نسخه ی کوتاه تر این یادداشت در روزنامه شرق مورخ 9 خرداد 1398 منتشر گردیده است.
در قوانین ایران برای اولین بار در سال 1394 بود که یک تعریف همه جانبه در اسناد حقوقی مصوب برای حریم خصوصی ارائه شد و آن سند «آیین نامه اجرایی قانون انتشار و دسترسی آزاد به اطلاعات» بود که مقرر میدارد:
در دنیای دیجیتال یکی از ابزار های اساسی تعیین مرزهای حریم خصوصی فرد آن است که کنترل دیتاهای شخصی اش و تعین تکلیف رد -پاهایی که در دینای سایبری از خود می گذارد در دست خودش باشد. قوانین حمایت از داده های شخصی برای این تدوین می شوند که تا حد ممکن به فرد قدرت این اعمال کنترل را بدهند. در غیر این صورت هیچ فضا و عرصه ای باقی نمی ماند که فرد بتواند ادعا کند در آن تنهاست و غول های اینترنتی و الگوریتم های هوش مصنوعی او را و رفتار ها و خواسته هایش را بی وقفه مشاهده وثعقبت و ضبط نمی کنند.
اینجا تعریف دقیق از داده شخصی بسیار اهمیت دارد. از یک طرف تشکیلات و شرکتهای تجاری باید دقیقن بدانند رفتار و برخورد آنها با کدام دسته از داده هاست که برای آن بار حقوقی دارد و ایجاد مسئولیت می کند. از طرف دیگر افراد نیز نیاز دارند بدانند که آیا تمام اطلاعاتی که به نوعی مربوط به آنها می شود در دسته "داده های شخصی" قرار می گیرند یا این مفهوم تنها نوع خاصی از اطلاعات را شامل می شود.
برای مثال آیا اینکه یک خیریه لیست افرادی که به آنها کمک مالی کرده اند را به یک شرکت بازاریابی و تبلیغات بفروشد آیا میتوان گفت "داده های شخصی " آنها فروش رفته است؟ یا لیست تلفن اعضای کانون کارشناسان رسمی اگر به آژانس مسافرتی فروخته شود. آیا با داده های شخصی سرو کار داریم؟
در دنیای حقوق تعریف ها و برداشت های فلسفی و یا نظرات شخصی منبع تعریف اصطلاحات نیستند. تنها یک مرجع معتبر برای تعریف وجود دارد و آن هم قانون است. قانون یعنی مصوبات مجلس قانونگذاری. بعد از تصوب قانون در جهت اجرای آن نیز آیین نامه هایی که در جهت اجرای قانون تدوین می شوند که می توانند برای روشن شدن تعاریف به آن ها نیز رجوع کرد.
از آنجایی که مهم ترین و موفق ترین تجربه برای حمایت از "داده های شخصی" تاکنون مقررات اتحادیه اروپاست به این تجربه نگاهی می اندازیم که داده ی شخصی را اینگونه تعریف کرده:
«هر نوع اطلاعاتی که به یک شخص حقیقی شناخته شده یا قابل شناسایی»
در پیشن نویس لایحه حمایت از داده های شخصی نیز این تعریف آمده :
«داده شخصی عبارت است از داده ای که به وسیله آن به تنهایی یا به همراه دادهای دیگر بتوان شخص موضوع آن را شناسایی کرد.»
بنا براین موضوع این داده ها حتمن باید یک شخص حقیقی (انسان) باشد. مبنای حمایتی از داده های شخصی به خطر نیفتادن حریم خصوصی انسان است.پس داده ها مربوط به اسرار شرکت های خصوصی یا اسناد طبقه بندی شده ی دولتی در این دسته قرار نمی گیرند.
سئوال اینجاست که کدام اطلاعات می توانند به شناسایی یک فرد منجر شوند؟ در واقع هر چیزی که فاش شدن هویت یک فرد منجر می شود در این دسته قرار می گیرد:
- نام
- کد ملی.
- ذاطلاعات مربوط به محلی که فرد در آن قرارداد
- اطلاعاتی که هویت آن لاین یک فرد را بازگو می کند.
- تمام اطلاعات مربوط به وضعیت فیزیکی. روانی. ژنتیک. ذهنی. اقتصادی فرهنگی یا هویت اجتماعی یک فرد.
در ایران اصطلاح "داده شخصی" اولین بار در سال 84 وارد ادبیات قانونگذاری شد. آنجا که در ماده یک قانون تجارت الکترونیک آمده:
«داده پیامهای شخصی (Private Data) یعنی «داده پیام»های مربوط به یکشخص حقیقی ( موضوع «داده» Data Subject) مشخص و معین.»
در ماده 58 آن قانون وقتی درمورد حمایت از داده پیام های شخصی صحبت می شود عنوان می دارد که «ذخیره، پردازش و یا توزیع «داده پیام»های شخصی مبین ریشههایقومی یا نژادی، دیدگاههای عقیدتی، مذهبی، خصوصیات اخلاقی و «داده پیام»هایراجع به وضعیت جسمانی، روانی و یا جنسی اشخاص بدون رضایت صریح آنها به هرعنوان غیرقانونی است.»
ممکن است با در اختیار داشتن یکی از این داده ها به تنهایی نتوان هویت شخص را شناسایی کرد، اما وقتی این داده در کنار سایر اطلاعات قرارگیرند به راحتی منجر به شناسایی فرد شوند. بیگ دیتاها دقیقاَ همین کار را می کنند. دادهای شخصی مختلف از منابع مختلف را گرد هم می آورند و به نتایج مورد نظرشان می رسند.
اما در زمین بازی «داده های شخصی» با چه بازیگرانی مواجه هستیم.
1. افراد: فرد یا «موضوع داده» همان کسی است قرار است اطلاعات شخصی اش مورد حمایت قرار گیرد؛
2. کنترل گر: تشکیلات و شرکت هایی که در پی آنند که اطلاعات شخصی افراد را جمع آوری کنند، پردازش کنند و استفاده کنند؛
3. ارائه کنندگان خدمات برون سپاری: دادهای شخصی ممکن است توسط سایرین جمع اوری شوند اما برای پردازش به شرکت های دیگری سپرده شوند؛
4. مراجع دولتی که طبق قانون مسئول حمایت از داده های شخصی افراد هستند.
اولین اصل در مورد جمع آوری دادهای شخصی آن است که جمع آوری اطلاعات باید با رضایت شخص باشد. این جمع آوری فقط در صورتی مجازاست که فرد به آن رضایت بدهد. در صورتی که فرد دارای اهلیت قانونی نباشد رضایت ولی یا قیم قانونی او نیاز است. مشکل جایی است که جمع آوری کنندگان اطلاعات در فضای سایبری دقیقآ مشخص نمی کنند که چه اطلاعتی را جمع آوریمی کنند . یا این اطلاعات را به گونه ای جمع آوری می کنند که صاحب داده ها نه متوجه جمع اوری می شود و نه رضایت او اخذ می گردد.
در سایت های فارسی نوع اطلاعاتی که برای ارائه ی خدمات جمع اوری می شوند در قسمت حریم خصوصی درج می گردند. برای مقایسه می توانید محتوای این صفحات را با قسمت PRIVACY POLICY برخی از پلت فورمهای بین المللی مثل اینستاگرام یا گوگل مقایسه کنید.
مثلا با رجوع به این آدرس می توانید به این پی ببرید که گوگل در باره شما چه می داند. و به عبارتی به چه نوع اطللاعاتی از شما دسترسی دارد. https://policies.google.com/privacy?hl=en
با مطالعهی صحفه سیاست گذاری های حریم خصوصی گوگل در میابیم که آنچه این شرکت در باره شما می داند عبارت است از :
1. نام. جنس. تاریخ تولد
2. شماره تلفن همراه شخصی
3. آخرین چیزی که در موتور جستجوی گوگل جستجو کرده اید.
4. سایتی که دیدن کرده اید
5. مسافرت هایی که در چند سال گذشته رفته اید
6. تیم ورزش مورد علاقه
7. سبک موسیقی مورد علاقه
8. غذا و نوشیدنی مورد علاقه
9. کجا کار می کنید
10. کجا زندگی می کنید
11. اگر از ابزار های تبدیل صدا به نوشته ی گوگل استفاده می کنید این شرکت اطلاعات جنس صدای شما را هم دارد.
جمع اوری اطلاعات شخصی با رضایت به معنای آن است که در پلتفورمها و سایت های اینترنتی این امکان وجود داشته باشد که هر جا نیاز بود دسترسی به برخی اطلاعات را محدود کنیم. و یا در صورت جمعآوری اطلاعات شخصی، بدون رضایت فرد و از روی فریب یا تهدید یا اکراه امکان مراجعه به واحد مربوطه در آن شرکت و یا پیگیری حقوقی لازم وجود داشته باشد.
ممکن است فرد اطلاعات شخصی خود را در فضای مجازی فاش کرده باشد. اما به این معنا نیست که شرکتی بتواند این اطلاعات را برای اهداف خود جمعآوری و پردازش نمایند. هر جمعآوری و پردازش و استفاده از داده های شخصی نیاز به رضایت جدا و مستقل دارد.
نتیجه آنکه ماحصل حمایت قانونی حمایت از دادهای شخصی آن است که اگر فرد به خاطر جمع آوری، پردازش و استقاده بدون رضایت از دادهای شخصی اش متضرر گردد تشکیلات خاطی طبق قانون مکلف به جبران خسارت مادی و معنوی وارد شده به فرد گردد و متخلف نیز مجازات شود.
