دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع ‏آوری، پردازش و نگهداری اطلاعات کاربران در سامانه­ ها و سکوهای فضای مجازی

دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع ‏آوری، پردازش و نگهداری اطلاعات کاربران در سامانه­ ها و سکوهای فضای مجازی

کلیه دستگاه های اجرایی

به پیوست دستورالعمل اجرایی «بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع آوری، پردازش و نگهداری اطلاعات کاربران در سامانه ها و سکوهای فضای مجازی» که در یکصد و بیست و هفتمین جلسه مورخ ۱۴۰۲/۱۰/۱۱ کمیسیون عالی تنظیم مقررات فضای مجازی کشور و بر اساس وظایف و اختیارات مصرّح در بندهای “۳ـ۲ـ۱ـ” و “۳ـ۲ـ۱۲ـ” آیین نامه آن کمیسیون (مصوب هشتاد و یکمین جلسه مورخ ۱۴۰۱/۰۲/۲۷ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاه های اجرایی کشور (دستگاه های اجرایی موضوع ماده (۲۹) قانون برنامه پنج ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ایران) به رعایت شرایط مرتبط با شیوه های جمع آوری، پردازش و نگهداری داده های کاربران در سامانه ها و سکوهای فضای مجازی، مصوب شده است، برای اجرا ابلاغ می شود.

دبیر شورای عالی و رئیس مرکز ملی فضای مجازی ـ سید محمدامین آقامیری

دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع ‏آوری، پردازش و نگهداری اطلاعات کاربران در سامانه­ ها و سکوهای فضای مجازی

بخش اول از سند سیاست­ها و الزامات حفاظت از داده­ها

مصوب یکصد و بیست و هفتمین جلسه مورخ ۱۴۰۲/۱۰/۱۱ کمیسیون عالی تنظیم مقررات فضای مجازی کشور

براساس وظایف و اختیارات مصرّح در بندهای “۳ـ۲ـ۱ـ” و “۳ـ۲ـ۱۲ـ” آیین نامه کمیسیون عالی ­تنظیم مقررات فضای ­مجازی کشور (مصوب هشتاد و یکمین جلسه مورخ ۱۴۰۱/۰۲/۲۷ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض ­حریم ­خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاه­های اجرایی­ کشور (دستگاه­های اجرایی موضوع ماده (۲۹) قانون برنامه پنج­ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری ­اسلامی ­ایران) به رعایت شرایط مرتبط با شیوه­های جمع آوری، پردازش و نگهداری داده­های کاربران در سامانه­ها و سکوهای فضای مجازی، تکالیف اجرایی زیر ابلاغ می­شود:

۱ـ کلیه ارائه ­دهندگان خدمات از طریق سامانه ­ها و سکوهای ­فضای ­مجازی موظف ­اند حداکثر ظرف مدت دو ماه (۲ماه) از تاریخ ابلاغ این دستورالعمل:

۱ـ۱ـ سیاست­های حفظ حریم ­خصوصی مرتبط با جمع ­آوری، پردازش و نگهداری داده­ های کاربران را به ­صورت شفاف شامل موارد زیر اعلام و رضایت صریح آنان مبنی بر پذیرش شرایط را اخذ نمایند:

۱ـ۱ـ۱ـ کدام اقلام داده­ای را و برای چه منظوری از کاربران دریافت و یا جمع ­آوری می­کنند. در این زمینه و در زمان دریافت و جمع­ آوری، اقلام ضروری را از اقلام اختیاری تفکیک نموده و قابلیت انتخاب را برای کاربر در ارائه اطلاعات اختیاری فراهم کنند؛

۱ـ۱ـ۲ـ شیوه دریافت و جمع ­آوری اعم ­از دریافت­ مستقیم از کاربران و یا به ­صورت غیرمستقیم و از طریق مشخصات تجهیزات و سامانه ­های در اختیار کاربران را مشخص ­کنند؛

۱ـ۱ـ۳ـ نحوه و ابزار اطلاع ­رسانی تغییر سیاست­ها را مشخص نموده و مجدداً رضایت صریح کاربران را اخذ و تغییرات لازم را اعمال نمایند؛

تبصره: هرگونه تغییر در شرایط و سیاست­ها باید حداقل دو ماه (۲ ماه) قبل از اعمال، به کاربران اعلام شود.

دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع ‏آوری، پردازش و نگهداری اطلاعات کاربران در سامانه­ ها و سکوهای فضای مجازی

۱ـ۲ـ داده­ها باید صرفاً درحد اقلام مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب وکار و متناسب با اهدافی که در بند “۱ـ۱ـ” برای کاربر شرح داده ­شده و اجازه و رضایت صریح وی اخذ گردیده است، جمع­آوری، پردازش و ذخیره سازی شود؛

۱ـ۳ـ درصورت درخواست کاربران برای حذف داده­های مرتبط از قبیل حذف حساب­ کاربری، تمام و یا بخشی از داده ­های مرتبط با فعالیت آنان در سامانه ­و ­سکو (مشروط به عدم مغایرت با قوانین و مقررات کشور و مأموریت­ ها و تکالیف دستگاه­های اجرایی)، بلافاصله انجام ­پذیرفته و داده­های ­حذف شده از سامانه و سکوی برخط، به­ منظور رعایت مقررات قانونی ازجمله مقررات مواد (۶۶۷) تا (۶۷۰) قانون آیین ­دادرسی­ کیفری (دادرسی جرایم­ رایانه ­ای) به پایگاه­های­ داده ­پشتیبان مستقر در بخش غیربرخط و منفصل از شبکه ­های ارتباطی عمومی منتقل­ و تنها برای انجام تکالیف مقرر در قانون، نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، به ­طور کامل امحاء شود؛

۱ـ۴ـ داده های مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان می‏شود، صرفاً باید به صورت رمزنگاری ­شده ذخیره ­شود. دستورالعمل­های مرتبط با سطوح و شیوه ­های رمزنگاری براساس وظایف تعیین­ شده در اسناد مصوب شورای عالی فضای مجازی کشور، توسط دستگاه­های مسئول ابلاغ می­شود؛

تبصره۱: مسئولیت­های­­ حقوقی ­و ­قضایی نقض ­حریم ­خصوصی ناشی ­از عدم رعایت مقررات بند یک این دستورالعمل، برعهده ارائه دهنده خدمت مربوط است؛

تبصره۲: تمامی اشخاص مشمول مکلف­ اند ظرف مدت سه­ ماه (۳ماه) از تاریخ ابلاغ این مصوبه، مقررات بند یک این دستورالعمل را برای داده هایی که پیش از تصویب این مقررات جمع آوری، ذخیره یا پردازش نموده اند، اعمال ­کرده و درخصوص درخواست حذف، براساس بند “۱ـ۳ـ” عمل نمایند.

بخشنامه حریم خصوصی

۲ـ تنظیم­ گران بخشی یا مراجع صدور مجوز موظف­ اند استمرار ارائه خدمات یا تمدید مجوزها به سامانه­ ها و سکوهای موضوع این دستورالعمل را منوط به حصول اطمینان از رعایت این مقررات تعیین ­نموده و در غیر این صورت، اقدامات قانونی لازم را بعمل­آوردند؛

۳ـ ارائه ­دهندگان ­خدمات موظف­ اند از طریق سامانه­ ها ­و سکوهای­ فضای ­مجازی، ضمن پیاده ­سازی شرایط این دستورالعمل در زمان­ تعیین ­شده براساس بند یک، پس­از فراهم ­شدن سازوکار ارائه­ خدمات احراز هویت کاربران براساس قابلیت «زیست بوم هویت معتبر» (مبتنی بر نظام هویت معتبر مصوب پنجاه و نهمین جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت ­احوال کشور، باهدف به ­حداقل­ رساندن جمع ­آوری­اطلاعات هویتی، حداکثر پس از یک‏ماه (۱ماه)، سامانه های خود را با فرآیندهای مربوط منطبق نمایند؛

۴ـ سازوکار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاه­های نظارتی مرتبط ابلاغ می­شود. کلیه دستگاه­های ­اجرایی، مراجع قانونی عهده­دار­ نظارت یا صدور مجوز و تنظیم‏ گران بخشی، مکلف­ اند با دستگاه­های نظارتی که در این خصوص تعیین­ می­شوند، همکاری نمایند.

آرش علیزاده نیری

وکیل پایه یک دادگستری

متخصص در زمینه جرایم رایانه ای

عضو کانون وکلای دادگستری مرکز ( تهران )