حقوق بین‌الملل در مورد حفاظت از داده‌های شخصی و پیامدهای آن برای ویتنام

ویتنام به عنوان یکی از کشورهایی که بالاترین سرعت توسعه و کاربرد اینترنت را در جهان دارد و نزدیک به ۸۰ درصد از جمعیت آن از آن استفاده می‌کنند، داده‌های شخصی دو سوم جمعیت آن در اشکال و سطوح مختلف جزئیات در فضای مجازی ذخیره، منتشر، به اشتراک گذاشته و جمع‌آوری می‌شود.

در سال‌های ۲۰۲۲ و ۲۰۲۳، ویتنام ۵ پرونده جنایی شامل هزاران گیگابایت داده و میلیاردها اطلاعات شخصی که خرید و فروش می‌شدند را تحت پیگرد قانونی قرار داد. این نشان می‌دهد که نیاز به بهبود قانون حفاظت از داده‌های شخصی بر اساس تحقیقات و ارجاع به قوانین بین‌المللی ضروری است.

قوانین بین‌المللی در مورد حفاظت از داده‌های شخصی

GDPR یک گام قانونی بزرگ به جلو محسوب می‌شود که سختگیرانه‌ترین سازوکار حفاظت از اطلاعات شخصی را در جهان امروز ایجاد می‌کند.

مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) یک گام قانونی بزرگ به جلو محسوب می‌شود که سختگیرانه‌ترین سازوکار حفاظت از اطلاعات شخصی را در جهان امروز ایجاد می‌کند و برای همه سازمان‌ها و کسب‌وکارهایی که داده‌های شخصی شهروندان اتحادیه اروپا را پردازش می‌کنند، اعمال می‌شود.

GDPR مجازات‌های یکسانی را برای کسب‌وکارها در سراسر اتحادیه اروپا اعمال می‌کند. به طور خاص، جریمه‌ها تا ۲٪ از گردش مالی یا ۱۰ میلیون یورو برای تخلفات جزئی و ۴٪ از گردش مالی یا ۲۰ میلیون یورو برای تخلفات عمده است. علاوه بر جریمه، کسب‌وکارهایی که GDPR را نقض می‌کنند، ممکن است مشمول مجازات‌های دیگری نیز شوند، مانند مجبور شدن به توقف پردازش داده‌ها یا حذف داده‌هایی که با نقض GDPR پردازش شده‌اند.

مرجع حفاظت از داده‌های شخصی اتحادیه اروپا، ناظر حفاظت از داده‌های اتحادیه اروپا (EDPS) است - یک نهاد مستقل که اعضای آن شامل وکلای باتجربه، متخصصان فناوری اطلاعات و مدیران هستند.

این نهاد وظیفه اصلی نظارت بر پردازش داده‌های شخصی در آژانس‌ها و سازمان‌های اتحادیه اروپا و همچنین مشاوره در مورد مسائل مربوط به داده‌های شخصی را بر عهده دارد. GDPR همچنین ایجاد یک مرجع حفاظت از داده‌های شخصی در هر کشور عضو مانند کمیسیون ملی حفاظت از داده‌های شخصی (فرانسه، ایرلند و ...) یا یک بازرس حفاظت از داده‌ها (فنلاند، لتونی و ...) را الزامی می‌کند.

در کنار EDPS، اتحادیه اروپا همچنین هیئت حفاظت از داده‌های اروپایی (EDPB) را تأسیس کرد که متشکل از نمایندگان مقامات ملی حفاظت از داده‌های کشورهای عضو و نمایندگان اتحادیه اروپا است و به عنوان نهاد اصلی مشاوره مستقل در مورد مسائل حفاظت از داده‌های شخصی فعالیت می‌کند و مسئول اجرای مداوم GDPR در سراسر اتحادیه است.

GDPR مجازات‌های بسیار بازدارنده، چه مادی و چه غیرمادی، را در نظر گرفته است. علاوه بر این، مرجع حفاظت از داده‌های شخصی اتحادیه اروپا، که بر اساس مدل کمیسیون/کمیسر اجرا می‌شود، از اختیارات گسترده و مستقلی برای اعمال مجازات در صورت نقض مقررات حفاظت از داده‌های شخصی توسط سازمان‌ها برخوردار است و قادر است به طور مستقل پردازش داده‌های شخصی را ارزیابی و تصمیم‌گیری کند.

قانون حفاظت از اطلاعات شخصی چین (PIPL) که در سال ۲۰۲۱ تصویب شد، اولین قانون جامع حفاظت از اطلاعات شخصی در سطح ملی در چین محسوب می‌شود. PIPL دیدگاهی نسبتاً یکپارچه از داده‌های شخصی/اطلاعات شخصی به عنوان اطلاعاتی که یک فرد خاص را شناسایی یا معرفی می‌کند، ارائه می‌دهد و گروه محدودی از افراد را در قلمرو چین هدف قرار می‌دهد (ماده ۴ فصل ۱ PIPL). در عین حال، این قانون موضوع داده‌های شخصی حساس را تنظیم می‌کند تا مقرراتی در مورد حقوق و تعهدات طرفین در رابطه با گروه‌های خاص‌تر داده‌ها وضع کند.

مجازات‌های نقض حقوق داده‌های شخصی تحت قانون اعتبار اجتماعی چین (PIPL) بسیار شدید است، از جمله جبران خسارت اجباری، مصادره درآمد غیرقانونی، تعلیق خدمات، لغو مجوزهای عملیاتی یا تجاری و جریمه‌هایی تا سقف ۵۰ میلیون یوان یا ۵٪ از درآمد سالانه یک سازمان در سال مالی قبل. علاوه بر این، تخلفات ممکن است در «پرونده اعتباری» واحد پردازش تحت سیستم اعتبار اجتماعی ملی نیز ثبت شوند.

علاوه بر این، واحدهای پردازش در صورت نقض حقوق و منافع سازمان‌ها و افراد، مسئول جبران خسارت خواهند بود. مجازات‌های کیفری برای این نوع تخلفات نیز به طور خاص توسط قانون کیفری چین تنظیم شده است که مسئولیت کیفری سنگین‌تری را برای کسانی که موظف به حفظ اطلاعات محرمانه هستند، تعیین می‌کند، شکل مصادره اموال را نیز به آن اضافه می‌کند و حبس ابد را به عنوان بالاترین مجازات زندان تعیین می‌کند.

قانون حفاظت از داده‌های شخصی سنگاپور (PDPA) که در سال ۲۰۱۲ تصویب شد (در سال ۲۰۲۰ اصلاح شد). قانون سنگاپور حق حفاظت از داده‌های شخصی و همچنین لزوم سازماندهی جمع‌آوری، استفاده و افشای اطلاعات برای اهداف مناسب در شرایط خاص را به رسمیت می‌شناسد.

قانون حفاظت از داده‌ها (PDPA) همچنین مجازات‌های مالی شدیدی را برای نقض داده‌ها در نظر گرفته است. متخلفان به صورت انفرادی مشمول جریمه یا حبس خواهند شد. جریمه‌ها به ماهیت و شدت تخلف بستگی دارد و از ۲۰۰۰ تا ۱۰۰۰۰۰ دلار سنگاپور (معادل ۱.۶ میلیارد دونگ ویتنام) و/یا حبس حداکثر ۱۲ ماه یا در موارد جدی تا ۳ سال متغیر است.۱؛ برای آژانس‌ها و شرکت‌هایی که تخلف می‌کنند، جریمه تا ۱۰٪ از گردش مالی سالانه آنها اعمال می‌شود.

نهادی که نقش مهمی در تضمین اجرای PDPA ایفا می‌کند، کمیسیون حفاظت از داده‌های شخصی (PDPC) است. این نهاد، نهادی تخصصی با اختیارات گسترده و قابلیت‌های اجرایی گسترده است که حق دارد از افراد و سازمان‌ها درخواست کند اطلاعات و اسناد مربوط به پردازش داده‌های شخصی را ارائه دهند، برای تخلفات مجازات مالی اعمال کند و همچنین با سایر اقدامات با آنها برخورد کند.

تأسیس یک آژانس تخصصی، کمیسیون حفاظت از داده‌های شخصی سنگاپور، که به طور مستقل و پیشگیرانه در تشخیص، رسیدگی به تخلفات و اعمال مجازات‌ها فعالیت می‌کند، نیز یکی از شرایط اجرای مؤثر حفاظت از داده‌های شخصی در سنگاپور است.

توصیه‌هایی برای بهبود قوانین حفاظت از داده‌های شخصی در ویتنام

در حال حاضر در ویتنام، 69 سند قانونی وجود دارد که مستقیماً با موضوع حفاظت از داده‌های شخصی مرتبط هستند و در اسناد مختلفی از جمله قانون اساسی، قانون (4)، قانون (39)، آیین‌نامه (1)، فرمان (2)، بخشنامه/بخشنامه مشترک (4) و تصمیم وزیر (1) تصریح شده‌اند.

این اسناد اساساً به موضوع حفاظت از داده‌های شخصی در جهت ترویج اصل تضمین حریم خصوصی افراد می‌پردازند، اما مقررات متفاوتی در مورد اطلاعات مربوط به داده‌های شخصی دارند که به مسائل مربوط به حقوق و تعهدات افراد، پردازش اطلاعات و روش‌های حفاظت از داده‌های شخصی اشاره دارد. قانون تنظیم‌کننده موضوع حفاظت از داده‌های شخصی در ویتنام به نتایج قابل توجهی دست یافته است، به ویژه در 17 آوریل 2023، دولت فرمان شماره 12/2023/ND-CP در مورد حفاظت از داده‌های شخصی را صادر کرد - این یک سند جداگانه است که این موضوع را در کشور ما تنظیم می‌کند. این اسناد قانونی یک کریدور قانونی در کار حفاظت از داده‌های شخصی ایجاد کرده‌اند؛ حقوق افراد داده و همچنین طرفین پردازش را مشخص می‌کنند، مجازات‌هایی را برای نقض حفاظت از داده‌های شخصی تعیین می‌کنند و آژانس تخصصی حفاظت از داده‌های شخصی را به عنوان اداره امنیت سایبری و پیشگیری از جرایم پیشرفته تحت وزارت امنیت عمومی معرفی می‌کنند...

ویتنام با خطرات، چالش‌ها و مخاطرات بسیاری از جانب فضای مجازی، به ویژه نشت و تصاحب اطلاعات و داده‌های شخصی، مواجه است که اثرات مضر بسیاری بر شهروندان و جامعه می‌گذارد.

با این حال، اجرای واقعی این اسناد محدودیت‌های بسیاری را نیز آشکار کرده است، مانند اینکه اسناد قانونی جداگانه فعلی فقط در سطح فرمان هستند و اهمیت حفاظت از داده‌های شخصی را برآورده نمی‌کنند، بسیاری از محتواها در حال حاضر به طور کلی و نامشخص تنظیم شده‌اند که منجر به فقدان راهنمایی خاص برای هر مورد خاص می‌شود، و تحریم‌ها هنوز سبک هستند و به اندازه کافی بازدارنده نیستند...

در این شرایط، بهبود مستمر قانون حفاظت از داده‌های شخصی در ویتنام موضوعی بوده و هست که باید بر اساس تجربه سایر کشورها مورد مطالعه قرار گیرد. به طور خاص:

اول، تدوین قانونی برای حفاظت از داده‌های شخصی . در چارچوب انقلاب صنعتی ۴.۰، در مقیاس منطقه‌ای و ملی، ۸۰ کشور اسناد قانونی جداگانه‌ای برای حفاظت از داده‌های شخصی صادر کرده‌اند. ویتنام باید به زودی یک قانون عمومی و تخصصی در مورد داده‌ها مانند قانون حفظ حریم خصوصی داده‌ها مانند اتحادیه اروپا، چین یا سنگاپور، که مسائل و اصول اساسی برای حفاظت از داده‌های شخصی را مشخص می‌کند، تحقیق و صادر کند. صدور یک قانون جداگانه در مورد داده‌های شخصی، مبنای قانونی مهمی برای حفاظت از داده‌های شخصی خواهد بود، زیرا در حال حاضر، اسناد قانونی مربوط به این موضوع در کشور ما از نظر اصطلاحات و مقررات محتوا یکپارچه نیستند.

دوم، اصلاح و تکمیل مجازات‌های نقض داده‌های شخصی به شیوه‌ای شدیدتر برای مطابقت با ماهیت و شدت تخلف. اگرچه مجازات‌های نقض داده‌های شخصی در کشور ما شامل مجازات‌های اداری، مدنی و کیفری می‌شود، اما عموماً بسیار سبک هستند و اثر بازدارندگی بالایی ندارند. روش اصلی در حال حاضر هنوز اعمال مجازات برای تخلفات اداری است، اما مقررات در بسیاری از احکام با جریمه‌های بسیار پایین پراکنده شده‌اند که بالاترین آن: ۱۰۰ میلیون دانگ ویتنامی برای افراد و ۲۰۰ میلیون دانگ ویتنامی برای سازمان‌ها است.

در حالی که خسارتی که تخلفات اداری در مورد داده‌های شخصی می‌تواند ایجاد کند، نه تنها خسارت مادی، بلکه آسیب به آبرو و حیثیت نیز هست. علاوه بر مجازات‌های اداری، مجازات‌های کیفری برای نقض داده‌های شخصی فقط در مقررات مربوط به حریم خصوصی و حوزه فناوری اطلاعات و امنیت شبکه در ماده ۱۵۹ و ماده ۲۸۸ قانون مجازات فعلی با مجازات حبس نسبتاً کم حداکثر ۷ سال زندان و جریمه نقدی حداکثر ۱ میلیارد دونگ ویتنام منعکس شده است. این جریمه، در مقایسه با سطح ۲۰ میلیون یورویی اتحادیه اروپا، ۱ میلیون دلار سنگاپور یا حبس ابد چین، هنوز بسیار پایین است و با بسیاری از تخلفات متناسب نیست.

در عین حال، لازم است بسیاری از گروه‌های رفتاری که در حال حاضر در قانون ذکر نشده‌اند، مانند تجارت داده‌ها در مقیاس بزرگ، راه‌اندازی سیستم‌هایی برای نقض داده‌ها، تخلفات در کسب‌وکار خدمات بازاریابی و غیره، تنظیم شوند.

سوم، بر اساس مدل آژانس حفاظت از داده‌های شخصی در ویتنام . در حال حاضر، اداره امنیت سایبری و پیشگیری از جرایم فناوری پیشرفته تحت نظر وزارت امنیت عمومی، آژانس تخصصی حفاظت از داده‌های شخصی است. با توجه به مقررات بین‌المللی، می‌توانیم ایجاد یک آژانس مستقل حفاظت از داده‌های شخصی را که مسئول اجرای قانون حفاظت از داده‌های شخصی، انجام بازرسی‌ها، بررسی‌ها، صدور دستورالعمل‌ها و توصیه‌ها و اعمال مجازات برای تخلفات (در صورت وجود) باشد، در نظر بگیریم.

می‌توانیم به این مدل‌ها در اتحادیه اروپا یا سنگاپور اشاره کنیم... تا قوانین حفاظت از داده‌های شخصی را به طور مؤثر اجرا کنیم، بین حفاظت از حقوق شخصی و تضمین امنیت شبکه تعادل برقرار کنیم.

حفاظت از داده‌های شخصی مسئله‌ی ساده‌ای نیست، به‌خصوص وقتی در چارچوب یکپارچه‌سازی قرار می‌گیرد، زمانی که فعالیت‌های نظارت و جمع‌آوری داده‌های شخصی در مقیاس وسیع انجام می‌شود و نظام حقوقی ویتنام که این موضوع را تنظیم می‌کند، هنوز در حال شکل‌گیری و تکمیل است.

تحقیق در مورد قوانین بین‌المللی در مورد این موضوع با توجه به وضعیت عملی در ویتنام به ما کمک خواهد کرد تا به زودی یک چارچوب قانونی برای حفاظت جامع از داده‌های شخصی، سازگار با قوانین بین‌المللی و با اجرای مؤثر، ایجاد کنیم.

۱ https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html