گامی به جلو برای تضمین حقوق بشر در تحول دیجیتال

فرمان حفاظت از داده‌های شخصی، پیشرفتی در تضمین حقوق بشر در تحول دیجیتال است و بر کاستی‌ها و نارسایی‌ها در عمل تضمین، حفاظت و ایمن‌سازی داده‌های شخصی غلبه می‌کند.

Nghị định về bảo vệ dữ liệu cá nhân: Bước tiến bảo đảm quyền con người trong chuyển đổi số

حفاظت از داده‌های شخصی، حفاظت از حقوق و آزادی‌های اساسی بشر در رابطه با داده‌ها است.

در ۱۷ آوریل ۲۰۲۳، دولت فرمان شماره ۱۳/۲۰۲۳/ND-CP (فرمان) در مورد حفاظت از داده‌های شخصی را صادر کرد که از ۱ ژوئیه ۲۰۲۳ لازم‌الاجرا است و الزامات حفاظت از حقوق داده‌های شخصی را برآورده می‌کند؛ از اقدامات نقض داده‌های شخصی که بر حقوق و منافع افراد و سازمان‌ها تأثیر می‌گذارد، جلوگیری می‌کند.

نکات برجسته

این فرمان، سندی قانونی است که حفاظت از داده‌های شخصی و مسئولیت سازمان‌ها، نهادها و افراد ذی‌ربط را در قبال حفاظت از داده‌های شخصی تنظیم می‌کند.

اولاً، حفاظت از داده‌های شخصی، حفاظت از حقوق و آزادی‌های اساسی بشر مربوط به داده‌ها است. مفاد فرمان حفاظت از داده‌های شخصی در حین اجرا، با هدف جلوگیری از نقض حقوق و آزادی‌های شخصی هر فرد تدوین شده است.

در عین حال، امنیت داده‌های شخصی از اهمیت ویژه‌ای برخوردار است، زیرا اگر داده‌ها به سرقت بروند، می‌توانند باعث ضررهای اقتصادی و اجتماعی شوند، خطراتی مانند: باج‌گیری، کلاهبرداری، تصرف اموال، افترا، نقض آبرو، عزت، سوءاستفاده جنسی و ... که منجر به پیامدهای مادی و معنوی می‌شود و مستقیماً بر حقوق و منافع مشروع سازمان‌ها، شرکت‌ها، مشاغل و افراد تأثیر می‌گذارد.

دوم، حقوق صاحبان داده‌های شخصی را ترویج و محترم بشمارید. حقوق صاحبان داده‌های شخصی شامل حق دسترسی، حق رضایت یا عدم رضایت به پردازش داده‌های شخصی، حق اطلاع‌رسانی و حق درخواست حذف داده‌ها می‌شود...

علاوه بر این، صاحبان داده‌ها همچنین حق دارند از خود در برابر نقض اطلاعات شخصی توسط سایر افراد محافظت کنند. صاحبان داده‌ها حق دارند در صورت نقض مفاد این فرمان که باعث آسیب به حق حفاظت از داده‌های شخصی می‌شود، درخواست غرامت کنند. این فرمان همچنین به وضوح تصریح می‌کند که جمع‌آوری، انتقال یا خرید و فروش داده‌های شخصی بدون رضایت صاحب داده‌ها، نقض قانون است.

با این حال، حق شخص برای محافظت از داده‌های شخصی یک حق مطلق نیست، بلکه می‌تواند در موارد اضطراری برای محافظت از جان و سلامت فرد یا دیگران؛ شرایط اضطراری مربوط به دفاع ملی، امنیت، نظم و ایمنی اجتماعی؛ انجام تعهدات قراردادی تعیین‌شده یا انجام فعالیت‌های سازمان‌های دولتی طبق قوانین تخصصی، محدود شود.

هدف از وضع استثنائات، اجرای اصل تضمین حقوق افراد و سازمان‌ها است، اما نه به گونه‌ای که حقوق و منافع مشروع سایر افراد و سازمان‌ها یا منافع ملی در اعمال آن حقوق را نقض کند.

سوم، ترویج روند ادغام بین‌المللی در موضوع حفاظت از داده‌های شخصی. این فرمان با رویه‌ها و مقررات بین‌المللی در مورد حفاظت از داده‌های شخصی سازگار است. بسیاری از کشورهای توسعه‌یافته موضوع حفاظت از داده‌های شخصی را قانونی کرده‌اند که مبنای ویتنام برای مطالعه و مراجعه به آن است.

علاوه بر این، سازمان‌های بین‌المللی که ویتنام عضو آنها است یا با ویتنام همکاری می‌کند، کنوانسیون‌ها، توصیه‌ها و استانداردهایی در مورد حریم خصوصی و حفاظت از اطلاعات و داده‌های شخصی صادر کرده‌اند. این موارد شامل اصول حریم خصوصی سازمان همکاری و توسعه اقتصادی (OECD)، کنوانسیون شورای اروپا در مورد حفاظت از افراد در رابطه با پردازش خودکار اطلاعات و داده‌های شخصی، دستورالعمل‌های سازمان ملل در مورد داده‌های شخصی کامپیوتری و فایل‌های اطلاعاتی، چارچوب حریم خصوصی همکاری اقتصادی آسیا و اقیانوسیه (APEC)، استانداردهای بین‌المللی در مورد حریم خصوصی و حفاظت از اطلاعات و داده‌های شخصی (قطعنامه مادرید)، مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) و ... می‌شود.

علاوه بر این، در فرآیند ارتقای همکاری بین کشورمان و سایر کشورها و سرزمین‌ها، بیش از ۸۰ کشور اسناد قانونی در مورد حفاظت از داده‌های شخصی صادر کرده‌اند که بسیاری از آنها دارای مفادی هستند که برای سازمان‌ها و افراد ویتنامی قابل اجرا هستند. بنابراین، مقررات خاص و مفصل در مورد حفاظت از داده‌های شخصی با هدف ایجاد فضایی از برابری و احترام به قانون در ویتنام، از جمله برای افراد و سازمان‌های خارجی، تدوین شده است.

چالش‌ها

در حال حاضر، هنوز چالش‌های قابل توجهی در اجرای این فرمان وجود دارد.

اول، چالش در مدیریت کارکنان شرکت‌ها. در حال حاضر، بسیاری از شرکت‌ها مدلی از شرکت مادر و شرکت تابعه با اکوسیستم مدیریتی یکسان می‌سازند، اطلاعات کارکنان به راحتی از سیستم مشترک قابل دسترسی است.

با این حال، طبق قانون ویتنام، هر شرکت (شامل شرکت‌های مادر و شرکت‌های تابعه) یک نهاد قانونی جداگانه و مستقل محسوب می‌شود، بنابراین انتقال داده‌های شخصی کارمندان توسط شرکت‌های موجود در همان اکوسیستم برای خدمت به فرآیند مدیریت داخلی بنگاه اقتصادی نیز می‌تواند نقض مسئولیت بنگاه اقتصادی در قبال حفاظت از داده‌های شخصی تلقی شود.

از سوی دیگر، در حال حاضر، بسیاری از شرکت‌ها در اجرای این فرمان با مشکلاتی مواجه هستند و هنوز سازوکار و مقررات مربوط به مدیریت و حفاظت از داده‌های شخصی کارکنان را مطابق با این فرمان تکمیل نکرده‌اند.

دوم، با مقررات قانونی مربوط به عملیات مؤسسات اعتباری سازگار نیست. در حال حاضر، عملیات مؤسسات اعتباری توسط مقررات قانونی تخصصی مانند موارد زیر تنظیم می‌شود: قانون مؤسسات اعتباری ۲۰۱۰ (اصلاح و تکمیل شده در ۲۰۱۴)؛ قانون مبارزه با پولشویی؛ فرمان ۱۱۷/۲۰۱۸/ND-CP در مورد محرمانه نگه داشتن و ارائه اطلاعات مشتری مؤسسات اعتباری و شعب بانک‌های خارجی؛ بخشنامه ۰۹/۲۰۲۰/TT-NHNN بانک مرکزی در مورد تنظیم امنیت سیستم‌های اطلاعاتی در عملیات بانکی در سطح پایین‌تر از قانون.

از سوی دیگر، برای فعالیت‌های بانکی، پردازش داده‌ها بر داده‌های شخصی تأثیر می‌گذارد، مانند: جمع‌آوری، ثبت، تجزیه و تحلیل، تأیید، ذخیره‌سازی، ویرایش، انتشار، ترکیب، دسترسی، بازیابی، فراخوانی، رمزگذاری، رمزگشایی، کپی، اشتراک‌گذاری، انتقال، ارائه، انتقال، حذف، از بین بردن داده‌های شخصی یا سایر اقدامات مرتبط برای ارائه خدمات به مشتریان و مدیریت ریسک در فعالیت‌های بانکی، تضمین ایمنی و امنیت سیستم پولی ضروری است، بنابراین بسیاری از فعالیت‌های پردازش داده‌های شخصی مشتری نمی‌توانند و نیازی به رضایت مشتریان ندارند، در حالی که بند ۲ ماده ۳ و بند ۱ ماده ۹ این فرمان تصریح می‌کند که افراد حق دارند از پردازش داده‌های شخصی خود مطلع باشند، مگر در مواردی که قوانین دیگر خلاف آن را تصریح کرده باشند.

یا در بند ۲، ماده ۹ تصریح می‌کند که شخص حق دارد به پردازش داده‌های شخصی خود رضایت ندهد؛ شخص حق حذف، دسترسی، درخواست محدودیت پردازش داده‌ها و اعتراض به پردازش داده‌ها را دارد، مگر در مواردی که قانون دیگری مفاد دیگری در ماده ۹ داشته باشد. بنابراین، اگر این فرمان به طور سختگیرانه و بدون راهنمایی یکپارچه اعمال شود، گیج‌کننده و نامناسب خواهد بود.

علاوه بر این، ارائه خدمات و محصولات توسط مؤسسات اعتباری از طریق فرآیندهای متعددی روی یک محصول انجام می‌شود، هر فرآیند روی یک محصول شامل مراحل مختلف زیادی است و مربوط به جمع‌آوری، ارزیابی، تجزیه و تحلیل و ارائه داده‌ها روی فایل‌های بسیار بزرگ مشتری است، در حالی که این فرمان، کنترل‌کننده و پردازشگر داده‌های شخصی را ملزم می‌کند که در تمام مراحل پردازش، هنگام انجام هرگونه فعالیت پردازش داده‌ها، رضایت صاحب داده‌ها (مشتری) را کسب کند (ماده 11)؛ و قبل از انجام فعالیت‌های پردازش داده‌ها، باید صاحب داده‌های شخصی را مطلع کند (ماده 13). این همچنان مانع دیگری برای عملیات مؤسسات اعتباری است.

علاوه بر این، مؤسسات اعتباری باید سیستم‌های فناوری اطلاعات و سایر اسناد فرعی مربوط به عملیات مؤسسات اعتباری خود را تنظیم کنند؛ الگوهای قراردادها و توافق‌نامه‌ها باید برای مطابقت با این فرمان اصلاح شوند که این امر مشکلات قابل توجهی را برای عملیات بانکی ایجاد می‌کند.

سوم، تعدادی از مردم از حفاظت از اطلاعات شخصی خود آگاه نیستند و آن را درک نمی‌کنند، بنابراین به راحتی اطلاعات شخصی خود را در پلتفرم‌های شبکه‌های اجتماعی به اشتراک می‌گذارند و ناخواسته به افراد شرور اجازه می‌دهند تا از آن برای اهداف بد سوءاستفاده کنند.

برخی افراد به وضوح ارزش حفاظت از داده‌های شخصی را به عنوان تضمین حریم خصوصی شخصی نمی‌بینند و همچنین از ارائه اطلاعات شخصی می‌ترسند و این امر باعث ایجاد مشکلاتی برای مقامات در انجام مدیریت دولتی حفاظت از داده‌های شخصی و همچنین انجام تحقیقات و رسیدگی به موارد نقض قانون حفاظت از داده‌های شخصی می‌شود.

علاوه بر این، وضعیت خرید و فروش داده‌های شخصی، خطر نشت اطلاعات، عواقب عمده‌ای ایجاد می‌کند و بر مسائل اقتصادی و اجتماعی تأثیر می‌گذارد. پدیده‌های کلاهبرداری، تبلیغات اسپم از طریق تماس‌ها و پیام‌ها هنوز پیچیده هستند و بر زندگی مردم تأثیر می‌گذارند.

امنیت داده‌های شخصی از اهمیت ویژه‌ای برخوردار است زیرا اگر داده‌ها به سرقت بروند، می‌توانند خسارات اقتصادی و اجتماعی ایجاد کنند و مستقیماً بر حقوق و منافع مشروع آژانس‌ها، سازمان‌ها، مشاغل و افراد تأثیر بگذارند. (منبع: Shutterstock)

اجرای مصوبه

ویتنام با بیش از ۷۰ میلیون کاربر، یکی از کشورهایی است که بالاترین سرعت توسعه و کاربرد اینترنت را در جهان دارد. داده‌های شخصی بیش از دو سوم جمعیت کشور ما در محیط دیجیتال، فضای مجازی، با اشکال و سطوح مختلف جزئیات، ذخیره، ارسال، اشتراک‌گذاری و جمع‌آوری شده و می‌شود.

این فرمان، پیشرفتی در تضمین حقوق بشر در تحول دیجیتال، غلبه بر کاستی‌ها و نارسایی‌ها در رویه تضمین، حفاظت و ایمن‌سازی داده‌های شخصی، افزایش مسئولیت سازمان‌ها، سازمان‌ها و افراد داخلی و خارجی است که مستقیماً در فعالیت‌های پردازش داده‌های شخصی در ویتنام مشارکت دارند یا با آنها مرتبط هستند.

برای اینکه این فرمان واقعاً در عمل مؤثر باشد، لازم است روی موارد زیر تمرکز شود:

اولاً، افزایش مسئولیت شرکت‌ها در حفاظت از حقوق کارگران. شرکت‌ها در استفاده از نیروی کار باید اطلاعات کارمندان را جمع‌آوری و ذخیره کنند. برای رسیدن به هدف مدیریت نیروی کار، کارفرمایان و شرکت‌ها اطلاعات شخصی زیادی را از کارمندان دریافت و مدیریت می‌کنند، اما اگر در مدیریت و پردازش اطلاعات بی‌دقت باشند، منجر به عواقب غیرقابل پیش‌بینی خواهد شد.

شرکت‌ها باید تأثیرات این فرمان را به دقت مطالعه و به طور جامع ارزیابی کنند، رویه‌ها و دستورالعمل‌های مربوط به مدیریت داده‌های شخصی را مطابق با مقررات جدید به سرعت بررسی و به‌روزرسانی کنند؛ ایجاد سازوکارها و ایجاد مقررات حاکمیتی بر اساس مفاد این فرمان را در نظر بگیرند؛ این سازوکارها و مقررات را در طول فرآیند عملیات حفظ و رعایت کنند.

دوم، رفع مشکلات فعالیت‌های اعتباری مؤسسات اعتباری . بانک مرکزی باید با وزارتخانه‌های مربوطه، به‌ویژه وزارت امنیت عمومی، هماهنگی نزدیکی داشته باشد تا دستورالعمل‌های یکپارچه‌ای در مورد حفاظت از داده‌های شخصی در بخش اعتباری صادر کند که هم ارتقای مسئولیت عملیاتی مؤسسات اعتباری در حفاظت از داده‌های مشتری را تضمین کند و هم الزامات و وظایف تخصصی را برآورده سازد.

سوم، برای اینکه این فرمان واقعاً به اجرا درآید، لازم است تبلیغات و آموزش خوبی در مورد عمومی‌سازی قانون انجام شود. به طور خاص، لازم است بر لزوم اعلام این فرمان با هدف والای احترام و حمایت از حقوق مدنی و حقوق بشر تأکید شود. و مهم‌تر از همه، صاحب اطلاعات شخصی باید خود به طور کامل درک کند و آگاهی و مسئولیت خود را در حفاظت از اطلاعات شخصی افزایش دهد.

فرمان حفاظت از داده‌های شخصی شامل ۴ فصل با ۴۴ ماده است که به طور جامع حقوق اساسی افراد را به عنوان موضوع داده‌ها به رسمیت می‌شناسد و مسئولیت‌های فنی و قانونی را برای کنترل‌کنندگان و پردازشگران داده‌ها تعیین می‌کند.

این فرمان، پیشرفتی در تضمین حقوق بشر در تحول دیجیتال، غلبه بر کاستی‌ها و نارسایی‌ها در رویه تضمین، حفاظت و ایمن‌سازی داده‌های شخصی، و افزایش مسئولیت سازمان‌ها، سازمان‌ها و افراد داخلی و خارجی است که مستقیماً در فعالیت‌های پردازش داده‌های شخصی در ویتنام دخیل یا مرتبط هستند.

منبع