دستورالعمل حفاظت از داده‌ها؛ از رمزنگاری اطلاعات هویتی تا حذف داده‌ها به درخواست کاربر

اواخر هفته‌ی گذشته رئیس مرکز ملی فضای مجازی از ابلاغ دستورالعمل حفاظت از حریم خصوصی کاربران و شیوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران خبر داده بود.

فایل کامل متن این دستورالعمل اکنون منتشر شده است و به موجب آن دستگاه‌های مختلف اجرایی و اشخاص حقوقی غیردولتی به رعایت شرایط مرتبط با شیوه‌های جمع‌آوری، پردازش و نگهداری داده‌های کاربران در سامانه‌ها و سکوهای آنلاین ملزم شده‌اند.

این دستورالعمل در یکصد و بیست‌وهشتمین جلسه کمیسیون عالی تنظیم مقررات فضای مجازی کشور به تاریخ ۱۴۰۲/۱۰/۲۵ تنظیم شده و یکی از اهداف تدوین و ابلاغ آن کاهش بخشی از مخاطرات مرتبط با نقض حریم خصوصی کاربران است.

همچنین، این دستورالعمل در نظر دارد اشخاص حقوقی غیردولتی و دستگاه‌های اجرایی کشور را ملزم کند که شرایط مرتبط با شیوه‌های جمع‌آوری، پردازش و نگهداری داده‌های کاربران در سامانه‌ها و پلتفرم‌های آنلاین را رعایت کنند و به همین منظور این دستورالعمل را تصویب و برای اجرا ابلاغ کرده است.

مسئله حفاظت از اطلاعات و داده‌های کاربران، تأمین امنیت و نظارت بر چگونگی جمع‌آوری و نگهداری داده‌ها و اطلاعات موضوعی است که پس از حملات سایبری اخیر به برخی سامانه‌ها و پلتفرم‌های داخلی مطرح شده است؛ حملاتی که به نشت گسترده اطلاعات شهروندان منجر شد و حریم خصوصی آن‌ها را به مخاطره انداخته بود.

دستورالعمل اجرايی بهبود حفاظت از حريم خصوصی کاربران و شيوه جمع‌آوری، پردازش و نگهداری اطلاعات کاربران در سامانه‌ها و سکوهای فضای مجازی در چهار ماده تنظیم شده است که در اولین ماده‌ی آن همه‌ی ارائه‌دهندگان خدمات از طريق سامانه‌ها و سکوهای فضای مجازی موظف شده‌اند حداکثر در مدت دو ماه از تاريخ ابلاغ اين دستورالعمل نسبت به چند مورد اقدام کنند.

نخستین مورد، این است که سامانه‌ها و پلتفرم‌ها سياست‌های حفظ حريم خصوصی را که مربوط به جمع‌آوری، پردازش و نگهداری اطلاعات و داده‌های کاربران است، به‌صورت شفاف اعلام کرده و رضايت صريح اشخاص مبنی بر پذيرش شرايط را اخذ کنند.

بر اساس این ماده کدام سکوها و سامانه‌های آنلاین باید شفاف‌سازی کنند که کدام‌یک از اقلام دادها را دريافت و جمع‌آوری می‌کنند و همچنین باید مشخص کنند که با چه هدفی اقدام به جمع‌آوری این داده‌ها کرده‌اند.

سامانه‌ها و سکوها همچنین باید شيوه‌ی دريافت و جمع‌آوری، اعم از دريافت مستقيم و غيرمستقيم از کاربران را شفاف و مشخص کنند. سومین نکته در ماده یک این دستورالعمل این است که نحوه و ابزار اطلاع‌رسانی درباره تغيير سياست‌ها را مشخص کند و پس از اعمال تغییرات، مجدداً رضايت صريح کاربران را دریافت کند و تغييرات لازم را انجام دهد. در تبصره این بند نیز آمده است که «هرگونه تغيير در شرايط و سياست‌ها بايد حداقل دو ماه قبل از اعمال، به کاربران اعلام شود.»

ماده یک این دستورالعمل بندهای مهم دیگری هم دارد. در یکی از این بندها این توضیح آمده است که داده‌هایی که از کاربران اخذ می‌شود فقط باید «در حد اقلام مورد نياز برای انجام تکاليف قانونی يا ادامه کسب و کار باشد»؛ بنابراین سکوها و سامانه‌ها نباید اطلاعات غیرضروری و غیرلازم را از کاربر اخذ کنند.

علاوه‌براین، پلتفرم‌ها و سامانه‌های آنلاین نسبت به حذف اطلاعات در صورت درخواست کاربران مسئولیت دارند. در متن این دستورالعمل در این خصوص آمده است:

در صورت درخواست کاربران برای حذف داده‌های مرتبط از قبيل حذف حساب کاربری، تمام و يا بخشی از داده‌های مرتبط با فعاليت آنان در سامانه و سکو بلافاصله انجام پذيرفته و داده‌های حذف‌شده از سامانه و سکوی برخط، به منظور رعايت مقررات قانونی ازجمله مقررات مواد (۶۶۷) تا (۶۷۰) قانون آيين دادرسی کيفری (دادرسی جرايم رايانه‌ای) به پايگاه‌های داده پشتيبان مستقر در بخش غيربرخط و منفصل از شبکه‌های ارتباطی عمومی منتقل و تنها برای انجام تکاليف مقرر در قانون، نگهداری يا پردازش شود و پس از خاتمه مواعد قانونی يا قضايی، به‌طور کامل امحا شود.

- از متن دستورالعمل اجرايی بهبود حفاظت از حريم خصوصی کاربران

رمزنگاری داده‌های هویتی کاربران نیز بخش دیگری از دستورالعمل اجرایی مرکز ملی فضای مجازی است: «داده‌های مربوط به هويت و اطلاعات شخصی کاربران که منجر به شناسايی هويت ايشان می‌شود، صرفاً بايد به صورت رمزنگاری‌شده ذخيره شود.» این مرکز همچنین دستور داده است که دستورالعمل‌های مرتبط با سطوح و شيوه‌های رمزنگاری نیز بر اساس وظايف تعيين‌شده باید از سوی دستگاه‌های مسئول ابلاغ شود.

همان‌طور که پیش از این هم اعلام شده بود، به موجب ماده دوم این دستورالعمل، با ابلاغ این مصوبه «استمرار ارائه خدمات يا تمديد مجوزها به سامانه‌ها و سکوهای موضوع اين دستورالعمل منوط به حصول اطمينان از رعايت اين مقررات تعيين نموده و در غير اين صورت، اقدامات قانونی لازم را به عمل آورند.»

در ماده سوم این مصوبه نیز آمده است: «ارائه‌دهندگان خدمات موظف‌اند از طريق سامانه‌ها و سکوهای فضای مجازی، ضمن پياده‌سازی شرايط اين دستورالعمل در زمان تعيين‌شده، براساس بند يک، پس از فراهم شدن سازوکار ارائه خدمات احراز هويت کاربران براساس قابليت «زيست بوم هويت معتبر» (مبتنی بر نظام هويت معتبر مصوب پنجاه‌ونهمين جلسه شورای عالی فضای مجازی کشور) توسط سازمان ثبت احوال کشور، باهدف به حداقل رساندن جمع‌آوری اطلاعات هويتی، حداکثر پس از يک ماه، سامانه‌های خود را با فرايندهای مربوط منطبق نمايند.»

ماده چهارم این دستورالعمل اجرایی مسئله نظارت بر اجرای این مواد و بندها را مد نظر قرار داده است. طبق این بند، سازوکار نظارت بر حسن اجرای اين مصوبه، توسط مرکز ملی فضای مجازی کشور به دستگاه‌های نظارتی مرتبط ابلاغ می‌شود و همه دستگاه‌های اجرایی، مراجع قانونی عهده‌دار نظارت يا صدور مجوز و تنظيم‌گران بخشی، مکلف هستند که با دستگاه‌های نظارتی در اين زمینه همکاری کنند.