تا به امروز ایران قانون جامعی دربارۀ حمایت از داده های دیجیتال نداشته است. طرح حمایت و حفاظت از داده و اطلاعات شخصی براساس مقررات عمومی حفاظت از دادۀ اتحادیۀ اروپا 2018 (GDPR) تدوین و در سال 1400 به مجلس وصول شد. این طرح قرار است کمبود قانونی در حوزۀ حمایت از داده ها را مرتفع سازد، اما نه فقط بسیاری از اصول کلی GDPR را رعایت نکرده، بلکه موضعی مقابل را در پیش گرفته است؛ بنابراین به ضرر اشخاص موضوع داده به شمار می رود. پرسش اصلی پژوهش حاضر آن است که اصول کلی این طرح با رویکرد تطبیقی با مقررات عمومی حفاظت از داده چه اشکالات و خلأ هایی دارد؟ جستار حاضر، با روشی توصیفی ـ تحلیلی و با مطالعۀ آثار و پرونده های اخیر در حوزۀ حمایت از داده های اروپایی، درصدد است که خلأ ها و اشکالات عمده در اصول طراحی شدۀ این طرح را نشان دهد. به اختصار گفتنی است بسیاری از مواد طرح مانند مادۀ 10، 11، 12، 48 نیاز به اصلاح دارند و میان مبانی حقوقی کنونی و قوانین موضوعه تناقض آشکاری مشاهده می شود.

هدف: این پژوهش به تحلیل تطبیقی مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) و قوانین حفاظت از داده های ایالات متحده پرداخته و هدف آن ارائه پیشنهاداتی برای بهبود قوانین حفاظت از داده ها در ایران است.روش ها:  این تحقیق از روش های ترکیبی کیفی و کمی برای جمع آوری و تحلیل داده ها استفاده کرده است. داده ها از طریق مطالعه کتابخانه ای، پرسشنامه و مصاحبه های نیمه ساختاریافته جمع آوری و با استفاده از نرم افزار SPSS تحلیل شده اند.یافته ها: یافته ها تحقیق نشان داد که GDPR شامل چارچوب جامع و یکپارچه ای برای حفاظت از داده های شخصی است که به شفافیت، رضایت و اطلاع رسانی تأکید دارد، در حالی که ایالات متحده فاقد یک قانون جامع فدرال است و به مجموعه ای از قوانین بخشی و ایالتی متکی است. همچنین، اجرای GDPR برای کسب وکارها منجر به افزایش شفافیت و مسئولیت پذیری شده، در حالی که قوانین ایالات متحده پیچیدگی های بیشتری ایجاد کرده است.نتیجه:  نتیجه تحقیق حاضر نشان داد که قوانین GDPR به دلیل جامعیت و یکپارچگی خود، به کسب وکارها و سازمان ها امکان می دهد تا با اطمینان بیشتری داده های شخصی را پردازش کنند. این امر موجب افزایش اعتماد عمومی به سیستم های دیجیتال و کاهش نگرانی ها در مورد حفظ حریم خصوصی شده است. در مقابل، در ایالات متحده، فقدان یک قانون جامع فدرال باعث شده که سازمان ها با پیچیدگی ها و چالش های مختلفی در اجرای قوانین حفاظت از داده ها مواجه شوند. نکته دیگر اینکه در ایران، بهبود قوانین حفاظت از داده ها نیازمند توجه به فرهنگ و ساختار اجتماعی و اقتصادی کشور است. بنابراین، علاوه بر الگو برداری از قوانین موفق بین المللی، باید با در نظر گرفتن نیازها و شرایط بومی، قوانین جدیدی تدوین شود. همچنین، افزایش همکاری بین بخش های مختلف دولتی و خصوصی و استفاده از تجربیات کشورهای دیگر می تواند به اجرای بهتر و کارآمدتر قوانین کمک کند. به طور کلی، نتایج این پژوهش نشان می دهد که با تدوین و اجرای یک قانون جامع و یکپارچه حفاظت از داده ها مشابه GDPR و با استفاده از مکانیزم های موثر اجرایی و آموزشی، می توان به بهبود وضعیت حفاظت از داده ها در ایران دست یافت و از چالش ها و مشکلات موجود کاسته است. بنابراین، پیشنهاد می شود برای بهبود قوانین حفاظت از داده ها در ایران یک قانون جامع و یکپارچه مشابه GDPRتدوین و مکانیزم های اجرایی موثر ایجاد شود، آگاهی عمومی و آموزش افزایش یابد، از تجربیات موفق دیگر کشورها استفاده گردد، قوانین با نیازهای خاص جامعه و نظام حقوقی ایران تطبیق پیدا کند، نقش نهادهای نظارتی تقویت شوند، استفاده از فناوری های نوین در حفاظت از داده ها تشویق شود و  همکاری بین نهادهای دولتی و خصوصی فراهم شود.

داده های شخصی قسمی از اطلاعات مربوط به حریم خصوصی افراد است و توسط قانون گذاران تحت عنوان حق بر حریم خصوصی مورد حمایت قرار گرفته است. از طرفی حمایت از کاربران در مقابل اعمال شرکت های پردازندة داده و خطراتی که ممکن است تمامیت و محرمانگی داده های شخصی ایشان را تهدید کند مستلزم آشنایی با ویژگی های این نوع خاص از داده هاست. در پژوهش حاضر با استفاده از روش تحلیلی ـ توصیفی تلاش شد با بررسی متن سند مقررات عمومی حفاظت از داده های شخصی اتحادیة اروپا و همچنین اسناد حقوقی ایرانی ـ نظیر قانون تجارت الکترونیک، قانون جرایم رایانه ای، پیش نویس لایحة صیانت و حفاظت از داده های شخصی ـ به تبیین ویژگی های متمایزکنندة داده های شخصی از دیگر داده ها در فضای سایبر پرداخته شود. در نهایت یافته های پژوهش حاضر حاکی از آن بود که داده های شخصی لزوماً مرتبط با شخص حقیقی است و نقطة اشتراکی که در همة اقسام و مصادیق داده های شخصی مشاهده می شود قید شناسنده بودن آن داده هاست؛ بدین ترتیب که اگر بتوان با استفاده از ابزار و وسایل متعارف و منطقی پردازش داده، چه به صورت مستقیم چه به صورت غیرمستقیم، صرفاً و به تنهایی به هویت شخص موضوع داده (و نه اشخاص دیگر) دست پیدا کرد، داده ها شخصی تلقی خواهند شد.

حمایت از حریم خصوصی افراد، به ‏منزلۀ یک اصل جهانی، همواره مورد توجه نهادهای بین‏ المللی قرار داشته و در بسیاری از اسناد بین ‏المللی به رعایت حریم خصوصی افراد تصریح شده است. امروزه داده ‏های شخصی افراد به لحاظ پیشرفت فناوری و قابلیت پردازش و انتقال سریع و در دسترس بودن آن‏ ها در فضای مجازی بیش از هر زمان دیگر مورد توجه خاص قانونگذاران قرار گرفته است. در این میان، اتحادیۀ اروپا پیشتاز بوده است و سند بین ‏المللیِ «مقررات عمومی حفاظت از داده ‏ها» یا به اختصار جی دی پی‏ آر (GDPR) را به‏ عنوان جایگزینی جامع برای «قانون حفاظت از دادۀ اتحادیۀ اروپا» در آوریل سال (2016) تنظیم کرد که در 25 می ‏2018 از سوی پارلمان اروپا تصویب و لازم ‏الاجرا شد. در این مقاله، با نگاهی به تاریخچۀ حمایت از حریم خصوصی و بررسی مفهوم و دامنۀ شمول داده‏ های شخصی در سند بین‏ المللی جی دی پی آر و نظام حقوقی ایران، ضرورت اصلاحاتی در زیرساخت‏ ها و قانونگذاری جمهوری اسلامی ایران در زمینۀ حمایت هرچه بیشتر از حریم خصوصی در فضای مجازی مطرح می ‏شود.

در دنیای امروز که اینترنت و فناوری های دیجیتال بخشی جدایی ناپذیر از زندگی کودکان شده است، حفاظت از داده های شخصی آنان اهمیتی ویژه دارد. مقررات عمومی حفاظت از داده های اتحادیۀ اروپا (GDPR) با وضع قواعدی مانند لزوم کسب رضایت قانونی از سرپرستان کودکان، ساده سازی اطلاعات برای درک کودکان و تأکید بر حق حذف داده ها، به طور مؤثر از حقوق کودکان در فضای دیجیتال حمایت می کند. در نظام حقوقی ایران، به منظور حفاظت از داده ها تلاش هایی شده است؛ مانند تهیۀ طرح حمایت و حفاظت از داده های شخصی که هنوز به تصویب نرسیده است، اما مفاد طرح مذکور نیز به طور خاص و چشمگیر به حمایت از کودکان نمی پردازد؛ به ویژه کاستی هایی مانند بی توجهی به سن رضایت والدین برای پردازش داده های کودکان هم سو با قانون حمایت از اطفال و نوجوانان (1399) و مقررات بین المللی، نبود قوانین شفاف دربارۀ محدودیت های بازاریابی هدفمند، تأکید نکردن بر زبان ساده و شفاف و کمبود آموزش و آگاهی بخشی در این زمینه مشاهده می شود. این مقاله با مقایسۀ تطبیقی بین مقررات عمومی حفاظت از داده های اتحادیۀ اروپا و نظام حقوقی ایران، پیشنهادهایی ارائه کرده است؛ ازجمله افزایش سن قانونی رضایت به هجده سال، تدوین قوانینی برای محدودسازی پردازش داده های کودکان و اجرای برنامه های آموزشی برای کودکان و والدین. این اقدامات می توانند گامی مؤثر در راستای حفظ حریم خصوصی کودکان و پیشگیری از سوءاستفاده های احتمالی در فضای مجازی باشند.

در عصر حاضر لزوم حمایت از داده های شخصی کاربران در فضای سایبر امری اجتناب ناپذیر می باشد، لذا حکومت ها و ساز و کار های منطقه ای و بین المللی نظیر اتحادیه اروپا نیز دست به فعالیت های تقنینی در این عرصه زده اند. از طرفی برداشت غالب در زمینه قوانین مصوب درون اتحادیه اروپا این است که اجرای این قوانین نیز محدود به سرزمین دولت های تشکیل دهنده این نهاد منطقه ای می باشد، حال آنکه از مفاد آخرین سند حفاظت از داده اروپا (GDPR: (2016)) چنین برداشت می شود که ویژگی فرامرزی داشته و در خارج از مرز های اتحادیه نیز قابل اعمال است. پژوهش حاضر نیز با استفاده از روش تحلیلی توصیفی در تلاش است تا با بررسی متن این سند و نسخه قبلی آن (DPD: 1995)، و مهم ترین پرونده های مطرح شده در دیوان دادگستری اتحادیه اروپا در خصوص انتقال داده های شخصی کاربران اروپایی به ایالات متحده آمریکا، به بررسی امکان اعمال فرامرزی این سند در کشور های غیر عضو اتحادیه نظر آمریکا بپردازد. در نهایت یافته های پژوهش حاضر حاکی از آن است که با توجه به قدرت سیاسی و اقتصادی قابل توجه اتحادیه، تعداد زیاد کاربران اروپایی در فضای نت، تفاسیر و آراء ارائه شده توسط دیوان اروپا، سوابق ساز و کار های انتقال داده بین اروپا و آمریکا و همچنین ضمانت اجراهای پیش بینی شده در این سند، می توان گفت که عملا این مقررات ویژگی فرامرزی داشته و در خارج از اتحادیه نیز اعمال می شود.

مطالعه تطبیقی مسیولیت های نهادمتقاضی پردازش، کنترلگر و پردازشگر تحت مقررات اروپایی حمایت از داده های شخصی و لایحه » صیانت و حفاظت از داده های شخصی «چکیده در بسیاری از مواقع نهادهایی که داده های افراد را به طور بالفعل یا بالقوه در اختیار دارند اقدام به واگذاری پردازش داده ها به اشخاص ثالث می کنند، سوالی که مطرح می شود این است که واگذاری پردازش به چه نوع ارایه دهنده خدماتی می تواند به حفظ حریم خصوصی داده ها کمک کند؟ جای خالی پرداختن به تعریف و مسیولیت نهادمتقاضی پردازش در GDPR و لایحه صیانت و حفاظت از داده های شخصی احساس می شود. نهادمتقاضی علاوه بر اینکه باید بر مسیولیت اولیه خود آگاه باشد، لازم است تفاوت مسیولیتها و تعهدات بین استفاده از کنترلگر و پردازشگر را نیز درک کند. بررسی تطبیقی این نقش ها تحت GDPR و لایحه بسیار کاربردی است، در خصوص تنقیح تکالیف کنترلگران و پردازشگران لایحه نیاز به اصلاحاتی دارد، اما در کل تحت هر دو مقرره واگذاری خدمات به یک کنترلگر مستقل برای حفظ حریم خصوصی افراد و کاستن از تعهدات نهادمتقاضی موثرتر میباشد.

جرائم رشوه و ارتشا ازجمله برجسته ترین جرائم و مفاسد اقتصادی محسوب می شوند. این جرائم، علاوه برداشتن بُعد اقتصادی، به نظام اقتصادی، رقابت سالم و آزاد صدمات و خسارات بی شماری وارد نموده و جنبه های امنیتی و آرامش عمومی را نیز تحت تأثیر قرار می دهند و به اعتماد عمومی نسبت به دولت و نهادهای دولتی آسیب می رسانند. ارتشا یکی از جرائم اداری برجسته است. برای مقابله با این جرم، مانند مبارزه با هر بیماری دیگری، باید علت فساد شناسایی شده و اقدامات مناسبی برای ریشه کن کردن آن اتخاذ شود. یکی از علت های اصلی بروز ارتشا، وجود مشکلات و ضعف در نظام قانونی است که این مطالعه در پی اثبات وجود ارتباط میان این دو است. بروز ارتشا در تشکیلات اداری به واسطه نقص و ضعف های مشاهده شده در نظام تقنینی، می تواند به عواملی مانند عدم شفافیت قوانین، پیچیدگی مقررات، تورم نظام قوانین، عدم تطابق قوانین با نیازهای روز جامعه، نبود مقررات قانونی لازم برای ثبت دارایی ها و اعلام آن ها به قوه قضائیه، عدم حاکمیت نظم در قوانین اقتصادی و نقایص دیگر نظام تقنینی بستگی داشته باشد. برای کاهش این پدیده شوم، لازم است نقایص و ضعف های نظام تقنینی برطرف شده و زمینه اثرگذاری آن ها در بروز ارتشا از بین برود. روش تحقیق حاضر به مانند اکثر تحقیقات در حوزه علوم انسانی، توصیفی- تحلیلی است؛ بدین صورت که از توصیف و تشریح موضوعات ناظر بر مسئله اساسی تحقیق با توجه به داده های جمع آوری شده و تحلیل آن ها، برای ارائه پاسخ های مناسب و دست یابی به اهداف تحقیق بهره می برد.

با تصویب مقررات عمومی حفاظت از دادۀ اتحادیه اروپا (GDPR)، تمامی کشورهای عضو اتحادیه اروپا، ملزم به حمایت حداکثری نسبت به داده های شخصی هستند. در راستای تحقق کامل این حمایت ها، اشخاص پردازش کنندۀ داده، ملزم به رعایت تعهدات مختلفی به موجب این مقررات هستند. این تعهدات در مواد مختلف GDPR به هدف حفاظت مؤثر از داده های شخصی و اشخاص موضوع داده بیان شده اند. با تبیین تعهدات مذکور از نگاه مقررات اروپاییِ مربوط به دادۀ شخصی، مشخص شد که نظام حقوقی ایران چنین تعهداتی را مورد تصریح قرار نداده است و صرفاً کلیات این تعهدات از منابع مختلف حقوق ایران مانند قوانین موضوعه، مبانی حقوق ایران و فقه امامیه قابل استنباط است. باید گفت که این اشارات ضمنی در جهت تبیین دقیق تعهدات مختلفِ اشخاص پردازش کنندۀ داده کافی نیست و شفافیت جزئیات این امر نیاز به تصریح قانون گذار دارد. در این راستا، این پژوهش مفاد پیشنهادی در خصوص تعهدات مختلف اشخاص پردازش کنندۀ داده، از جمله در خصوص مسئولیت کنترل کننده نسبت به فرایند پردازش، تعهد کنترل کننده نسبت به انتخاب پردازنده مناسب، حفظ سوابق فعالیت های پردازش، همکاری با مراجع نظارتی، تضمین امنیت پردازش، اطلاع رسانی و ابلاغ نقض دادۀ شخصی به مراجع نظارتی و اشخاص موضوع داده و انتصاب مأمور حفاظت از داده، ارائه نموده است.

در روزگار ما، استفاده از فضای مجازی گریزناپذیر شده است. قانون گذاری و حفاظت از حقوق کاربران نیز از ملزومات زیست مجازی است. در این میان، تعریف دادۀ شخصی، به عنوان معیاری برای تعیین داده های مشمول قوانین حفاظت از داده ها، اهمیت ویژه ای دارد؛ زیرا تا زمانی که داده به شخصی خاص مربوط نباشد، گویی حریم شخصی نقض نشده است و در نتیجه، نیازی هم به حمایت نیست. حال سؤال این است که چه داده هایی شخصی به حساب می آیند؟ آیا می توان مصادیق قطعی دادۀ شخصی را مشخص کرد؟ در پاسخ می توان گفت برای تعیین دادۀ شخصی باید بررسی و تحلیل موردی انجام داد و نمی توان به وضع قاعده ای کلی بسنده کرد؛ زیرا بسته به عواملی نظیر امکانات، زمان، ماهیت داده، هزینۀ شناسایی، پیشرفت های فناوری و هدف پردازش داده، شخصی یا ناشناس بودن داده تفاوت می کند. در باب تعیین مصادیق قطعی دادۀ شخصی نیز، هرچند نمی توان به قطعیت حکم کرد، برخی موارد خاص، مانند نام خانوادگی به همراه شناسه های دیگر و دادۀ مستعار با احتمال شناسایی بالا، اغلب در اتحادیۀ اروپا و ایالات متحدۀ آمریکا دادۀ شخصی به حساب می آیند. در این مقاله، قوانین و رویۀ قضایی اتحادیۀ اروپا و ایالات متحدۀ آمریکا، به عنوان سیستم های حقوقی مؤثر و پیشرو در حوزۀ حفاظت از داده ها، در راستای تعیین معیاری برای تشخیص دادۀ شخصی و مصادیق آن بررسی شده است.