لو رفتن اطلاعات کاربران در فضای مجازی؛ حقوق کاربران کجاست؟

تابناک - ۲۷ فروردین ۱۳۹۹

وقتی در سال ۲۰۱۸ شرکت کمبریج آنالیتیکا به علت پردازش غیر قانونی اطلاعات ۵۰ میلیون کاربر فیس بوک بسته شد و همزمان «مقررات حفاظت از داده اتحادیه اروپا» برای حمایت از اطلاعات اشخاص مقیم اتحادیه اروپا اجرایی گردید، گمان نمیرفت که ملاحظات درج شده در این قانون و به خصوص اخذ رضایت کاربران شبکه های اجتماعی در دسترسی و پردازش اطلاعاتشان توسط شرکت­های پردازشگر تا این حد در ایران محل بحث و بررسی قرار گیرد.
از ابتدای سال ۱۳۹۹ خبرهای متعددی مبنی بر افشا و بعضا فروش و استفاده از اطلاعات کاربران ایرانی در شبکه­های اجتماعی و وب سایت­های سرویس دهنده دولتی و خصوصی به گوش می‌رسد. سوالاتی که در این خصوص مطرح می‌شود این است که صرف افشا اطلاعات کاربران برای آن­ها حق طرح دعوی به طرفیت شرکت کنترلگر(شرکتی که کاربران جهت استفاده از سرویس مورد نظر، اطلاعات خود را در بستر آن ذخیره می‌کنند) ایجاد می‌کند یا باید منتظر ورود ضرر و زیان و سوء استفاده از اطلاعات کاربران بود؟ و اصولا نقض حریم خصوصی افراد در قانون ایران از کدام مجری قانونی قابل پیگیری است؟
و سوال دوم، در خصوص پردازش اطلاعات کاربران است. آیا پردازش اطلاعات کاربران بدون اخذ رضایت آنها قابل پیگیری قضایی است؟ و آیا اصولا در قانون ایران معیارهای پردازش قانونی تعریف شده هستند؟
 حریم خصوصی در «مقررات حفاظت از داده اتحادیه اروپا» دارای تعریفی عام با مصادیق تمثیلی است:
«هر نوع اطلاعات مربوط به یک شخص حقیقی شناسایی شده و یا قابل شناسایی را حریم خصوصی آن شخص میگویند.»
و پردازش نیز اینچنین تعریف گردیده: «انجام هرگونه عملیات بر این اطلاعات از جمله جمع آوری، ضبط، دسته بندی و... ».

" از ابتدای سال ۱۳۹۹ خبرهای متعددی مبنی بر افشا و بعضا فروش و استفاده از اطلاعات کاربران ایرانی در شبکه­های اجتماعی و وب سایت­های سرویس دهنده دولتی و خصوصی به گوش می‌رسد"از این تعاریف اینطور برداشت می‌شود که حتی ذخیره اطلاعات کاربران در ابتدایی ترین سطح خود، نیازمند رضایت کاربر است.
 
حریم خصوصی کجاست؟
از سوی دیگر در حقوق ایران، تعاریفی از حریم خصوصی و تبعات نقض آن و همچنین جرایمی که در ارتباط با مباحث رایانه­ای مطرح است تدوین و تصویب گردیده. از جمله­ می‌توان از اصول ۲۲و ۲۵ قانون اساسی که ریشه در مبحث فقهی «عدم تجسس» دارد نام برد که به صورت تلویحی به تعریف حریم خصوصی پرداخته است.   و یا بند ب ماده ۲۵ قانون جرایم رایانه­ای که فروش یا انتشار یا در دسترس قراردادن گذر واژه یا هر داده­ای که امکان دسترسی غیرمجاز به داده­ها یا سامانه­های رایانه­ای یا مخابراتی متعلق به دیگری بدون رضایت شخص را جرم تلقی نموده و یا، بند ۱ ماده ۲ لایحه حمایت از حریم خصوصی(لایحه­ای که تصویب نشد) که در تعریف حریم خصوصی می‌گوید:  «قلمرویی از زندگی هر شخص است که آن شخص یا با اعلان قبلی در چارچوب قانون، انتظار دارد تا دیگران بدون رضایت وی به آن وارد نشوند یا بر آن نگاه یا نظارت نکنند و یا به اطلاعات راجع به آن دسترسی نداشته یا در آن، قلمرو وی را مورد تعرض قرار ندهند.»   همچنین در لایحه جامع شفافیت در تعریف حریم خصوصی آمده: «قلمرویی از زندگی هر شخص که برابر قانون یا عرف از دسترسی دیگران مصون است.»   و یا در تعریفی دیگر از حریم خصوصی در آیین نامه اجرایی قانون انتشار و دسترسی آزاد به اطلاعات، حریم خصوصی با درج صریح اطلاعات رایانه­ای بدین صورت تعریف گردیده: «حریم خصوصی قلمرویی از زندگی شخصی فرد است که انتظار دارد دیگران بدون رضایت یا اعلام قبلی وی یا به حکم قانون یا مراجع قضایی آن را نقض نکنند؛ از قبیل حریم جسمانی، وارد شدن، نظاره‌کردن، شنود و دسترسی اطلاعات شخصی فرد از طریق رایانه، تلفن همراه، نامه، منزل مسکونی، خودرو و آن قسمت از مکان‌های اجاره شده خصوصی نظیر هتل و کشتی، همچنین آنچه که حسب قانون فعالیت حرفه‌ای خصوصی هر شخص حقیقی و حقوقی محسوب می‌شود؛ از قبیل اسناد تجاری و اختراعات و اکتشافات.»   همچنین در ماده ۷۸ قانون تجارت الکترونیک در زمینه ورود خسارت به اشخاص در اثر نقص یا ضعف سیستم اینچنین آمده: «هر گاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم موسسات خصوص و دولتی به جز در نتیجه قطع فیزیکی ارتباط الکترونیکی خسارتی به اشخاص وارد شود، موسسات مزبور مسئول جبران خسارت وارده می باشند مگر اینکه خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات بر عهده این اشخاص خواهد بود.»   با توجه به تعاریف حریم خصوصی و سایر قوانین مرتبط با مباحث رایانه­ای، اولا: حریم خصوصی، حریم اطلاعات فردی کاربر در فضای رایانه­ای شرکت کنترل­گر را نیز در بر می‌گیرد و ثانیا: با توجه به این که مسئولیت مدنی شامل تمامی انواع ضرر و زیان­های مادی و معنوی است و با اثبات تقصیر طرف خاطی که در موارد افشای اطلاعات اخیر، وفق اعلامیه مرکز" ماهر"، «وجود بانک های اطلاعات کاملا حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت» منجر به نقض حریم خصوصی افراد گردیده ( فارغ از اتفاقات و سوء استفاده­های احتمالی آتی)، قابلیت طرح شکایت از طریق مراجعه به مقررات مسئولیت مدنی قابل پیگیری قضایی است (همانگونه که در سایر کشورها نقض حریم خصوصی به هر طریق، برای کاربر امکان طرح شکایت با استناد به خسارت معنوی وارده را در قالب دعاوی فردی یا جمعی فراهم می‌کند.)   مساله قابل تأمل در اینجا این است که با توجه به عدم تمایل دستگاه قضایی ما به صدور آراء مبتنی بر ورود خسارات معنوی و استثنایی بودن صدور آراء جبران خسارات معنوی، آیا دعاوی نقض حریم خصوصی با دید ورود ضرر و زیان معنوی به کاربر مسموع خواهد بود؟ با وجود خلأ ضمانت اجراهای کیفری در زمینه نقض حریم خصوصی کاربر و عدم وجود دعاوی جمعی در ایران، آیا در حال حاضر تنها راه حمایت از حریم خصوصی در فضای اطلاعات رایانه­ای، قبول ورود ضرر و زیان معنوی نیست؟   در خصوص سوال دوم و در مبحث پردازش قانونی اطلاعات، در قلمرو اتحادیه اروپا به دلیل مجازات های سنگینی که مطابق «مقررات حفاظت از داده اتحادیه اروپا» برای متخلفان وضع میگردد، توجه به نحوه جمع آوری اطلاعات کاربران و درج صریح معیارهای پردازش قانونی، شکلی سختگیرانه به خود گرفته است تا جایی که پردازش اطلاعات باید با ابراز رضایت کاربران صورت گرفته و کاربر این حق را دارد که با حق دسترسی، اطلاعات خود را حذف نماید و چنان چه اطلاعات به صورت ناقص و اشتباه وارد شده باشند آنها را تصحیح نموده و حتی حق رجوع از اذن خود را نیز در هر مرحله از پردازش دارد. در ایران به غیر از لایحه­ی تصویب نشده حمایت از حریم خصوصی که از نظر اصطلاحات و تعاریف و پیش بینی معیارهای قانونی بودن پردازش، شباهت زیادی به قانون اتحادیه اروپا داشت، قانونی نمیتوان یافت که به صورت واضح در خصوص نحوه انجام پردازش قانونی با حفظ حقوق کاربر پرداخته باشد.   شایان ذکر است به علت حساسیت موضوع، شورای عالی فضای مجازی اقدام به تقسیم کار در زمینه پیشگیری و مقابله با حوادث سایبری نموده.

حملات و نقض های امنیتی زیر ساخت های حیاتی کشور مانند حوزه های مالی و بانکی، ثبت احوال، انرژی و حمل و نقل و ... به مرکز راهبردی افتا ریاست جمهوری سپرده شد و مقابله با حوادث و حملات در حوزه شهروندان و کسب و کارهای خصوصی شامل داده های مربوط به اپلیکیشن ها و بانک­های داده غیر دولتی به پلیس فتا سپرده شد و مسئولیت حوادث و حملات سایبری بخش­های غیر حساس دولتی نیز به عهده وزارت ارتباطات و مرکز ماهر قرار گرفت.   *وکیل پایه یک دادگستری  

منابع خبر