GDPR در ترازو

سیاه‌وسفید حفاظت از داده‌های شخصی

نویسنده: ابوالفضل رجبی انتشار در 31 مرداد 1401

عصر تراکنش ۶۱؛ فائزه اسمعیلی، تحلیلگر آزمایشگاه داده و حکمرانی / امروزه یک گفتمان رایج متمایل به بازار آزاد این است که اصولاً هرگونه تلاشی برای مقررات‌گذاری و نظام‌مند کردن تحولات در عصر دیجیتال، خلاقیت و نوآوری را قربانی می‌کند و عوارض جانبی نامطلوبی به ‌بار می‌آورد که غالباً پرهزینه‌تر از مزایای آن هستند. در نتیجه چنین گفتمانی، تلاش‌ها برای تنظیم مقررات به‌عنوان شکل‌هایی جدید از حمایتگری دوستدار نوآوری مطرح می‌شود. در رد این گفتمان می‌توان گفت که این دولت‌ها بوده‌اند که در طول تاریخ زیرساخت‌های اساسی برای توسعه اقتصادی فراهم کرده‌اند.

استفاده از رویکرد بازار آزاد برای تحولات دیجیتال کنونی در عمل خنثی و بی‌اثر خواهد بود؛ چراکه شرایط اجازه‌دادن به بازارها از طریق تعامل پویای عرضه و تقاضا برای خودتنظیم‌گری یکسان نخواهد بود. این امر، ممکن است در طولانی‌مدت به تقویت روندها و موقعیت قدرت‌های مسلط کنونی در بازار منجر شود که در نهایت رقابت را مخدوش می‌کند و مانع از شکل‌های پویا و توزیع‌شده‌تر نوآوری خواهد شد.

بر این اساس، مقررات عمومی حفاظت از داده‌های شخصی (GDPR) از برجسته‌ترین تلاش‌های قانونی یکپارچه حاکمیت‌ها با هدف تنظیم رابطه سه‌جانبه میان کاربران، بخش خصوصی و دولت پیرامون عنصر بنیادین سازنده، مولد و محرک اقتصاد دیجیتال یعنی «داده شخصی» محسوب می‌شود که با گذشت حدود چهار سال از اجرای آن می‌توان با نگاه به مسیر طی‌شده، قضاوتی منصفانه و نتیجه‌محور در خصوص سیاه‌وسفید بازتولید این تجربه در اکوسیستم اقتصاد دیجیتال کشور انجام داد.

۱. امروزه تحلیل و پردازش داده‌ها، اساس فعالیت بسیاری از کسب‌وکارهای آنلاین و آفلاین در سراسر جهان است، ردیابی فعالیت ما در فضای مجازی، اطلاعاتی که در فرم‌ها و نظرسنجی‌ها وارد می‌کنیم و داده‌های شخصی ما که میان شرکت‌ها و سازمان‌های مختلف ردوبدل می‌شود، مبنای توسعه انواع خدمات شخصی‌سازی‌شده و فناوری‌های مرتبط با آنها هستند. رسانه‌های اجتماعی تلاش می‌کنند محتواهایی را که به‌طور خاص کاربران علاقه بیشتری به آنها دارند، به ایشان نشان دهند، شرکت‌های تبلیغاتی می‌خواهند تبلیغات مرتبط با نیازهای شما را نمایش دهند و به‌طور کلی می‌توان گفت کسب‌وکارها با هدف افزایش سود خود، از داده‌های مختلف از جمله داده‌های شخصی مربوط به هر یک از ما استفاده می‌کنند تا با توسعه فناوری‌های به‌روزتر و کارآمدتر، خدمات بهتر و ارزشمندتری در مقایسه با رقبای خود ارائه دهند.

البته جمع‌آوری، ذخیره‌سازی و پردازش داده‌های شخصی توسط شرکت‌های مختلف بدون خطر نیست و امکان دسترسی افراد غیرمجاز به پایگاه‌های اطلاعاتی، سرقت هویت، مهندسی افکار و نظرات و افشای عمومی داده‌ها به هر نحو، تنها بخشی از خطراتی است که داده‌های شخصی ما را تهدید می‌کند.

مجموع دغدغه‌ها و ملاحظات مربوط به کاهش خطرات ناشی از جمع‌آوری و پردازش داده‌های شخصی توسط شرکت‌های فناوری، موجب تصویب قوانین مرتبط با حفاظت از داده‌های شخصی در کشورهای مختلف جهان شده است. مقررات عمومی حفاظت از داده، یکی از برجسته‌ترین قوانین حوزه صیانت از داده است که توسط اتحادیه اروپا تصویب شده و بعد از اجرای آن در سال ۲۰۱۸، الگوی تصویب قوانین مشابه در کشورهای دیگر جهان قرار گرفته است. در کشور ما نیز GPPR منبع پیشنهادهای سیاستی و لوایح و طرح‌های مختلفی در سال‌های اخیر قرار گرفته است. شناخت نقاط ضعف و قوت این قانون می‌تواند به ارزیابی این طرح‌ها و لوایح و آینده حکمرانی داده در کشور کمک کند.

۲. محور اصلی تکالیف مقررشده در قانون GDPR، به رسمیت‌شناختن حق اشخاص نسبت به داده‌های خود و به تبع آن الزام شرکت‌ها نسبت به فراهم‌کردن شرایط و امکانات حداکثری مدیریت و کنترل بر داده‌های شخصی است. با این حال، منتقدان GDPR به چهار چالش اصلی ناشی از اجرای این قانون اشاره کرده‌اند که در ادامه مختصراً به این چالش‌ها اشاره می‌کنیم.

GDPR، باعث قدرت‌گرفتن کسب‌وکارهای بزرگ‌تر و ضعیف‌شدن کسب‌وکارهای کوچک‌تر می‌شود: رعایت استانداردهای مقررشده در GDPR و فراهم‌کردن ابزارها و امکانات اجرای این قانون، هزینه سنگینی بر دوش کسب‌وکارها می‌گذارد، اگرچه این هزینه برای شرکت‌های بزرگ، ناچیز است، اما برای شرکت‌های متوسط و کوچک، هزینه هنگفتی محسوب می‌شود که حتی ممکن است موجودیت آنها را به خطر بیندازد.

GDPR اکوسیستم نوآوری و تحقیق را به خطر می‌اندازد: بسیاری از الزامات GDPR اساساً با عملکرد بیگ‌دیتا، هوش مصنوعی، بلاکچین و یادگیری ماشین ناسازگار است، به‌ویژه مقرراتی که پردازشگران را ملزم به افشای اهداف پردازش می‌کند و از آنها می‌خواهد پردازش داده‌ها را به حداقل برسانند.

GDPR امنیت سایبری را کاهش می‌دهد: یکی از پیامدهای ناخواسته GDPR این است که شفافیت سیستم‌ها را کاهش می‌دهد و شناسایی مجرمان را سخت می‌کند. بر این اساس، مجرمان می‌توانند اطلاعات خود را پنهان نگه دارند و این موضوع به افزایش فعالیت‌های غیرقانونی در فضای مجازی منجر خواهد شد.

GDPR با اسم حمایت از مصرف‌کنندگان، قدرت دولت را افزایش می‌دهد: سازمان‌های دولتی به‌ندرت ملزم به رعایت استانداردهای مشابه بخش خصوصی در ارتباط با جمع‌آوری و پردازش داده‌های شخصی هستند و به ‌نظر می‌رسد قوانین محافظت از داده، به‌صورت یک‌طرفه قدرت دولت را در این حوزه افزایش می‌دهند.

۳. چالش‌های قانون GDPR نشان می‌دهد با وجود نگرانی‌هایی که در مورد سوءاستفاده از داده‌های شخصی وجود دارد، رویکرد یک‌جانبه نسبت به این حوزه و نادیده‌گرفتن اثرات جانبی قوانین مشابه می‌تواند آسیب‌های جبران‌ناپذیری به کسب‌وکارهای کوچک و نوپا وارد کرده و مسیر رشد فناوری‌ها را با خطر جدی مواجه کند. در شرایطی که حکمرانی داده در کشور ما هنوز به بلوغ نرسیده و مباحثی همچون مالکیت داده، نحوه تعامل با پلتفرم‌های خارجی و نظام سیاست‌گذاری در حوزه فضای مجازی روشن نیست، محدودیت‌گذاری و سخت‌گیری نسبت به فعالان بخش خصوصی، می‌تواند نتایج زیان‌باری برای کشور به همراه داشته باشد.

عصر تراکنش 61 فائزه اسمعیلی