خطوة للأمام لضمان حقوق الإنسان في التحول الرقمي

حماية البيانات الشخصية هي حماية حقوق الإنسان والحريات الأساسية فيما يتعلق بالبيانات.

في 17 أبريل 2023، أصدرت الحكومة المرسوم رقم 13/2023/ND-CP (المرسوم) بشأن حماية البيانات الشخصية، والذي دخل حيز التنفيذ اعتبارًا من 1 يوليو 2023، والذي يلبي متطلبات حماية حقوق البيانات الشخصية؛ ومنع أعمال انتهاك البيانات الشخصية التي تؤثر على حقوق ومصالح الأفراد والمنظمات.

أبرز الأحداث

المرسوم هو وثيقة قانونية تنظم حماية البيانات الشخصية ومسؤولية الهيئات والمنظمات والأفراد المعنيين بحماية البيانات الشخصية.

أولاً، حماية البيانات الشخصية هي حماية حقوق الإنسان وحرياته الأساسية المتعلقة بالبيانات. وتهدف أحكام مرسوم حماية البيانات الشخصية، عند تطبيقه، إلى منع انتهاك الحقوق والحريات الشخصية لكل شخص.

وفي الوقت نفسه، فإن أمن البيانات الشخصية له أهمية خاصة لأنه إذا سُرقت البيانات، فقد يتسبب ذلك في خسائر اقتصادية واجتماعية ومخاطر مثل: الابتزاز، والاحتيال، والاستيلاء على الممتلكات، والتشهير، وانتهاك الشرف والكرامة، والاعتداء الجنسي...، مما يتسبب في عواقب مادية وروحية، تؤثر بشكل مباشر على حقوق ومصالح الهيئات والمنظمات والشركات والأفراد المشروعة.

ثانيًا، تعزيز واحترام حقوق أصحاب البيانات الشخصية. تشمل هذه الحقوق حق الوصول، وحق الموافقة على معالجة البيانات الشخصية أو رفضها، وحق الحصول على المعلومات، وحق طلب حذف البيانات.

علاوةً على ذلك، يحق لأصحاب البيانات حماية أنفسهم من أي انتهاك آخر لبياناتهم الشخصية. ويحق لهم طلب تعويض عن الأضرار في حال انتهاك أحكام المرسوم بما يضر بالحق في حماية البيانات الشخصية. كما ينص المرسوم بوضوح على أن جمع البيانات الشخصية أو نقلها أو شرائها وبيعها دون موافقتهم يُعدّ مخالفة للقانون.

ومع ذلك، فإن حق الشخص المعني في حماية البيانات الشخصية ليس حقًا مطلقًا، بل يمكن تقييده في حالات الطوارئ لحماية حياة وصحة الفرد أو الآخرين؛ حالات الطوارئ المتعلقة بالدفاع الوطني والأمن والنظام الاجتماعي والسلامة؛ أداء الالتزامات التعاقدية المحددة، أو خدمة أنشطة الوكالات الحكومية وفقًا لما ينص عليه القوانين المتخصصة.

ويهدف توفير الاستثناءات إلى تنفيذ مبدأ ضمان حقوق الأفراد والمنظمات ولكن دون المساس بالحقوق والمصالح المشروعة للأفراد والمنظمات الأخرى أو المصالح الوطنية في ممارسة تلك الحقوق.

ثالثًا، تعزيز التكامل الدولي في مجال حماية البيانات الشخصية. يتوافق المرسوم مع الممارسات واللوائح الدولية المتعلقة بحماية البيانات الشخصية. وقد شرّعت العديد من الدول المتقدمة مسألة حماية البيانات الشخصية، وهو ما يُشكّل أساسًا للدراسة والرجوع إليه في فيتنام.

بالإضافة إلى ذلك، أصدرت المنظمات الدولية التي تنضم إليها فيتنام أو تتعاون معها اتفاقيات وتوصيات ومعايير بشأن الخصوصية وحماية المعلومات والبيانات الشخصية. وتشمل هذه الاتفاقيات مبادئ الخصوصية لمنظمة التعاون الاقتصادي والتنمية (OECD)، واتفاقية مجلس أوروبا بشأن حماية الأفراد فيما يتعلق بالمعالجة الآلية للمعلومات والبيانات الشخصية، وإرشادات الأمم المتحدة بشأن البيانات الشخصية وملفات المعلومات المحوسبة، وإطار الخصوصية لمنتدى التعاون الاقتصادي لآسيا والمحيط الهادئ (APEC)، والمعايير الدولية بشأن الخصوصية وحماية المعلومات والبيانات الشخصية (قرار مدريد)، واللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي...

بالإضافة إلى ذلك، وفي إطار تعزيز التعاون بين بلدنا والدول والأقاليم الأخرى، أصدرت أكثر من 80 دولة وثائق قانونية بشأن حماية البيانات الشخصية، يتضمن العديد منها أحكامًا تنطبق على المنظمات والأفراد الفيتناميين. ولذلك، تهدف اللوائح المحددة والمفصلة بشأن حماية البيانات الشخصية إلى تهيئة بيئة من المساواة واحترام القانون في فيتنام، بما في ذلك للأفراد والمنظمات الأجنبية.

التحديات

وفي الوقت الحاضر، لا تزال هناك العديد من التحديات الهامة التي تعترض تنفيذ المرسوم.

أولاً، التحدي في إدارة موظفي الشركات. حالياً، تُنشئ العديد من الشركات نموذج الشركة الأم والشركات الفرعية بنظام إدارة واحد، مما يُتيح الوصول بسهولة إلى معلومات الموظفين من خلال النظام الموحد.

ومع ذلك، بموجب القانون الفيتنامي، تعتبر كل شركة (بما في ذلك الشركات الأم والشركات التابعة) كيانًا قانونيًا منفصلاً ومستقلًا، وبالتالي فإن نقل البيانات الشخصية للموظفين من قبل الشركات في نفس النظام البيئي لخدمة عملية الإدارة الداخلية للمؤسسة يمكن اعتباره أيضًا انتهاكًا لمسؤولية المؤسسة عن حماية البيانات الشخصية.

من ناحية أخرى، تواجه العديد من المؤسسات حاليا صعوبات في تطبيق المرسوم ولم تستكمل بعد الآلية والتنظيم في إدارة وحماية البيانات الشخصية للموظفين وفقا للمرسوم.

ثانيًا، لا يتوافق هذا مع اللوائح القانونية المتعلقة بعمليات مؤسسات الائتمان. حاليًا، تُنظَّم عمليات مؤسسات الائتمان بموجب لوائح قانونية متخصصة، مثل: قانون مؤسسات الائتمان لعام ٢٠١٠ (المُعدَّل والمُكمَّل عام ٢٠١٤)؛ وقانون مكافحة غسل الأموال؛ والمرسوم ١١٧/٢٠١٨/ND-CP بشأن الحفاظ على سرية معلومات عملاء مؤسسات الائتمان وفروع البنوك الأجنبية وتوفيرها؛ والتعميم رقم ٠٩/٢٠٢٠/TT-NHNN الصادر عن بنك الدولة، والذي يُنظِّم أمن أنظمة المعلومات في العمليات المصرفية على مستوى أدنى من القانون.

من ناحية أخرى، بالنسبة للأنشطة المصرفية، تؤثر معالجة البيانات على البيانات الشخصية، مثل: جمع البيانات الشخصية وتسجيلها وتحليلها وتأكيدها وتخزينها وتحريرها ونشرها ودمجها والوصول إليها واسترجاعها واسترجاعها وترميزها وفك تشفيرها ونسخها ومشاركتها وإرسالها وتوفيرها ونقلها وحذفها وتدميرها أو غيرها من الإجراءات ذات الصلة ضرورية لتقديم الخدمات للعملاء وإدارة المخاطر في الأنشطة المصرفية، وضمان سلامة وأمن النظام النقدي، لذلك فإن العديد من أنشطة معالجة بيانات العملاء الشخصية لا يمكنها ولا تتطلب موافقة العملاء، في حين تنص المادة 2، المادة 3 والفقرة 1، المادة 9 من المرسوم على أن للكيانات الحق في معرفة معالجة بياناتهم الشخصية، إلا في الحالات التي تنص فيها القوانين الأخرى على خلاف ذلك.

أو في البند 2، تنص المادة 9 على أن للموضوع الحق في عدم الموافقة على معالجة بياناته الشخصية؛ وللموضوع الحق في حذف البيانات والوصول إليها وطلب تقييد معالجتها والاعتراض عليها، إلا في الحالات التي يتضمن فيها قانون آخر أحكامًا أخرى في المادة 9. وبالتالي، سيكون من المربك وغير المناسب تطبيق المرسوم بشكل صارم ودون توجيه موحد.

بالإضافة إلى ذلك، يتم تقديم الخدمات والمنتجات من قبل المؤسسات الائتمانية من خلال العديد من العمليات على منتج واحد، وتتضمن كل عملية على منتج واحد العديد من الخطوات المختلفة وتتعلق بجمع البيانات وتقييمها وتحليلها وتوفيرها حول ملفات العملاء الضخمة جدًا، في حين أن المرسوم يفرض على مسؤول البيانات الشخصية ومعالجها الحصول على موافقة صاحب البيانات (العميل) في جميع إجراءات المعالجة عند إجراء أي أنشطة معالجة البيانات (المادة 11)؛ وقبل إجراء أنشطة معالجة البيانات، يجب إخطار صاحب البيانات الشخصية (المادة 13). ولا يزال هذا يشكل عقبة أخرى أمام عمليات المؤسسات الائتمانية.

علاوة على ذلك، يتعين على مؤسسات الائتمان تعديل أنظمة تكنولوجيا المعلومات الخاصة بها وغيرها من الوثائق الفرعية المتعلقة بعمليات مؤسسات الائتمان؛ ويجب مراجعة نماذج العقود والاتفاقيات للامتثال للمرسوم، مما يخلق صعوبات كبيرة للعمليات المصرفية.

ثالثًا، هناك عدد من الأشخاص لا يفهمون ولا يدركون أهمية حماية بياناتهم الشخصية، لذلك يقومون بسهولة بمشاركة المعلومات الشخصية على منصات التواصل الاجتماعي، مما يسمح للأشرار دون قصد باستغلالها لأغراض سيئة.

لا يرى بعض الأشخاص بوضوح قيمة حماية البيانات الشخصية في ضمان الخصوصية الشخصية، كما أنهم يخشون تقديم المعلومات الشخصية، مما يسبب صعوبات للسلطات في أداء إدارة الدولة لحماية البيانات الشخصية وكذلك خدمة التحقيق والتعامل مع انتهاكات القانون المتعلق بحماية البيانات الشخصية.

علاوةً على ذلك، فإنّ وضع شراء وبيع البيانات الشخصية، وخطر تسريب المعلومات، يُخلّف عواقب وخيمة تؤثر على القضايا الاقتصادية والاجتماعية. ولا تزال ظواهر الاحتيال والإعلانات المزعجة عبر المكالمات والرسائل مُعقّدة، وتُؤثّر على حياة الناس.

يكتسب أمن البيانات الشخصية أهمية خاصة، إذ قد تُسبب سرقة البيانات خسائر اقتصادية واجتماعية، مما يؤثر بشكل مباشر على حقوق ومصالح الهيئات والمنظمات والشركات والأفراد المشروعة. (المصدر: Shutterstock)

وضع المرسوم موضع التنفيذ

فيتنام من الدول التي تتمتع بأعلى سرعة في تطوير وتطبيق الإنترنت في العالم، إذ يتجاوز عدد مستخدميها 70 مليون مستخدم. وتُخزَّن البيانات الشخصية لأكثر من ثلثي سكان البلاد، وتُنشر وتُشارك وتُجمع في البيئة الرقمية، الفضاء الإلكتروني، بأشكال ومستويات تفصيل مختلفة.

ويشكل المرسوم إنجازًا كبيرًا في ضمان حقوق الإنسان في التحول الرقمي، والتغلب على أوجه القصور والقصور في ممارسة ضمان وحماية وتأمين البيانات الشخصية، وزيادة المسؤولية على الوكالات والمنظمات والأفراد المحليين والأجانب الذين يشاركون بشكل مباشر في أنشطة معالجة البيانات الشخصية في فيتنام أو يرتبطون بها.

ولكي يكون المرسوم فعالاً فعلياً في التطبيق العملي، فمن الضروري التركيز على القضايا التالية:

أولاً، تعزيز مسؤولية الشركات في حماية حقوق العمال. عند استخدام العمالة، يجب على الشركات جمع معلومات الموظفين وتخزينها. ولأغراض إدارة العمل، يتلقى أصحاب العمل والشركات كميات كبيرة من المعلومات الشخصية للموظفين ويديرونها، ولكن الإهمال في إدارة ومعالجة هذه المعلومات سيؤدي إلى عواقب وخيمة.

وتحتاج الشركات إلى دراسة تأثيرات المرسوم بعناية وتقييمها بشكل شامل، ومراجعة وتحديث الإجراءات والتعليمات الخاصة بالتعامل مع البيانات الشخصية وفقًا للوائح الجديدة على الفور؛ والنظر في إنشاء آليات وبناء لوائح حوكمة بناءً على أحكام المرسوم؛ والحفاظ على تلك الآليات واللوائح والامتثال لها طوال عملية التشغيل.

ثانيًا، تذليل الصعوبات التي تواجه أنشطة الائتمان لمؤسسات الائتمان . على بنك الدولة التنسيق بشكل وثيق مع الوزارات المعنية، وخاصة وزارة الأمن العام، لإصدار مبادئ توجيهية موحدة بشأن حماية البيانات الشخصية في قطاع الائتمان، بما يضمن تعزيز المسؤولية التشغيلية لمؤسسات الائتمان في حماية بيانات العملاء، ويلبي المتطلبات والمهام المتخصصة.

ثالثًا، لكي يدخل المرسوم حيز التنفيذ، من الضروري بذل جهود حثيثة في مجال الدعاية والتثقيف لتعميم القانون. وعلى وجه الخصوص، من الضروري التأكيد على ضرورة إصدار المرسوم بما يحقق أسمى غاياته، وهو احترام وحماية الحقوق المدنية وحقوق الإنسان. والأهم من ذلك، يجب على صاحب البيانات الشخصية أن يفهم تمامًا ويرفع مستوى وعيه ومسؤوليته في حماية بياناته الشخصية.