وضعیت مبهم مقررات حفاظت از داده‌ها در ایران!

مقررات حفاظت از داده‌ها در ایران همچنان در حال توسعه است و به طور کلی با استانداردهای بین‌المللی مانند GDPR (مقررات عمومی حفاظت از داده‌های اتحادیه اروپا) فاصله دارد. در ایران، چارچوب‌های حقوقی مشخص و جامعی برای حفاظت از داده‌های شخصی به صورت یک قانون واحد و منسجم وجود ندارد، اما تلاش‌هایی برای تدوین قوانین مرتبط انجام شده است. در ادامه، جزئیات وضعیت فعلی و اقدامات انجام‌شده را بررسی می‌کنیم:

وضعیت کنونی

1. فقدان قانون جامع حفاظت از داده‌ها:
   ایران هنوز قانون جامعی مشابه GDPR برای حفاظت از داده‌های شخصی ندارد. قوانین موجود به صورت پراکنده در اسناد مختلف، مانند قانون اساسی، قانون تجارت الکترونیکی (۱۳۸۲)، و قانون جرایم رایانه‌ای (۱۳۸۸) به مسائل حریم خصوصی و داده‌ها اشاره دارند، اما این قوانین به طور خاص برای تنظیم پردازش داده‌های شخصی در عصر دیجیتال طراحی نشده‌اند.
   اصل ۲۵ قانون اساسی جمهوری اسلامی ایران به حفاظت از حریم خصوصی در زمینه مکاتبات و ارتباطات اشاره دارد، اما این اصل به داده‌های دیجیتال به صورت خاص نمی‌پردازد.
2. لایحه‌های پیشنهادی:
   لایحه صیانت و حفاظت از داده‌های شخصی: از سال ۱۳۹۶، وزارت ارتباطات و فناوری اطلاعات با همکاری پژوهشگران، پیش‌نویسی برای لایحه حفاظت از داده‌ها و حریم خصوصی در فضای مجازی تهیه کرد. این لایحه شباهت‌هایی با GDPR داشت، از جمله الزام به رضایت صریح برای پردازش داده‌های حساس و پردازش داده‌ها در شرایط خاص (مثل امنیت عمومی) بدون رضایت. با این حال، این لایحه در دولت‌های مختلف به نتیجه نرسیده و هنوز به تصویب نهایی نرسیده است.
   در سال ۱۴۰۰، مجلس شورای اسلامی طرحی با عنوان «حمایت و حفاظت از داده‌ها و اطلاعات شخصی» را اعلام وصول کرد. این طرح داده‌های شخصی را به عنوان اطلاعاتی تعریف می‌کند که یک فرد را قابل شناسایی می‌کنند و پردازش داده‌های غیرعمومی را منوط به رضایت فرد می‌داند. اما این طرح نیز به دلیل ابهامات (مثل عدم تفکیک داده‌های حساس از غیرحساس) و نبود اجماع، نهایی نشده است.
   در سال ۱۴۰۰، رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات، اعلام کرد که لایحه‌ای با عنوان «مقررات عمومی حفاظت از داده» در مراحل پایانی تصویب در هیئت وزیران است. این لایحه یکی از پنج لایحه‌ای بود که برای مدیریت داده‌ها تدوین شده بود، اما تاکنون خبری از تصویب یا اجرای آن منتشر نشده است.
3. قوانین موجود مرتبط:
   قانون تجارت الکترونیکی (۱۳۸۲): این قانون به حفاظت از داده‌پیام‌های شخصی در بستر تجارت الکترونیکی اشاره دارد و برخی اصول اولیه برای حفظ حریم خصوصی را مطرح می‌کند.
   قانون جرایم رایانه‌ای (۱۳۸۸): این قانون جرایمی مانند دسترسی غیرمجاز به داده‌ها، نقض محرمانگی، و سرقت اطلاعات را تعریف کرده و مجازات‌هایی برای آن‌ها تعیین کرده است.
   دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران (۱۴۰۴): اخیراً دستورالعملی برای تنظیم نحوه جمع‌آوری، پردازش، و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی تدوین شده که حقی برای کاربران برای درخواست حذف داده‌هایشان در نظر گرفته است، اما این حق محدود است.

چالش‌ها

1. عدم انسجام قانونی:
   قوانین موجود پراکنده و ناکافی هستند و به موضوعات مدرن مانند هوش مصنوعی، داده‌های بزرگ، یا فراموشی ماشینی (حذف داده‌ها از مدل‌های AI) نمی‌پردازند.
   نبود تعریف دقیق از مفاهیمی مثل «داده‌های حساس» یا «رضایت آگاهانه» در قوانین پیشنهادی، اجرای آن‌ها را دشوار می‌کند.
2. عدم اجرای لوایح:
   لوایح متعددی در سال‌های اخیر مطرح شده‌اند، اما به دلایل مختلف، از جمله تغییرات دولت، اختلافات سیاسی، یا پیچیدگی‌های فنی، به تصویب نرسیده‌اند.
3. نبود نهاد نظارتی مستقل:
   برخلاف GDPR که «هیئت حفاظت از داده‌های اروپا» (EDPB) را برای نظارت ایجاد کرده، ایران نهاد مستقلی برای نظارت بر حفاظت داده‌ها ندارد. برخی پیشنهادات برای ایجاد کمیسیون حفاظت از داده‌ها مطرح شده، اما هنوز عملیاتی نشده است.
4. آگاهی عمومی پایین:
   سطح آگاهی عمومی و حتی سازمانی درباره اهمیت حفاظت از داده‌ها در ایران پایین است. این موضوع باعث شده که کاربران و شرکت‌ها کمتر به رعایت اصول حریم خصوصی توجه کنند.
5. تهدیدات سایبری:
   افزایش حملات سایبری و نشت داده‌ها در ایران (مانند موارد گزارش‌شده در پلتفرم‌های داخلی) نشان‌دهنده ضعف زیرساخت‌های امنیتی و نبود قوانین سخت‌گیرانه است.

مقایسه با GDPR

• دامنه: GDPR برای هر سازمانی که داده‌های شهروندان اتحادیه اروپا را پردازش می‌کند، صرف‌نظر از مکان آن سازمان، اعمال می‌شود. در ایران، قوانین پیشنهادی بیشتر به داده‌های اتباع ایرانی محدود هستند و دامنه بین‌المللی ندارند.
• حقوق افراد: GDPR حقوق مشخصی مثل حق فراموش شدن، انتقال‌پذیری داده‌ها، و اعتراض به تصمیم‌گیری خودکار را تضمین می‌کند. لوایح ایرانی به برخی از این حقوق (مثل رضایت برای پردازش) اشاره دارند، اما به اندازه GDPR جامع نیستند.
• جریمه‌ها: GDPR جریمه‌های سنگین (تا ۲۰ میلیون یورو یا ۴٪ درآمد سالانه) دارد، اما در ایران، مجازات‌ها محدود به جرایم کیفری یا مدنی مبهم هستند.
• رویکرد طراحی: GDPR بر «حفاظت از داده‌ها به‌صورت پیش‌فرض و از طریق طراحی» تأکید دارد. این مفهوم در قوانین ایرانی به ندرت مطرح شده است.

تلاش‌های اخیر و چشم‌انداز

• طرح‌های مجلس: طرح «حمایت و حفاظت از داده‌ها و اطلاعات شخصی» در سال ۱۴۰۰ اعلام وصول شد و همچنان در حال بررسی است. این طرح به ایجاد یک کمیسیون برای نظارت و تنظیم پردازش داده‌ها اشاره دارد.
• دستورالعمل‌های وزارت ارتباطات: وزارت ارتباطات در سال‌های اخیر دستورالعمل‌هایی برای پلتفرم‌های داخلی صادر کرده تا حریم خصوصی کاربران را تقویت کند، اما این دستورالعمل‌ها الزام‌آور نیستند.
• فشار اجتماعی و بین‌المللی: برخی کاربران و فعالان در شبکه‌های اجتماعی (مثل X) به نبود قوانین قوی حفاظت از داده‌ها انتقاد دارند و خواستار چارچوب‌هایی مشابه GDPR یا حتی قانون حفاظت از داده‌های شخصی عربستان (PDPL) هستند. همچنین، رفع تحریم های بین المللی و مراودات تجاری با اروپا ممکن است ایران را به سمت هماهنگی با استانداردهای بین‌المللی سوق دهد.

پیشنهادات و توصیه‌ها

• تدوین قانون جامع: ایران نیاز به یک قانون واحد و مدرن برای حفاظت از داده‌ها دارد که مفاهیمی مثل رضایت آگاهانه، حداقل‌سازی داده‌ها، و حق فراموش شدن را پوشش دهد.
• ایجاد نهاد نظارتی مستقل: تشکیل یک نهاد حقوقی و نظارتی مستقل حفاظت از داده‌ها برای نظارت و اجرای قوانین ضروری است.
• افزایش آگاهی: آموزش عمومی و سازمانی درباره اهمیت حفاظت از داده‌ها می‌تواند فرهنگ رعایت حریم خصوصی را تقویت کند.
• تقویت زیرساخت‌های امنیتی: سرمایه‌گذاری در امنیت سایبری و رمزنگاری برای کاهش نقض داده‌ها حیاتی است.

جمع‌بندی

در حال حاضر، ایران فاقد یک چارچوب حقوقی جامع و اجرایی برای حفاظت از داده‌های شخصی است. اگرچه لوایح و طرح‌هایی در این زمینه مطرح شده‌اند، اما به دلیل موانع سیاسی، فنی، و نبود اجماع، این تلاش‌ها به نتیجه نرسیده‌اند. قوانین موجود پراکنده و ناکافی هستند و با پیشرفت فناوری و تهدیدات سایبری و ظهور هوش مصنوعی همگام نشده‌اند. با این حال، افزایش آگاهی عمومی و فشارهای بین‌المللی ممکن است در آینده به تدوین و اجرای قوانین مؤثرتر منجر شود.

اگر جزئیات بیشتری درباره بخش خاصی (مثل محتوای لوایح یا مقایسه با کشورهای دیگر) دارید، خوشحال میشوم نظرات شما را نیز بشنوم!