عنوان: اصول حاکم بر حمايت از داده
  نويسنده: حميدرضا اصلاني (دانشجوي دکتراي حقوق خصوصي دانشگاه شهيد بهشتي)

چکيده
    مراد از اصول حاکم بر حمايت از داده، آموزه‌هاي کلي حقوقي است که راهنماي قانونگذار در تدوين قوانين و قضات در رسيدگي‌هاي قضايي مي‌باشد. اين اصول با توجه به مراحل مختلف انجام عمليات بر روي داده‌هاي شخصي قابل تقسيم‌بندي و بررسي مي‌باشند. تحليل اين اصول مي‌تواند ما را در تهيه قوانين مناسب و جامع ياري نموده و در مقام رسيدگي قضايي، در موارد اجمال يا ابهام يا سکوت قوانين رهاننده دادرس از سرگرداني باشد.
کلمات کليدي: حريم خصوصي، حمايت از داده، اصل، اصول حاکم بر حمايت از داده.

1- مقدمه
     مراد از اصول حاكم بر حمايت از داده يا حريم خصوصي اطلاعاتي[1] (INFORMATION PRIVACY) قواعد كلي است كه حاكم بر موضوع حمايت از داده بوده و مي‌توان با ياري جستن از آنها حتي در مواردي كه قانونگذار حكم صريح و خاصي ندارد در تبيين و تعيين فروع بحث و يافتن راه‌حل‌‌هاي مسائل و قضاياي جزئي به راه‌حل قضيه دست يافت. لذا بايد گفت كه اين اصول داراي كاركردي دوگانه مي‌باشند: ازيكسو مبين رهيافت و رويكرد مورد اتخاذ قانون‌گذاران مختلف بوده و رعايت يا عدم رعايت آنها در تدوين قوانين و مقررات مربوط، نشانگر جهت‌گيري كلي حاكم بر تقنين است و از سوي ديگر در مقام تفسير مواد قانون در موارد ابهام يا اجمال يا تعارض اين مواد با يكديگر راهنماي حقوقدانان و محاكم در جهت يافتن راه حل نهايي هر قضيه مي‌باشد.
    ذيلاً اهم  اصول حاكم بر حمايت از داده را در پنج بند تقسيم‌بندي نموده و اشاره‌اي مختصر به مفهوم هريك خواهيم داشت. لازم به يادآوري است كه در تدوين اين اصول نظام حقوقي خاصي مدنظر نبوده است بلكه سعي شده تا با استقراء در نظام‌هاي حقوقي مختلف و اسناد بين‌المللي معتبر اهم اين اصول استخراج شده و با يك دسته‌بندي جديد عرضه شوند. لذا عليرغم آنكه اغلب اصول مزبور در نظام‌هاي مختلف حقوقي مورد پذيرش واقع شده اند مع‌هذا احتمال فقدان يك يا برخي از آنها در هريك از نظام‌هاي حقوقي وجود دارد . علت تقسيم اين اصول ذيل پنج عنوان آنست كه مراحل چهارگانه تحصيل، نگهداري، بکارگيري و انتقال يا امحاء داده‌ها چهار مرحله اصلي قابل تصور در طول حيات داده‌ها مي‌باشند كه هريك اصول خاص خود را دارند و در كنار اين چهار دسته، اصولي نيز وجود دارند كه حاكم بر كل پروسه، بوده و اختصاص به يك فاز ندارند كه آنها را تحت عنوان ساير اصول در عرض چهار دسته پيش‌گفته بررسي خواهيم نمود. لذا همانگونه كه ملاحظه مي‌شود اين اصول به پنج دسته به شرح ذيل قابل انقسامند.
• اصول مربوط به تحصيل داده‌ها
• اصول مربوط به نگهداري داده‌ها
• اصول مربوط به بکارگيري داده‌ها
• اصول مربوط به امحاء و انتقال داده‌ها
• ساير اصول
2- اصول مربوط به تحصيل داده‌ها:
    ويژگي اين دسته از اصول آنست که علي‌الاصول ناظر بر مرحله گردآوري و تحصيل داده‌ها مي‌باشند. اين اصول تحت چهار عنوان به شرح ذيل قابل بررسي مي‌باشند:
2-1- اصل تحصيل قانوني و منصفانه (Fair and Lawfull Collection):
   اين اصل ناظر بر روش و ابزار مورد استفاده در تحصيل داده‌هاست. مطابق اين اصل تحصيل داده‌هاي شخصي مربوط به ديگري مي‌بايد از طريق روش و ابزار قانوني و مشروع صورت گيرد. اگر تعبير دقيق‌تري از اين اصل مدنظر باشد مي‌توان گفت كه مطابق اين اصل توسل به ابزار يا روش غيرقانوني و غيرمنصفانه براي گردآوري داده‌ها ممنوع است. لذا تحصيل اين گونه داده‌ها در درجه اول با رضايت شخص سوژه و در صورت فقدان چنين رضايتي، تنها بنا بر حكم صريح قانونگذار آنهم در موارد خاص و استثنايي مصرح مجاز مي‌باشد. در نتيجه تحصيل داده‌ها بصورت سري و محرمانه علي‌الاصول ممنوع است (اصل اطلاع). البته پر واضح است كه اين اصل نيز همچون همه اصول مطلق و بدون استثناء باقي نمانده  و در موارد خاصي با اجازه خاص قانونگذار و در حدود چنين اجازه‌اي مي‌توان از آن دست شست (كه از آن جمله مي‌توان به موارد امنيتي و حفظ مصالح حياتي جامعه اشاره كرد).
2-2- اصل تحصيل مضيق و مرتبط (Collection for a proper purpose)
   اصل تحصيل قانوني و منصفانه ناظر بر ابزار و روش مورد استفاده در تحصيل داده‌ها بود. ليكن اين اصل ناظر بر نوع و ميزان داده‌ها گردآوري شده مي‌باشد. بموجب اين اصل اولاً تحصيل داده‌ها تنها براي هدف قانوني و مشروع مجاز است (يا لااقل مي‌توان گفت تحصيل داده‌ها براي هدف غير قانوني يا نامشروع ممنوع است). ثانياً نوع داده‌هاي گردآوري شده بايد با هدف اوليه تحصيل داده‌ها منطبق باشد ثالثاً گردآوري داده‌ها بايد تنها به ميزان مورد نياز براي هدف اوليه و اعلام شده صورت گيرد و گردآوري داده‌هاي اضافي ممنوع است. بر اين اساس به عنوان مثال مؤسسه‌اي كه در زمينه نرم‌افزارهاي كامپيوتري فعاليت مي‌كند و براي اطلاع از سلایق و خصوصيات مشتريان خود با جلب رضايت آنها  اقدام به گردآوري داده‌هايشان مي‌نمايد نمي‌تواند انتظار داشته باشد كه گردآوري داده‌هاي مربوط به بيماري‌هاي مسري مشتريانش نيز بموجب رضايت اخذ شده از مشتريان مشروع تلقي شود.
2-3- اصل انتخاب(Opt Principle)
     اصل انتخاب بدان معناست كه مؤسسه يا شخصي كه قصد گردآوري داده‌ها در خصوص شخص سوژه را دارد پيش از هرچيز مي‌بايد اين امكان را براي كاربر فراهم آورد كه صريحاً نظر خود را مبني بر اينكه آيا با گردآوري داده‌هاي شخصي خود موافقت دارد يا خير؟ اعلام نمايد. اين عمل از طريق يك روش انتخاب صورت مي‌گيرد كه ممكن است  مبتني بر روش سلبي  (Opt-out)بوده يا از طريق روش ايجابي(Opt-in) صورت گيرد.
   در روش سلبي كاربر در بدو ورود مي‌تواند نظرش را مبني بر مخالفت با تحصيل داده‌هاي شخصي خود، اعلام داشته و از اين طريق از گردآوري داده‌ها جلوگيري كند و در صورتي كه مخالفت خود را اعلام ننمايد (سكوت كند) اين امر بمنزله اعلام موافقت تلقي شده و تحصيل داده‌ها مجاز تلقي خواهد شد.  برعكس روش فوق در روش ايجابي كه از حيث دلالت قطعي بر اراده كاربر از  اطمينان بيشتري برخوردار است، در بدو ورود كاربر به سايت از او خواسته مي‌شود كه موافقت خود را با گردآوري داده‌هاي خود (كه ممكن است تمام يا بخشي از ما به ازاي دريافت خدمات سايت  باشد) اعلام دارد. در چنين فرضي سكوت كاربر (عدم اعلام موافقت) بمنزله مخالفت تلقي شده و تحصيل داده‌ها ممنوع خواهد بود[4].
     نكته مهم در خصوص اصل انتخاب رعايت بموقع و صحيح تكليف دارنده سايت دائر بر اعلام حق انتخاب كاربر به وي مي‌باشد. از اين جهت، ضروري است كه اعمال حق انتخاب توسط كاربر پيش از هرگونه گردآوري داده‌ها صورت پذيرفته باشد و لذا ارائه اين گزينه‌ها (موافقت يا مخالفت) در اثناي استفاده كاربر از سايت (كه ممكن است پيش از آن بخشي از داده‌هاي او تحصيل شده باشد) نمي‌تواند تضمين كننده رعايت اين اصل بوده و مآلاً داده‌هاي اخذ شده پيش از اعلان رضايت كاربر (و به طريق اولي پس از اعلام مخالفت او) تحصيل شده از طريق غير مجاز تلقي مي‌شوند. همچنين اعلام اين گزينه‌ها از سوي سايت به كاربر بايد به گونه‌اي باشد كه بتوان يقين حاصل نمود كه يك كاربر معمولي، در شرايط معقول، قطعاً با آن مواجه شده و متوجه آن خواهد شد و لذا ارائه آنها به نحوي که کاربر ناگزير از ديدن آنها باشد (مثلاً مجوز ادامه فعاليت کاربر باشد) تضمين‌کننده حسن اجراي اين اصل است. البته يكي از مشكلات موجود در مسير رعايت اين اصل آن است كه كاربران هميشه از مجراي ورودي سايت وارد آن نمي‌شوند و ممكن است كه كاربري از طريق پيوندي(LINK)ميان يك صفحه از سايت (WEBPAGE) با صفحه‌اي از سايت ديگر اقدام به ورود به صفحات مياني سايت نمايد كه در اين صورت مشكل اعلام گزينه‌ها مسأله‌اي بغرنج مي‌شود.      
2-4- اصل اطلاع(NOTICE PRINCIPLE)  :
   همانگونه كه پيشتر ديديم اصل تحصيل قانوني و منصفانه اقتضاي آن دارد كه گردآوري داده‌ها از طريق روش‌ها و ابزارهاي غيرقانوني و نامشروع ممنوع باشد. همچنين گفته شد كه بر اين مبنا گردآوري داده‌ها بصورت سري و محرمانه ممنوع مي‌باشد. از اين رو مي‌توان اصل اطلاع را از توابع و فروع اصل تحصيل قانوني و منصفانه تلقي نمود. ليكن دليل بررسي مستقل اين اصل در اينجا آنست كه:
     اولاً: هرچند اين اصل از فروع اصل پيش گفته محسوب مي‌شود ليكن مدلول اصل تحصيل قانوني و منصفانه به خودي خود دلالت صريحي لزوم اطلاع‌رساني و ابلاغ مسأله گردآوري داده‌ها نداشته و بدون تصريح به اصل اطلاع ممكن است اين شبهه ايجاد گردد كه مراد از اصل تحصيل قانوني و منصفانه تنها  فقدان ممنوعيت قانوني در مرحله بدست آوردن داده‌ها است و مآلاً نسبت به اطلاع‌رساني به سوژه كه امري است عليحده، تكليفي وجود ندارد.
    ثانياً: هرچند اصل اطلاع به دليل تقدم تحصيل داده‌ها بر  پردازش داده‌ها در زمره اصول حاكم بر تحصيل داده‌ها برشمرده شده است ليكن واقعيت آن است كه اين اصل علاوه بر اينكه در مرحله تحصيل داده‌ها لازم الرعايه مي‌باشد بعضاً در مرحله پردازش داده‌ها نيز حكومت دارد (بويژه در موارد اصلاح يا تغيير دادن داده‌ها) و ذكر اين اصل در زمره اصول حاكم بر تحصيل داده‌ها تنها به اين دليل است كه اين مرحله منطقاً مقدم بر پردازش داده‌هاست و براي پرهيز از تكرار مكررات هردو بحث ذيل يك عنوان بررسي مي‌شود. لذا اصل تحصيل قانوني و منصفانه كه صرفاً ناظر بر مرحله اول است حتي اگر دلالت ضمني بر لزوم اطلاع‌رساني در مرحله تحصيل داده‌ها داشته باشد شامل لزوم اطلاع‌رساني در مرحله پردازش داده‌ها نمي‌شود. در نتيجه بررسي مستقل اين دو اصل توجيه پذير است.
    علاوه بر اينکه اصل اطلاع به معني لزوم اعلام تحصيل داده مي‌باشد، اصل مزبور همچنين به مفهوم لزوم اعلام رويه مورد عمل يك سايت در خصوص نحوه حمايت از حريم خصوصي كاربران (PRIVACY  POLICY)آنهم در بدو ورود كاربر به سايت نيز مي‌باشد[4]. از سوي ديگر بر مبناي اين اصل اعلام هويت مؤسسه يا شخصي كه اطلاعات را  گردآوري كرده و هويت پردازشگر داده‌ها، دليل گردآوري و پردازش داده‌ها، آثار خودداري از ارائه يا باز پس‌گيري داده‌ها و حقوق سوژه در پيگرد و تعقيب مؤسسه، به سوژه ضروري است[5].
    با توضيحات فوق مي‌توان گفت كه مفهوم اصل اطلاع آنست كه گردآوري و پردازش  داده‌هاي شخصي (حداقل در خصوص پردازش‌هاي تغيير دهنده داده) منوط به اعلام مراتب به شخص سوژه مي‌باشد مگر در مواردي كه قانون بنا به پاره‌اي مصالح استثنايي و مصرح (همچون مسائل امنيتي) خلاف آن را مقرر دارد[7]. 
   لازم به ذكر است كه برخي، دو اصل تحصيل قانوني و منصفانه و اطلاع را تحت عنوان اصل محدوديت تحصيل داده (Data Collection Limitation) بررسي نموده‌اند[6].
3- اصول مربوط به نگهداري داده‌ها
      در اين دسته اصولي جاي مي‌گيرند که بيش از هرچيز ناظر بر مرحله نگهداري داده‌ها توسط پردازشگر مي‌باشند. اين اصول در چهار بند به شرح ذيل قابل بررسي مي‌باشند:
  3-1- اصل امنيت  (Security Principle)
   اصل امنيت بدان معناست كه كسي كه داده‌ها را تحصيل نموده يا در اختيار دارد مي‌بايد تدابير امنيتي لازم براي جلوگيري از دسترسي يا پردازش غير مجاز داده‌ها توسط ديگران بكار گيرد[3] و عدم بكار گيري چنين تدابيري موجب مسؤوليت اوست.اين اصل بويژه ناظر بر دارندگان مؤسسات خدمات اينترنتي نظيرISP ها مي‌باشد.البته مسؤوليت اين قبيل اشخاص منافاتي با مسؤوليت شخصي كه بصورت غير مجاز اقدام به ورود يا تحصيل يا پردازش و يا انتشار داده‌هاي مزبور نموده است ندارد و ممكن است سوژه بموجب اين اصل عليه مدير يك سايت و همزمان بموجب اصل ممنوعيت پردازش غيرمجاز عليه شخص خاطي اقامه دعوا نمايد.
    از آنجا كه نگهداري داده‌ها در موارد غير ضروري و براي مدت طولاني خود بالقوه خطر دسترسي و پردازش غيرمجاز را افزايش مي‌دهد و امحاء داده‌ها در چنين مواردي بهترين راه تضمين امنيت داده است لذا از جمله آثار اصل امنيت، اصل امحاء است[8]كه بزودي بدان خواهيم پرداخت.
3-2-  اصل شفافيت (Transparency Principle)
     همانگونه كه در جامعه واقعي جرم و تخلف در خفا بيش از علن رخ مي‌دهد و علني شدن فعاليت‌ها در کاهش جرائم مؤثر است، در فضاي مجازي نيز علني كردن فعاليت‌ها مي‌تواند به كاهش تخلفات كمك كند. يكي از بهترين روش‌هاي كنترل در ايفاي وظايفي كه شخص يا مؤسسه گردآوردنده يا پردازش‌كننده داده‌ها برعهده دارد  الزام ايشان به شفاف‌سازي و عرضه اطلاعات مربوط به فعاليت‌هايشان است. در صورتي كه چنين شخص يا مؤسسه‌اي ملزم باشد كه اطلاعات مربوط به داده‌هاي گردآوري و پردازش شده را بصورت كامل و دائم در دسترس شخص سوژه يا مقام‌هاي ناظر (نظير كميسونر يا كنترل‌گر) قرار دهد همواره خواهد كوشيد كه از تعدي به حقوق سوژه خودداري نمايد.
    البته اعمال اين اصل نبايد به ساير اصول حاكم بر پردازش داده‌ها بويژه اصل امنيت خدشه‌اي وارد كند و عرضه اطلاعات مربوط نبايد به گونه‌اي باشد كه موجبات وقوف سايرين را به محتواي پايگاه‌هاي داده فراهم آورد.
    بر اساس اين اصل مؤسسه مورد بحث بايد اولاً در صورت تقاضا (on request)، امكان دسترسي اشخاص به محتوا، نوع، هدف گردآوري و ساير اطلاعات مربوط به داده‌هاي شخصي ايشان را فراهم آورده؛  ثانياً بايد رويه خاصي براي حمايت از حريم خصوصي اطلاعاتي اشخاص (Privacy Policy) داشته و آن را بنحو شفاف در دسترس كاربران قرار دهد[9و10].  در زمينه داده‌هاي شخصي حساس (sensitive personal data) مؤسسه بايد اطلاعات مشابه را به مقام ناظر نيز ارائه كند.
 3-3- اصل دسترسي (Access Principle)
    بموجب اين اصل كه در واقع خود از آثار اصل شفافيت است، مؤسسه دارنده  داده‌ها مي‌بايد در صورت درخواست كاربري كه داده‌هاي او تحصيل يا پردازش مي‌شود (سوژه) امكان دستيابي او را به اطلاعات مربوط به نوع، ماهيت و روش گردآوري و احياناً كيفيت داده‌هاي مزبور فراهم آورد. در اين راستا روش و هزينه اعمال چنين حقي از جانب سوژه نبايد به گونه‌اي باشد كه عملاً آن را ناممكن يا نامعقول جلوه دهد. همچنين سوژه علاوه بر حق دسترسي به اين اطلاعات حق كپي‌برداري و همچنين اطلاع از هويت مؤسسات و اشخاصي كه داده‌ها در اختيار ايشان قرار گرفته است را دارد[12و13].  
 مع‌الوصف اعمال اين اصل در موارد ذيل ممكن است با محدوديت‌ها و استثناهايي مواجه شود:
 وقتي كه دسترسي موجب ايجاد ناامني يا خطر براي سلامتي يا حيات ديگري باشد؛
 وقتي كه دسترسي موجب ايجاد خطر يا تهديد جدي براي حريم خصوصي سايرين باشد؛
 وقتي كه درخواست دسترسي  با توجه به اوضاع و احوال فاقد توجيه منطقي بوده و صرفاً به منظور آزار و اخلال باشد؛
 وقتي كه داده‌ها مربوط به دعواي جاري ميان سوژه و مؤسسه نزد مراجع قانوني بوده و بموجب مقررات حاكم بر مرجع رسيدگي دسترسي بدانها امكانپذير نباشد؛
 وقتي كه منع دسترسي بموجب حكم قانون باشد؛
 وقتي كه منع دسترسي بموجب حكم مقام صلاحيتدار (قضايي- امنيتي) باشد؛
 وقتي كه دسترسي موجب اخلال در تعقيب و كشف يك جرم مهم باشد[9و14]؛
3-4- اصل صحت  (Accuracy of Information)
   عدم صحت داده‌ها همواره خطري بالقوه براي حريم خصوصي اشخاص محسوب مي‌شود. دليل عدم صحت داده‌ها ممكن است اشتباه يا قصور در مرحله گردآوري داده‌ها يا ذخيره داده‌ها يا پردازش داده‌ها باشد و يا كامل نبودن داده‌هاي گردآوري شده موجب عدم انطباق آنها با واقع باشد، يا اينكه داده‌هاي مورد بحث در مراحل فوق بنو صحيح گردآوري و ذخيره و پردازش شده ليكن بعدها به دليل تغيير در مختصات سوژه، عدم انطباق داده‌ها با واقع مدلل گردد (اصطلاحاً روزآمد نباشند) و نياز به اصلاح داشته باشند[15].
    در هرحال اصل صحت داده‌ها كه اصلي كيفي بوده و ناظر بر محتواي داده‌ها است اقتضاي آن دارد كه مؤسسه يا شخصي كه به گردآوري و پردازش داده‌ها مي‌پردازد در تمام مراحل، نه تنها داده‌هاي صحيح گردآوري پردازش و منتقل نمايد بلكه ترتيبات و تدابير مقتضي براي حصول اطمينان از صحيح بودن، كامل بودن و روزآمد بودن داده‌ها نيز بكار گيرد. از نتايج اصل صحت داده‌ها آنست كه در صورتي كه شخص سوژه تقاضاي اصلاح داده‌ها براي منطبق شدن آنها با واقع را نمايد شخص يا مؤسسه مورد بحث مكلف است ضمن بررسي وضعيت داده‌ها و ادعاي سوژه، در صورتي كه ادعاي سوژه مقرون به صحت باشد نسبت به اصلاح داده‌ها اقدام نمايد و الا مسؤول خواهد بود. 

 4-  اصول مربوط به بكار گيري داده‌ها
    اين اصول علي‌القاعده ناظر بر چگونگي بکارگيري داده‌ها و بهره‌یرداري از آنها مي‌باشند و در دو بند به شرح ذيل قابل بررسي مي‌باشند:  

4-1- اصل پردازش مرتبط (proper purpose proccess)
       اصل ممنوعيت پردازش داده‌هاي شخصي  مقتضي است كه گردآورنده و پردازشگر تنها اجازه پردازش داده‌ها  را در حدود مورد توافق داشته يا آنكه قانونگذار چنين اجاز‌ه‌‌اي را بوي داده باشد و از پردازش آنها براي اهداف غيرمرتبط و ثانوي (secondary purpose)خودداري كند. لذا اولاً چنين شخصي بايد از پردازش داده‌ها در مواردي غير از دو فرض فوق خودداري نمايد ثانياًدر صورت ترديد در روا بودن يا نبودن پردازش اصل مجاز نبودن آنست مگر اينكه صريحاً مجوزي براي آن وجود داشته باشد. عدم رعايت هريك از موارد فوق مي‌تواند براي پردازشگر مسؤوليت ببار آورد.
   با اين همه در مواردي كه هدف ثانوي از لوازم و فروع منطقي و غيرقابل اجتناب هدف اوليه باشد يا آنكه سوژه منطقا انتظار چنين پردازشي را داشته باشد، بجز در خصوص داده‌هاي شخصي حساس، چنين پردازشي مجاز است. در هر حال در خصوص اطلاعات مربوط به سلامتي و بطور كلي داده‌هاي شخصي حساس مقررات مفصلي وجود دارد كه جملگي از فروع اين بحث مي‌باشند و بررسي آنها در اين مختصر نمي‌گنجد و براي مطالعه آنها بايد به منابع مفصل‌تر مراجعه نمود[16].
4-2- اصل ممنوعيت افشاء  (Disclosure Restriction Principle)
     گردآوري و پردازش همانگونه كه پيشتر اشاره شد محدود به هدفي است كه تفسير موسع آن در هرحال ممنوع بوده و تسري دادن آن به موارد مشابه تجاوز به حريم خصوصي اطلاعاتي محسوب مي‌شود. خواه سوژه خود داده‌هاي شخصي را در اختيار پردازشگر قرار داده باشد يا آنكه پردازشگر از ساير طرق قانوني و به طريق اولي غير قانوني آنها را به دست آورده باشد افشاء داده‌ها به اشخاص ثالث و بمنظور نيل به يك هدف ثانوي، امري است كه علي‌الاصول در چارچوب اجازه اوليه صادره از سوي سوژه يا قانونگذار نمي‌گنجد و لذا ممنوع است و اين اصل در تمامي مراحل تحصيل پردازش و انتقال داده‌ها لازم‌الرعايه مي‌باشد.
   با اينحال در موارد ذيل افشاء داده‌ها به اشخاص ثالث و براي هدف ثانوي مجاز است:
 وقتي كه هدف ثانوي ارتباط تامي با هدف اوليه گردآوري داده‌ها داشته و سوژه نيز منطقاً انتظار افشاء داده‌ها براي چنين منظوري را داشته باشد، مگر درخصوص داده‌هاي شخصي حساس كه اين امر در هرحال ممنوع است؛
 وقتي شخص سوژه رضايت دهد؛
 وقتي مؤسسه يا شخص دارنده داده‌ها بنحو معقولي اعتقاد دارد كه افشاء داده‌ها براي صيانت از سلامتي يا حيات سوژه و يا امنيت و سلامت عمومي ضرورت دارد؛
 وقتي كه افشاء داده‌ها براي تحقيقات پزشكي ضروري باشد (با رعايت شرايط و قيود خاص)؛
 وقتي كه افشاء داده‌ها براي جلوگيري از وقوع يك جرم مهم ضروري باشد؛
 وقتي كه افشاء داده‌ها بموجب حكم قانون ضروري باشد؛
 وقتي كه افشاء داده‌ها بنا به حكم مقام صلاحيتدار (قضايي- امنيتي) ضرورت داشته باشد؛
در خصوص داده‌هاي شخصي حساس اين استثناً تابع مقررات خاص و شديدتري است كه بررسي همه آنها از حوصله اين مقال بيرون است[16]. 
       لازم به ذكر است كه افشاء داده‌ها با انتقال داده‌ها تفاوت ماهوي دارد و هر چند هر دو عمل علي‌الاصول ممنوع‌اند ليكن افشاء داده‌ها بمعني فراهم نمودن وضعيتي است كه شخص ثالثي بالقوه يا بالفعل امكان وقوف بر آنها را داشته باشد ليكن مراد از انتقال داده‌ها آن است كه داده‌ها در اختيار شخص ديگري قرار داده شود و او خود امكان پردازش يا افشاء يا انتقال داده‌ها را بيابد.   
5- اصول مربوط به امحاء و انتقال داده‌ها
      پس از گردآوري، نگهداري، و استفاده از داده‌ها نوبت به انتقال و امحاء داده‌ها مي‌رسد. ذيلاً اصول حاکم بر اين مرحله را در دو بند مورد بررسي قرار مي‌دهيم:
5-1- اصل امحاء (ERASE PRINCIPLE)
      اصل امنيت كه از اصول حاكم بر  نگهداري داده‌ها مي‌باشد را پيشتر مورد بررسي قرار داديم و گفتيم كه لزوم اتخاذ تدابير امنيتي از جانب دارنده داده‌ها اقتضا دارد بمحض برطرف شدن نياز وي به داده‌ها نسبت به زائل نمودن و امحاء آنها اقدام نمايد. اين وظيفه بويژه ناظر بر دارندگان مؤسسات خدمات اينترنتي نظيرISP ها مي‌باشد زيرا داده‌هاي مربوط به كاربران همه روزه در حافظه رايانه‌هاي اين مؤسسات ذخيره مي‌شود و پس از نگهداري اين داده‌ها براي مدت معقولي كه مبتني توجيهات امنيتي، اقتصادي و احياناً آماري است ضروري است كه اين داده‌ها امحاء شوند تا  كسي نتواند با دسترسي به داده‌ها  از آنها سوء استفاده نمايد.   
   لازم به ذكر است كه از آنجا كه همانگونه كه اشاره شد اصل امحاء از آثار اصل امنيت مي‌باشد لذا در اغلب منابع بطور مستقل به اين اصل پرداخته نشده و آن را ذيل همان اصل مادر (امنيت) مطرح نموده‌اند[8 و17] ليكن به دليل آنكه در نوشتار حاضر سعي شده كه اصول مربوط به داده با توجه به مراحل مختلف كار دسته‌بندي شوند لذا اين اصل كه ناظر بر مرحله امحاء و انتقال داده‌ها است جدا از اصل امنيت كه ناظر بر مرحله نگهداري داده‌ها است مطرح شده است.
 5-2- اصل عدم انتقال[14] (Onward Transfer)
    خصيصه فرامرزي و گيتي گستر بودن اينترنت و بطور كلي فناوري‌هاي اطلاعات و ارتباطات اين امكان را فراهم آورده كه اشخاص بتوانند از اين ويژگي براي فرار از مقررات يك نظام حقوقي و يا تعقيب دستگاه‌هاي قضايي و امنيتي سوء استفاده كنند. به عنوان مثال اگر عملي در يك نظام حقوقي جرم بوده و مستوجب مجازات باشد بر اساس اصل اوليه سرزميني بودن قوانين كيفري (و در صورت فقدان مجوز قانوني خاص) نمي‌توان بر اساس چنين قانوني حكم به مجرميت شخصي كه در خارج از قلمرو نظام حقوقي مزبور عمل مورد بحث را مرتكب شده باشد داد.
    اين ويژگي و خصيصه فاوا وقتي در كنار مشكل فقدان همگوني و هماهنگي تام ميان مقررات نظام‌هاي مختلف حقوقي قرار مي‌گيرد، بويژه در بحث حمايت از داده‌ها اهميت مضاعف مي‌يابد. فرض كنيم كه پردازش و افشاء (و نه انتقال) داده‌هاي شخصي شهروندان در كشور الف ممنوع بوده ولي در كشور ب  حكم مشابهي  وجود ندارد. در چنين وضعيتي اگر شخصي با تحصيل داده‌هاي شخص ديگر در كشور الف آنها را از طريق رايانامه (e-mail) براي دوست خود كه در كشور ب سكونت دارد ارسال مي‌نمايد و از او مي‌خواهد كه داده‌ها را از طريق يك وبلاگ يا سايت اختصاصي خود منتشر نمايد.
    در اين مثال كسي ترديدي نخواهد داشت كه نتيجه حاصل با فرضي كه ارسال كننده داده‌ها خود اقدام به افشاء و انتشار آنها مي‌نمود هيچ تفاوتي ندارد و حريم خصوصي شخص سوژه در هر دو فرض به يك اندازه مورد تعدي و تجاوز قرار گرفته است.
    بر اين اساس در بحث از حريم خصوصي اطلاعاتي يكي از اصول حاكم و بنيادين كه در تمام مراحل، بايد از سوي دارنده  و پردازشگر داده‌ها رعايت شود اصل ممنوعيت انتقال فرامرزي داده (Transborder data flow) است. اهميت اين اصل تابدانجاست كه بدون آن در مقام حمايت از داده نقض غرض حاصل مي‌شود. برخي كشورها (كه عمدتاً در زمره كشورهاي توليد كننده داده‌ها و اطلاعات مي‌باشند) نظير كشورهاي اروپايي انتقال داده‌ها به كشورهاي فاقد سطح كافي حمايت از داده را ممنوع نموده‌اند تا جائی‌ که حتی ايالات متحده امريكا براي پاسخ به نياز مؤسسات اين كشور (كه از ديد اروپائيان فاقد سطح كافي حمايت از داده است) به مبادله اطلاعات و داده‌ها با همتـايــان اروپايي خود ناگزير از تدوين موافقت‌نامه بندرگاه امن (Safe Harbor Agreement)  با اروپائيان شد. [18]
    البته اصل منع انتقال فرامرزي داده‌ها همچون ساير اصول پيشين داراي استثنائاتي است كه بررسي همه آنها از حوصله اين مقال بيرون است و براي ديدن آنها بايد به منابع مفصل‌تر مراجعه نمود [8 و19].
6-  ساير اصول
   مراد از اين عنوان اصولي است كه نمي‌توان آنها را مختص يك يا چند مرحله از روند گردآوري، پردازش و امحاء وانتقال داده‌ها دانست بلكه ماهيت آنها به گونه‌اي است كه در تمام مراحل حاكميت داشته و روح حاكم بر مقررات حريم خصوصي مي‌باشند. ذيلاً اهم اين اصول را در دو بند مورد بررسي قرار مي‌دهيم.
 6-1-اصل رضايت (Consent Principle)   
      هدف از تدوين مقررات حمايت از داده‌هاي شخصي در درجه اول صيانت از حقوق شهروندان است. لذا علي‌الاصول در اغلب موارد اخذ رضايت سوژه مي‌تواند وصف ممنوعيت و تخلف را از اعمال ناقض حريم خصوصي (در هريك از مراحل تحصيل، پردازش و انتقال و امحاء داده‌ها) سلب نمايد. مع‌الوصف ذكر چند نكته ضروري است:
- نخست آنكه رضايت سوژه زماني مي‌تواند داراي چنين كاركردي باشد كه اطلاعات كافي و روشنگر در خصوص موضوعي كه نسبت بدان اخذ اجازه مي‌شود به او داده شده باشد.
- دوم  آنكه سوژه واقعاً مخير در اعلان يا عدم اعلان رضايت باشد.
- سوم آنكه اخذ رضايت حتي‌المقدور پيش از عمل باشد مگر اينكه اجازه را نوعي ابراء متخلف تلقي كنيم.
- چهارم آنكه در موارد استثنايي و مصرح بويژه مواردي كه با منافع عمومي و امنيت جامعه ارتباط پيدا مي‌كند قانون مي‌تواند مقرر كند كه رضايت سوژه در ممنوع  بودن عمل بي تاثير است[20].
همچنين بايد بخاطر داشت كه سوژه هميشه بايد اين حق را داشته باشد كه رضايت خود را بازپس گيرد، هرچند اين عمل نسبت به اعمالي كه پردازشگر  قبل از آن انجام داده است بي‌تأثير است.    
6-2- اصل مسؤوليت (Redress Principle)
    تفاوت مهم قاعده حقوقي با قاعده و توصيه اخلاقي در اينست كه اولي واجد ضمانت اجراي مادي و بيروني است و دومي تنها ضمانت اجراي دروني و وجداني دارد.[21] احكام قانونگذار اگر فاقد ضمانت اجرا و مسؤوليت براي متخلف باشند ارزش چنداني در نظام حقوقي نداشته و از نيل به مقصود (نظم و عدالت) باز مي‌مانند.
    در حوزه حقوق فناوري اطلاعات و بويژه بحث حمايت از داده نيز وضع به همين منوال است و صرفنظر از ماهيت مسؤوليت (مدني يا كيفري يا انتظامي) در هر حال بايد متخلف را مسؤول سرپيچي از حكم قانونگذار دانست. البته بديهي است كه اعمال اين اصل در هر مورد، بالاخص با توجه به ماهيت مسؤوليت مشروط به تحقق شرايط و عناصر عمومي و اختصاصي مسؤوليت مي‌باشد. همچنين از ديگر آثار اين اصل ضرورت برخورداري شهروندان از روش‌هاي تعقيب و دادخواهي مناسب مي‌باشد كه به عنوان راهكار اجرايي تحقق اصل مسؤوليت ضرورت دارد.
   لذا بر اساس اين اصل مي‌توان گفت كه گردآورنده، و پردازشگر داده‌ها نسبت به تخلف از احكام قانوني و تجاوز به حريم خصوصي شهروندان علي‌الاصول و مشروط به تحقق شرايط عمومي و اختصاصي مسؤوليت دارد و شهروندان در هرحال حق دادخواهي و تقاضاي بهر‌ه‌مندي از روش‌هاي جبران (Remedies) را دارند.[22]           
 نتيجه
1- اصول حاكم بر حمايت از داده‌هاي کلي حقوقي است که راهنماي قانونگذار در تدوين قوانين و قضات در رسيدگي‌هاي قضايي مي‌باشد.
2- اين اصول به پنج قسم قابل انقسامند:
• اصول مربوط به تحصيل داده‌ها
• اصول مربوط به نگهداري داده‌ها
• اصول مربوط به بکارگيري داده‌ها
• اصول مربوط به امحاء و انتقال داده‌ها
• ساير اصول
3- اصول مربوط به تحصيل داده‌ها عبارتند از:
• اصل تحصيل قانوني و منصفانه
• اصل تحصيل مضيق و مرتبط
• اصل انتخاب
• اصل اطلاع
4- اصول مربوط به نگهداري داده‌ها عبارتند:
• اصل امنيت
• اصل شفافيت
• اصل دسترسي
• اصل صحت
5- اصول مربوط به بکارگيري داده‌ها عبارتند از:
• اصل پردازش مرتبط
• اصل ممنوعيت افشاء
6- اصول مربوط به امحاء و انتقال داده‌ها عبارتند از:
• اصل امحاء
• اصل عدم انتقال
7- ساير اصول حاكم بر حمايت از داده عبارتند از:
• اصل رضايت
• اصل مسؤوليت
مراجع:  
1 - David Banisar, Privacy&Human Rights, Electrinic Privacy Information Center, 2000,Washington DC,p3
2-http://www.dataprivacy.ie/6aii-2.htm#6
3-http://www2.austlii.edu.au/itlaw/articles/IPPs.html
4- http://profs.lp.findlaw.com/privacy/3b.html#2
5- http://www.bild.net/privacyusa5.htm
6-http://www.privacy.ca.gov/code/fairinfo.htm
7- Denis Kelleher& Karen Murray,IT Law in the European Union,Sweet&Maxwell,1999,London,p240
8-http://www.workplaceinfo.com.au/nocookie/alert/2001/01329.htm
9-http://www.privacy.gov.au/publications/npps01.html#e
10-http://www2.austlii.edu.au/itlaw/articles/IPPs.html#Heading17
12-http://profs.lp.findlaw.com/privacy/3b.html#3
13-http://www.austlii.edu.au/au/legis/cth/consol_act/pa1988108/s14.html
14-http://www2.austlii.edu.au/~graham/CyberLRes/2001/1/#Heading11
15-http://www.privacy.gov.au/publications/npps01.html#c
16-http://www.privacy.gov.au/publications/npps01.html#b
17-http://www.privacy.gov.au/publications/npps01.html#d
18-http://web.ita.doc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list
19-http://www.privacy.gov.au/publications/npps01.html#i
20-http://www2.austlii.edu.au/itlaw/articles/Heading17
21- كاتوزيان، دكتر ناصر، مقدمه علم حقوق و مطالعه در نظام حقوقي ايران، شركت انتشار با همكاري بهمن برنا، چاپ بيستم،1374،ص55
22-http://www.bild.net/privacyusa5.htm