استفاده از رویکرد بازار آزاد برای تحولات دیجیتال کنونی در عمل، خنثی و بی اثر خواهد بود؛ چراکه شرایط اجازه دادن به بازارها از طریق تعامل پویای عرضه و تقاضا برای خودتنظیم گری یکسان نخواهد بود. این امر، ممکن است در طولانی مدت منجر به تقویت روندها و موقعیت قدرتهای مسلط کنونی در بازار شود که در نهایت رقابت را مخدوش میکند و مانع از شکلهای پویا و توزیعشدهتر نوآوری خواهد شد.
فائزه اسمعیلی، کارشناس ارشد حقوق عمومی دانشگاه تهران و عضو آزمایشگاه داده و حکمرانی، در مقالهای قانون حفاظت از دادههای شخصی (GDPR) و چالشهای پیشروی اجرای این قانون را بررسی کرده است.
گفتمانی از جنس تنظیم مقررات
امروزه یک گفتمان رایج در رسانهها و فضای اندیشگاهی و نخبگانی متمایل به بازار آزاد این است که اصولا هرگونه تلاشی برای مقرراتگذاری و نظاممند کردن تحولات در عصر دیجیتال، خلاقیت و نوآوری را قربانی میکند و عوارض جانبی نامطلوبی بهبار میآورد که غالبا سنگینتر و پرهزینهتر از مزایای آن هستند.
این گفتمان را میتوان در این دیدگاه خلاصه کرد که تنظیمگری، دشمن مهلکِ نوآوری است و از این رو، بهخاطر اهمیت رشد اقتصادی و نوآوری در توسعه، حوزههای مختلف فناورانه باید تا حد امکان مقرراتزدایی شوند و یا اداره آنها از طریق شکلهای مختلف خودتنظیمگری و استانداردسازی عملی، به بخش خصوصی واگذار شود.
در نتیجه چنین گفتمانی، تلاشها برای تنظیم مقررات، بهعنوان اشکالی جدید از حمایتگرایی دوستدار نوآوری مطرح میشود. این گفتمان را میتوان براساس استدلالهای تاریخی و اقتصادی پاسخ داد و با آن مقابله کرد؛ چراکه این دولتها بودهاند که در طول تاریخ زیرساختهای اساسی را برای توسعه اقتصادی فراهم کردهاند.
استفاده از رویکرد بازار آزاد برای تحولات دیجیتال کنونی در عمل، خنثی و بیاثر خواهد بود؛ چراکه شرایط اجازه دادن به بازارها از طریق تعامل پویای عرضه و تقاضا برای خودتنظیمگری یکسان نخواهد بود. این امر، ممکن است در طولانی مدت منجر به تقویت روندها و موقعیت قدرتهای مسلط کنونی در بازار شود که در نهایت رقابت را مخدوش میکند و مانع از شکلهای پویا و توزیعشدهتر نوآوری خواهد شد.
این در حالی است که به اعتقاد صاحبنظران، نمود چنین دیدگاهی در رویکرد واقعی کشورها به قانونگذاری و مواجهه با مسائل حوزه فناوریهای دیجیتال، تا حد زیادی با موقعیت آنها نسبت به شرکتهای بزرگ و بازیگران کلیدی صنعت ارتباط دارد.
به بیان دیگر، جاماندن از صف قدرت های اصلی اکوسیستم دیجیتال در جهان زمینه ساز توسل و اتکا بیشتر اتحادیه اروپا بر مقررات و قوانین برای کنترل و اعمال حکمرانی از طریق قانون نسبت به غول های سیلیکون ولی بوده است. مقررات عمومی حفاظت از داده های شخصی(GDPR) مسلما در زمره برجسته ترین تلاشهای قانونی یکپارچه حاکمیت ها با هدف تنظیم رابطه سه جانبه میان کاربران، بخش خصوصی و دولت پیرامون عنصر بنیادین سازنده، مولد و محرک اقتصاد دیجیتال یعنی «داده شخصی» محسوب می شود که با گذشت حدود 4 سال از اجرای آن میتوان با نگاه به مسیر طی شده، قضاوتی منصفانه و نتیجه محور در خصوص سیاه و سفید بازتولید این تجربه در اکوسیستم اقتصاد دیجیتال کشور انجام داد.
امروزه تحلیل و پردازش دادهها، اساس فعالیت بسیاری از کسبوکارهای آنلاین و آفلاین در سراسر جهان است، ردیابی فعالیت ما در فضای مجازی، اطلاعاتی که در فرمها و نظرسنجیها وارد میکنیم و دادههای شخصی ما که میان شرکتها و سازمانهای مختلف رد و بدل میشود، مبنای توسعه انواع خدمات شخصیسازی شده و فناوریهای مرتبط با آنها هستند. رسانههای اجتماعی تلاش میکنند محتواهایی را که به طور خاص کاربران بیشتر به آنها علاقه دارند، به ایشان نشان دهند، شرکتهای تبلیغاتی میخواهند تبلیغات مرتبط با نیازهای شما را نمایش دهند و به طور کلی میتوان گفت کسب وکارها با هدف افزایش سود خود، از دادههای مختلف از جمله دادههای شخصی مربوط به هریک از ما استفاده میکنند تا با توسعه فناوریهای به روزتر و کارآمدتر، خدمات بهتر و ارزشمندتری در مقایسه با رقبای خود ارائه دهند.
البته جمعآوری، ذخیرهسازی و پردازش دادههای شخصی توسط شرکتهای مختلف بدون خطر نیست و امکان دسترسی افراد غیرمجاز به پایگاههای اطلاعاتی، سرقت هویت، مهندسی افکار و نظرات – که به طور خاص در زمان برگزاری انتخابات حساسیت بیشتری دارد – و افشای عمومی دادهها به هر نحو، تنها بخشی از خطراتی است که دادههای شخصی ما را تهدید میکند. در این میان بعضی از دادههای شخصی مثل اطلاعات پزشکی، مالی و هویتی از حساسیت بیشتری برخوردارند و انتظار میرود اقدامات امنیتی بیشتری برای محافظت از این دادهها انجام شود.
چرا GDPR؟
مجموع دغدغهها و ملاحظات مربوط به کاهش خطرات ناشی از جمع آوری و پردازش دادههای شخصی توسط شرکتهای فناوری، موجب تصویب قوانین مرتبط با محافظت از دادههای شخصی در کشورهای مختلف جهان شده است.
مقررات عمومی محافظت از داده (General Data Protection Regulation) که با نام اختصاری GPPR شناخته میشود، یکی از برجستهترین قوانین حوزه صیانت از داده است. GDPR توسط اتحادیه اروپا تصویب شده و بعد از اجرای آن در سال 2018، الگوی تصویب قوانین مشابه در کشورهای دیگر جهان از جمله ترکیه، ژاپن، برزیل، آرژانتین و … قرار گرفته است.
قانون GDPR نماینده رویکردی ویژه و نسبتاً پرطرفدار نسبت به مساله محافظت از دادههای شخصی است که در کشور ما نیز منبع پیشنهادات سیاستی و لوایح و طرحهای مختلفی در سالهای اخیر قرار گرفته است. شناخت نقاط ضعف و قوت این قانون میتواند به ارزیابی این طرحها و لوایح و آینده حکمرانی داده در کشور کمک کند.
در توصیف قانون GDPR میتوان گفت، محور اصلی تکالیف مقرر شده در این قانون، به رسمیت شناختن حق اشخاص نسبت به دادههای خود و به تبع آن الزام شرکتها نسبت به فراهم کردن شرایط و امکانات حداکثری مدیریت و کنترل بر دادههای شخصی است.
GDPR مجموعه مفصلی از حقوق، از جمله «حق دسترسی، اصلاح و پاک کردن دادهها، حق اعتراض نسبت به پردازش داده و حق انتقال دادههای شخصی از یک سیستم به سیستم دیگر» را برای شخص موضوع داده به رسمیت شناخته است و برای رعایت این حقوق، تمامی کسانی که دادههای شخصی را پردازش یا کنترل میکنند، باید الزامات خاص مربوط به جمعآوری، ذخیرهسازی، پردازش و انتقال داده را رعایت کنند.
البته اثرات واقعی ناشی از اجرای قانون GDPR، با اهداف اولیه تصویب آن، متفاوت است؛ منتقدان GDPR به ۵ چالش اصلی ناشی از اجرای این قانون اشاره کردهاند که البته منحصر به GDPR نیست و تقریباً در مورد تمامی قوانین صیانت از داده که از GDPR الهام گرفتهاند، صادق است.
در ادامه مختصراً به این 5 چالش اصلی اشاره میکنیم:
1- GDPR، باعث قدرت گرفتن کسب وکارهای بزرگتر و ضعیف شدن کسب وکارهای کوچکتر میشود: رعایت استانداردهای مقرر شده در GDPR و فراهم کردن ابزارها و امکانات اجرای این قانون، هزینه سنگینی بر دوش کسبوکارها میگذارد، اگرچه این هزینه برای شرکتهای بزرگ، ناچیز است اما برای شرکتهای متوسط و کوچک، هزینه هنگفتی محسوب میشود که حتی ممکن است موجودیت آنها را به خطر بیندازد. آمارها نشان میدهد بعد از اجرای GDPR در اروپا، سهم بازار پلتفرمهای بزرگ آمریکایی مثل آمازون، فیسبوک و گوگل در اروپا افزایش پیدا کرده و سهم بازار شرکتهای کوچک کاهش یافته است.
در کشور ما که اعمال ضمانت اجرای قوانین علیه پلتفرمهای خارجی به سختی امکانپذیر است، تصویب قوانین محافظت از داده به معنای سختگیری نسبت به پلتفرمهای داخلی و تضعیف جایگاه آنها نسبت به پلتفرمهای خارجی خواهد بود، که با سیاستهای کلی حمایت از شرکتهای فناور و پلتفرمهای بومی همخوانی ندارد.
2- GDPR، اکوسیستم نوآوری و تحقیق را به خطر میاندازد: بسیاری از الزامات GDPR اساساً با عملکرد کلان داده، هوش مصنوعی، بلاکچین و یادگیری ماشین ناسازگار است، به ویژه مقرراتی که پردازشگران را ملزم به افشای اهداف پردازش میکند و از آنها میخواهد، پردازش دادهها را به حداقل برسانند. برخی از مهمترین پیشرفت های علمی اخیر نتیجه پردازش داده به روشهای مبتکرانه بوده است و باید توجه داشت در اغلب موارد امکان جلب رضایت از تمام اشخاص موضوع داده وجود ندارد.
3-GDPR، امنیت سایبری را کاهش میدهد: یکی از پیامدهای ناخواسته GDPR این است که شفافیت سیستمها را کاهش میدهد و شناسایی مجرمان را سخت میکند. مجرمان میتوانند در سایه مقررات GDPR، اطلاعات خود را پنهان نگه دارند و این موضوع به افزایش فعالیتهای غیرقانونی در فضای مجازی مثل سرقت ادبی و هنری، حملات سایبری، کلاهبرداری آنلاین منجر خواهد شد. تضاد بین حریم خصوصی افراد و حق آگاهی عمومی، نیازمند راهحلی متعادل است و تمرکز بیش از حد بر موضوع حریم خصوصی میتواند ناامنی بیشتری به وجود آورد.
4-GDPR، با اسم حمایت از مصرفکنندگان، قدرت دولت را افزایش میدهد: یکی از اصلیترین انتقاداتی که از ابتدا نسبت به قانون GDPR مطرح شده، این است که با اجرای این قانون، در عمل کنترل کاربران بر دادههایشان افزایش پیدا نکرده است، زیرا عدم وجود آموزشهای کافی باعث شده بسیاری از مردم از مفاد این قانون و حقوقشان اطلاعات کافی نداشته باشند و حتی در صورت اطلاع از این حقوق، معمولاً برای حفظ حریم خصوصی خود، استفاده از یک پلتفرم محبوب را کنار نمیگذارند. علاوه براین سازمانهای دولتی به ندرت ملزم به رعایت استانداردهای مشابه بخش خصوصی در ارتباط با جمعآوری و پردازش دادههای شخصی هستند و به نظر میرسد قوانین محافظت از داده، به صورت یکطرفه قدرت دولت را در این حوزه افزایش میدهند.
5-GDPR، موجب افزایش اعتماد آنلاین نشده است: همان طور که پیش از این اشاره شد، یکی از اهداف GDPR محافظت از حریم خصوصی کاربران و کاهش نگرانیها در رابطه با خطرات ناشی از جمعآوری و پردازش دادههای شخصی بوده است. بسیاری از مطالعات و نظرسنجیهای انجام شده پس از اجرای این قانون نشان میدهد، کاربران اروپایی احساس امنیت و اعتماد بیشتری در مقایسه با قبل ندارند و نگرانیها درمورد دادههای شخصی همچنان وجود دارد.
چالشهای قانون GDPR نشان میدهد، باوجود نگرانیهایی که درمورد سوءاستفاده از دادههای شخصی وجود دارد، رویکرد یکجانبه نسبت به این حوزه و نادیده گرفتن اثرات جانبی قوانین مشابه میتواند آسیبهای جبرانناپذیری برای کسبوکارهای کوچک و نوپا داشته باشد و مسیر رشد فناوریها را با خطر جدی مواجه کند. در شرایطی که حکمرانی داده در کشور ما هنوز به بلوغ نرسیده است و مباحثی همچون مالکیت داده، نحوه تعامل با پلتفرمهای خارجی و نظام سیاستگذاری در حوزه فضای مجازی روشن نیست، محدودیتگذاری و سختگیری نسبت به فعالان بخش خصوصی، میتواند نتایج زیانباری برای کشور به همراه داشته باشد.
این نکته نیز حائز اهمیت است که تجربه کشورهای اروپایی، تنها رویکرد قابل اتخاذ در حوزه صیانت از دادههای شخصی نیست و در کشورهایی همچون آمریکا، تصویب مقررات موضوعی (برای مثال در حوزه بهداشت و سلامت، امور مالی و …) با رویکرد آگاهیبخشی به کاربران توانسته است، چالشهای مربوط محافظت از دادههای شخصی را به طور نسبی تعدیل کند.
باید توجه داشت که «تلاش برای صیانت از دادههای شخصی» و «بهخطر انداختن فعالیت کسب وکارهای داخلی و اکوسیستم نوآوری در کشور» دو روی یک سکه هستند و سیاستگذاری در این حوزه نیازمند بررسی همهجانبه موضوع و درنظر داشتن شرایط داخلی کشور است.
منبع: ماهنامه نسل چهارم