وباعتبارها واحدة من الدول التي تتمتع بأعلى سرعة في تطوير وتطبيق الإنترنت في العالم مع استخدام ما يقرب من 80% من السكان لها، يتم تخزين البيانات الشخصية لنحو ثلثي سكان فيتنام ونشرها ومشاركتها وجمعها على الفضاء الإلكتروني في أشكال ومستويات مختلفة من التفاصيل.
في عامي ٢٠٢٢ و٢٠٢٣، نظرت فيتنام في خمس قضايا جنائية تتعلق بآلاف الجيجابايت من البيانات ومليارات المعلومات الشخصية التي تم شراؤها وبيعها. وهذا يُظهر الحاجة المُلِحّة إلى تحسين قانون حماية البيانات الشخصية بالاستناد إلى البحث العلمي والرجوع إلى القانون الدولي.
القانون الدولي بشأن حماية البيانات الشخصية
 |
| يعتبر اللائحة العامة لحماية البيانات (GDPR) خطوة قانونية كبيرة إلى الأمام، حيث أنها تخلق آلية حماية المعلومات الشخصية الأكثر صرامة في العالم اليوم. |
تعتبر اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي خطوة قانونية رئيسية إلى الأمام، حيث تخلق آلية حماية المعلومات الشخصية الأكثر صرامة في العالم اليوم ويتم تطبيقها على جميع المنظمات والشركات التي تقوم بمعالجة البيانات الشخصية لمواطني الاتحاد الأوروبي.
يفرض النظام العام لحماية البيانات (GDPR) عقوبات موحدة على الشركات في جميع أنحاء الاتحاد. وتتراوح الغرامات بين 2% من إجمالي المبيعات أو 10 ملايين يورو للمخالفات البسيطة، و4% من إجمالي المبيعات أو 20 مليون يورو للمخالفات الجسيمة. بالإضافة إلى الغرامات، قد تخضع الشركات التي تنتهك النظام العام لحماية البيانات لعقوبات أخرى، مثل إجبارها على إيقاف معالجة البيانات أو حذف البيانات التي عولجت بشكل مخالف.
إن سلطة حماية البيانات الشخصية في الاتحاد الأوروبي هي هيئة الإشراف على حماية البيانات في الاتحاد الأوروبي (EDPS) - وهي هيئة مستقلة تضم في عضويتها محامين ذوي خبرة وخبراء في تكنولوجيا المعلومات ومديرين.
تتمثل المهمة الرئيسية لهذه الهيئة في الإشراف على معالجة البيانات الشخصية في وكالات ومنظمات الاتحاد الأوروبي، بالإضافة إلى تقديم المشورة بشأن القضايا المتعلقة بها. كما يشترط النظام العام لحماية البيانات إنشاء هيئة لحماية البيانات الشخصية في كل دولة عضو، مثل اللجنة الوطنية لحماية البيانات الشخصية (فرنسا، أيرلندا...) أو مفتشية حماية البيانات (فنلندا، لاتفيا...).
إلى جانب النظام الأوروبي لحماية البيانات، أنشأ الاتحاد الأوروبي أيضًا مجلس حماية البيانات الأوروبي (EDPB)، والذي يتألف من ممثلين عن سلطات حماية البيانات الوطنية في الدول الأعضاء وممثلين عن الاتحاد الأوروبي، ويعمل كهيئة استشارية مستقلة رئيسية بشأن قضايا حماية البيانات الشخصية، والمسؤول عن التطبيق المتسق لـ GDPR في جميع أنحاء الاتحاد.
ينصّ النظام العام لحماية البيانات (GDPR) على عقوبات رادعة للغاية، مادية ومعنوية. إضافةً إلى ذلك، تتمتع هيئة حماية البيانات الشخصية في الاتحاد الأوروبي، التي تُطبّق وفق نموذج المفوضية/المفوض، بصلاحيات واسعة ومستقلة لفرض عقوبات في حال انتهاك المؤسسات للوائح حماية البيانات الشخصية، وهي قادرة على تقييم ومعالجة البيانات الشخصية بشكل مستقل.
يُعد قانون حماية المعلومات الشخصية الصيني (PIPL) ، الصادر عام ٢٠٢١، أول قانون شامل على المستوى الوطني لحماية المعلومات الشخصية في الصين. يُقدم هذا القانون رؤيةً موحدةً نسبيًا للبيانات الشخصية/المعلومات الشخصية كمعلومات تُعرّف أو تُحدد هوية فرد مُحدد، مُستهدفًا مجموعةً محدودةً من الأفراد داخل أراضي الصين (المادة ٤، الفصل الأول من PIPL). وفي الوقت نفسه، يُنظم مسألة البيانات الشخصية الحساسة لوضع لوائح تُنظم حقوق والتزامات الأطراف فيما يتعلق بمجموعات بيانات أكثر تحديدًا.
تُفرض عقوبات صارمة على انتهاكات حقوق البيانات الشخصية بموجب قانون حماية البيانات الشخصية، وتشمل: التعويض القسري، ومصادرة الدخل غير المشروع، وتعليق الخدمات، وإلغاء تراخيص التشغيل أو الأعمال، وغرامات تصل إلى 50 مليون يوان أو 5% من الإيرادات السنوية للمؤسسة في السنة المالية السابقة. كما يجوز تسجيل الانتهاكات في "ملف الائتمان" الخاص بوحدة المعالجة في النظام الوطني للائتمان الاجتماعي.
علاوةً على ذلك، ستكون وحدات المعالجة مسؤولة عن تعويض الأضرار في حال انتهاكها حقوق ومصالح المنظمات والأفراد. كما يُنظّم القانون الجنائي الصيني العقوبات الجنائية على هذه الأنواع من الانتهاكات تحديدًا، حيث ينص على مسؤولية جنائية أشدّ لمن يُلزمون بالحفاظ على سرية المعلومات، ويضيف إلى ذلك شكل مصادرة الممتلكات، وينص على السجن المؤبد كأقصى عقوبة.
قانون حماية البيانات الشخصية في سنغافورة (PDPA) الصادر عام ٢٠١٢ (والمُعدَّل عام ٢٠٢٠). يُقرّ القانون السنغافوري بالحق في حماية البيانات الشخصية، بالإضافة إلى ضرورة تنظيم جمع المعلومات واستخدامها والإفصاح عنها لأغراض مناسبة في ظروف مُحددة.
ينص قانون حماية البيانات الشخصية أيضًا على عقوبات مالية صارمة لانتهاكات البيانات. سيُعرَّض المخالفون الأفراد للغرامات أو السجن. وتختلف الغرامات حسب طبيعة المخالفة وشدتها، وتتراوح بين 2000 و100,000 دولار سنغافوري (ما يعادل 1.6 مليار دونج فيتنامي) و/أو السجن لمدة لا تزيد عن 12 شهرًا، أو حتى 3 سنوات في الحالات الخطيرة1؛ أما الوكالات والشركات المخالفة، فيمكن تغريمها بما يصل إلى 10% من إجمالي مبيعاتها السنوية.
الهيئة التي تلعب دورًا هامًا في ضمان تطبيق قانون حماية البيانات الشخصية هي هيئة حماية البيانات الشخصية. وهي هيئة متخصصة تتمتع بصلاحيات واسعة وقدرات إنفاذ واسعة، ولها الحق في مطالبة الأفراد والمؤسسات بتقديم معلومات ووثائق تتعلق بمعالجة البيانات الشخصية، وفرض غرامات مالية على المخالفين، بالإضافة إلى اتخاذ إجراءات أخرى للتعامل معها.
إن إنشاء وكالة متخصصة، وهي لجنة حماية البيانات الشخصية في سنغافورة، والتي تعمل بشكل مستقل واستباقي في الكشف عن الانتهاكات ومعالجتها وتطبيق العقوبات، يعد أيضًا أحد الشروط اللازمة للتنفيذ الفعال لحماية البيانات الشخصية في سنغافورة.
توصيات لتحسين قوانين حماية البيانات الشخصية في فيتنام
يوجد حاليًا في فيتنام 69 وثيقة قانونية مرتبطة بشكل مباشر بقضية حماية البيانات الشخصية المنصوص عليها في وثائق مختلفة بما في ذلك الدستور، والقانون (4)، والقانون (39)، والمرسوم (1)، والمرسوم (2)، والتعميم/التعميم المشترك (4)، وقرار الوزير (1).
تتناول هذه الوثائق بشكل أساسي مسألة حماية البيانات الشخصية بهدف تعزيز مبدأ ضمان خصوصية صاحبها، إلا أنها تتضمن لوائح مختلفة بشأن المعلومات المتعلقة بالبيانات الشخصية، وتتناول مسائل حقوق والتزامات أصحاب البيانات، ومعالجة المعلومات، وأساليب حماية البيانات الشخصية. وقد حقق القانون المنظم لمسألة حماية البيانات الشخصية في فيتنام نتائج ملحوظة، لا سيما في 17 أبريل/نيسان 2023، حيث أصدرت الحكومة المرسوم رقم 12/2023/ND-CP بشأن حماية البيانات الشخصية - وهو وثيقة منفصلة تنظم هذه المسألة في بلدنا. وقد مهدت هذه الوثائق القانونية الطريق القانوني لحماية البيانات الشخصية؛ إذ حددت حقوق أصحاب البيانات، وكذلك أطراف المعالجة، وفرضت عقوبات على انتهاكات حماية البيانات الشخصية، وحددت الوكالة المتخصصة لحماية البيانات الشخصية، وهي إدارة الأمن السيبراني ومنع الجرائم التقنية العالية التابعة لوزارة الأمن العام .
 |
| تواجه فيتنام العديد من المخاطر والتحديات والأخطار الناجمة عن الفضاء الإلكتروني، وخاصة تسرب المعلومات والبيانات الشخصية والاستيلاء عليها، مما يسبب العديد من الآثار الضارة على المواطنين والمجتمع. |
ومع ذلك، فإن التنفيذ الفعلي لهذه الوثائق كشف أيضًا عن العديد من القيود مثل الوثائق القانونية المنفصلة الحالية على مستوى المرسوم فقط، ولا تلبي أهمية حماية البيانات الشخصية، والعديد من المحتويات حاليًا منظمة بشكل عام وغير واضحة، مما يؤدي إلى عدم وجود إرشادات محددة لكل حالة محددة، والعقوبات لا تزال خفيفة وغير رادعة بما فيه الكفاية.
في ظل هذه الظروف، كان ولا يزال التحسين المستمر لقانون حماية البيانات الشخصية في فيتنام مسألةً تستدعي الدراسة بالاستناد إلى تجارب الدول الأخرى. وتحديدًا:
أولاً، سنّ قانون لحماية البيانات الشخصية . في سياق الثورة الصناعية الرابعة، أصدرت 80 دولة، على المستويين الإقليمي والوطني، وثائق قانونية منفصلة لحماية البيانات الشخصية. تحتاج فيتنام إلى البحث وإصدار قانون عام ومتخصص في مجال البيانات قريبًا، مثل قانون خصوصية البيانات، كما هو الحال في الاتحاد الأوروبي والصين وسنغافورة، والذي يحدد القضايا والمبادئ الأساسية لحماية البيانات الشخصية. سيُشكّل إصدار قانون منفصل بشأن البيانات الشخصية أساسًا قانونيًا مهمًا لحماية البيانات الشخصية، خاصةً وأن الوثائق القانونية المتعلقة بهذه القضية في بلدنا غير موحدة من حيث المصطلحات ولوائح المحتوى.
ثانيًا، تعديل وتكملة العقوبات المفروضة على انتهاكات البيانات الشخصية بشكل أشد لتتناسب مع طبيعة الانتهاك وشدته. على الرغم من أن عقوبات انتهاكات البيانات الشخصية في بلدنا تشمل عقوبات إدارية ومدنية وجنائية، إلا أنها عادةً ما تكون خفيفة وقليلة الردع. ولا يزال الأسلوب الرئيسي حاليًا هو تطبيق العقوبات على الانتهاكات الإدارية، إلا أن اللوائح متناثرة في العديد من المراسيم بغرامات منخفضة نسبيًا، تصل أقصاها إلى 100 مليون دونج للأفراد و200 مليون دونج للمنظمات.
في حين أن الضرر الذي قد تُسببه الانتهاكات الإدارية للبيانات الشخصية لا يقتصر على الأضرار المادية فحسب، بل يمتد ليشمل الإضرار بالشرف والكرامة. فبالإضافة إلى العقوبات الإدارية، لا تُطبق العقوبات الجنائية على انتهاكات البيانات الشخصية إلا في لوائح الخصوصية ومجال تكنولوجيا المعلومات وأمن الشبكات، وذلك في المادتين 159 و288 من قانون العقوبات الحالي، مع عقوبة سجن منخفضة نسبيًا لا تتجاوز 7 سنوات وغرامة لا تتجاوز مليار دونج. وتُعتبر هذه الغرامة، مقارنةً بغرامات الاتحاد الأوروبي البالغة 20 مليون يورو، أو مليون دولار سنغافوري في سنغافورة، أو السجن المؤبد في الصين، منخفضة جدًا، ولا تتناسب مع العديد من الانتهاكات.
وفي الوقت نفسه، من الضروري تنظيم العديد من مجموعات السلوكيات التي لم يتم ذكرها حاليًا في القانون، مثل تداول البيانات على نطاق واسع، وإقامة أنظمة لانتهاك البيانات، والانتهاكات في أعمال خدمات التسويق، وما إلى ذلك.
ثالثًا، على غرار هيئة حماية البيانات الشخصية في فيتنام . حاليًا، تُعدّ إدارة الأمن السيبراني ومكافحة جرائم التكنولوجيا المتقدمة التابعة لوزارة الأمن العام الجهة المختصة بحماية البيانات الشخصية. وبالرجوع إلى اللوائح الدولية، يُمكننا النظر في إنشاء هيئة مستقلة لحماية البيانات الشخصية تُعنى بتطبيق قانون حماية البيانات الشخصية، وإجراء عمليات التفتيش والفحص، وإصدار الإرشادات والتوصيات، وتطبيق العقوبات على المخالفات، إن وجدت.
ويمكننا الرجوع إلى هذه النماذج في الاتحاد الأوروبي أو سنغافورة... لتطبيق قوانين حماية البيانات الشخصية بشكل فعال، وتحقيق التوازن بين حماية الحقوق الشخصية وضمان أمن الشبكة.
إن حماية البيانات الشخصية ليست قضية بسيطة، خاصة عندما يتم وضعها في سياق التكامل، حيث تتم أنشطة مراقبة البيانات الشخصية وجمعها على نطاق واسع، ولا يزال النظام القانوني الفيتنامي الذي ينظم هذه القضية في طور البناء والإتقان.
إن البحث في القانون الدولي بشأن هذه القضية مع الإشارة إلى الوضع العملي في فيتنام سيساعدنا في بناء إطار قانوني لحماية البيانات الشخصية الشاملة، والمتوافق مع القانون الدولي والتنفيذ الفعال.
1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html
[إعلان 2]
مصدر
تعليق (0)