لو رفتن اطلاعات کاربران در فضای مجازی؛ حقوق کاربران کجاست؟
پرنیان بختیاری*
وقتی در سال 2018 شرکت کمبریج آنالیتیکا به علت پردازش غیر قانونی اطلاعات 50 میلیون کاربر فیس بوک بسته شد و همزمان «مقررات حفاظت از داده اتحادیه اروپا» برای حمایت از اطلاعات اشخاص مقیم اتحادیه اروپا اجرایی گردید، گمان نمیرفت که ملاحظات درج شده در این قانون و به خصوص اخذ رضایت کاربران شبکه های اجتماعی در دسترسی و پردازش اطلاعاتشان توسط شرکتهای پردازشگر تا این حد در ایران محل بحث و بررسی قرار گیرد.
از ابتدای سال 1399 خبرهای متعددی مبنی بر افشا و بعضا فروش و استفاده از اطلاعات کاربران ایرانی در شبکههای اجتماعی و وب سایتهای سرویس دهنده دولتی و خصوصی به گوش میرسد. سوالاتی که در این خصوص مطرح میشود این است که صرف افشا اطلاعات کاربران برای آنها حق طرح دعوی به طرفیت شرکت کنترلگر(شرکتی که کاربران جهت استفاده از سرویس مورد نظر، اطلاعات خود را در بستر آن ذخیره میکنند) ایجاد میکند یا باید منتظر ورود ضرر و زیان و سوء استفاده از اطلاعات کاربران بود؟ و اصولا نقض حریم خصوصی افراد در قانون ایران از کدام مجری قانونی قابل پیگیری است؟
و سوال دوم، در خصوص پردازش اطلاعات کاربران است. آیا پردازش اطلاعات کاربران بدون اخذ رضایت آنها قابل پیگیری قضایی است؟ و آیا اصولا در قانون ایران معیارهای پردازش قانونی تعریف شده هستند؟
حریم خصوصی در «مقررات حفاظت از داده اتحادیه اروپا» دارای تعریفی عام با مصادیق تمثیلی است:
«هر نوع اطلاعات مربوط به یک شخص حقیقی شناسایی شده و یا قابل شناسایی را حریم خصوصی آن شخص میگویند.»
و پردازش نیز اینچنین تعریف گردیده: «انجام هرگونه عملیات بر این اطلاعات از جمله جمع آوری، ضبط، دسته بندی و... ». از این تعاریف اینطور برداشت میشود که حتی ذخیره اطلاعات کاربران در ابتدایی ترین سطح خود، نیازمند رضایت کاربر است.
حریم خصوصی کجاست؟
از سوی دیگر در حقوق ایران، تعاریفی از حریم خصوصی و تبعات نقض آن و همچنین جرایمی که در ارتباط با مباحث رایانهای مطرح است تدوین و تصویب گردیده. از جمله میتوان از اصول 22و 25 قانون اساسی که ریشه در مبحث فقهی «عدم تجسس» دارد نام برد که به صورت تلویحی به تعریف حریم خصوصی پرداخته است.
و یا بند ب ماده 25 قانون جرایم رایانهای که فروش یا انتشار یا در دسترس قراردادن گذر واژه یا هر دادهای که امکان دسترسی غیرمجاز به دادهها یا سامانههای رایانهای یا مخابراتی متعلق به دیگری بدون رضایت شخص را جرم تلقی نموده و یا، بند ۱ ماده ۲ لایحه حمایت از حریم خصوصی(لایحهای که تصویب نشد) که در تعریف حریم خصوصی میگوید: «قلمرویی از زندگی هر شخص است که آن شخص یا با اعلان قبلی در چارچوب قانون، انتظار دارد تا دیگران بدون رضایت وی به آن وارد نشوند یا بر آن نگاه یا نظارت نکنند و یا به اطلاعات راجع به آن دسترسی نداشته یا در آن، قلمرو وی را مورد تعرض قرار ندهند.»
همچنین در لایحه جامع شفافیت در تعریف حریم خصوصی آمده: «قلمرویی از زندگی هر شخص که برابر قانون یا عرف از دسترسی دیگران مصون است.»
و یا در تعریفی دیگر از حریم خصوصی در آیین نامه اجرایی قانون انتشار و دسترسی آزاد به اطلاعات، حریم خصوصی با درج صریح اطلاعات رایانهای بدین صورت تعریف گردیده: «حریم خصوصی قلمرویی از زندگی شخصی فرد است که انتظار دارد دیگران بدون رضایت یا اعلام قبلی وی یا به حکم قانون یا مراجع قضایی آن را نقض نکنند؛ از قبیل حریم جسمانی، وارد شدن، نظارهکردن، شنود و دسترسی اطلاعات شخصی فرد از طریق رایانه، تلفن همراه، نامه، منزل مسکونی، خودرو و آن قسمت از مکانهای اجاره شده خصوصی نظیر هتل و کشتی، همچنین آنچه که حسب قانون فعالیت حرفهای خصوصی هر شخص حقیقی و حقوقی محسوب میشود؛ از قبیل اسناد تجاری و اختراعات و اکتشافات.»
همچنین در ماده 78 قانون تجارت الکترونیک در زمینه ورود خسارت به اشخاص در اثر نقص يا ضعف سيستم اینچنین آمده: «هر گاه در بستر مبادلات الكترونيكي در اثر نقص يا ضعف سيستم موسسات خصوص و دولتي به جز در نتيجه قطع فيزيكي ارتباط الكترونيكي خسارتي به اشخاص وارد شود، موسسات مزبور مسئول جبران خسارت وارده مي باشند مگر اينكه خسارات وارده ناشي از فعل شخصي افراد باشد كه در اين صورت جبران خسارات بر عهده اين اشخاص خواهد بود.»
با توجه به تعاریف حریم خصوصی و سایر قوانین مرتبط با مباحث رایانهای، اولا: حریم خصوصی، حریم اطلاعات فردی کاربر در فضای رایانهای شرکت کنترلگر را نیز در بر میگیرد و ثانیا: با توجه به این که مسئولیت مدنی شامل تمامی انواع ضرر و زیانهای مادی و معنوی است و با اثبات تقصیر طرف خاطی که در موارد افشای اطلاعات اخیر، وفق اعلامیه مرکز" ماهر"، «وجود بانک های اطلاعات کاملا حفاظت نشده یا دارای حفاظت خیلی ضعیف در سطح اینترنت» منجر به نقض حریم خصوصی افراد گردیده ( فارغ از اتفاقات و سوء استفادههای احتمالی آتی)، قابلیت طرح شکایت از طریق مراجعه به مقررات مسئولیت مدنی قابل پیگیری قضایی است (همانگونه که در سایر کشورها نقض حریم خصوصی به هر طریق، برای کاربر امکان طرح شکایت با استناد به خسارت معنوی وارده را در قالب دعاوی فردی یا جمعی فراهم میکند.)
مساله قابل تأمل در اینجا این است که با توجه به عدم تمایل دستگاه قضایی ما به صدور آراء مبتنی بر ورود خسارات معنوی و استثنایی بودن صدور آراء جبران خسارات معنوی، آیا دعاوی نقض حریم خصوصی با دید ورود ضرر و زیان معنوی به کاربر مسموع خواهد بود؟ با وجود خلأ ضمانت اجراهای کیفری در زمینه نقض حریم خصوصی کاربر و عدم وجود دعاوی جمعی در ایران، آیا در حال حاضر تنها راه حمایت از حریم خصوصی در فضای اطلاعات رایانهای، قبول ورود ضرر و زیان معنوی نیست؟
در خصوص سوال دوم و در مبحث پردازش قانونی اطلاعات، در قلمرو اتحادیه اروپا به دلیل مجازات های سنگینی که مطابق «مقررات حفاظت از داده اتحادیه اروپا» برای متخلفان وضع میگردد، توجه به نحوه جمع آوری اطلاعات کاربران و درج صریح معیارهای پردازش قانونی، شکلی سختگیرانه به خود گرفته است تا جایی که پردازش اطلاعات باید با ابراز رضایت کاربران صورت گرفته و کاربر این حق را دارد که با حق دسترسی، اطلاعات خود را حذف نماید و چنان چه اطلاعات به صورت ناقص و اشتباه وارد شده باشند آنها را تصحیح نموده و حتی حق رجوع از اذن خود را نیز در هر مرحله از پردازش دارد. در ایران به غیر از لایحهی تصویب نشده حمایت از حریم خصوصی که از نظر اصطلاحات و تعاریف و پیش بینی معیارهای قانونی بودن پردازش، شباهت زیادی به قانون اتحادیه اروپا داشت، قانونی نمیتوان یافت که به صورت واضح در خصوص نحوه انجام پردازش قانونی با حفظ حقوق کاربر پرداخته باشد.
شایان ذکر است به علت حساسیت موضوع، شورای عالی فضای مجازی اقدام به تقسیم کار در زمینه پیشگیری و مقابله با حوادث سایبری نموده. حملات و نقض های امنیتی زیر ساخت های حیاتی کشور مانند حوزه های مالی و بانکی، ثبت احوال، انرژی و حمل و نقل و ... به مرکز راهبردی افتا ریاست جمهوری سپرده شد و مقابله با حوادث و حملات در حوزه شهروندان و کسب و کارهای خصوصی شامل داده های مربوط به اپلیکیشن ها و بانکهای داده غیر دولتی به پلیس فتا سپرده شد و مسئولیت حوادث و حملات سایبری بخشهای غیر حساس دولتی نیز به عهده وزارت ارتباطات و مرکز ماهر قرار گرفت.
*وکیل پایه یک دادگستری
