فراهم نمایند نیز دادهپیامهای شخصی خواهند بود.
ب. بر اساس اهداف حاصل از پردازش: دادهپیامهایی که در راستای شناخت خصیصه یا خصوصیاتی از اشخاص حقیقی مورد پردازش قرار میگیرند.
تبصره: به هرگونه عملیاتی که در جهت اقداماتی مانند جمعآوری، نگهداری، آنالیز، ذخیره، حذف، اصلاح و تغییر اطلاعات انجام میگیرد، پردازش گفته میشود.
۲. تعیین سازوکار اعطای مجوز فعالیت به شرکتهای پردازنده اطلاعات در راستای بهبود نظارت بر فعالیت آنها: با توجه به اینکه ماده 79 قانون تجارت الکترونیکی، وزارت صنعت، معدن و تجارت را مکلف به ایجاد زیرساختهای اجرای این قانون نموده است، این وزارت خانه باید مراکزی مانند مرکز توسعه تجارت الکترونیکی، سازمان تنظیم مقررات رادیویی یا نظام فنی رایانهای یا اتحادیه کسب و کارهای اینترنتی را مکلف به اعطای مجوز فعالیت به شرکتهای فعال در فرایند پردازش و نظارت بر عملکرد آنها نماید. در این راستا مرجع نظارتی میتواند ضوابطی را در جهت اعطای مجوز به شرکتهای مذکور و همچنین ارائه گزارش عملکرد پیشبینی نماید. ازجمله ضوابطی که میتوان در جهت اعطای مجوز به این شرکتها در نظر گرفت، برخورداری این شرکتها از تمکن مالی برای جبران خسارات ناشی از عملکرد است که میتواند از طریق اعطای وثیقه و تضمین مالی در هنگام اخذ مجوز فعالیت صورت پذیرد. علاوهبر آن برخورداری از تخصص در حوزه فعالیت موضوع مهم دیگری است که میتواند از طریق بررسی مدارک ارائه شده در این زمینه احراز نمود.
۳. نکته دیگر در این زمینه ضرورت تعیین ضمانت اجراهای مدنی و جبران خسارات و اعطای سازوکار تعیین و وصول این نوع جریمهها از طریق نهاد ناظر پیشبینی شده در پیشنهاد فوق است. مقررات مصوب سال 2016 اتحادیه اروپا در ماده 83 خود، امکان اعمال جریمهای معادل 20000 یورو یا چهار درصد از کل گردش مالی شرکت در سال گذشته را به متخلفین از دستورات مقامات نظارتی مصرح در مقررات این قانون پیشبینی کرده است. درحالیکه قانون تجارت الکترونیکی در ماده 71 خود، تنها نسبت به تعیین مجازات حبس کیفری برای تخلف از مقررات مواد 58 و 59 قانون تجارت الکترونیکی اکتفا نموده و ضمانت اجرای دیگری در جهت تضمین امنیت پردازش اطلاعات ندارد. این در حالی است که میتوان به پیشبینی جریمههای نقدی هم در محدوده اجرای دستورات مقامات نظارتی و هم تخلف از مقررات پیشبینی شده در پیشگیری از تشکیل پروندههای قضایی مؤثر است.
۴. صداوسیمای جمهوری اسلامی نیز میتواند با ایجاد برنامههای آموزشی، متناسب با سن هر قشر جامعه و دعوت از کارشناسان حقوقی نسبت به برگزاری برنامههای آموزشی به اقشار مختلف جامعه اقدام نماید. در برنامههای آموزشی باید سه محور مورد توجه قرار گیرد که شامل تبیین مفهوم دادهپیامهای شخصی و دسته خاص آنها، حقوق اشخاص موضوع داده در فرایند پردازش و وظایف مدیران و اشخاص پشتیبان شبکههای تبادل اطلاعات در امر پردازش و همچنین اصول قانونی حاکم بر پردازش اطلاعات میباشند.
کلیدواژهها
عنوان مقاله [English]
نویسندگان [English]
A network refers to interconnected computers that process information. The data processed in communication networks can be categorized into personal and non-personal information. Non-personal data consists of information that is publicly accessible and can be processed without formalities or restrictions. In contrast, personal data refers to information that, directly or indirectly, leads to the identification of individuals and whose processing requires certain conditions and prerequisites. Among personal data, a particular subset—referred to as ‘special categories of personal data’—is subject to stricter limitations on processing. Nevertheless, lawmakers in various jurisdictions have provided exceptions to these prohibitions based on specific interests or considerations. The central question of this study is: What are the exceptions to the prohibition on processing special categories of personal data in communication networks? To answer this question, this research adopts a document-based and comparative method, examining the legal systems of Iran and the European Union. It classifies the exceptions into two categories: involuntary (statutory) and contractual exceptions. In its conclusion, the study also offers policy recommendations to address the existing legal gaps in Iran’s legal system.
کلیدواژهها [English]