إرادة الفرد في حماية بياناته: قراءة في مفهوم الخصوصية الرضائية للبيانات

تبدأ شخصية الإنسان بالتشكل انطلاقاً من اسمه ونسبه ومواصفاته الشكلية والجينية؛ هذا المحتوى الإنساني “الأول” هي “البيانات الأولى” التي تولد حتى قبل أن يتنفس الطفل أول أنفاسه. إن حماية شخصية الإنسان وحفظ حقوقه مرتبطة وجوداً وعدماً بالحماية القانونية لبياناته، تلك التي تميزه عن غيره، وتحفظ له حقوقه.
لكن الإطار التنظيمي الحامي للبيانات أوسع وأعمق من مجرد الحماية الشاملة المطلقة للبيانات التي يستفيد منها الأفراد جميعهم بغض النظر عن إرادتهم، حيث إن حماية البيانات الأدق والأكثر تأثيراً على رضا الإنسان هي حماية خصوصية البيانات التي يتم الكشف عنها بشكل رضائي من صاحبها.

مفهوم الخصوصية الرضائية للبيانات:
الحماية الرضائية لخصوصية البيانات تعني حماية البيانات الشخصية بناءً على موافقة صريحة من صاحب البيانات قبل جمعها، أو استخدامها، أو معالجتها، أو مشاركتها مع أي طرف آخر. ويمكننا تحديد الفرق الأساسي بين حماية البيانات التقليدي والحماية المتقدمة للخصوصية الرضائية في عنصر الرضا عن الاطلاع ومعالجة البيانات.
أي أن حماية البيانات الملزم الشامل هو أمر مفروغ منه، وهو واجب على أي منظم يعمل على حماية بيانات الناس من الاختراق والاستغلال والتشويه. وأكثر من ذلك، فإن حماية البيانات الشخصية الأساسية هي حتى قد تصنف واجبا على صاحبها؛ مثل بياناته الشخصية التي تحدد هويته وتميزه عن باقي أفراد المجتمع. هذا الإطار التقليدي من حماية البيانات يشمل الجانب الأساسي الجوهري من البيانات الشخصية؛ أي تلك البيانات التي إذا فقدها الإنسان، فإنه سيفقد معها هويته المميزة، وسيصبح التعرف عليه صعباً أو مستحيلاً.

أما البيانات الشخصية المتعلقة بنشاطات الشخص، وتعاملاته المالية، وغيرها من التفاصيل التي يقوم بها الشخص في الواقع الافتراضي، والتي لا تؤثر في القدرة على تمييزه أو التعرف عليه؛ فهي تلك البيانات التي تكون محلاًّ للخصوصية الرضائية. أي أن البيانات التي يتملكها الشخص والتي تشكل جزءاً من حياته؛ يكون لهذا الشخص أن يقرر فيما إذا أراد أن يفصح عنها ويكشفها للغير أم لا.

هذه النقاط الحاسمة في طبيعة البيانات وفي عنصر الإرادة عن الكشف عنها؛ هي التي ترسم الفرق بين حماية البيانات التقليدي وبين خصوصية البيانات الرضائي.

وعليه، فإن حماية البيانات الشخصية هو مفهوم عام استخدمه المنظم السعودي للدلالة على قواعد حماية البيانات التي تنقسم بطبيعة الحال إلى حماية ملزمة من النظام العام (الحماية الشاملة للبيانات)، وإلى حماية البيانات وفق إرادة صاحبها (الحماية الرضائية لخصوصية البيانات).

نطاق شمول خصوصية البيانات:
على الرغم من عدم وضح التمييز في إطار شمول خصوصية البيانات في نظام حماية البيانات الشخصية الصادر1443هـ، فيمكننا تحديد نطاق شمول خصوصية البيانات وفق ما يلي:
(1) بالنسبة لحماية البيانات الأساسية (وجوبية من النظام العام)؛ فهي واجب على المنظم كما هي واجب على الإنسان صاحب البيانات؛ فلا يجوز لصاحب البيانات أن يقبل بتعديل اسمه أو نسبه وإلا تم اعتبار ذلك تزويراً في البيانات تحت طائلة العقاب الجنائي.

وفي هذا المقام، نجد (المادة الحادية عشرة من نظام حماية البيانات الشخصية) ألزمت جهة التحكم بألا تطلب أية بيانات خارج إطار الغرض من التحكم بالبيانات، وألا يخالف جمع البيانات هذا الأنظمة السارية؛ وهو ما يشير إلى الإطار الشامل الملزم للبيانات الشخصية للأفراد مثل بيانات تحديد هويتهم.

أي أن حماية البيانات التشريعي يشمل جميع البيانات الشخصية التي تميز الإنسان وتجعله ظاهراً للدولة، وهي حماية من النظام العام يتم فرضها ليس فقط من غير الرجوع لصاحب البيانات، بل أيضاً يكون من واجبه ألا يساهم في اختراقها أو تعديها. وفي هذا الإطار فإن الخصوصية تكون وجوبية وشاملة وغير اختيارية.
(2) بالنسبة لحماية خصوصية البيانات الفرعية؛ فهي تخضع لإرادة صاحب البيانات، فيكون له حق القبول بالاطلاع عليها ومعالجتها واستخدامها أو حمايتها ضد مجرد الاطلاع عليها.

وهنا نشير إلى أن (المادة الرابعة من نظام حماية البيانات الشخصية) منحت صاحب البيانات حقوقاً واسعة لقبول الإفصاح عن بياناته من عدمها، إضافة إلى تحديد المسوغ القانوني للإفصاح عنها، وغيرها من الحقوق التي ترسم ملامح الخصوصية الرضائية للبيانات في ضوء النظام السعودي. ويمكن طرح الأمثلة عن البيانات التي تشملها الحماية الرضائية للخصوصية؛ بيانات الشخص الخاصة بأجهزته الإلكترونية، وعنوانه الإلكتروني، وبياناته المالية الإلكترونية، وعنوانه لتوصيل السلع، وتاريخ اطلاعه على المحتوى الإلكتروني، ورغباته الاستهلاكية.

وهنا يأتي سؤال ذو أهمية كبرى وهو عن ما مدى الاختلاف بين البيانات الشخصية والحساسة في إطار تطبيق الخصوصية؟
الاختلاف بين البيانات الشخصية والبيانات الحساسة في إطار تطبيق الخصوصية:
جاء تعريف البيانات الحساسة في نظام حماية البيانات السعودي بما يشمل أصل الفرد ومعتقده الديني وسماته الحيوية مثل البصمة الوراثية وبياناته الصحية وكونه مجهول النسب. ويظهر من طبيعة هذه البيانات مبدئياً بأن معظمها يخضع للحماية الملزمة الشاملة من النظام العام.

لكن شمول البيانات الصحية ضمن مسمى البيانات الحساسة يجعل من بعض تلك البيانات مرتبطة أكثر بالخصوصية الرضائية للبيانات. فمثلاً، تاريخ المريض لا يعتبر بياناً مرتبطاً بهوية الشخص وتمييزه عن غيره، وعلى الرغم من ذلك يعتبر بياناً حساساً.

فإذا كان من صلاحيات جهة التحكم بالبيانات مثل المواقع والمنصات الإلكترونية أن تقوم بمعالجة البيانات دون أخذ موافقة صاحبها إذا كان ذلك ضرورياً لتشغيل العمليات الالكترونية، فإن هذه الصلاحية غير مسموح بها فيما يتعلق بالبيانات الحساسة (المادة السادسة من نظام حماية البيانات الشخصية).

فعلى سبيل المثال، إذا كان تحويل عناوين عملاء شركة التوصيل إلى شركة النقل التي تتعامل معها ضرورياً لإتمام خدمة التوصيل التي طلبها العميل فليس من داعٍ للحصول على موافقة العميل لتحويل عنوانه بعد أن يطلب خدمة التوصيل.

لكن مثلاً إذا كانت المستشفى ترغب بتشغيل منصة الخدمات الصحية لديها، وكانت الخدمة المطلوبة من المريض هي تشكيل دواء مخصص له، فعلى الرغم من أن إرسال تاريخه المرضي إلى شركة تركيب دوائي هو أمر ضروري للقيام بتركيب الدواء، إلا أنه يجب الحصول على موافقة المريض على تحويل بياناته الصحية إلى شركة تركيب الأدوية لأن تلك البيانات حساسة، وهو ما يجعلها تدخل أيضاً في نطاق الخصوصية الرضائية للبيانات.

أوجه الصعوبة في حفظ خصوصية البيانات:
بالنسبة للحماية الشاملة والملزمة لبيانات تحديد هوية الأفراد وتمييزهم، فإن صعوبة هذا الأمر تقتصر في مجال حماية الأمن السيبراني لمخازن البيانات ووسائل نقلها ومعالجتها.

أما الصعوبة الحقيقية فهي لحماية الخصوصية الرضائية للبيانات، وفق ما يلي:
(1) الخصوصية الرضائية بحاجة إلى توعية صاحب البيانات؛ فالشخص الذي لا يعرف حقه لا يمكن الوثوق برضاه عن كشف بياناته أصلاً. والمشكلة أنه لا جهل بالقانون، فهنا يكون من واجب جهات معالجة البيانات توضيح حقوق الشخص قبل حتى طلب الموافقة منه على معالجة بياناته.
(2) تحايل جهات التحكم ومعالجة البيانات على صاحب البيانات بغرض سحب موافقة صورية منه؛ فالكثير من هذه الجهات تسحب الموافقة المؤثرة على حقوق صاحب البيانات عبر رسالة قصيرة يكون الموافقة عليها بضغط بسيطة، أو عبر رسالة غزيرة التفاصيل لكن بخط صغير حتى تبدو الرسالة وكأنها روتينية؛ كل وسائل التحايل هذه يكون الهدف منها الحصول على موافقة صورية غير حقيقية من صاحب البيانات على معالجة بياناته، لكنها تبقى موافقة باطلة وغير منتجة لآثارها القانونية إن تم إثبات وسائل التحايل من جهة معالجة البيانات. إن هذه الصعوبات المشار إليها تجعل من خصوصية البيانات في شقها الرضائي معضلة حقيقية في هذا العصر الرقمي.