بررسی تطبیقی ضمانت اجرای نقض حق بر داده در حقوق اتحادیه اروپا و نظام حقوقی ایران

نوع مقاله : مقاله پژوهشی

نویسندگان

1 دانش‌آموخته دکتری حقوق خصوصی، دانشکده حقوق و علوم سیاسی، دانشگاه فردوسی مشهد، مشهد، ایران؛

2 دانشیار گروه حقوق خصوصی، دانشکده حقوق و علوم سیاسی، دانشگاه فردوسی مشهد، مشهد، ایران (نویسنده مسئول)؛

3 دانشیار گروه حقوق خصوصی، دانشکده حقوق و علوم سیاسی، دانشگاه فردوسی مشهد، مشهد، ایران؛

4 استادیار گروه حقوق خصوصی، دانشکده حقوق و علوم سیاسی، دانشگاه فردوسی مشهد، مشهد، ایران؛

چکیده

حمایت قانونی از داده‌های شخصی به‌عنوان یکی از جنبه‌های حقوق بشر و مصداقی از حقوق شهروندی، ضروری است. حمایت جامع از داده‌های شخصی و اشخاص موضوع داده در برخی کشورها با وجود قوانین و مقررات خاص در این حوزه تحقق یافته است. در این خصوص مقررات عمومی حفاظت از داده اتحادیه اروپا قابل اشاره است که با حمایت‌های همه‌جانبه از داده‌های شخصی به الگویی در این زمینه تبدیل ‌شده است. یکی از ابعاد حمایتی این مقررات، تصریح ضمانت اجراهای نقض حق بر داده‌های شخصی است. جریان عملی ضمانت اجراهای مختلفی که در این مقررات بیان شده است تا حد زیادی این مقررات را به هدف خود یعنی احیای حقوق نقض شده اشخاص موضوع داده و تحقق حمایت کامل از داده‌های شخصی نزدیک کرده است. از مهم‌ترین مصادیق چنین ضمانت اجراهایی، وجود حق جبران خسارت و اعمال جزای نقدی ازسوی مراجع نظارتی است. با تبیین هر‌یک از ضمانت اجراهای یادشده براساس مقررات اروپایی و بررسی تطبیقی آنها در نظام حقوقی ایران، مشخص شد که ضمانت اجراهای پیش‌گفته در حقوق ایران نیز برای نقض حق بر داده‌های شخصی پذیرفتنی است؛ اما حمایت جامع از داده‌های شخصی و تحقق کارآمد این ضمانت اجراها با تصریح قانونگذار حاصل می‌شود.

کلیدواژه‌ها

موضوعات

عنوان مقاله [English]

A Comparative Study on the enforcement guaranty of the Right to Data Protection in the Laws of Iran and the European Union

نویسندگان [English]

  • Mahdia Latifzadeh 1
  • Sayyed Mohammad Mahdi Ghaboli Dorafshan 2
  • Saeed Mohseni 3
  • Mohammad Abedi 4
1 PhD candidate in Private Law, Faculty of Law and Political Science, Ferdowsi University of Mashhad, Mashhad, Iran;
2 Associate Professor, Department of Private Law, Faculty of Law and Political Science, Ferdowsi University of Mashhad, Mashhad, Iran (corresponding author);
3 Associate Professor, Department of Private Law, Faculty of Law and Political Science, Ferdowsi University of Mashhad, Mashhad, Iran;
4 Assistant Professor, Department of Private Law, Faculty of Law and Political Science, Ferdowsi University of Mashhad, Mashhad, Iran;
چکیده [English]

Legal protection of personal data is essential as an aspect of human rights and an example of citizenship rights. Comprehensive protection of personal data and individuals that are subjects of data collection has been realized in some countries despite special laws and regulations in this field. In this regard, it is worth mentioning the general data protection regulations of the European Union, which is a model for comprehensive protection of personal data. One of the protective dimensions of these regulations is the specification of the guarantee of the implementation of any measure against the violation of the right to personal data. The law enforcement procedures expressed in these regulations has brought these regulations closer to their goal, i.e. restoring the violated rights of the individuals in relation to the data and realizing the full protection of personal data. One of the most important examples of such enforcement guaranty is the existence of the right to compensation and the imposition of fines by regulatory authorities. By explaining each of the aforementioned enforcement procedures based on European regulations and their comparative analysis in Iran's legal system, it was found that the enforcement guarantees are also acceptable in Iranian law for violating the right to personal data; However, the comprehensive protection of personal data and the efficient realization of this enforcement guarantees are achieved by the legislator's stipulation.

کلیدواژه‌ها [English]

  • data subjects
  • Fine
  • the right to compensation
  • personal data
  • EU General Data Protection Regulation

اصل مقاله

مقدمه

استفاده از داده‌های شخصی[2] با گسترش ابزارهای دیجیتال و افزایش قابلیت‌های فناوری روزبه‌روز در حال افزایش است. بسترهایی که افراد به‌طور مداوم با آنها سروکار دارند، داده‌های شخصی را جمع‌آوری، پردازش[3] و به شیوه‌های مختلف از آنها استفاده می‌‌کنند. درواقع به‌دلیل اهمیت اقتصادی داده‌ها،[4] تمایل به پردازش و استفاده از داده‌های شخصی افزایش‌ یافته که در‌عین‌حال چالش‌های حریم خصوصی را نیز به‌دنبال دارد. با افزایش استفاده از داده‌ها و ارزشمندی آنها، ضرورت حمایت از حریم خصوصی اشخاص و داده‌های شخصی‌ بیشتر احساس می‌شود. حفاظت از داده‌های شخصی اشخاص حقیقی، از حقوق شهروندی و از جنبه‌های حقوق بشر است. حق بر حریم خصوصی اطلاعاتی و حفاظت از داده‌های شخصی، در اسناد ملی و بین‌المللی مختلفی به‌عنوان جنبه‌ای از حقوق بشر مورد تصریح قرار گرفته است، به‌عنوان نمونه ماده (12) اعلامیه جهانی حقوق بشر، حق بر حریم خصوصی (با همه اقسام آن ازجمله حق بر حریم خصوصی اطلاعاتی) را به‌عنوان حق اساسی به رسمیت شناخته است (United Nations, 2015: 26). همچنین در اتحادیه اروپا، حریم خصوصی و حمایت از داده، دو حق حیاتی هستند (European Data Protection Supervisor, n.d.) که در مواد (7) و (8) منشور حقوق اساسی اتحادیه اروپا (EUR-Lex, 2012: 397) و ماده (8) کنوانسیون اروپایی حقوق بشر (Council of Europe, 1950: 11) مقرر شده‌اند.

با لحاظ مطالب پیش‌گفته وجود بستر‌های قانونی برای حفاظت از داده‌های شخصی ضروری است. حمایت قانونی از داده‌های شخصی و اشخاص موضوع داده در برخی نظام‌های حقوقی مانند اتحادیه اروپا عملی شده است. اتحادیه اروپا با تصویب مقررات عمومی حفاظت از داده[5] درخصوص حمایت از داده‌ شخصی در سال 2016 و لازم‌الاجرا شدن آن در سال 2018 همه کشورهای عضو اتحادیه اروپا را ملزم به حمایت حداکثری از داده‌های شخصی و اشخاص موضوع داده کرده است. مقررات عمومی حفاظت از داده اتحادیه اروپا الزامات مختلفی را مقرر کرده است تا اشخاص حقیقی، به‌طور کامل از حق بر حریم خصوصی اطلاعاتی و حفاظت از داده‌های شخصی‌شان به‌عنوان یکی از جنبه‌های حقوق بشر، بهره‌مند شوند. حمایت‌های حداکثری این مقررات در مواد مختلفی بیان ‌شده است. یکی از اساسی‌ترین جنبه‌های حمایت از داده‌های شخصی به‌موجب این مقررات، جریان حقوق مختلف برای اشخاص موضوع داده در راستای تحقق کامل حق بر حریم خصوصی اطلاعاتی و حفاظت از داده‌های شخصی به‌عنوان یکی از ابعاد حقوق بشر است. در مقابلِ حقوق اشخاص موضوع داده، اشخاص پردازش‌کننده داده (کنترل‌کننده‌ها و پردازنده‌ها)[6] تعهدات مختلفی دارند و به رعایت تکالیف متعدد و اصول حاکم بر پردازش ملزم هستند. همه اشخاص پردازش‌کننده داده باید الزامات این مقررات را درخصوص پردازش رعایت کنند و در صورت تخلف از تعهدات و عدم رعایت اصول (نقض حمایت از داده‌های شخصی)، با ضمانت اجرا مواجه خواهند شد. در این راستا مقررات عمومی حفاظت از داده اتحادیه اروپا، در مواد مختلف ضمانت اجراهای متفاوتی را مقرر کرده است. اهم این ضمانت اجراها، حق جبران خسارت به‌موجب ماده (82) (ضمانت اجرای مدنی) و جزای نقدی مطابق با ماده (83) (ضمانت اجرای کیفری) مقررات پیش گفته ست.

در این پژوهش با تبیین چگونگی ضمانت اجراهای مذکور، جریان این موارد را در نظام حقوقی ایران امکان‌سنجی می‌کند. البته ایران درخصوص حفاظت از داده‌های شخصی، قانون مستقل ندارد و بالتبع ضمانت اجراهای خاص نیز برای نقض حمایت از آن پیش‌بینی ‌نشده است؛ اما با ارائه پیش‌نویس لایحه‌ «صیانت و حفاظت از داده‌های شخصی» در تیرماه 1397 ـ منتشر شده در سایت سازمان فناوری اطلاعات ایران ـ[7] و طرح «حمایت و حفاظت از داده و اطلاعات شخصی» اعلام وصول‌ شده در صحن علنی مجلس در شهریورماه 1400،[8] در این خصوص گام‌هایی برداشته‌ است؛ اما این اقدام‌ها برای حمایت از داده‌های شخصی کافی نیست. بدین‌جهت و با عنایت به فقدان قانون مستقل در‌خصوص حمایت از داده‌ شخصی، در نظام حقوقی ایران، حمایت از داده‌های شخصی و اشخاص موضوع داده باید از خلال قوانین موضوعه، دکترین حقوقی، مبانی حقوق ایران و فقه امامیه استنباط شود. موضوع پژوهش حاضر نیز از این امر مستثنا نیست و چگونگی ضمانت اجرای نقض حمایت از داده‌ شخصی از منابع مختلف ایران استخراج خواهد شد.

  1. 1. حق جبران خسارت (ضمانت اجرای مدنی)

حق جبران خسارت در دو فرض انجام پردازش با هوش انسانی یا هوش مصنوعی متفاوت است. در موارد بسیاری پردازش داده‌های شخصی با هوش انسانی انجام می‌شود و اشخاص پردازش‌کننده‌ داده انسان‌ها هستند (گرچه ممکن است از ماشین‌ها نیز استفاده شود). در مقابل نیز فرضی وجود دارد که اصل پردازش ازسوی هوش‌های مصنوعی[9] انجام‌ می‌شود و اشخاص پردازش‌کننده‌ داده ماشین‌ها و دستگاه‌ها هستند. در‌خصوص حق جبران خسارت، ورود به مسئله هوش‌های مصنوعی و بررسی مختصر آن در‌خصوص حفاظت از داده شخصی مهم به‌نظر می‌رسد. درواقع بررسی این مسئله بایسته است که اگر در فرایند پردازش، هوش مصنوعی دخیل باشد و به شخص موضوع داده، ضرر وارد شود، چنین ضرری چگونه باید جبران شود. بدین‌ترتیب ابتدا به تبیین حق جبران خسارت در صورت پردازش با هوش انسانی (مبحث 1-1) و سپس این امر در صورت پردازش با هوش مصنوعی مورد بررسی قرار خواهد گرفت (مبحث ۲-۱).

۱-۱. تبیین حق جبران خسارت در صورت پردازش با هوش انسانی

درصورتی‌که اشخاص پردازش‌کننده داده انسان‌ها باشند، حق جبران خسارت به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا (مبحث 1-1-1) و نظام حقوقی ایران قابل‌ بررسی است (۲-1-۱).

1-1-1. تبیین حق جبران خسارت در صورت پردازش با هوش انسانی به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا  

حق جبران خسارت در ماده (82) این مقررات لحاظ شده است: «1. هر شخصی که درنتیجه‌ نقض این مقررات دچار آسیب مادی یا معنوی شده‌ است، حق دریافت غرامت از کنترل‌کننده یا پردازنده برای خسارت وارد شده دارد. 2. هر کنترل‌کننده‌ دخیل در پردازش، مسئول آسیب ناشی از پردازشی است که این مقررات را نقض کرده است. پردازنده تنها در‌صورتی مسئول آسیب ناشی از پردازش است که از الزامات این مقررات به‌طور خاص در مورد پردازنده‌ها پیروی نکرده باشد یا درصورتی‌که خارج یا برخلاف دستورالعمل‌های قانونی کنترل‌کننده عمل کرده باشد. 3. کنترل‌کننده یا پردازنده از مسئولیت بند «۲» معاف هستند، اگر ثابت کنند که به‌هیچ‌وجه مسئول حادثه‌ موجب خسارت نیستند. 4. در جایی‌که بیش از یک کنترل‌کننده یا پردازنده، یا کنترل‌کننده و پردازنده هر دو، در یک پردازش دخیل باشند آنها به‌موجب بند‌های «۲» و «۳»، مسئول هرگونه آسیب ناشی از پردازش هستند، هر کنترل‌کننده یا پردازنده باید مسئول کل خسارت باشد تا از جبران مؤثر برای شخص موضوع داده اطمینان حاصل شود. 5. در جایی‌که کنترل‌کننده یا پردازنده، مطابق با بند «۴» غرامت کاملی را برای ضرر وارد شده، پرداخت ‌کرده است، آن کنترل‌کننده یا پردازنده حق دارد به سایر کنترل‌کننده‌ها یا پردازنده‌های دخیل در همان پردازش که بخشی از غرامت مربوط به مسئولیت آنهاست، مطابق با شرایط مذکور در بند «۲»، جهت بازیافت غرامت به نسبت مسئولیت رجوع کند. 6. اقامه‌ دعوی برای اعمال حق بازیافت غرامت، باید به‌موجب قانون کشور عضو مذکور در ماده (79) بند «۲»، در دادگاه‌های صالح طرح شود» (EUR-Lex, 2016: 81-82). این ماده حق جبران کامل خسارات برای هرگونه آسیب - مادی یا معنوی - ناشی از نقض این مقررات  را بیان می‌کند. این حق به مراحل خاصی از پردازش داده یا فعالیت‌های پردازشی خاص محدود نیست. به‌علاوه، نقض در این مقررات به‌طور موسع تفسیر می‌شودبدین جهت شامل پردازش‌هایی است که قواعد این مقررات یا مصوبات مستند به این مقررات یا قانون کشورهای عضو اتحادیه اروپا را نقض می کند. (Voigt and Von Dem Bussche, 2017: 205, 207).

هریک از بند‌های ماده (82) به شرح ذیل قابل توضیح است. مطابق ماده (82) بند «1» ، خسارت شامل آسیب‌های مادی و معنوی است، زیرا پیامد نقض داده می‌تواند به‌طور گسترده‌ای متفاوت باشد و غالباً ماهیت ناملموس مانند تبعیض اجتماعی، استرس روانی یا لطمه به شخصیت افراد را به‌دنبال دارد.[10] افراد باید غرامت کامل و مؤثری برای خساراتی دریافت کنند که متحمل شده‌اند (European Commission, n.d.-a). خسارت باید به‌طور موسع همان‌گونه تفسیر شود که در آیین دادرسی دیوان دادگستری اتحادیه‌ اروپا قابل‌ملاحظه است. مطابق با رویه‌ قضایی دیوان دادگستری اتحادیه‌ اروپا حق جبران خسارت باید «اثر بازدارندگی واقعی»[11] بر واردکننده‌ زیان داشته‌ باشد، به همین علت حداکثر خسارت لحاظ می‌شود. برای نمونه می‌توان به رأی شماره C-407/14 مورخ 17 دسامبر 2015 اشاره کرد. این رأی مربوط به دادرسی بین خانم Arjona Camacho  علیه Securitas Seguridad España SA - شرکت امنیتی سوئدی- است که با حکم دیوان شرکت سوئدی ملزم به پرداخت «خسارت تنبیهی»[12] به خانم Arjona Camacho  پس از برکناری وی به‌دلیل تبعیض جنسیتی شد (به‌دلیل لزوم برابری زن و مرد در محیط شغلی). درواقع دیوان حکم کرد که به‌منظور مؤثر بودن حق جبران خسارت، غرامت پرداخت‌ شده به کارمند باید درخصوص آسیب‌های متحمل شده کافی باشد تا جبران خسارت اثر بازدارندگی واقعی داشته باشد (CURIA, 2015: 7). در‌عین‌حال وظیفه دادگاه و قاضی است که تمام شرایط و اینکه نقض تا چه حد جدی بوده و تأثیر آن را بر شخص موضوع داده در نظر گیرد.

دادگاه می‌تواند در شرایط خاصی له یا علیه شخص موضوع داده حکم دهد. به‌طور مثال، اگر مشخص شود که برای شخص موضوع داده، صرفاً ناراحتی کمی رخ‌ داده است، دادگاه حکم به جبران خسارت و پرداخت غرامت نخواهد داد (ICO, n.d.-a). به‌علاوه، ازآنجایی‌که در ماده (82) بند «1» واژه «هر شخصی» مورد استفاده قرار گرفته است، نه‌تنها اشخاص موضوع داده می‌توانند درخواست غرامت کنند، بلکه هر شخص دیگری که متحمل خسارت ناشی از نقض مفاد این مقررات شده است نیز می‌تواند درخواست غرامت کند؛ البته به موجب این مقررات مشخص نیست که چه کسانی غیر از اشخاص موضوع داده مستحق غرامت هستند؛ بدین جهت وظیفه دادگاه است که چنین امری را تبیین کند (Ungureanu, 2018: 39). همچنین برای وجود حق جبران خسارت، باید رابطه‌ سببیت[13] بین نقض این مقررات و خسارت وجود داشته‌ باشد که به‌موجب ماده (82) بند «۱» هر فردی که آسیب ببیند می‌تواند مطالبه‌ غرامت کند. البته حق جبران خسارت قبل از هرچیز شخص موضوع داده را نسبت به جبران خسارت محق می‌کند؛ بااین‌حال این مفاد سایر افراد را نیز که متحمل خسارت شده‌اند، محق می‌سازد؛ اما باید به وجود رابطه سببیت کافی بین آسیب به شخص ثالث و نقض قانون حفاظت از داده ـ مقررات عمومی حفاظت از داده اتحادیه اروپا یا سایر قوانین حفاظت از داده ملی ـ توجه کرد. اشخاص پردازش‌کننده داده باید آگاه باشند که وجود حق جبران خسارت به‌موجب ماده (82) به مطالبه‌ غرامت ناشی از نقض مقررات دیگر در قانون کشورهای عضو اتحادیه اروپا و یا اتحادیه اروپا خللی وارد نمی‌کند، بنابراین کنترل‌کننده‌ها و پردازنده‌ها ممکن است با مطالبات بیشتری به‌موجب قانون مدنی ملی و در زمینه‌های قراردادی یا به‌موجب قانون مسئولیت مدنی یا دیگر بسترهای قانونی مواجه شوند (Voigt and Von Dem Bussche, 2017: 205-206).

ماده (82) بند «2» این مقررات نسبت به بسترهای قانونی سابق در اتحادیه اروپا به‌عنوان یک نوآوری قابل‌اشاره است زیرا پردازنده مستقیماً مسئول نقض تعهداتش به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپاست و زیان‌دیده می‌تواند در دادگاه مستقیماً علیه پردازنده طرح دعوی کند. در این صورت هم کنترل‌کننده و هم پردازنده در مقابل شخص موضوع داده مسئول هستند و نظام مسئولیت تجمعی[14] جریان دارد. علت مسئولیت کنترل‌کننده این است که به‌عنوان اصل و به‌طورکلی مسئولیت پردازش غیرقانونی برعهده کنترل‌کننده است و هرگونه آسیب ناشی از پردازش، بدون توجه به اینکه آیا کنترل‌کننده به‌طور مستقیم باعث آسیب شده‌ است یا خیر، باید ازسوی کنترل‌کننده جبران شود. مسئولیت جامع کنترل‌کننده به‌دلیل نقش اصلی در تعیین اهداف و ابزار پردازش و همچنین اختیارات کنترل‌کننده برای دستور به پردازنده در مورد چگونگی انجام پردازش است. با وجود این، به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا پردازنده نیز مسئول است، البته با توجه به اینکه پردازنده از جانب کنترل‌کننده عمل می‌کند، مسئولیت پردازنده محدود به خسارات ناشی از نقض تعهداتش به‌موجب این مقررات درصورتی است که خارج یا خلاف دستورات قانونی کنترل‌کننده اقدام کرده باشد (Bredin and Riordan, 2017: 1).

براساس ماده (82) بند «3» این مقررات ، درصورتی‌که کنترل‌کننده یا پردازنده، ثابت کند که به‌هیچ‌وجه مسئول واقعه منجر به خسارت نیست، از مسئولیت معاف است. در مقایسه با دستورالعمل حفاظت از داده (بستر قانونی سابق اتحادیه اروپا درخصوص حفاظت از داده) استاندارد اثبات به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا افزایش ‌یافته است؛ بنابراین استفاده از معافیت، برای اشخاص پردازش‌کننده داده سخت‌تر خواهد بود؛ زیرا حتی کوچک‌ترین دخالت در واقعه‌ای که باعث خسارت شده‌ باشد؛ مسئولیت را در پی دارد و هدف از این بند ماده (82)، صرفاً معافیت کنترل‌کننده‌ها و پردازنده‌هایی است که به‌طور کامل به تعهدات خود براساس مقررات عمومی حفاظت از داده اتحادیه اروپا عمل کرده‌اند. البته باید توجه داشت معافیت در جایی‌که کنترل‌کننده و پردازنده بتواند تحقق تعهداتش را اثبات کند، اما مانع از وقوع خسارت نشود، اعمال نمی‌شود. برای ‌مثال یک کنترل‌کننده همه الزامات و تعهدات خود را براساس این مقررات برای فعالیت‌های پردازشی‌اش انجام داده است، با وجود این، شخص ثالث به داده‌های شخصی دسترسی پیدا می‌کند و کنترل‌کننده به تشخیص علت آن قادر نیست و درنتیجه‌ با افشای داده‌ها، اشخاص موضوع داده‌ آسیب می‌بینند. در این مثال، کنترل‌کننده، تعهدات خود را براساس مقررات عمومی حفاظت از داده اتحادیه اروپا  انجام داده است، اما به‌رغم آن، نتوانسته مانع از دسترسی شخص ثالث به داده‌ها شود. بااین‌حال چون نمی‌توان با قطعیت گفت که کنترل‌کننده به‌هیچ‌وجه مسئول دسترسی شخص ثالث نبوده است، کنترل‌کننده مسئول است (Voigt and Von Dem Bussche, 2017: 208).

همچنین مطابق ماده (82) بند «4» این مقررات و به‌منظور تضمین جبران خسارت مؤثر برای شخص موضوع داده در فرضی که چندین کنترل‌کننده یا پردازنده وجود دارند، هر کنترل‌کننده و پردازنده به‌صورت جداگانه، مسئول جبران خسارت است؛ بنابراین هریک از آنها مسئول کل خسارت هستند. مفاد این ماده، اِعمال مطالبه برای شخص موضوع داده یا دیگر مدعیان را ساده می‌کند؛ زیرا آنها می‌توانند انتخاب کنند که علیه یکی از اطراف مسئول که معمولاً تواناترین نسبت به پرداخت خسارت است، اقدام کنند (مسئولیت تضامنی). بااین‌حال، رابطه درونی بین اطراف مسئول، تابع اصل مسئولیت نسبی است (Bredin and Riordan, 2017: 2). به‌موجب ماده (82) بند «5» نیز طرف مسئول که غرامت کامل را پرداخت کرده است، می‌تواند به دیگر کنترل‌کننده‌ها یا پردازنده‌های دخیل در آن بخشی از خسارت که مربوط به مسئولیت آنهاست، رجوع کند.

درنهایت باید به ماده (82) بند «6» مقررات عمومی حفاظت از داده اتحادیه اروپا پرداخت که اقامه دعوی را به ماده (79) بند «2» ارجاع داده است. طبق ماده (79) بند «۲» این مقررات «اقامه‌ دعوی علیه کنترل‌کننده یا پردازنده، باید در دادگاه‌های کشور عضوی طرح شود که کنترل‌کننده یا پردازنده مقر دارند. همچنین اقامه‌ دعوی می‌تواند در دادگاه‌های کشور عضوی طرح شود که محل اقامت عادی شخص موضوع داده است، مگر اینکه کنترل‌کننده یا پردازنده مرجع عمومی از یک کشور عضو باشد که در جهت اعمال اختیارات عمومی خود عمل می‌کند» (EUR-Lex, 2016: 80).

1-1-2. بررسی حق جبران خسارت در صورت پردازش با هوش انسانی در نظام حقوقی ایران

برای بررسی و چگونگی جریان ماده (82) مقررات عمومی حفاظت از داده اتحادیه اروپا در نظام حقوقی ایران، همان‌طور که در فراز سابق به هر بند به‌صورت مجزا پرداخته شد، در این قسمت نیز به هر بند جداگانه اشاره می‌شود. درخصوص بند «۱» ماده (۸۲) می‌توان گفت، در نظام حقوقی ایران نیز حق جبران خسارت به‌عنوان یکی از آثار مسئولیت مدنی و به‌عنوان یک قاعده‌ عمومی و مصرح در مواد قانونی،[15] وجود دارد. بدین‌جهت با توجه به موجبات متفاوت ضمان قهری ازیک‌سو (غصب، اتلاف، تسبیب و ...) و ماهیت داده‌های شخصی از‌سوی‌دیگر (وجود بُعد مالی برای داده‌های شخصی) در صورت ورود ضرر به شخص موضوع داده، چنین شخصی می‌تواند با استناد به هر‌یک از موجبات ضمان، متناسب با شرایط مختلف از حق جبران خسارت استفاده کند.

 فارغ از اینکه هدف از جبران خسارت، ترمیم وضع زیان‌دیده و بازگرداندن وی به‌ حالت پیشین است، در‌خصوص بحث جبران خسارت، جنبه‌ تنبیهی خسارت یا در اصطلاح «خسارت تنبیهی»[16] نیز قابل‌بررسی است. این خسارت غرامتی است که دادگاه، درصورتی‌که ضرر ناشی از تقصیر عمدی یا تقصیر سنگین یا تقصیر سودآور واردکننده‌ زیان باشد، به‌منظور تنبیه و مجازات مدنی وی، تعیین می‌کند و به زیان‌دیده پرداخت می‌شود. این نوع خسارت جنبه پیشگیرانه دارد که در کشورهای کامن‌لا به‌ویژه در ایالات ‌متحده آمریکا رایج است (صفایی و رحیمی، 1397: 515). چنین خسارتی در رویه‌ قضایی اتحادیه اروپا نیز قابل‌مشاهده است که نمونه‌ای از آن در پرونده خانم Arjona Camacho  علیه Securitas Seguridad España SA ـ شرکت امنیتی سوئدی ـ بیان شد.

در قوانین موضوعه ایران به جنبه‌ تنبیهی خسارت و اثر بازدارندگی آن به‌عنوان قاعده عمومی اشاره نشده است و صرفاً در برخی مواد قانونی[17] مصادیقی از خسارت تنبیهی قابل‌مشاهده است (همان: 257). البته به چنین خسارتی به‌صراحت در «قانون صلاحیت دادگستری جمهوری اسلامی ایران برای رسیدگی به دعاوی مدنی علیه دولت‌های خارجی» مصوب 1390 اشاره‌ شده است. به‌موجب ماده (4) این قانون، ملاک در میزان تقویم خسارت تنبیهی اصل عمل متقابل است. در‌عین‌حال به‌دلیل عدم عنایت کافی نظام حقوقی ایران به خسارت تنبیهی، جریان چنین خسارتی در نگاه اول نسبت به نقض داده‌های شخصی ممکن نیست. البته تعیین چنین خسارتی به‌دلیل تقویت اثر بازدارندگی خسارت، پیشنهاد می‌شود. در این راستا جریان آن در هر مورد، به اوضاع ‌و احوال پرونده بستگی دارد و این وظیفه‌ قاضی است که به‌تناسب هر پرونده درخصوص وجود چنین خسارتی تصمیم گیرد. مؤید برای مناسب بودن جریان خسارت تنبیهی درخصوص حفاظت از داده‌ شخصی می‌تواند ماده (64) پیش‌نویس لایحه‌ «صیانت و حفاظت از داده‌های شخصی» (ماده (49) طرح «حمایت و حفاظت از داده و اطلاعات شخصی») باشد که بیان می‌کند «مرجع صلاحیت‌دار قضایی یا انتظامی می‌تواند متناسب با نوع و گستره آسیب حیثیتی وارده، میزان جبران‌پذیر و زیان‌های مادی ناشی از آن، مرتکب را به پرداخت جریمه تنبیهی یا محدودیت‌های اجتماعی در حق آسیب‌دیده محکوم نماید. شیوه‌نامه تعیین و تقویم زیان‌های مادی ناشی از پردازش غیرمجاز داده‌های شخصی و نحوه اعاده حیثیت ناشی از ورود آسیب‌های معنوی و جریمه به پیشنهاد کارگروه‌های تخصصی به تصویب کمیسیون می‌رسد».

همان‌طور که قابل‌ملاحظه است این ماده برای آسیب‌های ناشی از نقض داده‌ شخصی، خسارت تنبیهی را پیشنهاد کرده است. البته اشاره به خسارت تنبیهی با پیش‌نویس مذکور بدون اشکال نیست. چنین اشکالی عدم اشاره مجزا به خسارت تنبیهی یا اشاره جزئی در ضمن یکی از مواد است. آخرین نکته درباره بند «۱» ماده (82) مقررات عمومی حفاظت از داده اتحادیه اروپا لزوم وجود رابطه‌ سببیت بین نقض این مقررات و خسارت وارده است. در نظام حقوقی ایران نیز رابطه‌ سببیت به‌عنوان یکی از ارکان جریان مسئولیت مدنی برای وجود حق جبران خسارت ضروری است (کاتوزیان، 1395، ج ۱: 434 ؛ صفایی و رحیمی، 1398: 204).

درخصوص بند «2» ماده (82) مقررات عمومی حفاظت از داده اتحادیه اروپا باید گفت، به‌موجب این بند و برخلاف سایر بسترهای قانونی سابق در اتحادیه اروپا، این مقررات پردازنده را مسئول تعهدات خود می‌داند و اشخاص موضوع داده می‌توانند مستقیماً با پردازنده روبه‌رو شوند و علیه وی اقامه‌ دعوی کنند. رویه‌ قانونی سابق در اتحادیه اروپا که مسئولیت نقض تعهدات پردازنده را نیز برعهده‌ کنترل‌کننده می‌دانست، از منظر حقوق ایران خلاف اصل بود و این بند از مقررات عمومی حفاظت از داده اتحادیه اروپا موافق اصل است؛ زیرا اصل بر شخصی بودن مسئولیت برمبنای قاعده‌ وزر[18] است (یزدانیان، 1395، ج ۲: 187) و مسئولیت ناشی از فعل غیر، خلاف اصل است که جنبه‌ حمایتی دارد و برای این است که زیانی بدون جبران باقی نماند (کاتوزیان، 1394، ج ۲: 5). در حال حاضر اتحادیه اروپا مبنای خود را با مسئول دانستن پردازنده تغییر داده و موافق با اصل شخص بودن مسئولیت عمل کرده است که در راستای هدف این مقررات یعنی حمایت حداکثری از اشخاص موضوع داده است (درواقع حمایت حداکثری، با لحاظ این امر محقق شده است که کنترل‌کننده در حالت کلی مسئول است و علاوه بر کنترل‌کننده، پردازنده نیز به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا مسئول شناخته می‌شود). در نظام حقوقی ایران ازآنجایی‌که به کنترل‌کننده، پردازنده و مسئولیت آنها در بسترهای قانونی اشاره نشده باید مطابق با اصل یعنی شخصی بودن مسئولیت عمل کرد؛ بنابراین هر شخصی که داده‌های شخصی را پردازش می‌کند و موجب ورود ضرر به شخص موضوع داده‌ می‌شود، مسئول جبران خسارت است. البته به‌دلیل لزوم حمایت حداکثری از اشخاص موضوع داده باید مسئولیت کنترل‌کننده همچنان وجود داشته باشد. این امر در مقررات عمومی حفاظت از داده اتحادیه اروپا نیز لحاظ شده است و با وجود مسئول دانستن پردازنده، همچنان کنترل‌کننده نیز مسئول است مبنای این تعهد جریان مسئولیت تجمعی بوده که جنبه‌ای از مسئولیت ناشی از فعل غیر است. به این موضوع در ماده (61) پیش‌نویس لایحه‌ «صیانت و حفاظت از داده‌های شخصی» اشاره‌ شده است. این ماده مقرر می‌کند «کنترل‌گر موظف است حسب درخواست زیان‌دیده تمامی ضرر و زیان وارده به شخص موضوع داده را جبران کند. در صورت عدم جبران ضرر و زیان، موضوع حسب شکایت زیان‌دیده از طریق مراجع قضایی پیگیری خواهد شد». هدف از وضع این مفاد حمایت از شخص موضوع داده و عدم خسارت بدون جبران است. همچنین در این خصوص تبیین رابطه‌ بین کنترل‌کننده و پردازنده نیز می‌تواند راهگشا باشد. توضیح اینکه پردازنده[19] به‌معنای شخص حقیقی یا حقوقی، مرجع عمومی یا نهاد دیگری است که از جانب کنترل‌کننده، پردازش داده‌های شخصی را انجام می‌دهد (EUR-Lex, 2016: 33). پردازنده داده‌های شخصی را فقط به نمایندگی از کنترل‌کننده[20] پردازش می‌کند و باید پردازش مطابق با استانداردهای مقررات عمومی حفاظت از داده اتحادیه اروپا باشد و حفاظت از حقوق افراد را تضمین کند. وظایف پردازنده نسبت به کنترل‌کننده باید در یک قرارداد یا با اقدام حقوقی دیگری مشخص شود[21] (European Commission, 2018). با توجه به آنچه بیان شد، روشن است که پردازنده به نمایندگی از کنترل‌کننده عمل می‌‌کند. بدین‌ترتیب به‌نظر می‌رسد بتوان در مورد جبران خسارت از ماده (12) قانون مسئولیت مدنی[22] نیز استفاده کرد. البته جریان ماده مذکور نسبت به کنترل‌کننده و پردازنده، زمانی صحیح است که رابطه‌ بین کارگر و کارفرما نیز نمایندگی تلقی شود.[23] با فرض جریان این ماده، به‌موجب حقوق ایران کنترل‌کننده، مسئول جبران خسارت است و زیان‌دیده نمی‌تواند مستقیماً به پردازنده مراجعه کند. درواقع صرفاً کنترل‌کننده حق مراجعه به پردازنده‌ واردکننده زیان را دارد. البته این استنباط در جهت حمایت حداکثری از شخص موضوع داده (زیان‌دیده) نیست؛ چراکه حق مراجعه مستقیم به پردازنده را سلب می‌‌کند ( فقدان وجود مسئولیت تضامنی بین کنترل‌کننده و پردازنده).

درخصوص بند «3» ماده (82) مقررات عمومی حفاظت از داده اتحادیه اروپا که مبین عدم مسئولیت اشخاص پردازش‌کننده داده در مواردی که ثابت کنند به‌هیچ‌وجه مسئول حادثه‌ موجب خسارت نیستند، باید گفت در حقوق ایران این بند قابل‌تطبیق با بحث قوای قاهره و معاف شدن از مسئولیت با وجود قوه قاهره است. به‌موجب دکترین حقوقی، قوه قاهره حادثه‌ خارجی، غیرقابل‌پیش‌بینی و احترازناپذیر است و ملاک جریان آن معیار نوعی است (کاتوزیان، 1395، ج ۱: 479؛ صفایی و رحیمی، 1398: 213). مصادیق این امر که در مواد قانونی نیز بدان اشاره شده است،[24] در معنای عام خود حادثه‌ طبیعی، فعل شخص ثالث و فعل متضرر است (ر.ک. صفایی و رحیمی، 1397: 41۵-41۲). با وجود این به‌نظر می‌رسد، صرف وجود هریک از مصادیق قوه قاهره براساس مقررات عمومی حفاظت از داده اتحادیه اروپا موجب معافیت از مسئولیت نیست؛ زیرا درخصوص این بند از مقررات بیان‌ شده «در جایی‌که کنترل‌کننده و پردازنده بتواند تحقق تعهداتش را اثبات کند، اما این امر نتواند مانع از وقوع خسارت شود، معافیت اعمال نمی‌شود» (Voigt and Von Dem Bussche, 2017: 208).

درواقع نگاه این مقررات درخصوص مسئولیت سخت‌گیرانه است و از منظر مقررات عمومی حفاظت از داده اتحادیه اروپا انجام اقدام‌ها و تعهدهای اشخاص پردازش‌کننده داده باید برای جلوگیری از ضرر کافی باشد، در غیر این صورت معافیت وجود ندارد. مشابه این امر در حقوق ایران نیز وجود دارد. به‌عنوان نمونه در جایی‌که فعل شخص ثالث موجب خسارت است (که از مصادیق قوه قاهره است)؛ اما خوانده موظف به حفظ اموال خواهان بوده است، معافیت از مسئولیت وجود ندارد؛ مانند مستخدمی که موظف به قفل کردن در منزل است و با اجرا نکردن این کار، موجب ورود سارق به منزل و دزدیده شدن اموال می‌شود (همان: 41۴-41۳)؛ بنابراین با وجود ارزشمندی و مال بودن داده‌های شخصی می‌توان سخت‌گیری موجود در مقررات عمومی حفاظت از داده اتحادیه اروپا را برای حقوق ایران جاری دانست و گفت اشخاص پردازش‌کننده داده در شرایط مختلف، مسئول جبران خسارت هستند مگر اینکه به‌هیچ‌وجه مسئول وقوع حادثه‌ موجب خسارت نبوده و اقدام‌های لازم و کافی را در جهت انجام تعهدات خود و عدم وقوع خسارت انجام داده باشد. البته ذکر این نکته مفید است که ید اشخاص پردازش‌کننده داده با توجه به نوع تصرف آنها در داده‌های شخصی، متفاوت است. توضیح اینکه اگر پردازش داده‌ها مجانی باشد (مانند پردازش داده‌های شخصی ازسوی رسانه‌ها و شبکه‌های اجتماعی مجازی یا موتورهای جستجو) رابطه‌ بین شخص موضوع داده و اشخاص پردازش‌کننده داده، رابطه‌ امانی است؛ زیرا در این موارد اذن ازسوی شخص موضوع داده و مجانی بودن برای جریان رابطه‌ امانی موجود است. همچنین درصورتی‌که پردازش داده‌ها به‌موجب قرارداد باشد، ید امانی مالکی وجود دارد و در سایر موارد که پردازش به تجویز قانون است، می‌تواند ید امانی قانونی وجود داشته‌ باشد (مانند پردازش داده‌های شخصی برای حفاظت از منافع حیاتی شخص موضوع داده یا دیگران یا پردازش به‌جهت منافع عمومی) (ر.ک. موسوی بجنوردی، 1379، ج ۱: ۲۱۴). در این موارد با تعدی و تفریط (تقصیر) ید اشخاص پردازش‌کننده داده به ضمانی مبدل خواهد شد. در مقابل اگر پردازش داده‌های شخصی مجانی نباشد (مانند پردازش داده‌های شخصی توسط بانک‌ها برای امور مالی) ید اشخاص پردازش‌کننده‌ داده نسبت به شخص موضوع داده، ید ضمانی غیر‌عدوانی است؛ زیرا با وجود عناصر اذن و عدم مجانی بودن، ید ضمانی جریان دارد. درواقع اصل بر ضمانی بودن تصرف است و با فقدان یکی از عناصر ید امانی، به اصل رجوع می‌شود. بدین‌جهت در فرض ضمانی بودن رابطه، شخص پردازش‌کننده داده بدون تقصیر ضامن است (ر.ک. محقق داماد، 1384: 102؛ نراقی، 1380، ج ۱: 27).

درباره بند‌های «4» و «5» مقررات عمومی حفاظت از داده اتحادیه اروپا که به مسئولیت تضامنی در مقابل شخص موضوع داده اشاره دارد، باید گفت مسئولیت تضامنی در حقوق ایران خلاف اصل است. این امر از مفهوم مخالف ماده (403) قانون تجارت[25] و اصل عدم که مبین عدم تضامن بوده قابل استنباط است. بااین‌حال، در مواردی بر وجود مسئولیت تضامنی مانند مسئولیت غاصبان در مقابل مالک تصریح‌ شده است. علت چنین امری این است که حق مالک در برابر غاصبانی تضمین شود که در استیلای نامشروع بر مال وضع مشترک دارند و مالک بتواند با انتخاب یک یا چند نفر از غاصبان با آسان‌ترین راه به ‌حق خود دست یابد. همچنین از نظر منطقی امکان رجوع مالک به هریک از مسئولان موجب احیای مؤثر حق است (کاتوزیان، 1394، ج ۲: 291). به‌نظر می‌رسد در بحث حفاظت از داده‌های شخصی نیز جریان مسئولیت تضامنی دور از انصاف و عدالت حقوقی نیست؛ زیرا داده‌های شخصی ارزشمند و در زمره‌ اموال هستند[26] و مسئولیت تضامنی موجب تضمین مؤثر حقوق شخص موضوع داده می‌شود. البته به‌دلیل خلاف اصل بودن مسئولیت تضامنی، جریان چنین مسئولیتی به‌تصریح قانونگذار نیاز دارد.

درخصوص بند «6» ماده (82) مقررات عمومی حفاظت از داده اتحادیه اروپا که به شخص موضوع داده اختیار می‌دهد به دادگاه مقر اشخاص پردازش‌کننده داده (خوانده) یا به دادگاه‌های محل اقامت عادی خود (خواهان) رجوع کند، در حقوق ایران می‌توان به بحث صلاحیت محلی دادگاه‌ها اشاره کرد. به‌موجب ماده (11) قانون آیین دادرسی مدنی مصوب 1379 اصل بر این است که دعوی در دادگاه محل اقامت خوانده طرح شود؛ لیکن بر این اصل استثنائاتی وارد است و قانونگذار می‌تواند دادگاه مشخصی را به‌عنوان دادگاه صالح اعلام کند[27] یا به خواهان اختیار دهد که بین چند دادگاه، یکی را به‌عنوان مرجع صالح انتخاب کند.[28] درخصوص بحث حاضر می‌توان گفت در صلاحیت محلی باید به اصل عمل کرد و دعوی باید در دادگاه محل اقامت اشخاص پردازش‌کننده مطرح شود؛ اما قانونگذار ایران می‌تواند با وضع مقرره‌ای صریح، بر اصل یادشده استثنا وارد کند.

1-2. جبران خسارت در صورت پردازش با هوش مصنوعی به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا و بررسی آن در نظام حقوقی ایران

امروزه هوش‌ مصنوعی در موارد بسیاری کاربرد دارد. هوش‌ مصنوعی فرایند تقلید از تفکر انسانی است که با ماشین‌ها و دستگاه‌ها صورت‌ می‌گیرد و در اصطلاح هوش ماشینی است (Čerka, Grigienė and Sirbikytė, 2017: 12). بسیاری از برنامه‌های هوش‌ مصنوعی، داده‌های شخصی را پردازش می‌کنند. بدین توضیح که از‌یک‌سو، داده‌های شخصی می‌تواند داده‌های مورد استفاده برای دستگاه‌های ماشینی باشند و برای مدل‌های الگوریتمی از آنها استفاده شود و از‌سوی‌دیگر، چنین مدل‌هایی را می‌توان برای داده‌های شخصی به‌کار برد تا در مورد افراد خاص نتیجه‌گیری کنند؛ بنابراین به لطف هوش‌ مصنوعی از داده‌های شخصی برای تجزیه‌وتحلیل و پیش‌بینی رفتارهای انسان‌ها استفاده می‌شود. استفاده از هوش مصنوعی و تصمیم‌گیری‌های خودکار با وجود مزایای بسیار، می‌تواند تأثیر منفی بر افراد موردنظر داشته باشد و نسبت به حقوق افراد خطراتی داشته باشد؛ بدین‌جهت بررسی جبران نقض حقوق افراد در زمان انجام پردازش با هوش‌ مصنوعی به مسئله‌ای مهم تبدیل‌ شده است (European Parliamentary Research Service, 2020: 1).

برای بررسی جبران خسارت در این فرض، ابتدا باید روشن شود که آیا اعطای شخصیت حقوقی مستقل با عنوان شخصیت الکترونیکی[29] به هوش‌ مصنوعی ممکن است. مسئله مذکور در برخی از نظام‌های حقوقی محل بحث است. بحث در این است که گرچه هوش مصنوعی مؤلفه‌ تصمیم‌گیری مستقل و تجزیه‌وتحلیل دارد - که از ویژگی‌های اعطای شخصیت مستقل است (Čerka, Grigienė and Sirbikytė, 2017: 12). لیکن اعطای شخصیت حقوقی مستقل و کامل برای هوش‌های مصنوعی ممکن نیست؛ زیرا برای اعطای چنین شخصیتی باید هوش‌ مصنوعی قابلیت دارا شدن حقوق و تعهدات[30] را داشته ‌باشند که این امر درخصوص هوش‌های مصنوعی وجود ندارد (Andrade etal., 2007: 362). البته در برخی منابع به‌دلیل وجود تصمیم‌گیری مستقل از جانب هوش مصنوعی که به‌طور مستقیم بر زندگی اشخاص اثر دارد، برای هوش‌های مصنوعی، شخصیت حقوقی جزئی[31] لحاظ شده است (Čerka, Grigienė and Sirbikytė, 2017: 12).

اتحادیه اروپا در مسیر پذیرش شخصیت الکترونیکی برای هوش‌های مصنوعی، معتقد است با توجه به اینکه مسئولیت مدنی و جبران خسارت با وجود شخصیت مستقل، مسئله حیاتی است؛ بسترهای قانونی آینده باید برای اعمال مسئولیت، وجود رابطه سببیت بین رفتار مضر هوش‌ مصنوعی و آسیب برای طرف زیان‌دیده را کافی بداند. همچنین به‌هیچ‌وجه نباید نوع یا میزان خسارت را تنها بدین‌دلیل که این خسارت را یک عامل غیرانسانی ایجاد کرده است، محدود کنند (European Parliament, 2015: 10). به‌‌رغم آنچه بیان شد، همچنان در مقام عمل جبران خسارت بر‌عهده‌ مالک هوش مصنوعی به‌جهت حفاظت مؤثر از منافع و حقوق افراد است (European Law Blog, n.d). ازاین‌رو همان‌طور که هیئت حفاظت از داده اتحادیه اروپا[32] بیان‌ کرده است هر زمان که هوش مصنوعی داده‌های شخصی را پردازش می‌کند، همه الزامات مقررات عمومی حفاظت از داده اتحادیه اروپا قابل ‌اعمال است (Centre for Information Policy Leadership (CIPL), 2020: 4)؛ اما مفاد مربوط به مسئولیت مدنی و جبران خسارت مذکور در این مقررات نسبت به مالک (اداره‌کننده) هوش‌ مصنوعی[33] جریان دارد. برای بررسی مسئله‌ مذکور در نظام حقوقی ایران نیز با توجه به فقدان مقرره صریح در حقوق ایران، وجود شخصیت مستقل برای هوش‌های مصنوعی منتفی است چراکه شخصیت اعتباری است و قانونگذار با جعل شخصیت به آن رسمیت می‌دهد. بدین‌جهت در این مسئله، مبانی مسئولیت مالک و متصرف درخصوص مسئولیت ناشی از فعل اشیا مانند ماده‌ (334) قانون مدنی جریان دارد. به‌موجب این مبانی، مسئولیت نقض حقوق اشخاص موضوع داده با انجام پردازش ازسوی هوش مصنوعی، برعهده‌ مالک (اداره‌کننده) هوش مصنوعی است.

  1. 2. جزای نقدی (ضمانت اجرای کیفری)

ضمانت اجرای دیگری که مقررات عمومی حفاظت از داده اتحادیه اروپا بدان تصریح کرده، جزای نقدی است. در این قسمت به چگونگی اعمال جزای نقدی به‌موجب این مقررات (۱-۲) و سپس بررسی این ضمانت اجرا در نظام حقوقی ایران پرداخته خواهد شد (2-2).

2-1. چگونگی اعمال جزای نقدی به‌موجب مقررات عمومی حفاظت از داده اتحادیه اروپا

مراجع نظارتی حفاظت از داده‌ اتحادیه اروپا، اختیارات تأدیبی (اصلاحی) متفاوتی دارند که می‌تواند در صورت نقض مقررات عمومی حفاظت از داده اتحادیه اروپا علیه کنترل‌کننده‌ها و پردازنده‌ها اعمال نمایند . یکی از این اختیارات، وضع جزای نقدی[34] است. جزای نقدی مذکور ازسوی دولت دریافت و برای منافع عمومی جامعه استفاده می‌شود (ماهیت مجازات کیفری دارد)[35] (Afifi-Sabet, 2021). ماده (۸۳) این مقررات شرایط عمومی و میزان جزای نقدی را برای نقض این مقررات معین می‌کند. به‌موجب ماده (83) بند «4» برای تخلفات متفاوت جزای نقدی تا ۱۰ میلیون یورو یا در مورد سازمان‌های تجاری به میزان ۲% کل گردش مالی سالیانه‌ جهانی در سال مالی گذشته، هرکدام که بیشتر باشد، مقرر شده است. همچنین تخلفات مهم‌تر نسبت به وضعیت اشخاص موضوع داده به‌موجب ماده (83) بند «۵» مشمول جزای نقدی تا ۲۰ میلیون یورو یا در مورد سازمان‌های تجاری به میزان ۴% کل گردش مالی سالیانه‌ جهانی در سال مالی گذشته، هرکدام که بیشتر باشد (EUR-Lex, 2016: 83).

میزان جزای نقدی برحسب مورد ازسوی مراجع نظارتی تعیین خواهد شد. به موجب ماده (83) بند «۱» این مقررات هر مرجع نظارتی باید اطمینان حاصل کند که اعمال جزای نقدی مؤثر، متناسب و منطقی در هر مورد خاص است. در مواردی که شخص باید جریمه شود، مراجع نظارتی باید سطح عمومی درآمد در کشور مربوطه‌ عضو اتحادیه اروپا و نیز وضعیت اقتصادی شخص در لحاظ کردن مقدار مناسب جزای نقدی را در نظر گیرند (Hoofnagle etal., 2019: 93). همچنین هنگام تعیین میزان جزای نقدی، مراجع نظارتی باید عوامل مشدّده یا مخفّفه مختلفی ازجمله ماهیت، شدت و مدت تخلف با توجه به دامنه یا هدف پردازش، تعداد اشخاص آسیب‌دیده و میزان آسیب وارده به اشخاص؛ ماهیت عمدی بودن یا غیرعمدی بودن تخلف و هر اقدامی را لحاظ کند که کنترل‌کننده یا پردازنده برای کاهش آسیب به شخص موضوع داده انجام‌ شده است (European Commission, n.d.-b.).

۲-2. بررسی جزای نقدی در نظام حقوقی ایران

برای بررسی ضمانت اجرای کیفری مذکور (جزای نقدی) در حقوق ایران، می‌توان به قوانین و مقررات مختلفی اشاره کرد که به مناسبت، به نقض حریم خصوصی اطلاعاتی و داده‌ شخصی اشاره و برای آن جزای نقدی مقرر کرده‌اند. این موارد از قبیل مواد (1)، (3)، (4)، (۸)، (12) و (17) قانون جرائم رایانه‌ای مصوب 1388؛ موادی از قانون مجازات اسلامی مصوب 1375 (تعزیرات و مجازات‌های بازدارنده) از قبیل ماده (582) و (648)؛ همچنین برخی مواد قانون آیین دادرسی جرائم نیروهای مسلح و دادرسی الکترونیکی مصوب 1393 مانند ماده (660) است که جزای نقدی و میزان معینی برای آن مورد تصریح قرار گرفته است. درخصوص مواد پیش‌گفته چند نکته وجود دارد: اول اینکه دامنه‌ شمول برخی از مواد محدود به افراد خاصی است و در مقابل برخی دیگر از مواد دامنه‌ای موسع دارند. به‌عنوان نمونه مخاطب ماده (582) قانون مجازات اسلامی مصوب 1375[36] همه‌ اشخاصی است که در طیف حکومت مشغول به خدمت هستند و دامنه‌ شمول این ماده از نظر شخصیت مرتکب، محدود است. بدین‌جهت مانع تعرض به داده‌های شخصی افراد ازسوی غیرمستخدمان و مأموران دولتی نیست. این امر نسبت به ماده (648) این قانون[37] نیز وجود دارد. شمول این ماده تنها نسبت به افرادی است که نوعِ شغل یا حرفه‌ آنان موجب دسترسی به اسرار مردم - در بحث حاضر داده‌های شخصی[38] - است، همچنین این افراد باید به مناسبت شغل و حرفه خود به اسرار دیگران آگاه باشند و به‌موجب قانون افشا نکنند (میرمحمد صادقی، 1392: 538). در مقابل برخی مواد دیگر مانند مواد مربوطه از قانون جرائم رایانه‌ای[39] صرف‌نظر از شخصیت مرتکب جرم‌انگاری کرده‌اند و در حمایت از داده‌های شخصی دامنه‌ موسعی دارند (آقایی‌نیا، 1399: 27۳-27۱).نکته دیگر اینکه گرچه جزای نقدی مصرح در این مواد وجود دارد؛ اما ازآنجایی‌که موضوع قوانین مذکور، خاص داده‌ شخصی نیست، جریان مفاد مواد مربوطه نسبت به انواع پردازش داده‌ شخصی با اشکال مواجه است. به‌عنوان نمونه قانون جرائم رایانه‌ای گرچه برای حالات مختلف نقض داده‌ها، جزای نقدی و ضمانت اجرا مقرر کرده است؛ لیکن به‌دلیل محدودیت دامنه‌ این قانون در بستر موضوعی خود، اعمال آن نسبت به‌ تمامی مصادیق پردازش داده‌های شخصی ممکن نیست. همچنین گفتنی است مواد پیش‌گفته علاوه بر جزای نقدی به مجازات حبس نیز اشاره کرده‌اند، در برخی مواد قانونی دیگر مانند ماده (71) قانون تجارت الکترونیکی مصوب 1382 نیز صرفاً مجازات حبس برای نقض حریم خصوصی اطلاعاتی و داده‌های شخصی مقرر شده است. در مقابل به‌موجب حقوق اتحادیه اروپا وضع مجازات حبس به‌موجب اختیاری است که در ماده (84) مقررات عمومی حفاظت از داده اتحادیه اروپا به کشورهای عضو اتحادیه اعطا شده است. بدین‌جهت این مجازات در برخی از کشورهای عضو مانند آلمان نسبت به نقض حق بر داده در قوانین ملی وضع‌ شده است و صراحتی در مقررات اروپایی حفاظت از داده در این خصوص وجود ندارد (Etteldorf, 2018: 374).

فارغ از مواد مذکور که به ضمانت اجرای کیفری (اعم از جزای نقدی و حبس) برای نقض حق بر داده‌های شخصی، به‌صورت موردی - در ضمن قوانین و مقررات مختلفی که به‌طور خاص برای حفاظت از داده‌ شخصی تدوین ‌نشده است ـ اشاره کرده‌اند؛ تصریح قانونگذار در‌خصوص این مسئله‌ بسیار ضروری است. این ضرورت ازآنجاست که برای تحقق جرم و جریان ضمانت اجرای کیفری عناصر سه‌گانه‌ای لازم است ـ رکن قانونی، مادی و روانی ـ که قانونی بودن مهم‌ترین رکن در تشکیل وصف کیفری است. به‌دلیل چنین اهمیتی، ارتباط آن با دو عنصر دیگر به‌صورت هم‌عرض و موازی نیست؛ بلکه مقدم و طولی است و برای تحقق جرم، تعیین عنوان مجرمانه ازسوی قانونگذار بسیار مهم است (خبازی خادر و حسینی، 1399: 30۱-30۰). درواقع عنصر قانونی بودن ازسویی بر تعیین جرائم و ازسوی‌دیگر بر تثبیت مجازات‌ها و کمیت آنها نظر دارد (اردبیلی، 1394، ج ۱: 204).

همچنین پیش‌نویس لایحه‌ «صیانت و حفاظت از داده‌های شخصی» نیز در مواد 65 الی 70 به ضمانت اجرای کیفری اشاره کرده است ـ این امر از مواد 50 الی 52 طرح «حمایت و حفاظت از داده و اطلاعات شخصی» قابل‌دسترسی است. البته طرح در بخش مسئولیت‌ها و ضمانت اجراها مانند پیش‌نویس عمل ‌نکرده که به‌صورت مجزا به ضمانت اجرای کیفری، مدنی و انتظامی اشاره کرده‌ است و این به‌عنوان نقص طرح قابل‌اشاره است. لیکن درخصوص مواد مذکور دو نقد وجود دارد: اول اینکه مجازات در مفاد مذکور، معادل درجات مختلف تعزیرات قانون مجازات اسلامی لحاظ شده است. گرچه مبالغ جزای نقدی تعزیرات قانون مجازات اسلامی به استناد ماده (۲۸) قانون مجازات اسلامی در تاریخ 8/11/1399 افزایش‌ یافته است و به‌نظر می‌رسد تا حد زیادی جزای نقدی تعدیل‌ شده است؛ اما بهتر است که مانند ماده‌ (83) مقررات عمومی حفاظت از داده اتحادیه اروپا به مجازات نقض حق بر داده شخصی، در خود بستر قانونی به‌طور خاص اشاره شود، به‌عنوان نمونه مبلغی معین شود که متناسب با تورم جامعه کافی باشد - البته ذکر مبلغ معین باید همراه با تعدیل متناسب با تورم باشد تا جنبه بازدارندگی حفظ شود ـ یا جزای نقدی براساس و به میزان ضرر وارده به شخص موضوع داده در جهت جبران هرچه بهتر خسارت و برگرداندن زیان‌دیده به‌ حالت قبل از نقض داده، تعیین شود. این امر در ماده (1) قانون تشدید مجازات مرتکبان ارتشا، اختلاس و کلاهبرداری مصوب 1367 مورد توجه قرار گرفته است.

نقد دوم نیز درخصوص مصادیقی است که مشمول ضمانت اجرای کیفری است که عمدتاً کلی است، مانند بند «پ» ماده (68) پیش‌نویس (بند «پ» ماده (51) طرح «حمایت و حفاظت از داده و اطلاعات شخصی») که بیان می‌کند «نقض تعهدات اعتبارپذیری، اعتمادپذیری یا استنادپذیر پردازش داده‌های شخصی، به یک یا هر دو مجازات درجه 5» محکومیت دارد. به‌نظر می‌رسد مناسب‌تر این است که به نقض هر‌یک از حقوق اشخاص موضوع داده یا اصول حاکم بر پردازش یا تکلیف اشخاص پردازش‌کننده داده به‌طور خاص اشاره شود و برای آنها مجازات لحاظ شود؛ زیرا با کلی بودن مصادیق ضمانت اجرای کیفری، هر تخلفی ممکن است مشمول ضمانت اجرای کیفری شود و از‌سوی‌دیگر به‌موجب اصل تفسیر مضیق به نفع متهم، متخلف از جزای کیفری معاف است. بدین‌جهت اگر قانونگذار در مقام بیان به‌طور خاص و جزئی به مصادیقی اشاره کند که مشمول ضمانت اجرای کیفری است، موجب رفع ابهام در رویه‌ قضایی و عمل است. در مقابل رویکرد این اسناد (دو نقد یادشده) می‌توان به پیش‌نویس طرح قانون «حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی» مورخ 26/4/1400 اشاره کرد. ماده (27) این سند انواع تخلفات نسبت به تعهدات و تکالیف را مشخص کرده است، همچنین به‌موجب ماده (28) چگونگی مجازات درخصوص تخلفات در خود سندِ مذکور مقرر شده است. این موارد می‌تواند گامی مثبت در جهت حمایت مناسب از اشخاص موضوع داده تلقی شود؛ بنابراین درخصوص اسناد مشابه پیشنهاد می‌شود.

۳. جمع‌بندی و نتیجه‌گیری

نقض حق بر داده‌ شخصی، تجاوز به حقوق بشر و حقوق شهروندی اشخاص حقیقی است. بدین‌جهت باید برای این نقض، ضمانت اجراهای مختلفی وجود داشته باشد تا حمایت کامل از داده‌های شخصی حاصل شود. یکی از نظام‌های حقوقی که از عهده این مهم به‌خوبی برآمده است، اتحادیه اروپاست که با تصریح بر ضمانت اجراهای مختلف نسبت به نقض حق مذکور، بر حمایت جامع از داده‌های شخصی جامه‌ عمل پوشانیده است. در این پژوهش ضمانت‌های مصرح در مقررات اروپایی حفاظت از داده تبیین شد و جریان آنها در نظام حقوق ایران به‌صورت تطبیقی مورد بررسی قرار گرفت و مشخص شد که به‌موجب حقوق اتحادیه اروپا، یکی از ضمانت اجراهای موجود، حق جبران خسارت است. این حق در دو وضعیت مورد توجه قرار گرفت؛ ازیک‌سو درصورتی‌که پردازش را هوش انسانی انجام دهد و ازسوی‌دیگر در زمانی که پردازش را هوش‌های مصنوعی و ماشین‌ها انجام می‌دهند. درصورتی‌که پردازش ازسوی هوش انسانی باشد، حق جبران خسارت مقرر در ماده (82) مقررات عمومی حفاظت از داده اتحادیه اروپا جریان دارد.

ماده (۸۲) جنبه‌های مختلفی را درخصوص جبران خسارت مورد توجه قرار داده است تا از جبران خسارت مؤثر نسبت به شخص موضوع داده اطمینان حاصل شود. از‌سوی‌دیگر، در نظام حقوقی ایران نیز حق جبران خسارت به‌عنوان یکی از آثار مسئولیت مدنی در صورت نقض حق بر داده ازطرف هوش انسانی مورد پذیرش است. همچنین مستنبط از منابع گوناگون جنبه‌های مختلف این حق در حقوق ایران قابل جریان است - همان‌طور که در مقررات اروپایی حفاظت از داده وجود دارد. با تبیین چگونگی وجود جبران خسارت در صورت پردازش با هوش انسانی، این امر درصورتی‌که هوش‌ مصنوعی پردازش را انجام دهد، مورد بررسی قرار گرفت. در این خصوص مشخص شد که اتحادیه اروپا در مقام عمل، جبران خسارت را برعهده مالک (اداره‌کننده) هوش‌ مصنوعی می‌داند، چنین مسئولیتی به‌جهت حفاظت مؤثر از منافع و حقوق افراد است. گفتنی است در حقوق ایران نیز به‌دلیل عدم ورود قانونگذار به مسئله‌ امکان یا عدم امکان اعطای شخصیت به هوش‌های مصنوعی، وجود شخصیت مستقل برای هوش‌های مصنوعی منتفی است. بدین‌جهت به‌موجب حقوق موضوعه و مبانی حقوق ایران مسئولیت نقض حقوق اشخاص موضوع داده با وجود هوش مصنوعی، برعهده‌ مالک (اداره‌کننده) هوش مصنوعی است.

ضمانت اجرای دیگر از نگاه مقررات عمومی حفاظت از داده اتحادیه اروپا، جزای نقدی است. به‌موجب مواد مربوطه یکی از اختیارات مراجع نظارتی وضع جزای نقدی است که ماهیت مجازات کیفری دارد. در ماده (83) بندهای «4» و «5» این مقررات برای تخلفات گوناگون، به‌ترتیب جریمه نقدی بیست میلیون و ده میلیون یورو مقرر شده است. با تبیین چگونگی اعمال جزای نقدی در مقررات اروپایی، وجود این ضمانت اجرا در حقوق ایران جستجو شد. در این راستا گرچه قوانین و مقررات مختلفی وجود دارد که به نقض حریم خصوصی اطلاعاتی و داده‌ شخصی اشاره ‌کرده‌اند و برای این امر جزای نقدی مقرر کرده‌اند ـ بدین‌دلیل که حقوق ایران، قانونی مستقل و بالتبع ضمانت اجراهایی ویژه برای نقض حق بر داده‌ شخصی ندارد ـ اما ازآنجایی‌که موضوع قوانین و مقررات مذکور، خاص داده‌ شخصی نیست؛ جریان مفاد قانونی آنها، نسبت به انواع پردازش داده‌ شخصی با اشکال مواجه است. درواقع مفاد مواد مربوطه نمی‌توانند نسبت به حمایت از داده‌های شخصی جامع باشند. بدین‌جهت تصریح قانونگذار درخصوص ضمانت اجرای کیفری بسیار ضروری است. همچنین از قانونگذار انتظار می‌رود با تصریح بر سایر ضمانت اجراهای لازم درخصوص نقض حق مذکور، در مسیر حمایت کامل از اشخاص موضوع داده و تقویت حقوق بشر و حقوق شهروندی افراد، گام بردارد.

مراجع

  1. ۱. آقایی‌نیا، حسین (1399). حقوق کیفری اختصاصی، جرائم علیه اشخاص (شخصیت معنوی)، چاپ هفتم، تهران، نشر میزان.

    ۲. اردبیلی، محمدعلی (1394). حقوق جزای عمومی، تهران، نشر میزان.

    ۳. پیش‌نویس طرح قانون حمایت از حقوق کاربران و خدمات پایه کاربردی فضای مجازی 1400.

    ۴. پیش‌نویس لایحه‌ صیانت و حفاظت از داده‌های شخصی منتشر شده در تیرماه 1397.

    ۵. خبازی خادر، سیده‌طاهره و سیدحسین حسینی (1399). «تبیین مدل توصیف کیفری اختصاصی: با نگاهی به بند «الف» ماده (1) قانون مجازات اخلال‌گران در نظام اقتصادی»، پژوهش‌های حقوقی، 19 (42).

    ۶. صفایی، سیدحسین و حبیب‌اله‌ رحیمی (1397). مسئولیت مدنی تطبیقی، تهران، مؤسسه مطالعات و پژوهش‌های حقوقی شهر دانش. 

    ۷. ــــــــــ (1398). مسئولیت مدنی (الزامات خارج از قرارداد)، چاپ دوازدهم، تهران، انتشارات سمت.

    ۸. عراقی، سیدعزت‌اله (1389). حقوق کار، چاپ یازدهم، تهران، انتشارات سمت.

    ۹. قانون آیین دادرسی جرائم نیروهای مسلح و دادرسی الکترونیکی مصوب 1393. 

    ۱۰. قانون آیین دادرسی کیفری مصوب 1392 با اصلاحات 1394. 

    1. قانون آیین دادرسی مدنی مصوب 1379.
    2. قانون تجارت الکترونیکی مصوب 1382.

    ۱۳. قانون تشدید مجازات مرتکبین ارتشاء و اختلاس و کلاهبرداری مصوب 1367. 

    1. قانون جرائم رایانه‌ای مصوب 1388.

    ۱۵. قانون صلاحیت دادگستری جمهوری اسلامی ایران برای رسیدگی به دعاوی مدنی علیه دولت‌های خارجی مصوب 1390.

    ۱۶. قانون مجازات اسلامی مصوب 1375 و ۱۳۹۲.

    ۱۷. قماشی، سعید (1385). «بررسی جرم افشای اسرار حرفه‌ای»، مجله دادرسی، ش 58.

    ۱۸. کاتوزیان، ناصر (1394). الزام‌های خارج از قرارداد «مسئولیت‌های خاص و مختلط»، چاپ دوازدهم، تهران، انتشارات دانشگاه تهران.

    ۱۹. ــــــــــ (1395). الزام‌های خارج از قرارداد «قواعد عمومی»، چاپ چهاردهم، تهران، انتشارات دانشگاه تهران. 

    ۲۰. محقق داماد، مصطفی (1384). قواعد فقه (بخش مدنی ـ مالکیت و مسئولیت)، تهران، مرکز نشر علوم اسلامی.

    ۲۱. موسوی بجنوردی، محمد (1379). قواعد فقهیه، تهران، مؤسسه تنظیم و نشر آثار امام‌ خمینی (ره)، مؤسسه چاپ و نشر عروج.

    ۲۲. میرمحمد صادقی، حسین (1392). حقوق کیفری اختصاصی، جرائم علیه اشخاص، چاپ یازدهم، تهران، نشر میزان.

    ۲۳. نراقی، احمدبن محمدمهدی (1380). رسائل و مسائل، گردآورنده رضا استادی، قم، کنگره بزرگداشت محققان ملامهدی و ملااحمد نراقی.

    ۲۴. یزدانیان، علیرضا (1395). قواعد عمومی مسئولیت مدنی، تهران، نشر میزان.

    1. Afifi-Sabet, K. (2021). GDPR Fines: Where does the Money Go?, https://www.itpro.co.uk/general-data-protection-regulation-gdpr/who-benefits-from-gdpr-fines
    2. Andrade, F., P. Novais, J. MacHado and J. Neves (2007). "Contracting Agents: Legal Personality and Representation", Artificial Intelligence and Law, 15(4).
    3. Bredin, P. and J. Riordan (2017). GDPR: Judicial Remedies.
    4. Centre for Information Policy Leadership (CIPL) (2020). Artificial Intelligence and Data Protection How the GDPR Regulates AI.
    5. Čerka, P., J. Grigienė and G. Sirbikytė (2017). "Is it Possible to Grant Legal Personality to Artificial Intelligence Software Systems?", Computer Law and Security Review, 33(5).
    6. Council of Europe (1950). "European Convention on Human Rights", In Vertical Judicial Dialogues in Asylum Cases, https://www.echr.coe.int/Documents/Convention_ENG.pdf
    7. CURIA (2015). "María Auxiliadora Arjona Camacho v Securitas Seguridad España SA", In Case C-407/14 (Issue December).
    8. Etteldorf, C. (2018). "About Dashcams und Digital Estate - German Federal Court of Justice Weighs Up Data Protection Interests", In European Data Protection Law Review, Vol. 4, Issue 3.
    9. EUR-Lex (2012). "Charter of Fundamental Rights of the European Union (2012/C 326/02)", Official Journal of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:12012P/TXT&from=EN
    10. EUR-Lex (2016). Regulation (EU) 2016/679 on the Protection of Natural Persons With Regard to the Processing of Personal Data and on the Free Movement of Such Data (General Data Protection Regulation – GDPR). Official Journal of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN
    11. European Commission (n.d.-a). Can I Claim Compensation?, Retrieved March 10, 2020, from https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/redress/can-i-claim-compensation_en
    12. __________ (n.d.-b). Questions and Answers – General Data Protection Regulation, Retrieved February 13, 2020, from https://ec.europa.eu/commission/presscorner/detail/en/MEMO_18_387
    13. __________ (2018). "What is a Data Controller or a Data Processor?", https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_en
    14. European Data Protection Supervisor (n.d.). Data Protection. Retrieved June 17, 2020, from https://edps.europa.eu/data-protection/data-protection_en
    15. European Law Blog (n.d.). Refusing to Award Legal Personality to AI: Why the European Parliament Got it Wrong – European Law Blog, Retrieved June 20, 2021, from https://europeanlawblog.eu/2020/11/25/refusing-to-award-legal-personality-to-ai-why-the-european-parliament-got-it-wrong/
    16. European Parliament (2015). Draft Report With Recommendations to the Commission on Civil Law Rules on Robotics (2015/2103(INL)).
    17. European Parliamentary Research Service (2020). The Impact of the General Data Protection Regulation (GDPR) on Artificial Intelligence, In Panel for the Future of Science and Technology (STOA).
    18. Hoofnagle, C.J., B. Van der Sloot and F.Z. Borgesius (2019). "The European Union General Data Protection Regulation: What it is and what it Means", Information and Communications Technology Law, 28(1).
    19. ICO. (n.d.-a). Taking your Case to Court and Claiming Compensation, Retrieved August 24, 2020, from https://ico.org.uk/your-data-matters/data-protection-and-journalism/taking-your-case-to-court-and-claiming-compensation/
    20. _________(n.d.-b). What is Criminal Offence Data?, Retrieved August 9, 2021, from https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/criminal-offence-data/what-is-criminal-offence-data/
    21. Ungureanu, C.T. (2018). "Legal Remedies for Personal Data Protection in European Union", Logos Universality Mentality Education Novelty: Law, 6(2).
    22. United Nations (2015). Universal Declaration of Human Rights , https://www.un.org/en/udhrbook/pdf/udhr_booklet_en_web.pdf
    23. Voigt, P. and A. Von Dem Bussche (2017). The EU General Data Protection Regulation (GDPR), Springer International Publishing.

فایل ها

هم رسانی

ارجاع به این مقاله

آمار