هدف: این پژوهش به تحلیل تطبیقی مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) و قوانین حفاظت از داده های ایالات متحده پرداخته و هدف آن ارائه پیشنهاداتی برای بهبود قوانین حفاظت از داده ها در ایران است.روش ها:  این تحقیق از روش های ترکیبی کیفی و کمی برای جمع آوری و تحلیل داده ها استفاده کرده است. داده ها از طریق مطالعه کتابخانه ای، پرسشنامه و مصاحبه های نیمه ساختاریافته جمع آوری و با استفاده از نرم افزار SPSS تحلیل شده اند.یافته ها: یافته ها تحقیق نشان داد که GDPR شامل چارچوب جامع و یکپارچه ای برای حفاظت از داده های شخصی است که به شفافیت، رضایت و اطلاع رسانی تأکید دارد، در حالی که ایالات متحده فاقد یک قانون جامع فدرال است و به مجموعه ای از قوانین بخشی و ایالتی متکی است. همچنین، اجرای GDPR برای کسب وکارها منجر به افزایش شفافیت و مسئولیت پذیری شده، در حالی که قوانین ایالات متحده پیچیدگی های بیشتری ایجاد کرده است.نتیجه:  نتیجه تحقیق حاضر نشان داد که قوانین GDPR به دلیل جامعیت و یکپارچگی خود، به کسب وکارها و سازمان ها امکان می دهد تا با اطمینان بیشتری داده های شخصی را پردازش کنند. این امر موجب افزایش اعتماد عمومی به سیستم های دیجیتال و کاهش نگرانی ها در مورد حفظ حریم خصوصی شده است. در مقابل، در ایالات متحده، فقدان یک قانون جامع فدرال باعث شده که سازمان ها با پیچیدگی ها و چالش های مختلفی در اجرای قوانین حفاظت از داده ها مواجه شوند. نکته دیگر اینکه در ایران، بهبود قوانین حفاظت از داده ها نیازمند توجه به فرهنگ و ساختار اجتماعی و اقتصادی کشور است. بنابراین، علاوه بر الگو برداری از قوانین موفق بین المللی، باید با در نظر گرفتن نیازها و شرایط بومی، قوانین جدیدی تدوین شود. همچنین، افزایش همکاری بین بخش های مختلف دولتی و خصوصی و استفاده از تجربیات کشورهای دیگر می تواند به اجرای بهتر و کارآمدتر قوانین کمک کند. به طور کلی، نتایج این پژوهش نشان می دهد که با تدوین و اجرای یک قانون جامع و یکپارچه حفاظت از داده ها مشابه GDPR و با استفاده از مکانیزم های موثر اجرایی و آموزشی، می توان به بهبود وضعیت حفاظت از داده ها در ایران دست یافت و از چالش ها و مشکلات موجود کاسته است. بنابراین، پیشنهاد می شود برای بهبود قوانین حفاظت از داده ها در ایران یک قانون جامع و یکپارچه مشابه GDPRتدوین و مکانیزم های اجرایی موثر ایجاد شود، آگاهی عمومی و آموزش افزایش یابد، از تجربیات موفق دیگر کشورها استفاده گردد، قوانین با نیازهای خاص جامعه و نظام حقوقی ایران تطبیق پیدا کند، نقش نهادهای نظارتی تقویت شوند، استفاده از فناوری های نوین در حفاظت از داده ها تشویق شود و  همکاری بین نهادهای دولتی و خصوصی فراهم شود.

حمایت از حریم خصوصی افراد، به ‏منزلۀ یک اصل جهانی، همواره مورد توجه نهادهای بین‏ المللی قرار داشته و در بسیاری از اسناد بین ‏المللی به رعایت حریم خصوصی افراد تصریح شده است. امروزه داده ‏های شخصی افراد به لحاظ پیشرفت فناوری و قابلیت پردازش و انتقال سریع و در دسترس بودن آن‏ ها در فضای مجازی بیش از هر زمان دیگر مورد توجه خاص قانونگذاران قرار گرفته است. در این میان، اتحادیۀ اروپا پیشتاز بوده است و سند بین ‏المللیِ «مقررات عمومی حفاظت از داده ‏ها» یا به اختصار جی دی پی‏ آر (GDPR) را به‏ عنوان جایگزینی جامع برای «قانون حفاظت از دادۀ اتحادیۀ اروپا» در آوریل سال 2016 تنظیم کرد که در 25 می ‏2018 از سوی پارلمان اروپا تصویب و لازم ‏الاجرا شد. در این مقاله، با نگاهی به تاریخچۀ حمایت از حریم خصوصی و بررسی مفهوم و دامنۀ شمول داده‏ های شخصی در سند بین‏ المللی جی دی پی آر و نظام حقوقی ایران، ضرورت اصلاحاتی در زیرساخت‏ ها و قانونگذاری جمهوری اسلامی ایران در زمینۀ حمایت هرچه بیشتر از حریم خصوصی در فضای مجازی مطرح می ‏شود.

در دنیای امروز که اینترنت و فناوری های دیجیتال بخشی جدایی ناپذیر از زندگی کودکان شده است، حفاظت از داده های شخصی آنان اهمیتی ویژه دارد. مقررات عمومی حفاظت از داده های اتحادیۀ اروپا (GDPR) با وضع قواعدی مانند لزوم کسب رضایت قانونی از سرپرستان کودکان، ساده سازی اطلاعات برای درک کودکان و تأکید بر حق حذف داده ها، به طور مؤثر از حقوق کودکان در فضای دیجیتال حمایت می کند. در نظام حقوقی ایران، به منظور حفاظت از داده ها تلاش هایی شده است؛ مانند تهیۀ طرح حمایت و حفاظت از داده های شخصی که هنوز به تصویب نرسیده است، اما مفاد طرح مذکور نیز به طور خاص و چشمگیر به حمایت از کودکان نمی پردازد؛ به ویژه کاستی هایی مانند بی توجهی به سن رضایت والدین برای پردازش داده های کودکان هم سو با قانون حمایت از اطفال و نوجوانان (1399) و مقررات بین المللی، نبود قوانین شفاف دربارۀ محدودیت های بازاریابی هدفمند، تأکید نکردن بر زبان ساده و شفاف و کمبود آموزش و آگاهی بخشی در این زمینه مشاهده می شود. این مقاله با مقایسۀ تطبیقی بین مقررات عمومی حفاظت از داده های اتحادیۀ اروپا و نظام حقوقی ایران، پیشنهادهایی ارائه کرده است؛ ازجمله افزایش سن قانونی رضایت به هجده سال، تدوین قوانینی برای محدودسازی پردازش داده های کودکان و اجرای برنامه های آموزشی برای کودکان و والدین. این اقدامات می توانند گامی مؤثر در راستای حفظ حریم خصوصی کودکان و پیشگیری از سوءاستفاده های احتمالی در فضای مجازی باشند.

تا به امروز ایران قانون جامعی دربارۀ حمایت از داده های دیجیتال نداشته است. طرح حمایت و حفاظت از داده و اطلاعات شخصی براساس مقررات عمومی حفاظت از دادۀ اتحادیۀ اروپا 2018 (GDPR) تدوین و در سال 1400 به مجلس وصول شد. این طرح قرار است کمبود قانونی در حوزۀ حمایت از داده ها را مرتفع سازد، اما نه فقط بسیاری از اصول کلی GDPR را رعایت نکرده، بلکه موضعی مقابل را در پیش گرفته است؛ بنابراین به ضرر اشخاص موضوع داده به شمار می رود. پرسش اصلی پژوهش حاضر آن است که اصول کلی این طرح با رویکرد تطبیقی با مقررات عمومی حفاظت از داده چه اشکالات و خلأ هایی دارد؟ جستار حاضر، با روشی توصیفی ـ تحلیلی و با مطالعۀ آثار و پرونده های اخیر در حوزۀ حمایت از داده های اروپایی، درصدد است که خلأ ها و اشکالات عمده در اصول طراحی شدۀ این طرح را نشان دهد. به اختصار گفتنی است بسیاری از مواد طرح مانند مادۀ 10، 11، 12، 48 نیاز به اصلاح دارند و میان مبانی حقوقی کنونی و قوانین موضوعه تناقض آشکاری مشاهده می شود.

داده های شخصی قسمی از اطلاعات مربوط به حریم خصوصی افراد است و توسط قانون گذاران تحت عنوان حق بر حریم خصوصی مورد حمایت قرار گرفته است. از طرفی حمایت از کاربران در مقابل اعمال شرکت های پردازندة داده و خطراتی که ممکن است تمامیت و محرمانگی داده های شخصی ایشان را تهدید کند مستلزم آشنایی با ویژگی های این نوع خاص از داده هاست. در پژوهش حاضر با استفاده از روش تحلیلی ـ توصیفی تلاش شد با بررسی متن سند مقررات عمومی حفاظت از داده های شخصی اتحادیة اروپا و همچنین اسناد حقوقی ایرانی ـ نظیر قانون تجارت الکترونیک، قانون جرایم رایانه ای، پیش نویس لایحة صیانت و حفاظت از داده های شخصی ـ به تبیین ویژگی های متمایزکنندة داده های شخصی از دیگر داده ها در فضای سایبر پرداخته شود. در نهایت یافته های پژوهش حاضر حاکی از آن بود که داده های شخصی لزوماً مرتبط با شخص حقیقی است و نقطة اشتراکی که در همة اقسام و مصادیق داده های شخصی مشاهده می شود قید شناسنده بودن آن داده هاست؛ بدین ترتیب که اگر بتوان با استفاده از ابزار و وسایل متعارف و منطقی پردازش داده، چه به صورت مستقیم چه به صورت غیرمستقیم، صرفاً و به تنهایی به هویت شخص موضوع داده (و نه اشخاص دیگر) دست پیدا کرد، داده ها شخصی تلقی خواهند شد.

پیشگیری از نقض امنیت شبکه های تبادل اطلاعات، امری است که همواره مورد توجه قانون گذاران بوده است. این موضوع از  آن جهت اهمیت دارد که در عصر حاضر به عنوان عصر الکترونیک، نقض امنیت شبکه های تبادل اطلاعات منجر به نشت اطلاعات و ایجاد زمینه سوءاستفاده می گردد که سوء استفاده از اطلاعات شخصی افراد می تواند، گاه حتی اثرات مخرب بر امنیت زیستی یا ترور شخصیتی اتباع یک کشور را موجب گردد. نظام حقوقی اتحادیه اروپا در این زمینه دربردارنده مقررات مفصلی می باشد که از جمله آنها می توان به مقررات عمومی حفاظت از داده ها مصوب سال 2016 اشاره نمود. این مقررات دربردارنده قواعد مفصلی در زمینه حفظ و پیشگیری از نقض امنیت اطلاعات می باشد.  سوال اصلی که این پژوهش به دنبال پاسخگویی به آن می باشد این است که ماده 32 این مقررات دربردارنده چه سازوکارهایی در جهت پیشگیری از نقض امنیت شبکه های تبادل اطلاعات است؟ برای پاسخگویی به سوال فوق، پژوهش حاضر به روش اسنادی با ارائه مفاد ماده فوق الذکر و تحلیل بند های آن، سازوکارهای تعیین شده در این ماده را در چهار دسته مستعارسازی و رمزگذاری داده های شخصی، اطمینان از محرمانه بودن، یکپارچگی، دردسترس بودن و انعطاف پذیری سیستم ها و خدمات پردازشی، خطرات (ریسک) مرتبط با پردازش اطلاعات و رعایت الزامات شکلی قرار داده و در قسمت نتیجه گیری نیز مبادرت به ارائه برخی توصیه های سیاستگذارانه از جمله نحوه اصلاح قوانین و مقررات مصوب در نظام حقوقی ایران، آگاهی بخشی به مردم از طریق رسانه های ارتباط جمعی و نظام مند نمودن اعطای مجوز به فعالیت شرکت های فراملی به عنوان نتایج حاصل از بررسی ماده 32 مقررات مصوب سال 2016 اتحادیه اروپا نموده است.

حمایت قانونی از داده های شخصی به عنوان یکی از جنبه های حقوق بشر و مصداقی از حقوق شهروندی، ضروری است. حمایت جامع از داده های شخصی و اشخاص موضوع داده در برخی کشورها با وجود قوانین و مقررات خاص در این حوزه تحقق یافته است. در این خصوص مقررات عمومی حفاظت از داده اتحادیه اروپا قابل اشاره است که با حمایت های همه جانبه از داده های شخصی به الگویی در این زمینه تبدیل شده است. یکی از ابعاد حمایتی این مقررات، تصریح ضمانت اجراهای نقض حق بر داده های شخصی است. جریان عملی ضمانت اجراهای مختلفی که در این مقررات بیان شده است تا حد زیادی این مقررات را به هدف خود یعنی احیای حقوق نقض شده اشخاص موضوع داده و تحقق حمایت کامل از داده های شخصی نزدیک کرده است. از مهم ترین مصادیق چنین ضمانت اجراهایی، وجود حق جبران خسارت و اعمال جزای نقدی ازسوی مراجع نظارتی است. با تبیین هر یک از ضمانت اجراهای یادشده براساس مقررات اروپایی و بررسی تطبیقی آنها در نظام حقوقی ایران، مشخص شد که ضمانت اجراهای پیش گفته در حقوق ایران نیز برای نقض حق بر داده های شخصی پذیرفتنی است؛ اما حمایت جامع از داده های شخصی و تحقق کارآمد این ضمانت اجراها با تصریح قانونگذار حاصل می شود.

در عصر حاضر لزوم حمایت از داده های شخصی کاربران در فضای سایبر امری اجتناب ناپذیر می باشد، لذا حکومت ها و ساز و کار های منطقه ای و بین المللی نظیر اتحادیه اروپا نیز دست به فعالیت های تقنینی در این عرصه زده اند. از طرفی برداشت غالب در زمینه قوانین مصوب درون اتحادیه اروپا این است که اجرای این قوانین نیز محدود به سرزمین دولت های تشکیل دهنده این نهاد منطقه ای می باشد، حال آنکه از مفاد آخرین سند حفاظت از داده اروپا (GDPR: 2016) چنین برداشت می شود که ویژگی فرامرزی داشته و در خارج از مرز های اتحادیه نیز قابل اعمال است. پژوهش حاضر نیز با استفاده از روش تحلیلی توصیفی در تلاش است تا با بررسی متن این سند و نسخه قبلی آن (DPD: 1995)، و مهم ترین پرونده های مطرح شده در دیوان دادگستری اتحادیه اروپا در خصوص انتقال داده های شخصی کاربران اروپایی به ایالات متحده آمریکا، به بررسی امکان اعمال فرامرزی این سند در کشور های غیر عضو اتحادیه نظر آمریکا بپردازد. در نهایت یافته های پژوهش حاضر حاکی از آن است که با توجه به قدرت سیاسی و اقتصادی قابل توجه اتحادیه، تعداد زیاد کاربران اروپایی در فضای نت، تفاسیر و آراء ارائه شده توسط دیوان اروپا، سوابق ساز و کار های انتقال داده بین اروپا و آمریکا و همچنین ضمانت اجراهای پیش بینی شده در این سند، می توان گفت که عملا این مقررات ویژگی فرامرزی داشته و در خارج از اتحادیه نیز اعمال می شود.

مطالعه تطبیقی مسیولیت های نهادمتقاضی پردازش، کنترلگر و پردازشگر تحت مقررات اروپایی حمایت از داده های شخصی و لایحه » صیانت و حفاظت از داده های شخصی «چکیده در بسیاری از مواقع نهادهایی که داده های افراد را به طور بالفعل یا بالقوه در اختیار دارند اقدام به واگذاری پردازش داده ها به اشخاص ثالث می کنند، سوالی که مطرح می شود این است که واگذاری پردازش به چه نوع ارایه دهنده خدماتی می تواند به حفظ حریم خصوصی داده ها کمک کند؟ جای خالی پرداختن به تعریف و مسیولیت نهادمتقاضی پردازش در GDPR و لایحه صیانت و حفاظت از داده های شخصی احساس می شود. نهادمتقاضی علاوه بر اینکه باید بر مسیولیت اولیه خود آگاه باشد، لازم است تفاوت مسیولیتها و تعهدات بین استفاده از کنترلگر و پردازشگر را نیز درک کند. بررسی تطبیقی این نقش ها تحت GDPR و لایحه بسیار کاربردی است، در خصوص تنقیح تکالیف کنترلگران و پردازشگران لایحه نیاز به اصلاحاتی دارد، اما در کل تحت هر دو مقرره واگذاری خدمات به یک کنترلگر مستقل برای حفظ حریم خصوصی افراد و کاستن از تعهدات نهادمتقاضی موثرتر میباشد.

در راستای حمایت جامع از داده های شخصی و اشخاص موضوع داده، مقررات اروپایی مربوط به حفاظت از داده (GDPR) جنبه های مختلفی را موردتوجه قرار داده است. یکی از این حمایت ها، توجه ویژه به داده های شخصی است که به دلیل ماهیت حساسشان، نیازمند حفاظت بیشتری هستند (داده های شخصی خاص). این مقررات برای پردازش داده های شخصی خاص که شامل داده های شخصی حساس، داده ی شخصی مرتبط با امور کیفری و داده ی شخصی کودکان است، الزامات مختلفی را مقرر نموده است. این الزامات ازجمله اصل ممنوعیت پردازش داده های شخصی حساس است مگر اینکه استثنائی قانونی وجود داشته باشد. الزام دیگر، ضرورت وجود نظارت مرجع رسمی و جواز قانونی برای پردازش داده های شخصی مرتبط با امور کیفری است. هم چنین تعیین سن معین برای رضایت به پردازش نیز از الزامات پیش گفته برای حمایت از داده های شخصی کودکان است. این پژوهش با تبیین تفصیلی الزامات پیش گفته و شفاف سازی چگونگی پردازش داده ی شخصی خاص در حقوق اتحادیه اروپا؛ حمایت از داده ی شخصی خاص در حقوق ایران را نیز مورد بررسی قرار داده است. بررسی های انجام شده حکایت از این دارد که گرچه حقوق ایران در خصوص داده های شخصی قانونی مستقل ندارد تا برای حمایت از داده های شخصی خاص به آن استناد شود؛ لیکن می توان با توجه به قوانین و مقررات موجود، نظریات دکترین، مبانی حقوق ایران، بسیاری از الزاماتِ پردازش داده ی شخصی خاص موجود در مقررات اروپایی را در حقوق ایران نیز جاری دانست.