مقررات حفاظت از داده که در سالهای اخیر گسترش چشمگیری داشته است، تبعیت از مجموعهای از قواعد الزامآور را در خصوص دادههای شخصی کاربران ضروری ساخته است.
یکی از این مقررات، ضرورت اطلاعرسانی و کسب رضایت اشخاص موضوع داده نسبت به فرایند جمعآوری، پردازش و اشتراکگذاری دادهها است. در این راستا سکوهای[1] فعال در این حوزه، از یکسو به سبب الزامات قانونی و از سوی دیگر بهمنظور کسب اعتماد کاربران و بهموازات آن امکان استفاده از خدمات اشخاص ثالث در بسترهای خود، سیاستهای حریم خصوصی را در قالب اعلامیه یا اسناد حقوقی، در اختیار کاربران قرار میدهند. بنا بر یک اصل اولیه در مقررات حفاظت از داده، مبنای اصلی هرگونه استفاده و اشتراکگذاری دادههای شخصی کسب رضایت اشخاص موضوع داده است. حال سؤالی اصلی یادداشت حاضر آن است که کسب رضایت اشخاص در قالب موافقتنامه حریم خصوصی تا چه میزان واجد اعتبار حقوقی و قابل استناد است؟
ضرورت کسب رضایت کاربران
بند یک ماده 6 از مقررات عمومی حفاظت از داده اتحادیه اروپا
[2]، قاعده اولیهی لزوم موافقت شخص موضوع داده نسبت به پردازش دادههای شخصی را وضع نموده است. بااینحال، این مقرره شکل و قالب مشخصی را برای اعلام رضایت پیش
بینی نمینماید. سایتها عمدتاً بهمحض ورود نسبت به دسترسی و ذخیره کوکیها
[3] کسب اجازه میکنند، در برخی موارد کاربر میتواند بهطورکلی اجازهی استفاده از کوکی را داده یا بهطورکلی این امکان را منع کند و یا کوکیها را مدیریت نماید. گاه نیز سایت بهموجب اعلامیهای به کاربر هشدار میدهد که استفاده از این سایت بهمنزلهی پذیرش حق استفاده میزبان از کوکیها است، بدون آنکه کاربر امکان رد داشته باشد. در نرمافزارهای کاربردی، معمولاً نصب و راهاندازی منوط به پذیرش مقررات از جمله سیاستهای حریم خصوصی است؛ در این صورت مادام که کاربر رضایت خود را اعلام نکند، امکان بهرهبرداری وجود نخواهد داشت. دستهای از سکوها نیز بهطور خودکار اقدام به ذخیره کوکیها و جمعآوری دادههای شخصی مینمایند، با این پیشبینی که رضایت کاربران مفروض است؛ لکن کاربر قادر خواهد بود که ردیابی دادههای شخصی را مسدود ساخته و یا انصراف خود را اعلام نماید. بااینحال در ماده 7 مقرره مذکور پیشبینیشده که درخواست اعلام رضایت کتبی، میبایست به نحوی قابلتشخیص، با زبانی روشن و ساده و به شکلی قابلفهم و دسترسی باشد. در مقررات داخلی نیز ماده 58 قانون تجارت الکترونیکی مصوب 1382، ذخیره، پردازش و یا توزیع برخی از انواع دادهپیامهای شخصی را منوط به کسب رضایت صریح اشخاص موضوع داده نموده است. در همین راستا ماده 11 آییننامه حمایت از سکوها و کسبوکارهای اقتصاد دیجیتال، هرگونه دسترسی و استفاده از اطلاعات کاربران بدون مجوز قانونی یا صاحبان پیام ( دادهپیام) را ممنوع ساخته است.
اعتبار رضایت ابرازشده
صرفنظر از قالب و شکل اعلام رضایت، اخذ رضایت کاربر از دیدگاه حقوقی، عقدی است که محصول توافق دو نفع متقابل است. از این حیث شرایط اساسی صحت قرارداد
[4] میبایست در توافق مذکور که ایجاب آن با کنترلگر (سکوی ارائهدهنده خدمات) و قبول آن با کاربر است، رعایت شده باشد. حاکمیت اراده، زیربنای اساسی تمامی توافقات قراردادی است، ازاینرو در توافق بین کاربر و کنترلگر نیز ارادهی معتبر کاربر، مشتمل بر قصد و رضا او باید وجود داشته باشد، و الا اساساً نمیتوان مدعی وجود توافق و کسب رضایت شد.
بهمنظور ایجاد ارادهی الزامآور، ضروری است قصد ایجاد اثر حقوقی به همراه رضایت به آثار آن، محقق شود؛ بنابراین شرط اولیه برای اعمال اراده، وجود علم و آگاهی (تصور) نسبت به مفاد توافقی که قرار است مقصود کاربر واقع شود.
[5] بهطور مصطلح گفته میشود ارادهی اشخاص میبایست آگاهانه و آزادانه شکل گیرد؛ آگاهانه از حیث عدم وجود اشتباه یا جهل نسبت به مفاد یک توافق و آزادانه از حیث فقدان هرگونه اجبار و اکراه در ابزار و اعلام اراده.
مطالعات اخیر نشان داده است که آگاهی کافی نسبت به جزئیات توافقنامهی حریم خصوصی وجود ندارد. قراردادهای حریم خصوصی، مفاد کوتاهی ندارند، بلکه حاوی مواد مختلفی راجع به دادههای شخصی جمعآوریشده، اهداف جمعآوری، پردازش و افشای دادهها میشود. ازاینرو گفتهشده، مطالعهی هر قرارداد حریم خصوصی بهطور میانگین به 10 دقیقه زمان نیاز دارد. از طرف دیگر، قراردادهای حریم خصوصی متحدالشکل نبوده، بلکه از تنوع ساختار و مفاد برخوردار است. تحقیقات نشان داده بهطور میانگین هر شخص آمریکایی در طول ماه، از 119 سایت متفاوت بازدید کرده و میبایست موضع خود را نسبت به قرارداد حریم خصوصی هر یک از این موارد اعلام دارد. بنابراین ادعا شده مطالعهی توافقنامهی حریم خصوصی در هر شبانهروز 40 دقیقه و در طول سال حدود 244 ساعت معادل 10شبانهروز، زمان به خود اختصاص میدهد.
[6] از همین رو است که در عمل تحقیقات نشان داده: 36 درصد از کاربران آمریکایی که با درخواست اعلام موافقت نسبت به سیاست حریم خصوصی مواجه شدهاند، خود بیان داشتهاند که بدون مطالعهی آن، موافقت خود را اعلام مینمایند و 38 درصد از کل جامعه مزبور، گاهی سیاستنامهی مذکور را مطالعه میکنند. افزون بر این، قراردادهای حریم خصوصی حاوی شروط و مندرجاتی است، که فهم دقیق و موشکافانهی آن برای حجم وسیعی از کاربران فضای مجازی که با حقوق حریم خصوصی بهطور خاص حریم خصوصی داده آشنایی ندارند، دشوار است. تحقیقات نشان داده است که 32 درصد از جامعه آماری کاربران مذکور در ایالاتمتحدهی آمریکا اعلام داشتهاند که فهم مفاد قرارداد مذکور برای آنها دشوار و یا غیرممکن است و تنها 13 درصد کاربران بهطور قابلتوجهی مفاد این موافقتنامهها را درک نمودهاند.
[7]
از منظر حقوق ایران، این موضوع حساسیت بیشتری پیدا مینماید. از یکسو خلأ مقررات جامعی که در آن ارائهدهندگان سکوها را ملزم به کسب رضایت و انعقاد توافقنامه استاندارد با شروط تحمیلی به نفع کاربران نماید، احساس میشود و از سوی دیگر به نظر میرسد عموم کاربران و ارائهدهندگان ایرانی هنوز بهطور مؤثر و کافی از اهمیت دادههای شخصی و حقوق مرتبط با آن اطلاعی ندارند؛ بنابراین از منظر حقوق قراردادها اعلام رضایت کاربران در بیشتر موارد فاقد اعتبار حقوقی است. ماده 194 قانون مدنی در این خصوص مقررات داشته: " الفاظ و اشارات و اعمال دیگر که متعاملین بهوسیله آن انشاء معامله مینمایند باید موافق باشد بهنحویکه احد طرفین همان عقدی را قبول کند که طرف دیگر قصد انشاء او را داشته است و الا معامله باطل خواهد بود" ازاینرو نمیتوان اظهار نمود که کاربری که به علت عدم مطالعه یا عدم درک صحیح، از مفاد قرارداد بیاطلاع است، همان چیزی را که طرف مقابل ایجاب نموده، قبول کرده است. ازاینرو صرفنظر از مواردی که کنترلگران بدون رضایت کاربر، اقدام به جمعآوری داده مینمایند، اعمال ارادهی طیف وسیعی از کاربران فضای بدون وجود آگاهی محقق شده و معتبر نیست؛ مضافاً اینکه در مقام تعارض ارادهی باطنی و ظاهری، یعنی فرضی که کاربر برای آنکه بتواند از سایت بازدید کند یا در آن ثبتنام نماید، رضایت خود را اعلام نموده باشد ولی در باطن نسبت به مفاد توافقنامه بیاطلاع بوده و در نتیجه قصد پذیرش مندرجات را ندارد، ارادهی باطنی مقدم خواهد بود.
[8]
به نظر میرسد، قالب فعلی توافقنامههای حریم خصوصی، اهداف مندرج در مقررات حفاظت از داده را مبنی بر لزوم اخذ رضایت کاربران موضوع داده، فراهم نمیآورد؛ ازاینرو، افزون برافزایش دانش و آگاهی اشخاص نسبت به حقوق داده و مدیریت آن، پیشبینی قالبهای متحدالشکل و نسبتاً آشنا مانند قالبهای قراردادی با موضوع حقوق اموال که در آن، هر شخص متعارفی میتواند ارزش موضوع توافق، همچنین تعهدات و تکالیف ناشی از قرارداد را بهخوبی درک کند، اجتنابناپذیر است. بدین منظور، توافقنامههای حریم خصوصی میبایست بهصورت متحدالشکل و با رعایت استانداردها و شروط تحمیلی از سوی نهاد تنظیمگر با زبانی ساده، بهنحویکه برای حداکثر اقشار جامعه قابلفهم باشد تدوین شود و تا حد امکان از تنوع در محتوا و ساختار و تفصیل جزییات غیرکاربردی در این دست موافقتنامهها خودداری شود. تفسیر این نوع قراردادها نیز همواره میبایست به نفع طرف ضعیفتر قرارداد (کاربران) صورت گرفته و با لحاظ ماده 46 قانون تجارت الکترونیکی مصوب 1382، شروط غیرمنصفانه به ضرر مصرفکننده میبایست کأن لم یکن تلقی گردد.
نویسنده: سید امین پیشنماز (دانشجوی دکتری حقوق خصوصی دانشگاه شهید بهشتی)
گروه مطالعات حقوقی و مقرراتی پژوهشگاه فضای مجازی
[2] General Data Protection Regulation (GDPR)
[3] کوکیها (
Cookie) بستههایی اطلاعات است که بنا به درخواست یک تارنما از مرورگر رایانه یا تلفن بر روی یک رایانه یا تلفن همراه ذخیره میشود، از طریق کوکیها بخشی از اطلاعات بازدیدهکننده را ثبت و ذخیره مینمایند.
[4] در حقوق ایران ماده 190 قانون مدنی متعرض این شرایط شده است: " برای صحت هر معامله شرایط ذیل اساسی است:
۱) قصد طرفین و رضای آنها 2) اهلیت طرفین 3) موضوع معین که مورد معامله باشد 4) مشروعیت جهت معامله.
[5] در خصوص مراحل شکلگیری اراده از تصور تا اندیشه، رضا و در نهایت قصد رجوع شود به شهیدی، مهدی، حقوق مدنی، جلد اول، تشکیل قراردادها و تعهدات، چاپ نهم، انتشارات مجد، 1392، ص129.
[6] McDonald & Lorrie Faith Cranor, “The Cost of Reading Privacy Policies
", Journal of Law and Policy for the Information Society, 2008, 2, 17.
[7] “Privacy Policies are Legally Required” last modified May 17, 2022. https://www.privacypolicies.com/blog/privacy-policies-legally-required/
[8] رجوع شود به ماده 196 قانون مدنی؛ با این توضیح که بخش دوم این ماده، اثبات اراده باطنی را سبب تقدم آن بر اراده ظاهری عنوان نموده است.
نظر کاربران
