داده حساس

تأمین امنیت داده های کاربران از دسترسی غیرمجاز یکی از چالش های اساسی در حفاظت از اطلاعات است. در اغلب خط مشی های حریم خصوصی پلتفرم های ارائه دهنده خدمات، اعلام شده که پروتکل، سرور و لایه های امنیتی پلتفرم و روش های مناسب مدیریت داده ها، تلاش حداکثری برای امنیت داده ها خواهند کرد؛ با این حال، سازوکار و معیاری جهت اتخاذ تدابیر امنیتی شناسایی نشده است. در قوانین لازم الاجرا تنها قانون تجارت الکترونیک است که مقررات کلی در این حوزه مقرر کرده است. نوشتار حاضر با روش توصیفی-تحلیلی در بستر حقوق ایران صورت گرفته و درصدد بررسی الزامات حاکم بر امنیت داده کاربران است. نتیجه پژوهش نشان می دهد پردازشگران داده باید ضمن مسئول بودن در برابر امنیت داده، با در نظر گرفتن نوع داده، هزینه های اجرا و ماهیت، قلمرو، موضوع و اهداف پردازش و همچنین خطرات متنوع و آثار آن بر حقوق افراد، معیارهای فنی و سازمانی متناسبی را برای تضمین سطح مناسبی از امنیت در نظر بگیرند. بررسی دوره ای و ارزیابی و تنظیم گزارش از وضعیت سطح حفاظت از داده های مصرف کنندگان در پلتفرم ها و نیز ارائه شریان نظارتی برای مرکز ملی فضای مجازی از الزامات حفاظت از داده است. کمیسیون عالی تنظیم مقررات فضای مجازی کلیه ارائه دهندگان خدمات را مکلف کرده که از طریق اصلاح سیاست های حریم خصوصی خود، داده هایی که منجر به شناسایی هویت کاربران می شوند را طی دو ماه رمزنگاری کرده و «حق حذف» اطلاعات را برای کاربران شناسایی کنند. نتیجه آن که با توجه به نواقص دستورالعمل، از جمله کلی گویی، عدم شناسایی بستر ویژه جبران خسارت، و ابهام و سکوت مفاد دستورالعمل در برخی موارد و نیز اتکای ضمانت اجرا به مسئولیت مدنی و کیفری، تصویب قانون حفاظت از داده های افراد در کنار تشویق نظام خودتنظیم گری پلتفرم ها، از جمله راهکارهای عملی به نظر می رسند.

در روزگار ما، استفاده از فضای مجازی گریزناپذیر شده است. قانون گذاری و حفاظت از حقوق کاربران نیز از ملزومات زیست مجازی است. در این میان، تعریف داده شخصی، به عنوان معیاری برای تعیین داده های مشمول قوانین حفاظت از داده ها، اهمیت ویژه ای دارد؛ زیرا تا زمانی که داده به شخصی خاص مربوط نباشد، گویی حریم شخصی نقض نشده است و در نتیجه، نیازی هم به حمایت نیست. حال سؤال این است که چه داده هایی شخصی به حساب می آیند؟ آیا می توان مصادیق قطعی داده شخصی را مشخص کرد؟ در پاسخ می توان گفت برای تعیین داده شخصی باید بررسی و تحلیل موردی انجام داد و نمی توان به وضع قاعده ای کلی بسنده کرد؛ زیرا بسته به عواملی نظیر امکانات، زمان، ماهیت داده، هزینه شناسایی، پیشرفت های فناوری و هدف پردازش داده، شخصی یا ناشناس بودن داده تفاوت می کند. در باب تعیین مصادیق قطعی داده شخصی نیز، هرچند نمی توان به قطعیت حکم کرد، برخی موارد خاص، مانند نام خانوادگی به همراه شناسه های دیگر و داده مستعار با احتمال شناسایی بالا، اغلب در اتحادیه اروپا و ایالات متحده آمریکا داده شخصی به حساب می آیند. در این مقاله، قوانین و رویه قضایی اتحادیه اروپا و ایالات متحده آمریکا، به عنوان سیستم های حقوقی مؤثر و پیشرو در حوزه حفاظت از داده ها، در راستای تعیین معیاری برای تشخیص داده شخصی و مصادیق آن بررسی شده است.