كتب: ضياء ثابت خبير اليونسكو ومسؤول قطاع الاتصال والمعلومات

منذ عام 2007، والعراق يدور في حلقة تشريعية غير مكتملة في قطاع الاتصالات والمعلومات؛ إذ تعاقبت دورات برلمانية متعددة دون أن تنجح في إنضاج أو إقرار حزمة القوانين الأساسية التي يفترض أن تؤسس لبنية رقمية حديثة ومتوازنة للدولة. فمشاريع قوانين حرية التعبير عن الرأي، وحق الوصول إلى المعلومات، وتنظيم الاتصالات، والجرائم السيبرانية، وحوكمة الفضاء الرقمي، ظلت جميعها عالقة بين الخلافات السياسية، وضعف الرؤية التقنية، وغياب المقاربات الحقوقية والمؤسساتية المتكاملة.

واليوم، تُطرح مسودة قانون جديدة تحت عنوان “أمن البيانات” أو “حماية البيانات”، في وقت لا يزال فيه العراق يفتقد إلى أبسط المرتكزات البنيوية التي تجعل من حماية البيانات مشروعاً قابلاً للتطبيق الواقعي. نعم نؤيد تاسيس التشريعات الضرورية لكن وفق قواعد سليمة وحواضن مهنية متسقة، فلا توجد حتى الآن مراكز بيانات وطنية سيادية مكتملة الاستقلالية والجاهزية، ولا بنى تحتية رقمية متماسكة قادرة على إدارة البيانات الحساسة وفق المعايير العالمية الحديثة، كما لا توجد منظومات وطنية متقدمة للأمن السيبراني، أو أنظمة تصنيف وحوكمة للبيانات، أو أطر تشغيلية متكاملة للامتثال الرقمي.

إن حماية البيانات لا تبدأ من النصوص العقابية أو التعريفات القانونية فحسب، بل من وجود دولة رقمية تمتلك سيادتها التقنية أولاً. فالدول التي نجحت في تشريع قوانين متقدمة لحماية البيانات سبقت ذلك ببناء منظومات مراكز بيانات، وحوسبة سحابية وطنية، وأطر أمن سيبراني، وسلطات تنظيم مستقلة، وأنظمة امتثال ورقابة وتدقيق متطورة. أما في الحالة العراقية، فإن محاولة تشريع قانون متقدم في بيئة رقمية ما تزال تعاني من التشتت البنيوي، والاعتماد شبه الكامل على المنصات والبنى الأجنبية، وضعف الحوكمة الرقمية، تثير أسئلة جوهرية حول قابلية التنفيذ، وحدود التطبيق الواقعي، وما إذا كان القانون المقترح يمثل فعلاً مشروع حماية للبيانات، أم مجرد إضافة تشريعية جديدة إلى رف الانتظار الرقمي العراقي الطويل، إلا إذا سبقتها/رافقتها بنية مؤسسية وتنظيمية وتقنية واضحة تضع واجبات وحقوق، وتبني “نظام امتثال” قابل للتشغيل.

التقييم العام للمسودة الجديدة

سنحلل هنا فقط الجوانب الفنية التقنية للمسودة ونترك الجوانب القانونية بتفاصيلها الى تحليل اخر سننشره قريبا، لكن الان نسلط الضوء على المسودة التي تعترف بمفاهيم مهمة (البيانات الشخصية، البيانات الحساسة، المتحكم، المعالج، المعالج من الباطن، التنميط، الربط البيني، مسؤول أمن المعلومات، خرق البيانات، نقل البيانات عبر الحدود، وحقوق صاحب البيانات).

ان الإشكال المركزي هو ميل القانون إلى التجريم والعقوبة أكثر من بناء نظام حماية بيانات عملي. اي ان التوازن في الحقوق والعقوبات يميل لصالح العقوبات، وحماية البيانات لا تنجح بالعقوبات وحدها، بل تحتاج إلى:

1. سلطة مستقلة فعلاً وممولة ومؤهلة.

2. لوائح تنفيذية تفصيلية.

3. معايير أمن سيبراني وطنية.

4. سجل وطني للمعالجات.

5. نماذج موافقة وإفصاح موحدة.

6. نظام شكاوى رقمي.

7. آلية تدقيق وتفتيش.

8. تدريب إلزامي للقطاعين العام والخاص.

9. مهلة انتقالية لا تقل عن 12–24 شهراً، وليس 90 يوماً فقط.

أبرز نقاط القوة

المسودة تتضمن عناصر متقدمة نسبياً، منها:

• الاعتراف بالبيانات الحساسة والبايومترية والوراثية.

• إدخال مفهوم التنميط والمعالجة المؤتمتة.

• اشتراط الإبلاغ عن خرق البيانات خلال 72 ساعة.

• فرض تقييم أثر حماية البيانات في بعض الحالات.

• تنظيم نقل البيانات خارج العراق.

• منح صاحب البيانات حقوق الوصول والتصحيح والمحو والاعتراض وسحب الموافقة.

• إلزام المتحكم والمعالج بسجلات للمعالجة.

• النص على مسؤول أمن المعلومات داخل الجهات.

هذه عناصر مهمة، وتدل أن المسودة تحاول الاقتراب من نماذج حديثة مثل GDPR، لكنها لم تصل بعد إلى مستوى الدقة المؤسسية والقانونية المطلوبة.

الملاحظات الجوهرية

1. تعريف “السلطة الوطنية” منقوص وخطير

في المادة الأولى، تعريف السلطة الوطنية مبتور: “هي الجهة الرسمية المخولة ب...”. ثم تأتي المواد اللاحقة لتمنحها صلاحيات واسعة جداً.

هذا خلل تشريعي كبير. لا يمكن إنشاء سلطة رقابية دون تحديد:

• ارتباطها الدستوري والإداري.

• طريقة تعيين رئيسها وأعضائها.

• مدة الولاية.

• شروط الاستقلال.

• مصادر التمويل.

• صلاحيات التفتيش والتحقيق.

• حدود تدخل الحكومة فيها.

• آلية الطعن بقراراتها.

إذا لم تكن السلطة مستقلة فعلاً، فقد تتحول حماية البيانات إلى أداة سيطرة إدارية أو سياسية، لا إلى حماية للحقوق.

2. الخلط بين “الموافقة” و“الترخيص”

المسودة تستخدم أحياناً عبارات على نحو “موافقة صاحب البيانات”، وأحياناً “ترخيص السلطة الوطنية”، وأحياناً “ترخيص من الشخص المعني بالبيانات”. هذا يخلق ارتباكاً قانونياً.

الأفضل التمييز بين:

• الموافقة: تصدر من صاحب البيانات.

• الأساس القانوني للمعالجة: مثل العقد، الالتزام القانوني، المصلحة العامة، حماية الحياة، المصلحة المشروعة.

• الترخيص الإداري: يصدر من السلطة الوطنية في حالات محددة جداً، مثل نقل البيانات الحساسة أو المعالجة عالية الخطورة.

حالياً تبدو المسودة وكأن كل عملية معالجة تحتاج ترخيصاً، وهذا غير عملي إطلاقاً، وسيشلّ المؤسسات والشركات والمصارف والجامعات والمستشفيات والمنصات الرقمية.

3. نطاق التطبيق واسع جداً وغير قابل للضبط

المادة 3 تجعل القانون يسري على متحكم أو معالج خارج الدولة يقوم بمعالجة بيانات أشخاص في الدولة أو خارجها. هذا طموح جيد، لكنه يحتاج إلى أدوات تنفيذ دولية مضمونة وامنة.

السؤال الواقعي: كيف ستفرض السلطة العراقية القانون على شركة أجنبية لا تملك مكتباً في العراق؟

يلزم النص على:

• ممثل قانوني محلي للشركات الأجنبية.

• شروط الامتثال للمنصات الكبرى.

• آليات تعاون دولي.

• عقوبات إدارية قابلة للتنفيذ داخل السوق العراقي.

• إمكانية حجب أو تقييد خدمات المخالفين وفق ضمانات قضائية واضحة.

4. الاستثناءات الأمنية والإعلامية تحتاج ضبطاً أدق

استثناء الأمن الوطني مقبول من حيث المبدأ، لكنه يجب ألا يكون مفتوحاً. النص يشترط موافقة قضائية، وهذا جيد، لكنه يحتاج إلى:

• تحديد نوع الموافقة القضائية.

• تحديد مدة المعالجة.

• منع استخدام البيانات لأغراض خارج نطاق التحقيق أو الأمن.

• رقابة لاحقة.

• حفظ سجل سري قابل للتدقيق.

• عدم كسر خصوصية البيانات المكفولة دستوريا.

أما الاستثناء الإعلامي والبحثي والإعلاني، فهو خطير بصيغته الحالية لأنه يخلط بين الصحافة والبحث والإعلانات. الإعلان التجاري لا ينبغي أن يتمتع بذات الحماية التي تتمتع بها الصحافة أو البحث العلمي.

5. حقوق صاحب البيانات جيدة لكنها تحتاج إجراءات تنفيذية

الحقوق موجودة، لكنها غير كافية دون تحديد:

• مدة الرد على طلب الوصول أو التصحيح أو الحذف.

• هل الطلب مجاني أم برسوم؟

• متى يحق للجهة رفض الطلب؟

• كيف يطعن صاحب البيانات؟

• ما شكل الرد؟

• كيف يتم التحقق من هوية طالب البيانات؟

• ما واجب الجهة إذا كان الطلب متكرراً أو كيدياً؟

• ماهي عقوبات الممتنع من المسؤولين والمؤسسات الحكومية عن تنفيذ الطلبات؟

النص الحالي يقرر الحقوق لكنه لا يحوّلها إلى مسار إداري قابل للتطبيق.

6. تقييم الأثر جيد لكنه عام

المادة 17 مهمة، لكنها تحتاج إلى تفصيل. يجب أن يتضمن تقييم الأثر:

• وصف المعالجة.

• أساسها القانوني.

• نوع البيانات.

• حجم البيانات.

• الفئات المتأثرة.

• المخاطر المحتملة.

• إجراءات التخفيف.

• رأي مسؤول حماية البيانات.

• متى يجب رفع التقييم إلى السلطة الوطنية.

• متى يجب منع المعالجة إذا بقي الخطر عالياً.

دون نموذج وطني موحد لتقييم الأثر، سيبقى النص نظرياً.

7. نقل البيانات عبر الحدود مكرر ومضطرب

هناك تكرار واضح بين الفصل الخامس والفصل السادس. المواد 19 و21 شبه متطابقة، والمواد 20 و22 شبه متطابقة أيضاً. هذا يضعف النص ويخلق تضارباً في الترقيم، خصوصاً أن المادة 21 مستخدمة أيضاً لمعالجة بيانات القاصرين.

ينبغي إعادة بناء فصل نقل البيانات كاملاً وفق منطق واضح:

• دول ذات مستوى حماية كافٍ.

• دول لا توفر حماية كافية.

• الضمانات التعاقدية.

• الموافقة الصريحة.

• الاستثناءات الضرورية.

• البيانات الحساسة.

• النقل الأمني والقضائي.

• التزامات الحوسبة السحابية ومراكز البيانات.

8. العقوبات شديدة لكنها غير متدرجة

المسودة تعتمد كثيراً على الحبس والسجن. هذا قد يخيف المؤسسات لكنه لا يخلق امتثالاً مستداماً. قوانين حماية البيانات الحديثة تعتمد على مزيج من:

• الإنذار.

• أمر التصحيح.

• إيقاف المعالجة.

• الغرامات الإدارية.

• التعويض المدني.

• العقوبة الجنائية فقط للحالات الجسيمة: البيع، التسريب المتعمد، الابتزاز، استغلال البيانات الحساسة.

في المسودة، بعض المخالفات الإدارية قد تؤدي إلى الحبس، وهذا قد يجعل القانون صعب التطبيق أو انتقائياً.

9. مدة النفاذ بعد 90 يوماً، غير واقعية

هذه من أخطر النقاط. لا يمكن تطبيق قانون بهذا الحجم خلال 90 يوماً، خصوصاً في بيئة مؤسساتية لا تمتلك بعد:

• خرائط بيانات وطنية.

• مسؤولي حماية بيانات مدربين.

• سجلات معالجة.

• سياسات خصوصية.

• أنظمة إدارة موافقات.

• بروتوكولات إبلاغ عن الاختراق.

• تصنيف للبيانات.

• عقود معالجة بيانات.

• معايير نقل عبر الحدود.

الأفضل وضع نفاذ مرحلي:

• 6 أشهر لتأسيس السلطة الوطنية.

• 12 شهراً للجهات الحكومية الكبرى.

• 18 شهراً للقطاع الخاص الكبير.

• 24 شهراً للمؤسسات الصغيرة والمتوسطة.

• تطبيق فوري فقط على جرائم بيع وتسريب البيانات الحساسة.

رابعاً: هل يمكن تنفيذ حماية البيانات واقعياً وفق هذه المسودة؟

لا، ليس بشكل كامل.

يمكن تنفيذ أجزاء محدودة منها، مثل معاقبة التسريب أو بيع البيانات أو إلزام بعض المؤسسات بالإبلاغ عن الخروقات. لكن “نظام حماية بيانات وطني” لا يمكن أن يعمل بهذه المسودة وحدها.

القانون يحتاج إلى متطلبات مسبقة، أهمها:

1. إنشاء سلطة وطنية مستقلة ومهنية.

2. إصدار لائحة تنفيذية مفصلة.

3. إعداد دليل وطني لتصنيف البيانات.

4. اعتماد معايير أمن معلومات إلزامية.

5. تدريب مسؤولي حماية البيانات في المؤسسات.

6. إنشاء بوابة وطنية للشكاوى والبلاغات.

7. إعداد نماذج موحدة للموافقة وسياسة الخصوصية.

8. فرض سجل وطني للمعالجات عالية الخطورة.

9. تنظيم الحوسبة السحابية ومراكز البيانات.

10. ربط هذه المسودة فنيا بمسودات قوانين الجرائم المعلوماتية والأمن السيبراني والتوقيع الإلكتروني والأرشفة الرقمية.

التوصية الاهم

المسودة تحتاج إعادة صياغة عميقة قبل التشريع، مع الاخذ بنظر الاعتبار تحويلها من “قانون عقوبات على البيانات” إلى “نظام حوكمة وامتثال وحقوق”.

وعليه يجب ان تعدل المسودة وفق خمسة محاور:

1. محور الحقوق: توضيح حقوق الأفراد وإجراءات ممارستها.

2. محور الامتثال: واجبات المتحكم والمعالج ومسؤول حماية البيانات.

3. محور السلطة الوطنية: استقلال، تمويل، صلاحيات، طعن.

4. محور الأمن التقني: تشفير، سجلات دخول، تقييم أثر، إبلاغ اختراق.

5. محور العقوبات المتدرجة: إدارية ومدنية وجنائية بحسب جسامة الفعل.

6. ويترك بندا للمتغيرات والتطورات الفنية التقنية بتعديل القانون اذا اقتضت الحاجة.

الخلاصة

المسودة تؤسس لفكرة حماية البيانات، لكنها لا تكفي لحماية البيانات. هي تحتاج قبل التنفيذ إلى هندسة مؤسسية وتقنية وتنظيمية، وإلا ستتحول إلى قانون ثقيل للعقوبات، ضعيف الامتثال، وصعب التطبيق ويحدد من حرية التعبير في العالم الرقمي.