نواقص حمایت از داده پیام در ماده 58 قانون تجارت الکترونیکی، ناشی از محدودیت موضوع به «داده های شخصی حساس» و محدودیت رفتارهای مجرمانه به «ذخیره، پردازش و توزیع» است. همچنین، چندگانگی قوانین «لازم الاجراء» فعلی و مقررات «ممکن الاجراء» در آینده ناشی از پیش نویس لایحه «حمایت از داده ها و حریم خصوصی در فضای مجازی» و لایحه «صیانت و حفاظت از داده های شخصی» است که در صورت تبدیل به قانون، اعتبار قانون تجارت الکترونیکی و رابطه این مقررات چالش برانگیز خواهد بود. پرسش اینکه در صورت قانونی شدن این دو لایحه، در موارد خلا یا تعارض قانونی، کدام قانون حاکم خواهد بود؟ از دید نویسندگان، قاعده اصولی «عام موخر ناسخ خاص مقدم نیست» در قلمرو فضای مجازی ناکارآمد است و راهکار آن کشف «اراده موخر قانون گذار» است.

داده های شخصی اهمیت اقتصادی فراوانی دارند، به طوری که آن ها را پول آینده نامیده اند. در عین حال، محیط هایی که اشخاص در آن ها زندگی می کنند و به طور مداوم با آن ها سروکار دارند، داده های اشخاص را جمع آوری و پردازش کرده و به شیوه های مختلف از داده ها استفاده می کنند. بنابراین، ضرورت وجود قوانینی که از این امر ارزشمند در مقابلِ استفاده های فراوان حفاظت کند، احساس می شود. مهم ترین بستر قانونی برای حمایت از داده شخصی، مقررات عمومی حفاظت از داده (GDPR) است. این مقررات در سال 2016 توسط پارلمان و شورای اروپا تصویب و از سال 2018 در تمامی کشورهای عضو اتحادیه اروپا لازم الاجرا شده است و به دلیل ویژگی ها و حمایت های بدیع و دقیق خود، جامع ترین بستر قانونی در خصوص حمایت از داده است. به جهت اهمیت GDPR در خصوص حفاظت از داده های شخصی، معرفی این بستر قانونی، پرداختن به مفاهیم اساسی، دامنه اعمال و بیان نقاط قوت این مقررات به منظور درک بهتر حمایت های مندرج در GDPR ضروری است. پژوهش حاضر با تتبع در مقررات مذکور و منابع مرتبط، به این مهم می پردازد و در جهت شفاف سازی این مقررات برای کمک به تدوین بستر قانونی مناسب، در خصوص حمایت از داده شخصی در نظام حقوقی ایران گام برمی دارد.

در تمام کشورها و در قوانین حمایت از داده های شخصی، به دلیل گسترش حجم پردازش داده ها توسط شرکت های مختلف، اصول خاصی مثل اصل مشروعیت، صحت و امنیت، محدودیت هدف و کمینه سازی، پیش بینی شده است تا نقض حریم داده های شخصی به حداقل برسد. علاوه بر این در اسناد مذکور، به برخی روش های فنی نیز برای پردازش امن داده های شخصی، ازجمله مستعارسازی داده ها، اشاره شده است. باوجود این، به دلیل عدم پرداخت کافی به جزئیات این روش ها و ابزارها در قوانین کشورهای پیشرو یا سکوت قانون در کشورهایی مثل ایران، درمورد نحوه اجرای صحیح، آثار و کارکردها، ابعاد اقتصادی و نحوه نقش آفرینی فرایندهایی مانند مستعارسازی در جهت رعایت اصول پردازش داده های شخصی، ابهامات بسیاری وجود دارد. پژوهش حاضر با روش توصیفی-تحلیلی، با استفاده از منابع کتابخانه ای مکتوب و دیجیتال، ضمن بررسی روش های فنی و الزامات خاص انجام مستعارسازی به شکلی کارآمد، در تلاش برای پاسخ گویی به این سؤال اصلی خواهد بود که فرایند مذکور، چگونه و تا چه حد، با اجرای دقیق اصول قانونی پردازش داده ها مرتبط است؟ یافته های این نوشتار نشان دهنده این موضوع اند که مستعارسازی به رغم کاستن از پیوند مستقیم داده ها با زندگی شخصی و هویت افراد، به تنهایی برای رعایت اصول قانونی پردازش کافی نیست؛ به ویژه اگر با عدم رعایت موارد فنی، به نحوی قابل کدگشایی، انجام پذیرد؛ البته از ترکیب مستعارسازی با روش های دیگری مثل رمزگذاری داده ها، می توان از رعایت اصول پردازش، تا حد زیادی مطمئن شد

در عصر حاضر لزوم حمایت از داده های شخصی کاربران در فضای سایبر امری اجتناب ناپذیر می باشد، لذا حکومت ها و ساز و کار های منطقه ای و بین المللی نظیر اتحادیه اروپا نیز دست به فعالیت های تقنینی در این عرصه زده اند. از طرفی برداشت غالب در زمینه قوانین مصوب درون اتحادیه اروپا این است که اجرای این قوانین نیز محدود به سرزمین دولت های تشکیل دهنده این نهاد منطقه ای می باشد، حال آنکه از مفاد آخرین سند حفاظت از داده اروپا (GDPR: 2016) چنین برداشت می شود که ویژگی فرامرزی داشته و در خارج از مرز های اتحادیه نیز قابل اعمال است. پژوهش حاضر نیز با استفاده از روش تحلیلی توصیفی در تلاش است تا با بررسی متن این سند و نسخه قبلی آن (DPD: 1995)، و مهم ترین پرونده های مطرح شده در دیوان دادگستری اتحادیه اروپا در خصوص انتقال داده های شخصی کاربران اروپایی به ایالات متحده آمریکا، به بررسی امکان اعمال فرامرزی این سند در کشور های غیر عضو اتحادیه نظر آمریکا بپردازد. در نهایت یافته های پژوهش حاضر حاکی از آن است که با توجه به قدرت سیاسی و اقتصادی قابل توجه اتحادیه، تعداد زیاد کاربران اروپایی در فضای نت، تفاسیر و آراء ارائه شده توسط دیوان اروپا، سوابق ساز و کار های انتقال داده بین اروپا و آمریکا و همچنین ضمانت اجراهای پیش بینی شده در این سند، می توان گفت که عملا این مقررات ویژگی فرامرزی داشته و در خارج از اتحادیه نیز اعمال می شود.

مطالعه تطبیقی مسیولیت های نهادمتقاضی پردازش، کنترلگر و پردازشگر تحت مقررات اروپایی حمایت از داده های شخصی و لایحه » صیانت و حفاظت از داده های شخصی «چکیده در بسیاری از مواقع نهادهایی که داده های افراد را به طور بالفعل یا بالقوه در اختیار دارند اقدام به واگذاری پردازش داده ها به اشخاص ثالث می کنند، سوالی که مطرح می شود این است که واگذاری پردازش به چه نوع ارایه دهنده خدماتی می تواند به حفظ حریم خصوصی داده ها کمک کند؟ جای خالی پرداختن به تعریف و مسیولیت نهادمتقاضی پردازش در GDPR و لایحه صیانت و حفاظت از داده های شخصی احساس می شود. نهادمتقاضی علاوه بر اینکه باید بر مسیولیت اولیه خود آگاه باشد، لازم است تفاوت مسیولیتها و تعهدات بین استفاده از کنترلگر و پردازشگر را نیز درک کند. بررسی تطبیقی این نقش ها تحت GDPR و لایحه بسیار کاربردی است، در خصوص تنقیح تکالیف کنترلگران و پردازشگران لایحه نیاز به اصلاحاتی دارد، اما در کل تحت هر دو مقرره واگذاری خدمات به یک کنترلگر مستقل برای حفظ حریم خصوصی افراد و کاستن از تعهدات نهادمتقاضی موثرتر میباشد.

تا به امروز ایران قانون جامعی دربارۀ حمایت از داده های دیجیتال نداشته است. طرح حمایت و حفاظت از داده و اطلاعات شخصی براساس مقررات عمومی حفاظت از دادۀ اتحادیۀ اروپا 2018 (GDPR) تدوین و در سال 1400 به مجلس وصول شد. این طرح قرار است کمبود قانونی در حوزۀ حمایت از داده ها را مرتفع سازد، اما نه فقط بسیاری از اصول کلی GDPR را رعایت نکرده، بلکه موضعی مقابل را در پیش گرفته است؛ بنابراین به ضرر اشخاص موضوع داده به شمار می رود. پرسش اصلی پژوهش حاضر آن است که اصول کلی این طرح با رویکرد تطبیقی با مقررات عمومی حفاظت از داده چه اشکالات و خلأ هایی دارد؟ جستار حاضر، با روشی توصیفی ـ تحلیلی و با مطالعۀ آثار و پرونده های اخیر در حوزۀ حمایت از داده های اروپایی، درصدد است که خلأ ها و اشکالات عمده در اصول طراحی شدۀ این طرح را نشان دهد. به اختصار گفتنی است بسیاری از مواد طرح مانند مادۀ 10، 11، 12، 48 نیاز به اصلاح دارند و میان مبانی حقوقی کنونی و قوانین موضوعه تناقض آشکاری مشاهده می شود.

داده های شخصی قسمی از اطلاعات مربوط به حریم خصوصی افراد است و توسط قانون گذاران تحت عنوان حق بر حریم خصوصی مورد حمایت قرار گرفته است. از طرفی حمایت از کاربران در مقابل اعمال شرکت های پردازندة داده و خطراتی که ممکن است تمامیت و محرمانگی داده های شخصی ایشان را تهدید کند مستلزم آشنایی با ویژگی های این نوع خاص از داده هاست. در پژوهش حاضر با استفاده از روش تحلیلی ـ توصیفی تلاش شد با بررسی متن سند مقررات عمومی حفاظت از داده های شخصی اتحادیة اروپا و همچنین اسناد حقوقی ایرانی ـ نظیر قانون تجارت الکترونیک، قانون جرایم رایانه ای، پیش نویس لایحة صیانت و حفاظت از داده های شخصی ـ به تبیین ویژگی های متمایزکنندة داده های شخصی از دیگر داده ها در فضای سایبر پرداخته شود. در نهایت یافته های پژوهش حاضر حاکی از آن بود که داده های شخصی لزوماً مرتبط با شخص حقیقی است و نقطة اشتراکی که در همة اقسام و مصادیق داده های شخصی مشاهده می شود قید شناسنده بودن آن داده هاست؛ بدین ترتیب که اگر بتوان با استفاده از ابزار و وسایل متعارف و منطقی پردازش داده، چه به صورت مستقیم چه به صورت غیرمستقیم، صرفاً و به تنهایی به هویت شخص موضوع داده (و نه اشخاص دیگر) دست پیدا کرد، داده ها شخصی تلقی خواهند شد.

1شبکه های اجتماعی بخش عمده از زندگی امروز ما را شکل داده اند. این پدیده در کنار فواید برای جوامع، معایبی نیز به همراه داشته است. یکی از این معضلات مهم، عدم رعایت حریم خصوصی کاربران در شبکه های اجتماعی است. شبکه های اجتماعی به داده ها و اطلاعات بسیاری از کاربران خود دسترسی دارند که می توانند از آن اطلاعات در جهت اهداف مختلف استفاده نمایند. از این رو حفظ اطلاعات و حریم خصوصی مخاطبان بیش از گذشته ضرورت می یابد. سؤال اصلی آن است که آیا جمع آوری، دسته بندی و فروش اطلاعات کاربران در شبکه های اجتماعی نقض حریم خصوصی آنان نیست؟ و چه راهکارهایی برای مقابله با آن وجود دارد؟ در این مقاله، با استفاده از روش تحقیقی توصیفی تحلیلی، موضوع فوق مورد بررسی قرار گرفته است. در نهایت مقاله حاضر به این نتیجه نائل آمده است که استفاده از اطلاعات کاربران توسط شبکه های مجازی نقض حریم خصوصی کاربران است و نمی توان به صورت مطلق، پذیرفتن تمامی شروط هنگام ثبت نام کاربران در شبکه های اجتماعی را به معنای رضایت کاربر مبنی بر انتشار داده های خود دانست؛ لذا باید به نحوی استفاده از اطلاعات کاربران در شبکه های اجتماعی را ضابطه مند کرده و از سوءاستفاده های بیشتر اطلاعات کاربران جلوگیری نمود. در این خصوص سه راهکار اصلی (وضع قانون، خودتنظیمی و اخذ مالیات) وجود دارد. به کار بستن صرفاً یک روش در خصوص حمایت از داده های کاربران مؤثر نیست، بلکه استفاده ترکیبی از روش های مذکور، پیشنهاد می شود؛ اما مؤثرترین روش در این راستا وضع مالیات بر شبکه های اجتماعی و صرف این مبالغ در جهت توسعه امنیت دیجیتال، حمایت از داده های کاربران و جبران خسارات وارده است. در ایران نیز به دلیل وجود خلأ قانونی، جهت حمایت از داده های کاربران، قانون متناسب با حمایت از کاربران و اطلاعات ایشان در شبکه های اجتماعی تصویب شود

با تصویب مقررات عمومی حفاظت از داده اتحادیه اروپا (GDPR) در خصوص حمایت از داده شخصی در سال 2016 و لازم الاجرا شدن آن در سال 2018، تمامی کشورهای عضو اتحادیه اروپا ملزم به حمایت حداکثری از داده های شخصی و اشخاص موضوع داده شدند. حمایت های حداکثری این مقررات در مواد مختلفی بیان شده است که نسبت به بسترهای قانونی سابق در اتحادیه اروپا و سایر کشورها نسبت به حمایت از داده شخصی دقیق تر، سخت گیرانه تر و در مقام عمل کاربردی تر است. در جهت تحقق کامل چنین حمایتی، این مقررات اسباب متعددی را برای مشروعیت پردازش داده شخصی با عنوان مبانی حقوقی پردازش داده شخصی بیان کرده است. به موجب ماده مربوطه، اشخاص پردازش کننده داده باید مبنای حقوقی معتبر برای پردازش داده های شخصی داشته باشند. پژوهش حاضر با تبیین مبانی حقوقی پیش گفته، به دنبال امکان سنجی جریان این مبانی در حقوق ایران است. به دیگر سخن، پاسخ به این مسیله که در نظام حقوقی ایران با وجود کدام اسباب می توان داده های شخصی را پردازش کرد. بر اساس برآمد بررسی ها، چگونگی جریان مبانی حقوقی مذکور در مقررات اروپایی حفاظت از داده-یعنی رضایت، ضرورت قراردادی، پردازش به موجب تعهد قانونی کنترل کننده، پردازش به دلیل حفاظت از منافع حیاتی افراد و پردازش به علت غلبه منافع مشروع کنترل کننده یا شخص ثالث-به دلیل فقدان قانونی ایرانی در خصوص حفاظت از داده های شخصی، باید از مسیر منابع مختلف حقوق ایران بررسی شود. هم چنین نتایج حکایت از این دارد که مبانی مذکور، در حقوق ایران نیز قابلیت جریان دارد؛ لیکن تحقق کامل آن با تصریح قانون حاصل می شود.