القانون الدولي بشأن حماية البيانات الشخصية وتداعياته على فيتنام

باعتبارها واحدة من الدول التي تتمتع بأعلى معدلات تطوير واستخدام الإنترنت في العالم ، حيث يستخدم ما يقرب من 80٪ من السكان الإنترنت، يتم تخزين البيانات الشخصية لثلثي سكان فيتنام وتحميلها ومشاركتها وجمعها عبر الإنترنت بأشكال مختلفة وبمستويات متفاوتة من التفصيل.

في عامي 2022 و2023، رفعت فيتنام خمس دعاوى جنائية تتعلق بشراء وبيع آلاف الجيجابايت من البيانات ومليارات المعلومات الشخصية. وهذا يُبرز الحاجة المُلحة إلى تحسين قوانين حماية البيانات الشخصية استنادًا إلى البحث والرجوع إلى القانون الدولي.

القانون الدولي بشأن حماية البيانات الشخصية

يُعتبر قانون حماية البيانات العامة (GDPR) خطوة قانونية هامة إلى الأمام، حيث أنشأ الآلية الأكثر صرامة في العالم لحماية المعلومات الشخصية اليوم.

تعتبر اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي خطوة قانونية هامة إلى الأمام، حيث أنشأت الآلية الأكثر صرامة في العالم لحماية المعلومات الشخصية، وهي تنطبق على جميع المنظمات والشركات التي تعالج البيانات الشخصية لمواطني الاتحاد الأوروبي.

يفرض نظام حماية البيانات العامة (GDPR) عقوبات موحدة على المخالفات التجارية في جميع أنحاء الاتحاد الأوروبي. وتحديدًا، تبلغ العقوبة القصوى 2% من الإيرادات أو 10 ملايين يورو للمخالفات البسيطة، و4% من الإيرادات أو 20 مليون يورو للمخالفات الجسيمة. إضافةً إلى الغرامات، قد تواجه الشركات المخالفة لنظام حماية البيانات العامة عقوبات أخرى، مثل إجبارها على وقف عمليات معالجة البيانات أو حذف البيانات التي تمت معالجتها بما يخالف أحكام النظام.

هيئة حماية البيانات الشخصية في الاتحاد الأوروبي هي هيئة الإشراف على حماية البيانات في الاتحاد الأوروبي (EDPS) - وهي هيئة مستقلة أعضاؤها محامون ذوو خبرة، ومتخصصون في تكنولوجيا المعلومات، وإداريون.

تتمثل الوظيفة الرئيسية لهذه الوكالة في الإشراف على معالجة البيانات الشخصية داخل مؤسسات الاتحاد الأوروبي وتقديم المشورة بشأن المسائل المتعلقة بالبيانات الشخصية. كما يشترط النظام الأوروبي العام لحماية البيانات (GDPR) إنشاء هيئة لحماية البيانات الشخصية في كل دولة عضو، مثل اللجنة الوطنية لحماية البيانات الشخصية (فرنسا، أيرلندا، إلخ) أو هيئة تفتيش لحماية البيانات (فنلندا، لاتفيا، إلخ).

إلى جانب الهيئة الأوروبية لحماية البيانات، أنشأ الاتحاد الأوروبي أيضاً المفوضية الأوروبية لحماية البيانات، التي تضم ممثلين عن وكالات حماية البيانات الوطنية في الدول الأعضاء وممثلين عن الاتحاد الأوروبي. وتتمثل وظيفتها في العمل كهيئة استشارية مستقلة رئيسية بشأن قضايا حماية البيانات الشخصية، وهي المسؤولة عن التطبيق المتسق للائحة العامة لحماية البيانات في جميع أنحاء الاتحاد.

ينصّ نظام حماية البيانات العامة (GDPR) على عقوبات رادعة قوية، مادية ومعنوية. علاوة على ذلك، تعمل وكالة حماية البيانات الشخصية التابعة للاتحاد الأوروبي وفق نموذج المفوضية/المفوض، مما يمنحها سلطة واستقلالية كبيرتين لفرض عقوبات على المنظمات التي تنتهك لوائح حماية البيانات الشخصية، ولتقييم معالجة البيانات الشخصية واتخاذ القرارات بشأنها بشكل مستقل.

يُعتبر قانون حماية المعلومات الشخصية الصيني ، الذي سُنّ عام 2021، أول قانون شامل لحماية المعلومات الشخصية على المستوى الوطني في الصين. ويُقدّم هذا القانون رؤية موحدة نسبياً للبيانات الشخصية باعتبارها معلومات تهدف إلى تحديد هوية فرد معين أو التعرف عليه، ويستهدف تحديداً الأفراد داخل الصين (المادة 4، الفصل 1 من القانون). وفي الوقت نفسه، يُنظّم القانون البيانات الشخصية الحساسة، ويضع بذلك قواعد بشأن حقوق والتزامات الأطراف فيما يتعلق بمجموعات بيانات أكثر تحديداً.

تُعدّ العقوبات المفروضة على انتهاكات حقوق البيانات الشخصية بموجب لوائح حماية البيانات الشخصية صارمة للغاية، وتشمل التعويض الإلزامي، ومصادرة الدخل غير المشروع، وتعليق الخدمات، وإلغاء تراخيص التشغيل أو الأعمال، وغرامات تصل إلى 50 مليون يوان صيني أو 5% من الإيرادات السنوية للمنظمة في السنة المالية السابقة. إضافةً إلى ذلك، قد تُسجّل الانتهاكات في "السجل الائتماني" لوحدة المعالجة بموجب نظام الائتمان الاجتماعي الوطني.

علاوة على ذلك، ستُحمّل وحدات المعالجة المسؤولية عن الأضرار في حال انتهاكها لحقوق ومصالح المنظمات والأفراد. كما ينص قانون العقوبات الصيني تحديداً على عقوبات جنائية لهذه الأنواع من الانتهاكات، حيث يفرض عقوبات جنائية أشد على من يقع على عاتقهم واجب الحفاظ على السرية، ويضيف شكلاً من أشكال مصادرة الأصول، ويجعل السجن المؤبد أقصى عقوبة سجن.

يعترف قانون حماية البيانات الشخصية في سنغافورة (PDPA)، الذي تم إقراره في عام 2012 (وتم تعديله في عام 2020)، بالحق في حماية البيانات الشخصية وضرورة قيام المنظمات بجمع المعلومات واستخدامها والإفصاح عنها لأغراض مناسبة للظروف المحددة.

ينص قانون حماية البيانات الشخصية أيضًا على عقوبات مالية صارمة لانتهاكات البيانات. سيواجه الأفراد الذين يخالفون القانون غرامات أو السجن. ويعتمد مبلغ الغرامة على طبيعة المخالفة وخطورتها، ويتراوح بين 2000 دولار سنغافوري و100000 دولار سنغافوري (ما يعادل 1.6 مليار دونغ فيتنامي تقريبًا)، و/أو السجن لمدة تصل إلى 12 شهرًا، أو حتى 3 سنوات في الحالات الخطيرة؛ أما بالنسبة للمؤسسات والشركات المخالفة، فقد تصل العقوبة إلى 10% من إيراداتها السنوية.

تضطلع هيئة حماية البيانات الشخصية بدور محوري في ضمان إنفاذ قانون حماية البيانات الشخصية. وتتمتع هذه الهيئة المتخصصة بصلاحيات واسعة وقدرات إنفاذ شاملة، بما في ذلك صلاحية مطالبة الأفراد والمنظمات بتقديم المعلومات والوثائق المتعلقة بمعالجة البيانات الشخصية، وفرض غرامات مالية على المخالفات، واتخاذ تدابير تصحيحية أخرى.

إن إنشاء وكالة متخصصة، وهي لجنة حماية البيانات الشخصية في سنغافورة، والتي تعمل بشكل مستقل واستباقي في اكتشاف الانتهاكات والتعامل معها وتطبيق العقوبات، هو أحد الشروط اللازمة للحماية الفعالة للبيانات الشخصية في سنغافورة.

توصيات لتحسين قوانين حماية البيانات الشخصية في فيتنام

يوجد حاليًا في فيتنام 69 وثيقة قانونية تتعلق مباشرة بمسألة حماية البيانات الشخصية، وهي منظمة في وثائق مختلفة بما في ذلك الدستور، وقانون (4)، وقانون (39)، ومرسوم (1)، وقرار (2)، وتعميم/تعميم مشترك (4)، وقرار الوزير (1).

تتناول هذه الوثائق بشكل أساسي مسألة حماية البيانات الشخصية من خلال التأكيد على مبدأ ضمان خصوصية الأفراد؛ ومع ذلك، فهي تتضمن لوائح مختلفة بشأن المعلومات المتعلقة بالبيانات الشخصية، وتتناول قضايا حقوق الأفراد وواجباتهم، ومعالجة المعلومات، وأساليب حماية البيانات الشخصية. وقد حقق القانون الفيتنامي المنظم لحماية البيانات الشخصية بعض النتائج الجديرة بالملاحظة، ولا سيما إصدار المرسوم رقم 12/2023/ND-CP بشأن حماية البيانات الشخصية في 17 أبريل 2023، وهو وثيقة فريدة من نوعها تنظم هذه المسألة في فيتنام. وقد أرست هذه الوثائق القانونية إطارًا قانونيًا لحماية البيانات الشخصية، وحددت حقوق أصحاب البيانات والجهات المعالجة، ونصت على عقوبات لانتهاكات حماية البيانات الشخصية، وحددت الوكالة المتخصصة في حماية البيانات الشخصية، وهي إدارة الأمن السيبراني ومكافحة جرائم التقنية العالية التابعة لوزارة الأمن العام .

تواجه فيتنام العديد من المخاطر والتحديات والتهديدات من الفضاء الإلكتروني، ولا سيما تسريب وسرقة المعلومات والبيانات الشخصية، مما يسبب ضرراً كبيراً للمواطنين والمجتمع.

ومع ذلك، فقد كشف التطبيق العملي لهذه الوثائق عن العديد من القيود، مثل حقيقة أن الوثائق القانونية المنفصلة الحالية تقتصر على مستوى المراسيم فقط، مما لا يفي بأهمية حماية البيانات الشخصية؛ والعديد من الأحكام الحالية غامضة وغير واضحة، مما يؤدي إلى نقص في التوجيه المحدد لكل حالة؛ والعقوبات لا تزال مخففة للغاية وغير رادعة بما فيه الكفاية...

في ضوء هذا الوضع، كان ولا يزال تحسين الإطار القانوني لحماية البيانات الشخصية في فيتنام مسألة تتطلب اهتمامًا وبحثًا، استنادًا إلى تجارب الدول الأخرى. وبالتحديد:

أولًا، لا بد من سنّ قانون لحماية البيانات الشخصية . في سياق الثورة الصناعية الرابعة، سنّت 80 دولة، على المستويين الإقليمي والوطني، قوانينها الخاصة بحماية البيانات الشخصية. تحتاج فيتنام بشكل عاجل إلى البحث في قانون عام متخصص بالبيانات، على غرار قوانين خصوصية البيانات في الاتحاد الأوروبي والصين وسنغافورة، وسنّ قانون يحدد القضايا والمبادئ الأساسية لحماية البيانات الشخصية. من شأن سنّ قانون مستقل بشأن البيانات الشخصية أن يوفر أساسًا قانونيًا بالغ الأهمية لحمايتها، إذ تفتقر الوثائق القانونية الحالية في فيتنام إلى توحيد المصطلحات والمضمون.

ثانيًا، ينبغي مراجعة العقوبات المفروضة على انتهاكات حماية البيانات الشخصية وتدعيمها لتكون أشدّ، بما يتناسب مع طبيعة الانتهاكات وخطورتها. فعلى الرغم من أن العقوبات المفروضة على انتهاكات البيانات الشخصية في بلدنا تشمل عقوبات إدارية ومدنية وجنائية، إلا أنها عادةً ما تكون متساهلة وتفتقر إلى الردع الفعال. ولا تزال الطريقة الرئيسية المتبعة حاليًا هي تطبيق العقوبات الإدارية، ولكنها موزعة على مراسيم عديدة بغرامات منخفضة نسبيًا، حيث تبلغ أقصاها 100 مليون دونغ فيتنامي للأفراد و200 مليون دونغ فيتنامي للمؤسسات.

على الرغم من أن الضرر الناجم عن انتهاكات البيانات الشخصية الإدارية لا يقتصر على الخسائر المادية فحسب، بل يمس أيضًا الشرف والكرامة، فإن العقوبات الجنائية على انتهاكات البيانات الشخصية تقتصر حاليًا على أحكام الخصوصية وتكنولوجيا المعلومات والأمن السيبراني، وتحديدًا المادتين 159 و288 من قانون العقوبات الحالي، مع أحكام سجن مخففة نسبيًا لا تتجاوز سبع سنوات وغرامات لا تتجاوز مليار دونغ فيتنامي. وبالمقارنة مع غرامات الاتحاد الأوروبي البالغة 20 مليون يورو، وسنغافورة البالغة مليون دولار سنغافوري، والصين بالسجن المؤبد، فإن هذه العقوبات لا تزال منخفضة جدًا وغير متناسبة مع العديد من الانتهاكات.

وفي الوقت نفسه، من الضروري تنظيم المزيد من فئات السلوكيات غير المذكورة حاليًا في القانون، مثل التداول واسع النطاق للبيانات، وإنشاء أنظمة لارتكاب انتهاكات البيانات، والانتهاكات في خدمات التسويق، وما إلى ذلك.

ثالثًا، فيما يتعلق بنموذج وكالة حماية البيانات الشخصية في فيتنام : حاليًا، تُعد إدارة الأمن السيبراني ومكافحة الجرائم الإلكترونية التابعة لوزارة الأمن العام هي الوكالة المتخصصة في حماية البيانات الشخصية. وبالاستناد إلى اللوائح الدولية، يمكننا النظر في إنشاء وكالة مستقلة لحماية البيانات الشخصية تتولى مسؤولية إنفاذ قانون حماية البيانات الشخصية، وإجراء عمليات التفتيش والتدقيق، وإصدار التوجيهات، وتقديم التوصيات، وتطبيق العقوبات على المخالفات.

يمكننا التعلم من هذه النماذج في الاتحاد الأوروبي أو سنغافورة ... لضمان أن تكون أنشطة إنفاذ القانون التي تحمي البيانات الشخصية فعالة للغاية، مع تحقيق التوازن بين حماية الحقوق الفردية وضمان الأمن السيبراني.

إن حماية البيانات الشخصية ليست بالأمر البسيط، وخاصة في سياق التكامل، حيث تتم عمليات مراقبة وجمع واسعة النطاق للبيانات الشخصية، ولا يزال النظام القانوني الفيتنامي الذي ينظم هذه القضية قيد التطوير والتحسين.

إن دراسة القانون الدولي بشأن هذه القضية بالتزامن مع الوضع العملي في فيتنام ستساعدنا على تطوير إطار قانوني شامل لحماية البيانات الشخصية بسرعة، بحيث يكون متوافقًا مع القانون الدولي ويتم تنفيذه بفعالية.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html