انتشار متن کامل دستورالعمل حفاظت از حریم خصوصی کاربران فضای مجازی

آی‌تی‌من- متن دستورالعمل اجرایی بهبود حفاظت دستورالعمل اجرایی بهبود حفاظت از حریم خصوصی کاری و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی که در واقع بخش اول از سند سیاست‌ها و الزامات حفاظت از داده‌ها (مصوب یکصد و بیست ‌و هفتمین جلسه مورخ 11/10/1402) کمیسیون عالی تنظیم مقررات فضای مجازی کشور محسوب می‌شود، به این شرح است:

«براساس وظایف و اختیارات مصرّح در بندهای 3-2-1- و 3-2-12- آیین‌نامه کمیسیون عالی تنظیم مقررات فضای مجازی کشور (مصوب هشتاد و یکمینجلسه مورخ 27/2/1402 شورای عالی فضای مجازی کشور) و با هدف کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران و نیز الزام اشخاص حقوقی غیردولتی و دستگاه‌های اجرایی کشور (دستگاه‌های اجرایی موضوع ماده 22 قانون برنامه پنج ساله ششم توسعه اقتصادی، اجتماعی و فرهنگی جمهوری اسلامی ‌ایران) به رعایت شرایط مرتبط با شیوه‌های جمع‌آوری، پردازش و نگهداری داده‌های کاربران در سامانه‌ها و سکوهای فضای مجازی، تکالیف اجرایی زیر ابلاغ می‌شود:

-1 کلیه ارایه‌دهندگان خدمات از طریق سامانه‌ها و سکوهای فضای مجازی موظف‌اند حداکثر ظرف مدت دو ماه (2ماه) از تاریخ ابلاغ این دستورالعمل:

-1-1 سیاست‌های حفظ حریم خصوصی مرتبط با جمع‌آوری، پردازش و نگهداری داده‌های کاربران را به‌صورت شفاف شامل موارد زیر اعلام و رضایت صریح آنان مبنی بر پذیرش شرایط را اخذ نمایند:

-1-1-1 کدام اقلام داده‌ای را و برای چه منظوری از کاربران دریافت و یا جمع‌آوری می‌کنند. در این زمینه و در زمان دریافت و جمع‌آوری، اقلام ضروری را از اقلام اختیاری تفکیک نموده و قابلیت انتخاب را برای کاربر در ارائه اطلاعات اختیاری فراهم کنند؛

-2-1-1 شیوه دریافت و جمع‌آوری اعم از دریافت مستقیم از کاربران و یا به‌صورت غیرمستقیم و از طریق مشخصات تجهیزات و سامانه‌های در اختیار کاربران را مشخص کنند؛

-3-1-1 نحوه و ابزار اطلاع‌رسانی تغییر سیاست‌ها را مشخص نموده و مجدداً رضایت صریح کاربران را اخذ و تغییرات الزم را اعمال نمایند؛

تبصره: هرگونه تغییر در شرایط و سیاست‌ها باید حداقل دو ماه (2 ماه) قبل از اعمال، به کاربران اعلام شود. 

-2-1 داده‌ها باید صرفاً درحد اقلام مورد نیاز برای انجام تکالیف قانونی یا ادامه کسب وکار و متناسب با اهدافی که دربند 1-1- برای کاربر شرح داده شده و اجازه و رضایت صریح وی اخذ گردیده است، جمع‌آوری، پردازش و ذخیره‌سازی شود؛

-3-1 درصورت درخواست کاربران برای حذف داده‌های مرتبط از قبیل حذف حساب کاربری، تمام و یا بخشی از داده‌های مرتبط با فعالیت آنان در سامانه و سکو (مشروط به عدم مغایرت با قوانین و مقررات کشور و مأموریت‌ها و تکالیف دستگاه‌های اجرایی)، بلافاصله انجام پذیرفته و داده‌های حذف شده از سامانه و سکوی برخط، به منظور رعایت مقررات قانونی ازجمله مقررات مواد 662 تا 622 قانون آیین دادرسی کیفری (دادرسی جرایم رایانه‌ای) به پایگاه‌های داده پشتیبان مستقر در بخش غیربرخط و منفصل از شبکه‌های ارتباطی عمومی منتقل و تنها برای انجام تکالیف مقرر در قانون، نگهداری یا پردازش شود و پس از خاتمه مواعد قانونی یا قضایی، به‌طور کامل امحا شود؛

-4-1 داده‌های مربوط به هویت و اطلاعات شخصی کاربران که منجر به شناسایی هویت ایشان می‌شود، صرفاً باید به صورت رمزنگاری ‌شده ذخیره شود. دستورالعمل‌های مرتبط با سطوح و شیوه‌های رمزنگاری براساس وظایف تعیین شده در اسناد مصوب شورایعالی فضای مجازی کشور، توسط دستگاه‌های مسوول ابلاغ می‌شود؛

تبصره 1: مسوولیت‌های حقوقی وقضایی نقض حریم خصوصی ناشی از عدم رعایت مقررات بند یک این دستورالعمل، بر عهده ارایه‌دهنده خدمت مربوط است؛

تبصره 2: تمامی اشخاص مشمول مکلفند ظرف مدت سه ماه (3 ماه) از تاریخ ابلاغ این مصوبه، مقررات بند یک این دستورالعمل را برای داده‌هایی که پیش از تصویب این مقررات جمع‌آوری، ذخیره یا پردازش نموده‌اند، اعمال کرده و درخصوص درخواست حذف، براساس بند 1-3- عمل نمایند.

-2 تنظیم‌گران بخشی یا مراجع صدور مجوز موظفند استمرار ارائه خدمات یا تمدید مجوزها به سامانه‌ها و سکوهای موضوع این دستورالعمل را منوط به حصول اطمینان از رعایت این مقررات تعیین نموده و در غیراین صورت، اقدامات قانونی الزم را بعمل آوردند؛

-3 ارایه‌دهندگان خدمات موظفند از طریق سامانه‌ها و سکوهای فضای مجازی، ضمن پیاده‌سازی شرایط این دستورالعمل در زمان تعیین شده براساس بند یک، پس از فراهم شدن سازوکار ارائه خدمات احراز هویت کاربران براساس قابلیت «زیست بوم هویت معتبر» (مبتنی برنظام هویت معتبر مصوب پنجاه ونهمین جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت احوال کشور، با هدف به حداقل رساندن جمع‌آوری اطلاعات هویتی، حداکثر پس از یکماه (1 ماه) سامانه‌های خود را با فرآیندهای مربوط منطبق نمایند؛

-4 سازوکار نظارت بر حسن اجرای این مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاه‌های نظارتی مزتبط ابلاغ می‌شود. کلیه دستگاه‌های اجرایی، مراجع قانونی عهده‌دار نظارت یا صدور مجوز و تنظیم‌گران بخشی، مکلف‌اند با دستگاه‌های نظارتی که در این خصوص تعیین می‌شوند، همکاری نمایند.»