مدخلهایی به حقوق و تنظیمگری
نغمه بازگیر
مفهوم رضایت به طور مستقیم با علم حقوق پیوند خورده است و به عنوان مجوزی عمل میکند که مشروعیت اعمال مختلف را فراهم میسازد. رضایت در بسیاری از شاخههای حقوق، از جمله حقوق قراردادها، نقش کلیدی دارد و این امر در حوزه حریم خصوصی نیز مستثنی نیست. در این حوزه، مهمترین مسئله در نظامهای حقوقی، رضایت است.
کسب رضایت آگاهانه در خصوص دادههای شخصی، گاهی به عنوان “تعیین سرنوشت اطلاعاتی” تلقی میشود. این مفهوم بیان میکند که هر فرد حق دارد خود تصمیم بگیرد که چه زمانی، چگونه و به چه میزان اطلاعات مربوط به او به دیگران منتقل شود. هدف عمده از کسب رضایت این است که به افراد امکان داده شود تا ترجیحات خود را در مورد نحوه استفاده از اطلاعات شخصیشان ابراز کنند. با گسترش فناوری و افزایش حجم دادهها، این ایده شکل گرفت که هر فرد باید کنترل سرنوشت دادههای خود را در دست داشته باشد. به همین دلیل، با کسب رضایت، این فرصت برای افراد فراهم میشود که خود تصمیم بگیرند چه زمانی، چگونه و به چه میزان اطلاعاتشان به دیگران منتقل شود.
علاوه بر این، اعلامیههای رضایت به عنوان هشداری عمل میکنند که ممکن است رفتار افراد پیامدهایی داشته باشد؛ این پیامدها میتوانند مثبت، منفی و یا حتی بالقوه زیانآور باشند. با دریافت رضایت صریح پیش از جمعآوری، پردازش یا اشتراکگذاری دادههای شخصی، سازمانها تعهد خود به شفافیت و پاسخگویی را نشان میدهند. این عمل نه تنها اطمینان میدهد که فعالیتهای سازمانها با مقررات حریم خصوصی همخوانی دارد، بلکه به افراد قدرت تصمیمگیری آگاهانه در مورد نحوه استفاده از دادههایشان را میبخشد.
امروزه دادهها دارای ارزش اقتصادی بالایی هستند و از دادههای شخصی به عنوان ابزاری برای تبلیغات و فروش کالاها و خدمات مختلف استفاده میشود. دادههای شخصی حاوی اطلاعاتی درباره زندگی روزمره و معاملات اقتصادی و غیر اقتصادی افراد است؛ از خرید کالاهای گوناگون تا استفاده از اینترنت و نرمافزارهای مختلف، همگی در این دایره قرار میگیرند.
به مرور زمان، ارزش دادههای شخصی افزایش یافته است و به همین دلیل، اعلام رضایت از سوی کاربران نه تنها نشاندهنده اجازه آنها برای استفاده از حقوق شخصیتیشان توسط اشخاص ثالث است، بلکه به عنوان ابزاری برای مذاکره درباره ارزش اقتصادی اطلاعات شخصی نیز محسوب میشود. هرچند که در عمل، انجام این فرآیند با چالشهایی همراه است که در ادامه به بحث درباره آنها خواهیم پرداخت.
تعریف و انواع نظامهای کسب رضایت
حال که اهمیت کسب رضایت در خصوص دادهها روشن شد، شایسته است به بررسی معنای رضایت و نظامهای حقوقی مرتبط با آن بپردازیم. در این مفهوم، رضایت به معنای هر نشانهای است که به صورت آزادانه، مشخص، آگاهانه و بدون ابهام از سوی کاربر ابراز شود. رضایت عنصری کلیدی است که مشروعیت جمعآوری و پردازش دادهها را فراهم میکند.
رضایت باید معنادار باشد؛ به این معنا که هیچ نقصی در آن نباشد (همانند اراده در حقوق مدنی) و نباید نتیجه فریب یا سوءاستفاده از شخص باشد. شرط اصلی برای معنادار بودن رضایت این است که فرد به طور کامل از شرایطی که به آن رضایت میدهد مطلع باشد، گزینههای مناسبی برای انتخاب داشته باشد و توانایی بررسی جوانب مختلف موضوع را نیز داشته باشد.
در حال حاضر، دو رویکرد اصلی در جهان نسبت به رضایت وجود دارد:
- نظام اطلاعیه و رضایت که بیشتر در ایالات متحده آمریکا رایج است.
- نظام رضایت صریح که در اتحادیه اروپا، بر اساس قانون عمومی محافظت از دادهها (GDPR)، اعمال میشود.
نظام اطلاعیه و رضایت (ایالات متحده آمریکا)
در نظام آمریکایی، محافظت از دادهها بر پایه رضایت ضمنی استوار است. در این رویکرد، شرکتها موظفند اطلاعیهای درباره سیاستهای حفاظت از دادههای خود ارائه دهند تا کاربران مطلع شوند که دادههایشان چگونه جمعآوری و استفاده میشود. پس از آن، کاربران میتوانند با علم به این سیاستها، به استفاده از خدمات ادامه دهند یا از آن دست بکشند. اگر کاربران همچنان از وبسایت یا خدمات مربوطه استفاده کنند، این به معنای رضایت ضمنی آنها به سیاستهای حفاظت از دادهها تلقی میشود.
در این نظام، اصل اساسی که باید رعایت شود، شفافیت است. کاربران باید به طور دقیق و واضح بدانند که چه دادههایی جمعآوری میشود و چگونه از آنها استفاده خواهد شد. در صورتی که کاربران پس از اطلاع، همچنان به استفاده ادامه دهند، فرض بر این است که به جمعآوری و پردازش دادهها رضایت دادهاند، و خلاف آن به راحتی قابل اثبات نیست.
نظام رضایت صریح (اتحادیه اروپا)
در مقابل، نظام اروپایی مبتنی بر اخذ رضایت صریح و داوطلبانه کاربران است. این رضایت در مقررات عمومی حفاظت از دادههای اتحادیه اروپا (GDPR) و بسیاری از قوانین حریم خصوصی کشورهای دیگر نقش اساسی دارد. در این رویکرد، رضایت باید به صراحت اعلام و نمیتواند به طور ضمنی استنباط شود. این سیستم سختگیرانهتر از نظام آمریکایی است و به افراد اختیار بیشتری برای کنترل دادههایشان میدهد.
یکی از ویژگیهای برجسته GDPR اثر فرامرزی آن است. این قانون نه تنها شرکتهای مستقر در اتحادیه اروپا را ملزم به رعایت مقررات میکند، بلکه شرکتهایی که خارج از اتحادیه اروپا هستند و کاربران آن منطقه را دارند نیز باید از این مقررات پیروی کنند. علاوه بر این، کاربران هر زمان که بخواهند، باید به راحتی بتوانند رضایت خود را لغو کنند و این امر باید برای شرکتها الزامآور باشد.
به هر دو نظام رضایت انتقاداتی وارد است که در بخش بعدی به آنها خواهیم پرداخت. به طور خلاصه در نظام آمریکایی، مسئله اصلی فقدان کنترل کافی کاربران بر دادههایشان است. از طرفی، در نظام اروپایی، سختگیریهای بیش از حد ممکن است به چالشهای اجرایی و اقتصادی منجر شود.
در ایران، تاکنون قوانین مفصل و جامعی در خصوص حفاظت از دادههای شخصی تدوین نشده است. با این حال، دو سند مهم قانونی در این زمینه وجود دارد:
- لایحه حفاظت از دادههای شخصی که هنوز به تصویب نرسیده و لازمالاجرا نیست.
- دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمعآوری، پردازش و نگهداری اطلاعات کاربران در سامانهها و سکوهای فضای مجازی که به تازگی توسط شورای عالی فضای مجازی تصویب شده است.
به نظر میرسد که قانونگذار ایرانی رویکرد اروپایی رضایت را مدنظر دارد و بر اخذ رضایت صریح و آگاهانه از کاربران تأکید دارد.
انتقادها و چالشها
یکی از بزرگترین انتقاداتی که به نظام فعلی حفاظت از دادهها وارد است، مربوط به عنصر آگاهانه بودن رضایت است. پیشبینی دقیق اینکه چه نوع پردازشی بر روی دادههای جمعآوری شده انجام خواهد شد، برای اکثر مردم دشوار است. از یک سو، کاربران برای اطلاع از اهداف پردازش دادههایشان باید اطلاعیههای طولانی و پیچیدهای را مطالعه کنند. از سوی دیگر، حتی در صورت مطالعه این اطلاعیهها، پیچیدگی نحوه پردازش دادهها به ویژه در محیط کلاندادهها باعث میشود که اکثر کاربران آن را به درستی درک نکنند.
بیشتر افراد، اطلاعیههای مربوط به سیاستهای امنیت دادهها را نمیخوانند یا حتی اگر آنها را بخوانند، دانش فنی کافی برای درک محتوای آنها را ندارند. بنابراین، عنصر «آگاهانه بودن» رضایت در عمل چالشی بزرگ محسوب میشود، چرا که اطلاعات ارائه شده برای کاربران معمولاً به شکل غیرقابل درکی پیچیده است.
نظامهای فعلی کسب رضایت معمولاً به شکل سیاه و سفید عمل میکنند؛ یعنی کاربر یا باید به طور کامل به جمعآوری دادههای خود یا بعضا دادههای ضروری، رضایت دهد یا کلاً رضایت ندهند و هیچ حد وسطی وجود ندارد. این موضوع باعث میشود که کاربران نتوانند بین گزینههای مختلف جمعآوری دادهها انتخاب کنند؛ به عنوان مثال، نمیتوانند تعیین کنند که کدام نوع دادهها جمعآوری شود.
در نظام آمریکایی که مبتنی بر رضایت ضمنی است، هیچ تضمینی وجود ندارد که کاربران سیاستهای حفاظت از داده را واقعاً مطالعه کرده یا متوجه شده باشند. این سیستم بر این فرض استوار است که ادامه استفاده از خدمات به معنای رضایت کاربر است، اما در عمل بسیاری از افراد بدون مطالعه سیاستهای مربوطه به استفاده ادامه میدهند. این موضوع باعث میشود که مدل «اطلاعیه و رضایت» ریسکی بزرگ به همراه داشته باشد. این که فرد همچنان به استفاده از خدمات ادامه دهد، لزوما به معنای موافقت او با سیاستهای حفاظت از دادهها نیست.
نظام اروپایی کسب رضایت، هر چند که قوانین سختگیرانهتری دارد، اما این سختگیری الزاما به معنای بهتر بودن نیست. GDPR تأکید دارد که رضایت باید صریح، آگاهانه و بدون ابهام باشد، اما در عمل هیچ راهکاری برای اطمینان از اینکه افراد واقعاً از مفاد آنچه به آن رضایت میدهند مطلع هستند، ارائه نمیدهد. هرچند که افراد باید رضایت خود را به صراحت اعلام کنند، اما هیچ سیستمی برای اطمینان از مطالعه و درک واقعی مفاد وجود ندارد.
در نهایت، چالشهای مرتبط با کسب رضایت نشان میدهد که هر چند این مفهوم از اهمیت بالایی برخوردار است، اما نظامهای فعلی آن نیاز به بازنگری و اصلاح دارند تا بهتر بتوانند از دادههای شخصی افراد حفاظت کنند.