مقدمه

هندوستان با بالغ بر ۱.۴ میلیارد نفر جمعیت بزرگ‌ترین و پرجمعیت‌ترین کشور جهان به‌حساب می‌آید. طبق آمارهای اعلامی این کشور تا پایان سال ۲۰۲۲ بیش‌تر از ۸۰۰ میلیون کاربر فعال متصل به اینترنت جهانی داشته است و پیش‌بینی می‌شود این جمعیت در سال ۲۰۳۰ از مرز ۱.۳ میلیارد نفر عبور نماید. دیجیتالی شدن هند، ورود شرکت‌ها و کسب‌وکارهای بزرگ فناوری به این کشور، همچنین رشد و توسعه نوآوری‌ها و کارآفرینی در فضای دیجیتال، زندگی میلیون‌ها هندی را دست‌خوش تغییر نموده است. بااین‌حال علی‌رغم فواید دسترسی گسترده به فناوری‌های آنلاین نباید از خاطر برد که هندوستان بزرگ‌ترین سرانه تولید و مصرف داده در جهان را به خود اختصاص داده است[۱]؛ بر این اساس دولت ملی هند در راستای حفاظت از حقوق شهروندان خود وظیفه دارد چارچوبی از بایدها و نبایدهای حاکم بر تعامل و استفاده از داده‌ها به‌خصوص داده‌های شخصی در قلمرو سرزمین داخلی و همچنین نقل‌وانتقال داده‌ها به آن‌سوی مرزها را ترسیم نماید. در یادداشتحاضر، در سه بخش، نخست پیشینه مقررات حریم خصوصی در هند موردمطالعه قرار می‌گیرد؛ در بخش دوم، پیش‌نویس لایحه حفاظت از داده‌های شخصی دیجیتال[۲] ۲۰۲۲ موسوم به (DPDP) معرفی‌شده و در بخش سوم انتقادات وارده به این پیش‌نویس تشریح می‌گردد.

بخش اول: بزرگ‌ترین دموکراسی جهان در مسیر شناسایی حق حریم خصوصی

الف. پیش از سال ۲۰۱۷ میلادی

در قانون اساسی هندوستان مصوب ۱۹۴۹ مستقیماً اشاره‌ای به‌حق حریم خصوصی به معنایی که امروزه به‌عنوان یکی از حقوق بنیادین بشر از آن یاد می‌شود، دیده نمی‌شود. بااین‌حال به‌طور جسته‌وگریخته در برخی از پرونده‌های قضایی در قرن بیستم اشاراتی به حریم خصوصی شده است. از جمله آن‌که در پرونده خاراک سینگ علیه ایالت اوتارپرادش[۳] در خصوص عدم انطباق بند ب از ماده 236 آیین‌نامه ایالتی پلیس با اصل 21 قانون اساسی راجع به حمایت از حق بر زندگی و آزادی شخصی هیئت شش نفره قضات بند مذکور را که ورود به منزل و تفتیش شبانه در خصوص متهمین به جرائم عادی را تجویز نموده بود، بر خلاف حق حریم خصوصی اشخاص و اصل 21 قانون اساسی دانست. اما به‌طورکلی در این پرونده حق حریم خصوصی به‌عنوان یک حق جامع مورد شناسایی قرار نگرفت و بند ب ماده 236 نیز از این حیث که به‌طور فیزیکی مانعی برای آزادی اشخاص ایجاد می‌نمود، بر خلاف قانون اساسی شناخته شد.

قانون فناوری اطلاعات هند[۴] مصوب ۲۰۰۰ نخستین قانونی است که در هندوستان به بیان موضوعات راجع به فناوری از جمله تعریف داده‌ها پرداخته است. بااین‌حال در این قانون به موضوع داده‌ها و اطلاعات شخصی اشاره‌ای نشد. در سال ۲۰۰۵ قانون حق بر اطلاعات[۵] به تصویب رسید که در آن دسترسی به اطلاعات به‌عنوان یکی از حقوق شهروندان هندی به رسمیت شناخته شد. در زیر بند (j) بند ۱ ماده ۸ این قانون، یکی از مستثنیات قاعده لزوم انتشار و افشاء اطلاعات شخصی افراد است که انتشار آن منافع عمومی را در برنداشته و ضرورتی انتشار آن را توجیه نمی‌نماید.

در سال ۲۰۰۸ میلادی قانون فناوری اطلاعات مورد بازبینی قرار گرفت و ماده ۴۳ آن دست‌خوش اصلاحات شد. بر مبنای اصلاحات جدید پیرامون به رسمیت شناختن ضمانت اجرای جبران خسارت در صورت ناتوانی در حفاظت از داده‌ها است. در این ماده، هر شخص حقوقی که مدیریت و یا تعامل با داده‌های شخص حساس را بر عهده دارد درصورتی‌که در اجرا و حفظ شیوه‌ها و رویه‌های امنیتی معقول سهل‌انگاری کرده و در نتیجه باعث ورود ضرر یا تحصیل سود غیرقانونی برای هر شخص شود، نسبت به زیان‌دیده تا سقف پنجاه میلیون روپیه مسئول خواهد بود. در این ماده سه اصطلاح شرکت یا بنگاه دارای شخصیت حقوقی[۶]، شیوه‌ها و رویه‌های امنیتی معقول[۷] و داده‌ها و اطلاعات شخصی حساس[۸] مورد تعریف قرارگرفته است. مقصود از داده‌ها و اطلاعات شخصی حساس در این ماده “آن دست اطلاعات شخصی است که توسط دولت مرکزی با مشورت نهادها یا انجمن‌های حرفه‌ای که صلاح بداند تعیین می‌شود”. در این اصلاحات همچنین بر اساس زیر بند (ob) از بند دوم ماده ۸۷ وزارت ارتباطات و فناوری اطلاعات[۹] در خصوص ماده ۴۳ اصلاحی، مکلف به وضع قواعدی تحت عنوان قواعد فناوری اطلاعات (روش‌ها و رویه‌های امنیتی معقول و داده‌ها یا اطلاعات شخصی حساس)[۱۰] شد.

این قواعد در سال ۲۰۱۱ به تصویب رسید و در سال ۲۰۱۲ اجرایی شد و تا زمان نگارش این یادداشت تنها مقرره‌ای است که به‌طور نسبتاً جامع به موضوعات مرتبط با داده‌های شخصی حساس از جمله جمع‌آوری، پردازش، انتقال و افشای داده‌های شخصی حساس و رویه‌های امنیتی معقول می‌پردازد.
علی‌رغم نوآوری‌ها و جنبه‌های مثبت قواعد فناوری اطلاعات ۲۰۱۱، حمایت‌های موضوع این مقرره ناکافی تلقی شده است. عدم اتخاذ راهکاری برای مقابله با سوءاستفاده از داده‌های جمع‌آوری‌شده از کودکان، نقض داده‌ها توسط شرکت‌های خارج از هند و دامنه محدود تعریف داده‌های حساس، از جمله ایراد است.

علاوه بر این مدل حمایتی از مقرره در چهار سطح ناکافی است: اولاً، این مدل حریم خصوصی را به‌عنوان یک حق قانونی است نه اساسی به رسمیت می‌شناسد لذا الزامات آن در مورد پردازش داده‌های فردی توسط دولت اعمال نمی‌شود. دوم، فقط چند نوع داده را به رسمیت می‌شناسد که باید محافظت شوند. سوم، مسئولیت‌های کمی را بر کنترل‌کننده‌های داده تحمیل می‌کند که می‌توان الزامات و مسئولیت‌ها را هم با قرارداد از میان برداشت. چهارم، مجازات کمی برای متخلفان وجود دارد.

همان‌گونه که قابل‌ملاحظه است یکی از ایرادات این مقرره و به‌طورکلی رویکرد نظام حقوقی و محاکم هندوستان به مسئله حق حریم خصوصی، شناسایی این حق نه به‌عنوان یک حق بنیادین و اساسی که موردحمایت قانون اساسی بلکه به‌عنوان یک حق قانونی که مورد حمایت قوانین عادی است، می‌باشد. ثمره اصلی این بحث در دعاوی علیه دولت هند نمود پیدا می‌کند؛ درصورتی‌که حق حریم خصوصی یک حق اساسی و بنیادین باشد، افزون بر روابط خصوصی اشخاص در برابر دولت نیز قابل استناد است و دولت نیز باید به این حق در چهارچوب سیاست‌گذاری و حکمرانی خود احترام بگذارد.

ب. بعد از سال ۲۰۱۷ میلادی

این پرسش که آیا حریم خصوصی حقی اساسی یا خیر مجدداً در سال ۲۰۱۵ پیرامون اعتبار قانونی پایگاه داده ادهار[۱۱] مطرح شد. بر اساس طرح ادهار دولت هند از طریق مرکزی به نام مرکز شناسایی منحصربه‌فرد هند[۱۲] به‌منظور ارائه خدمات رفاهی چون یارانه و دیگر مزایا و خدمات مالی دیگر به شهروندان هند، بعد از جمع‌آوری داده‌ها و اطلاعات شخصی افراد، کارت شناسایی با شناسه ۱۲ رقمی صادر می‌نمود. در این خصوص دادخواستی توسط قاضی بازنشسته آقای پوتاسوامی[۱۳] برای به چالش کشیدن اعتبار قانونی طرح کارت شناسایی ادهار با توجه به هنجارهای مربوط به گردآوری و پردازش داده‌های بیومتریک برای صدور شناسه ادهار علیه دولت مرکزی هندوستان به دیوان عالی کشور تقدیم شد[۱۴]. در فرایند رسیدگی به این پرونده، دادستان کل در راستای حمایت از طرح ادهار برآمد و تأکید نمود که حق حریم خصوصی در قانون اساسی هند به رسمیت شناخته‌نشده است. او همچنین به چندین رأی صادره از دیوان عالی کشور در قرن بیستم استناد نمود که در آن حق حریم خصوصی به‌عنوان حقوق موردحمایت قانون اساسی به شمار نیامده است.

بااین‌حال هیئت نه نفره قضات رسیدگی‌کننده در رأی تاریخی خود، با اتفاق‌نظر حریم خصوصی را به‌عنوان یکی از مظاهر و مصادیق اصل ۲۱ قانون اساسی هندوستان دانست. در اصل قانون اساسی آمده است که: ” هیچ شخصی را نمی‌توان از زندگی یا آزادی شخصی خود محروم کرد مگر به ترتیبی که قانون تعیین می‌کند”.

هیئت قضات در رأی خود این ادعا که حق حریم خصوصی تحت حق زندگی، آزادی شخصی و آزادی‌های تضمین‌شده ذیل قسمت سوم قانون اساسی محافظت شود را مثبت ارزیابی نمود. همچنین، استدلالِ دادستان کل مبنی بر اینکه حق حفظ حریم خصوصی باید به نفع حقوق رفاهی ارائه‌شده توسط دولت نادیده گرفته شود در تصمیم دادگاه رد شد. دادگاه همچنین بر این واقعیت تأکید کرد که گرایش جنسی یک جنبه ضروری از حریم خصوصی است. درعین‌حال ابعاد منفی و مثبت حق بر حریم خصوصی در رأی موردبحث قرار گرفت که به‌موجب آن دولت نه‌تنها از ارتکاب تجاوز به‌حق می‌بایست خودداری کند (حقوق منفی)، بلکه موظف بود اقدامات لازم را برای محافظت از حریم خصوصی افراد انجام دهد (حقوق مثبت). در نهایت این حکم، حریم خصوصی اطلاعاتی را بخشی از حق حفظ حریم خصوصی به‌حساب آورد.

در مجموع هیئت قضات درحالی‌که بر این باور بود که حق حفظ حریم خصوصی ماهیت مطلق ندارد، در حکم خودنمایی کلی از استانداردهای لازم برای بررسی قضایی در موارد مداخله دولت در حریم خصوصی افراد ارائه داد. این دادگاه اعلام کرد که حق حفظ حریم خصوصی ممکن است دچار محدودیت شود، درصورتی‌که اقدام به ورود به حوزه حریم خصوصی اشخاص با شرایط سه‌گانه ذیل مطابقت داشته باشد:

1. قانونی باشد؛ که استناد به قانون را ضروری می‌سازد.
2. وجود ضرورت؛ که بر اساس هدف مشروع دولت تعریف‌شده باشد.
3. تناسب؛ که ارتباط منطقی بین اهداف و تدابیر و شیوه‌ها اتخاذشده برای دستیابی به اهداف را تضمین نماید.

هیئت دیوان ضمن اشاره به نیاز به قانون حفاظت از داده‌ها، قانون‌گذاری در این زمینه را در حیطه پارلمان قرار دارد.

در پی صدور رأی فوق‌الذکر، تلاش‌ها برای تدوین قانون حفاظت از داده در هند گسترش یافت؛ خصوصاً آن‌که در همان زمان اتحادیه اروپا مقرره عمومی حفاظت از داده‌های شخصی[۱۵] را به‌تازگی به تصویب رسانده بود و توجهات زیادی را به خود جلب نموده بود. در آگوست ۲۰۱۷، وزارت الکترونیک و فناوری اطلاعات[۱۶] هند کمیته‌ای کارشناسی را برای مطالعه و شناسایی مسائل کلیدی حفاظت از داده‌ها و توصیه روش‌هایی برای رسیدگی به آن‌ها تشکیل داد. این کمیته ده‌نفره توسط قاضی بازنشسته دیوان عالی آقای بی.ان. سریکریشنا[۱۷] رهبری می‌شد و شامل اعضایی از دولت، دانشگاه و صنایع بود. این کمیته همچنین وظیفه ارائه پیش‌نویس لایحه‌ای را برای حفاظت از داده‌ها داشت[۱۸] کمیته گزارش خود را منتشر کرد و لایحه حفاظت از داده‌های شخصی ۲۰۱۸ را در جولای ۲۰۱۸ پیشنهاد کرد. این لایحه در پانزده فصل و 112 ماده توسط دولت تصویب و به مجالس تقدیم شد. لایحه مذکور حاوی نوآوری بود و متعرض موضوعاتی می‌شد که پیش از آن در قواعد فناوری اطلاعات ۲۰۱۱ سابقه‌ای نداشت. از جمله در ماده 3 این قانون ذیل عنوان تعاریف، اصطلاحاتی چون اصیل داده[۱۹]، امین داده[۲۰]، پردازشگر داده[۲۱]، کودک مشمول، داده‌های شخصی، داده‌های شخصی حساس، نقض داده‌های شخصی[۲۲] و… مورد تعریف قرار گرفت درحالی‌که پیش از آن مقرره سال ۲۰۱۱ صرفاً به موضوع داده‌های حساس پرداخته بود و تعریفی از مطلق داده‌های شخصی ارائه نکرده بود. در نهایت این مقرره، به علت وجود کاستی‌هایی در لاک‌سابها[۲۳] به تصویب نرسید و برای اعمال اصلاحات به دولت بازگردانده شد. سه ایراد عمده لایحه ۲۰۱۸ عبارت‌اند از:

• پیش‌بینی نهاد نظارتی غیرمستقل
• اعطای مجوز گسترده به دولت برای دسترسی به داده‌های شخصی
• الزام سرویس‌ها و پلتفرم‌های خارجی به محلی سازی و نگهداری نسخه‌ای از داده‌ها در خاک هندوستان به‌منظور دسترسی دولت مرکزی

پس از استرداد لایحه ۲۰۱۸ توسط دولت، وزارت الکترونیک و فناوری اطلاعات متصدی اصلاح این لایحه شد. در نهایت پس از انجام پاره‌ای از اصلاحات در ۱۱ دسامبر ۲۰۱۹ لایحه جدیدی به نام حفاظت از داده‌های شخصی ارائه شد. لایحه ۲۰۱۹ در ۱۴ فصل و ۹۸ ماده تنظیم‌شده است و یک‌فصل کمتر از لایحه ۲۰۱۸ داشته و به نحوی دچار تلخیص شده است. در این لایحه بسیاری از مواد لایحه ۲۰۱۸ تکرار شده است، بااین‌حال حاوی ابتکارات و نوآوری‌هایی نسبت به لایحه قبلی است. از جمله آن‌که، الزام ذخیره یک نسخه کپی شده از تمام داده‌های شخصی و نگهداری آن در قلمرو هند موضوع ماده ۴۰ لایحه ۲۰۱۸ حذف شد و ماده ۴۲ لایحه ۲۰۱۹، ترکیب اعضای کمیته‌ای که اعضا و رئیس مرکز حفاظت از داده را به دولت مرکزی پیشنهاد می‌دهد، تغییر داد.

این لایحه در تاریخ ۱۱ دسامبر ۲۰۱۹ به کمیته‌ای موقت به نام کمیته مشترک پارلمانی[۲۴] ارجاع داده شد. اعضای کمیته در گزارشی که در ۱۶ دسامبر ۲۰۲۱ بعد از فروکش کردن همه‌گیری کرونا منتشر شد ۸۱ تغییر و ۱۲ توصیه را در خصوص این لایحه اظهار داشتند. گزارش اصلاحی کمیته مذکور به‌طور قابل‌توجهی ماهیت لایحه ۲۰۱۹ را دگرگون ساخت؛ از گزارش مذکور تحت عنوان لایحه ۲۰۲۱ حفاظت از داده[۲۵] یاد می‌شود[۲۶]

خانم ماهوا مویترا[۲۷] یکی از اعضای کمیته مشترک پارلمانی لایحه ۲۰۱۹ را دارای ماهیت اورولی[۲۸] از نظر اعطای اختیارات بیش‌ازحد دسترسی و نظارت به دولت مرکزی اعلام نمود. علاوه سخت‌گیرانه بودن مقررات لایحه به‌خصوص در رابطه با انتقال بین‌المللی داده‌ها انتقاداتی فراوانی را از سوی فعالان کسب‌وکارها و سکوهای دیجیتال به همراه داشت.

در نهایت با توجه به انتقادات و اصلاحات مفصل پیشنهادی توسط کمیته مشترک پارلمانی که ماهیت لایحه را به‌کلی دگرگون نموده بود، دولت مرکزی در تاریخ سوم آگوست ۲۰۲۲، لایحه را از مجلس عوام مسترد نمود. در حقیقت دولت اعتراف کرد که این لایحه نمی‌تواند به حریم خصوصی دیجیتال در کشوری که تا سال ۲۰۲۶ به یک اقتصادِ دیجیتالِ یک تریلیون دلاری تبدیل می‌شود، رسیدگی کند. با استرداد لایحه 2019، لایحه ۲۰۲۱ حفاظت از داده که در حقیقت نکات اصلاحی کمیته مشترک در خصوص لایحه ۲۰۱۹ بود عملاً منتفی شد. بااین‌حال در نوامبر ۲۰۲۲، وزارت الکترونیک و فناوری اطلاعات هند پیش‌نویس لایحه‌ای با عنوان حفاظت از داده‌های شخصی دیجیتال را برای جلب نظرات عموم منتشر ساخت. ابعاد مختلف این لایحه، در بخش دوم این یادداشت مورد تحلیل قرار می‌گیرد.