دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌‏آوری، پردازش و نگهداری اطلاعات کاربران در سامانه­‌ها و سکوهای فضای مجازی

شماره ۱۰۷۱۹۸ – ۲۷/۱۰/۱۴۰۲

کلیه دستگاه‌های اجرایی

به پیوست دستورالعمل اجرایی «بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی» که در یکصد و بیست و هفتمین جلسه مورخ ۱۱/۱۰/۱۴۰۲ کمیسیون عالی تنظیم مقررات فضای مجازی کشور و بر اساس وظایف و اختیارات مصرح در بندهای “۳ـ۲ـ۱ـ” و “۳ـ۲ـ۱۲ـ” آیین‌نامه آن کمیسیون (مصوب هشتاد و یکمین جلسه مورخ ۲۷/۰۲/۱۴۰۱ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاه‌های اجرایی کشور (دستگاه‌های اجرایی موضوع ماده (۲۹) قانون برنامه پنج‌ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ایران) به رعایت شرایط مرتبط با شیوه ‌های جمع‌آوری، پردازش و نگهداری داده ‌های کاربران در سامانه‌ها و سکوهای فضای مجازی، مصوب شده است، برای اجرا ابلاغ می‌شود.

دبیر شورای عالی و رئیس مرکز ملی فضای مجازی ـ سید محمدامین آقامیری

دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاربران و شیوه جمع‌‏آوری، پردازش و نگهداری اطلاعات کاربران در سامانه­‌ها و سکوهای فضای مجازی

(بخش اول از سند سیاست­ها و الزامات حفاظت از داده‌­ها)

مصوب یکصد و بیست و هفتمین جلسه مورخ ۱۱/۱۰/۱۴۰۲ کمیسیون عالی تنظیم مقررات فضای مجازی کشور

براساس وظایف و اختیارات مصّرح در بندهای “۳ـ۲ـ۱ـ” و “۳ـ۲ـ۱۲ـ” آیین‌نامه کمیسیون عالی ­تنظیم مقررات فضای ­مجازی کشور (مصوب هشتاد و یکمین جلسه مورخ ۲۷/۰۲/۱۴۰۱ شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض ­حریم ­خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاه­های اجرایی کشور (دستگاه­های اجرایی موضوع ماده ‐ (۲۹) قانون برنامه پنج­ساله ششم توسعه تصادی، اجتماعی و فرهنگی جمهوری ­اسلایم ­ایران) به رعایت شرایط مرتبط با شیوه­‌های جمع‌آوری، پردازش و نگهداری داده‌­های کاربران در سامانه­‌ها و سکوهای فضای مجازی، تکالیف اجرایی زیر ابلاغ می­‌شود:

۱ـ کلیه ارائه‌­دهندگان خدمات از طریق سامانه‌­ها و سکوهای ­فضای ­مجازی موظف­‌اند حداکثر ظرف مدت دو ماه (۲ ماه) از تاریخ ابلاغ این دستورالعمل:

۱ـ۱ـ سیاست­های حفظ حریم ­خصوصی مرتبط با جمع‌­آوری، پردازش و نگهداری داده‌­های کاربران را به ­صورت شفاف شامل موارد زیر اعلام و رضایت صریح آنان مبنی بر پذیرش شرایط را اخذ نمایند:

۱ـ۱ـ۱ـ کدام اقلام داده‌­ای را و برای چه منظوری از کاربران دریافت و یا جمع‌­آوری می­کنند. در این زمینه و در زمان دریافت و جمع‌­آوری، اقلام ضروری را از اقلام اختیاری تفکیک نموده و قابلیت انتخاب را برای کاربر در ارائه اطلاعات اختیاری فراهم کنند؛

۱ـ۱ـ۲ـ شیوه دریافت و جمع‌­آوری اعم ­از دریافت­ مستقیم از کاربران و یا به­ صورت غیرمستقیم و از طریق مشخصات تجهیزات و سامانه­‌های در اختیار کاربران را مشخص ­کنند؛

۱ـ۱ـ۳ـ نحوه و ابزار اطلاع‌­رسانی تغییر سیاست­ها را مشخص نموده و مجددا رضایت صریح کاربران را اخذ و تغییرات لازم را اعمال نمایند؛

تبصره: هرگونه تغییر در شرایط و سیاست­ها باید حداقل دو ماه (۲ ماه) قبل از اعمال، به کاربران اعلام شود.

۱ـ۲ـ داده‌­ها باید صرفا در حد اقالم مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب وکار و متناسب با اهدافی که در بند “۱ـ۱ـ کاربر شرح داده ­شده و اجازه و رضایت صریح وی اخذ گردیده است، جمع‌‌آوری، پردازش و ذخیره ‌سازی شود؛

۱ـ۳ـ درصورت درخواست کاربران برای حذف داده‌­های مرتبط از قبیل حذف حساب­ کاربری، تمام و یا بخشی از داده‌­های مرتبط با فعالیت آنان در سامانه ­و ­سکو (مشروط به عدم مغایرت با قوانین و مقررات کشور و مأموریت­ها و تکالیف دستگاه‌های اجرایی)، بلافاصله انجام ­پذیرفته و داده­‌های ­حذف شده از سامانه و سکوی برخط، به­ منظور رعایت مقررات قانونی از جمله مقررات مواد (۶۶۷) تا (۶۷۰) قانون آیین ­دادرسی­ کیفری (دادرسی جرایم­ رایانه­‌ای) به پایگاه­های ­ داده ­پشتیبان مستقر در بخش غیربرخط و منفصل از شبکه­‌های ارتباطی عمومی منتقل­ و تنها برای انجام تکالیف مقرر در قانون، نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، به ­طور کامل امحاء ‌شود؛

۱ـ۴- داده‌های مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان می‏شود، صرفاً باید به صورت رمزنگاری­ شده ذخیره ­شود. دستورالعمل­ها مرتبط با سطوح و شیوه‌­های رمزنگاری براساس وظایف تعیین­ شده در اسناد مصوب شورای عالی فضای مجازی کشور، توسط دستگاه­های مسئول ابلاغ می­‌شود؛

تبصره ۱: مسئولیت­های ­­ حقوقی ­و ­قضایی نقض ­حریم ­خصوصی ناشی ­از عدم رعایت مقررات بند یک این دستورالعمل، بر عهده ارائه‌دهنده خدمت مربوط است؛

تبصره ۲: تمامی اشخاص مشمول مکلف­اند ظرف مدت سه­ ماه (۳ ماه) از تاریخ ابلاغ این مصوبه، مقررات بند یک این دستورالعمل را برای داده ‌هایی که پیش از تصویب این مقررات جمع‌آوری، ذخیره یا پردازش نموده ‌اند، اعمال ­کرده و درخصوص درخواست حذف، براساس بند “۱ـ۳ـ” عمل نمایند.

۲ـ تنظیم­گران بخشی یا مراجع صدور مجوز موظف‌­اند استمرار ارائه خدمات یا تمدید مجوزها به سامانه‌­ها و سکوهای موضوع این دستورالعمل را منوط به حصول اطمینان از رعایت این مقررات تعیین ­نموده و در غیر این صورت، اقدامات قانونی لازم را بعمل آ­وردند؛

۳ـ ارائه‌­دهندگان ­خدمات موظف‌­اند از طریق سامانه­‌ها ­و سکوهای ­ فضای ­مجازی، ضمن پیاده­‌سازی شرایط این دستورالعمل در زمان ­تعیین ­شده براساس بند یک، پس ­از فراهم ­شدن سازوکار ارائه خدمات احراز هویت کاربران براساس قابلیت «زیست بوم هویت معتبر» (مبتنی بر نظام هویت معتبر مصوب پنجاه و نهمین جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت ­احوال کشور، با هدف به ­حداقل­ رساندن جمع‌­آوری ­اطلاعات هویتی، حداکثر پس از یک‏ ماه (۱ ماه)، سامانه‌های خود را با فرآیندهای مربوط منطبق نمایند؛

۴ـ سازوکار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاه­های نظارتی مرتبط ابلاغ می­‌شود. کلیه دستگاه­های ­اجرایی، مراجع قانونی عهده‌­دار ­ نظارت یا صدور مجوز و تنظیم ‏گران بخشی، مکلف‌­اند با دستگاه­های نظارتی که در این خصوص تعیین­ می­شوند، همکاری نمایند.