حقوق داده در کشور سنگاپور
چارچوب قانونی، فرصت ها و چالش ها ، مطالعه موردی یک کشور پیشرو
حقوق داده در کشور سنگاپور:
چارچوب قانونی، فرصت ها و چالش ها
مطالعه موردی یک کشور پیشرو
در دنیای دیجیتال داده ها به یکی از مهمترین دارایی های افراد و سازمان ها بدل شده اند. حفاظت از داده های شخصی و احترام به حقوق موضوع داده ها در دنیایی که به طور فزاینده مبتنی بر داده است، اهمیت زیادی پیدا کرده است. اگر حقوق داده، مجموعه اصول و قوانینی تعریف شوند که حقوق افراد را در مورد داده های شخصی آن ها مشخص می کند؛ این حقوق عبارتند از:
- حق دسترسی،
- حق اصالح،
- حق محدود نمودن پردازش داده های شخصی،
- حق انتقال داده ها و
- حق اعتراض به پردازش داده های شخصی.
حفاظت از هویت دیجیتال افراد نیز مجموعه اقداماتی است که برای محافظت از داده ها و اطلاعات هویتی دیجیتال افراد انجام می گیرد. در واقع، حفاظت از هویت دیجیتال به افراد کمک می کند تا از آسیب های احتمالی ناشی از سوءاستفاده از هویت دیجیتال، مانند سرقت هویت و کلاهبرداری جلوگیری کنند.
در عصر دیجیتال که در آن، هرروزه حجم داده های در معرض خطر بیشتر می شود، حفظ حریم خصوصی، امنیت و برقراری عدالت، مستلزم نظام حکمرانی داده و چارچوب حقوقی قوی و مستحکم برای مقابله با چالش ها و تهدیدات فراروی هویت دیجیتال افراد است.
حکمرانی داده، نظامی است برای تعیین آنکه چه کسانی صلاحیت و اختیار کنترل بر داده ها را دارند و از داده ها چه استفاده هایی می توان داشت. انجمن بین المللی مدیریت داده DAMA حکمرانی داده را به برنامه ریزی، نظارت و کنترل بر مدیریت و استفاده از داده ها و منابع مرتبط با آن تعریف کرده است.
انجمن حکمرانی داده نیز این مفهوم را نظامی از حق تصمیم گیری و مسئولیت در قبال فرایندهای مرتبط با اطلاعات می داند که بر اساس مدل های توافق شده تعیین می کند چه کسی می تواند با چه اطلاعات ی چه اقداماتی انجام دهد و در چه زمانی، تحت چه شرایطی و به چه روش این اقدامات انجام می پذیرد.
سنگاپور از جمله کشورهایی است که چارچوب حکمرانی داده پیشرفته ای برای حفاظت از هویت دیجیتال و حقوق داده ها دارد. قانون حفاظت از داده های شخصی سنگاپورPDPA یک قانون مهم است که از حریم خصوصی و داده های شخصی افراد محافظت می کند.
این کشور که یکی از سریع ترین اقتصادهای درحال رشد جهان است، با به روزرسانی PDPA در سال 2020 ، به تعهد خود برای حفاظت از داده های شخصی افراد استحکام بیشتری بخشیده است.
قانون دیگری که نقش مهمی در نظام مدیریت و حکمرانی داده سنگاپور ایفا می کند، قانون امنیت سایبری مصوب 2018 است. در ادامه این قوانین شرح داده شده اند.
قانون حفاظت از داده های شخصی سنگاپور
قانون حفاظت از داده های شخصی سنگاپور PDPA مصوب 2012 که در سال 2014 اجرایی شد یکی از قوانین قدیمی حفظ حریم خصوصی داده ها در جهان حتی مقدم بر مقررات عمومی حفاظت از داده های اتحادیه اروپا GDPR و قانون اصلی حفاظت از داده ها در این کشور است.
این قانون یک نظام کلی برای حفاظت از داده ها ایجاد کرده و بر هر وبسایت، شرکت یا سازمانی در هر نقطه از جهان که داده های شخصی را از داخل قلمرو سنگاپور جمع آوری، استفاده یا افشا می کند، اعمال می گردد.
PDPA در نوامبر 2020 مورد بازبینی قرار گرفت و اصلاحات گسترده ای بر قانون پیشین وارد شد و از فوریه 2021 به اجرا درآمد. این قانون با اعطای حقوقی به کاربران، جمع آوری، استفاده و افشای داده های شخصی در سنگاپور را تنظیم می کند؛ مسئولیت پردازش قانونی داده ها را بر عهده وبسایت ها، شرکت ها و سازمان ها می نهد، انتقال داده ها به خارج از سنگاپور را محدود می کند و کمیسیون حفاظت از داده های شخصی PDPCرا به عنوان مرجع اصلی اجرای این قانون تأسیس کرده است.
از داده های شخصی در قانون حفاظت از داده های سنگاپور، تعریف موسعی ارائه شده است: داده هایی خواه درست یا نادرست درباره فرد که می توان با استفاده از آن داده ها و سایر اطلاعاتی که سازمان به آن ها دسترسی دارد فردی را شناسایی نمود. این داده ها عبارتند از:
نام ها، آدرس ها، نشانی الکترونیک، شماره تلفن، آدرس های آی پی، شناسه های کوکی، شناسه های منحصربه فرد، سابقه جستجو، تاریخچه مرورگر، داده های موقعیت مکانی، و اطلاعات مربوط به سن، جنسیت، نژاد، سلامت، گرایش جنسی، ظاهر، اعتقادات سیاسی و مذهبی.
لازم به ذکر است داده های شخصی وارد شده در قراردادهای تجاری یا داده های شخصی که بیش از صدسال قدمت دارند و همچنین داده های شخصی از فردی که بیش از 10 سال از مرگ وی می گذرد در این قانون مستثنا شده اند.
در این قانون برخالف GDPR تعریفی از داده های حساس ارائه نشده است؛ اما کمیسیون حفاظت از داده های شخصی سنگاپور PDPC به عنوان مرجع اصلی اجرای این قانون، در اکتبر 2017 برخی داده ها را حساس و نیازمند سطح بالایی از حفاظت تشخیص داده است.
نمونه هایی از این داده ها عبارتند از:
- هر نوع اطلاعات شخصی در مورد افراد زیر سن قانونی افراد زیر 21 سال؛ اطلاعات هویتی به عنوان مثال اطلاعات گذرنامه و کارت شناسایی ملی؛
- داده های مالی مانند اطلاعات کارت های اعتباری، حساب های بانکی، پرداخت ها و تراکنش ها؛ اطلاعات بیمه به عنوان مثال بیمه نامه، مبالغ، حق بیمه؛
- برخی از داده های حساس پزشکی؛
- داده های کیفری خاص در مورد مصرف قبلی مواد مخدر.
اگر وبسایت، شرکت یا سازمانی داده هایی از این قبیل را از کاربران داخل سنگاپور پردازش می کند موظف است حفاظت های امنیتی متناسب با حساسیت این اطلاعات را اجرا نماید.
این قانون به کاربران حق اعطا و یا لغو رضایت برای پردازش داده های شخصی، حق دسترسی به داده های ً جمع آوری شده اند و حق تصحیح و ویرایش شخصی که قبال داده های شخصی نادرست را می دهد.
رضایت در این قانون، اقدام آگاهانه صریح یا ضمنی و تلویحی از جانب کاربر تعریف شده است؛
بر اساس این قانون رضایت در صورتی معتبر است که کاربر از پردازش اطلاعات و اهداف آن از سوی وبسایت در زمان جمع آوری و یا پیش از آن مطلع گردد.
این قانون انتقال داده های شخصی به خارج از سنگاپور را ممنوع می کند، مگر اینکه محل انتقال بتواند همان سطح حفاظت مورد نظر این قانون از داده ها را به عمل آورد.
اصلاحات 2020 به منظور تقویت حفاظت از کاربران و تشدید الزاماتی برای وبسایت ها، شرکت ها و سازمان ها، مواردی همچون اعلان نقض اجباری داده ها، بسط چارچوب رضایت ضمنی، استثناء کردن منافع قانونی از رضایت، افزایش جریمه های مالی برای عدم رعایت قانون و حق انتقال داده ها برای کاربران در داخل سنگاپور با اصلاحات سال 2020 به قانون حفاظت از داده های شخصی افزوده شد.
در مواردی که قانون حفاظت از داده های شخصی، استثنائات قانونی را در نظر گرفته است، شرکت ها مجازند که داده های شخصی را بدون رضایت جمع آوری، استفاده یا افشا نمایند؛ از جمله در جایی که منافع ملی به منظور دفاع ملی، امنیت عمومی و خدمات اضطراری، مستلزم جمع آوری، استفاده یا افشای داده هاست.
اثر قانون حفاظت از داده های شخصی این قانون همانطور که از مفاد آن پیداست اثر فراسرزمینی دارد. بدین معنا که بر جمع آوری، استفاده و افشای داده های شخصی در داخل یا خارج از سنگاپور صرف نظر از مکان فیزیکی کنترل کننده/ دارنده داده اعمال می شود. بر اساس این قانون اگر شرکت یا سازمانی با داده هایی از تابعان سنگاپور سروکار دارد موظف است که:
- خطمشی خود در انجام تعهدات قانون حفاظت از اطلاعات شخصی را منتشر و طبق آن عمل نماید؛
- پیش از جمع آوری، استفاده یا افشای داده های شخصی، رضایت فرد را اخذ نماید؛
- به افراد اجازه دسترسی و تصحیح داده های شخصی خود را بدهد؛
- به افراد در مورد اهداف جمع آوری، استفاده یا افشای داده ها اطلاع دهد؛
- پس از تحقق هدف موردنظر، سازمان باید داده های شخصی را حذف یا بی نام سازد یا ابزار جمع آوری داده خود را حذف نماید؛
- اقدامات امنیتی معقول را به عمل آورد؛
- در قبال داده های شخصی که برای پردازش به طرف دیگر یا پیمانکار می سپارد، مسئولیت دارد؛
- انتقال اطلاعات شخصی را به خارج از کشور و به کشورهای دارای سطح حفاظت مشابه محدود نماید؛
- به مسئولین مربوطه و در صورت نقض داده ها فورا افراد اطلاع دهد.
عدم رعایت این مقررات، جریمه مالی حداکثر تا 10 درصد از گردش مالی سالانه سازمان تا سقف 1 میلیون دلار در پی دارد. این قانون بر بخش دولتی و کارمندانی که طی انجام مأموریت های خود با داده ها سروکار دارند، اعمال نمی شود.
قانون امنیت سایبری سنگاپور قانون امنیت سایبری CSA ، مکمل قانون حفاظت از داده های شخصی PDPA است و بر حفاظت از حریم خصوصی افراد با اتخاذ اقدامات قوی برای محافظت از امنیت و تاب آوری داده ها تمرکز دارد و مجموعه ای از مقررات برای ایمن سازی زیرساخت دیجیتال کشور و محافظت از داده های حساس در برابر حمالت سایبری است.
از جمله این مقررات و الزامات می توان به اعلان نقض داده ها، صدور گواهینامه های امنیتی و ارزیابی، توسعه نیروی کار امنیت سایبری و تحقیق و نوآوری امنیت سایبری اشاره کرد.
قانون امنیت سایبری سنگاپور با ارتقای امنیت داده ها از طریق محافظت از آن ها در برابر دسترسی، اصلاح یا تخریب غیرمجاز، ارتقای تاب آوری داده ها و اعتمادسازی عمومی، ارتقای امنیت ملی و حفاظت از زیرساخت های حیاتی، نقش اساسی در نظام حکمرانی داده در این کشور ایفا می کند.
ابتکارات دیگر سنگاپور برای حفاظت از داده های شخصی و هویت دیجیتال به طور کلی، این کشور با تدوین قوانین جدید و بهبود مکانیسم های اجرایی خود همچنان به تقویت چارچوب حفاظت از داده ها ادامه می دهد.
قانون حفاظت از داده های شخصی ابری CDPA که در سال 2020 تصویب شد و اصلاحیه 2021 بر قانون حفاظت از داده های شخصی PDPC برای حفاظت از داده های شخصی کودکان از زمره گام های مثبت در تقویت حفاظت از داده ها و هویت دیجیتال افراد است.
چالش های حقوق داده و هویت دیجیتال در سنگاپور دیجیتالی کردن اطلاعات، بی تردید آن ها را در برابر سرقت آسیب پذیرتر می نماید؛ در دسترس تر کردن اطلاعات به این معنی است که به صورت بالقوه می توان از آن ها سوءاستفاده کرد.
دسترسی به داده ها و اطلاعات شخصی افراد خطرات جدی برای حریم خصوصی، امنیت و رفاه کاربران دارد و آن ها را در معرض نقض حریم خصوصی، سرقت هویت، جرائم مالی و یا آزار و اذیت قرار می دهد.
بررسی تهدیدات و نگرانی ها نشان می دهد که قوانین حفاظت از اطلاعات شخصی و امنیت سایبری سنگاپور برای کاهش آن ها کافی نبوده است.
شواهد بر آن است که در سنگاپور، تهدیدات گروه های جرائم سازمان یافته و عوامل تحت حمایت دولت ها در سرقت اطلاعات کاربران، حملات فیشینگ و جاسوس افزارها که اعتبارنامه افراد را جمع آوری می کنند، همچنان ادامه دارد.
سارقان و نیروهای خرابکار از فناوری های خودکار برای سرقت وجوه بانکی، اطلاعات هویتی شخصی یا داده های شرکت ها و جعل هویت صاحبان حساب ها برای کلاهبرداری از کسب وکارها و دولت استفاده می کنند.
در نیمه اول سال 2022 حدود 47.9 میلیون حمله فیشینگ در این کشور رخ داده است. در ماه مارس 2023 نیز اخباری منتشر شد مبنی بر آنکه هزاران لاگین از شرکت های بزرگ فناوری از سوی هکرها پس از نفوذ به یک مرکز داده به سرقت رفته است؛ اما همچنان دولت سنگاپور معتقد است که مزایای دیجیتالی شدن اطلاعات بیش از معایب آن است و تلاش ها باید بر افزایش کارایی هوشمندسازی و تقویت حریم خصوصی داده ها متمرکز باشد.
نتیجه گیری
سنگاپور یک کشور پیشرو در زمینه فناوری اطلاعات و ارتباطات و به عنوان مرکزی جهانی برای داده ها و فناوری شناخته می شود و الگویی موفق در حوزه حقوق داده به شمار می آید. این کشور یک چارچوب حقوقی قوی و تا حدی جامع بر اساس اصول حریم خصوصی و امنیت داده ها بنا کرده است که نشان دهنده تعهد سنگاپور به حفاظت از حقوق داده هاست.
سنگاپور علیرغم چالش هایی که هنوز برای حفاظت از اطلاعات شخصی و هویت دیجیتال افراد دارد، می تواند الگویی مناسب برای تنظیم چارچوب حقوقی و اجرایی کشورهای دیگر برای هوشمندسازی، توسعه فناوری های هویت دیجیتال و حفاظت از آن باشد. همچنین می توان از تجربیات آن در زمینه راهکارهای فنی و برنامه های آموزشی در حوزه حقوق داده بهره مند شد.
حبیبه فرج زاده و مهدی یادگاری
منبع: برهان