نوع گزارش : گزارش های راهبردی
نویسنده
پژوهشگر گروه مخابرات و فناوری اطلاعات دفتر مطالعات انرژی، صنعت و معدن مرکز پژوهش های مجلس شورای اسلامی
چکیده
هدف این گزارش شناسایی خلأهای قانونی حفاظت ازحقوق دادهها با مقایسه قوانین ایران و ایالات متحده آمریکا است. مطالعه حال حاضر نشان میدهد، قانون اساسی ایران در شناسایی حق حریم خصوصی از قانون اساسی آن کشور مترقیتر است. قوانین مصوب مجلس شورای اسلامی اصل حق حریم خصوصی را بهنحو مناسبی به رسمیت شناختهاند، اما احقاق حقوق از نظر اجرایی با خلأهایی مواجه است. گرچه از نظر دایره شمول، قوانین کشور مانند قانون تجارت الکترونیکی بسیاری از جوانب یک قانون جامع حریم خصوصی را دارد، یعنی حق حریم خصوصی را به رسمیت میشناسد و نقض آن را جرم انگاری میکند، همینطور مصادیق اطلاعات حریم خصوصی در شیوهنامه تشخیص و تفکیک اطلاعات مربوط به حریم خصوصی و اطلاعات شخصی از اطلاعات عمومی مصوب سال ۱۳۹8 مشخص شده است، اما قوانین کشور سازوکارهای اجرایی شایسته برای تحقق امر حفاظت از حریم خصوصی ندارد. مثلا، گرچه به شخص اختیار حذف داده پیامهای شخصیاش داده میشود، اما سازوکار اعلام دادههای در اختیار، شیوه درخواست و مهلتهای قانونی پاک کردن داده شخصی تصریح نشده است. در نتیجه احکام حمایت از حقوق دادهها، از جنبههای مختلف قابلیت تحقق ندارد و تکلیف دلالهای داده که بدون ارتباط کسبوکاری با شهروندان، اطلاعات آنها را گردآوری کرده و به فروش میرسانند، در قوانین کشور مشخص نشده است. تکلیف انواع خاص اطلاعات مانند اطلاعات کتابخانهای، حفاظتهای تخصصی از اطلاعات کودکان، نشت اطلاعات و سازوکارهای حمایت از حریم خصوصی استفادهکنندگان از خدمات اینترنت در قوانین کشور مسکوت هستند. لذا پیشنهاد میشود، سازوکارهای اجرایی برای تحقق حق حریم خصوصی در اصلاحیه قانون تجارت الکترونیکی یا تصویب قانون جدید مستقل انجام شود.
کلیدواژهها
موضوعات
هدف از تدوین این گزارش شناسایی خلأهای قانونی حفاظت از حقوق دادهها با مقایسه قوانین ایران و ایالات متحده آمریکا است. در قانون اساسی ایالات متحده آمریکا رعایت حریم خصوصی تصریح نشده، اما در اصل (۲۵) قانون اساسی جمهوری اسلامی بر حق حریم خصوصی تصریح شده است. در نتیجه قانون اساسی ایران در شناسایی حق حریم خصوصی بهمراتب از قانون اساسی ایالات متحده آمریکا مترقیتر است. مقایسه قوانین جامع تصویب شده یا در آستانه تصویب ایالات کالیفرنیا، نیویورک، مریلند، ماساچوست، هاوایی و داکوتای شمالی با قانون تجارت الکترونیک ایران مصوب سال ۱۳۸۲ نیز نشان میدهد در قوانین موضوعه مصوب مجلس شورای اسلامی نیز اصل حقوق مربوط به حریم خصوصی بهصراحت به رسمیت شناخته شده و حتی مجازات زندان برای تخلف در زمینه رعایت حقوق شخص موضوع داده وضع شده است، اما در قوانین ایران این مشکلات وجود دارند:
در توسعه قوانین حمایت از حقوق دادهها و رفع خلأهای قانونی ملاحظاتی همچون، مشخص کردن جامعه هدف، لزوم ساماندهی دلالهای داده، ضرورت در نظر گرفتن حساسیت اطلاعات کتابخانهای، منع استفاده از اطلاعات کودکان برای تبلیغات، ساماندهی نشت اطلاعات، تکلیف به ایجاد قابلیت نرمافزاری داخل نرمافزارهای برخط برای درخواست دسترسی و پاک شدن اطلاعات، ضرورت بازنگری و تقویت قانون تجارت الکترونیکی مصوب ۱۳۸۲ و انجام مطالعات مروری بیشتر در زمینه صیانت از حقوق دادهها پیشنهاد میشود.
حریم خصوصی و حفاظت از داده دو موضوع مرتبط با یکدیگر در حکمرانی اینترنت هستند. در منابعی که به تمایز این دو مفهوم اعتقاد دارند، حفاظت از دادهها را سازوکار حقوقی میدانند که حریم خصوصی را تضمین میکند. حریم خصوصی نیز معمولاً حق شهروندان در کنترل اطلاعات شخصی آنها و تصمیم در مورد (افشا یا عدم افشا) آن هستند [1]. به بیان دیگر حریم خصوصی داده تعریف میکند که چه کسی به داده دسترسی داشته باشد درحالی که حفاظت از داده ابزارها و سیاستهایی برای محدودکردن بالفعل دسترسی به دادهها وضع میکند. [2] گرچه منابع معتبر دانشگاهی تمایز میان حریم خصوصی و حفاظت از دادهها را تمایزی با منشأ اروپایی میدانند. [3] یعنی در مطالعات تطبیقی قوانین کشورها مرز میان حفاظت از داده و حریم خصوصی دادهها کمرنگ میشود [4]و اصولاً حریم خصوصی و حفاظت از دادهها در احکام قانونی تفکیکپذیر نیستند. زیرا حکم حقوقی که در زمینه حفاظت از دادهها تدوین میشود، اصولاً ضوابط رعایت حریم خصوصی را تعیین میکند. این گزارش نیز در بررسی احکام قانونی تمایزی میان قوانین حریم خصوصی داده و حفاظت از دادهها قائل نیست و در نتیجه میان قوانین حفاظت از داده و حریم خصوصی دادهها تمایزی اعمال نشده است. واقعه رخنه سایبری در اطلاعات شرکت اعتباری اکوئیفاکس در سال ۲۰۱۷ که در آن اطلاعات ۱۴۲ میلیون شهروند ایالات متحده آمریکا از طرف هکرها بهدلیل عدم توجه این شرکت به رعایت مبانی اولیه امنیت سایبری به سرقت رفت و در ادامه کوتاهی این شرکت در اطلاعرسانی واقعه به افرادی که تحت تأثیر قرار گرفته بودند، یکی از نقاط عطف در تاریخ مقرراتگذاری این کشور در حوزه حفاظت از دادهها بهشمار میرود. پس از این واقعه نمایندگان حزب دموکرات چندین تلاش برای مقرراتگذاری عام صیانت از دادهها انجام دادند که تاکنون با توجه به عدم همراهی جناح جمهوریخواه که مقررات صیانت از داده را بهنوعی مقرراتگذاری دستوپاگیر تلقی میکند به نتیجه نرسیده است [5]. لذا ایالتهای مختلف آمریکا بهصورت مجزا مقرراتگذاری حریم خصوصی را بهصورت جامع در دستور کار قرار دادند، اما احکام مربوط به صیانت از دادهها و حریم خصوصی در بخش عمومی و حقوق شهروندان را میتوان در قانون اساسی ایالات متحده آمریکا، قانون اساسی ایالتها و قوانین مصوب کنگره و قوانین ایالتی دنبال کرد. در این گزارش ضمن معرفی هرکدام از قوانین ایالتی این کشور درصورتی که مصوبه قانونی مشابه قوانین این کشور موجود باشد، معرفی میشود.
احکام حریم خصوصی و صیانت از داده در قانون اساسی ایالات متحده آمریکا در مقایسه با قانون اساسی جمهوری اسلامی ایران
قانون اساسی آمریکا شامل هفت اصل است که شیوه عملکرد دولت این کشور را تشریح میکند. این قانون شامل ۲۷ متمم است. نظام قضایی ایالات متحده آمریکا در بخش فدرال توانایی تفسیر قانون اساسی و اختیار لغو مصوبات کنگره مغایر با قانون اساسی را دارد. در قانون اساسی ایالات متحده آمریکا و متممهای آن احکامی که بهصراحت حریم خصوصی را بهعنوان یک حق به رسمیت بشناسد وجود ندارد، اما در نظام قضایی کامن لا ایالات متحده آمریکا در سایه احکام و استنتاجات قضات دیوانعالی این کشور حق حریم خصوصی استنتاج شده است. در صدور احکام مقالات حقوقی نیز مد نظر قضات قرار میگیرند. ازجمله مهمترین مقالههایی که مورد استناد قضایی قرار گرفتهاند عبارتند از [6]:
این دو مقاله در احکام قضایی دیوانعالی در زمینه حریم خصوصی مورد استناد قرار گرفتند. در زیر چند نمونه از احکام قضایی مهم در زمینه حریم خصوصی ذکر شده است:
در قانون اساسی جمهوری اسلامی ایران قانونگذار در زمینه صیانت از داده صراحت دارد، یعنی حریم خصوصی حقی نیست که نیازمند تفسیر قانون باشد. بعضی از اصول مرتبط با حریم خصوصی در قانون اساسی جمهوری اسلامی ایران در ادامه ذکر شده است:
اصل بیست و دوم
حیثیت، جان، مال، حقوق، مسکن و شغل اشخاص از تعرض مصون است، مگر در مواردی که قانون تجویز کند.
اصل بیست و سوم
تفتیش عقاید ممنوع است و هیچکس را نمیتوان به صرف داشتن عقیدهای مورد تعرض و مؤاخذه قرار داد.
اصل بیست و پنجم
بازرسی و نرساندن نامهها، ضبط و فاش کردن مکالمات تلفنی، افشای مخابرات تلگرافی و تلکس، سانسور، عدم مخابره و نرساندن آنها، استراق سمع و هرگونه تجسس ممنوع است، مگر به حکم قانون.
همانطور که مشاهده میشود در اصل بیست و پنجم قانون اساسی جمهوری اسلامی ایران بهصراحت تأکید شده که استراق سمع و هرگونه تجسس ممنوع است. در نتیجه قانون اساسی ایران صراحت بیشتری در حقوق شخصی افراد دارد و شواهد تاریخی مانند استفاده از دادههای سرشماری برای هدف کنترل اتباع دارای اصل و نسب ژاپنی در جنگ جهانی دوم و افشاگریهای اخیر ادوارد اسنودن[7] در دهه اخیر نیز نشان میدهد که دولت ایران نسبت به ایالات متحده آمریکا در زمینه رعایت حقوق شهروندان در زمینه حفاظت از دادهها بهمراتب پیشگامتر است. فرمان هشتمادهای امام خمینی (ره) درباره حقوق مردم در تاریخ ۲۴ شهریورماه سال ۱۳۶۱ و تکلیف مقام معظم رهبری در حکم انتصاب اعضای شورای عالی فضای مجازی بر «حفظ حریم خصوصی آحاد جامعه و مقابله مؤثر با نفوذ و دستاندازی بیگانگان در این عرصه» نشان میدهد که حریم خصوصی در جمهوری اسلامی ایران بیشتر از آمریکا در قوانین و سیاستهای کلان مورد تأکید میباشد و در عمل نیز نظام جمهوری اسلامی ایران راساً نسبت به نقض حریم خصوصی شهروندان خود اقدام نکرده است. گرچه حکم مقام معظم رهبری در زمینه لزوم مقابله با نفوذ و دستاندازی بیگانگان در زمینه حریم خصوصی نشان میدهد که کشور باید در این زمینه اقدامهای بیشتری را انجام و جوانب فنی رعایت حریم خصوصی را توسعه دهد. در ایران انطباق مصوبات دستگاههای اجرایی با قانون اساسی توسط دیوانعالی کشور انجام میشود. بعضی احکام دیوانعالی کشور در زمینه حریم خصوصی در زیر آمده است:
رأی شماره ۴۹۰ هیئت عمومی دیوان عدالت اداری با موضوع ابطال تبصره ماده (۷) آییننامه اجرایی تبصره «۴» ماده (۱۸۱) قانون مالیاتهای مستقیم مصوب وزرای دادگستری و امور اقتصادی و دارایی: در این رأی دیوان عدالت اداری در پاسخ به شکایتی که به اصل (۲۵) قانون اساسی استناد کرده بود، مصوبه وزرای دادگستری و امور اقتصادی و دارایی را بهدلیل اینکه برای بازرسی از محل کار و سایر مکانهایی غیر از منزل مسکونی اخذ اجازه قضایی را لازم نمیدانستند، بهدلیل عدم انطباق با این اصل قانون اساسی لغو کرد.
احکام حریم خصوصی در قوانین فدرال ایالات متحده آمریکا در مقایسه با مقررات اجرایی ایران
مقررات فدرال حریم خصوصی به دو دسته مقررات مربوط به بخش دولتی و مقررات مربوط به بخش خصوصی قابل تقسیم هستند. مقررات بخش دولتی در قالب دستورات اجرایی ابلاغ میشوند و وزارت امنیت میهنی در این زمینه مسئولیت دارد. مقررات فدرال حریم خصوصی در قلمرو کنش کمیسیون تجارت فدرال است. در ادامه ابتدا مقررات حریم خصوصی در بخش دولتی بیان و سپس مقررات مربوط به فعالیت بخش خصوصی عرضه میشود.
بخش مهمی از دستورات مربوط به حریم خصوصی در دستور اجرایی ریاست جمهوری این کشور منتشر شدهاند. در زیر بعضی از دستورات اجرایی مهم ذکر شدهاند:
دستور اجرایی ۱۳۶۳۶ با عنوان بهبود امنیت سایبری زیرساختهای حیاتی و رهنمود سیاست ریاستجمهوری یا تابآوری و امنیت زیرساختهای کلیدی مورخ ۱۲ فوریه سال ۲۰۱۳: نهادهای فدرال را ملزم میکند که مشارکت در یک چارچوب امنیت سایبری خنثی نسبت به فناوری را تشویق و توسعه دهند. حجم و وقتشناسی و کیفیت اشتراکگذاری اطلاعات تهدیدات سایبری با بخش خصوصی را نیز افزایش دهند. از این نظر احتمالاً بخشی از اقدامات این کشور برای کاهش سطح تهدیدات سایبری، اشتراک اطلاعات تهدیدات با بخش خصوصی است. مقامات عالی باید ارزیابیهای خود را به دفتر آزادیهای مدنی و حقوق مدنی و دفتر حریم خصوصی وزارت امنیت میهنی جهت درج در گزارش سالیانه تحلیل آزادیهای مدنی و حریم خصوصی سالیانه ارائه کنند.
دستور اجرایی ۱۳۶۹۱ با عنوان بهبود اشتراک اطلاعات امنیت سایبری با بخش خصوصی مورخ ۱۳ فوریه سال ۲۰۱۵: این مصوبه بر لزوم نقشآفرینی بیشتر در اشتراک اطلاعات مرتبط با امنیت و سوانح سایبری برای دفاع جمعی این کشور تأکید بیشتری دارد. این دستور اجرایی، شکلگیری سازمانهای اشتراک این قبیل اطلاعات را تشویق و سازوکارهای بهبود توانمندیهای آنها را فراهم میآورد و آنها را قادر میسازد که براساس یک سازوکار داوطلبانه با دولت فدرال شراکت داشته باشند. بخش 5 هر دو دستور اجرایی آژانسهای فدرال را موظف میکند که با مقامات متناظر عالی بالادستی خود در حریم خصوصی و آزادی مدنی همکاری داشته باشند تا از حفاظت مناسب از حریم خصوصی و آزادیهای مدنی در فعالیتهای این دستورات اجرایی اطمینان حاصل کنند. مقامات عالی ملزم میشوند که اقدامات دستگاههای تحت نظر خود را از نظر رعایت حریم خصوصی و آزادیهای مدنی ارزیابی و سالیانه گزارش دهند و نیز باید ارزیابیهای خود را به دفتر آزادیهای مدنی و حقوق مدنی و دفتر حریم خصوصی وزارت امنیت میهنی برای درج در گزارش سالیانه تحلیل آزادیهای مدنی و حریم خصوصی ارائه کنند.
دستور اجرایی 13873 با عنوان ایمنسازی زنجیره ارزش خدمات و فناوریهای ارتباطات و اطلاعات مورخ ماه می سال ۲۰۱۹[8] [10]: به دستگاههای اجرایی اختیار میدهد که علیه فعالیت، خدمات یا فناوری ارتباطی و اطلاعاتی[9] که توسط اشخاصی توسعهیافته، تولید یا تأمین شدهاند که توسط دشمن خارجی کنترل میشوند یا تحت قلمرو حقوقی کشور متخاصم خارجی قرار میگیرند، تحریمهایی وضع کنند. کشورهای متخاصم شامل ایران و چین نیز میشوند.
دستور اجرایی 14034 با عنوان حفاظت از دادههای شخصی آمریکاییها از دشمنان خارجی [11]: . پیرو اجرای دستور اجرایی ۱۳۸۷۳ محدودیتهایی برای رسانه اجتماعی چینی تیکتاک در دستور اجرایی ۱۳۹۴۲، پیامرسان ویچت در دستور اجرایی 13943، برنامههای کاربردی و دیگر نرمافزارهای توسعهیافته توسط شرکتهای چینی در دستور اجرایی ۱۳۹۷۱ وضع گردید که البته این دستور اجرایی توسط دولت بایدن معلق شد، اما وزیر تجارت موظف شد با همکاری نهادهای امنیتی، دفاعی و بهداشتی ظرف مدت ۱۲۰ روز گزارشی حاوی پیشنهادهایی برای حفاظت در مقابل فروش بدون محدودیت، انتقال یا دسترسی به اطلاعات حساس اشخاص آمریکایی (شامل اطلاعاتی که منجر به شناسایی شخص میشوند، اطلاعات مربوط به سلامت و ژنتیک) به مشاور امنیت ملی ریاستجمهور ارائه دهد. این گزارش باید آسیبهای ناشی از دسترسی انبارههای بزرگ داده توسط اشخاصی که متعلق به کشورهای متخاصم هستند یا تابع قوانین یا تحت هدایت این کشورها را پوشش دهد. وزارت امنیت میهنی این کشور ظرف مدت ۶۰ روز باید گزارشی از آسیبپذیریها ارائه دهد و ادارهکننده اطلاعات ملی نیز باید گزارشی از تخمین تهدیدها بدهد.
کمیسیون تجارت فدرال تاکنون گزارشهایی در زمینه کردارهای دلالهای داده و کردارهای بهروزرسانی امنیت تلفن همراه منتشر کرده است. [12]. طبق ارزیابی مرکز مطالعات بینالمللی بلفر[10]، [13] کمیسیون تجارت فدرال نهاد اصلی حمایت از مصرفکننده است و هماکنون بعضی از جنبههای حریم خصوصی را اعمال قانون میکند. کمیسیون تجارت فدرال براساس تکلیف قانونی خود در حمایت از مشتریان میتواند در زمینه صیانت از دادههای مشتریان مصوباتی داشته باشد، اما اگر مصوبات این کمیسون توسط کنگره لغو شود، اختیارات قانونگذاری در زمینه حریم خصوصی را از دست خواهد داد و تا تصویب قانونی که بهصراحت این تکالیف را به این نهاد بسپارد، هیچ اختیاری در این زمینه نخواهد داشت. در عین حال دادگاه عالی نیز میتواند در صورت شکایت بخش خصوصی مصوبات این نهاد را لغو کند. این عوامل موجب شده که کمیسیون تجارت قدرال در زمینه حریم خصوصی در حدی که انتظار میرود فعالیت نداشته باشد.
حریم خصوصی در مصوبات شوراها و هیئت وزیران قوه مجریه جمهوری اسلامی ایران
در چارچوب قوانین موضوعه مصوب مجلس شورای اسلامی، حریم خصوصی در مصوبات هیئت وزیران و شوراهای ذکر شده در قوانین قابلیت مقرراتگذاری دارد. ازجمله در بند «ج» ماده (۷۹) قانون تجارت الکترونیکی مصوب سال ۱۳۸۲ ذخیره، پردازش و یا توزیع «داده پیام»های مربوط به سوابق پزشکی و بهداشتی باید ازسوی وزارت بهداشت با همکاری سازمان مدیریت و برنامهریزی کشور پیشنهاد و در هیئت وزیران مصوب شود که البته هنوز پس از ۱۹ سال انجام نشده است. ماده (۱۸) قانون انتشار و دسترسی آزاد به اطلاعات مصوب سال ۱۳۸۷ کمیسیون انتشار و دسترسی آزاد به اطلاعات را تشکیل داد. تبصره «۲» ماده (۱۸) قانون انتشار و دسترسی آزاد به اطلاعات مصوب سال ۱۳۸۷ مقرر کرد که مصوبات این کمیسیون پس از تأیید رئیسجمهور لازمالاجراست. براساس اختیارات این ماده این کمیسیون، شیوهنامه تشخیص و تفکیک اطلاعات مربوط به حریم خصوصی و اطلاعات شخصی از اطلاعات عمومی را در سال ۱۳۹۸ منتشر کرد. این شیوهنامه در (۲۳) ماده مصادیق اطلاعات شخصی را تدوین کرده است. در آییننامه جمعآوری و استنادپذیری ادله الکترونیکی مصوب سال 1393 نیز بخشی از تکالیف مربوط به حفاظت از دادهها در فرایندهای قضایی تشریح شده است.
احکام حریم خصوصی در قوانین ایالتی ایالات متحده آمریکا در مقایسه با قوانین مصوب مجلس ایران
قوانین ایالتی ایالات متحده آمریکا نیز در دادگاههای عالی و قوانین ایالتی جنبههای مختلف موضوع صیانت از داده را توسعه دادهاند. هر 50 ایالت آمریکا قوانینی در جنبههای مختلف حریم خصوصی به تصویب رساندهاند که البته پس از سال ۲۰۱۷ قانونگذاری ایالتی در زمینه حریم خصوصی رونق بیشتری گرفته است. کنفرانس ملی قانونگذاران ایالاتی ایالات متحده آمریکا، قوانین حریم خصوصی دیجیتال[11] ایالات را به قوانین حریم داده مصرفکننده جامع، سیاستهای حریمخصوصی وبگاهها، حریمخصوصی بارگیری و مطالعه کتاب، بازاریابی برخط محصولات مشخص برای اطفال و نظارت بر ایمیلهای کارمندان طبقهبندی کرده است. [14] همچنین این نهاد، قوانین مربوط به اطلاعرسانی نشت اطلاعات شخصی را بهطور جداگانه تحلیل و ازسویی دیگر سایر انواع قوانین ایالتی که به موضوع حریم خصوصی میپردازند را نیز در دسته حریم خصوصی فعالیتهای برخط طبقهبندی کرده است.
قوانین حریم خصوصی مصرفکننده جامع ایالتی و مقایسه با قانون تجارت الکترونیکی ایران
پنج ایالت کالیفرنیا، کلرادو، کنتیکت، یوتا و ویرجینیا قوانین جامع حریم خصوصی مصرفکننده تصویب کردهاند. چندین گزاره مشترک این قوانین شامل حق دسترسی و پاک کردن اطلاعات شخصی و حق خروجگزینی (Opt-out) یا تصمیم به خروج از قرارداد فروش اطلاعات شخصی میشود. سایر تدابیر وبگاههای تجاری و ارائهدهندگان خدمات برخط را ملزم میکند که نوع اطلاعات شخصی که گردآوری میشود، اطلاعاتی که با دیگران به اشتراک گذاشته میشود و شیوههای تقاضای تغییر در اطلاعات مشخص ازسوی مصرفکنندگان را طی یک متن سیاست حریم خصوصی در محل مناسب ارسال کنند.
کالیفرنیا
قانون حریم خصوصی مصرفکننده کالیفرنیا سال ۲۰۱۸[12] این قانون به مصرفکنندگان حق میدهد که از کسبوکار، انواع و تکههای مشخص اطلاعات شخصی که ذخیره کرده را مطالبه کند و همچنین کسب و کار باید منبع این اطلاعات و مقاصد کسبوکاری گردآوری اطلاعات را افشا کنند. این قانون تعیین میکند که مشتریان حق دارند از کسبوکارها بخواهند که اطلاعات شخصی که در مورد مصرفکننده گردآوری کردهاند را پاک کند و حکم میدهد که مصرفکنندگان حق دارند که حتی پس از انعقاد معامله در مورد فروش اطلاعات خصوصی خودشان، فروش اطلاعات را ملغی کنند و کسبوکار نمیتواند تبعیضی علیه این مصرفکننده اعمال کند. این قانون برای تمامی ساکنین کالیفرنیا اعمال میشود.
قانون حقوق حریم خصوصی مصرفکننده کالیفرنیا سال ۲۰۲۰[13] این قانون: ۱. قوانین حریم خصوصی داده مصرفکننده را گسترش میدهد و به مصرفکنندگان اجازه میدهد که کسبوکار را از اشتراک اطلاعات شخصی منع کنند، ۲. اطلاعات شخصی غلط را تصحیح کند. ۳. استفاده کسبوکار از اطلاعات شخصی حساس (شامل مکان جغرافیایی دقیق، نژاد، قومیت، مذهب، دادههای ژنتیک، ارتباطات شخصی، گرایشهای جنسی و اطلاعات سلامتی خاص) را ممنوع کند. آژانس حفاظت از حریم خصوصی کالیفرنیا را برای تقویت بیشتر و پیادهسازی و اعمال قوانین حریم خصوصی و وضع جریمه تأسیس میکند. شرایط کسبوکارهایی که مشمول این قوانین هستند را تغییر میدهد، کسبوکارها را از نگهداری اطلاعات شخصی بیش از مقدار ضرورت منطقی منع میکند، مجازاتهای مربوط به نقض قانون را در مورد مصرفکنندگان زیر 16 سال سن سه برابر میکند و اعمال مجازاتهای مدنی برای سرقت اطلاعات ورود به حساب کاربری مصرفکنندگان را به شیوه مشخص مجاز میکند.
کلرادو
قانون حریم خصوصی کلرادو: این قانون در قوانین حمایت از مصرفکننده این ایالت وضع میشود. حقوق مصرفکننده در زمینه حریم خصوصی، تکالیف شرکتها در حفاظت از داده شخصی و مجاز کردن دادستان کل و دادستانهای مناطق برای اقدامات اعمال قانون ازجمله موضوعاتی است که در این قانون به آنها پرداخته میشود. این قانون، چندین اصطلاح در زمینه کسبوکارهای مشمول قانون، مصرفکنندگان و داده را داراست. برای مثال اصطلاح «کنترلکننده» شخص یا گروهی از اشخاص هستند که تعیین میکند، داده چگونه استفاده و پردازش شود؟ یا «مصرفکننده» افراد ساکن در کلورادو، در بافت خانوار یا بهصورت فردی هستند که شامل کارمندان یا افراد متقاضی کار درگیر رابطه کاری نمیشوند. این قانون از سال ۲۰۲۳ اجرایی خواهد شد.
کنتیکت
قانون حریم خصوصی و نظارت برخط سال ۲۰۲۲[14] این قانون چارچوبی برای کنترل و پردازش دادههای شخصی مشخص میکند، وظایف و استانداردهای صیانت از حریم خصوصی را در مورد کنترلکنندگان و پردازشکنندگان داده مشخص میکند و به مصرفکنندگان حق دسترسی، تصیح، پاککردن، کسب یک نسخه از دادههای شخصی و خروج از قرار داد پردازش دادههای شخصی را اعطا میکند. سال جرای این قانون ۲۰۲۳ تعیین شد.
یوتا
قانون حریم خصوصی مصرفکننده یوتا سال ۲۰۲۲[15] این قانون برای مصرفکنندگان این حق را بهوجود میآورد که بدانند کسبوکار چه اطلاعاتی جمع میکند؟ کسبوکار از دادهها چگونه استفاده میکند؟ و آیا اطلاعات شخصی را میفروشد یا خیر؟ این قانون همچنین این حق را برای مصرفکننده بهوجود میآورد که به دادههای گردآوری شده دسترسی داشته و اطلاعات شخصی که کسبوکار نگه میدارد را پاک کند و از قرارداد گردآوری و استفاده از دادههای شخصی خارج شود. همچنین این قانون بعضی کسبوکارهای مشخص را مکلف میکند که از دادههای شخصی کاربران حفاظت کنند، اطلاعات شفافی پیرامون شیوه استفاده از دادههای شخصی دهند و درخواست مصرفکننده برای دسترسی، پاک کردن یا توقف فروش اطلاعات شخصی را بپذیرند. قانون به دادستان کل این اختیار را میدهد که اقدام اجرایی اتخاذ و جریمه وضع کند. تاریخ اجرایی شدن این قانون ۳۱ دسامبر سال ۲۰۲۳ تعیین شد.
ویرجینیا
قانون حفاظت از داده مصرفکننده ۲۰۲۱[16] این قانون چارچوبی برای کنترل و پردازش داده شخصی در مشترکالمنافع ویرجینیا تدوین میکند. قانون به همه اشخاصی که در این مشترکالمنافع کسبوکار دارند و ۱. حداقل اطلاعات100 هزار مصرفکننده را کنترل یا پردازش کنند. ۲. بیش از 50 درصد درآمد ناخالص آنها از فروش یا کنترل اطلاعات شخصی حداقل ۲۵ هزار مصرفکننده کسب شود. قانون رئوس و خلاصه مسئولیتها و استانداردهای حفاظت از حریم خصوصی کنترلکنندگان و پردازندههای داده را تدوین میکند. این قانون به هستارهای[17] دولت محلی و ایالتی اعمال نمیشود و بعضی از انواع داده و اطلاعات که در قوانین فدرال حکمرانی میشوند را استثنا کرده است. قانون به مصرفکننده حق میدهد که به اطلاعات دسترسی داشته باشد، آن را تصحیح و پاک کند، از داده خود نسخهبرداری کرده و از قرارداد پردازش داده شخصی برای اهداف تبلیغات هدفمند خارج شود. قانون به دادستان کل، اختیار انحصاری میدهد که تخلفات از قانون را اعمال قانون کند و صندوق حریم خصوصی مصرفکننده نیز برای پشتیبانی از این تلاش بهوجود میآید. قانون کمیسیون مشترک علوم و فناوری را برای تأسیس کارگروهی با مشارکت دستگاههای دولتی و فعالان مشمول قانون برای بازبینی تدابیر قانون هدایت کرده و ظرف مدت 6ماه گزارشی از اجرای قانون به نهاد قانونگذاری این ایالت ارائه دهد. البته تاریخ اعمال کامل همه مواد قانون اول ژانویه سال ۲۰۲۳ تعیین شد.
از میان ایالتهای آمریکا طبق ارزیابی کارشناسان، ایالت کالیفرنیا قویترین حمایتهای حریم خصوصی را عرضه میکند [15]. سایر ایالتها نیز در زمینه حریم خصوصی دادههای مصرفکننده، قوانینی در دست اقدام دارند که ازسوی محققین طبق جدول زیر با یکدیگر و قانون ایالت کالیفرنیا مقایسه شدهاند، قانون تجارت الکترونیکی ایران نیز در این جدول با قوانین ایالاتی آمریکا مقایسه شده است.
جدول ۱. مقایسه قوانین جامع ایالات مختلف آمریکا و قانون تجارت الکترونیک ایران
نام ایالت |
حق پاک کردن |
حق دسترسی |
حق تصحیح |
حق اقدام بخش خصوصی[18] |
تعریف موسع اطلاعات شناساییکننده فرد[19] |
کسبوکارهای تحت پوشش |
کالیفرنیا |
بله |
بله |
خیر |
۷۵۰ دلار برای هر شخص (نشت) |
بله (نسبی) |
درآمدهای بالای ۲۵ میلیون دلار |
نیویورک |
بله |
بله |
خیر |
۷۵۰دلار برای هر شخص |
بله |
همه |
مریلند |
بله |
بله |
خیر |
خیر. فقط توسط نهاد |
بله (نسبی) |
درآمدهای بالای ۲۵ میلیون دلار |
ماساچوست |
بله |
بله |
خیر |
۷۵۰ دلار برای هر شخص |
بله (نسبی) |
درآمدهای بالای 10 میلیون دلار |
هاوایی |
بله |
بله |
خیر |
خیر |
بله |
همه |
داکوتای شمالی |
بله |
بله |
خیر |
محدود |
خیر |
درآمدهای بالای ۲۵ میلیون دلار |
قانون تجارت الکترونیکی ایران |
بله |
بله |
بله |
بله. (۱ تا ۳ سال زندان) |
بله |
همه |
مأخذ: [16] و مطالعات مرکز پژوهشهای مجلس شورای اسلامی.
همانطور که مشاهده میشود، بخش حفاظت از داده قانون تجارت الکترونیکی ایران از نظر تعیین حقوق شخص موضوع داده نسبت به قوانین ایالتی آمریکا جامع محسوب میشود. بهصورتی که در ماده (۵۹) این قانون تأکید شده «در صورت رضایت شخص موضوع «داده پیام» و نیز به شرط آنکه محتوایداده پیام وفق قوانین مصوب مجلس شورای اسلامی باشد، ذخیره، پردازش و توزیع «داده پیام»های شخصی در بستر مبادلات الکترونیکی باید با لحاظ شرایط زیر صورت پذیرد:
الف) اهداف آن مشخص بوده و بهطور واضح شرح داده شده باشند.
ب) «داده پیام» باید تنها به اندازه ضرورت و متناسب با اهدافی که در هنگام جمعآوری برای شخص موضوع «داده پیام» شرح داده شده جمعآوری گردد و تنها برای اهداف تعیین شده مورد استفاده قرار گیرد.
ج) «داده پیام» باید صحیح و روزآمد باشد.
د) شخص موضوع «داده پیام» باید به پروندههای رایانهای حاوی «داده پیام»های شخصی مربوط به خود دسترسی داشته و بتواند «داده پیام»های ناقص و یا نادرست را محو یا اصلاح کند.
هـ) شخص موضوع «داده پیام» باید بتواند در هر زمان با رعایت ضوابط مربوطه درخواست محو کامل پرونده رایانهای «داده پیام»های شخصی مربوط به خود را بنماید». یعنی در بند «هـ» ماده (۵۹) به شخص موضوع داده پیام اختیار پاک کردن و در بند «د» ماده (۵۹) نیز اختیار دسترسی و اصلاح تأکید شده است، اما ضمانت اجرای این قانون کیفری است و در ماده (۷۱) قانون تجارت الکترونیکی ۱ تا ۳سال زندان برای عدم رعایت ماده (۵۹) وضع شده است. برای مثال اگر شخصی بابت عدم امکان ویرایش اطلاعات در یک بستر مبادلات الکترونیکی به مرجع قضایی شکایت کند. در صورت اثبات بزه مرتکب به ۱ تا ۳ سال زندان محکوم خواهد شد. یعنی قانون ایران حق حریم خصوصی را به رسمیت شناخته است، اما متولی اجرای ماده (۵۹) قانون تجارت الکترونیکی و کلاً بخش مربوط به حمایت از دادهها (Data protection) در قانون تجارت الکترونیکی مشخص نیست. درحالی که در ماده (۶۱) قانون تجارت الکترونیکی آمده: «سایر موارد راجع به دسترسی موضوع «داده پیام»، ازقبیل استثنائات، افشای آن برای اشخاص ثالث، اعتراض، فراگردهای ایمنی، نهادهای مسئول دیدبانی وکنترل جریان «داده پیام»های شخصی بهموجب مواد مندرج در باب چهارم این قانون وآئیننامه مربوطه خواهد بود». در باب چهارم مسئولیت تدوین آییننامههای فرایندهای اعتراض، فراگردهای ایمنی و دیدهبانی و کنترل داده پیامهای شخصی مشخص نیست. گرچه تدوین ضوابط نگاهداری دادههای پزشکی به وزارت بهداشت سپرده شده که از سال ۱۳۸۲ تاکنون انجام نشده است.
سایر قوانین ایالتی حریم خصوصی مصرفکننده کلیدی
کالیفرنیا
قانون ثبت دلال داده سال ۲۰۱۹[20]. این قانون دلالان داده را ملزم میکند که خود را نزد دادستان کل ثبت کنند و اطلاعات خاصی را به او بدهند. در این قانون دلال داده بهعنوان کسبوکاری تعریف میشود که با برخی استثنائات، آگاهانه اطلاعات شخصی مصرفکنندهای که با آن کسبوکار رابطه مستقیم ندارد را خریده و به طرفهای ثالث میفروشد. قانون دادستان کل را مکلف میکند که اطلاعاتی که توسط دلالهای داده تهیه شده است را در وبگاه داخلی خودش در دسترس قرار دهد. دلالهای داده که خود را ثبت نکنند مشمول شکایت و مسئولیت مجازاتهای مدنی، هزینه دادرسی و هزینههای جاری[21] میشوند و هرگونه وصولی به شیوه تعیین شده باید به صندوق حریم خصوصی مصرفکننده واریز شود. متن سند قانونی شامل بخش یافتههای قانونگذار، بیانیه و مقصود از قانونگذاری نیز است.
ورمونت
حفاظت از دادههای شخصی: دلالهای داده[22]- دلالهای داده را ملزم میکند که سالیانه نزد وزارت امور داخلی ایالت ورمانت خود را ثبت کنند. دلالهای داده همچنین باید به مصرفکنندگان اطلاعاتی مشخص شامل نام، پست الکترونیک، آدرسهای اینترنتی دلال داده را بدهند. چه دلال داده به مصرفکننده اجازه بدهد که از گردآوری یا فروش دادهها خارج شود یا اجازه ندهد روش درخواست خروج از قرارداد گردآوری داده، فعالیتهایی که خروج از قرارداد یا فروش مشمول آنها میشوند و اینکه آیا دلال داده به شخص ثالث اجازه میدهد بهجای مصرفکننده او را از قرار داده خارج کند جزو اطلاعاتی است که باید به مصرفکننده بدهند.
همراه با سایر افشاگریها، بیانیهای که در آن گردآوری داده، پایگاههای داده، فعالیتهای فروشی که یک مصرفکننده میتواند از قرارداد آنها خارج شود، وجود یا عدم وجود اعتبارسنجی خریداران اطلاعات، باید ازسوی عرضهکننده خدمات افشا شود. دلالهای داده باید برنامه مکتوب امنیت اطلاعات حاوی تدابیر حفاظت فیزیکی، فنی و مدیریتی برای حفاظت از اطلاعات قابل شناسایی شخصی پیادهسازی و نگاهداری کنند.
در ایران قوانینی که واقعاً مربوط به دلالهای داده باشد وجود ندارد و کسبوکارهای متعددی درحال گردآوری اطلاعات شهروندان در شبکههای اجتماعی مختلف هستند و الزام قانونی هم به افشای اطلاعات ازسوی کسبوکارها وجود ندارد.
نوادا
قانون الزامات حریم خصوصی اطلاعات جمع شده از اینترنت در مورد مصرفکنندگان[23] وبگاهها را ملزم میکند که به کاربران اجازه دهند که از قرارداد مربوط به فروش دادههای شخصی خودشان به اشخاص ثالث خارج شوند. اپراتورها (افرادی که مالک یا ادارهکننده یک وبگاه یا خدمات برخط برای اهداف تجاری هستند یا انواع مشخصی از داده را از افراد مقیم نوادا گردآوری میکنند) را ملزم میکند که یک آدرس مشخص جهت درخواست راهاندازی کنند که مصرفکنندگان از طریق آن بتوانند درخواستی تأیید شده بدهد و اپراتور را به این سمت هدایت کند که هرگونه فروش اطلاعات تحت پوشش قانون مربوط به وی را ممنوع کند. اصطلاح «فروش» در این قانون بهمعنای مبادله اطلاعات تحت پوشش قانون بهدلیل ملاحظات پولی توسط اپراتور به شخص دیگر بهصورتی که شخص بتواند اطلاعات تحت پوشش قانون را به اشخاص دیگری نیز بفروشد. قانون همچنین اپراتورهایی که چنین درخواستهایی دریافت کردهاند را از فروش هرگونه اطلاعات تحت پوشش قانون پیرامون مصرفکننده منع میکند. دادستان کل میتواند برای چنین تحلفاتی احکام قضایی صادر کند یا جرائم مدنی وضع کند.
قانون اصلاحیههای حریم خصوصی اینترنتی سال 2021 نوادا[24] فصل ۲۹۲ این قانون به حریم خصوصی اینترنتی مربوط میشود. این قانون بعضی از معافیتها به بعضی اشخاص خاص داده و اطلاعاتی که در این ایالت در مورد یک مصرفکننده ذخیره شده را از الزامات اپراتورها، دلالان داده و اطلاعات تحت پوشش رفع میکند. درصورتی که مصرفکننده منع کرده باشد، دلال داده از فروش اطلاعات منع میشود. این قانون بعضی تدابیر مربوط به فروش بعضی اطلاعات خاص پیرامون مصرفکننده که از این ایالت گردآوری شدهاند را مورد بازنگری قرار داد.
در ایران قوانینی که کسبوکارها را به ایجاد یک امکان مشخص برای درخواست پاک کردن اطلاعات شخصی افراد بکند، وجود نداشته و قانون مشخصی که به فروش اطلاعات شخصی سامان بدهد نیز وجود ندارد.
حریم خصوصی اطلاعاتی که توسط عرضهکنندگان خدمات اینترنت نگاهداری میشود.
نوادا و مینیاپولیس ارائهدهندگان خدمات اینترنتی را ملزم میکنند که بعضی از اطلاعات در مورد مشتریانشان را خصوصی نگاه دارند، مگر اینکه مشتری خودش اجازه افشای آن اطلاعات را بدهد. مینسوتا نیز ارائهدهندگان خدمات اینترنتی را ملزم میکند که پیش از افشای اطلاعات در مورد عادات مرور برخط و وبگاههای اینترنتی مشاهده شده توسط کاربران از مشترکین کسب اجازه کنند. ایالت مین[25] استفاده، افشا، فروش یا اجازه به دسترسی اطلاعات شخصی مشتری را بدون رضایت صریح مشترک منع میکند. این ایالت همچنین عرضهکننده خدمات را از ممانعت از ارائه خدمت، وضع جریمه یا عرضه تخفیف به مشتری بابت اطلاعات را ممنوع کرده است.[26]
مواد (۳۲) و (۳۳) قانون جرائم رایانهای مصوب سال 1388 به مباحث عرضهکنندگان خدمات اینترنت میپردازد.
«فصل دوم ـ جمعآوری ادله الکترونیکی
مبحث اول ـ نگهداری دادهها
ماده (32) ـ ارائهدهندگان خدمات دسترسی موظفند دادههای ترافیک را حداقل تا ششماه پس از ایجاد و اطلاعات کاربران را حداقل تا ششماه پس از خاتمه اشتراک نگهداری کنند.
تبصره «1»ـ داده ترافیک هرگونه دادهای است که سامانههای رایانهای در زنجیره ارتباطات رایانهای و مخابراتی تولید میکنند تا امکان ردیابی آنها از مبدأ تا مقصد وجود داشته باشد. این دادهها شامل اطلاعاتی ازقبیل مبدأ، مسیر، تاریخ، زمان، مدت و حجم ارتباط و نوع خدمات مربوطه میشود.
تبصره «2»ـ اطلاعات کاربر هرگونه اطلاعات راجع به کاربر خدمات دسترسی ازقبیل نوع خدمات، امکانات فنی مورد استفاده و مدت زمان آن، هویت، آدرس جغرافیایی یا پستی یا پروتکل اینترنتی (IP)، شماره تلفن و سایر مشخصات فردی اوست.
ماده (33) ـ ارائهدهندگان خدمات میزبانی داخلی موظفند اطلاعات کاربران خود را حداقل تا شش ماه پس از خاتمه اشتراک و محتوای ذخیره شده و داده ترافیک حاصل از تغییرات ایجاد شده را حداقل تا پانزده روز نگهداری کنند».
همانطور که در مواد (۳۲) و (۳۳) قانون جرائم رایانهای آمده است، در این قانون نگهداشتن حداقل6 ماه دادههای ترافیکی مشترکین به عرضهکنندگان خدمات دسترسی تکلیف شده است، و عرضه کنندگان خدمات میزبانی هم باید تا ۱۵ روز اطلاعات مشخص شده را نگاهداری کنند، اما بازه زمانی که باید دادهها نابود شوند یا ملاحظات حریم خصوصی تصریح نشدهاند. گرچه بهنظر میرسد احکام حریم خصوصی قانون تجارت الکترونیکی در این حوزه قابل اعمال باشند.
کالیفرنیا
قانون حقوق حریم خصوصی برای اطفال کالیفرنیایی در دنیای دیجیتالی[27] سال ۲۰۱۵ که به قانون پاککن نیز معروف است، به اطفال اجازه میدهد که اطلاعات یا محتوایی که به یک وبگاه اینترنتی، خدمات اینترنتی، برنامه اینترنتی یا برنامه تلفن همراه ارسال کردهاند را پاک کنند یا درخواست دسترسی و پاک کردن آنها را بدهند. این قانون همچنین اپراتور وبگاه یا خدمات برخط که ویژه اطفال ایجاد شده است را از تبلیغات یا بازاریابی محصولات مشخصی که خرید آنها توسط اطفال بهواسطه قانون منع شده است را ممنوع میکند. قانون همچنین تبلیغات و بازاریابی محصولاتی مشخص براساس اطلاعات شخصی خاص اطفال را ممنوع میکند، همینطور استفاده آگاهانه، افشا، جمعآوری یا اجازه به شخص ثالث برای چنین کاری را نیز منع میکند.
دلاور[28]
ممنوعیت تبلیغات و بازاریابی به کودکان[29] یا زیر فصل ۱۲۰۴سی در قانون حریم خصوصی اینترنتی ایالت دلاور،[30] ادارهکنندگان وبگاهها، خدمات رایانش ابری یا برخط، برنامههای کاربردی برخط، یا برنامههای کاربردی تلفن همراه که جامعه هدفشان کودکان هستند، از تبلیغ یا بازاریابی خدمات یا محصولات اینترنتی نامناسب برای کودکان شامل الکل، تنباکو، اسلحه یا هرزهنگاری منع میشوند.
هنگامیکه تبلیغات یا بازاریابی روی یک خدمت اینترنتی معطوف به کودکان توسط یک خدمت تبلیغاتی عرضه میشود، اپراتور خدمات اینترنت موظف است که به خدمترساننده هشدار بدهد که از چه زمانی ممنوعیت تبلیغات و بازاریابی محصولات و خدمات بهصورت مستفیم بر خدمات تبلیغاتی مستقیماً اعمال خواهد شد. قانون همچنین اپراتور یا خدمات اینترنتی که با استفاده از اطلاعات شخصی میداند که کودک از خدمات اینترنتی استفاده میکند را از استفاده از اطلاعات قابل شناسایی کودک برای تبلیغات و بازاریابی خدمات و محصولات به او منع میکند، همچنین افشای اطلاعات قابل شناسایی کودک نیز با دانش نسبت استفاده از آن برای اهداف بازاریابی و تبلیغات آن نوع محصولات و خدمات به کودک ممنوع است.
در ایران قوانین مشابهی که حمایتهای بیشتری از حریم خصوصی کودکان بهوجود بیاورد، وجود ندارد.
آریزونا
بخش 41-151.22 در قانون اطلاعات کتابخانهای در قانون کتابخانههای آریزونا، آرشیوهای عمومی تأسیس شده در دفتر وزارت امور داخلی آریزونا[31] تعیین میکند که کتابخانه یا سیستم کتابخانهای که توسط بودجه عمومی پشتیبانی میشود نباید به هیچگونه رکود اطلاعاتی یا هرگونه اطلاعات شامل کتابهای الکترونیکی مطالعه شده یک کاربر خدمات کتابخانهای اجازه افشا بدهند.
کالیفرنیا
بخشهای 6254، 6267 و 6276 از قانون دولتی کالیفرنیا[32] رکودهای کتابخانهای اشخاص ازقبیل رکوردهای مکتوب یا تراکنشهای الکترونیکی که اطلاعات قرض گرفتن یا استفاده از منابع کتابخانهای شامل و نه محدود به سوابق جستجوی پایگاه داده، سوابق قرض گرفتن کتاب، موسیقی و هرگونه اطلاعات مربوط به درخواست یا جستجوی منابع اطلاعاتی را حفاظت میکند.
بخش 1798.90 قانون مدنی کالیفرنیا[33] یا قانون حریم خصوصی مطالعه کالیفرنیا از اطلاعات پیرامون کتابهایی که کالیفرنیاییها از طریق فروشندگان کتاب برخط و خدمات الکترونیکی دارای اطلاعات تشریحی در مورد خوانندگان، مرور کردهاند، خریدهاند یا خواندهاند، حفاظت میکند. با تعیین یکسری استثنائات ازقبیل خطر آنی مرگ یا صدمه جدی، کسبوکارها برای افشای اطلاعات شخصی مشتریان نیازمند دستور دادگاه، حکم تفتیش[34] یا رضایت صریح مشترک خواهند شد.
دلاور
زیر بخش ۱۲۰۶ پ از قانون حفاظت و حریم خصوصی برخط دلاور[35] با عنوان حریم خصوصی اطلاعات در مورد کاربران خدمات کتاب[36] مفادی مشابه قانون کالیفرنیا در این زمینه دارد و ارائهدهنده خدمات کتاب را مکلف میکند که مگر در صورت معاف شدن، سالیانه گزارشی برخط در زمینه افشای اطلاعات منتشر کند. واحد حفاظت از مصرفکننده در وزارت دادگستری این ایالت موظف به بازرسی و پیگیرد تخلف از قانون میشود.
میسوری
ماده (815) و (۸۱۷) از فصل ۱۸۲ [37]بخش یازده قانون کتابخانهها و آموزش میسوری[38] کتاب الکترونیکی[39] و مواد یا منابع دیجیتالی[40] را تعریف میکند و آنها را به گزینههایی که باید در تعریف مواد کتابخانهای[41] میافزاید که یک مشترک کتابخانه ممکن است استفاده کند، قرض بگیرد، درخواست کند. تعیین میکند که هر شخص ثالث طرف قرار داد با یک کتابخانه که سوابق کتابخانهای را دریافت میکند، انتقال میدهد یا نگهداری میکند، نمیتواند بدون رضایت شخصی که در سوابق شناسایی میشود یا دستور قاضی این اطلاعات را افشا یا منتشر کند.
در ایران قوانینی که بحث حریم خصوصی مطالعه الکترونیکی را مقرراتگذاری کند وجود ندارد.
سیاستهای حریم خصوصی و کردارهای وبگاهها و خدمات برخط
کالیفرنیا
ماده (۲۲۵۷۵) فصل ۲۲ مقررات کسبوکارهای خاص با عنوان الزامات حریم خصوصی اینترنتی سال [42]۲۰۰۳ ادارهکنندگان وبگاههای تجاری یا خدمات برخط را ملزم میکند که سیاستهای حریم خصوصی خود را در زمینه نحوه پاسخ به سیگنال عدم تعقیب مرورگر[43] یا سازوکارهای مشابه و توانایی اعمال انتخاب در مورد تعقیب برخط در یک وبگاه یا خدمات در طول زمان را افشا کنند. همچنین این قانون اپراتور را ملزم میکند که در مورد امکان انجام این قبیل رهگیریها روی خدمات یا وبگاه اپراتور توسط اشخاص ثالث اطلاعرسانی کنند.
فصل ۱۷۹۸ از عنوان1.81.5. قانون حریم خصوصی مصرفکننده کالیفرنیا [44] بعضی شرکتهای خاص را ملزم میکند که اطلاعات مشخص شدهای همچون داشتن یا نداشتن سیاست حریم خصوصی را در یک بیانه یا بیانههای سیاست حریم خصوصی اعلام و آنها را هر ۱۲ ماه بهروزرسانی کنند و بعضی شرکتهای خاص را ملزم میکند که توصیفی از حقوق مصرفکنندگان ذیل بخش 1798.120 که طبق آن یک پیوند مجزا به صفحه اینترنتی ذیل سیاستهای حریم خصوصی با عنوان «اطلاعات شخصی من را نفروشید» قرار داده شود.
ماده ۹۹۱۲۲ قانون شیوهنامه آموزشی کالیفرنیا[45] نهادهای آموزشی دانشگاهی انتفاعی و غیرانتفاعی خصوصی را ملزم میکند که سیاست حریم خصوصی رسانه اجتماعی را بر روی وبگاه اینترنتی مؤسسه ارسال کنند.
کنِتیکت
بخش ۴۲-۴۷۱ [46]قانون حفاظت از شماره تأمین اجتماعی و اطلاعات شخصی[47] هر شخصی که شماره تأمین اجتماعی را در جریانکسبوکار گردآوری میکند را موظف میکند که یک بیانیه سیاست صیانت از حریم خصوصی خلق کند. بیانیه سیاست باید از طریق ارسال آن بر روی یک صفحه وب بهصورت عمومی نمایش داده شود و ۱. از محرمانگی شمارههای تأمین اجتماعی حفاظت کند. ۲. افشای غیرقانونی شماره تأمین اجتماعی را ممنوع کند و ۳. دسترسی به شمارههای تأمین اجتماعی را محدود کند.
دلاور
ماده (205) از فصل دوازدهم یا حمایت از حریم خصوصی شخصی و برخط[48] ذیل زیرعنوان دوم یا دیگر قوانین مرتبط با تجارت و بازرگانی[49] از عنوان دوم قانون تجارت و بازرگانی [50] اپراتور وبگاه اینترنتی تجاری، خدمات رایانش ابری یا برخط، برنامه کاربردی برخط، یا برنامه تلفن هوشمند که اطلاعات قابل شناسایی شخصی را از طریق اینترنت در مورد کاربران منفرد مقیم ایالت دلاور جمع میکنند را ملزم میکند که سیاست حریم خصوصی خودشان را در محلی که بهوضوح قابل مشاهده باشد قرار بدهند. اپراتورها تنها درصورتی ناقض این زیر بخش هستند که ظرف مدت ۳۰ روز از دریافت هشدار در مورد عدم انطباق با قانون سیاست حریم خصوصی خود را بهوضوح قابل مشاهده نکنند. این قانون همچنین شرایط انطباق با قانون را مشخص میکند.
نوادا
ماده (۳۴۰) از فصل الف [51]۶۰۳ قانون امنیت و حریم خصوصی اطلاعات شخصی[52] اپراتور وبگاه اینترنتی یا خدمات برخطی که اطلاعات قابلیت شناسایی شخصی را گردآوری میکند را ملزم میکند که انواع اطلاعاتی که از طریق وبگاه یا خدمات خود گردآوری کرده است را اعلامکند.
اورِگِن[53]
کردارهای تجاری، کسبوکار غیرقانونی[54] در ماده (۶۰۷) از فصل [55]۶۴۶ با عنوان مقررات ضد انحصار و کردارهای تجاری[56] انتشار بیانیههای غلط یا نادرست در مورد سیاستهای حریم خصوصی را غیرقانونی اعلام میکند.
در ایران قوانینی که بهوضوح تکالیف کسبوکارها در زمینه اطلاعرسانی در مورد شیوه مدیریت دادههای شخصی را مشخص کند، وجود ندارد.
اطلاعات غلط و گمراهکننده در زمینه سیاستهای حریم خصوصی
تمامی 50 ایالت متحده آمریکا قوانینی در زمینه کردارها و کنشهای گمراهکننده و غیرمنصفانه دارند که در مورد اطلاعاتی که بهصورت برخط ارسال میشود نیز قابل اعمال است. قوانین نبراسکا[57]، اورِگِن[58] و پنسیلوانیا[59] انتشار بیانیههای حریم خصوصی گمراهکننده یا غلط را جرمانگاری کردهاند.
هشدار در زمینه نظارت بر ارتباطات پست الکترونیکی، دسترسی اینترنتی و اطلاعات مکانی
ایالتهای کنِتیکت[60]، دلاور[61] و نیویورک، کارفرمایان را ملزم میکنند که قبل از نظارت بر ارتباطات پست الکترونیکی یا دسترسی اینترنتی کارمندان به آنها هشدار بدهند. کلرادو[62] و تنسی،[63] ایالتها و دیگر نهادهای عمومی را ملزم میکنند که یک سیاست در زمینه نظارت بر ایمیلهای کارمندان بخش عمومی اتخاذ کنند. هاوایی،[64] کارفرمایان را از اجبار کارمندان به بارگیری برنامه کاربردی بر روی وسایل ارتباطی شخصی کارمندان جهت رهگیری مکان کارمند یا افشای اطلاعاتی شخصی کارمند منع میکند.
در ایران بند «۹» ماده (۱) مصوبه حقوق شهروندی در نظام اداری مصوب 9/11/1395 شورایعالی اداری «اجتناب از رویکردهای سلیقهای، جناحی، تبعیضآمیز و روشهای ناقض حریم خصوصی در فرایند جذب و گزینش» مورد تأکید قرار گرفته، اما مصداقی از موارد نقض حریم خصوصی ذکر نشده است.
سیاستهای حریم خصوصی وبگاههای دولتی
حداقل ۱۶ ایالت، وبگاههای دولتی یا درگاههای دولتی را ملزم میکنند که رویهها و بیانیه سیاست حریم خصوصی تدوین کنند و آن را بهصورت قابلیت خوانده شدن توسط ماشین[65] در وبگاههای خود قرار دهند.
تمامی 50 ایالت متحده آمریکا، ناحیه کلمبیا، گوام، پورتوریکو و جزایز ویرجین، قوانینی دارند که کسبوکارها و در اغلب ایالتها هستارهای دولتی را ملزم میکنند که نشت امنیتی که شامل اطلاعات موجب قابل شناسایی شدن شخص میشود را به افراد هشدار دهند.
قوانین نشت امنیتی عموماً تدابیری درخصوص اینکه چه کسی باید قانون را اعمال کند (مثلاً کسبوکارها، دلالهای داده و اطلاعات، هستارهای دولتی و مانند آن)، تعریف اطلاعات شخصی (مثلاً ترکیب نام و شماره تامین اجتماعی، گواهی رانندگی، کارت هویت ایالتی، شماره حساب و از این قبیل) ، نشت شامل چه چیزهایی میشود (دسترسی غیرمجاز به داده)، الزامات هشدار (مثلاً زمانبندی و شیوه اعلام هشدار، اشخاصی که باید هشدار را دریافت کنند) و معافیتها (مثلاً در مورد اطلاعات رمز شده) دارند.
در ایران قوانینی که کسبوکارها را ملزم به اطلاعرسانی پیرامون نشت اطلاعات کند، وجود ندارد.
گرچه از نظر دایره شمول احکام، قانون تجارت الکترونیکی بسیاری از ظواهر یک قانون جامع را دارد، اما فاقد سازوکارهای اجرایی شفاف برای تحقق امر حفاظت از حریم خصوصی است. مثلاً گرچه به شخص موضوع داده اختیار حذف داده پیامهای شخصی او داده میشود، اما سازوکار اعلام دادههای در اختیار، شیوه درخواست و مهلتهای قانونی مشخص نیستند. نتایج این مطالعه نشان میدهد به طور کلی در توسعه قوانین حمایت از حقوق دادهها و رفع خلأهای قانونی ملاحظات ذیل باید مدنظر قرار گیرد: