رضایت و اهمیت کسب رضایت در خصوص حریم خصوصی و حفاظت از داده‌ها

فهرست مطالب

مدخل‌هایی به حقوق و تنظیم‌گری

نغمه بازگیر

مفهوم رضایت به طور مستقیم با علم حقوق پیوند خورده است و به عنوان مجوزی عمل می‌کند که مشروعیت اعمال مختلف را فراهم می‌سازد. رضایت در بسیاری از شاخه‌های حقوق، از جمله حقوق قراردادها، نقش کلیدی دارد و این امر در حوزه حریم خصوصی نیز مستثنی نیست. در این حوزه، مهم‌ترین مسئله در نظام‌های حقوقی، رضایت است.

کسب رضایت آگاهانه در خصوص داده‌های شخصی، گاهی به عنوان “تعیین سرنوشت اطلاعاتی” تلقی می‌شود. این مفهوم بیان می‌کند که هر فرد حق دارد خود تصمیم بگیرد که چه زمانی، چگونه و به چه میزان اطلاعات مربوط به او به دیگران منتقل شود. هدف عمده از کسب رضایت این است که به افراد امکان داده شود تا ترجیحات خود را در مورد نحوه استفاده از اطلاعات شخصی‌شان ابراز کنند. با گسترش فناوری و افزایش حجم داده‌ها، این ایده شکل گرفت که هر فرد باید کنترل سرنوشت داده‌های خود را در دست داشته باشد. به همین دلیل، با کسب رضایت، این فرصت برای افراد فراهم می‌شود که خود تصمیم بگیرند چه زمانی، چگونه و به چه میزان اطلاعاتشان به دیگران منتقل شود.

علاوه بر این، اعلامیه‌های رضایت به عنوان هشداری عمل می‌کنند که ممکن است رفتار افراد پیامدهایی داشته باشد؛ این پیامدها می‌توانند مثبت، منفی و یا حتی بالقوه زیان‌آور باشند. با دریافت رضایت صریح پیش از جمع‌آوری، پردازش یا اشتراک‌گذاری داده‌های شخصی، سازمان‌ها تعهد خود به شفافیت و پاسخگویی را نشان می‌دهند. این عمل نه تنها اطمینان می‌دهد که فعالیت‌های سازمان‌ها با مقررات حریم خصوصی همخوانی دارد، بلکه به افراد قدرت تصمیم‌گیری آگاهانه در مورد نحوه استفاده از داده‌هایشان را می‌بخشد.

امروزه داده‌ها دارای ارزش اقتصادی بالایی هستند و از داده‌های شخصی به عنوان ابزاری برای تبلیغات و فروش کالاها و خدمات مختلف استفاده می‌شود. داده‌های شخصی حاوی اطلاعاتی درباره زندگی روزمره و معاملات اقتصادی و غیر اقتصادی افراد است؛ از خرید کالاهای گوناگون تا استفاده از اینترنت و نرم‌افزارهای مختلف، همگی در این دایره قرار می‌گیرند.

به مرور زمان، ارزش داده‌های شخصی افزایش یافته است و به همین دلیل، اعلام رضایت از سوی کاربران نه تنها نشان‌دهنده اجازه آن‌ها برای استفاده از حقوق شخصیتی‌شان توسط اشخاص ثالث است، بلکه به عنوان ابزاری برای مذاکره درباره ارزش اقتصادی اطلاعات شخصی نیز محسوب می‌شود. هرچند که در عمل، انجام این فرآیند با چالش‌هایی همراه است که در ادامه به بحث درباره آن‌ها خواهیم پرداخت.

تعریف و انواع نظام‌های کسب رضایت 

حال که اهمیت کسب رضایت در خصوص داده‌ها روشن شد، شایسته است به بررسی معنای رضایت و نظام‌های حقوقی مرتبط با آن بپردازیم. در این مفهوم، رضایت به معنای هر نشانه‌ای است که به صورت آزادانه، مشخص، آگاهانه و بدون ابهام از سوی کاربر ابراز شود. رضایت عنصری کلیدی است که مشروعیت جمع‌آوری و پردازش داده‌ها را فراهم می‌کند.

رضایت باید معنادار باشد؛ به این معنا که هیچ نقصی در آن نباشد (همانند اراده در حقوق مدنی) و نباید نتیجه فریب یا سوء‌استفاده از شخص باشد. شرط اصلی برای معنادار بودن رضایت این است که فرد به طور کامل از شرایطی که به آن رضایت می‌دهد مطلع باشد، گزینه‌های مناسبی برای انتخاب داشته باشد و توانایی بررسی جوانب مختلف موضوع را نیز داشته باشد.

در حال حاضر، دو رویکرد اصلی در جهان نسبت به رضایت وجود دارد:

  1. نظام اطلاعیه و رضایت که بیشتر در ایالات متحده آمریکا رایج است.
  2. نظام رضایت صریح که در اتحادیه اروپا، بر اساس قانون عمومی محافظت از داده‌ها (GDPR)، اعمال می‌شود.

نظام اطلاعیه و رضایت (ایالات متحده آمریکا)

در نظام آمریکایی، محافظت از داده‌ها بر پایه رضایت ضمنی استوار است. در این رویکرد، شرکت‌ها موظفند اطلاعیه‌ای درباره سیاست‌های حفاظت از داده‌های خود ارائه دهند تا کاربران مطلع شوند که داده‌هایشان چگونه جمع‌آوری و استفاده می‌شود. پس از آن، کاربران می‌توانند با علم به این سیاست‌ها، به استفاده از خدمات ادامه دهند یا از آن دست بکشند. اگر کاربران همچنان از وب‌سایت یا خدمات مربوطه استفاده کنند، این به معنای رضایت ضمنی آن‌ها به سیاست‌های حفاظت از داده‌ها تلقی می‌شود.

در این نظام، اصل اساسی که باید رعایت شود، شفافیت است. کاربران باید به طور دقیق و واضح بدانند که چه داده‌هایی جمع‌آوری می‌شود و چگونه از آن‌ها استفاده خواهد شد. در صورتی که کاربران پس از اطلاع، همچنان به استفاده ادامه دهند، فرض بر این است که به جمع‌آوری و پردازش داده‌ها رضایت داده‌اند، و خلاف آن به راحتی قابل اثبات نیست.

نظام رضایت صریح (اتحادیه اروپا)

در مقابل، نظام اروپایی مبتنی بر اخذ رضایت صریح و داوطلبانه کاربران است. این رضایت در مقررات عمومی حفاظت از داده‌های اتحادیه اروپا (GDPR) و بسیاری از قوانین حریم خصوصی کشورهای دیگر نقش اساسی دارد. در این رویکرد، رضایت باید به صراحت اعلام و نمی‌تواند به طور ضمنی استنباط شود. این سیستم سختگیرانه‌تر از نظام آمریکایی است و به افراد اختیار بیشتری برای کنترل داده‌هایشان می‌دهد.

یکی از ویژگی‌های برجسته GDPR اثر فرامرزی آن است. این قانون نه تنها شرکت‌های مستقر در اتحادیه اروپا را ملزم به رعایت مقررات می‌کند، بلکه شرکت‌هایی که خارج از اتحادیه اروپا هستند و کاربران آن منطقه را دارند نیز باید از این مقررات پیروی کنند. علاوه بر این، کاربران هر زمان که بخواهند، باید به راحتی بتوانند رضایت خود را لغو کنند و این امر باید برای شرکت‌ها الزام‌آور باشد.

به هر دو نظام رضایت انتقاداتی وارد است که در بخش بعدی به آن‌ها خواهیم پرداخت. به طور خلاصه در نظام آمریکایی، مسئله اصلی فقدان کنترل کافی کاربران بر داده‌هایشان است. از طرفی، در نظام اروپایی، سخت‌گیری‌های بیش از حد ممکن است به چالش‌های اجرایی و اقتصادی منجر شود.

در ایران، تاکنون  قوانین مفصل و جامعی در خصوص حفاظت از داده‌های شخصی تدوین نشده است. با این حال، دو سند مهم قانونی در این زمینه وجود دارد:

  1. لایحه حفاظت از داده‌های شخصی که هنوز به تصویب نرسیده و لازم‌الاجرا نیست.
  2. دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی که به تازگی توسط شورای عالی فضای مجازی تصویب شده است.

به نظر می‌رسد که قانون‌گذار ایرانی رویکرد اروپایی رضایت را مدنظر دارد و بر اخذ رضایت صریح و آگاهانه از کاربران تأکید دارد.

انتقادها و چالش‌ها 

یکی از بزرگ‌ترین انتقاداتی که به نظام فعلی حفاظت از داده‌ها وارد است، مربوط به عنصر آگاهانه بودن رضایت است. پیش‌بینی دقیق این‌که چه نوع پردازشی بر روی داده‌های جمع‌آوری شده انجام خواهد شد، برای اکثر مردم دشوار است. از یک سو، کاربران برای اطلاع از اهداف پردازش داده‌هایشان باید اطلاعیه‌های طولانی و پیچیده‌ای را مطالعه کنند. از سوی دیگر، حتی در صورت مطالعه این اطلاعیه‌ها، پیچیدگی نحوه پردازش داده‌ها به ویژه در محیط کلان‌داده‌ها باعث می‌شود که اکثر کاربران آن را به درستی درک نکنند.

بیشتر افراد، اطلاعیه‌های مربوط به سیاست‌های امنیت داده‌ها را نمی‌خوانند یا حتی اگر آن‌ها را بخوانند، دانش فنی کافی برای درک محتوای آن‌ها را ندارند. بنابراین، عنصر «آگاهانه بودن» رضایت در عمل چالشی بزرگ محسوب می‌شود، چرا که اطلاعات ارائه شده برای کاربران معمولاً به شکل غیرقابل درکی پیچیده است.

نظام‌های فعلی کسب رضایت معمولاً به شکل سیاه و سفید عمل می‌کنند؛ یعنی کاربر یا باید به طور کامل به جمع‌آوری داده‌های خود یا بعضا داده‌های ضروری، رضایت دهد یا کلاً رضایت ندهند و هیچ حد وسطی وجود ندارد. این موضوع باعث می‌شود که کاربران نتوانند بین گزینه‌های مختلف جمع‌آوری داده‌ها انتخاب کنند؛ به عنوان مثال، نمی‌توانند تعیین کنند که کدام نوع داده‌ها جمع‌آوری شود. 

در نظام آمریکایی که مبتنی بر رضایت ضمنی است، هیچ تضمینی وجود ندارد که کاربران سیاست‌های حفاظت از داده را واقعاً مطالعه کرده یا متوجه شده باشند. این سیستم بر این فرض استوار است که ادامه استفاده از خدمات به معنای رضایت کاربر است، اما در عمل بسیاری از افراد بدون مطالعه سیاست‌های مربوطه به استفاده ادامه می‌دهند. این موضوع باعث می‌شود که مدل «اطلاعیه و رضایت» ریسکی بزرگ به همراه داشته باشد. این که فرد همچنان به استفاده از خدمات ادامه دهد، لزوما به معنای موافقت او با سیاست‌های حفاظت از داده‌ها نیست.

نظام اروپایی کسب رضایت، هر چند که قوانین سختگیرانه‌تری دارد، اما این سختگیری الزاما به معنای بهتر بودن نیست. GDPR تأکید دارد که رضایت باید صریح، آگاهانه و بدون ابهام باشد، اما در عمل هیچ راهکاری برای اطمینان از این‌که افراد واقعاً از مفاد آن‌چه به آن رضایت می‌دهند مطلع هستند، ارائه نمی‌دهد. هرچند که افراد باید رضایت خود را به صراحت اعلام کنند، اما هیچ سیستمی برای اطمینان از مطالعه و درک واقعی مفاد وجود ندارد.

در نهایت، چالش‌های مرتبط با کسب رضایت نشان می‌دهد که هر چند این مفهوم از اهمیت بالایی برخوردار است، اما نظام‌های فعلی آن نیاز به بازنگری و اصلاح دارند تا بهتر بتوانند از داده‌های شخصی افراد حفاظت کنند.