زمان طلایی برای بومی‌سازی قانون GDPR

تهران-ایرناپلاس- پژوهشگر اقتصاد اطلاعات و دولت الکترونیک معتقد است اکنون زمان طلایی برای فرهنگ‌سازی و تنظیم‌گری‌های حوزه داده‌ها و اطلاعات در ایران است چون غول‌های اطلاعاتی در بخش خصوصی شکل نگرفته‌اند و بیشتر داده‌ها و اطلاعات شهروندان در اختیار دولت و دستگاه‌های دولتی است.

**GDPR قانونی برای ساماندهی و حفظ حریم خصوصی افراد

قانون GDPR  که مخفف General Data Protection Regulation است، اساساً قانونی اروپایی است که در راستای ساماندهی و حفظ حریم خصوصی افراد، در 11 فصل و 99 بند در تاریخ 25 می 2018 در محدوده اتحادیه اروپا و شرکت‌هایی که به شهروندان اروپایی خدمات می‌دهند، عملیاتی شد. این قانون مصوب در پارلمان اتحادیه اروپایی است. موضوع محوری این قانون این است که شهروندان اروپا مالک داده‌ها و اطلاعات خود هستند. به عبارت دیگر، ازنظر حقوقی داده‌های شهروندان نزد شرکت‌های اروپایی و حتی دولت‌ها فقط به خود شهروندان تعلق دارد.

بر اساس این قانون، شهروندان باید بدانند اطلاعات خود را چرا و به چه کسانی و برای چه هدفی و تا چه مدتی می‌سپارند و در صورت درخواست کاربران، شرکت مذکور باید موارد استفاده از داده‌ها و اطلاعاتشان را به کاربر اعلام کند.

از دیگر الزامات قانون GDPR این است که هر چند وقت یک بار و بر اساس بلااستفاده بودن داده‌ها، باید داده‌های جمع‌آوری شده توسط شرکت‌ها از بین برده شود.

در این قانون تصریح شده است که هرگونه استفاده از داده‌ها و اطلاعات کاربران با هر هدفی و با هر ارزش افزوده یا خدمات جانبی، صرفاً با اجازه کاربر مجاز خواهد بود.

قانون GDPR شرکت‌ها را ملزم به مراقبت کامل از اطلاعات دریافت شده از کاربران و اعلام مکانیسم حفاظت و مراقبت از اطلاعات کاربران کرده است.

از مهم‌ترین سیاست‌های مندرج در قانون GDPR تقلیل دادن دریافت داده و اطلاعات از کاربران تا جایی است که امکان دارد و حق پاک کردن و اصلاح اطلاعات را در هر زمانی در اختیار شهروندان و کاربران قرار می‌دهد. به عبارت دیگر حداقل کردن مقدار داده لازم و فقط در راستای هدف سرویس اعلام شده از کاربران، موضوعیت اصلی سیاست GDPR است و شرکت‌ها را تشویق و ملزم به پردازش منصفانه و قانونی و شفاف و در تعامل با کاربران و محدود کردن اهداف در جمع‌آوری داده‌ها و به حداقل رساندن آن می‌کند. دقت در نگهداری داده‌ها و اعلام مکانیسم امنیت داده‌ها، شرکت‌ها را ملزم به پاسخگویی در قبال جامعه و قانون کرده است.

**شرکت‌ها ملزم هستند به‌طور شفاف اعلام کنند داده‌ها کجا هستند

شرکت‌ها ملزم هستند به‌طور شفاف اعلام کنند داده‌ها کجا هستند و به چه روشی نگهداری می‌شوند و چه افرادی مسئول انجام چه فعالیت‌های پردازشی بر روی داده‌های افراد هستند و موظف خواهند بود که ظرف 72 ساعت پس از یافتن اولین نشانه‌های نقض امنیت اطلاعات، گزارش رسمی خود را به کاربر و مرجع قانونی ارائه دهند. در غیر این صورت تا سقف 20 میلیون یورو یا 4 درصد از کل گردش مالی جهانی شرکت خاطی (هرکدام که بیشتر باشد) جریمه خواهند شد.

پر واضح است قانون GDPR قانون مترقی و بر مبنای فردگرایی اطلاعاتی افراد، ساختار بسیار منسجم و سخت‌گیرانه‌ای را در پیش گرفته است و مشکلاتی که اخیراً برای دو غول فناوری اطلاعاتی دنیا یعنی گوگل و فیس‌بوک پیش آمد، تحت حکمرانی این قانون بود.

بحث محوری این یادداشت توجه به نگاه سیاستگذارانه ساختاری بر اساس تجربیات جهانی، مشخصاً در رابطه با قانون GDPR  است که جزئیاتش به قدر ظرفیت و وظیفه این یادداشت تشریح شد و البته پیش از پیشامدهای ساختارشکنانه در فضای داده‌ها و اطلاعات کشور ایران.

**زمان طلایی برای فرهنگ‌سازی و تنظیم‌گری‌های حوزه داده‌ها و اطلاعات

نگارنده بر این باور است هم اکنون به دلایل متعدد، زمان طلایی برای فرهنگ‌سازی و جا انداختن سیاست‌ها و قوانین و تنظیم‌گری‌های حوزه داده‌ها و اطلاعات در کشور است. زیرا هنوز در ایران غول‌های اطلاعاتی در بخش خصوصی شکل نگرفته‌اند و بیشتر داده‌ها و اطلاعات شهروندان در اختیار دولت و دستگاه‌های دولتی است و همچنین امکان درونی کردن این فرهنگ و اجرای قوانین این‌چنینی با دستورالعمل‌های اجرایی قابل اجراست.

دلیل دیگر این است که قوانینی مثل GDPR هزینه‌های عملیاتی بسیاری به شرکت‌های کوچک تحمیل می‌کند و احتمال توقف و عدم توانایی شرکت‌های کوچک در پشتیبانی سیاست‌های این‌چنینی همان‌طور که در تجربه اروپا هم پیش آمد، وجود دارد. پس معقول است بپذیریم هرچه زودتر تصویب و اجرا کردن چنین قوانینی، هزینه‌های آتی و مشکلات محتمل را بسیار کاهش خواهد داد.

دلیل مهم‌تر، ظرفیت‌سازی برای ورود شرکت‌های دانش‌بنیان خصوصی در موضوع ارائه سرویس احراز هویت الکترونیک به کسب و کارها و سازمان‌ها و ارائه سرویس هویت دیجیتال امن و یکتا (Uniqe Identification) UID به شهروندان خواهد بود. سرویس UID می‌تواند از ورود چند صد باره اطلاعات اضافی به مجموعه‌های مختلف اعم از خصوصی و دولتی جلوگیری و اختیار و مدیریت ارسال یا عدم ارسال هر سطحی از اطلاعات هویتی افراد را نزد خود و افراد و در اختیار خودشان قرار دهد.

به عبارت دیگر، سرویس UID با حذف فرآیندهای ورود اطلاعات و فرم‌ها و لاگین و پسورد و قرار دادن پنل مدیریت در اختیار کاربر در نقش یک محافظ غیرقابل نفوذ مطابق قانون GDPR برای افراد عمل خواهد کرد.

دلیل دیگر، زمان مهم کنونی برای جا انداختن قوانین معقول و معتدل امنیت اطلاعات و حریم خصوصی با محوریت نقش خود کاربر در مدیریت داده‌ها، امکان ظهور شرکت‌های بیمه‌گر داده‌ای و اطلاعاتی برای تضمین امنیت اطلاعات برای کاربران و تضمین کیفیت و صحت اطلاعات با مسئولیت کاربر برای دستگاه‌های دولتی و کسب و کارهای بخش خصوصی است.

بدیهی است که از دست دادن زمان طلایی شتاب رشد و همه‌گیر شدن استارت‌آپ‌های اینترنتی و همچنین دولت الکترونیک، هزینه سنگین اجرایی کردن قانون‌های مشابه GDPR در کشور را با مقاومت بسیار زیاد غول‌های بخش خصوصی اطلاعاتی و ارتباطی به همراه خواهد داشت.

حامد اکبری، پژوهشگر اقتصاد اطلاعات و دولت الکترونیک

انتهای پیام /*

ارسال دیدگاه ها

برای ارسال دیدگاه از فرم پایین صفحه استفاده کنید
فرستنده *
پست الکترونیک
کد امنیتی
ارسال یادداشت ارسال