Subscribe to حقوق فنآوری اطلاعاتخوراک مطالبSubscribe to حقوق فنآوری اطلاعاتخوراک نظرات

شما در حال حاضر در > صفحه اول / مالکیت معنوی, مقالات / اصول حاکم بر حمایت از داده

اصول حاکم بر حمایت از داده

*************

آذر ۱۹, ۱۳۸۸ توسط : admin   رسته : مالکیت معنوی, مقالات

ارسال نظر

چکیده
Data-protection-ilawمراد از اصول حاکم بر حمایت از داده، آموزه‌های کلی حقوقی است که راهنمای قانونگذار در تدوین قوانین و قضات در رسیدگی‌های قضایی می‌باشد. این اصول با توجه به مراحل مختلف انجام عملیات بر روی داده‌های شخصی قابل تقسیم‌بندی و بررسی می‌باشند. تحلیل این اصول می‌تواند ما را در تهیه قوانین مناسب و جامع یاری نموده و در مقام رسیدگی قضایی، در موارد اجمال یا ابهام یا سکوت قوانین رهاننده دادرس از سرگردانی باشد.
کلمات کلیدی: حریم خصوصی، حمایت از داده، اصل، اصول حاکم بر حمایت از داده.

۱- مقدمه
مراد از اصول حاکم بر حمایت از داده یا حریم خصوصی اطلاعاتی[۱] (INFORMATION PRIVACY) قواعد کلی است که حاکم بر موضوع حمایت از داده بوده و می‌توان با یاری جستن از آنها حتی در مواردی که قانونگذار حکم صریح و خاصی ندارد در تبیین و تعیین فروع بحث و یافتن راه‌حل‌‌های مسائل و قضایای جزئی به راه‌حل قضیه دست یافت. لذا باید گفت که این اصول دارای کارکردی دوگانه می‌باشند: ازیکسو مبین رهیافت و رویکرد مورد اتخاذ قانون‌گذاران مختلف بوده و رعایت یا عدم رعایت آنها در تدوین قوانین و مقررات مربوط، نشانگر جهت‌گیری کلی حاکم بر تقنین است و از سوی دیگر در مقام تفسیر مواد قانون در موارد ابهام یا اجمال یا تعارض این مواد با یکدیگر راهنمای حقوقدانان و محاکم در جهت یافتن راه حل نهایی هر قضیه می‌باشد.
ذیلاً اهم  اصول حاکم بر حمایت از داده را در پنج بند تقسیم‌بندی نموده و اشاره‌ای مختصر به مفهوم هریک خواهیم داشت. لازم به یادآوری است که در تدوین این اصول نظام حقوقی خاصی مدنظر نبوده است بلکه سعی شده تا با استقراء در نظام‌های حقوقی مختلف و اسناد بین‌المللی معتبر اهم این اصول استخراج شده و با یک دسته‌بندی جدید عرضه شوند. لذا علیرغم آنکه اغلب اصول مزبور در نظام‌های مختلف حقوقی مورد پذیرش واقع شده اند مع‌هذا احتمال فقدان یک یا برخی از آنها در هریک از نظام‌های حقوقی وجود دارد . علت تقسیم این اصول ذیل پنج عنوان آنست که مراحل چهارگانه تحصیل، نگهداری، بکارگیری و انتقال یا امحاء داده‌ها چهار مرحله اصلی قابل تصور در طول حیات داده‌ها می‌باشند که هریک اصول خاص خود را دارند و در کنار این چهار دسته، اصولی نیز وجود دارند که حاکم بر کل پروسه، بوده و اختصاص به یک فاز ندارند که آنها را تحت عنوان سایر اصول در عرض چهار دسته پیش‌گفته بررسی خواهیم نمود. لذا همانگونه که ملاحظه می‌شود این اصول به پنج دسته به شرح ذیل قابل انقسامند.
• اصول مربوط به تحصیل داده‌ها
• اصول مربوط به نگهداری داده‌ها
• اصول مربوط به بکارگیری داده‌ها
• اصول مربوط به امحاء و انتقال داده‌ها
• سایر اصول
۲- اصول مربوط به تحصیل داده‌ها:
ویژگی این دسته از اصول آنست که علی‌الاصول ناظر بر مرحله گردآوری و تحصیل داده‌ها می‌باشند. این اصول تحت چهار عنوان به شرح ذیل قابل بررسی می‌باشند:
۲-۱- اصل تحصیل قانونی و منصفانه (Fair and Lawfull Collection):
این اصل ناظر بر روش و ابزار مورد استفاده در تحصیل داده‌هاست. مطابق این اصل تحصیل داده‌های شخصی مربوط به دیگری می‌باید از طریق روش و ابزار قانونی و مشروع صورت گیرد. اگر تعبیر دقیق‌تری از این اصل مدنظر باشد می‌توان گفت که مطابق این اصل توسل به ابزار یا روش غیرقانونی و غیرمنصفانه برای گردآوری داده‌ها ممنوع است. لذا تحصیل این گونه داده‌ها در درجه اول با رضایت شخص سوژه و در صورت فقدان چنین رضایتی، تنها بنا بر حکم صریح قانونگذار آنهم در موارد خاص و استثنایی مصرح مجاز می‌باشد. در نتیجه تحصیل داده‌ها بصورت سری و محرمانه علی‌الاصول ممنوع است (اصل اطلاع). البته پر واضح است که این اصل نیز همچون همه اصول مطلق و بدون استثناء باقی نمانده  و در موارد خاصی با اجازه خاص قانونگذار و در حدود چنین اجازه‌ای می‌توان از آن دست شست (که از آن جمله می‌توان به موارد امنیتی و حفظ مصالح حیاتی جامعه اشاره کرد).
۲-۲- اصل تحصیل مضیق و مرتبط (Collection for a proper purpose)
اصل تحصیل قانونی و منصفانه ناظر بر ابزار و روش مورد استفاده در تحصیل داده‌ها بود. لیکن این اصل ناظر بر نوع و میزان داده‌ها گردآوری شده می‌باشد. بموجب این اصل اولاً تحصیل داده‌ها تنها برای هدف قانونی و مشروع مجاز است (یا لااقل می‌توان گفت تحصیل داده‌ها برای هدف غیر قانونی یا نامشروع ممنوع است). ثانیاً نوع داده‌های گردآوری شده باید با هدف اولیه تحصیل داده‌ها منطبق باشد ثالثاً گردآوری داده‌ها باید تنها به میزان مورد نیاز برای هدف اولیه و اعلام شده صورت گیرد و گردآوری داده‌های اضافی ممنوع است. بر این اساس به عنوان مثال مؤسسه‌ای که در زمینه نرم‌افزارهای کامپیوتری فعالیت می‌کند و برای اطلاع از سلایق و خصوصیات مشتریان خود با جلب رضایت آنها  اقدام به گردآوری داده‌هایشان می‌نماید نمی‌تواند انتظار داشته باشد که گردآوری داده‌های مربوط به بیماری‌های مسری مشتریانش نیز بموجب رضایت اخذ شده از مشتریان مشروع تلقی شود.
۲-۳- اصل انتخاب(Opt Principle)
اصل انتخاب بدان معناست که مؤسسه یا شخصی که قصد گردآوری داده‌ها در خصوص شخص سوژه را دارد پیش از هرچیز می‌باید این امکان را برای کاربر فراهم آورد که صریحاً نظر خود را مبنی بر اینکه آیا با گردآوری داده‌های شخصی خود موافقت دارد یا خیر؟ اعلام نماید. این عمل از طریق یک روش انتخاب صورت می‌گیرد که ممکن است  مبتنی بر روش سلبی  (Opt-out)بوده یا از طریق روش ایجابی(Opt-in) صورت گیرد.
در روش سلبی کاربر در بدو ورود می‌تواند نظرش را مبنی بر مخالفت با تحصیل داده‌های شخصی خود، اعلام داشته و از این طریق از گردآوری داده‌ها جلوگیری کند و در صورتی که مخالفت خود را اعلام ننماید (سکوت کند) این امر بمنزله اعلام موافقت تلقی شده و تحصیل داده‌ها مجاز تلقی خواهد شد.  برعکس روش فوق در روش ایجابی که از حیث دلالت قطعی بر اراده کاربر از  اطمینان بیشتری برخوردار است، در بدو ورود کاربر به سایت از او خواسته می‌شود که موافقت خود را با گردآوری داده‌های خود (که ممکن است تمام یا بخشی از ما به ازای دریافت خدمات سایت  باشد) اعلام دارد. در چنین فرضی سکوت کاربر (عدم اعلام موافقت) بمنزله مخالفت تلقی شده و تحصیل داده‌ها ممنوع خواهد بود[۴].
نکته مهم در خصوص اصل انتخاب رعایت بموقع و صحیح تکلیف دارنده سایت دائر بر اعلام حق انتخاب کاربر به وی می‌باشد. از این جهت، ضروری است که اعمال حق انتخاب توسط کاربر پیش از هرگونه گردآوری داده‌ها صورت پذیرفته باشد و لذا ارائه این گزینه‌ها (موافقت یا مخالفت) در اثنای استفاده کاربر از سایت (که ممکن است پیش از آن بخشی از داده‌های او تحصیل شده باشد) نمی‌تواند تضمین کننده رعایت این اصل بوده و مآلاً داده‌های اخذ شده پیش از اعلان رضایت کاربر (و به طریق اولی پس از اعلام مخالفت او) تحصیل شده از طریق غیر مجاز تلقی می‌شوند. همچنین اعلام این گزینه‌ها از سوی سایت به کاربر باید به گونه‌ای باشد که بتوان یقین حاصل نمود که یک کاربر معمولی، در شرایط معقول، قطعاً با آن مواجه شده و متوجه آن خواهد شد و لذا ارائه آنها به نحوی که کاربر ناگزیر از دیدن آنها باشد (مثلاً مجوز ادامه فعالیت کاربر باشد) تضمین‌کننده حسن اجرای این اصل است. البته یکی از مشکلات موجود در مسیر رعایت این اصل آن است که کاربران همیشه از مجرای ورودی سایت وارد آن نمی‌شوند و ممکن است که کاربری از طریق پیوندی(LINK)میان یک صفحه از سایت (WEBPAGE) با صفحه‌ای از سایت دیگر اقدام به ورود به صفحات میانی سایت نماید که در این صورت مشکل اعلام گزینه‌ها مسأله‌ای بغرنج می‌شود.
۲-۴- اصل اطلاع(NOTICE PRINCIPLE)  :
همانگونه که پیشتر دیدیم اصل تحصیل قانونی و منصفانه اقتضای آن دارد که گردآوری داده‌ها از طریق روش‌ها و ابزارهای غیرقانونی و نامشروع ممنوع باشد. همچنین گفته شد که بر این مبنا گردآوری داده‌ها بصورت سری و محرمانه ممنوع می‌باشد. از این رو می‌توان اصل اطلاع را از توابع و فروع اصل تحصیل قانونی و منصفانه تلقی نمود. لیکن دلیل بررسی مستقل این اصل در اینجا آنست که:
اولاً: هرچند این اصل از فروع اصل پیش گفته محسوب می‌شود لیکن مدلول اصل تحصیل قانونی و منصفانه به خودی خود دلالت صریحی لزوم اطلاع‌رسانی و ابلاغ مسأله گردآوری داده‌ها نداشته و بدون تصریح به اصل اطلاع ممکن است این شبهه ایجاد گردد که مراد از اصل تحصیل قانونی و منصفانه تنها  فقدان ممنوعیت قانونی در مرحله بدست آوردن داده‌ها است و مآلاً نسبت به اطلاع‌رسانی به سوژه که امری است علیحده، تکلیفی وجود ندارد.
ثانیاً: هرچند اصل اطلاع به دلیل تقدم تحصیل داده‌ها بر  پردازش داده‌ها در زمره اصول حاکم بر تحصیل داده‌ها برشمرده شده است لیکن واقعیت آن است که این اصل علاوه بر اینکه در مرحله تحصیل داده‌ها لازم الرعایه می‌باشد بعضاً در مرحله پردازش داده‌ها نیز حکومت دارد (بویژه در موارد اصلاح یا تغییر دادن داده‌ها) و ذکر این اصل در زمره اصول حاکم بر تحصیل داده‌ها تنها به این دلیل است که این مرحله منطقاً مقدم بر پردازش داده‌هاست و برای پرهیز از تکرار مکررات هردو بحث ذیل یک عنوان بررسی می‌شود. لذا اصل تحصیل قانونی و منصفانه که صرفاً ناظر بر مرحله اول است حتی اگر دلالت ضمنی بر لزوم اطلاع‌رسانی در مرحله تحصیل داده‌ها داشته باشد شامل لزوم اطلاع‌رسانی در مرحله پردازش داده‌ها نمی‌شود. در نتیجه بررسی مستقل این دو اصل توجیه پذیر است.
علاوه بر اینکه اصل اطلاع به معنی لزوم اعلام تحصیل داده می‌باشد، اصل مزبور همچنین به مفهوم لزوم اعلام رویه مورد عمل یک سایت در خصوص نحوه حمایت از حریم خصوصی کاربران (PRIVACY  POLICY)آنهم در بدو ورود کاربر به سایت نیز می‌باشد[۴]. از سوی دیگر بر مبنای این اصل اعلام هویت مؤسسه یا شخصی که اطلاعات را  گردآوری کرده و هویت پردازشگر داده‌ها، دلیل گردآوری و پردازش داده‌ها، آثار خودداری از ارائه یا باز پس‌گیری داده‌ها و حقوق سوژه در پیگرد و تعقیب مؤسسه، به سوژه ضروری است[۵].
با توضیحات فوق می‌توان گفت که مفهوم اصل اطلاع آنست که گردآوری و پردازش  داده‌های شخصی (حداقل در خصوص پردازش‌های تغییر دهنده داده) منوط به اعلام مراتب به شخص سوژه می‌باشد مگر در مواردی که قانون بنا به پاره‌ای مصالح استثنایی و مصرح (همچون مسائل امنیتی) خلاف آن را مقرر دارد[۷].
لازم به ذکر است که برخی، دو اصل تحصیل قانونی و منصفانه و اطلاع را تحت عنوان اصل محدودیت تحصیل داده (Data Collection Limitation) بررسی نموده‌اند[۶].
۳- اصول مربوط به نگهداری داده‌ها
در این دسته اصولی جای می‌گیرند که بیش از هرچیز ناظر بر مرحله نگهداری داده‌ها توسط پردازشگر می‌باشند. این اصول در چهار بند به شرح ذیل قابل بررسی می‌باشند:
۳-۱- اصل امنیت  (Security Principle)
اصل امنیت بدان معناست که کسی که داده‌ها را تحصیل نموده یا در اختیار دارد می‌باید تدابیر امنیتی لازم برای جلوگیری از دسترسی یا پردازش غیر مجاز داده‌ها توسط دیگران بکار گیرد[۳] و عدم بکار گیری چنین تدابیری موجب مسؤولیت اوست.این اصل بویژه ناظر بر دارندگان مؤسسات خدمات اینترنتی نظیرISP ها می‌باشد.البته مسؤولیت این قبیل اشخاص منافاتی با مسؤولیت شخصی که بصورت غیر مجاز اقدام به ورود یا تحصیل یا پردازش و یا انتشار داده‌های مزبور نموده است ندارد و ممکن است سوژه بموجب این اصل علیه مدیر یک سایت و همزمان بموجب اصل ممنوعیت پردازش غیرمجاز علیه شخص خاطی اقامه دعوا نماید.
از آنجا که نگهداری داده‌ها در موارد غیر ضروری و برای مدت طولانی خود بالقوه خطر دسترسی و پردازش غیرمجاز را افزایش می‌دهد و امحاء داده‌ها در چنین مواردی بهترین راه تضمین امنیت داده است لذا از جمله آثار اصل امنیت، اصل امحاء است[۸]که بزودی بدان خواهیم پرداخت.
۳-۲-  اصل شفافیت (Transparency Principle)
همانگونه که در جامعه واقعی جرم و تخلف در خفا بیش از علن رخ می‌دهد و علنی شدن فعالیت‌ها در کاهش جرائم مؤثر است، در فضای مجازی نیز علنی کردن فعالیت‌ها می‌تواند به کاهش تخلفات کمک کند. یکی از بهترین روش‌های کنترل در ایفای وظایفی که شخص یا مؤسسه گردآوردنده یا پردازش‌کننده داده‌ها برعهده دارد  الزام ایشان به شفاف‌سازی و عرضه اطلاعات مربوط به فعالیت‌هایشان است. در صورتی که چنین شخص یا مؤسسه‌ای ملزم باشد که اطلاعات مربوط به داده‌های گردآوری و پردازش شده را بصورت کامل و دائم در دسترس شخص سوژه یا مقام‌های ناظر (نظیر کمیسونر یا کنترل‌گر) قرار دهد همواره خواهد کوشید که از تعدی به حقوق سوژه خودداری نماید.
البته اعمال این اصل نباید به سایر اصول حاکم بر پردازش داده‌ها بویژه اصل امنیت خدشه‌ای وارد کند و عرضه اطلاعات مربوط نباید به گونه‌ای باشد که موجبات وقوف سایرین را به محتوای پایگاه‌های داده فراهم آورد.
بر اساس این اصل مؤسسه مورد بحث باید اولاً در صورت تقاضا (on request)، امکان دسترسی اشخاص به محتوا، نوع، هدف گردآوری و سایر اطلاعات مربوط به داده‌های شخصی ایشان را فراهم آورده؛  ثانیاً باید رویه خاصی برای حمایت از حریم خصوصی اطلاعاتی اشخاص (Privacy Policy) داشته و آن را بنحو شفاف در دسترس کاربران قرار دهد[۹و۱۰].  در زمینه داده‌های شخصی حساس (sensitive personal data) مؤسسه باید اطلاعات مشابه را به مقام ناظر نیز ارائه کند.
۳-۳- اصل دسترسی (Access Principle)
بموجب این اصل که در واقع خود از آثار اصل شفافیت است، مؤسسه دارنده  داده‌ها می‌باید در صورت درخواست کاربری که داده‌های او تحصیل یا پردازش می‌شود (سوژه) امکان دستیابی او را به اطلاعات مربوط به نوع، ماهیت و روش گردآوری و احیاناً کیفیت داده‌های مزبور فراهم آورد. در این راستا روش و هزینه اعمال چنین حقی از جانب سوژه نباید به گونه‌ای باشد که عملاً آن را ناممکن یا نامعقول جلوه دهد. همچنین سوژه علاوه بر حق دسترسی به این اطلاعات حق کپی‌برداری و همچنین اطلاع از هویت مؤسسات و اشخاصی که داده‌ها در اختیار ایشان قرار گرفته است را دارد[۱۲و۱۳].
مع‌الوصف اعمال این اصل در موارد ذیل ممکن است با محدودیت‌ها و استثناهایی مواجه شود:
 وقتی که دسترسی موجب ایجاد ناامنی یا خطر برای سلامتی یا حیات دیگری باشد؛
 وقتی که دسترسی موجب ایجاد خطر یا تهدید جدی برای حریم خصوصی سایرین باشد؛
 وقتی که درخواست دسترسی  با توجه به اوضاع و احوال فاقد توجیه منطقی بوده و صرفاً به منظور آزار و اخلال باشد؛
 وقتی که داده‌ها مربوط به دعوای جاری میان سوژه و مؤسسه نزد مراجع قانونی بوده و بموجب مقررات حاکم بر مرجع رسیدگی دسترسی بدانها امکانپذیر نباشد؛
وقتی که منع دسترسی بموجب حکم قانون باشد؛
وقتی که منع دسترسی بموجب حکم مقام صلاحیتدار (قضایی- امنیتی) باشد؛
وقتی که دسترسی موجب اخلال در تعقیب و کشف یک جرم مهم باشد[۹و۱۴]؛
۳-۴- اصل صحت  (Accuracy of Information)
عدم صحت داده‌ها همواره خطری بالقوه برای حریم خصوصی اشخاص محسوب می‌شود. دلیل عدم صحت داده‌ها ممکن است اشتباه یا قصور در مرحله گردآوری داده‌ها یا ذخیره داده‌ها یا پردازش داده‌ها باشد و یا کامل نبودن داده‌های گردآوری شده موجب عدم انطباق آنها با واقع باشد، یا اینکه داده‌های مورد بحث در مراحل فوق بنو صحیح گردآوری و ذخیره و پردازش شده لیکن بعدها به دلیل تغییر در مختصات سوژه، عدم انطباق داده‌ها با واقع مدلل گردد (اصطلاحاً روزآمد نباشند) و نیاز به اصلاح داشته باشند[۱۵].
در هرحال اصل صحت داده‌ها که اصلی کیفی بوده و ناظر بر محتوای داده‌ها است اقتضای آن دارد که مؤسسه یا شخصی که به گردآوری و پردازش داده‌ها می‌پردازد در تمام مراحل، نه تنها داده‌های صحیح گردآوری پردازش و منتقل نماید بلکه ترتیبات و تدابیر مقتضی برای حصول اطمینان از صحیح بودن، کامل بودن و روزآمد بودن داده‌ها نیز بکار گیرد. از نتایج اصل صحت داده‌ها آنست که در صورتی که شخص سوژه تقاضای اصلاح داده‌ها برای منطبق شدن آنها با واقع را نماید شخص یا مؤسسه مورد بحث مکلف است ضمن بررسی وضعیت داده‌ها و ادعای سوژه، در صورتی که ادعای سوژه مقرون به صحت باشد نسبت به اصلاح داده‌ها اقدام نماید و الا مسؤول خواهد بود.

۴-  اصول مربوط به بکار گیری داده‌ها
این اصول علی‌القاعده ناظر بر چگونگی بکارگیری داده‌ها و بهره‌یرداری از آنها می‌باشند و در دو بند به شرح ذیل قابل بررسی می‌باشند:

۴-۱- اصل پردازش مرتبط (proper purpose proccess)
اصل ممنوعیت پردازش داده‌های شخصی  مقتضی است که گردآورنده و پردازشگر تنها اجازه پردازش داده‌ها  را در حدود مورد توافق داشته یا آنکه قانونگذار چنین اجاز‌ه‌‌ای را بوی داده باشد و از پردازش آنها برای اهداف غیرمرتبط و ثانوی (secondary purpose)خودداری کند. لذا اولاً چنین شخصی باید از پردازش داده‌ها در مواردی غیر از دو فرض فوق خودداری نماید ثانیاًدر صورت تردید در روا بودن یا نبودن پردازش اصل مجاز نبودن آنست مگر اینکه صریحاً مجوزی برای آن وجود داشته باشد. عدم رعایت هریک از موارد فوق می‌تواند برای پردازشگر مسؤولیت ببار آورد.
با این همه در مواردی که هدف ثانوی از لوازم و فروع منطقی و غیرقابل اجتناب هدف اولیه باشد یا آنکه سوژه منطقا انتظار چنین پردازشی را داشته باشد، بجز در خصوص داده‌های شخصی حساس، چنین پردازشی مجاز است. در هر حال در خصوص اطلاعات مربوط به سلامتی و بطور کلی داده‌های شخصی حساس مقررات مفصلی وجود دارد که جملگی از فروع این بحث می‌باشند و بررسی آنها در این مختصر نمی‌گنجد و برای مطالعه آنها باید به منابع مفصل‌تر مراجعه نمود[۱۶].
۴-۲- اصل ممنوعیت افشاء  (Disclosure Restriction Principle)
گردآوری و پردازش همانگونه که پیشتر اشاره شد محدود به هدفی است که تفسیر موسع آن در هرحال ممنوع بوده و تسری دادن آن به موارد مشابه تجاوز به حریم خصوصی اطلاعاتی محسوب می‌شود. خواه سوژه خود داده‌های شخصی را در اختیار پردازشگر قرار داده باشد یا آنکه پردازشگر از سایر طرق قانونی و به طریق اولی غیر قانونی آنها را به دست آورده باشد افشاء داده‌ها به اشخاص ثالث و بمنظور نیل به یک هدف ثانوی، امری است که علی‌الاصول در چارچوب اجازه اولیه صادره از سوی سوژه یا قانونگذار نمی‌گنجد و لذا ممنوع است و این اصل در تمامی مراحل تحصیل پردازش و انتقال داده‌ها لازم‌الرعایه می‌باشد.
با اینحال در موارد ذیل افشاء داده‌ها به اشخاص ثالث و برای هدف ثانوی مجاز است:
 وقتی که هدف ثانوی ارتباط تامی با هدف اولیه گردآوری داده‌ها داشته و سوژه نیز منطقاً انتظار افشاء داده‌ها برای چنین منظوری را داشته باشد، مگر درخصوص داده‌های شخصی حساس که این امر در هرحال ممنوع است؛
 وقتی شخص سوژه رضایت دهد؛
 وقتی مؤسسه یا شخص دارنده داده‌ها بنحو معقولی اعتقاد دارد که افشاء داده‌ها برای صیانت از سلامتی یا حیات سوژه و یا امنیت و سلامت عمومی ضرورت دارد؛
 وقتی که افشاء داده‌ها برای تحقیقات پزشکی ضروری باشد (با رعایت شرایط و قیود خاص)؛
 وقتی که افشاء داده‌ها برای جلوگیری از وقوع یک جرم مهم ضروری باشد؛
 وقتی که افشاء داده‌ها بموجب حکم قانون ضروری باشد؛
 وقتی که افشاء داده‌ها بنا به حکم مقام صلاحیتدار (قضایی- امنیتی) ضرورت داشته باشد؛
در خصوص داده‌های شخصی حساس این استثناً تابع مقررات خاص و شدیدتری است که بررسی همه آنها از حوصله این مقال بیرون است[۱۶].
لازم به ذکر است که افشاء داده‌ها با انتقال داده‌ها تفاوت ماهوی دارد و هر چند هر دو عمل علی‌الاصول ممنوع‌اند لیکن افشاء داده‌ها بمعنی فراهم نمودن وضعیتی است که شخص ثالثی بالقوه یا بالفعل امکان وقوف بر آنها را داشته باشد لیکن مراد از انتقال داده‌ها آن است که داده‌ها در اختیار شخص دیگری قرار داده شود و او خود امکان پردازش یا افشاء یا انتقال داده‌ها را بیابد.
۵- اصول مربوط به امحاء و انتقال داده‌ها
پس از گردآوری، نگهداری، و استفاده از داده‌ها نوبت به انتقال و امحاء داده‌ها می‌رسد. ذیلاً اصول حاکم بر این مرحله را در دو بند مورد بررسی قرار می‌دهیم:
۵-۱- اصل امحاء (ERASE PRINCIPLE)
اصل امنیت که از اصول حاکم بر  نگهداری داده‌ها می‌باشد را پیشتر مورد بررسی قرار دادیم و گفتیم که لزوم اتخاذ تدابیر امنیتی از جانب دارنده داده‌ها اقتضا دارد بمحض برطرف شدن نیاز وی به داده‌ها نسبت به زائل نمودن و امحاء آنها اقدام نماید. این وظیفه بویژه ناظر بر دارندگان مؤسسات خدمات اینترنتی نظیرISP ها می‌باشد زیرا داده‌های مربوط به کاربران همه روزه در حافظه رایانه‌های این مؤسسات ذخیره می‌شود و پس از نگهداری این داده‌ها برای مدت معقولی که مبتنی توجیهات امنیتی، اقتصادی و احیاناً آماری است ضروری است که این داده‌ها امحاء شوند تا  کسی نتواند با دسترسی به داده‌ها  از آنها سوء استفاده نماید.
لازم به ذکر است که از آنجا که همانگونه که اشاره شد اصل امحاء از آثار اصل امنیت می‌باشد لذا در اغلب منابع بطور مستقل به این اصل پرداخته نشده و آن را ذیل همان اصل مادر (امنیت) مطرح نموده‌اند[۸ و۱۷] لیکن به دلیل آنکه در نوشتار حاضر سعی شده که اصول مربوط به داده با توجه به مراحل مختلف کار دسته‌بندی شوند لذا این اصل که ناظر بر مرحله امحاء و انتقال داده‌ها است جدا از اصل امنیت که ناظر بر مرحله نگهداری داده‌ها است مطرح شده است.
۵-۲- اصل عدم انتقال[۱۴] (Onward Transfer)
خصیصه فرامرزی و گیتی گستر بودن اینترنت و بطور کلی فناوری‌های اطلاعات و ارتباطات این امکان را فراهم آورده که اشخاص بتوانند از این ویژگی برای فرار از مقررات یک نظام حقوقی و یا تعقیب دستگاه‌های قضایی و امنیتی سوء استفاده کنند. به عنوان مثال اگر عملی در یک نظام حقوقی جرم بوده و مستوجب مجازات باشد بر اساس اصل اولیه سرزمینی بودن قوانین کیفری (و در صورت فقدان مجوز قانونی خاص) نمی‌توان بر اساس چنین قانونی حکم به مجرمیت شخصی که در خارج از قلمرو نظام حقوقی مزبور عمل مورد بحث را مرتکب شده باشد داد.
این ویژگی و خصیصه فاوا وقتی در کنار مشکل فقدان همگونی و هماهنگی تام میان مقررات نظام‌های مختلف حقوقی قرار می‌گیرد، بویژه در بحث حمایت از داده‌ها اهمیت مضاعف می‌یابد. فرض کنیم که پردازش و افشاء (و نه انتقال) داده‌های شخصی شهروندان در کشور الف ممنوع بوده ولی در کشور ب  حکم مشابهی  وجود ندارد. در چنین وضعیتی اگر شخصی با تحصیل داده‌های شخص دیگر در کشور الف آنها را از طریق رایانامه (e-mail) برای دوست خود که در کشور ب سکونت دارد ارسال می‌نماید و از او می‌خواهد که داده‌ها را از طریق یک وبلاگ یا سایت اختصاصی خود منتشر نماید.
در این مثال کسی تردیدی نخواهد داشت که نتیجه حاصل با فرضی که ارسال کننده داده‌ها خود اقدام به افشاء و انتشار آنها می‌نمود هیچ تفاوتی ندارد و حریم خصوصی شخص سوژه در هر دو فرض به یک اندازه مورد تعدی و تجاوز قرار گرفته است.
بر این اساس در بحث از حریم خصوصی اطلاعاتی یکی از اصول حاکم و بنیادین که در تمام مراحل، باید از سوی دارنده  و پردازشگر داده‌ها رعایت شود اصل ممنوعیت انتقال فرامرزی داده (Transborder data flow) است. اهمیت این اصل تابدانجاست که بدون آن در مقام حمایت از داده نقض غرض حاصل می‌شود. برخی کشورها (که عمدتاً در زمره کشورهای تولید کننده داده‌ها و اطلاعات می‌باشند) نظیر کشورهای اروپایی انتقال داده‌ها به کشورهای فاقد سطح کافی حمایت از داده را ممنوع نموده‌اند تا جائی‌ که حتی ایالات متحده امریکا برای پاسخ به نیاز مؤسسات این کشور (که از دید اروپائیان فاقد سطح کافی حمایت از داده است) به مبادله اطلاعات و داده‌ها با همتـایــان اروپایی خود ناگزیر از تدوین موافقت‌نامه بندرگاه امن (Safe Harbor Agreement)  با اروپائیان شد. [۱۸]
البته اصل منع انتقال فرامرزی داده‌ها همچون سایر اصول پیشین دارای استثنائاتی است که بررسی همه آنها از حوصله این مقال بیرون است و برای دیدن آنها باید به منابع مفصل‌تر مراجعه نمود [۸ و۱۹].
۶-  سایر اصول
مراد از این عنوان اصولی است که نمی‌توان آنها را مختص یک یا چند مرحله از روند گردآوری، پردازش و امحاء وانتقال داده‌ها دانست بلکه ماهیت آنها به گونه‌ای است که در تمام مراحل حاکمیت داشته و روح حاکم بر مقررات حریم خصوصی می‌باشند. ذیلاً اهم این اصول را در دو بند مورد بررسی قرار می‌دهیم.
۶-۱-اصل رضایت (Consent Principle)
هدف از تدوین مقررات حمایت از داده‌های شخصی در درجه اول صیانت از حقوق شهروندان است. لذا علی‌الاصول در اغلب موارد اخذ رضایت سوژه می‌تواند وصف ممنوعیت و تخلف را از اعمال ناقض حریم خصوصی (در هریک از مراحل تحصیل، پردازش و انتقال و امحاء داده‌ها) سلب نماید. مع‌الوصف ذکر چند نکته ضروری است:
- نخست آنکه رضایت سوژه زمانی می‌تواند دارای چنین کارکردی باشد که اطلاعات کافی و روشنگر در خصوص موضوعی که نسبت بدان اخذ اجازه می‌شود به او داده شده باشد.
- دوم  آنکه سوژه واقعاً مخیر در اعلان یا عدم اعلان رضایت باشد.
- سوم آنکه اخذ رضایت حتی‌المقدور پیش از عمل باشد مگر اینکه اجازه را نوعی ابراء متخلف تلقی کنیم.
- چهارم آنکه در موارد استثنایی و مصرح بویژه مواردی که با منافع عمومی و امنیت جامعه ارتباط پیدا می‌کند قانون می‌تواند مقرر کند که رضایت سوژه در ممنوع  بودن عمل بی تاثیر است[۲۰].
همچنین باید بخاطر داشت که سوژه همیشه باید این حق را داشته باشد که رضایت خود را بازپس گیرد، هرچند این عمل نسبت به اعمالی که پردازشگر  قبل از آن انجام داده است بی‌تأثیر است.
۶-۲- اصل مسؤولیت (Redress Principle)
تفاوت مهم قاعده حقوقی با قاعده و توصیه اخلاقی در اینست که اولی واجد ضمانت اجرای مادی و بیرونی است و دومی تنها ضمانت اجرای درونی و وجدانی دارد.[۲۱] احکام قانونگذار اگر فاقد ضمانت اجرا و مسؤولیت برای متخلف باشند ارزش چندانی در نظام حقوقی نداشته و از نیل به مقصود (نظم و عدالت) باز می‌مانند.
در حوزه حقوق فناوری اطلاعات و بویژه بحث حمایت از داده نیز وضع به همین منوال است و صرفنظر از ماهیت مسؤولیت (مدنی یا کیفری یا انتظامی) در هر حال باید متخلف را مسؤول سرپیچی از حکم قانونگذار دانست. البته بدیهی است که اعمال این اصل در هر مورد، بالاخص با توجه به ماهیت مسؤولیت مشروط به تحقق شرایط و عناصر عمومی و اختصاصی مسؤولیت می‌باشد. همچنین از دیگر آثار این اصل ضرورت برخورداری شهروندان از روش‌های تعقیب و دادخواهی مناسب می‌باشد که به عنوان راهکار اجرایی تحقق اصل مسؤولیت ضرورت دارد.
لذا بر اساس این اصل می‌توان گفت که گردآورنده، و پردازشگر داده‌ها نسبت به تخلف از احکام قانونی و تجاوز به حریم خصوصی شهروندان علی‌الاصول و مشروط به تحقق شرایط عمومی و اختصاصی مسؤولیت دارد و شهروندان در هرحال حق دادخواهی و تقاضای بهر‌ه‌مندی از روش‌های جبران (Remedies) را دارند.[۲۲]
نتیجه
۱- اصول حاکم بر حمایت از داده‌های کلی حقوقی است که راهنمای قانونگذار در تدوین قوانین و قضات در رسیدگی‌های قضایی می‌باشد.
۲- این اصول به پنج قسم قابل انقسامند:
• اصول مربوط به تحصیل داده‌ها
• اصول مربوط به نگهداری داده‌ها
• اصول مربوط به بکارگیری داده‌ها
• اصول مربوط به امحاء و انتقال داده‌ها
• سایر اصول
۳- اصول مربوط به تحصیل داده‌ها عبارتند از:
• اصل تحصیل قانونی و منصفانه
• اصل تحصیل مضیق و مرتبط
• اصل انتخاب
• اصل اطلاع
۴- اصول مربوط به نگهداری داده‌ها عبارتند:
• اصل امنیت
• اصل شفافیت
• اصل دسترسی
• اصل صحت
۵- اصول مربوط به بکارگیری داده‌ها عبارتند از:
• اصل پردازش مرتبط
• اصل ممنوعیت افشاء
۶- اصول مربوط به امحاء و انتقال داده‌ها عبارتند از:
• اصل امحاء
• اصل عدم انتقال
۷- سایر اصول حاکم بر حمایت از داده عبارتند از:
• اصل رضایت
• اصل مسؤولیت
مراجع:
۱ – David Banisar, Privacy&Human Rights, Electrinic Privacy Information Center, 2000,Washington DC,p3
2-http://www.dataprivacy.ie/6aii-2.htm#6
3-http://www2.austlii.edu.au/itlaw/articles/IPPs.html
4- http://profs.lp.findlaw.com/privacy/3b.html#2
5- http://www.bild.net/privacyusa5.htm
6-http://www.privacy.ca.gov/code/fairinfo.htm
7- Denis Kelleher& Karen Murray,IT Law in the European Union,Sweet&Maxwell,1999,London,p240
8-http://www.workplaceinfo.com.au/nocookie/alert/2001/01329.htm
9-http://www.privacy.gov.au/publications/npps01.html#e
10-http://www2.austlii.edu.au/itlaw/articles/IPPs.html#Heading17
12-http://profs.lp.findlaw.com/privacy/3b.html#3
13-http://www.austlii.edu.au/au/legis/cth/consol_act/pa1988108/s14.html
14-http://www2.austlii.edu.au/~graham/CyberLRes/2001/1/#Heading11
15-http://www.privacy.gov.au/publications/npps01.html#c
16-http://www.privacy.gov.au/publications/npps01.html#b
17-http://www.privacy.gov.au/publications/npps01.html#d
18-http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list
19-http://www.privacy.gov.au/publications/npps01.html#i
20-http://www2.austlii.edu.au/itlaw/articles/Heading17
21- کاتوزیان، دکتر ناصر، مقدمه علم حقوق و مطالعه در نظام حقوقی ایران، شرکت انتشار با همکاری بهمن برنا، چاپ بیستم،۱۳۷۴،ص۵۵
۲۲-http://www.bild.net/privacyusa5.htm
نویسنده: حمیدرضا اصلانی (دانشجوی دکترای حقوق خصوصی دانشگاه شهید بهشتی)

برچسب ها:

  • حقوق فنآوری اطلاعات و ارتباطات

نظرات شما

نقد و یا توضیح خود را پیرامون این یادداشت بیان کنید
پشتیبانی محتوا توسط :حقوق فنآوری اطلاعات و ارتباطات