تحلیلی بر قوانین حریم خصوصی داده‌ها: از CCPA کالیفرنیا تا وضعیت ایران

مقدمه

این گزارش به بررسی و تحلیل جامع قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) و تحولات پیرامون آن می‌پردازد. هدف، ارائه درکی عمیق از ماهیت این قوانین، مقایسه آن‌ها با استانداردهای جهانی و بومی، و تحلیل رویکردهای مختلف در مواجهه با چالش‌های حریم خصوصی در عصر دیجیتال است. این تحلیل با بررسی جزئیات قوانین در آمریکا و مقایسه آن‌ها با GDPR اتحادیه اروپا آغاز شده و در ادامه، به وضعیت قوانین و سیاست‌های حریم خصوصی در ایران پرداخته خواهد شد تا تصویری کامل از چالش‌ها و فرصت‌های پیش رو در زمینه حفاظت از داده‌ها ارائه شود.

بخش اول: آشنایی با قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA) و تکامل آن

۱.۱. کلیات و مفاد اصلی CCPA

قانون حریم خصوصی مصرف‌کننده کالیفرنیا (CCPA)، که در تاریخ ۲۸ ژوئن ۲۰۱۸ به تصویب رسید و از ۱ ژانویه ۲۰۲۰ به مرحله اجرا درآمد، پاسخی از ایالت کالیفرنیا به مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) محسوب می‌شود. هدف اصلی این قانون، افزایش حقوق حریم خصوصی مصرف‌کنندگان و تنظیم نحوه جمع‌آوری، استفاده و فروش اطلاعات شخصی توسط کسب‌وکارهایی است که در این ایالت فعالیت می‌کنند. CCPA تعریفی بسیار گسترده از اطلاعات شخصی ارائه می‌دهد که شامل هرگونه اطلاعاتی است که یک فرد یا خانوار را شناسایی می‌کند یا به صورت منطقی با او مرتبط است. این اطلاعات به دو دسته کلی تقسیم می‌شوند: شناسه‌های مستقیم نظیر نام، آدرس، ایمیل، شماره تلفن و شماره‌های شناسایی رسمی، و شناسه‌های غیرمستقیم شامل آدرس IP، سوابق مرور، سوابق خرید، داده‌های موقعیت جغرافیایی و داده‌های بیومتریک. حتی استنتاج‌های حاصل از داده‌های جمع‌آوری‌شده (مانند عادات خرج کردن یا دیدگاه‌های سیاسی) نیز تحت پوشش این قانون قرار دارند.

دامنه شمول قانون CCPA تمام کسب‌وکارهای انتفاعی را که در کالیفرنیا فعالیت تجاری دارند و یکی از سه شرط زیر را احراز می‌کنند، در بر می‌گیرد :

دارا بودن درآمد سالانه ناخالص بیش از ۲۵ میلیون دلار.

خرید، فروش یا به اشتراک‌گذاری اطلاعات شخصی حداقل ۱۰۰ هزار مصرف‌کننده، خانوار یا دستگاه در کالیفرنیا.

کسب ۵۰ درصد یا بیشتر از درآمد سالانه خود از فروش اطلاعات شخصی ساکنان کالیفرنیا.

این معیارها نشان می‌دهند که قانون نه تنها شرکت‌های بزرگ فناوری، بلکه هر کسب‌وکاری را که حجم قابل توجهی از داده‌های ساکنان کالیفرنیا را پردازش می‌کند، هدف قرار داده است.

۱.۲. حقوق کلیدی مصرف‌کننده تحت CCPA

CCPA مجموعه‌ای از حقوق کلیدی را برای ساکنان کالیفرنیا به رسمیت می‌شناسد که به آن‌ها امکان کنترل بیشتری بر داده‌های شخصی‌شان می‌دهد:

حق آگاهی: مصرف‌کنندگان حق دارند بدانند که کدام دسته از اطلاعات شخصی آن‌ها جمع‌آوری شده است. کسب‌وکارها موظفند به صورت شفاف اعلام کنند که چه اطلاعاتی را به چه منظوری جمع‌آوری می‌کنند و آیا آن را می‌فروشند یا به اشتراک می‌گذارند.

حق دسترسی و قابلیت حمل داده: افراد می‌توانند از کسب‌وکارها درخواست کنند تا به اطلاعات شخصی که از آن‌ها جمع‌آوری شده، دسترسی پیدا کنند. این حق شامل دریافت اطلاعات در یک فرمت قابل استفاده و قابل حمل (مانند فایل CSV) نیز می‌شود.

حق حذف: مصرف‌کنندگان حق دارند درخواست حذف اطلاعات شخصی خود را از کسب‌وکارها داشته باشند، هرچند این حق دارای برخی استثنائات است. کسب‌وکارها باید ظرف ۴۵ روز تقویمی به این درخواست‌ها پاسخ دهند و در صورت لزوم، می‌توانند با اطلاع‌رسانی به فرد، این مهلت را تا ۴۵ روز دیگر (مجموعاً ۹۰ روز) تمدید کنند.

حق انصراف از فروش یا به اشتراک‌گذاری: این حق به مصرف‌کننده اجازه می‌دهد که به فروش یا به اشتراک‌گذاری اطلاعات شخصی خود با اشخاص ثالث اعتراض کند و آن را متوقف سازد.

حق عدم تبعیض: CCPA تضمین می‌کند که کسب‌وکارها نمی‌توانند به دلیل استفاده مصرف‌کننده از حقوق خود تحت این قانون، تبعیضی در ارائه خدمات یا قیمت‌ها قائل شوند.

۱.۳. تکامل قانون: از CCPA به CPRA

CCPA به عنوان یک قانون پویا، در ۱ ژانویه ۲۰۲۳ با قانون حقوق حریم خصوصی کالیفرنیا (CPRA) اصلاح شد تا حقوق بیشتری را برای ساکنان کالیفرنیا فراهم کرده و چارچوب اجرایی آن را تقویت کند. این تحول نشان می‌دهد که قانون‌گذاران در حال درک عمیق‌تر از پیچیدگی‌های حفاظت از داده‌ها و تلاش برای بستن شکاف‌های قانونی موجود هستند. CPRA با ایجاد یک نهاد اجرایی مستقل، به این نیاز پاسخ داد.

اصلاحات کلیدی CPRA شامل موارد زیر است :

اطلاعات شخصی حساس (Sensitive Personal Information): CPRA مفهوم اطلاعات شخصی حساس (SPI) را معرفی کرد که شامل اطلاعاتی مانند نژاد، موقعیت مکانی دقیق و داده‌های بیومتریک است. این یک گام مهم به سمت همگرایی با استانداردهای GDPR محسوب می‌شود.

حق محدودسازی استفاده و افشای SPI: مصرف‌کنندگان حق دارند استفاده و افشای اطلاعات حساس خود را برای مقاصد غیرضروری محدود کنند.

لغو معافیت‌های B۲B و کارمندی: از تاریخ ۳۱ دسامبر ۲۰۲۲، معافیت‌های مربوط به داده‌های کارمندی و تراکنش‌های B2B (مخفف Business to Business) منقضی شدند. این امر دامنه شمول قانون را به شدت گسترش داد و به این معنی است که شرکت‌ها باید برای داده‌های داخلی خود نیز مانند داده‌های مصرف‌کنندگان خارجی پاسخگو باشند. این تحول تأکید می‌کند که حفاظت از حریم خصوصی دیگر یک موضوع حاشیه‌ای نیست، بلکه یک الزام کلیدی در تمام ابعاد عملیات کسب‌وکار است و هزینه‌های انطباق را به شدت افزایش می‌دهد.

آژانس حفاظت از حریم خصوصی کالیفرنیا (CPPA): CPRA نهاد جدیدی به نام CPPA را برای نظارت، اجرا و وضع مقررات CCPA/CPRA تأسیس کرد. این نهاد از تاریخ ۱ جولای ۲۰۲۳ شروع به پذیرش شکایات کرده است. این اقدام یک تغییر مهم در سازوکار اجرایی ایجاد کرده است که پیش از این به عهده دادستان کل کالیفرنیا بود و نشان‌دهنده تقویت نظارت بر انطباق قانونی است.

بخش دوم: رویکرد شرکت‌های بزرگ فناوری در قبال CCPA

شرکت‌های بزرگ فناوری، به دلیل وابستگی مدل کسب‌وکارشان به پردازش حجم عظیم داده‌های کاربران، دو رویکرد متفاوت در قبال CCPA در پیش گرفته‌اند. تحلیل اقدامات گوگل و فیس‌بوک در این زمینه، تفاوت‌های استراتژیک آن‌ها را به خوبی آشکار می‌کند.

۲.۱. اقدامات و واکنش گوگل: رویکرد انطباق‌پذیر

گوگل رویکردی مشارکتی و انطباق‌پذیر در قبال CCPA در پیش گرفته است. این شرکت تلاش کرده تا خود را به عنوان یک شریک قابل اعتماد برای مشتریانش در فرآیند انطباق با قانون معرفی کند. گوگل ابزارها و قابلیت‌های مدیریتی را در محصولات خود مانند Google Cloud و G Suite فراهم کرده است که به کسب‌وکارها کمک می‌کند تا به درخواست‌های مصرف‌کنندگان برای دسترسی، حذف یا استخراج داده‌ها به راحتی پاسخ دهند. این ابزارها مشتریان را در انجام تعهدات خود تحت CCPA یاری می‌رسانند.

علاوه بر این، گوگل با ارائه مستندات و منابع تخصصی، مانند یک وایت‌پیپر اختصاصی، به مشتریان خود کمک می‌کند تا ارزیابی‌های حریم خصوصی لازم را انجام دهند. این شرکت تأکید دارد که به نظارت بر تغییرات قانونی ادامه می‌دهد و خدمات خود را برای حمایت از مشتریان در این چشم‌انداز متغیر، تکامل می‌بخشد.

رویکرد گوگل فراتر از انطباق صرف است؛ این شرکت قانون‌گذاری را به فرصتی برای تقویت اکوسیستم محصولات خود تبدیل کرده است. با ارائه ابزارهای انطباق‌پذیری به مشتریان، گوگل نه تنها مسئولیت خود را در قبال قانون CCPA انجام می‌دهد، بلکه این خدمات را به عنوان یک مزیت رقابتی ارائه می‌کند. این رویکرد، به جای مبارزه حقوقی با قانون، آن را به ابزاری برای جذب و حفظ مشتری تبدیل می‌کند. با این حال، حتی با وجود این رویکرد مشارکتی، گوگل شرایط و ضوابط خود را به‌روزرسانی کرده تا برخی از خدماتش را از وضعیت “ارائه دهنده خدمات” (Service Provider) در نظر CCPA خارج کند. این تغییر موضع نشان می‌دهد که ابهامات قانونی می‌توانند منجر به تغییرات استراتژیک برای کاهش مسئولیت‌های حقوقی شوند، حتی برای شرکتی که رویکرد مثبتی به قوانین دارد.

۲.۲. واکنش متا (فیس‌بوک): چالش با مفهوم “فروش” داده‌ها

متا (فیس‌بوک) رویکردی متفاوت و به شدت چالش‌برانگیز در قبال CCPA در پیش گرفته است. استدلال اصلی این شرکت این است که داده‌های جمع‌آوری شده توسط ابزارهای ردیابی وب آن، مانند “پیکسل فیس‌بوک”، تحت تعریف “فروش” داده‌ها قرار نمی‌گیرد. این شرکت مدعی است که چون پیکسل را به شرکت‌ها به صورت رایگان ارائه می‌دهد، تبادل داده‌ها در ازای پول نیست. فیس‌بوک همچنین تلاش کرده است تا این تبادل داده‌ها را تحت استثنای “ارائه دهنده خدمات” که برای اهداف تجاری ضروری است، قرار دهد.

این استدلال با انتقاد شدید کارشناسان حقوقی مواجه شده است. آن‌ها معتقدند که مدل درآمدی فیس‌بوک، که بر پایه هدف‌گذاری تبلیغات و استفاده از داده‌های کاربران استوار است، در معرض خطر جدی قرار می‌گیرد اگر تبادل داده با شرکای تجاری به عنوان “فروش” تلقی شود. به همین دلیل، فیس‌بوک به جای پذیرش کامل قانون، آن را از طریق استدلال‌های حقوقی به چالش کشیده است. کارشناسانی مانند راجر آلن فورد و کریس هوفناگل استدلال می‌کنند که اگر فیس‌بوک از داده‌های جمع‌آوری‌شده برای اهداف تجاری خود استفاده می‌کند، نمی‌تواند به استثنای “ارائه دهنده خدمات” اتکا کند و این انتقال داده در واقع یک “فروش” یا به اشتراک‌گذاری با ارزش مالی محسوب می‌شود.

این رویکرد نشان می‌دهد که قوانین حریم خصوصی به طور مستقیم با استراتژی‌های بنیادین کسب‌وکارهای مبتنی بر داده در تضاد هستند و این شرکت‌ها حاضرند برای حفظ مدل خود وارد نبردهای حقوقی شوند. در صورت عدم انطباق، فیس‌بوک با جریمه‌های ۲۵۰۰ دلاری برای هر نقض غیرعمد و ۷۵۰۰ دلاری برای هر نقض عمدی روبرو خواهد شد. این تفاوت استراتژیک بین گوگل و فیس‌بوک، چالش‌های پیچیده‌ای را که شرکت‌ها در مواجهه با قوانین حریم خصوصی با آن روبرو هستند، به خوبی نشان می‌دهد.

بخش سوم: مقایسه تحلیلی CCPA با مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR)

CCPA و GDPR هر دو با هدف مشترک افزایش حفاظت از داده‌های شخصی و افزایش شفافیت برای کاربران در عصر دیجیتال تدوین شده‌اند، اما تفاوت‌های بنیادینی در رویکرد و فلسفه آن‌ها وجود دارد. درک این تفاوت‌ها برای هر کسب‌وکاری که در بازارهای جهانی فعالیت می‌کند، حیاتی است.

۳.۱. اهداف و اصول مشترک

هر دو قانون بر افزایش کنترل افراد بر داده‌های شخصی خود تأکید دارند. CCPA و GDPR هر دو حقوق کلیدی زیر را برای کاربران به رسمیت می‌شناسند:

حق آگاهی در مورد جمع‌آوری و استفاده از داده‌ها.

حق دسترسی و قابلیت حمل داده‌ها.

حق حذف اطلاعات شخصی (با برخی استثنائات).

حق اعتراض یا انصراف از پردازش داده‌ها.

این شباهت‌ها نشان‌دهنده یک روند جهانی به سمت افزایش حفاظت از حریم خصوصی است و GDPR به عنوان یک “طرح اولیه” (Blueprint) برای قوانین بین‌المللی عمل کرده است. به همین دلیل، شرکتی که با GDPR انطباق دارد، در موقعیت بهتری برای انطباق با CCPA قرار می‌گیرد، اگرچه انطباق با CCPA به تنهایی برای رعایت الزامات GDPR کافی نیست.

۳.۲. تفاوت‌های بنیادین

تفاوت‌های اصلی این دو قانون در دامنه شمول، مفاهیم کلیدی و مهم‌تر از همه، مبنای قانونی پردازش داده‌ها نهفته است.

دامنه شمول (Territorial Scope):

GDPR: از تمامی شهروندان و ساکنان اتحادیه اروپا و منطقه اقتصادی اروپا محافظت می‌کند، صرف‌نظر از اینکه شرکت پردازش‌کننده داده‌ها در کجا قرار دارد. این قانون دامنه جهانی گسترده‌ای دارد و هر شرکتی را که به شهروندان اتحادیه اروپا کالا یا خدمات ارائه می‌دهد، شامل می‌شود.

CCPA: منحصراً برای “ساکنان کالیفرنیا” اعمال می‌شود، حتی اگر به صورت موقت خارج از ایالت باشند.

مفهوم “کاربر”:

GDPR: از اصطلاح “شخص داده” (Data Subject) استفاده می‌کند که هر فرد شناسایی شده یا قابل شناسایی را در بر می‌گیرد.

CCPA: به “مصرف‌کننده” (Consumer) اشاره دارد که یک شخص حقیقی و ساکن کالیفرنیا است. CCPA همچنین داده‌های مربوط به خانوارها و دستگاه‌ها را نیز پوشش می‌دهد، که GDPR آن را شامل نمی‌شود.

مبنای قانونی پردازش داده (Legal Basis):

این مهم‌ترین تفاوت فلسفی بین دو قانون است.

GDPR (مدل رضایت صریح – Opt-in): این قانون بر پایه “رضایت صریح” (Explicit Consent) استوار است. به این معنی که برای هر پردازش داده، شرکت باید یکی از شش مبنای قانونی ذکر شده در ماده ۶ GDPR (مانند رضایت صریح، قرارداد، یا منافع مشروع) را داشته باشد. در این مدل، شرکت‌ها پیش از جمع‌آوری یا استفاده از داده، باید از کاربر رضایت بگیرند.

CCPA (مدل انصراف – Opt-out): این قانون مبنای قانونی مشخصی برای پردازش داده‌ها تعریف نمی‌کند. CCPA به مصرف‌کننده حق “انصراف” (Opt-out) از “فروش” داده‌های خود را می‌دهد. به عبارت دیگر، فرض بر این است که داده‌ها می‌توانند استفاده شوند مگر اینکه کاربر صراحتاً مخالفت کند.

۳.۳. تأثیر این تفاوت‌ها بر کسب‌وکارهای جهانی

تفاوت در مدل رضایت‌گیری (Opt-in در برابر Opt-out) بازتابی از رویکردهای فلسفی متفاوت در دو منطقه است. GDPR بر حریم خصوصی به عنوان یک “حق بنیادین” تأکید می‌کند و بار اثبات قانونی بودن پردازش داده را بر عهده شرکت‌ها می‌گذارد. این رویکرد به کاربران کنترل کامل و اولیه بر داده‌های خود می‌دهد. در مقابل، CCPA که ریشه‌های آمریکایی و رویکرد مبتنی بر حقوق مصرف‌کننده را دارد، به جای منع اولیه، حق انتخاب و کنترل پس از جمع‌آوری داده‌ها را به کاربر می‌دهد. این تفاوت فلسفی، GDPR را به عنوان یک الگوی جامع‌تر برای قوانین بین‌المللی مطرح کرده است.

این دوگانگی فلسفی چالش‌های عملی برای کسب‌وکارهای جهانی ایجاد می‌کند. شرکتی که بخواهد با هر دو قانون انطباق داشته باشد، باید سخت‌گیرانه‌ترین استاندارد (یعنی مدل رضایت صریح GDPR) را به عنوان مبنای کار خود قرار دهد. این امر به کاهش پیچیدگی‌های انطباق کمک کرده و اطمینان می‌دهد که اقدامات آن‌ها در برابر هر دو مجموعه قوانین قابل دفاع است.

بخش چهارم: قوانین حریم خصوصی در سایر ایالت‌های آمریکا: شکل‌گیری یک چشم‌انداز تکه‌تکه

CCPA با وجود اینکه اولین قانون جامع حریم خصوصی در ایالات متحده بود ، اما نتوانست به یک استاندارد فدرال تبدیل شود. به جای آن، فقدان یک قانون سراسری در آمریکا منجر به ایجاد یک چشم‌انداز حقوقی تکه‌تکه شده است که در آن ایالت‌های مختلف، قوانین مشابه اما با جزئیات متفاوت را تصویب می‌کنند. این وضعیت چالش‌های بزرگی را برای کسب‌وکارهای سراسری ایجاد می‌کند، زیرا آن‌ها مجبورند برای فعالیت در هر ایالت، با قوانین متفاوتی انطباق پیدا کنند که هزینه‌های حقوقی و فنی را به شدت افزایش می‌دهد.

۴.۱. تحلیل تحولات اخیر در قوانین ایالتی

روند تصویب قوانین جامع حریم خصوصی در ایالات متحده از زمان اجرایی شدن CCPA در سال ۲۰۲۰ شتاب گرفته و در سال‌های ۲۰۲۴ و ۲۰۲۵ به اوج خود رسیده است. در حال حاضر، ایالت‌هایی نظیر دلاور، آیووا، نبراسکا، نیوهمپشایر، نیوجرسی، تنسی و مریلند نیز قوانین جامع حریم خصوصی را تصویب یا اجرایی کرده‌اند. این قوانین هرچند از CCPA و GDPR الهام گرفته‌اند، اما در جزئیات مهمی با یکدیگر متفاوتند. به عنوان مثال، برخی ایالت‌ها مانند مریلند و مینه سوتا، شرکت‌ها را ملزم به شناسایی و احترام به سیگنال‌های انصراف جهانی (مانند GPC) کرده‌اند، که گامی به سمت همگراسازی است.

۴.۲. بررسی اجمالی قوانین جدید در ایالت‌ها

قوانین جدید در ایالت‌های مختلف، ویژگی‌های منحصر به فردی دارند که نشان‌دهنده یک روند تکاملی است :

مریلند: قانون این ایالت، داده‌های حساس را به طور گسترده‌تری تعریف کرده و علاوه بر اطلاعات معمول، شامل “محل تولد، وضعیت سلامتی، وضعیت ترنس بودن یا غیرباینری، زندگی جنسی و داده‌های ژنتیکی” نیز می‌شود. این قانون همچنین یک استاندارد سخت‌گیرانه برای “به حداقل رساندن داده‌ها” (Data Minimization) دارد و شرکت‌ها را ملزم می‌کند تنها داده‌هایی را جمع‌آوری کنند که به صورت “معقول و متناسب” برای ارائه خدمات ضروری است.

مینه سوتا: این قانون حق شفافیت را گسترش می‌دهد و به مصرف‌کنندگان اجازه می‌دهد تا از “طرف‌های ثالث خاصی” که داده‌هایشان به آن‌ها افشا شده، مطلع شوند. علاوه بر این، حق اعتراض به “پروفایل‌سازی” را به صورت خاص تعریف می‌کند و در صورت تصمیم‌گیری‌های قانونی یا تأثیرگذار بر مصرف‌کننده، حق اطلاع از دلایل تصمیم و اقدامات اصلاحی را به او می‌دهد.

این روند نشان‌دهنده نبود یک الگوی فدرال و در نتیجه، بروز قوانین متنوع ایالتی است که هرچند اصول بنیادین مشترکی دارند، اما جزئیات آن‌ها از یکدیگر متفاوت است. این تکه‌تکه شدن، لزوم تصویب یک قانون فدرال را برجسته‌تر می‌سازد تا هماهنگی بیشتری در سطح کشور ایجاد شده و هزینه‌های انطباق برای کسب‌وکارها کاهش یابد.

بخش پنجم: وضعیت حریم خصوصی داده‌ها در ایران: از خلأ قانونی تا خودتنظیمی شرکت‌ها

در ایران، برخلاف ایالات متحده و اتحادیه اروپا، یک قانون جامع و مستقل برای حفاظت از داده‌های شخصی وجود ندارد. این خلأ قانونی باعث شده است که حقوق شهروندان به طور کامل و شفاف تعریف نشده و در نتیجه، شرکت‌ها مجبور به اتخاذ سیاست‌های خودتنظیمی شوند.

۵.۱. بررسی خلأهای قانونی فعلی و قوانین پراکنده

حقوق حریم خصوصی در ایران به صورت پراکنده و در قالب قوانین کلی مانند “قانون تجارت الکترونیک” (مصوب سال ۱۳۸۲) و “قانون جرائم رایانه‌ای” (مصوب سال ۱۳۸۸) مطرح شده است. برای مثال، ماده ۵۸ قانون تجارت الکترونیک، ذخیره و پردازش “داده پیام‌های شخصی حساس” (شامل ریشه‌های قومی، دیدگاه‌های عقیدتی و وضعیت جسمانی) را بدون “رضایت صریح” اشخاص ممنوع می‌داند. همچنین، ماده ۷۸ همین قانون، شرکت‌ها را مسئول جبران خسارات ناشی از “نقص یا ضعف سیستم” می‌داند، مگر اینکه خسارت ناشی از عمل فردی باشد. در قانون جرائم رایانه‌ای نیز به جرایمی مانند دسترسی غیرمجاز به داده‌ها و افشای اسرار تجاری اشاره شده است.

این قوانین پراکنده، ابزارهای کافی برای برخورد با نقض حریم خصوصی را فراهم نمی‌کنند. در عمل، این وضعیت به یک بستر “غیر-ساختاریافته” برای حفاظت از داده‌ها منجر شده است که در آن شرکت‌ها سیاست‌های خود را به صورت یک‌جانبه تعریف می‌کنند. این رویکرد فاقد ضمانت اجرایی بیرونی است و همانطور که حوادثی مانند نشت اطلاعات اسنپ‌فود نشان دادند، می‌تواند امنیت داده‌ها را در معرض خطر قرار دهد.

۵.۲. نگاهی به لایحه حمایت از داده و حریم خصوصی در فضای مجازی

در سال‌های اخیر، ضرورت قانون‌گذاری جامع در زمینه حریم خصوصی داده‌ها در ایران بیش از پیش احساس شده است. یک لایحه با عنوان “لایحه حفاظت از داده‌های شخصی” در حال بررسی است. این لایحه ابتدا در سال ۱۳۹۹ در مجلس تهیه شد، اما پس از تأسیس کارگروه اقتصاد دیجیتال و درخواست دولت، از دستور کار خارج و فرآیند بررسی و به‌روزرسانی آن تا کنون ادامه داشته است. در نهایت، این لایحه در تیرماه ۱۴۰۳ در کمیسیون حقوقی دولت تصویب شده و قرار است برای تصویب نهایی به مجلس شورای اسلامی ارسال شود.

پیش‌نویس این لایحه به مفاهیم کلیدی مانند “داده شخصی” و “پردازش” پرداخته و حق دسترسی و نظارت بر داده‌ها را برای افراد به رسمیت می‌شناسد. این لایحه همچنین بر ضرورت “رضایت صریح” برای پردازش داده‌ها تأکید دارد، که یک همگرایی با مدل GDPR است. علاوه بر این، در این لایحه، “داده‌های شخصی حساس” تعریف شده و پردازش آن‌ها به جز در موارد استثنایی ممنوع شده است. این لایحه همچنین اجازه استفاده تجاری از داده‌ها را تنها در صورتی می‌دهد که هویت افراد قابل شناسایی نباشد. وجود این لایحه نشان‌دهنده درک ضرورت قانون‌گذاری است، اما عدم قطعیت و تأخیر در تصویب آن، شکاف حقوقی موجود را عمیق‌تر می‌کند.

۵.۳. مطالعه موردی: سیاست‌های حریم خصوصی دیجی‌کالا و اسنپ

در غیاب یک قانون جامع، شرکت‌های بزرگ ایرانی مانند دیجی‌کالا و اسنپ برای جلب اعتماد کاربران، سیاست‌های حریم خصوصی خود را به صورت خودتنظیمی (self-regulation) در وب‌سایت‌هایشان منتشر کرده‌اند. این سیاست‌ها تلاش می‌کنند تا به کاربران اطمینان دهند که اطلاعات آن‌ها محافظت می‌شود و به صورت شفاف توضیح می‌دهند که چه اطلاعاتی جمع‌آوری می‌شود و به چه منظور.

سیاست‌های این شرکت‌ها شامل جمع‌آوری اطلاعات هویتی، تماس، آدرس و حتی داده‌های فنی مانند نوع دستگاه و سیستم عامل است. آن‌ها ادعا می‌کنند که این داده‌ها به صورت ناشناس و برای بهبود خدمات یا ارائه پیشنهادات مرتبط استفاده می‌شود. همچنین، مکانیزم‌هایی برای لغو دریافت خبرنامه‌ها یا مدیریت کوکی‌ها ارائه می‌دهند.

این سیاست‌ها هرچند به ظاهر شبیه به قوانین بین‌المللی هستند، اما ماهیت حقوقی آن‌ها کاملاً متفاوت است. این سیاست‌ها در واقع “تعهدات قراردادی” با کاربران هستند و نه “تکالیف قانونی” که توسط یک نهاد مستقل بر آن‌ها تحمیل شده باشد. این تفاوت در ماهیت، ضمانت اجرایی این سیاست‌ها را به شدت کاهش می‌دهد. در CCPA یا GDPR، حق حذف اطلاعات یک “حق قانونی” است که شرکت ملزم به پاسخگویی به آن است و در صورت عدم انجام، با جریمه‌های سنگین مواجه می‌شود. اما در ایران، اگر شرکتی به درخواست حذف اطلاعات پاسخ ندهد، کاربر تنها می‌تواند از طریق دادگاه‌های عمومی و با استناد به قوانین متفرقه اقدام کند که روندی طولانی، پرهزینه و با نتیجه نامشخص است. این شکاف بنیادین در ضمانت اجرایی، تفاوت اصلی بین سیاست‌های خودتنظیمی شرکت‌های ایرانی و قوانین حریم خصوصی بین‌المللی را نشان می‌دهد.

نتیجه‌گیری

قانون CCPA کالیفرنیا به عنوان یک پاسخ بومی به GDPR اتحادیه اروپا، حقوق گسترده‌ای را برای مصرف‌کنندگان تعریف کرد و با اصلاحات CPRA در سال ۲۰۲۳ تقویت شد. رویکرد شرکت‌های بزرگ در قبال این قانون متفاوت بود؛ گوگل با ارائه ابزارهای انطباق‌پذیری آن را به فرصت تبدیل کرد، در حالی که فیس‌بوک با به چالش کشیدن مفهوم “فروش” داده‌ها به مبارزه حقوقی روی آورد. مقایسه با GDPR نشان می‌دهد که هرچند هر دو قانون اهداف مشابهی دارند، اما در مبنای فلسفی (Opt-out در برابر Opt-in) و دامنه شمول تفاوت‌های بنیادینی دارند که GDPR را به عنوان یک الگوی جهانی مطرح کرده است. در ایالات متحده، فقدان یک قانون فدرال، منجر به شکل‌گیری یک چشم‌انداز حقوقی تکه‌تکه شده است که چالش‌های پیچیده‌ای را برای کسب‌وکارها به وجود آورده است. در ایران، خلأ قانونی در زمینه حفاظت از داده‌های شخصی مشهود است و سیاست‌های شرکت‌ها بر پایه خودتنظیمی است که فاقد پشتوانه قانونی جامع و ضمانت اجرایی کافی است. با این حال، لایحه جدید در حال بررسی نشان‌دهنده تلاشی برای پر کردن این خلأ است.

با توجه به افزایش روزافزون اهمیت داده‌ها و تکرار حوادث امنیتی، تصویب لایحه حفاظت از داده‌های شخصی در ایران یک ضرورت است. این لایحه می‌تواند گامی بزرگ به سمت استانداردسازی و افزایش امنیت داده‌ها در کشور باشد. با این حال، حتی در صورت تصویب، چالش‌های اجرایی و نظارتی مهمی پیش رو خواهد بود. شرکت‌های ایرانی مانند دیجی‌کالا و اسنپ می‌توانند با الگوبرداری از استانداردهای جهانی، شفافیت و مسئولیت‌پذیری خود را افزایش دهند تا پیش از الزامات قانونی، اعتماد کاربران را جلب کنند.