القانون الدولي بشأن حماية البيانات الشخصية وتداعياته على فيتنام

وباعتبارها واحدة من الدول التي تتمتع بأعلى سرعة في تطوير وتطبيق الإنترنت في العالم، حيث يستخدمه ما يقرب من 80% من السكان، يتم تخزين البيانات الشخصية لنحو ثلثي سكان فيتنام ونشرها ومشاركتها وجمعها على الفضاء الإلكتروني في أشكال ومستويات مختلفة من التفاصيل.

في عامي 2022 و2023، قامت فيتنام بمحاكمة خمس قضايا جنائية تتعلق بشراء وبيع آلاف الجيجابايت من البيانات ومليارات المعلومات الشخصية. وهذا يدل على أنه من الضروري تحسين قانون حماية البيانات الشخصية على أساس البحث والاستناد إلى القانون الدولي.

القانون الدولي لحماية البيانات الشخصية

يعتبر اللائحة العامة لحماية البيانات (GDPR) خطوة قانونية كبيرة إلى الأمام، حيث أنها تخلق آلية حماية المعلومات الشخصية الأكثر صرامة في العالم اليوم.

اللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي (EU) . يعتبر اللائحة العامة لحماية البيانات (GDPR) خطوة قانونية كبرى إلى الأمام، حيث أنها تخلق آلية حماية المعلومات الشخصية الأكثر صرامة في العالم اليوم ويتم تطبيقها على جميع المنظمات والشركات التي تقوم بمعالجة البيانات الشخصية للمواطنين في الاتحاد الأوروبي.

يطبق قانون حماية البيانات العامة (GDPR) عقوبات موحدة على الشركات في جميع المجالات. وتحديدا، تصل الغرامة إلى 2% من رقم الأعمال أو 10 ملايين يورو في حالة المخالفات البسيطة، و4% من رقم الأعمال أو 20 مليون يورو في حالة المخالفات الكبرى. بالإضافة إلى الغرامات، قد تخضع الشركات التي تنتهك اللائحة العامة لحماية البيانات أيضًا لعقوبات أخرى، مثل إجبارها على التوقف عن معالجة البيانات أو حذف البيانات التي تمت معالجتها في انتهاك للائحة العامة لحماية البيانات.

سلطة حماية البيانات الشخصية في الاتحاد الأوروبي هي هيئة الإشراف على حماية البيانات في الاتحاد الأوروبي (EDPS) - وهي هيئة مستقلة تضم في عضويتها محامين ذوي خبرة وخبراء في تكنولوجيا المعلومات وإداريين.

وتتمثل وظيفتها الرئيسية في الإشراف على معالجة البيانات الشخصية في هيئات ومؤسسات الاتحاد الأوروبي وتقديم المشورة بشأن المسائل المتعلقة بالبيانات الشخصية. ويتطلب اللائحة العامة لحماية البيانات أيضًا إنشاء هيئة لحماية البيانات الشخصية في كل دولة عضو، مثل لجنة وطنية لحماية البيانات الشخصية (فرنسا، وأيرلندا، وما إلى ذلك) أو هيئة تفتيش حماية البيانات (فنلندا، ولاتفيا، وما إلى ذلك).

إلى جانب الهيئة الأوروبية لحماية البيانات، أنشأ الاتحاد الأوروبي أيضًا مجلس حماية البيانات الأوروبي (EDPB)، والذي يتألف من ممثلين عن سلطات حماية البيانات الوطنية في الدول الأعضاء وممثلين عن الاتحاد الأوروبي، ويعمل كهيئة استشارية مستقلة رئيسية بشأن قضايا حماية البيانات الشخصية، والمسؤول عن التطبيق المتسق لـ GDPR في جميع أنحاء الاتحاد.

ينص قانون حماية البيانات العامة (GDPR) على عقوبات رادعة للغاية، مادية وغير مادية. بالإضافة إلى ذلك، يتم تنفيذ سلطة حماية البيانات الشخصية في الاتحاد الأوروبي وفقًا لنموذج المفوضية/المفوض، وبالتالي فهي تتمتع بصلاحيات واسعة ومستقلة لفرض العقوبات إذا انتهكت المنظمات لوائح حماية البيانات الشخصية، وهي قادرة على تقييم ومعالجة البيانات الشخصية بشكل مستقل.

يعتبر قانون حماية المعلومات الشخصية في الصين (PIPL) الذي صدر في عام 2021 أول قانون شامل لحماية المعلومات الشخصية على المستوى الوطني في الصين. يتبنى قانون حماية البيانات الشخصية وجهة نظر موحدة نسبيًا مفادها أن البيانات الشخصية/المعلومات الشخصية هي المعلومات التي تحدد أو تحدد فردًا معينًا، وتستهدف مجموعة مستهدفة ضيقة من الأفراد داخل أراضي الصين (المادة 4 الفصل 1 من قانون حماية البيانات الشخصية). وفي الوقت نفسه، يتم وضع لوائح بشأن قضايا البيانات الشخصية الحساسة لوضع لوائح بشأن حقوق والتزامات الأطراف فيما يتعلق بمجموعات أكثر تحديدًا من البيانات.

إن العقوبات المفروضة على انتهاك حقوق البيانات الشخصية بموجب قانون حماية البيانات الشخصية شديدة للغاية، مثل الإصلاح القسري، ومصادرة الدخل غير القانوني، وتعليق الخدمات، وإلغاء تراخيص التشغيل أو الأعمال التجارية، وغرامات تصل إلى 50 مليون يوان أو 5٪ من الإيرادات السنوية للمنظمة في السنة المالية السابقة. وبالإضافة إلى ذلك، قد يتم تسجيل المخالفات أيضًا في "ملف الائتمان" التابع لوحدة المعالجة بموجب نظام الائتمان الاجتماعي الوطني.

علاوة على ذلك، ستكون وحدات المعالجة مسؤولة عن تعويض الأضرار في حالة انتهاكها لحقوق ومصالح المنظمات والأفراد. كما يتم تنظيم العقوبات الجنائية لهذه الأنواع من الانتهاكات على وجه التحديد من خلال القانون الجنائي الصيني، الذي ينص على مسؤولية جنائية أثقل على المسؤولين عن سرية المعلومات، ويضيف شكل مصادرة الممتلكات، وينص على السجن مدى الحياة كأقصى عقوبة سجن.

قانون حماية البيانات الشخصية في سنغافورة (PDPA) الذي تم إقراره في عام 2012 (تم تعديله في عام 2020). يعترف القانون في سنغافورة بالحق في حماية البيانات الشخصية وكذلك الحاجة إلى قيام المنظمات بجمع المعلومات واستخدامها والإفصاح عنها لأغراض مناسبة في ظروف معينة.

وينص قانون حماية البيانات الشخصية أيضًا على عقوبات مالية شديدة في حالة انتهاك البيانات. وسوف يتعرض المخالفون الأفراد للغرامات أو السجن. تعتمد الغرامة على طبيعة الفعل وشدته، بما في ذلك غرامة تتراوح بين 2000 إلى 100000 دولار سنغافوري (ما يعادل 1.6 مليار دونج) أو/و السجن لمدة لا تزيد على 12 شهرًا، وإذا كانت الجريمة خطيرة، تصل إلى 3 سنوات1؛ بالنسبة للوكالات والشركات التي تخالف القانون، قد يتم تطبيق غرامات تصل إلى 10٪ من حجم المبيعات السنوية.

إن الهيئة التي تلعب دورًا رئيسيًا في ضمان تنفيذ قانون حماية البيانات الشخصية هي لجنة حماية البيانات الشخصية (PDPC). وهي هيئة متخصصة تتمتع بصلاحيات كبيرة وقدرات إنفاذ واسعة عندما يكون لها الحق في طلب المعلومات والوثائق من الأفراد والمنظمات المتعلقة بمعالجة البيانات الشخصية، وفرض عقوبات مالية على المخالفين وكذلك التعامل معها بتدابير أخرى.

إن إنشاء وكالة متخصصة، وهي لجنة حماية البيانات الشخصية في سنغافورة، والتي تعمل بشكل مستقل واستباقي في الكشف عن الانتهاكات ومعالجتها وتطبيق العقوبات، يعد أيضًا أحد الشروط اللازمة للتنفيذ الفعال لحماية البيانات الشخصية في سنغافورة.

توصيات لتحسين قوانين حماية البيانات الشخصية في فيتنام

يوجد حاليًا في فيتنام 69 وثيقة قانونية مرتبطة بشكل مباشر بقضية حماية البيانات الشخصية المنصوص عليها في وثائق مختلفة بما في ذلك الدستور، والمدونة (4)، والقانون (39)، والمرسوم (1)، والمرسوم (2)، والتعميم/التعميم المشترك (4)، وقرار الوزير (1).

تقترب هذه الوثائق بشكل أساسي من قضية حماية البيانات الشخصية في اتجاه تعزيز مبدأ ضمان خصوصية الموضوع، ومع ذلك، هناك لوائح مختلفة بشأن المعلومات المتعلقة بالبيانات الشخصية، تشير إلى قضايا حقوق والتزامات الموضوعات، ومعالجة المعلومات، وطرق حماية البيانات الشخصية. حققت قوانين فيتنام التي تنظم حماية البيانات الشخصية بعض النتائج الرائعة، وخاصة في 17 أبريل 2023، أصدرت الحكومة المرسوم رقم 12/2023/ND-CP بشأن حماية البيانات الشخصية - وهي وثيقة منفصلة تنظم هذه المسألة في بلدنا. لقد خلقت هذه الوثائق القانونية ممرًا قانونيًا لحماية البيانات الشخصية؛ تحديد حقوق أصحاب البيانات وكذلك أطراف المعالجة، ووصف العقوبات الخاصة بانتهاكات حماية البيانات الشخصية، وتحديد الوكالة المتخصصة لحماية البيانات الشخصية كإدارة الأمن السيبراني والوقاية من الجرائم التكنولوجية العالية التابعة لوزارة الأمن العام...

تواجه فيتنام العديد من المخاطر والتحديات والأخطار الناجمة عن الفضاء الإلكتروني، وخاصة تسرب المعلومات والبيانات الشخصية والاستيلاء عليها، مما يسبب العديد من الآثار الضارة على المواطنين والمجتمع.

ومع ذلك، فإن التنفيذ الفعلي لهذه الوثائق كشف أيضًا عن العديد من القيود مثل الوثائق القانونية المنفصلة الحالية فقط على مستوى المرسوم، ولا تلبي أهمية حماية البيانات الشخصية، والعديد من المحتويات حاليًا منظمة بشكل عام وغير واضحة، مما يؤدي إلى عدم وجود تعليمات محددة لكل حالة محددة، والعقوبات لا تزال خفيفة وغير رادعة بما فيه الكفاية ...

وفي مواجهة هذا الوضع، فإن الاستمرار في تحسين قانون حماية البيانات الشخصية في فيتنام كان ولا يزال قضية تحتاج إلى البحث على أساس الخبرة المكتسبة من بلدان أخرى. خاصة:

أولاً، بناء قانون لحماية البيانات الشخصية . في سياق الثورة الصناعية 4.0، أصدرت 80 دولة، على المستوى الإقليمي والوطني، وثائق قانونية منفصلة لحماية البيانات الشخصية. تحتاج فيتنام إلى البحث وإصدار قانون عام متخصص في مجال البيانات قريبًا مثل قانون خصوصية البيانات مثل الاتحاد الأوروبي أو الصين أو سنغافورة، والذي يحدد القضايا والمبادئ الأساسية لحماية البيانات الشخصية. إن إصدار قانون منفصل بشأن البيانات الشخصية سيكون أساسًا قانونيًا مهمًا لحماية البيانات الشخصية عندما لا تكون الوثائق القانونية المتعلقة بهذه القضية في بلدنا متسقة حاليًا سواء في استخدام المصطلحات أو في تنظيم المحتوى.

ثانياً، تعديل واستكمال العقوبات الخاصة بانتهاكات البيانات الشخصية بشكل أكثر صرامة لتتناسب مع طبيعة وخطورة المخالفة. على الرغم من أن العقوبات المفروضة على انتهاك البيانات الشخصية في بلدنا تشمل عقوبات إدارية ومدنية وجنائية، إلا أنها بشكل عام خفيفة للغاية وليس لها تأثير رادع كبير. الطريقة الرئيسية حاليا لا تزال تتمثل في تطبيق العقوبات على المخالفات الإدارية، ومع ذلك فإن اللوائح متناثرة في العديد من المراسيم بغرامات منخفضة للغاية، وأعلىها: 100 مليون دونج للأفراد و200 مليون دونج للمنظمات.

في حين أن الضرر الذي يمكن أن تسببه الانتهاكات الإدارية للبيانات الشخصية ليس فقط ضررًا ماديًا، بل أيضًا للشرف والكرامة. بالإضافة إلى العقوبات الإدارية، فإن العقوبات الجنائية لانتهاكات البيانات الشخصية تنعكس فقط في اللوائح المتعلقة بالخصوصية ومجالات تكنولوجيا المعلومات وأمن الشبكات في المادة 159 والمادة 288 من قانون العقوبات الحالي مع عقوبات بالسجن منخفضة نسبيًا لا تزيد عن 7 سنوات سجنًا وغرامات لا تزيد عن مليار دونج. إن هذه الغرامة، عند مقارنتها بغرامة العشرين مليون يورو التي فرضها الاتحاد الأوروبي، أو مليون دولار سنغافوري، أو السجن مدى الحياة في الصين، لا تزال منخفضة للغاية ولا تتناسب مع العديد من الانتهاكات.

وفي الوقت نفسه، من الضروري تنظيم العديد من مجموعات السلوكيات التي لم يتم ذكرها في القانون حاليًا، مثل تداول البيانات على نطاق واسع، وإقامة أنظمة لانتهاك البيانات، والانتهاكات في مجال خدمات التسويق، وما إلى ذلك.

ثالثا، على نموذج وكالة حماية البيانات الشخصية في فيتنام . في الوقت الحالي، تعد إدارة الأمن السيبراني والوقاية من الجرائم التكنولوجية العالية التابعة لوزارة الأمن العام هي الوكالة المتخصصة لحماية البيانات الشخصية. وبالرجوع إلى الأنظمة الدولية، يمكننا أن نفكر في إنشاء هيئة مستقلة لحماية البيانات الشخصية تكون مسؤولة عن تطبيق قانون حماية البيانات الشخصية، وإجراء عمليات التفتيش والفحوصات، وإصدار المبادئ التوجيهية والتوصيات، وفرض العقوبات على الانتهاكات إن وجدت.

ويمكننا الرجوع إلى هذه النماذج في الاتحاد الأوروبي أو سنغافورة... لتطبيق قوانين حماية البيانات الشخصية بشكل فعال، وتحقيق التوازن بين حماية الحقوق الشخصية وضمان أمن الشبكة.

إن حماية البيانات الشخصية ليست قضية بسيطة، خاصة عندما يتم وضعها في سياق التكامل، حيث تتم أنشطة مراقبة البيانات الشخصية وجمعها على نطاق واسع، ولا يزال النظام القانوني الفيتنامي الذي ينظم هذه القضية في طور البناء والإتقان.

إن البحث في القانون الدولي بشأن هذه القضية مع الإشارة إلى الوضع العملي في فيتنام سيساعدنا في بناء إطار قانوني لحماية البيانات الشخصية الشاملة، والمتوافق مع القانون الدولي والتنفيذ الفعال.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html