نوع گزارش : گزارش های راهبردی
نویسنده
پژوهشگر گروه مخابرات و فناوری اطلاعات دفتر مطالعات انرژی، صنعت و معدن مرکز پژوهش های مجلس شورای اسلامی
چکیده
اعتماد به خدمات فناوری اطلاعات و ارتباطات یا فاوای داخلی، محرک اصلی رشد دیجیتالی شدن خدمات و توسعه صنایع فاوا در کشور است. حفاظت از داده ها، پیرامون ضوابطی است که موجب افزایش اعتماد مردم به استفاده و نگهداری منصفانه و مسئولانه از داده هایشان می شود.
نتایج بررسی قوانین حفاظت از داده های ایالات متحده آمریکا نشان می دهد که این قوانین به دو دسته کلی؛ قوانین مرتبط با بخش دولتی و بخش خصوصی قابل تقسیم هستند. مطالعه قوانین ایالات متحده آمریکا در زمینه حفاظت از داده در بخش دولتی نشان می دهد، انطباق دستگاه های دولتی با موازین حفاظت از داده ها تنها به تصویب قوانین موضوعه یا دائمی محدود نشده، بلکه به صورت مستمر در قوانین برنامه توسعه ای و قوانین بودجه سنواتی نیز اقداماتی برای تدوین چارچوب ها و انطباق دستگاه های اجرایی با موازین حریم خصوصی و حفاظت از داده ها در دستور کار قرار گرفته است. ازسوی دیگر سخت گیری بیش از حد در گردآوری و کسب اطلاعات توسط بخش دولتی در برخی موارد موجب وابستگی غیرقابل بازگشت بخش دولتی به شرکت های خصوصی شده که عملاً تصمیم گیری در جهت منافع ملی را با مشکل مواجه کرده است.
ازطرف دیگر، در تصویب قوانین عمومی حفاظت از داده ها در بخش خصوصی از اقشار آسیب پذیر مانند کودکان و افراد شاغل در مشاغل خاص مانند خبرنگاران نسبت به عموم جامعه حفاظت بیشتری شده است. همچنین در قوانین حفاظت از داده ها در بخش هایی از قبیل سلامت و امور مالی که با حساسیت بیشتری از این حیث مواجه هستند ضوابط عمیق تری لحاظ شده است.
گزیده سیاستی
حفاظت از دادهها باید بین هزینه توسعه سیستمهای فناوری اطلاعاتی و رعایت مسئولیت کسبوکار و بخش دولتی نسبت به دادههای شهروندان تعادل بهوجود بیاورد.
کلیدواژهها
موضوعات
بیان / شرح مسئله
بهعنوان یک مفهوم حقوقی حفاظت از دادهها، دو حوزه حریم خصوصی داده (چگونگی کنترل، گردآوری، استفاده و توزیع اطلاعات شخصی) و امنیت داده (چگونگی حفاظت از دادههای شخصی در مقابل دسترسی و استفاده غیرمجاز و پاسخ به دسترسی یا استفاده غیرمجاز) را با یکدیگر ترکیب میکند. ضوابط حفاظت از دادهها باید تعادلی بین سهولت توسعه سیستمهای فناوری اطلاعاتی و اطمینان از رعایت مسئولیت کسبوکار و بخش دولتی نسبت به دادههای شهروندان بهوجود بیاورد. حساسیت بیشتر بعضی از دادهها مانند دادههای سلامت یا امور مالی نیازمند سطوح بالاتری از ضوابط حفاظت از دادههاست. با وجود این، در حال حاضر بخش حمایت از دادههای شخصی در قانون تجارت الکترونیکی ایران نمیتواند پاسخگوی تمام نیازهای حفاظت از داده باشد. ازاینرو لایحه حفاظت از دادهها در انتظار اعلام وصول و بررسی در مجلس شورای اسلامی است. استفاده از تجارب بینالمللی میتواند به کشور در قانونگذاری دقیقتر کمک کند. بنابراین تجربه ایالات متحده آمریکا بهعنوان کشوری که قانونگذاری حفاظت دادهها را از حدود نیم قرن پیش آغاز و با تبعات مثبت و منفی آن مواجه شده است میتواند مفید باشد.
نقطهنظرات / یافتههای کلیدی
طبق مطالعات ایالات متحده آمریکا بهنظر میرسد برای قانونگذاری در زمینه حفاظت از دادهها این نکات قابلتوجه هستند:
۱. حفاظت از دادهها شامل بخش دولتی و خصوصی میشود. طرحها و لوایح، حقوق اشخاص موضوع دادهها در پایگاههای اطلاعاتی مختلف دولتی و خصوصی را شفافسازی میکنند.
۲. ضوابط حفاظت از دادههای حساس از قبیل اطلاعات مالی و سلامتی بسته به سطح حساسیت بالاتر از ضوابط عمومی حفاظت از دادهها تعیین شده است.
۳. اشخاص موضوع داده مختلف از حفاظتهای قانونی متفاوتی برخوردار هستند. از یکسو کودکان و اقشار آسیبپذیر و مشاغلی مانند خبرنگاران فعال در زمینه افشاگری و مبارزه با فساد، مورد حفاظت بیشتر قانونی قرار گرفتهاند. ازسویدیگر شاغلین مناصب دارای دسترسی به اطلاعات حساس و محرمانه طبق ضوابط قانونی بهعنوان شرط پذیرش جایگاه، داوطلبانه برای مبارزه با فساد، نفوذ و تخلف، نسبت به بخشی از حریم خصوصی خود صرفنظر میکنند.
۴. حفاظت از دادهها در شرایط بحران از قبیل همهگیری کرونا مورد بازنگری و تعدیل قرار میگیرد و ضوابط آن برای شرایط بحرانی میتواند انعطافپذیری داشته باشد.
۵. حفاظت از دادهها یک فرایند است که با بلوغ سازمانی بخش دولتی محقق میشود. تصویب قوانین دائمی در بلندمدت به توسعه سطح حفاظت دادهها کمک میکند، اما در قوانین توسعهای و سنواتی، ظرفیتسازی حفاظت از دادهها هدفگذاری میشود.
۶. در مراحل اولیه ساماندهی حفاظت از دادهها که بلوغ سازمانی پایینتر است، کمک گرفتن از مشاورین بیرونی به این امر سرعت داد، اما با شکلگیری دانش سازمانی، نهادها قادر شدند بدون کمک مشاورین و بهصورت مستقل این وظایف را عهدهدار شوند.
پیشنهاد راهکارهای تقنینی، نظارتی یا سیاستی
بخش تقنین
پیشنهاد میشود در تدوین لایحه حفاظت از دادهها این نکات مدنظر قرار گیرد:
بخش نظارت
در عصر فناوری اطلاعات، دریافت، نگهداری و استفاده از داده و اطلاعات اشخاص به بخش مهمی از کسبوکارها و فعالیتهای انتفاعی و غیرانتفاعی مختلف توسط اشخاص دولتی و غیردولتی مبدل میشود. حفاظت از دادهها، پیرامون ضوابطی است که موجب افزایش اعتماد مردم به استفاده، نگهداری منصفانه و مسئولانه از دادههایشان میشود [1]. درنتیجه، حفاظت از دادهها، گونهای از معیارهای قابل پذیرش نزد عموم و نظامی از کنترلها و مقابلههاست که بر ادعای منصفانه بودن اتکا دارد. حفاظت از دادهها، فرایند تضمین آزادی اختیار و حقوق افراد برای پردازش دادههای مربوط به آنها را شامل میشود [2]. بهعنوان یک مفهوم حقوقی، حفاظت از دادهها دو حوزه حریم خصوصی داده (چگونگی کنترل گردآوری، استفاده و توزیع اطلاعات شخصی) و امنیت داده (چگونگی حفاظت از دادههای شخصی در مقابل دسترسی و استفاده غیرمجاز و پاسخ به دسترسی یا استفاده غیرمجاز) را با یکدیگر ترکیب میکند [3].
پایگاههای داده رایانهای در دهه ۱۹۶۰ با وارد بازار شدن رایانههای ترانزیستوری شکل و در بخش مالی مورد استفاده قرار گرفتند. در ایالات متحده آمریکا، قانون گزارشدهی منصفانه اعتبار افراد در سال ۱۹۷۰ یکی از اولین قوانین مرتبط با حریم خصوصی اطلاعات مالی در جهان است که تلاشی بر پایان یک دهه نابسامانی ناشی از اطلاعات غلط در مورد اشخاص در دهه ۱۹۶۰ بود.
پس از رسوایی واترگیت و استفاده از زیرساختهای جاسوسی دولت برای شنود و کسب اطلاعات برای امور حزبی و جناحی [4]، تصویب قانون حریم خصوصی در سال ۱۹۷۴، بهمنظور حفاظت از دادههای بخش دولتی در ایالات متحده آمریکا در دستور کار قرار گرفت [5]. استفاده از تجاربی که این کشور طی سالها در مواجهه با چالش حفاظت از دادهها حتی با تصویب قانون معین حریم خصوصی و اصلاحات آن داشته است، میتواند در هر نوع مقرراتگذاری حفاظت از دادهها در کشور ایران نیز مفید باشد. برای مثال در سال ۲۰۰۵ اطلاعات ۱۴۵ هزار نفر به سرقت رفت، در آن زمان خلأهای قانونی، دلیل موضوع اعلام، و برخی خواستار بازنگری قوانین مربوط به این موضوع شدند [6]. در سال 2017 واقعه رخنه سایبری در اطلاعات شرکت اعتباری اکوئیفاکس حادث شد که در آن اطلاعات ۱۴۲ میلیون شهروند این کشور از طرف هکرها بهخاطر عدم توجه آن شرکت به رعایت مبانی اولیه امنیت سایبری به سرقت رفت و در ادامه کوتاهی شرکت مذکور و دولت در اطلاعرسانی واقعه به افرادی که تحتتأثیر قرار گرفته بودند نیز چالش زیادی ایجاد کرد. پس از این واقعه، نمایندگان حزب دمکرات چندین تلاش برای مقرراتگذاری عام حفاظت از دادهها در بخش دولتی و خصوصی انجام دادند که تاکنون با توجه به عدم همراهی جناح جمهوریخواه که مقررات حفاظت از داده را بهنوعی مقرراتگذاری دستوپاگیر تلقی میکند به نتیجه نرسیده است [7]. در حال حاضر قوانین این کشور در زمینه حفاظت از دادهها به دو دسته قوانین بخش خصوصی و عمومی تقسیم میشود. شکل زیر نمای کلی قوانین این کشور را نشان میدهد.
گزارش حاضر، سومین گزارش از مجموعه گزارشهای پیرامون حفاظت از دادههای آمریکاست. در گزارش اول، براساس چارچوب حفاظت از داده و مدل زنجیره ارزش دادهها، قوانین ایران در زمینه حفاظت از دادهها مدون شده است. در گزارش دوم، قانون اساسی، قوانین و مقررات فدرال و ایالتی این کشور با قوانین متناظر در ایران مقایسه شدند و گزارش حاضر نیز با هدف استخراج نکات مفید از تجربه قانونگذاری کشور آمریکا در حفاظت از داده در سطح قوانین کنگره، به بررسی مسائل زیر پرداخته است:
بنابراین در ادامه، ابتدا ساختار کنگره و شیوه گردآوری مصوبات فناوری اطلاعات معرفی میشوند. سپس قوانین حفاظت از داده در بخش عمومی و خصوصی طبق طبقهبندی شکل ۱، بررسی میشوند.
2.ساختار کنگره ایالات متحده آمریکا و شیوه گردآوری مصوبات فناوری اطلاعات آن
در ایالات متحده آمریکا، مجلس نمایندگان و سنا دو مجلسی هستند که در مجموع کنگره نامیده میشوند. اعضای مجلس نمایندگان بیشتر طرحهای قانونی را پیشنهاد میدهند، اما اعضای مجلس سنا نیز میتوانند طرحهایی را به مجلس سنا معرفی کنند. طرحهای پیشنهادی ابتدا در کمیسیون مربوطه بررسی و در صورت تأیید در صحن مطرح میشود. پس از تصویب در صحن یکی از مجالس، در مجلس دیگر بررسی میشود. درصورتیکه هر دو مجلس طرحی را تصویب کنند و رئیسجمهور هم طرحها را رد نکند، این طرحها تبدیل به قانون میشوند.
نحوه ارائه قوانین مصوب براساس دو نوع دستهبندی انجام میشود. در یک دستهبندی، قوانین در دو شاخه قوانین موقتی و بودجهای با تاریخ انقضای مشخص و قوانین دائمی، طبقهبندی میشوند. قوانین دائمی و عمومی توسط دفتر شورای بازنگری قوانین مجلس نمایندگان ایالات متحده آمریکا در آدرس http://uscode.house.gov در یک طبقهبندی موضوعی ذیل ۵۳ عنوان تقسیمبندی میشوند و هر عنوان شامل چند فصل میشود و هر فصل شامل چندین بخش است. در میان منابع رایگان، این منبع بهروزترین منبع طبقهبندی قوانین است. قوانین مربوط به مخابرات در عنوان ۴۷ این طبقهبندی قرار میگیرند و این عنوان بعضی قوانین مربوط به اینترنت را نیز دربر دارد. با وجود این، همه قوانین مرتبط با اینترنت در این بخش نیست و سایر بخشها مانند تجارت و مبادله در عنوان 15 نیز بخشهایی مرتبط با اینترنت دارد.
در نوع دیگری از دستهبندی، طبقهبندی قوانین براساس مصوبات دوره مجالس کنگره صورت میپذیرد. با مراجعه به وبگاه کنگره به آدرس congress.gov میتوان همه طرحهایی که از کنگره دوره ۹۳ تا کنگره دوره 118 یعنی از سال ۱۹۷۳ تا 2024 در مجالس این کشور مطرح شده و در هر مرحلهای که هستند را در هر موضوعی جستجو کرد. در وبگاه کنگره، قوانین این کشور براساس حوزههای سیاستی به ۳۲ حوزه تقسیم میشوند، قوانین مربوط به اینترنت در هرکدام از این حوزهها قابل جستجو است، مثلاً مقررات مربوط به دو حوزه سیاستی آموزش و خانواده در زمینه اینترنت ممکن است قوانین مرتبط با حفاظت از کودکان در فضای مجازی را در خود داشته باشد. ازسویدیگر قوانین این کشور از نظر تعریف سرفصلهای قانونگذاری به بیش از هزار عبارت موضوعی تقسیم شده است که هر عبارت را میتوان برای جستجوی یک موضوع مشخص مورد بررسی قرار داد. اینترنت و رسانههای اینترنتی، خدماترسانهای اینترنتی ازجمله عبارتهای قانونی هستند که برای جستجوی قوانین مصوب دورهای در زمینه اینترنت قابل استفاده هستند. در این گزارش، بخش قابلتوجهی از قوانین مصوب کنگره ایالات متحده آمریکا براساس پایگاه کنگره بررسی شدهاند تا هم قوانین دائمی و هم قوانین موردی و بودجهای این کشور زیر پوشش قرار بگیرد.
نحوه ارائه و نمایش قوانین دورهای مصوب ایالات متحده آمریکا معمولاً به این صورت است که در ابتدای قانون بهطور خلاصه هدف از تصویب قانون بیان میشود. قسمتی با عنوان یافتهها قبل از تعاریف در قانون گنجانده شده که شرایط اجرایی که موجب تصویب قانون شده و وضعیت عملکرد قبل از تصویب قانون را مشخص میکند. سپس کلمات و عباراتی که ممکن است در مورد آنها اختلافنظر وجود داشته باشد در قسمت تعاریف مدون میشوند. قوانین دورهای ممکن است درواقع ترکیب چند قانون باشند که ارتباط دقیقی با یکدیگر نداشته باشند. مثلاً قانونی که سرمایهگذاری در بنادر ایالات متحده آمریکا را محدود میکند، موضوع قمار اینترنتی را نیز پوشش داده است. در این مواقع عناوین قانون امکان تفکیک قوانین از یکدیگر را فراهم میکند.
مرکز پژوهشهای کنگره آمریکا هفت موضوع شامل: ۱. حریم خصوصی اینترنتی، ۲. امنیت اینترنت و تجهیزات رایانهای ۳. دسترسی به اینترنت پهن باند، ۴. تجارت الکترونیکی، ۵. پیامهای ناخواسته، ۶. حکمرانی اینترنت و دامنههای اینترنتی، ۷. دولت الکترونیکی را مسائل مهم حول فناوری اینترنت در آن کشور برشمرده است [8] . در ادامه قوانین حفاظت از دادهها با استناد به طبقهبندی مرکز پژوهشهای کنگره آمریکا و پژوهش مستقیم اطلاعات وبگاه کنگره آمریکا استخراج و تا جای امکان با قوانین داخلی ایران مقایسه میشوند.
۳. قوانین حفاظت از دادههای در اختیار بخش عمومی آمریکا و مقایسه آن با ایران
از دهه 1960، با رشد سامانههای دیجیتالی ذخیره و بازیابی اطلاعات، اصول مدیریت و جمعآوری اطلاعات توسط نهادهای دولتی و بینالمللی نیز توسعه پیدا کرد. در سال 1973 اداره بهداشت، آموزش و رفاه ایالات متحده (HEW)، گزارشی را به کنگره ارسال کرد که در آن به کنگره پیشنهاد شده بود قوانینی را در زمینه سامانههایی که دادههای شخصی افراد را نگهداری میکنند وضع کند، این اصول بهشرح زیر هستند [9] :
در ادامه قوانین متعددی در ایالات متحده آمریکا در حوزه حفاظت از دادههای دولتی به تصویب رسیده که به دو دسته قوانین دائمی و قوانین بودجهای قابل تقسیم است.
۳-۱. قوانین دائمی حفاظت از داده در بخش عمومی
ازجمله قوانین دائمی مهم حریم خصوصی ایالات متحده آمریکا میتوان به قانون حریم خصوصی ۱۹۷۴، قانون انطباق رایانهای و حفاظت از حریم خصوصی سال ۱988، قانون دولت الکترونیکی سال ۲۰۰۲ و قانون چارچوب دادهای وزارت امنیت میهنی سال ۲۰۱۸ اشاره کرد. این قوانین بهصورت مختصر در ادامه ذکر شدهاند.
۳-۱-1. قانون حریم خصوصی 1974
این قانون بر گردآوری، استفاده و توزیع اطلاعات افراد توسط آژانسهای دولت فدرال محدودیتهایی وضع میکند. طبق این قانون، آژانسهای فدرال مگر با رضایت شخصی فرد موضوع داده یا رضایت قبلی وی حق افشای هیچگونه اطلاعاتی در مورد او را ندارند. قانون، اکثر افراد را مجاز میسازد که به اطلاعات پیرامون خودشان دسترسی پیدا کنند و الزام میکند که اطلاعات گردآوری شده باید صحیح، کامل، مرتبط و بهروز باشد. شخص موضوع داده میتواند صحت دادهها را به چالش بکشد.
این مصوبه کنگره، اولین قانونی بود که این موضوعات را در بخش دولتی راهبری میکرد. در این قانون، کمیسیون حفاظت از حریم خصوصی (بهعنوان یک سازمان) تشکیل میشود، کمیسیون موظف شد که:
۱. نقض این قانون را بررسی و به مراجع مشخص شده گزارش دهد.
۲. گزارش ارسالی نهادهایی که ایجاد سیستمهای اطلاعاتی یا بانکهای داده یا بسط قابل ملاحظه این نوع بانکهای داده را اطلاع میدهند، بسنجد و اثر آن اقدامات بر حریم خصوصی و دیگر حقوق افراد را ارزیابی کند.
۳. یافتهها و رهنمودها در زمینه کنشهای اداری و قانونی مرتبط با پیشنهادهای ردیف ۲ در بالا را برای انطباق با اهداف و الزامات این قانون عرضه کند.
۴. در صورت گزارش کمیسیون به کنگره در مورد عدم انطباق پیشنهاده یا پروپوزال ایجاد یا اصلاح یک بانک داده یا سامانه اطلاعاتی با استانداردها (که پیرو این قانون تصویب میشود)، نهاد فدرالی پیشنهاددهنده باید تا ۶۰ روز پس از دریافت هشدار کمیسیون در زمینه عدم انطباق آن بانک اطلاعاتی یا سامانه اطلاعاتی با استانداردها، تأسیس یا اصلاح آن بانک اطلاعاتی را متوقف کند.
۵. اختیار بازرسی، برگزاری جلسه استماع، اخذ گواهی و شهادت شهود، الزام شهود به حضور در جلسات از طریق احضاریه، تولید مدارک و سوابق و گردآوری قسمها.
6.اختیار لغو، اصلاح یا پذیرش قوانین و مقررات مربوط به شیوه عمل اداره، سازمانها و کارمندان زیر حوزه این کمیسیون.
۷. الزام کمیسیون به انجام مطالعهای روی بانکهای اطلاعاتی، برنامههای پردازش داده خودکار و سیستمهای اطلاعاتی دولتی، محلی و سازمانهای خصوصی برای بررسی استانداردها و رویههای حفاظت از اطلاعات شخصی جهت تعیین میزان برآورد اهداف قانون.
۸. الزام کمیسیون به بررسی و تحلیل موارد زیر:
۳-۱-2. قانون انطباق رایانهای و حفاظت از حریم خصوصی سال ۱988
۳-۱-3. قانون دولت الکترونیکی سال ۲۰۰۲
تکالیف حفاظت از دادهها در بخشهای مختلف این قانون ازجمله ۲۰۵، ۲۰۸، ۳۰۲ و ۵۱۲ وجود دارد. در بند «۳» از بخش ۲۰۵ دیوانعالی را مکلف میکند که مقرراتی جهت موضوعات حفاظت از امنیت و حریم خصوصی در فرایندهای الکترونیکی قضایی تدوین و ابلاغ کند.
بخش ۲۰8 با عنوان ملاحظات حریم خصوصی، دستگاههای ذیربط را ملزم به تخمین اثر حریم خصوصی(PIA) پیش از توسعه و استفاده از فناوریهای اطلاعاتی مربوط به گردآوری، نگهداری یا توزیع اطلاعات که منجر به شناسایی افراد بر حد نصابهای تعیینشده براساس اندازه سیستم اطلاعاتی، حساسیت اطلاعات و مخاطره آسیب ناشی از دسترسی غیرمجاز به آن دادهها میکند. همچنین گزارههایی در زمینه اصلاح و معافیت از رعایت الزامات این بخش بهدلیل مسائل امنیتی یا حفاظت از اطلاعات شخصی، حساس و طبقهبندی شده وضع میکند.
این قبیل تخمینها به این موضوعات میپردازند که چه اطلاعاتی قرار است گردآوری شوند، چرا این اطلاعات باید گردآوری شوند، با چه کسانی به اشتراک گذاشته خواهند شد، چگونه به اشخاص هشدار یا امکان رضایت به آنها داده خواهد شد؟ هدف استفاده از اطلاعات، چگونگی ایمنسازی اطلاعات و این موضوع که سامانه سوابق طبق قانون حریم خصوصی ۱۹۷۴ ساخته خواهد شد ازجمله اهداف این بخش از قانون است.
ریاست هر سازمان مشمول قانون را ملزم میکند که:
۱. سیاستها و رهنمودهای اجرای این تخمینها را تدوین کنند.
۲. بر پیادهسازی فرایند تخمین اثر حریم خصوصی در سراسر دولت نظارت کند.
۳. نهادها را ملزم میکند که در مورد سیستمهای اطلاعاتی یا مجموعههای فعلی دادههای منجر به شناسایی خودشان تخمین اثر حریم خصوصی انجام بدهند.
4.همچنین ادارهکنندگان نهادها ملزم میشوند که در وبگاههای نهاد که توسط عموم استفاده میشوند هشدار حریم خصوصی را ایجاد و نمایش بدهند.
در بخش ۳۰۲، قدرت الزام استانداردهای حداقلی امنیت سایبری به نهاد تخصصی اعطا میشود.
در بخش 512، در مورد دادههایی که برای آمارگیری گردآوری شدهاند، اشتراکگذاری بدون گمنامسازی را ممنوع و استفاده از آنها برای اهدافی غیر از هدف اولیه را مشمول مجازات میکند.
۳-۱-4. قانون چارچوب دادههای وزارت امنیت میهنی سال ۲۰۱۸
این مصوبه، وزارت امنیت میهنی را مکلف میکند که این اقدامات را انجام دهد:
۱. برای یکپارچهسازی سامانهها و مجموعه دادههای وزارتخانه، چارچوب دادهای توسعه بدهد که دسترسی کارمندان مجاز را بهصورتی منطبق با اختیارات قانونی آنها و رعایت سوگیریهای حریم خصوصی، حقوق شهروندی و آزادیهای مدنی برقرار سازد.
۲. اطمینان حاصل شود که همه اطلاعات ادارات وزارت امنیت میهنی یا زیرمجموعههای آن در افق چشمانداز اشتراکگذاری اطلاعات قرار میگیرند و هرگونه اطلاعات یا هوشمندی مرتبط با اولویتهای مورد نیاز مأموریت و قابلیتهای مورد نیاز امنیت میهنی که وزیر تشخیص بدهد در چارچوب داده قرار گیرد.
۳. اطمینان حاصل شود که چارچوب اطلاعات، در دسترس کارمندانی از وزارت امنیت میهنی باشد که مجوز امنیتی مناسب دارند و برای انجام وظیفهای گمارده شدهاند که در انجامش به دسترسی به این اطلاعات نیاز دارند و در مورد استانداردهای منطبق بر حفاظت از این اطلاعات آموزشهای لازم را گذراندهاند.
۳-۱-5. قانون حفاظت در مقابل تروریسم و اصلاح ساختار بخش اطلاعات سال ۲۰۰۴
در بخشی از این قانون، هیئت پنج عضوی نظارت بر آزادیهای مدنی و حریم خصوصی تأسیس شده تا بر عملکرد دستگاههای اطلاعاتی در اجرای قوانین ضد تروریسم نظارت کنند. دو عضو این هیئت با رأی مجلس سنا منصوب میشوند. هیئت حریم خصوصی و آزادیهای مدنی در دفتر اجرایی ریاستجمهوری تأسیس شد.
۳-۱-6. قوانین اعطای حق ارسال نامه امنیت ملی به نهاد کنترلکننده دادهها
در قوانین ایالات متحده آمریکا، نامههای امنیت ملی، گونهای از احضاریههای اداری هستند که توسط دولت ایالات متحده آمریکا برای گردآوری اطلاعات برای امور امنیت ملی بهکار میروند. صدور این نامهها، نیازی به تأیید قاضی ندارند و هنگامی که نیروهای امنیتی حین بررسیهای خود نیازمند اطلاعات باشند برای تحقیقات خودشان میتوانند این نامهها را به کسانی که اطلاعات دیگران را نگهداری میکنند ارسال کنند.
بهطور خلاصه قوانین نامه امنیت ملی ایالات متحده آمریکا طبق ارزیابی مرکز پژوهشهای کنگره این کشور به پنج دسته قابل تقسیم میشود که همانطور که در جدول ۱، اشاره شده، از جنبههای مختلف قابل مقایسه است.
|
دسترسی ضدجاسوسی به قبض تلفن و سوابق تلفنی |
رویههای ویژه ضدجاسوسی و مبارزه با تروریسم |
افشا به اداره تحقیقات فدرال جهت امور ضدجاسوسی |
افشا به نهادهای دولتی جهت امور ضدتروریسم |
درخواستهای بررسیکننده مجاز |
مخاطب |
عرضهکنندگان خدمات ارتباطی |
نهادهای مالی |
نهادهای سنجش اعتبار مصرفکننده |
نهادهای سنجش اعتبار مصرفکننده |
نهادهای مالی، نهادهای سنجش اعتبار مصرفکننده |
مقامات تأییدکننده |
مقامات عالی پلیس فدرال و رؤسای استانی آن |
مقامات عالی پلیس فدرال و رؤسای استانی آن |
مقامات عالی پلیس فدرال و رؤسای استانی آن |
نهاد نظارتی (هر نهادی که فعالیتهای ضد اطلاعاتی مرتبط با تحلیل تروریسم جهانی انجام میدهد). |
مقامات عالی که از معاون وزیر یا دستیار ویژه وزیر سطح آنها پایینتر نباشد (فقط برای کارمندان دارای دسترسی به اطلاعات محرمانه). |
اطلاعات تحت پوشش |
نام، آدرس، طول خدمت و اطلاعات صورت حساب مشتری شناساییشده |
سوابق مالی مشتری شناساییشده |
نام، آدرس، آدرسهای قبلی، محل کار و محلکارهای قبلی مصرفکننده شناساییشده |
همه اطلاعات مرتبط با مصرفکننده شناساییشده |
همه اطلاعات مالی مرتبط با کارمند شناساییشده |
استاندارد / هدف |
مرتبط با تحقیقات برای حفاظت در مقابل تروریسم بینالملل یا فعالیتهای اطلاعاتی محرمانه |
درخواست شده برای اهداف ضدجاسوسی برای محافظت در برابر تروریسم بینالملل یا فعالیتهای جاسوسی محرمانه |
درخواست شده برای تحقیقات برای حفاظت از تروریسم بینالملل یا فعالیتهای جاسوسی محرمانه |
ضروری برای تحقیقات، فعالیتها یا تحلیلهای نهاد در ارتباط با تروریسم بینالملل |
ضروری برای تحقیقات اعمال قانون، بررسی ضدجاسوسی یا تضمین امنیت |
به اشتراکگذاری |
فقط طبق رهنمود دادستان کل |
فقط طبق رهنمود دادستان کل |
از پلیس فدرال به دستگاههای نظامی برای تحقیقات جاسوسی به بازرسین نظامی برای اطلاعات مربوط به فرد نظامی |
فاقد گزاره قانونی |
فقط به نهاد کارمندی که تحت بررسی است، وزارت دادگستری جهت اعمال قانون یا اهداف جاسوسی هنگامی که طور شفاف در راستای عملیات باشد. |
مصونیت قانونی / حقالزحمه |
فاقد گزاره قانونی |
فاقد گزاره قانونی |
حقالزحمه، مصونیت قانونی بابت همکاری با حسن ظن با نامه امنیت ملی |
مصونیت قانونی بابت همکاری با حسن ظن با نامه امنیت ملی |
جبران هزینه / مصونیت قانونی بابت همکاری با حسن ظن با نامه امنیت ملی |
همانطور که در جدول ۱ مشاهده میشود، در این نامهها، اطلاعات مختلفی درخواست میشود، در بعضی زمینهها قانونگذار آمریکایی برای اخذ اطلاعات از طریق نهادهای امنیتی بدون حکم قاضی، محدودیتهایی وضع کرده است، مثلاً در زمینه مخابرات، اطلاعات محتوایی قابل درخواست نیست، بلکه اطلاعات سوابق تراکنشها درخواست میشود. مثلاً شمارههایی که فرد با آنها تماس گرفته از اپراتور مخابراتی درخواست میشود، اما این درخواست نمیتواند شامل محتوای تماس باشد. در زمینه اطلاعات در برخی قوانین همچون قانون حریم خصوصی ارتباطات الکترونیکی، قانون گزارشدهی اعتبار عادلانه، قانون حق حریم خصوصی مالی کنگره به پلیس فدرال اجازه داده که چنین نامههایی به شرکتهای دارنده اطلاعات مشترکان ارسال کند. شرکتهایی که این نامهها را دریافت میکنند حق دارند در دادگاه نسبت به نقض حریم خصوصی مشترکانشان شکایت کنند، اما حق افشای این درخواستها را ندارند. این قوانین بهمرور زمان تکامل پیدا کردهاند. سوابق اصلاحات این قانون در پیوست شماره 1 قابل مطالعه است.
این اختیارات قانونی برای نهادهای مجری قانون در مورد اتباع خارجی برای مقابله با جاسوسی خارجی و تروریسم بینالملل نشان میدهد که سیاستهای حریم خصوصی بین اتباع خارجی و داخلی میتواند متفاوت باشد و از اتباع داخلی حمایت بیشتری بشود. درحالیکه برای حمایت از داده کودکان سیاستهای قویتر حفاظت از داده قابل تدوین است، در مورد افرادی که دارای سطح بالاتری از دسترسی به اطلاعات محرمانه هستند، یا افراد در مرحله استخدام با مجوز قانونگذار، برای تصاحب این مشاغل باید نسبت به سایر اقشار جامعه از حریم خصوصی خود بیشتر صرفنظر کنند.
به باور برخی محققین [4] در واکنش به سختگیریهای قانون حفاظت از حریم خصوصی سال ۱۹۷۴ برای بخش دولتی و قوانینی که پس از آن تصویب شدند، آژانسهای اطلاعاتی ایالات متحده آمریکا به استفاده روزافزون از خدمات شرکتهای خصوصی روی آوردند. این شرکتها با استفاده از خلأهای قانونی به گردآوری گسترده اطلاعات شخصی شهروندان پرداختند. درحالیکه اکثر شهروندان نیز از وجود چنین شرکتهایی خبر نداشتند. درنتیجه هنگامیکه نشت اطلاعات شرکت چویس پوینت در سال ۲۰۰۴ آشکار شد، مشخص شد که شرکتهای دلال داده تا چه حد وارد حریم خصوصی افراد شدهاند. عدم معرفی نماینده به جلسه استماع ازسوی این شرکتها موجب شد که یک نماینده مجلس سنا، انتقادهای شدیدی را متوجه این شرکتها کند و از آنها با عنوان صنعت در سایه نام ببرد. در سال ۲۰۱۳ نیز در گزارش کمیته حملونقل، علوم و تجارت مجلس سنا نیز بر عدم شفافیت فعالیت این شرکتها تأکید شد [10]، اما تاکنون کنگره این کشور موفق به اتخاذ اقدام بازدارنده علیه دلالهای داده نشده است.
۳-۱-7. قوانین دائمی مصوب مجلس شورای اسلامی ایران مرتبط با حفاظت از دادهها در بخش عمومی
در جمهوری اسلامی ایران بند «ف» ماده (۳) قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات حفاظت و حراست و عدم ضبط و افشای مبادلات شبکه اطلاعرسانی و اطلاعات مربوط به اشخاصحقیقی و حقوقی را جزو وظایف وزارت ارتباطات تعیین کرده است. همین قانون اختیار تأیید نمونه (Type Approval) تجهیزات فناوری اطلاعاتی را به وزارت ارتباطات داده است. البته شمول عبارت تجهیزات به نرمافزارهای پایهای و بهروزرسانیهای آنها ابهام دارد، اما در ابعاد جهانی فرایند تأیید نمونه در مورد نرمافزارها نیز صادق است و نهادی که تجهیزات را تأیید نمونه کرده، در مورد نرمافزارهای آنها نیز باید این کار را انجام بدهد.
بندهای «ک» و «ل» ماده (۳) قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات اختیارات تدوین و پیشنهاد استانداردهای ملی و اعمال استانداردهای فناوری اطلاعاتی را به این وزارتخانه داده است که بهصورت طبیعی میتواند شامل استانداردهای امنیتی و حفاظت از دادهها نیز باشد، البته برای نادیده گرفتن استانداردهای ابلاغی ضمانت اجرایی در این قانون دیده نشده است.
طبق ماده (۵) قانون مدیریت دادهها و اطلاعات ملی مصوب سال ۱۴۰۱، دستگاهها و نهادهای مشمول این قانون در امر تولید، نگهداری، پردازش، حفظ امنیت و صیانت از دادههای شخصی و تبادل و اشتراکگذاری و تکمیل و بهروزرسانی دادهها و اطلاعات ملی، سیاستها و نظامات مصوب شورایعالی فضای مجازی و مصوبات کارگروه تعاملپذیر دولت الکترونیکی را اعمال و اجرا نمایند، اما چارچوب قانون و مصوبات صیانت از داده که باید براساس آن دستگاهها به رعایت ضوابط حفاظت از داده ملزم شوند مشخص نیست.
طبق ماده (۶) قانون مدیریت دادهها و اطلاعات ملی، اعمال تدابیر حفاظتی و امنیتی جهت صیانت از دادهها و اطلاعات و حفظ محرمانگی دادهها و اطلاعات اشخاص برعهده دستگاهها و نهادهای مشمول این قانون و ارائهدهندگان خدمات ذیل تنظیمگران بخشی است که مسئول تولید، نگهداری یا پردازشکننده دادهها و اطلاعات هستند و دستورالعمل و استانداردهای امنیت تبادل دادهها و اطلاعات و تأمین امنیت و ارزیابی آن مطابق نظامات و مصوبات شورایعالی فضای مجازی خواهد بود.
در ماده (۸) قانون مدیریت دادهها و اطلاعات ملی، بهمنظور صیانت و حفظ یکپارچگی در دادهها و اطلاعات ملی و صرفهجویی در تبادل دادهها و اطلاعات، دولت میتواند متناسب با کارکرد و نحوه و تواتر بهروزرسانی آنها در مراکز داده دولت، براساس مصوبه کارگروه تعاملپذیری دولت الکترونیکی، این دادهها را نگهداری نماید. دستگاهها و نهادهای مشمول این قانون موظف به بهروزرسانی برخط این پایگاههای اطلاعاتی هستند. تعیین سطح دسترسی به این پایگاههای اطلاعات بهموجب مصوبه کارگروه تعاملپذیری دولت الکترونیکی میباشد.
در بند «ب» ماده (۱) قانون انتشار و دسترسی آزاد به اطلاعات اطلاعات شخصی بدین شرح تعریف میشود: «اطلاعات فردی به مواردی نظیر نام و نامخانوادگی، نشانیهای محل سکونت و محل کار، وضعیت زندگی خانوادگی، عادتهای فردی، ناراحتیهای جسمی، شماره حساب بانکی و رمز عبور اطلاق میشود». در ماده (۶) این قانون دادن اطلاعات شخصی فقط به شخص و نماینده قانونی او مجاز شده است. بهصورت ضمنی این قانون، دستگاهها را نسبت به گرفتن این اطلاعات مجاز میداند. درصورتیکه اگر این اطلاعات در یک مرجع تخصصی ذخیرهسازی شده و در مواقع لزوم فراخوانی شوند، ضمن کاهش افزونگی و اطلاعات متناقض در پایگاههای اطلاعاتی دستگاههای اجرایی در صورت ایجاد رخنه در یک دستگاه، اطلاعات کمتری از شهروندان افشا خواهد شد. اساساً ذخیره دادههای تکراری غیرتخصصی توسط بخشهای دولتی میتواند مورد بازنگری قرار بگیرد، همچنین در قوانین ایران تکالیفی مبنیبر تحلیل آثار دادههای جمعآوری شده بر حریم خصوصی افراد وجود ندارد.
3-2. قوانین موقت و بودجهای حفاظت از داده در بخش عمومی
در قوانین بودجه ایالات متحده احکام متعددی برای اجراییسازی قوانین دائمی به تصویب رسیده است که در ادامه بهصورت خلاصه ذکر میشوند:
3-2-1. قانون تخصیص ادغام سال ۲۰۰۵
بخش ۵۲۲ قانون تخصیص ادغام سال ۲۰۰۵ همه نهادهای فدرال را موظف میکند که یک مسئول عالی حریم خصوصی داشته باشند که وظیفه اصلی او اعمال سیاست حریم خصوصی باشد. هر نهاد را ملزم میکند که جهت حکمرانی بر گردآوری، استفاده، اشتراکگذاری، انتقال، ذخیرهسازی و امنیت اطلاعات منجر به شناسایی کارمندان و عموم رویههای حفاظت از داده و حریم خصوصی جامع تدوین کنند. هر نهاد را ملزم میکند که حداقل هر دو سال یکبار ممیزی طرف ثالث برای این سیاستها ورویهها انجام بدهند. متن بخش ۵۲۲ این قانون برای آشنایی با شیوه تنظیم قوانین این کشور در زمینه حریم خصوصی در پیوست 2 قابل مشاهده است.
3-2-2. قانون تخصیص ادغام سال ۲۰۰۸
این قانون ضمن بازنگری در رویههای حفاظت از داده و حریم خصوصی در قانون مصوب سال ۲۰۰۵، الزام ممیزی نهادها توسط طرفهای ثالث بیطرف را لغو مینماید و استفاده از ظرفیتهای بیرونی را به تشخیص نهاد وا میگذاردا و با تعریف جایگاه بازرس کل در سازمانها، ممیزی، سیاستها و رویههای حفاظت از دادهها و حریم خصوصی را مدون میکند.
3-2-3. قانون تراشه و علوم سال ۲۰۲۲
زیر بخش «ت» این قانون، با عنوان ایمنسازی تحقیق آمریکایی در مقابل سرقت سایبری، برنامهای جهت امنیت شبکههای تحقیقاتی این کشور پیشنهاد میدهد، اما در ارکان برنامه تکلیف میشود که باید طرح کلی برای انطباق برنامه امنیتی با پروتکلهای فدرال حفاظت از دادهها نیز تهیه شود.
3-2-4. قانون بهبود کشاورزی سال ۲۰۱۸
کنگره، تشکیل سیستم اطلاعاتی برای اطلاعات یارانه توزیع مکملها ایجاد کرد و بخشی از تکالیف در ایجاد این سامانه رعایت پروتکلهای حفاظت از داده بود. در بخشی از احکام عبارتهایی مانند حفاظت از داده زیر حکم درج میشود و در آن عنوان میشود که اطلاعات موضوع این بند فقط برای اهداف این بخش قابل استفاده است. یا جای دیگر کنگره تصریح میکند که اطلاعاتی که به مراکز تحقیقاتی داده میشود نباید منجر به شناسایی اطلاعات شخصی افراد شامل شماره تأمین اجتماعی و آدرس محل سکونت آنها شود.
4.قوانین حفاظت از دادههای در اختیار بخش غیردولتی آمریکا و مقایسه آن با ایران
در آمریکا قانونگذاری در زمینه حفاظت از دادهها در بخش خصوصی عمدتاً برای دادههای مربوط به حوزههای خاص مانند اطلاعات مالی و سلامتی انجام شده است. منطق قانونگذار آمریکایی از رویکرد بخشی در قانونگذاری ایالات متحده آمریکا این بوده است که فعالان بخش خصوصی میتوانند در رقابت عادلانه با دیگر بازیگران، حفاظت لازم از کاربران را فراهم بیاورند. با وجود این، قوانینی نظیر قانون کمیسیون فدرال تجارت و قانون حفاظت مالی از مصرفکنندگان بهصورت عام نیز بر رفتار کسبوکارها نظارت دارند.
کمیسیون فدرال تجارت بهعنوان نهاد تنظیمگر میتواند کسبوکارها را نسبت به عدم تحقق وعدههایی همچون رعایت تدابیر امنیتی مربوط به نگهداری داده یا حفظ حریم خصوصی کاربران مورد بازخواست و تعقیب قضایی قرار دهد. بهاستناد قانون، تشکیل این کمیسیون حفاظت از داده بهصورت کلان بخشی از الزامات و تعهدات کسبوکارها تلقی میشود. بهبیاندیگر اگر کسبوکاری ادعا کند که از دادههای اشخاص بهخوبی حفاظت میکند و این کار را بهدرستی انجام ندهد، مرتکب کردارها یا کنشهای فریبکارانه یا غیرمنصفانه در تجارت شده است. این موضوع در بخش پنج قانون کمیسیون تجارت جرمانگاری شده است. رفتار غیرمنصفانه در قانون، کرداری است که محتمل است یا میتواند منجر به آسیب جدی به مصرفکننده شود و مصرفکننده نمیتواند خودش اقدامی برای تعدیل آسیب انجام بدهد و این کردار بهواسطه مزایایی که نصیب کاربر میشود قابل توجیه نیست، البته این قانون بر کسبوکارهایی که قانون خاص دارند قابل اعمال نیست.
قانون حفاظت مالی از مصرفکنندگان نیز مانند قانون کمیسیون تجارت فدرال، خط قرمزهایی که بر شرکتهای بورسی و بازار اوراق بهادار، قابل اعمال است را تعریف میکند که از این خط قرمزها امکان وضع مقررات حفاظت از حریم خصوصی نیز قابل استنتاج است. این قانون اشخاص مشمول خودش را از ارتکاب کنشها یا کردارهای تحمیلی، گمراهکننده یا غیرمنصفانه در پیشنهاد یا تأمین خدمت یا محصول مالی مصرفی باز میدارد. دفتر حمایت مالی مصرفکننده، مجری یا نهاد تنظیمگر این قانون است. این دفتر نسبت به کمیسیون تجارت فدرال از اختیارات بیشتری برای تنظیمگری نهادهای تحت پوشش خود برخوردار است. زیرا میتواند آنها را ملزم کند که استانداردهای رویهای خاصی را رعایت کنند.
نکته حائز اهمیت این است که با توجه به اینکه ایالات متحده آمریکا بهصورت سنتی صادرکننده اصلی خدمات فناوری اطلاعات بینالمللی از طریق شرکتهای اینترنتی بوده است، وضع مقررات سختگیرانه در زمینه حریم خصوصی میتوانسته با ایجاد سرمشقی برای کشورهای دیگر سلطه و هژمونی این کشور در این حوزه را با چالش مواجه کند [11]. به این دلیل بسیاری از این محافظتها، صرفاً در شرایط ضروری و در مواردی محافظتهایی بیش از آنچه در یک چارچوب عام حفاظت از دادهها لازم است، صورت میپذیرد.
حوزههایی که حفاظت از داده در آنها از منظر قانونگذار ایالات متحده آمریکا نیازمند مقرراتگذاری تشریحی بوده است عبارتند از: امور مالی و اعتباری، سرگرمی و فراغت، اشخاص خاص نظیر کودکان و خبرنگاران، سلامت و دادههای مخابراتی.
4-1. حفاظت از دادهها در امور مالی و اعتباری
4-1-1. قانون گزارشدهی اعتبار عادلانه ۱۹۷۰
قانون گزارشدهی اعتبار عادلانه ۱۹۷۰ قدیمیترین قانون حریم خصوصی ایالات متحده آمریکا بهشمار میرود. این قانون با قانون تراکنشهای اعتباری صحیح و عادلانه ۲۰۰۳ اصلاح شد. این قانون به تبیین حقوق افراد و مسئولیت آژانسهای گزارشدهنده اعتبار در آمادهسازی و توزیع اطلاعات فردی در گزارش اعتباری میپردازد. طبق این قوانین آژانسهای گزارشدهنده اعتبار نباید اطلاعات اعتباری را نزد افراد فاقد اهداف مجاز افشا کنند. شرایط افشا، اطلاعات را مشخص میکند و تا زمانی که نامه معتبر ازسوی نهادهای امنیتی ارسال نشود نهاد مالی حق ارسال داده را ندارد. مفاد نامه معتبر درخواست اطلاعات ازسوی قانونگذار در این قانون تشریح میشود و ریاست عالی نهاد امنیتی باید در نامه تصریح کند که برای عملیات اطلاعات خارجی و بهدلیل مشکوک بودن فرد به جاسوسی یا ارتباط با این موضوعات این اطلاعات را درخواست میکند. این قوانین به شهروندان حق دسترسی رایگان سالیانه به اطلاعات مرتبط به خودشان و درخواست بازبینی و تصحیح اقلام اطلاعاتی را میدهد. همچنین اگر این اطلاعات مبنای رد درخواست شغل یا هر درخواستی باشند کسی که از اطلاعات استفاده میکند باید به کسی که درخواستش را رد میکند اطلاع بدهد که مبنای رد درخواست اطلاعات گزارشهای پیرامون فرد است. به این ترتیب شخص میتواند درخواست تصحیح اطلاعات خود را بدهد.
4-1-2. قانون حق حریم خصوصی مالی 1978
قانون حق حریم خصوصی مالی 1978 دسترسی دولت فدرال به اطلاعات رکوردهای بانکی را محدود میکند و رویههایی برای دسترسی دولت فدرال به رکوردهای داده حسابهای بانکی تعیین میکند.
4-1-3. قانون گرام- لیچ- بلیلی یا بهروزرسانی خدمات مالی ۱999
این قانون مؤسسات مالی را ملزم میکند استانداردهای مناسبی از جنبه حفاظتهای اداری، فنی، فیزیکی، تدوین و رعایت کنند بهنحویکه:
۱. از امنیت و محرمانگی اطلاعات و سوابق مشتریان اطمینان حاصل شود.
۲. کلیه سوابق در مقابل هر نوع تهدید یا خطر پیشبینی شده امنیتی حفاظت شوند.
۳. از دسترسی غیرمجاز یا استفاده از این اطلاعات یا سوابق برای اعمال آسیب یا نارضایتی هر مشتری حفاظت شود.
مؤسسات مشمول باید سیاستهای حریم خصوصی خود و شیوه به اشتراکگذاری اطلاعات را به مشترکان خود اعلام کنند. مشتری میتواند اشتراکگذاری دادههایش را ممنوع کند و این نهادها اجازه نخواهند داشت اطلاعات شمارههای حساب را با بازاریابهای از راه دور و بازاریابهای حضوری به اشتراک بگذارند.
4-2. قوانین حریم خصوصی در حوزه سرگرمی و فراغت
4-2-1. قانون حفاظت از حریم خصوصی ویدئویی 1988 و قانون اصلاحیه حریم خصوصی اینترنتی ویدئویی ۲۰۱۲
در این قانون، سوابق فردی که مشترک یا بیننده تصاویر متحرک یک عرضهکننده است، بهوسیله اجازه اینترنتی او، قابل رونمایی به دیگران برای مقاصد دیگر است، البته زمان انقضای این اجازه حداکثر دو سال است، مگر اینکه فرد زودتر اجازه را لغو کند.
4-2-2. قانون سیاستگذاری تلویزیون کابلی ۱984
این قانون افشای نام، آدرس و اطلاعات مربوط به نحوه استفاده کاربر را محدود میکند. طبق این قانون، مشترک خدمات تلویزیون کابلی باید به همه اطلاعات منجر به شناسایی که در مورد او گردآوری و حفظشده، دسترسی داشته باشد. این قبیل اطلاعات باید در زمانهای منطقی و از طریق جایگاههای مشخص ازسوی اپراتور تلویزیون کابلی در اختیار مشترک قرار بگیرد. همچنین گردآوری هر نوع اطلاعاتی در مورد مشترک نیز باید از قبل به اطلاع او برسد و موافقت وی جلب شود. همچنین اپراتورها باید پس از خاتمه کاربرد دادههای منجر به شناسایی فرد، نسبت به پاک کردن و از بین بردن این دادهها اقدام کنند.
4-3. قوانین حریم خصوصی اشخاص خاص
4-3-1. قانون صیانت از حریم خصوصی اطلاعات و مستندات خبرنگاران سال ۱۹۸۰
در این قانون با استثنا قائل شدن برای امور خیلی حساس نظیر مستندات مربوط به امنیت ملی، اسرار هستهای و حفظ زندگی افراد در سایر امور از خبرنگاران در مقابل دستور دستگاههای مجری قانون در زمینه ارائه هرگونه اطلاعات و محصولات کاری، مدارک و مستندات قبل از انتشار عمومی محافظت میکند و بر رعایت حریم خصوصی خبرنگاران حین بازرسیها تأکید میکند.
4-3-2. قوانین حریم خصوصی در حوزه کودکان و نوجوانان
قانون حریم خصوصی و آموزشی خانواده، ۱974 دسترسی و افشای اطلاعات آموزشی به والدین، دانشآموزان و اشخاص ثالث را تنظیم میکند. ابزار قانونگذار آمریکایی برای تحقق امر حفاظت از اطلاعات بودجه است. تخصیص بودجه، مدارسی که شرایط مدنظر قانونگذار را رعایت نکنند، مثلاً دسترسی اطلاعات تحصیلی را به والدین ندهند ازسوی قانونگذار غیرقانونی میشود.
4-4. قوانین حریم خصوصی در حوزه سلامت
4-4-1. قانون پاسخگو بودن و قابل انتقال بودن بیمه سلامت ۱۹۹۶ و قانون فناوری اطلاعات سلامت برای اقتصاد و سلامت بیمارستانی 2009
این قوانین، تدوین استانداردهای ملی برای حفاظت از اطلاعات منجر به شناسایی سلامت افراد را الزامی میکنند. این استانداردها که بهصورت سنواتی بهروزرسانی میشوند، انواع دادهها و تراکنشهای حوزه سلامت را تعریف و ضوابط حفاظت از آنها را مشخص میکنند و درنهایت افشای اطلاعات حفاظتشده حوزه سلامتی افراد (PHI) را محدود مینمایند. البته این قانون به اطلاعات سلامت در اختیار بخش رسمی نظام درمانی این کشور میپردازد و اطلاعات سلامتی گردآوری شده توسط ابزارهای هوشمند مانند ساعتهای هوشمند و برنامههای کاربردی مشمول آن نیست.
4-4-2. قانون حفاظت از داده بخش سلامت ایران در مقایسه با ایالات متحده آمریکا
در ایران، قانون تجارت الکترونیکی تدوین آییننامه حریم خصوصی اطلاعات پزشکی را به وزارت بهداشت تکلیف کرده که تاکنون محقق نشده است.
4-5. قوانین حریم خصوصی در حوزه مخابرات
قانون حریم خصوصی ارتباطات الکترونیکی 1986، محدودیتهای لازم را بر نظارت الکترونیکی، در اختیار داشتن تجهیزات نظارت الکترونیکی و استفاده از اطلاعات بهدست آمده از طریق نظارت الکترونیکی اعمال میکند. این قانون، ارتباطات سیمی و الکترونیکی ذخیرهشده (مانند پست الکترونیکی و پست صوتی)، دسترسی به رکوردهای تراکنش، ثبتکننده ارتباطات ارسالی و دریافتی را مقرراتگذاری میکند. این قانون دسترسی غیرمجاز به ارتباطات الکترونیکی ذخیرهشده و افشای اطلاعات برای فراهمکننده ارتباطات را ممنوع میکند. همچنین عرضهکننده خدمات ارتباطی را در ارائه اطلاعات تراکنش به دولت محدود میکند.
5.پیشنویس طرحها و لوایح حفاظت از داده عرضه شده به کنگره در سالهای اخیر
بررسیها نشان میدهد که نمایندگان کنگره، طرحهای متعددی را جهت بهبود حریم خصوصی در این کشور به کنگره تقدیم کردهاند. در اینجا بهترتیب زمانی چند مورد از این طرحها بهصورت مختصر معرفی میشوند:
این لایحه قانونی با هدف حفاظت از اطلاعات سلامتی، مجاورت، ابزارها و دادههای مکان جغرافیایی طی بحران بهداشت عمومی ویروس کرونا پیشنهاد شده است. این قانون با توجه به شرایط بحرانی، به کسبوکارهای دارای دسترسی به بعضی از اطلاعات مؤثر در مبارزه با ویروس کرونا، اجازه پردازش بعضی از انواع مشخص داده را میدهد و حقوق مشتریان این کسبوکارها و تکالیف نهادهایی که دادهها را در اختیار دارند از طرف قانونگذار مدون میشود.
این طرح قانونی با توجه به این حقیقت تدوین شده که در شرایط اضطراری نیاز به انواعی از گردآوری اطلاعات است، اما پس از رفع وضعیت اضطرار لازم است که گردآوری اطلاعات خاتمه پیدا کند و امکان شناسایی صاحب داده از دادههای عرضه شده از بین برود.
5-2. قانون حفاظت از دادههای سال ۲۰۲۰
در صورت تصویب این طرح ایالات متحده آمریکا، یک قانون جامع حفاظت از دادهها در سطح فدرال خواهد داشت. در مواد طرح اشاره شده که این قانون تنها در مواردی که قوانین ایالتی و فدرال حفاظتهای ضعیفتری اعمال میکنند جاری است. طی این طرح نهاد مستقلی با عنوان مرجع حفاظت از دادهها تشکیل خواهد شد و بعضی از وظایف کمیسیون تجارت فدرال در زمینه حفاظت از دادهها به این نهاد جدید منتقل خواهد شد [12].
در این طرح قانونی «هستار زیر پوشش» بهمعنای هر فردی که دادههای شخصی را گردآوری، پردازش یا به روشی دیگر کسب کرده است؛ با استثنای فردی که دادههای شخصی را برای امور شخصی یا فعالیت خانوار ذخیره میکند. اصلیترین مفاد تعریف شده در این قانون بهشرح ذیل است:
5-2-1. کردار دادهای پرمخاطره
الف) هرگونه بررسی نظاممند یا گسترده اطلاعات شخصی شامل نمایهسازی،
ب) کاربرد دادههای حساس،
ج) نظارت سامانمند دادههای در دسترس عموم در مقیاس وسیع،
د) استفاده از فناوریهای جدید در پردازش داده،
ﻫ) تولید دادههای مؤثر بر دسترسی شخص به محصولات و خدمات که تا حدی بهصورت خودکار انجام میشود،
و) هرگونه نمایهسازی برای افراد در مقیاس وسیع،
ز) هرگونه پردازش دادههای زیستی برای شناسایی یک فرد خاص،
ح) هرگونه پردازش اطلاعات ژنتیکی یا سایر اطلاعات مربوط به سلامتی،
ط) ترکیب، مقایسه یا انطباق داده از چند منبع،
ی) پردازش داده پیرامون اشخاص که مستقیماً از وی اخذ نشده است،
ک) استفاده از دادههای کودکان،
ل) پردازش اطلاعات مکانی افراد.
5-2-2. داده شخصی
داده شخصی اصطلاحی است که بهمعنای هرگونه اطلاعاتی است که بهصورت مستقیم یا غیرمستقیم شخص یا وسیلهای را شناسایی و آن را توصیف میکند، یا قادر است به آن مرتبط شود یا منطقاً میتواند مرتبط شود. شامل:
الف) یک شناساگر از قبیل نام واقعی، نام مستعار، امضا، وضعیت تأهل، ویژگیها یا توصیف فیزیکی، آدرس پستی، شماره تماس، شناساگر واحد شخص، شماره شناسایی نظامی، شناساگر برخط، آدرس پروتکل اینترنت، آدرس ایمیل، نام حساب، نامخانوادگی پیش از ازدواج، شماره تأمین اجتماعی، شماره گواهینامه رانندگی، شماره پاسپورت، یا دیگر شناساگرهای مشابه؛
ب) اطلاعاتی همچون، وضعیت اشتغال، سوابق شغلی، یا سایر اطلاعات حرفهای مرتبط با شغل؛
ج) شماره حساب بانکی، شماره کارت اعتباری، شماره کارت اعتباری نقدی، شماره بیمهنامه یا هرگونه اطلاعات مالی دیگر؛
د) اطلاعات پزشکی، اطلاعات سلامت روان یا اطلاعات بیمه سلامت؛
ﻫ) اطلاعات تجاری، شامل سوابق داراییهای شخصی، محصولات یا خدمات خریداریشده، کسب شده یا مدنظر قرار گرفته یا دیگر سوابق یا گرایشهای مصرف یا خرید؛
و) ویژگیهای ردههای حفاظتشده در قوانین فدرال شامل نژاد، رنگ، ملیت، مذهب، جنسیت، سن یا ناتوانی؛
ز) اطلاعات زیستسنجی؛
ح) اطلاعات فعالیتهای اینترنتی یا دیگر فعالیتهای شبکهای شامل، سابقه مرورگری، سابقه جستجو، محتوا و اطلاعات پیرامون تعامل یک شخص با وبگاه اینترنتی، برنامه موبایلی یا تبلیغات؛
ط) دادههای مکان جغرافیایی آنی یا سوابق آن؛
ی) اطلاعات بویایی، حرارتی، دیداری یا شنیداری و مشابه آن؛
ک) سوابق آموزشی؛
ل) اطلاعات سیاسی؛
م) تصاویر دیجیتالی محافظت شده از طریق گذرواژه و ویدئوهایی که در دسترس عموم نیستند؛
ن) اطلاعات پیرامون اتهامات یا سابقه جلب؛
س) اطلاعاتی (مانند آدرس پروتکل اینترنت یا دیگر شناساگرها) که جداسازی یک شخص یا وسیله برای تعامل را ممکن میسازد حتی بدون شناسایی فرد یا وسیله؛
غ) استنتاجهایی که هرگونه از اطلاعاتی که در این زیر بخش شناساییشده برای استخراج یک نمایه بازتابدهنده ترجیحات، ویژگیها، روندهای روانشناسانه، تمایلات، رفتارها، گرایشات، هوشمندی، توانمندیها و شایستگیهای فرد.
5-2-3. پردازش
اصطلاح پردازش یعنی اجرای یک عملیات یا مجموعهای از عملیات بر روی دادههای شخصی، بهصورت دستی یا خودکار که شامل و نه محدود میشود به گردآوری، ضبط، سازماندهی، ساختاردهی، ذخیره، تطبیق یا اصلاح، بازیابی، مشاوره، افشا، از طریق جابهجایی، مرتبسازی، طبقهبندی، توزیع، در دسترس قرار دادن، هم راستاسازی یا ترکیب، محدودسازی، پاک کردن یا انهدام.
5-2-4. اطلاعات و گزارشها
یکی از بخشهای مجزای این طرح قانونی «اطلاعات و گزارشها» نام دارد. در این بخش، نهاد متولی حفاظت از دادهها موظف شده که بهطور سالیانه گزارشهایی را از عملکرد خودش به کمیسیونهای مجلس این کشور عرضه کرده و همین طور آنها را در وبگاه رسمی خود منتشر کند. محتوای هر گزارشی که قانون الزامی کرده است باید شامل:
از نحوه تنظیم این طرح قانونی مشاهده میشود که تکالیف هستارهای تحت پوشش مستقیماً ازسوی قانونگذار به آنها تکلیف نشده، بلکه قانونگذار در قالب مسئولیت نهاد متولی حفاظت از دادهها آنها را صورتبندی کرده است. بدین ترتیب هم در حجم مصوبه صرفهجویی شده و هم مصوبه و مسئولیت نهاد متولی حفاظت از داده شفافیت بیشتری پیدا کرده است. مثلاً قانونگذار بهجای اینکه تکلیف کند شرکتها حق ندارند برنامههای کسبوکار مبتنیبر خرید حریم خصوصی را اجباری کنند، یکی از تکالیف نهاد حفاظت از داده را این موضوعات تعیین کرده است: «از عادلانه بودن مفاد قراردادها در بازار اطمینان حاصل کند، شامل ممنوع کردن درج «گزارههای پرداخت بهازای حریم خصوصی» و «پذیرش یا رها کردن» در مفاد خدمات، همچنین بهجای اینکه طراحی امن را اجباری کند، دیگر وظیفه نهاد حفاظت از داده این کشور را این تعیین میکند که باید «فنون ارتقای امنیت از قبیل حریم خصوصی از طریق طراحی و فنون حداقلسازی داده را ترویج کند». تعیین ضمانت اجرا در این طرح قانونی در حوزه اختیارات مجلس قانونگذاری این کشور باقی مانده است. در فصل مربوط به زمانبندی اجرا، سقف مجازاتی که این نهاد میتواند برای متخلفین اعمال کند مشخص شده است. همچنین قانونگذار تدابیری جهت عدم تداخل وظایف میان نهاد جدید و نهادهای قدیمی در نظر گرفته است، مثلاً همکاری میان این نهاد تازه تأسیس و دادستانی این کشور در طرح قانونی ضابطهمند شده است، یا از کمیسیون تجارت فدرال در زمینه حفاظت از دادهها صراحتاً خلع مسئولیت شده است.
5-3. قانون ذخیره داده آمریکا در خاک آمریکا
این طرح قانونی توسط نمایندگان جمهوریخواه به مجلس پیشنهاد شده است. این طرح، ممنوعیت ذخیره داده شهروندان آمریکا توسط شرکتهایی مانند تیک تاک در کشورهای خارجی متخاصم نسبت به این کشور شامل چین و ایران را دنبال میکند. همچنین این قانون دسترسی مقامات دولتی کشورهای متخاصم به دادههای تحت پوشش را ممنوع میکند.
5-4. طرحها و لوایح حفاظت از داده در دولت و مجلس شورای اسلامی ایران
در ایران طرح حمایت و حفاظت از داده و اطلاعات شخصی در ماهمهر سال ۱۳۹۹ اعلام وصول شد، در ادامه با توجه به اعلام دولت مبنیبر ارائه لایحه حفاظت از دادهها این طرح مسکوت ماند. بهنظر میرسد لایحه حفاظت از دادهها مراحل پایانی نهایی شدن و ارسال به مجلس را طی میکند.
در نظام حقوقی ایالات متحده آمریکا، قانونگذار میان دادههای متفاوت مثلاً دادههای مالی و مربوط به سلامت و اشخاص مختلف موضوع داده مثلاً کودکان و خبرنگاران در حقوق مربوط به دادهها، تمایزهایی قائل شده که با قوانین عمومی حفاظت از دادهها، متفاوت است. بهبیاندیگر در این نظام حقوقی حفاظت از دادههای مالی و حفاظت از دادههای مربوط به سلامتی، چارچوبهای متفاوتی از محافظت را تجربه میکنند. کودکان و افراد خردسال و صاحبان برخی مشاغل مانند خبرنگاران ازجمله اشخاص موضوع دادهای هستند که حقوق و تکالیف کسب و کارها و دولت نسبت به آنها از نظر قانونگذار بالاتر از سایر اقشار جامعه تدوین شده، اما افراد متقاضی خدمت در مشاغل دارای دسترسی به اطلاعات محرمانه با حکم قانونگذار جهت بهبود نظارت و جلوگیری از بروز فساد مالی و یا کاغذبازی و پر کردن فرمهای گزارش مختلف باید داوطلبانه از بخشی از حریم خصوصی خود به نسبت سایر اقشار جامعه صرفنظر کنند. بررسی پیشنویسهای قوانین حمایت از حقوق داده در ایالات متحده آمریکا نشان میدهد در شرایط بحران مانند کووید ۱۹ سطوح حفاظتی حریم خصوصی باید انعطاف لازم را داشته باشد.
مقررات حفاظت از دادهها به دو دسته قوانین حفاظت از دادههای بخش دولتی و بخش خصوصی قابل تقسیم هستند. در زمینه حفاظت از دادههای دولتی ایالات متحده آمریکا دو دهه قبل از دیگر کشورهای مهم مانند کره جنوبی مقرراتگذاری حفاظت از دادههای شهروندان در پایگاههای اطلاعاتی دولتی را آغاز کرده است.
انطباق دستگاههای دولتی با موازین حفاظت از دادهها تنها به تصویب قوانین محدود نمیشود، تجربه ایالات متحده آمریکا نشان میدهد این موضوع یک پروژه از جنس برنامههای توسعهای است. این کشور در زمینه حفاظت از دادههایی که بخش خصوصی عهدهدار نگهداری آن است، با توجیه لزوم تداوم سلطه شرکتهای آمریکایی بر جریان اطلاعات جهانی نسبت به دیگر کشورهای مهم جهان عقبماندگی دارد، اما این عقبماندگی با لابی گری و کارشکنی این بازیگران تاکنون رفع نشده است.
بهبیاندیگر مقررات بسیار سختگیرانه در حمایت از مشتریان یا برآوردن نیاز اطلاعاتی دولت میتواند رشد اقتصاد داده در کشور را دچار مشکل کند. سختگیری بیش از حد در مسیر گردآوری اطلاعات توسط بازیگران دولتی نیز میتواند بخش امنیتی کشورها را وابسته به نهادهای خصوصی غیرپاسخگو و غیرشفاف کند و عملاً با واگذاری قدرت اطلاعات به بخش خصوصی نهادهای امنیتی و نظام قانونگذاری کشور آمریکا بهرغم درک مشکل نتوانسته است اقدامی در جهت منافع عمومی جامعه اتخاذ کند. بنابراین اقدام قانونگذار برای توانمند ساختن شهروندان در کنترل معنادار حریم خصوصی خود در عین توسعه یک زیستبوم داده مستعد و روبهرشد که در آن کارآفرینان و شرکتهای فناوری بتوانند با رقبای خارجی رقابت داشته باشند و اشراف اطلاعاتی مسئولانه دولتها محقق شود، با توجه به شکست ایالات متحده آمریکا در حمایت از شهروندان خودش اهمیت مییابد. قانونگذاران کشورهای مختلف با تصویب قوانین و مقررات حفاظت از دادهها در تلاش هستند که براساس سیاستهای کلی کشور خود میان این اهداف مزاحم و متضاد تعادل برقرار کنند.
باید از اجبار شهروندان به چشمپوشی از حریم خصوصی خود بهازای استفاده از محصولات یا خدمات شرکتها جلوگیری کرد. یعنی یک شرکت نباید چشمپوشی اجباری شهروندان از حق حریم خصوصی خود را شرط استفاده از محصولات خود قرار دهد. حق دسترسی، تصحیح و پاک کردن دادههای شخصی که در اختیار یک شرکت خصوصی است باید ازجمله حقوق قانونی شهروندان باشد. شرکتها باید از گرد آوردن مقادیر زیادی از دادههایی که ربطی به آنچه برای عرضه خدمت به مشتری به آن نیاز ندارند منع شوند. شرکتها باید فقط دادههایی را بگیرند که برای عرضه خدماتشان ضروری است.
شرکتها باید موظف باشند که دادههای خصوصی مشتریان خودشان را بهشکل ایمن و حفاظتشده نگهداری کنند. هدفگذاری قوانین باید بهگونهای باشد که نشت اطلاعات روز بهروز کاهش یابد. همچنین قوانین باید از کودکان و نوجوانان بیشتر محافظت کنند. قانونگذار باید به دولت، قدرت اجرایی متناسب با تکالیف آن را بدهد تا دولت اختیار لازم برای اجرای قوانین متناسب با پیشرفت فناوری را داشته باشد. حریم خصوصی اینترنتی ملاحظات متنوعی را دربر میگیرد. از یک طرف اینترنت کسب اطلاعات پیرامون کاربران را برای بخش دولتی و خصوصی تسهیل میکند، از طرف دیگر این اطلاعات ممکن است علیه کاربران استفاده شود. ارسال و اشتراک این دادهها با طرفهای ثالث که ممکن است بدون اطلاع فرد موضوع داده صورت گیرد، ازجمله موارد مهم در این زمینه هستند.
براساس مطالعه صورت گرفته پیشنهاد میشود:
پیشنهاد مطالعات آتی
پیشنهاد میشود در گزارشهای آینده، موارد زیر مورد بررسی قرار گیرد:
پیوست ۱. تاریخچه اصلاح قوانین نامه امنیت ملی
در عنوان پنجم قانون کنترل نرخ بهره و تنظیمگری نهادهای مالی سال ۱۹۷۸ یا قانون حق حریم خصوصی مالی ۱۹۷۸، به نهادهای مالی اجازه داده شده بود که اطلاعات مالی را به اداره تحقیقات فدرال بدهند، اما الزامی به ارائه اطلاعات نبود. درنتیجه در ایالتهایی که قوانین حریم خصوصی مستقل مالی تصویب شده بود، این اطلاعات به این اداره داده نمیشد. بنابراین قانون نامه امنیت ملی طی اصلاحیه سال ۱۹۸۶ به تصویب کنگره رسید تا به پلیس فدرال اجازه صدور نامه امنیت ملی داده شود.
قانون حریم خصوصی ارتباطات الکترونیکی سال ۱۹۸۶: در این قانون که اصلاحیه قوانین قبلی بود، صدور نامه امنیت ملی برای دسترسی اطلاعات تلفنی و اطلاعات مشتریان سایر خدمات ارتباطاتی را فراهم کرد. هر دوی این قوانین استفاده از این اختیار را به موضوعات جاسوسی خارجی و ارتباط با مقابله با جاسوسی خارجی محدود کرده بودند.
بخش ۸۰۲ قانون مجوز جاسوسی سال مالی ۱۹۹۵: این قانون، اختیار نامه امنیت ملی را به کارمندان دولتی مظنون به جاسوسی و افرادی که خواستار اشتغال در مشاغل حساس بودند گسترش داد. از یک طرف این قانون بهسرعت مبارزه با جاسوسی منجر شد و ازطرفدیگر با این کار، کارمندان شاغل در جایگاههای حساس که به اطلاعات محرمانه دسترسی دارند، نیازمند ارائه گزارشهای وقتگیر نخواهند بود و نظارت دولت بر طرحهای ضد جاسوسی بهبود پیدا میکند.
بخش 601 قانون مجوز جاسوسی سال مالی 1996: پلیس فدرال در این قانون به سوابقی که طبق قانون گزارش منصفانه اعتبار گردآوری شده بودند دسترسی پیدا کرده است. شرایطی که این اداره طبق آن به سوابق دسترسی پیدا میکند مانند دسترسی نهادهای مالی به این سوابق است. طبق این قانون باید ریاست سازمان پلیس فدرال یا یک مقام منصوب او آن را صادر کند و رؤسای بخشهای دیگر سازمان پلیس فدرال نمیتوانند نامه امنیت ملی را صادر کنند. مقام ذیصلاح نیز فقط درصورتیکه درخواست نامه امنیت ملی برای مبارزه با تروریسم و فعالیتهای جاسوسی مخفیانه باشد میتواند آن را تأیید کند.
قانون میهنپرستی ایالات متحده آمریکا ۲۰۰۱: این قانون سه مورد از قوانین نامه امنیت ملی قبلی (قانون حریم خصوصی ارتباطات الکترونیکی بخش (18 U.S.C. 2709)، قانون حق حریم خصوصی مالی بخش (U.S.C. 3414(a)(512)) و قانون گزارش منصفانه اعتبار بخش (15 U.S.C. 1681u) را اصلاح کرد و مورد پنجمی نیز ایجاد کرد. بهبیاندیگر در این قانون این موارد تغییر کرد:
تغییر اساسی این قانون این بود که اختیار صدور نامه امنیت ملی را از پلیس فدرال این کشور به سایر دستگاههای درگیر در موضوع امنیت ملی بسط داد و آنها نیز میتوانستند با رعایت این قانون، مستقل از پلیس فدرال نامه امنیت ملی صادر کنند.
در دو قانونی که کنگره ۱۰۹ ام، برای اصلاحیه قانون میهنپرستی صادر کرد اصلاحاتی وضع شد که عبارتند از:
پیوست ۲. متن یک قانون برنامه توسعهای آمریکا در زمینه حفاظت از دادهها
بخش ۵۲۲
الف) هر نهاد فدرال باید یک مقام عالی حریم خصوصی داشته باشد که وظیفه اصلی او اعمال سیاست حفاظت از داده و حریم خصوصی باشد، شامل:
۱. تضمین حفظ و عدم کاهش حفاظتهای حریم خصوصی هنگام استفاده از فناوریها برای استفاده، گردآوری و افشای اطلاعات منجر به شناسایی.
۲. تضمین امکان نظارت مستمر بر انطباق با کردارها و سیاستهای حریم خصوصی تدوین شده در مورد گردآوری، استفاده توزیع اطلاعات در عملیاتیسازی برنامه.
۳. تضمین انطباق کامل اطلاعات شخصی موجود در سوابق سامانههای قانونی حریم خصوصی با کردارهای اطلاعاتی منصفانه تعریف شده در قانون حریم خصوصی ۱۹۷۴.
۴. بررسی پیشنهادههای مقرراتگذاری و قانونی شامل استفاده، افشای اطلاعات شخصی توسط دولت فدرال.
۵. تخمین اثر حریم خصوصی بر روی آییننامههای پیشنهاد شده توسط وزارتخانهها شامل نوع اطلاعات منجر به شناسایی و تعداد افراد متأثر از آییننامه.
۶. آمادهسازی گزارش سالیانه برای ارائه به کنگره در مورد فعالیتهای اثرگذار بر حریم خصوصی نهادها، شامل شکایتها بابت نقض حریم خصوصی و اجرایی کردن بخش الف ۵۵۲.
۷. تضمین حفاظت از اطلاعات منجر به شناسایی در مقابل تخریب، اصلاح، اغتشاش، افشا، استفاده و دسترسی غیرمجاز ازسوی وزارتخانه.
۸. آموزشوپرورش کارمندان در زمینه سیاستهای حفاظت از داده و حریم خصوصی برای اعتلای آگاهی و انطباق با سیاستهای حفاظت از داده و حریم خصوصی.
۹. تضمین انطباق با سیاستهای حفاظت از داده و حریم خصوصی وزارتخانهها.
ب) تدوین سیاستها و رویههای حفاظت از داده و حریم خصوصی:
عموماً - طی ۱۲ ماه از تصویب این قانون، هر نهادی باید رویههای حفاظت از داده و حریم خصوصی در مورد گردآوری، استفاده، اشتراک، افشا، انتقال، ذخیرهسازی و امنیت اطلاعات منجر به شناسایی مربوط به عموم و کارمندان را تدوین و پیادهسازی کند. این رویهها باید با رهنمودهای مقرراتی و قانونی، شامل مقررات دفتر مدیریت بودجه، قانون حریم خصوصی سال ۱۹۷۴ و بخش ۲۰۸ قانون دولت الکترونیکی سال ۲۰۰۲ سازگار باشند.
پ) ثبت - همه نهادها باید گزارشی مکتوب از استفاده خودشان از اطلاعات منجر به شناسایی همراه با رویهها و سیاستهای حفاظت از داده تهیه کنند و آن را نزد بازرس کل نهاد قرار دهند تا بهعنوان معیار عملکرد نهاد مورد استفاده قرار بگیرد. هر گزارش باید توسط مقام عالی حریم خصوصی امضا شود تا تأیید کند که نهاد خواستار انطباق با رویههای ذکر شده در گزارش است. با امضای گزارش مقام حریم خصوصی تأیید میکند که اطلاعات منجر به شناسایی افراد تنها بهصورتی که در گزارش تشریح شده استفاده میشود.
ت) ممیزی شخص ثالث بیطرف-
۱. عموماً- حداقل هر دو سال یکبار هر نهادی باید یک ممیزی شخص ثالث مستقل از استفاده از اطلاعات منجر به شناسایی در رویههای حفاظت از دادهها و حریم خصوصی نهاد بهصورتی انجام بدهند که:
الف) صحت توصیف اطلاعات منجر به شناسایی را تعیین کند.
ب) مؤثر بودن رویههای حفاظت از دادهها را تعیین کنند.
پ) انطباق سیاستهای حفاظت از دادهها و حریم خصوصی ابلاغ شده با قوانین و مقررات مرتبط با آنها را تضمین کنند.
ت) تضمین اینکه همه فناوریهایی که برای گردآوری، استفاده، ذخیره و افشای اطلاعات منجر به شناسایی افراد، نظارت مستمر انطباق با کردارها و سیاستهای اعلام شده حاکم بر گردآوری، استفاده و توزیع اطلاعات در اجرای برنامه را ممکن میکنند.
۲. اهداف- هدف از ممیزی طبق این زیر بخش:
الف) تضمین صحت توصیف نهاد از نحوه استفاده از دادههای منجر به شناسایی فرد و انطباق فناوری و رویههای جاری پردازش اطلاعات منجر به شناسایی آن.
ب) سنجش کردارهای حفاظت از دادههای شخصی و حریم خصوصی براساس رویههای حفاظت از داده و حریم خصوصی.
پ) تضمین انطباق و سازگاری با سیاستهای حفاظت از دادهها و حریم خصوصی اعلامی در حالت برخط و غیر برخط.
ت) آگاهسازی در مورد وضعیت جاری و پیشنهاد در مورد رویههای حفاظت از دادهها و حریم خصوصی است.
۳. الزامات ممیزی- بازرس کل هر نهاد باید با یک شخص ثالث مستقل (که رهبری شناخته شده در زمینه مشاوره حریم خصوصی، فناوری حریم خصوصی، گردآوری داده و مدیریت استفاده از داده و مسائل حریم خصوصی جهانی است) قراردادی منعقد کند که:
الف) استفاده سازمان از اطلاعات منجر به شناسایی را بسنجد؛
ب) رویههای حفاظت از داده و حریم خصوصی نهاد را بسنجد؛
پ) راهبردها و گامهای مشخصی برای بهبود مدیریت حفاظت از داده و حریم خصوصی پیشنهاد بدهد.
۴. محتوا - هر ممیزی که طبق این زیر بخش انجام شود باید شامل:
الف) ممیزی فناوریها، کردارها و رویههای هر نهاد در ارتباط با گردآوری، استفاده، اشتراکگذاری، افشا، انتقال و ذخیرهسازی اطلاعات منجر به شناسایی.
ب) ممیزی از رویههای حفاظت از دادهها و حریم خصوصی اعلامی در ارتباط با گردآوری، استفاده، به اشتراکگذاری، افشا، انتقال و امنیت اطلاعات شخصی منجر به شناسایی.
پ) تحلیل تشریحی اینترنت، شبکه و وبگاههای نهاد برای آسیبپذیریهای حریم خصوصی شامل:
۱. عدم انطباق با سیاستها و رویههای حریم خصوصی اعلامی.
۲. مخاطرات انتشار ناخواسته اطلاعات در حالت قابل شناسایی از وبگاه نهاد.
ت) ممیزی انطباق عملکرد نهاد با این قانون.
ث) گزارش
۱. عموماً- بهمحض اتمام ممیزی، بازرس کل نهاد باید گزارشی تشریحی از ممیزی بدهد که شامل پیشنهاد بهبود یا پیشرفت مدیریت دادههای منجر به شناسایی و رویههای حفاظت از داده و حریم خصوصی نهاد نیز بشود.
۲. دسترسپذیری اینترنتی- همه نهادها باید همه گزارشهای شخص ثالث مستقل و گزارشهای بازرس کل در ارتباط با آن گزارشها را در دسترس عمومی قرار دهند.
ج) تعاریف - در این بخش تعریف اطلاعات منجر به شناسایی معادل تعریف قانون عمومی شماره ۱۰۷-۳۴۷، قانون دولت الکترونیکی سال ۲۰۰۲ تعیین میشود و بهمعنای هر نوع اطلاعاتی است که بهصورت منطقی بهصورت مستقیم یا غیرمستقیم از آن هویت شخص مرتبط با آن دادهها قابل استنتاج است.