شفقنا رسانه- زهرا حکیمی: ممکن است فرد مشهوری نباشید اما این روزها امنیت داده دیگر دغدغهی همه است. همه ما با فعالیت در اینترنت از یک کاربری ساده با جستجو در گوگل تا تبادلات مالی روزانه و … اطلاعاتی از خود در این فضا ثبت میکنیم. وزارت ارتباطات و فناوری اطلاعات پیشنویس لایحه «حمایت از دادهها و حریم خصوصی در فضای مجازی» را روز دهم دی ماه به منظور جمعآوری نظر و نقدها بر روی سایت سازمان فناوری اطلاعات بارگذاری کرد. اما آیا این پیشنویس میتواند مطابق عنوان خود از امنیت دادهها حمایت کند؟ کامبیز نوروزی کارشناس حقوق رسانه این پیشنویس را در گفتوگو با شفقنا رسانه بررسی کرده است که در ادامه میخوانید:
+متن پیشنویس لایحه «حمایت از دادهها و حریم خصوصی در فضای مجازی»
حمایت از داده به معنی دادههایی است که در فضای مجازی منتشرشده و برای دیگران هم قابلدیدن است یا دادههای شخصی که منتشرنشده است؟
در بند ۱ از ماده ۱ این پیشنویس لایحه گفته است که «داده شخصی عبارت است از دادهای که به وسیله آن و به تنهایی یا به همراه دادههای دیگر بتوان شخص موضوع آن را شناسایی کرد». متأسفانه عبارت بسیار نارسا و مبهم است. من تصور میکنم که مفهوم نادرستی از واژه داده در اینجا بهدست آمده است. کلمه داده مترادف فارسی کلمه اطلاعات است. اگر بخواهیم به جای کلمه داده، اطلاعات را بگذاریم، این عبارت مقداری مأنوستر میشود. به این شکل که اطلاعات شخصی عبارت است از اطلاعاتی که به وسیله آن به تنهایی، یا به همراه اطلاعات دیگر بتوان شخص موضوع آن را شناسایی کرد.
اگرچه باز همچنان با جابجایی واژگانی، عبارت کمی مأنوستر میشود ولی چیزی از ابهام آن کم نمیشود. مقصود چیست؟ در اینجا چه نوع اطلاعاتی مورد نظر است؟ ضمن آنکه در اینجا کلمه شناسایی به کار رفته است. یعنی بشود که آن فرد را شناخت. من سعی میکنم پیچشهای کلامی این عبارت را باز کنم. چون خیلی بد بیانشده است.اگر بخواهیم بند ۱ را خلاصه و ساده کنم، اینگونه میشود که «اطلاعات شخصی، اطلاعاتی است که از طریق آنها بشود فردی را شناخت».
ولی درواقع در اینجا توضیح نمیدهد که مقصود چه نوع اطلاعاتی است؟ با توجه به عنوان لایحه ما باید کلمه داده یا اطلاعات را به عنوان ماده ارجاع دهیم که در عنوان ماده عبارت فضای مجازی ذکرشده است و نتیجه بگیریم مقصود از بند ۱ ماده ۱ اطلاعاتی است که در فضای مجازی منتشر میشود. اما در اینجا از نظر قانوننویسی اشکال بزرگی وارد است. کلمه داده در بخش تعاریف این قانون ذکرشده است. یعنی قرار است که فصل تعاریف، کلمهها را برای ما روشن کند ولی بند ۱ که یکی از مهمترین قسمتهای این لایحه است آنقدر مبهم و نارسا نوشتهشده است که ما برای فهم این بند ناچاریم از پیچیدهترین و دشوارترین روشهای تفسیر استفاده کنیم. از نظر قانوننویسی این شکل قانوننویسی غلط است. اگر این قانون فردا به همین شکل تصویب شود، اگر بخواهد اجرا شود از دستگاه اجرایی گرفته تا مردم همه سردرگم خواهند بود. این لایحه درباره حمایت از دادهها صحبت میکند ولی در اولین گام اصلاً نمیفهمیم داده یعنی چه! و این اشکال خیلی بزرگی است.
از نظر قانوننویسی این شکل قانوننویسی غلط است. اگر این قانون فردا به همین شکل تصویب شود، اگر بخواهد اجرا شود از دستگاه اجرایی گرفته تا مردم همه سردرگم خواهند بود
اما برای پاسخ به سؤال شما که آیا باید دادهها منتشرشده باشند تا مشمول این لایحه شوند یا خیر؟ باید بگویم از متن لایحه نمیتوانم جواب سؤال شما را بدهم و متن لایحه جواب این سؤال را نمیدهد. چون میدانیم که بخشی از اطلاعات اشخاص مثل عکس، فیلم، نوشتهها و… به شکل خصوصی در سیستمهایشان نگهداری میشود، اما در اینجا مشخص نمیشود که آیا در این لایحه مقصود اطلاعاتی است که منتشر شده است یا اطلاعات منتشر نشده هم مشمول این لایحه میشود.
به نظر میرسد در این لایحه بعضی از مفاهیم کلی هستند. مثل بحث کنترلگر که میتواند هر شخص و ارگانی را دربگیرد. ارزیابی شما از این مفهوم چیست و آیا در این لایحه میتوان فهمید کنترل گر کیست؟
کلمه کنترل گر چهبسا میتواند کلمه ترسناکی باشد. اولاً از نظر روش قانوننویسی کلمه خوبی در متن لایحه نیست. کنترل کلمهای انگلیسی است. کلمه کنترل گر هم کلمه تازهای است و من تابهحال در دایره واژگانی زبان فارسی این کلمه را نشنیده و نخواندهام. از قدیم کلمهای مشابه این یعنی کنترلچی داشتیم که کلمهای محاورهای است. به کسانی که در سالنهای سینما از افراد برای ورود به سالن بلیط میگیرند و آنها را با چراغقوه به سمت صندلیشان راهنمایی میکنند از قدیم کنترلچی میگفتند. اما کنترل گر واژهای جدید است.
در روششناسی قانوننویسی استفاده از کلمات جدید یا ابداع کلمات جدید چندان پسندیده نیست و تا نهایت امکان باید از آن پرهیز کرد. این حرفم از زاویه پاسداشت زبان فارسی نیست بلکه دلیلی کاملاً حقوقی و ماهوی دارد. کلماتی که در عرف اعم از عرف خاص یا عام زیاد استفادهشدهاند، صیقلخوردهاند و معنی آن برای متخصصان یا عامه مردم روشن است. مثلاً وقتی کلمه ناظر بیان میشود چه افراد متخصص و چه غیرمتخصص معانی روشنی از آن میفهمند. چون این کلمه صیقلخورده است و معنایش به دلیل کثرت استعمال برای همه روشن است. اگر این کلمه در یک قانون بیاید قانوننویس، مجری قانون، قاضی و مردم میفهمند که این کلمه یعنی چه یا حداقل معنی اجمالی ان را میفهمند. اما وقتی کلمات جدیدی ابداع میشود، کلمات هنوز در ذهن تخصصی یا عامه مردم معنای روشن ندارد. معلوم نیست چه معنایی از آن موردنظر است. در اینجا اختلاف نظر در تفسیر و فهم خود قانون پیش میآید. کلمه کنترل گر چیز مفهومی نیست. تعریفی هم که از آن دادهشده در قسمتهای مختلف لایحه این پیچیدگی را بیشتر میکند. در اینجاست که میگویم کنترل گر ممکن است فرد ترسناکی باشد.
در بند ۵ ماده ۱ نوشتهشده که کنترل گر عبارت است از هر شخص حقیقی یا حقوقی که براساس قرارداد یا قانون در عمل هدف و چگونگی ثبت و پردازش داده را تعیین میکند و این عبارت مبهمی است. قانون باید بسیار روشن باشد تا تکلیف همه را معلوم کند و امکان سوءاستفاده را هم از بین ببرد. در اینجا میگوید کنترل گر –ممکن است شخص حقیقی یا حقوقی باشد- کسی است که به شکل عملی نحوه ثبت و پردازش اطلاعات شخصی افراد را تعیین میکند. این عبارت میتواند حتی دربرگیرنده مداخله در حریم خصوصی اشخاص باشد. به این معنا که یک سازمان دولتی وارد اطلاعات دیگری شود.
این عبارت میتواند حتی دربرگیرنده مداخله در حریم خصوصی اشخاص باشد. به این معنا که یک سازمان دولتی وارد اطلاعات دیگری شود
مفاهیمی که در متن آورده شده، چقدر دقیق هستند و امکان تفسیر گستردهتر را از بین میبرد؟
مفاهیم دیگر هم در این لایحه مبهم و تقریباً غیرقابل درک هستند. بهعنوانمثال طبق ماده ۱ بند ۲ پردازش عبارت از «هر نوع جمعآوری، دریافت، ارسال، نگهداری، تبادل، به اشتراک گذاشتن یا هر نوع عملیات دیگر اعم از الکترونیک یا غیر الکترونیک که بر داده انجام شود و بتوان آن داده را به شخص موضوع ان مرتبط کرد». بعد در ماده ۷ میخوانیم که «پردازش دادههای شخصی در صورتی مجاز است که مطابق ماده ۲ این قانون ایجاد یا پردازششده باشند.» در ماده ۲ هم توضیح میدهد که هر کس میتواند بر دادههای شخصی خود دسترسی داشته باشد و بر هر نوع پردازش این دادهها مطابق مقررات این قانون نظارت نماید. درواقع مفهوم بند ۱ ماده ۷ این است که فردی با رضایت خود اطلاعاتش پردازش شود.
در بند ۲ این ماده آمده است که «مطابق با اهداف اعلامشده توسط کنترل گر ایجاد یا جمعآوریشده یا مطابق آن اهداف از پردازش ناشی شده باشد، مگر اینکه قانونگذار پردازش یا استفاده از آنها را برای هدف دیگری تجویز کند.» نکته مهم در قسمت دوم این بند است. درواقع مفهوم ۲ ماده ۷ این است که بدون رضایت صاحب اطلاعات ممکن است بشود اطلاعات او را پردازش کرد. یعنی به اطلاعات او دسترسی پیدا کرد و آن را جمعآوری و تحلیل کرد. این معنای بسیار مهم و خطرناکی است. در واقع بهطور غیرمستقیم مجوزی صادر میکند تا در مواردی دستگاههای خاص بدون کسب اجازه از دارنده اطلاعات وارد اطلاعاتش شوند و از آن بهرهبرداری کنند. این ماده بهطور ضمنی مجوز ورود به اطلاعات اشخاص بدون رضایت خودشان میدهد و این بسیار خطرناک است. کنترل گر شخص حقوقی یعنی یک وزارت خانه خاص یا سازمان ویژه هم میتواند باشد. این عبارت با عنوان این ماده در تضاد است و اتفاقاً ضد حمایت است و میتواند مخاطرهآمیز باشد.
در واقع بهطور غیرمستقیم مجوزی صادر میکند تا در مواردی دستگاههای خاص بدون کسب اجازه از دارنده اطلاعات وارد اطلاعاتش شوند و از آن بهرهبرداری کنند
ماده ۲۷ به ترکیب کمیسیون مرکزی حمایت از داده اشارهکرده، از نظر حقوقی این ترکیب را چه طور ارزیابی میکنید؟
در ماده ۲۷ آمده است که برای حسن اجرای این قانون و ایجاد وحدت رویه کمیسیون مرکزی حمایت از دادهها تشکیل میشود که شامل یک خبره به انتخاب رئیسجمهور، یکی از قضات دیوان عالی کشور، یکی از قضات دیوان عدالت اداری، دو نماینده مجلس، یک حقوقدان به انتخاب وزیر دادگستری و نماینده وزیر ارتباطات و فناوری اطلاعات، نماینده وزیر فرهنگ و ارشاد اسلامی، نماینده دبیر شورای عالی فضای مجازی، یکی از وکلای دادگستری به انتخاب اتحادیه سراسری کانون وکلای کشور و یکی از مدیران مسئول مطبوعات. حقیقت این است که معلوم نیست این کمیسیون میخواهد چه کار کند. بهنوعی گرتهبرداری از هیئت نظارت بر مطبوعات است ولی روشن نیست چه میکند.
معلوم نیست این کمیسیون میخواهد چه کار کند. بهنوعی گرتهبرداری از هیئت نظارت بر مطبوعات است ولی روشن نیست چه میکند
سطح کمیسیون هم تقریباً بالا است ولی میخواهد چه اتفاقی بیفتد؟ ما از عنوان این قانون اینگونه استنباط میکنیم که قرار است از اطلاعات شخصی افراد حمایت شود به این معنا که هیچکس نتواند وارد آن اطلاعات شود و این امر پیچیدهای نیست. شاید بشود با ۲ یا ۳ ماده قانون این را کاملاً تضمین کرد. به این معنا که هرکس هر اطلاعاتی که در اختیار دارد غیرقابلدسترسی است و کسی نمیتواند به آنها دسترسی داشته باشد. اعم از اطلاعات منتشرشده و اطلاعات منتشرنشده.
باید این را بگویم که اطلاعات منتشرشده در دسترس همگان است. در اینجا به نظر میرسد موضوع قانون بیشتر شامل اطلاعاتی است که منتشر نشده است. اگر کسی در کانال تلگرامی یا توییتر خود چیزی نوشته، منتشر شده است. بنابراین در دسترس همگان است. پس در عمل این قانون بیش از هر چیزی شامل اطلاعاتی میشود که منتشر نشده است. حمایت از اطلاعات شخصی افراد امر سادهای است. کافی است با یک مجموعه ضمانتهای اجرایی کیفری تکلیف آن مشخص شود. من اینگونه از این لایحه استشمام میکنم که بهطور ضمنی میخواهد شرایطی را ایجاد کند تا نهادهای خاص بتوانند در موارد مورد لزوم به اطلاعات شخصی افراد دسترسی پیدا کنند و اگر استنباط من درست باشد-که تصور میکنم درست است- کلمه حمایت از دادهها کلمه درستی برای توصیف این لایحه نیست.
حمایت از اطلاعات شخصی افراد امر سادهای است. کافی است با یک مجموعه ضمانتهای اجرایی کیفری تکلیف آن مشخص شود
در ماده ۲۵ هم ترکیب کمیسیونهای استانی حمایت از داده بیانشده، دراینباره چه نظری دارید؟ آیا ترکیب آن درست است؟
ساختار ترکیب مشابه ساختار ترکیب کمیسیون قبلی است. در اینجا سؤال پیش میآید که این تشکیلات وسیع و گسترده میخواهد چه کار کند؟ در این ماده نوشته است «به منظور رسیدگی به شکایات راجع به تخلف از مقررات این قانون، کمیسیونهای استانی حمایت از دادهها در محل استانداری تشکیل میشود». در ماده ۲۷ هم کمیسیون مرکزی را برای تجدیدنظر تأسیس کرده و گفتهشده برای رسیدگی به شکایت است. اگر دسترسی به اطلاعات شخصی افراد بهطور غیرمجاز جرم باشد، رسیدگی به جرم مطابق با قانون اساسی، اصول ۳۶ و ۳۷ فقط و فقط در صلاحیت دادگاهها است و هیچ مرجع دیگری غیر از دادگاه اجازه تعیین مجازات و تشخیص جرم ندارد. شکایتی که قرار است به این کمیسیونها شود، باید چه کار کنند؟ مشخص نیست.
بدون آنکه قصد نیتخوانی داشته باشم، به نظر من این لایحه قطعاً نیاز به بازنویسی دارد. عبارت پردازیهای این قانون بسیار قابل تفسیر است. واژگانی که در این قانون ابداعشدهاند، مبهم هستند و این در تفسیر مشکل ایجاد میکند. ساختار حقوقی این لایحه منسجم نیست و این در اجرا مشکل ایجاد میکند. ما باید به این نکته توجه کنیم که فضای مجازی ماهیت سیال و بسیار تحولی دارد. شک نکنید سال دیگر در همین فضای مجازی خیلی چیزها تغییر کرده است. جهان فضای مجازی جهانی خاص است. وقتی موضوعی آنقدر سیال و متغیر است، قانوننویسی در مورد آن بسیار دشوار است و خیلی پیچیده میشود بنابراین نیاز است تا به این ویژگیها توجه شود.
به نظر من این لایحه قطعاً نیاز به بازنویسی دارد. عبارت پردازیهای این قانون بسیار قابل تفسیر است. واژگانی که در این قانون ابداعشدهاند، مبهم هستند و این در تفسیر مشکل ایجاد میکند
البته باید صمیمانه کار وزارت ارتباطات را از این جهت تحسین کنم که رسماً این پیشنویس را منتشر کرده و به اطلاع افکار عمومی رسانده و از پنهانکاری خودداری کرده است. ما در موارد دیگری –که اتفاقاً به حوزه رسانه مربوط میشود- شاهد هستیم که بخشی از یک وزارتخانه در نهایت پنهانکاری سعی کرد لوایحی را تنظیم کند که اصلاً درست نبود. اینکه وزارت ارتباطات این لایحه را منتشر کرده است و مردم را در جریان گذاشته و آشکارا این لایحه را به نقد و بررسی گذاشته است. به اعتقاد من جای تحسین دارد. نقدهای من نافی تلاشهایی نیست که در این وزارتخانه برای سازماندهی حقوقی فضای مجازی میشود. ولی توصیهام این است که این لایحه از نظر عبارت پردازی احتیاج به بازنویسی دارد، از نظر واژگانی احتیاج به بازنگری دارد، از نظر تشکیلات و سازمانی هم آنچه در این لایحه آمده به نظر من چندان ضروری نیست. سازماندهی لایحه هم احتیاج به بازنگری دارد.
نقدهای من نافی تلاشهایی نیست که در این وزارتخانه برای سازماندهی حقوقی فضای مجازی میشود. ولی توصیهام این است که این لایحه از نظر عبارت پردازی احتیاج به بازنویسی دارد
در ماده ۲۹ به مجازات درجه ۲ تا ۶ اشاره شده است، این درجهبندیها بر چه اساسی است و از کجا آمده است؟
این سؤال شما حکایت از این دارد که نقد من درست است و عبارت پردازی در این قانون ناقص است. در قانون مجازات اسلامی بعد از اصلاحاتی که انجام شد مجازاتها درجهبندی شدهاند و از درجه یک شروع میشود که شامل حبسهای بالای ۲۵ سال و مجازاتهای سنگین است تا به مجازات سبکتر میرسد. مجازات درجه ۶ یعنی حبس از شش ماه تا دو سال و جزای نقدی از ۲ تا ۸ میلیون تومان است. در عبارت این لایحه باید مینوشتند که «جزای نقدی درجه ۶ مطابق با ماده ۱۹ قانون مجازات اسلامی». تا این شبهه پیش نیاید. معنی ماده ۲۹ این است که هرکس دادههای شخصی دیگران را بهطور غیرمجاز ایجاد، جمعآوری، پردازش یا استفاده کند به جزای نقدی ۲ تا ۸ میلیون تومان محکوم خواهد شد. مجازات بسیار سبکی است. در چنین موضوع بسیار مهمی که حمایت از اطلاعات شخصی افراد مطرح است تقریباً میتوان گفت مجازات مهمی نیست. با توجه به این که مجازاتها باید اصولاً نقش بازدارنده داشته باشند، بیشک این مجازاتِ سبک نمیتواند بازدارنده باشد. مجازات باید بهطور اصولی و منطقی در حدی سنگین باشد که اولاً با میزان اهمیت آن جرم سازگاری داشته باشد. ثانیاً افراد از آن مجازات بترسند و طرف آن نروند. در اینجا از این صحبت میکنیم که فردی بهطور غیرمجاز و غیرقانونی به اطلاعات کسی دسترسی پیدا و آنها را جمعآوری و پردازش کرده است فقط دو تا ۸ میلیون تومان جزای نقدی به او تعلق میگیرد که دادگاه اجازه تخفیف در مجازات را هم دارد. دسترسی به اطلاعات شخصی افراد جرم بسیار مهمی است.
در چنین موضوع بسیار مهمی که حمایت از اطلاعات شخصی افراد مطرح است تقریباً میتوان گفت مجازات مهمی نیست. با توجه به این که مجازاتها باید اصولاً نقش بازدارنده داشته باشند، بیشک این مجازاتِ سبک نمیتواند بازدارنده باشد
آیا باید با جرایم مربوط به فضای مجازی مانند فضای واقعی برخورد شود؟
از این نظر اشکالی ندارد. بهعنوانمثال نشر اکاذیب جرم است و مجازات زندان دارد. اگر کسی در یک کانال تلگرامی، روزنامه، سایت یا بیانیهای نشر اکاذیب کند، در هر حال نشر اکاذیب اتفاق افتاده است و مجازاتش هم همان است. اما نکته جای دیگری است. در فضای مجازی ما با یک وضعیت اجتماعی متفاوتی روبهرو هستیم. این شرایط اجتماعی خیلی هم اجازه گستردهای به سیستمهای نظارتی نمیدهد.
فضای مجازی ویژگیهایی دارد که برای سازماندهی حقوقی آن نیاز به یک مجموعه ابداعات حقوقی داریم و علاوه بر این نیازمند آن هستیم که اساساً در بعضی موارد ساختار نظم فضای مجازی را به عرفها و عادات مردم بسپاریم. چون این فضا بهشدت سیال است و در جامعه ایران هم کاربردهای مختلفی دارد و افراد زیادی هم به شکلهای مختلفی از آن استفاده میکنند. چنین چیزی را نمیشود با قوانین مرسوم و خشک موجود سازماندهی کرد، کما اینکه تابهحال هم دولت نتوانسته است. البته به نظر میرسد که در دوره جدید وزارت ارتباطات درک مناسبتری از مفهوم فضای مجازی پیدا کرده است. به همین جهت انتظار بیشتری میرود که به این واقعیتهای فضای مجازی در بحث سازماندهی حقوقی بیشتر توجه کند.
فضای مجازی ویژگیهایی دارد که برای سازماندهی حقوقی آن نیاز به یک مجموعه ابداعات حقوقی داریم و علاوه بر این نیازمند آن هستیم که اساساً در بعضی موارد ساختار نظم فضای مجازی را به عرفها و عادات مردم بسپاریم
به نظر شما این پیشنویس لایحه و قانونی شدن آن چه قدر میتواند به حمایت از کاربر فضای مجازی کمک کند؟
من این لایحه را چندان مؤثر نمیبینم. چون مسئله فضای مجازی در جامعه ما بسیار پیچیده و متفاوت است. فضای مجازی در جامعه ایران بیش از هر چیز به دلیل ضعف مفرط و شدید رسانههای کشور و بخصوص تلویزیون است که به این شکل توسعه پیداکرده است و بیشک این توسعه هم ادامه خواهد یافت. تا زمانی که سازمانهای حکومتی اعم از دولت و سایر دستگاهها به بازسازی بنیادین و تمامعیار رسانه تلویزیون، توسعه امنیت، استقلال و آزادی مطبوعات همت نکنند بیشک فضای رسانهای ملی در برابر فضای مجازی ضعیف خواهد ماند. فضای مجازی توسعه خود را ادامه میدهد و کار خود را میکند. برای سازماندهی و مدیریت فضای مجازی اول باید اصل اشکال را برطرف کرد. اصل اشکال این است که رسانههای رسمی ایران به خصوص صداوسیما به دلایل متعدد از جمله فشارهای سیاسی، غیرحرفهای بودن، عدم رعایت اصول حرفهای نقششان در افکار عمومی و میزان اعتماد مردم به آنها بهشدت کاهش پیداکرده است و مردم به سراغ جایگزینها رفتهاند. این جایگزینها فضای مجازی است. مهمتر از آن رسانههایی است که در خارج از ایران منتشر میشوند. این توسعه روزافزون طبیعتاً با کاربریهای بسیار متفاوت اجازه نمیدهد که مدیریتی بر این فضا صورت گیرد. بنابراین باید ریشه را درمان کند. این ریشه همین فضای رسانه ملی است که بهشدت ناکارآمد است، مردم به آن اعتماد ندارند و به آن مراجعه نمیکنند. بنابراین این مدل قانونگذاری مستقیم در مورد فضای مجازی تا زمانی که ریشه و علت اصلی رشد فضای مجازی در ایران وجود دارد اثرگذار نخواهد بود و کارآمدی نخواهد داشت.
اصل اشکال این است که رسانههای رسمی ایران به خصوص صداوسیما به دلایل متعدد از جمله فشارهای سیاسی، غیرحرفهای بودن، عدم رعایت اصول حرفهای نقششان در افکار عمومی و میزان اعتماد مردم به آنها بهشدت کاهش پیداکرده است و مردم به سراغ جایگزینها رفتهاند
این مدل قانونگذاری مستقیم در مورد فضای مجازی تا زمانی که ریشه و علت اصلی رشد فضای مجازی در ایران وجود دارد اثرگذار نخواهد بود و کارآمدی نخواهد داشت