مقررات حفاظت از دادهها در ایران همچنان در حال توسعه است و به طور کلی با استانداردهای بینالمللی مانند GDPR (مقررات عمومی حفاظت از دادههای اتحادیه اروپا) فاصله دارد. در ایران، چارچوبهای حقوقی مشخص و جامعی برای حفاظت از دادههای شخصی به صورت یک قانون واحد و منسجم وجود ندارد، اما تلاشهایی برای تدوین قوانین مرتبط انجام شده است. در ادامه، جزئیات وضعیت فعلی و اقدامات انجامشده را بررسی میکنیم:
وضعیت کنونی
فقدان قانون جامع حفاظت از دادهها: ایران هنوز قانون جامعی مشابه GDPR برای حفاظت از دادههای شخصی ندارد. قوانین موجود به صورت پراکنده در اسناد مختلف، مانند قانون اساسی، قانون تجارت الکترونیکی (۱۳۸۲)، و قانون جرایم رایانهای (۱۳۸۸) به مسائل حریم خصوصی و دادهها اشاره دارند، اما این قوانین به طور خاص برای تنظیم پردازش دادههای شخصی در عصر دیجیتال طراحی نشدهاند. اصل ۲۵ قانون اساسی جمهوری اسلامی ایران به حفاظت از حریم خصوصی در زمینه مکاتبات و ارتباطات اشاره دارد، اما این اصل به دادههای دیجیتال به صورت خاص نمیپردازد.
لایحههای پیشنهادی: لایحه صیانت و حفاظت از دادههای شخصی: از سال ۱۳۹۶، وزارت ارتباطات و فناوری اطلاعات با همکاری پژوهشگران، پیشنویسی برای لایحه حفاظت از دادهها و حریم خصوصی در فضای مجازی تهیه کرد. این لایحه شباهتهایی با GDPR داشت، از جمله الزام به رضایت صریح برای پردازش دادههای حساس و پردازش دادهها در شرایط خاص (مثل امنیت عمومی) بدون رضایت. با این حال، این لایحه در دولتهای مختلف به نتیجه نرسیده و هنوز به تصویب نهایی نرسیده است. در سال ۱۴۰۰، مجلس شورای اسلامی طرحی با عنوان «حمایت و حفاظت از دادهها و اطلاعات شخصی» را اعلام وصول کرد. این طرح دادههای شخصی را به عنوان اطلاعاتی تعریف میکند که یک فرد را قابل شناسایی میکنند و پردازش دادههای غیرعمومی را منوط به رضایت فرد میداند. اما این طرح نیز به دلیل ابهامات (مثل عدم تفکیک دادههای حساس از غیرحساس) و نبود اجماع، نهایی نشده است. در سال ۱۴۰۰، رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات، اعلام کرد که لایحهای با عنوان «مقررات عمومی حفاظت از داده» در مراحل پایانی تصویب در هیئت وزیران است. این لایحه یکی از پنج لایحهای بود که برای مدیریت دادهها تدوین شده بود، اما تاکنون خبری از تصویب یا اجرای آن منتشر نشده است.
قوانین موجود مرتبط: قانون تجارت الکترونیکی (۱۳۸۲): این قانون به حفاظت از دادهپیامهای شخصی در بستر تجارت الکترونیکی اشاره دارد و برخی اصول اولیه برای حفظ حریم خصوصی را مطرح میکند. قانون جرایم رایانهای (۱۳۸۸): این قانون جرایمی مانند دسترسی غیرمجاز به دادهها، نقض محرمانگی، و سرقت اطلاعات را تعریف کرده و مجازاتهایی برای آنها تعیین کرده است. دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران (۱۴۰۴): اخیراً دستورالعملی برای تنظیم نحوه جمعآوری، پردازش، و نگهداری اطلاعات کاربران در سامانهها و سکوهای فضای مجازی تدوین شده که حقی برای کاربران برای درخواست حذف دادههایشان در نظر گرفته است، اما این حق محدود است.
چالشها
عدم انسجام قانونی: قوانین موجود پراکنده و ناکافی هستند و به موضوعات مدرن مانند هوش مصنوعی، دادههای بزرگ، یا فراموشی ماشینی (حذف دادهها از مدلهای AI) نمیپردازند. نبود تعریف دقیق از مفاهیمی مثل «دادههای حساس» یا «رضایت آگاهانه» در قوانین پیشنهادی، اجرای آنها را دشوار میکند.
عدم اجرای لوایح: لوایح متعددی در سالهای اخیر مطرح شدهاند، اما به دلایل مختلف، از جمله تغییرات دولت، اختلافات سیاسی، یا پیچیدگیهای فنی، به تصویب نرسیدهاند.
نبود نهاد نظارتی مستقل: برخلاف GDPR که «هیئت حفاظت از دادههای اروپا» (EDPB) را برای نظارت ایجاد کرده، ایران نهاد مستقلی برای نظارت بر حفاظت دادهها ندارد. برخی پیشنهادات برای ایجاد کمیسیون حفاظت از دادهها مطرح شده، اما هنوز عملیاتی نشده است.
آگاهی عمومی پایین: سطح آگاهی عمومی و حتی سازمانی درباره اهمیت حفاظت از دادهها در ایران پایین است. این موضوع باعث شده که کاربران و شرکتها کمتر به رعایت اصول حریم خصوصی توجه کنند.
تهدیدات سایبری: افزایش حملات سایبری و نشت دادهها در ایران (مانند موارد گزارششده در پلتفرمهای داخلی) نشاندهنده ضعف زیرساختهای امنیتی و نبود قوانین سختگیرانه است.
مقایسه با GDPR
دامنه: GDPR برای هر سازمانی که دادههای شهروندان اتحادیه اروپا را پردازش میکند، صرفنظر از مکان آن سازمان، اعمال میشود. در ایران، قوانین پیشنهادی بیشتر به دادههای اتباع ایرانی محدود هستند و دامنه بینالمللی ندارند.
حقوق افراد: GDPR حقوق مشخصی مثل حق فراموش شدن، انتقالپذیری دادهها، و اعتراض به تصمیمگیری خودکار را تضمین میکند. لوایح ایرانی به برخی از این حقوق (مثل رضایت برای پردازش) اشاره دارند، اما به اندازه GDPR جامع نیستند.
جریمهها: GDPR جریمههای سنگین (تا ۲۰ میلیون یورو یا ۴٪ درآمد سالانه) دارد، اما در ایران، مجازاتها محدود به جرایم کیفری یا مدنی مبهم هستند.
رویکرد طراحی: GDPR بر «حفاظت از دادهها بهصورت پیشفرض و از طریق طراحی» تأکید دارد. این مفهوم در قوانین ایرانی به ندرت مطرح شده است.
تلاشهای اخیر و چشمانداز
طرحهای مجلس: طرح «حمایت و حفاظت از دادهها و اطلاعات شخصی» در سال ۱۴۰۰ اعلام وصول شد و همچنان در حال بررسی است. این طرح به ایجاد یک کمیسیون برای نظارت و تنظیم پردازش دادهها اشاره دارد.
دستورالعملهای وزارت ارتباطات: وزارت ارتباطات در سالهای اخیر دستورالعملهایی برای پلتفرمهای داخلی صادر کرده تا حریم خصوصی کاربران را تقویت کند، اما این دستورالعملها الزامآور نیستند.
فشار اجتماعی و بینالمللی: برخی کاربران و فعالان در شبکههای اجتماعی (مثل X) به نبود قوانین قوی حفاظت از دادهها انتقاد دارند و خواستار چارچوبهایی مشابه GDPR یا حتی قانون حفاظت از دادههای شخصی عربستان (PDPL) هستند. همچنین، رفع تحریم های بین المللی و مراودات تجاری با اروپا ممکن است ایران را به سمت هماهنگی با استانداردهای بینالمللی سوق دهد.
پیشنهادات و توصیهها
تدوین قانون جامع: ایران نیاز به یک قانون واحد و مدرن برای حفاظت از دادهها دارد که مفاهیمی مثل رضایت آگاهانه، حداقلسازی دادهها، و حق فراموش شدن را پوشش دهد.
ایجاد نهاد نظارتی مستقل: تشکیل یک نهاد حقوقی و نظارتی مستقل حفاظت از دادهها برای نظارت و اجرای قوانین ضروری است.
افزایش آگاهی: آموزش عمومی و سازمانی درباره اهمیت حفاظت از دادهها میتواند فرهنگ رعایت حریم خصوصی را تقویت کند.
تقویت زیرساختهای امنیتی: سرمایهگذاری در امنیت سایبری و رمزنگاری برای کاهش نقض دادهها حیاتی است.
جمعبندی
در حال حاضر، ایران فاقد یک چارچوب حقوقی جامع و اجرایی برای حفاظت از دادههای شخصی است. اگرچه لوایح و طرحهایی در این زمینه مطرح شدهاند، اما به دلیل موانع سیاسی، فنی، و نبود اجماع، این تلاشها به نتیجه نرسیدهاند. قوانین موجود پراکنده و ناکافی هستند و با پیشرفت فناوری و تهدیدات سایبری و ظهور هوش مصنوعی همگام نشدهاند. با این حال، افزایش آگاهی عمومی و فشارهای بینالمللی ممکن است در آینده به تدوین و اجرای قوانین مؤثرتر منجر شود.
اگر جزئیات بیشتری درباره بخش خاصی (مثل محتوای لوایح یا مقایسه با کشورهای دیگر) دارید، خوشحال میشوم نظرات شما را نیز بشنوم!
