حل معمای دسترسی به اطلاعات بانکی
این اختلاف نظر را میتوان مصداق چالش جدی «محرمانگی و مالکیت دادههای مالی اشخاص حقیقی و حقوقی» دانست که با گسترش فناوری اطلاعات و نیز فناوری مالی (Fin-Tech) روز به روز بر ابعاد آن افزوده میشود.
ریشه اصلی این مشکل به ضعف نظام حقوقی ایران بازمیگردد. در نظام حقوقی ایران هیچ قانون جامعی که حریم خصوصی را تعریف کند، وجود ندارد. بهعنوان مثال در ایالات متحده از سال ۱۹۷۴ قانونی به نام Privacy Act وجود دارد که تمام مصادیق اطلاعات محرمانه اشخاص حقیقی و حقوقی را که اصل بر محرمانه بودن آنها است، مشخص کرده و تمام شرایط گردآوری، ثبت، نگهداری و دسترسی به این اطلاعات را مشخص کرده است. در کانادا علاوه بر قانون جامعی که حریم خصوصی را تعریف و حمایت میکند قانون دیگری به نام حفاظت از حریم شخصی و مستندات الکترونیکی (PIPEDA) هم وجود دارد که عمدتا بر اطلاعات الکترونیکی اشخاص تمرکز دارد. طبیعی است که بر اساس این قوانین دهها آییننامه و ضابطه اجرایی هم تدوین و اجرا میشود.
در اغلب کشورهای توسعهیافته چنین قوانین جامعی وجود دارد و مبنای دسترسی نهادهای مختلف قانونی نظیر دادگستری، نهاد مالیاتی، نهاد مبارزه با قاچاق، نهاد کنترل پولشویی و... به اطلاعات خصوصی اشخاص این قوانین است. البته در سالهای اخیر در بسیاری از کشورها برای تعریف حریم خصوصی در حوزه سلامت قوانین مستقلی وضع شده است که بهدلیل تحولات سریع و رشد شتابان حوزه بیوانفورماتیک است. در هر حال قانون حریم خصوصی مشخص میکند چه اطلاعاتی مصداق حریم خصوصی هستند و چه کسانی مجازند به این اطلاعات دسترسی داشته باشند. هرگونه درخواست اطلاعاتی که تحت حفاظت این قانون هستند در قالب فرمهای کاغذی یا الکترونیکی اگر توسط نهادهای استثنا شده در این قانون (که حوزه دسترسی آنها هم محدود و معین است) نباشد، جرم محسوب میشود. همچنین در قوانین حریم خصوصی دقیقا مشخص شده است که خود فرد در چه شرایطی میتواند شخصا به فرد دیگری اجازه دسترسی به اطلاعات خود را بدهد و تبعات آن چگونه است.
یکی از جنبههای کلیدی این قوانین، مجازاتی است که برای سهلانگاری در اجرای قانون پیشبینی شده است. چنانچه نهادی (مثلا ادارات مالیاتی) اجازه دسترسی به اطلاعات خصوصی افراد را داشته باشند اگر اطلاعاتی که به آنها داده شده در موضوعی غیر از آنچه قانون مشخص کرده (مثلا در تشخیص مالیات) به کار گرفته شود یا اطلاعات در اختیار شخص ثالثی قرار گیرد، جرم کیفری رخ داده و مجازاتهای سنگینی در حد زندان برای فرد خاطی پیشبینی شدهاست. شهروندان طبق همین قانون میتوانند علیه نهاد خاصی اعلام جرم کرده و درخواست غرامت کنند. به همین دلیل عموما نهادهایی که طبق قانون حریم خصوصی اجازه دسترسی به برخی اطلاعات را دارند در استفاده از این حق محتاط هستند؛ زیرا عواقب آن و مسوولیت اجرای نادرست آن بسیار برایشان سنگین است.
اما در ایران چنین قانونی وجود ندارد. مشخص نیست اطلاعات خصوصی کدام است، روال دسترسیهای مجاز چیست، روال نگهداری چیست، الکترونیکی و کاغذی چه فرقی دارد، سهلانگاری در حفظ محرمانگی چه مجازاتی دارد، مسوولیت اشخاص ثالث در حفظ محرمانگی اطلاعات افشا شده، چیست و دهها موضوع دیگر بلاتکلیف است. فراتر از اطلاعات بانکی، مصادیق حریم خصوصی در بیمه، گمرک، حوزه سلامت، حوزه مخابرات و ارتباطات، بورس، نظام آموزشی، نظام وظیفه و... هیچ کدام مشخص نیست. هر شهروند ایرانی مجبور است در دهها سازمان و نهاد دولتی و خصوصی، اطلاعات شخصی خود را ثبت کند و معلوم نیست بسیاری از این اطلاعات به چه کار این دستگاهها میآید و چگونه محرمانگی این اطلاعات نزد این دستگاهها تضمین میشود.
باید توجه داشت موضوع صرفا یک بحث قانونی نیست و بحثهای حقوقی جدی در این مساله وجود دارد. بحث اصلی این است که اساسا اطلاعات مرتبط با حریم خصوصی متعلق به چه کسی است. مثلا اطلاعات بانکی فرد متعلق به خود او است یا متعلق به بانک است و آیا بانک میتواند بدون رضایت فرد اطلاعات بانکی او را به اشخاص دهد؟ آیا دسترسی به اطلاعات الکترونیکی محرمانه به نحوی که صرفا رایانه قادر به بهرهبرداری از آن باشد و هیچ فردی آن را مشاهده نکند (مثلا آن گونه که در سیستمهای اعتبارسنجی استفاده میشود) ضامن حفظ محرمانگی است؟ در نقطه مقابل، این روزها که بحث بانکداری باز (Open Banking) مطرح است، اگر مشتری یک بانک خودش بخواهد به اشخاص ثالثی اجازه دسترسی به برخی اطلاعات محدود خود را بدهد (چیزی شبیه وکالت) آیا بانک میتواند استنکاف کند؟
این مثالها نشان میدهد موضوع دسترسی به اطلاعات مالی مسالهای بسیار فراتر از آن چیزی است که این روزها در فضای اقتصادی کشور مطرح است. در بحث مالیات، تنها استناد سازمان امور مالیاتی ماده ۲۳۱ قانون مالیاتهای مستقیم است که خیلی کلی به وزیر اقتصاد اجازه داده اطلاعات بانکی مورد نیاز را بهصورت موردی از بانکها دریافت کند و به سازمان امور مالیاتی انتقال دهد. اما به استناد همین قانون کلی، سازمان امور مالیاتی انتظار دسترسی به میلیونها قلم اطلاعات اشخاص حقیقی و حقوقی در بانکها را دارد. بدون آنکه معلوم باشد سازوکار حقوقی و فنی و فرآیند دسترسی و استفاده از این اطلاعات چیست.
بدیهی است که نهاد مالیاتی قانونا باید به هر اطلاعاتی که به تشخیص و وصول مالیات حقه کمک کند دسترسی داشته باشد؛ اما باید مسوولیتهای سازمان پس از دسترسی هم مشخص باشد. چه کسانی درون سازمان این اطلاعات را استفاده خواهندکرد و اگر در حفظ محرمانگی کوتاهی کردند با چه مجازاتی روبهرو خواهند شد؟ آیا این صرفا یک تخلف اداری است یا آن گونه که در دیگر کشورها رایج است یک جرم کیفری است؟ زیرساختهای فناوری اطلاعات سازمان امور مالیاتی برای تضمین انتقال و ذخیرهسازی امن اطلاعات چیست؟ برای امحای اطلاعات محرمانه چه فکری شده است؟ آیا این دسترسی مستلزم اطلاع خود فرد نیز هست؟
در مجموع، یکی از تکالیف حکومت تعریف حریم خصوصی و تعیین چارچوبهای حقوقی حاکم بر آن است. طبیعی است در این چارچوب باید حقوق و تکالیف اشخاص حقیقی و حقوقی و نیز نهادهای حاکمیتی هم مشخص شود. دسترسی سازمان امور مالیاتی به اطلاعات بانکی و مالی اشخاص قطعا یک ضرورت است؛ اما باید متقابلا حقوق اشخاص و ابزارهای حفاظت از تجاوز به حریم خصوصی نیز مشخص شود؛ به ویژه آنجا که پای نهادهای قدرتمند حکومتی مطرح است.