برنامه هفتم توسعه نکات مهمی به ویژه در حوزه امنیت داده ها و حریم خصوصی کاربران دارد. در این برنامه اشاره شده است که وزارت فرهنگ و ارشاد اسلامی سامانه ای را راه اندازی می کند که در آن اطلاعات کاربران در پایگاه های اطلاعاتی ثبت می شود. این موضوع در یکی از بندهای ماده 75 برنامه هفتم توسعه گنجانده شده است و در صورت تصویب می تواند مشکل حریم خصوصی در اینترنت را به شدت پیچیده کند! به نظر میرسد سیاستگذاران اینترنتی ایران علاقه زیادی به پیادهسازی مدلهای چینی و روسی در حوزه اینترنت دارند و به سمت مدلهای چینی و روسی در حوزه «حفاظت از دادهها» گرایش پیدا کردهاند.
چین و روسیه دو نمونه از کشورهایی هستند که سیاست های متفاوتی در مورد دسترسی شهروندان خود به اینترنت دارند. آنها همچنین با وضع قوانین به دنبال دسترسی به بسیاری از اطلاعات کاربران هستند. در این گزارش به بررسی سیاست های حفاظت از داده های چین و روسیه می پردازیم.
حفاظت از حریم خصوصی به سبک چینی
در سال های اخیر، چین 2 قانون مهم و چندین آیین نامه اجرایی در مورد حفاظت از داده ها تصویب کرده است. قوانین مهم این کشور برای محافظت از اطلاعات شخصی کاربران عبارتند از:
- قانون حفاظت از اطلاعات شخصی (PIPL) مصوب نوامبر 2021
- قانون امنیت داده (DSL) مصوب سپتامبر 2021
در قانون حفظ حریم خصوصی این کشور، رضایت کاربران مبنای اولیه برای جمع آوری و استفاده از داده های آنهاست. این قانون دارای مقرراتی با اثر فراسرزمینی است و هدف آن محدود کردن انتقال برون مرزی داده ها و اعمال جریمه های کلان بر اساس درآمد افراد برای رفتار غیرمجاز آنها است.
قوانین حفاظت از داده ها در چین، به ویژه قوانین مربوط به الزامات پردازش داده های شخصی و انتقال داده های فرامرزی، چالش های بزرگی را برای شرکت ها ایجاد می کند. در واقع، هنگام انجام تحقیقات در آن کشور، شرکت ها باید به تنظیم کننده یک دولت خارجی که بخشی از تجارت آنها در آن کشور است، گزارش دهند.
نکته مهم دیگری که در قوانین حفاظت از داده های چین به آن توجه شده رضایت کاربران برای پردازش و جمع آوری داده های شخصی آنهاست. در واقع، طبق قوانین این کشور، برای انجام تحقیقات و کارهای عادی مانند جمعآوری، دسترسی و تجزیه و تحلیل دادههای کارکنان شرکت، مانند فایلهای منابع انسانی، دادههای ایمیل، دادههای تلفن همراه و دادههای دستگاه الکترونیکی شرکت، باید رضایت صریح و آگاهانه موضوع دادهها را کسب کرد.
همچنین برای جمعآوری و پردازش دادههای حساس افراد مانند دادههای هویت بیومتریک، اعتقادات مذهبی، هویتهای خاص، دادههای پزشکی، حسابهای مالی یا دادههای مربوط به محل سکونت آنها باید رضایت جداگانه و صریح آنها اخذ شود. علاوه بر این، اگر شرکتی قصد دارد چنین اطلاعاتی را به اشخاص ثالث مانند مشاوران خارجی، حسابرسان یا شرکتهای خارج از چین منتقل کند، باید رضایت صریح و جداگانه موضوع دادهها را داشته باشد.
قانون حفاظت از داده های چین و GDPR
قانون حفاظت از داده های شخصی چین تلاش کرده است قوانین سختگیرانه ای مشابه مقررات عمومی حفاظت از داده های اروپا (GDPR) در مورد استفاده و جمع آوری داده های شخصی توسط شرکت ها اتخاذ کند. اما استثناهایی در این قانون به ویژه ماده 13 وجود دارد که ممکن است برای شهروندان این کشور دردسرساز باشد. آن ماده میگوید که در صورت وجود «شرایط دیگری که در قوانین و مقررات اجرایی مشخص شده است»، میتوان اطلاعات را بدون رضایت موضوع داده جمعآوری کرد. در واقع، این ماده قانونی ممکن است دست دولت چین را برای گسترش اختیارات خود در آینده باز بگذارد.
علاوه بر این، شرایط سیاسی چین و مقررات سختگیرانه سانسور سایبری آن، قانون حفاظت از داده های چین را با بسیاری از کشورهای غربی متفاوت کرده است، علیرغم ادعای این کشور مبنی بر پذیرش GDPR چین. در کشورهایی مانند ایالات متحده آمریکا و اروپا، قوانین حفاظت از داده ها بر اساس حقوق اساسی و حفاظت از حریم خصوصی کاربران است، اما قوانین چین، از جمله مقررات حفاظت از داده ها و امنیت سایبری، با منافع امنیت ملی کشور مرتبط است.
با این حال، باید دید اولین قانون جامع حریم خصوصی چین چگونه توسط رهبران این کشور تفسیر و اجرا خواهد شد. فقط گذشت زمان نشان خواهد داد که آیا این قانون می تواند مانند GDPR اروپا از نظر حفظ حریم خصوصی کاربران و شهروندان سختگیرانه باشد یا با توجه به منافع امنیت ملی این کشور، ابهاماتی مانند موارد مندرج در ماده 13 قانون چین از بروز این مشکل جلوگیری می کند.
حفاظت از اطلاعات شخصی در روسیه
در روسیه، 2 قانون اصلی حفظ حریم خصوصی داده های شهروندان را تنظیم می کند:
- قانون داده های شخصی مصوب 2006
- قانون محلی سازی داده ها، مصوب 2014
مرجع حفاظت از داده های مصرف کننده روسیه “سرویس فدرال نظارت در زمینه ارتباطات، فناوری اطلاعات و ارتباطات جمعی” یا Roskomnadzor است. در روسیه، حریم خصوصی داده ها بخشی از حقوق شهروندان برای حفظ حریم خصوصی است و به عنوان یک حقوق بشر و بخشی از قانون اساسی روسیه محافظت می شود.
با این حال، قوانین روسیه به سرعت در حال تغییر هستند و قوانین اطلاعات شخصی نیز از این قاعده مستثنی نیستند. از 27 مارس 2021، روسیه با تغییر میزان جریمه ها و تمدید قانون محدودیت نقض داده ها، حقوق افراد سوژه داده های شخصی را افزایش داده است.
در قوانین روسیه، برخی از داده های مدنی به عنوان داده های حساس شناخته می شوند و دارای مقررات خاصی هستند. براساس این قوانین، دادههای مربوط به نژاد، هویت ملی، دیدگاههای سیاسی، اعتقادات مذهبی و فلسفی، وضعیت سلامت، روابط شخصی و دادههای بیومتریک، دادههای حساس محسوب میشوند. برای استفاده تجاری از این دادهها، رضایت کتبی باید از موضوع دادهها گرفته شود، از جمله هویت موضوع پردازش دادههای حساس، هدف پردازش، انواع پردازش مجاز و مدت زمانی که رضایت شخص برای آن معتبر خواهد بود.
انزوای روسیه از اینترنت جهانی
از سال 2019، ولادیمیر پوتین طرح دیگری را برای قطع اینترنت جهانی روسیه اجرا کرده است. قانون اینترنت مستقل این کشور که در نوامبر 2022 اجرایی شد، به مقامات این کشور اجازه می دهد دسترسی به وب سایت های مختلف میلیون ها روس را محدود کنند.
از آن زمان، مقامات روسیه به طور مستمر سیاست ها و اقدامات جدیدی را برای کنترل بیشتر اینترنت، افزایش سانسور و گسترش نظارت دولتی به اجرا گذاشته اند. به عنوان مثال، در جولای 2022، پارلمان روسیه به بانک های این کشور اجازه داد تا داده های بیومتریک افراد را جمع آوری کرده و آن را به یک پایگاه داده بزرگتر اضافه کنند.
به گفته محققان فناوری، دولت روسیه دائماً در تلاش است تا کنترل بیشتری بر محتوایی که افراد می توانند به آن دسترسی داشته باشند، داشته باشد. اما ساختن یک امپراتوری نظارت کار آسانی نیست. حتی چین، محدودترین کشور جهان در فضای مجازی، سال ها طول کشید تا به وضعیت فعلی خود برسد. اگرچه روسیه قصد دارد از مدل چینی تقلید کند، اما تلاش های آن تاکنون ناموفق بوده است. نمونه ای از شکست دولت روسیه در این زمینه را می توان در مسدود شدن پیام رسان تلگرام در آن کشور نیز مشاهده کرد.