چالش‌هاي پيش‌نويس قانون تجارت الكترونيكي

پيش‌نويس اصلاح قانون تجارت الكترونيكي ايران با هدف به‌روزرساني تعاريف، شفاف‌سازي مسووليت پلتفرم‌ها و تقويت حفاظت از داده‌هاي كاربران تدوين شده است، اما ابهامات موجود در تعاريف مفاهيم كليدي مانند «معقول» و «داده‌پيام شخصي»، همراه با چالش‌هايي نظير تعدد نهادهاي تنظيم‌گر و عدم تعيين تكليف مركز ريشه، نگراني‌هايي را درباره كارآمدي و اجراي اين قانون ايجاد كرده است. اين پيش‌نويس در حالي كه تلاش دارد استانداردهاي نويني مانند GDPR اروپا را در حوزه‌هايي چون حفاظت از داده‌ها و الگوريتم‌هاي پلتفرم‌ها پياده‌سازي كند، با انتقاداتي از جمله پيچيدگي‌هاي اجرايي و احتمال موازي‌كاري نهادهاي نظارتي مواجه شده است.

يكي از نقدهاي اوليه به قانون تجارت الكترونيكي كه در همان زمان مطرح شد و پيشنهاد شد در بازنگري اين قانون مورد توجه قرار گيرد، تعيين وضعيت دقيق و مشخص مركز ريشه كشور در متن اصلي قانون است. در حال حاضر، ساختار مركز ريشه در آيين‌نامه ماده ۳۲ قانون تجارت الكترونيكي تعريف شده است. همچنين، با گسترش پلتفرم‌ها بارها تأكيد شده كه در بازنگري قانون، مسووليت پلتفرم‌ها در قبال محتواي منتشرشده روي آنها به‌طور شفاف مشخص شود و اين پلتفرم‌ها از اين مسووليت معاف گردند. اگرچه در پيش‌نويس بازنگري قانون تجارت الكترونيكي به مفاهيمي مانند «بازارگاه»، «الگوي تعاملي فريبنده» (Dark Pattern)، «دارايي ديجيتال» و «كميسيون شبه‌قضايي» اشاره شده و تعاريف امضاي الكترونيكي و مصرف‌كننده به‌روزرساني شده‌اند، اما همچنان انتقادات اصلي به قانون فعلي بدون پاسخ باقي مانده‌اند. پيوست پيش‌نويس نشان مي‌دهد كه در فصل اول، ضرورت بازنگري قانون تجارت الكترونيكي مطرح شده و به موضوعاتي مانند ساماندهي بازارگاه‌ها، ايجاد نظام جامع حفاظت از داده‌هاي شخصي، پيش‌بيني سازوكارهاي حل اختلاف تخصصي و تقويت حمايت از مصرف‌كننده پرداخته شده است. با اين حال، هر يك از اين موارد يا داراي قوانين جداگانه هستند يا قانون‌گذار در حال تدوين مقررات مستقلي براي آنها است. طبق پيش‌نويس، يكي از دلايل اصلي بازنگري، به‌روزرساني تعاريف است، اما تعاريف ارايه‌شده در پيش‌نويس به شفاف‌سازي فضاي موجود كمك چنداني نمي‌كند. براي نمونه، مفهوم «معقول» (Reasonableness) به عنوان رفتاري تعريف شده كه با توجه به شرايط حاكم بر مبادله «داده‌پيام»، از جمله عواملي مانند ماهيت مبادله، سطح مهارت و جايگاه طرفين، حجم مبادلات مشابه، وجود گزينه‌هاي پيشنهادي، ميزان دسترسي به آنها، پذيرش يا رد اين گزينه‌ها توسط طرفين، هزينه‌هاي مرتبط و عرف رايج قابل توجيه باشد. با اين حال، هيچ چارچوب عملي، معيار سنجش يا شاخص مشخصي براي اين مفهوم ارايه نشده و اين تعريف با عبارات كلي، ابهامات را افزايش داده است. به همين ترتيب، تعريف «داده‌پيام شخصي» (Personal Data) نيز به دليل كلي‌گويي و خطاهاي مفهومي، فاقد دقت لازم بوده و مشكلات بيشتري در تفسير و اجرا ايجاد مي‌كند. اين موارد تنها بخشي از اصطلاحات مبهم و چندوجهي پيش‌نويس هستند. مفاهيمي مانند امضاي الكترونيكي، سطوح مختلف آن، تأمين‌كننده، مخاطب و اصل‌ساز نيز از ديگر اصطلاحات مبهم اين پيش‌نويس به شمار مي‌روند.

وضعيت نامشخص امضاي الكترونيكي  و مركز  ريشه

امضاي الكترونيكي و شرايط خاص نگهداري و استفاده از آن، يكي از بخش‌هاي كليدي پيش‌نويس محسوب مي‌شود. در قانون فعلي، دو نوع امضاي الكترونيكي (ساده و مطمئن) تعريف شده، اما در پيش‌نويس بازنگري، سه سطح براي امضاي الكترونيكي معرفي شده است: امضاي الكترونيكي ساده، پيشرفته و مطمئن. اگرچه اين سه سطح در متن اصلي قانون تجارت الكترونيكي ذكر نشده‌اند، اما در مصوبات مربوط به مراكز مياني و شرايط استفاده از امضاي الكترونيكي، اين سه سطح تعريف شده‌اند كه هر يك با سطح اطمينان خاص خود، براي امضاي اسناد مشخصي كاربرد دارند. يكي از تفاوت‌هاي اين پيش‌نويس، پذيرش امضاهاي الكترونيكي خارجي است. بر اين اساس، امضاهاي الكترونيكي مبتني بر گواهي معتبر صادره از مراجع ذي‌صلاح خارجي، در صورت رعايت الزامات متقابل و اصول اين قانون و آيين‌نامه مربوطه، معتبر و قابل استناد خواهند بود. شرايط فني، امنيتي، نگهداري و شناسايي گواهي الكترونيكي نيز به آيين‌نامه اجرايي ماده ۳۲ قانون ارجاع داده شده است. در اين آيين‌نامه، تكليف مركز ريشه و مراكز مياني مشخص شده است. يكي از انتقادات اوليه به قانون تجارت الكترونيكي، مربوط به وضعيت مركز ريشه و مراكز مياني بود. بسياري از كارشناسان معتقد بودند كه تكليف مركز ريشه بايد در متن اصلي قانون مشخص شود. عدم تعيين تكليف مركز ريشه در قانون، اجراي امضاي الكترونيكي در بخش‌هاي مختلف كشور را با تأخير مواجه كرد و دستگاه‌هاي دولتي در دوره‌هايي خواستار ايجاد مركز ريشه مستقل شدند. اگرچه در حال حاضر متوليان دولتي پذيرفته‌اند كه تحت مركز ريشه دولت فعاليت كنند و به عنوان مراكز مياني عمل كنند، اما بهتر است اين موضوع يك‌بار براي هميشه در قانون روشن شود. در گذشته، وزارت بهداشت، بانك مركزي و ثبت احوال هر يك مدعي ايجاد مركز ريشه بودند، اما با مصوبات شوراي سياست‌گذاري گواهي الكترونيكي كشور، اين بخش‌ها به‌تدريج تحت مركز ريشه كشور فعاليت مي‌كنند. با اين حال، قوه قضاييه همچنان با استناد به آيين‌دادرسي كيفري، مدعي ايجاد مركز ريشه‌اي مستقل براي خود است. بازنگري قانون تجارت الكترونيكي فرصت مناسبي براي تعيين تكليف نهايي مركز ريشه است.

 نقش پررنگ‌تر مركز توسعه  تجارت الكترونيكي

در پيش‌نويس بازنگري قانون تجارت الكترونيكي، به‌طور خاص به مركز توسعه تجارت الكترونيكي و وظيفه آن در طبقه‌بندي كسب‌وكارهاي اين حوزه اشاره شده است؛ وظيفه‌اي كه اين مركز در قالب اينماد انجام مي‌دهد. در حال حاضر، طبقه‌بندي كسب‌وكارها اجباري نيست و كسب‌وكارهايي كه متقاضي دريافت اينماد ۳ يا ۴ ستاره هستند، درخواست خود را مطرح كرده و در اين طبقه‌بندي قرار مي‌گيرند. هرچند پيش‌نويس به‌طور خاص بر فعاليت بازارگاه‌ها تمركز كرده، اما گره اصلي پلتفرم‌ها، يعني تعيين تكليف مسووليت آنها، همچنان حل‌نشده باقي مانده است. يكي از اصول كليدي در توسعه اقتصاد ديجيتال و كسب‌وكارهاي پلتفرمي، اصل عدم مسووليت پلتفرم‌ها در قبال رفتار كاربران است؛ اصلي كه پايه قوانين موفق مانند بخش ۲۳۰ قانون CDA ايالات متحده بوده و نقش مهمي در رشد پلتفرم‌هاي بزرگ جهاني داشته است. با اين حال، پيش‌نويس جديد صراحتاً مسووليت پلتفرم‌هاي تجارت الكترونيكي (مانند بازارگاه‌ها، بسترهاي سفارش، پرداخت و تحويل) را پذيرفته و آنها را مسوول جبران خسارت مشتري يا اجراي تعهدات اشخاص ثالث دانسته، مگر اينكه قصور مصرف‌كننده محرز شود. تمامي بازارگاه‌هاي اينترنتي دست‌كم بخشي از فرايند سفارش و پرداخت را انجام مي‌دهند، بنابراين اين معيار شامل همه آنها مي‌شود. اين رويكرد نه‌تنها با اصول مسووليت مدني و قواعد جاري مغايرت دارد، بلكه به عنوان يك عقب‌گرد جدي در توسعه پلتفرم‌ها و كسب‌وكارهاي نوين تلقي مي‌شود. تجربه كنوني كسب‌وكارها نيز نشان مي‌دهد كه با وجود ماده ۷۵۱ قانون مجازات اسلامي (تعزيرات) كه اصل را بر عدم مسووليت مستقيم پلتفرم‌ها قرار داده، مديران اين كسب‌وكارها همچنان به دليل اقدامات كاربران مورد پيگرد قرار مي‌گيرند و پيش‌نويس جديد اين وضعيت را پيچيده‌تر خواهد كرد. 

 دخالت يا شفافيت

موضوع الگوريتم‌هاي پلتفرم‌ها براي اولين‌بار در پيش‌نويس اصلاح قانون تجارت الكترونيكي مطرح شده است. پلتفرم‌ها ملزم به اعلام شفاف خط‌مشي‌هاي خود در زمينه رتبه‌بندي و نمايش كالاها و خدمات هستند و بايد از «خودترجيحي» يا تبعيض غيرمنصفانه عليه رقبا خودداري كنند. همچنين، تبليغات بايد به‌صورت واضح برچسب‌گذاري شده و هويت تبليغ‌دهنده مشخص باشد. الزام به مستندسازي و ارايه گزارش‌هاي شش‌ماهه درباره الگوريتم‌ها، گامي در جهت افزايش پاسخ‌گويي پلتفرم‌ها محسوب مي‌شود. با اين حال، از ديدگاه فعالان بازار، اين الزام مي‌تواند به چالشي پرهزينه تبديل شود، زيرا نيازمند زيرساخت‌هاي نظارتي دقيق و پرهزينه است. علاوه بر اين، محدوديت‌هاي جديدي براي تبليغات، به‌ويژه در مورد گروه‌هاي خاص مانند كودكان و نوجوانان زير ۱۵ سال، وضع شده است. بر اساس اين پيش‌نويس، فعالان تجارت الكترونيكي بدون رضايت صريح ولي قانوني، حق جمع‌آوري داده‌پيام شخصي اين گروه را ندارند و بايد تنظيمات پيش‌فرض حريم خصوصي را به نفع حفاظت از كودكان تنظيم كنند. در صورت تصويب اين اصلاحيه، تبليغات در پلتفرم‌هاي تجارت الكترونيكي بايد كاملاً شفاف باشد و از محتواي اصلي متمايز شود. درج برچسب‌هايي مانند «تبليغ» يا «محتواي حمايت‌شده» الزامي است و هويت تبليغ‌دهنده بايد به‌صراحت اعلام شود. مصرف‌كنندگان نيز حق دارند دريافت تبليغات از طريق ايميل، پيامك يا ساير روش‌هاي ارتباطي را بپذيرند يا رد كنند و در هر زمان بتوانند به‌راحتي و بدون هزينه آن را لغو كنند. فعالان تجارت الكترونيكي موظف‌اند ابزارهاي لازم براي اعمال اين حق را فراهم كنند. همچنين، كسب‌وكارهاي با بيش از ۱۰۰ هزار تراكنش سالانه ملزم شده‌اند ساختار كلي الگوريتم‌هاي مورد استفاده در جست‌وجو، نمايش، رتبه‌بندي، قيمت‌گذاري يا تطبيق عرضه و تقاضا را بر اساس دستورالعمل‌هاي مركز توسعه تجارت الكترونيكي مستند و نگهداري كنند. با اين حال، يكي از انتقادات مطرح‌شده اين است كه با توجه به وجود قانون مستقل تبليغات، نبايد در قانون تجارت الكترونيكي به جزييات تبليغات پرداخته شود. در عوض، بايد به قانون تبليغات ارجاع داده شود، زيرا ورود به جزييات، قانون را پيچيده‌تر كرده و اجراي آن را با چالش‌هاي بيشتري مواجه مي‌كند.

 حفاظت از داده‌ها در پيش‌نويس قانون تجارت الكترونيكي

يكي از مهم‌ترين كاستي‌هاي حقوقي در حوزه اقتصاد ديجيتال ايران، نبود قانون جامع و مستقل براي حفاظت از داده‌هاي شخصي است. با وجود تلاش‌هاي متعدد براي تدوين «لايحه صيانت از داده‌هاي شخصي» يا «لايحه حفاظت از داده‌ها»، اين طرح‌ها هنوز به نتيجه نرسيده و هيچ مصوبه الزام‌آوري در اين زمينه وجود ندارد. با اين حال، پيش‌نويس اصلاح قانون تجارت الكترونيكي به اين موضوع پرداخته و براي اولين‌بار حقوق كاربران در پردازش و انتقال داده‌ها به‌طور شفاف بيان شده است. پردازش داده‌ها تنها با رضايت آگاهانه و آزادانه كاربر مجاز است. كاربران حق دارند داده‌هاي خود را مشاهده، ويرايش، حذف يا منتقل كنند. استفاده از داده‌ها براي تبليغات يا تحليل‌هاي تجاري نيازمند رضايت صريح و جداگانه است. پردازش داده‌هاي حساس، مانند اطلاعات پزشكي يا عقيدتي، بدون اجازه كاربر ممنوع است. همچنين، بازارگاه‌ها موظف‌اند داده‌هاي تجاري تأمين‌كنندگان را در اختيار آنها قرار دهند و از استفاده غيرمنصفانه از اين داده‌ها براي رقابت مستقيم خودداري كنند. هرگونه دسترسي غيرمجاز، شنود غيرقانوني، حذف، توقف يا مداخله در پردازش داده‌پيام و سامانه‌هاي الكترونيكي، يا استفاده از داده‌ها براي كسب مال يا امتياز به‌صورت غيرقانوني، ممنوع است. بازارگاه‌ها همچنين بايد امكان دسترسي تأمين‌كنندگان به داده‌هاي مرتبط با فعاليت تجاري‌شان، مانند سوابق تراكنش، بازخورد مصرف‌كنندگان، رتبه‌بندي‌ها و نرخ تبديل را فراهم كنند. اين پيش‌نويس با تعريف حقوق و الزامات تأمين‌كنندگان در بازارگاه‌ها، ممنوعيت كلاهبرداري و جرايم رايانه‌اي را نيز اصلاح كرده است. در تعريف اين جرايم آمده است كه هرگونه دسترسي غيرمجاز، شنود غيرقانوني، حذف، توقف يا مداخله در پردازش داده‌پيام و سامانه‌هاي الكترونيكي، يا استفاده از داده‌ها براي كسب مال يا امتياز به‌صورت غيرقانوني، ممنوع است. مسووليت مدني و انتظامي اين تخلفات بر اساس اين قانون اعمال مي‌شود و جنبه كيفري آنها تابع «قانون جرايم رايانه‌اي مصوب ۱۳۸۸» و ساير قوانين جزايي خواهد بود. اين پيش‌نويس همچنين تشكيل كميسيون شبه‌قضايي تجارت الكترونيكي را براي رسيدگي بي‌طرفانه و مستقل به اختلافات و اعتراضات ناشي از اجراي اين قانون پيشنهاد كرده است. اين بخش يادآور استانداردهاي GDPR اروپا است، اما قانون تجارت الكترونيكي نمي‌تواند جايگزين قانون جامع حفاظت از داده‌هاي شخصي شود. نحوه نگهداري و حفاظت از داده‌ها بايد در قانوني جداگانه به‌طور خاص تعيين شود. از سوي ديگر، اشاره محدود به حفاظت از داده‌هاي شخصي در حالي كه دو پيش‌نويس طرح و لايحه حفاظت از داده‌ها در دستور كار مجلس قرار دارد، مي‌تواند به تعارض و اختلال در قانون‌گذاري منجر شود. احكام كلي و ناقص نه‌تنها حمايت كافي از كاربران فراهم نمي‌كند، بلكه موانع جديدي براي توسعه و نوآوري كسب‌وكارهاي داده‌محور ايجاد مي‌كند. اين بخش همچنين با معرفي كميسيون شبه‌قضايي تجارت الكترونيكي، چالش ديگري را به وجود مي‌آورد.

 كميسيون شبه‌قضايي يا رگولاتور جديد

در پيش‌نويس اصلاح قانون تجارت الكترونيكي، چندين بار به كميسيون شبه‌قضايي تجارت الكترونيكي اشاره شده است؛ نهادي مستقل كه وظيفه رسيدگي سريع به اختلافات ميان مصرف‌كنندگان، تأمين‌كنندگان و بازارگاه‌ها را بر عهده خواهد داشت. تعدد نهادهاي تنظيم‌گر يكي از بزرگ‌ترين موانع پيش روي شركت‌ها و پلتفرم‌هاي ديجيتال در ايران است و اين موضوع به مانعي جدي براي توسعه اكوسيستم ديجيتال تبديل شده است. فعالان اقتصاد ديجيتال بايد به نهادهاي متعددي مانند سازمان غذا و دارو، شهرداري، ستاد مبارزه با قاچاق كالا و ارز، سازمان تأمين اجتماعي، بيمه مركزي، بانك مركزي و ديگر نهادها پاسخگو باشند؛ فهرستي كه به‌طور نگران‌كننده‌اي طولاني است. اين تعدد نهادها نه‌تنها هزينه و پيچيدگي فرايندهاي كسب‌وكار را افزايش مي‌دهد، بلكه شفافيت را كاهش داده، سرمايه‌گذاران را دلسرد كرده، رشد و نوآوري را كند كرده و حتي برخي كسب‌وكارها را به سمت فعاليت غيررسمي يا تعطيلي سوق داده است. متأسفانه، پيش‌نويس به جاي كاهش تعدد و همپوشاني نهادهاي تنظيم‌گر، زمينه ايجاد نهادهاي شبه‌قضايي يا موازي مانند كميسيون شبه‌قضايي تجارت الكترونيكي را فراهم كرده، بدون آنكه رابطه اين كميسيون با محاكم قضايي يا ساير نهادهاي موجود شفاف شود. هرچند اين پيش‌نويس تلاش كرده نقش تنظيم‌گر تنظيم‌گران را تا حدي ايفا كند، اما جايگاه كميسيون عالي تنظيم مقررات مركز ملي فضاي مجازي ناديده گرفته شده است. اين كميسيون در مصوبه شوراي عالي فضاي مجازي به عنوان تنظيم‌گر تنظيم‌گران در نظر گرفته شده و احتمال موازي‌كاري و تعارض، فضاي تصميم‌گيري و كسب‌وكار را مبهم‌تر و دشوارتر خواهد كرد.