طرح حمایت و حفاظت از داده و اطلاعات شخصی

مورخ ۱۴۰۰/۰۶/۲۴

حمایت و حفاظت از داده و اطلاعات شخصی

بخش یکم: کلیات

ماده ۱. هدف اصلی این قانون صیانت از حیثیت و کرامت اشخاص موضوع داده ها و اطلاعاتست که از راه های ذیل تحقق مییابد:

الف) تبیین حقوق اشخاص موضوع داده ها و اطلاعات، به ویژه در تعامل با سایر حق های مشروع

ب) ضابطه پذیری پردازش داده ها و اطلاعات شخصی

پ) مسؤلیت پذیری کنشگران پردازش داده ها و اطلاعات شخصی

ت) هم افزایی امور تنظیمی و نظارتی پردازش داده ها و اطلاعات شخصی

ث) جبران پذیری زیان ها و آسیب های ناشی از پردازش داده ها و اطلاعات شخصی.

ماده ۲. تعاریف واژگان ذیل عبارتند از:

الف) داده و اطلاعات شخصی عبارت است از داده و اطلاعاتی که به تنهایی یا به همراه داده های دیگر، شخص موضوع داده را می شناساند.

ب) پردازش هرگونه عملیات دستی یا خودکار بر داده ها و اطلاعات شخصی، از قبیل ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقهبندی، ساختار بندی، تطبیق، ذخیره سازی، اشتراک گذاری، فرستادن، توزیع و عرضه، انتشار و در دسترس قراردادن و پاک کردن آنها.

پ) کنترل گر شخصی است که همه یا بخشی از هدف، ساز و کار، شرایط، ویژگی ها و ابزار های یک یا چند عملیات پردازش داده ها و اطلاعات شخصی در اختیار پردازش گر را تعیین میکند. مصوبات و تصمیمات مراجع صلاحیت دار در امور تنظیم گری، نظارت، ضابطیت و دادرسی درباره پردازش داده ها و اطلاعات شخصی، جز در مواردی که جنبه فردی دارد، کنترل گری به شمار نمیآید.

ت) پردازش گر شخص مأذون کنترل گر در پردازش است. در صورت نبود کنترل گر یا عدم امکان اتصاف پردازش به آن، پردازش گر به عنوان کنترل گر نیز شناخته میشود.

ث) ناظر ویژه کسی است که پیرو حکم صادره از سوی کمیسیون، صلاحیت نظارت بر پردازش داده ها و اطلاعات شخصی را مییابد.

ج) کمیسیون به اختصار کمیسیون صیانت از داده ها و اطلاعات شخصی.

ماده ۳. اشخاص مشمول این قانون عبارتند از:

الف) اتباع ایرانی حقیقی یا حقوقی عمومی یا خصوصی، اعم از آنکه داده ها و اطلاعات شخصی آن ها درون یا بیرون از ایران پردازش شود.

ب) اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده ها و اطلاعات شخصی آن ها از سوی کنترل گر یا پردازش گر ایرانی پردازش میشود.

بخش دوم: حقوق اشخاص موضوع داده ها و اطلاعات

ماده ۴. پردازش داده ها و اطلاعات شخصی مربوط به وضعیت ها یا موقعیت های غیر عمومی، منوط به رضایت
شخص موضوع آنهاست. اعلام رضایت اشخاص موضوع داده باید با رعایت شرایط ذیل باشد:

الف) پیش از پردازش باشد

ب) بیانگر آگاهی شخص موضوع داده باشد

پ) استناد پذیر باشد.

ماده ۵. پردازش داده ها و اطلاعات شخصی مربوط به وضعیت ها یا موقعیت های عمومی، بدون رضایت شخص یا اشخاص موضوع آن ها در صورتی بلامانع است که:

الف) خودش داده ها و اطلاعات را در معرض پردازش قرار داده باشد؛ یا

ب) پردازش داده ها و اطلاعات خود را منع یا محدود نکرده باشد.

تبصره: رضایت حاصل از فریب یا تهدید یا اکراه شخص موضوع داده معتبر نیست و در صورت عدم اهلیت وی، رضایت ولی یا قیم او الزامی است. حالات اغما و مانند آن که بر نبود قصد و اراده وی دلالت دارند، موجب عدم اهلیتند.

ماده ۶. شخص موضوع داده حق دارد هر زمان، پردازش یا عدم پردازش همه یا بخشی از داده ها و اطلاعات را بخواهد، مشروط بر آنکه:

الف) داده ها و اطلاعات یا نتایج حاصل از آن ها نادرست باشد

ب) داده ها و اطلاعات یا پردازش آن ها خارج از محدوده رضایت وی باشد.

ماده ۷. درخواست انجام یا توقف پردازش داده ها و اطلاعات شخصی میتواند با هدف فراموشی مطرح شود، مشروط بر آنکه ذینفع دیگری نباشد.

ماده ۸. در شرایط ذیل، شخص موضوع داده حق دارد به داده ها و اطلاعات شخصی خود به منظور پردازش آن ها دسترسی یابد:

الف) شامل اطلاعات طبقهبندی شده عمومی یا داده ها و اطلاعات شخصی دیگران نشود

ب) استنادپذیری داده ها و اطلاعات مخدوش نشود.

ماده ۹. رضایت به پردازش، به معنای آشکاری هویت شخص موضوع داده ها و اطلاعات نیست و حق دارد گمنامی اش در محدوده رضایت رعایت گردد. در چارچوب این قانون، آشکاری هویت به معنای آگاهی اشخاص غیرمجاز از نام و نام خانوادگی شخص موضوع داده یا شناسه های تخصیص یافته و منتسب به آنست.

ماده ۱۰. در موارد ذیل، پردازش داده ها و اطلاعات شخصی در چارچوب قوانین مربوط، بدون رضایت اشخاص موضوع آن ها بلامانع است:

الف) برای صیانت از حیثیت، جان یا مال شخص موضوع داده ضروری باشد

ب) برای صیانت از حیثیت یا جان دیگری یا پیشگیری از زیان مالی شدید به او ضروری باشد

پ) برای پیشگیری یا پاسخ به تهدید های نظم، ایمنی و امنیت عمومی ضروری باشد

ت) برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد.

ماده ۱۱. بهره برداری مالکانه از داده ها و اطلاعات شخصی، بدون رضایت شخص موضوع آن ها در صورتی بلامانع است که:

الف) گمنامی وی حفظ شود

ب) عرفا زیان مادی یا معنوی برای وی نداشته باشد

پ) جلب رضایت وی عملا امکانپذیر نباشد.

ماده ۱۲. در صورت تزاحم حق های دو یا چند شخص موضوع داده با یکدیگر، اولویت های ذیل رعایت گردد:

الف) آسیب های حیثیتی بر زیان های مالی

ب) اشخاص دارای ویژگی های فردی شامل سن و جنسیت یا دارای ویژگی های اجتماعی، مانند شغل، قومیت
و مذهب که عرفا آسیبپذیرند بر سایر اشخاص

پ) عدم رضایت بر رضایت ضمنی و هر دو آن ها بر رضایت صریح اشخاص موضوع داده

ت) وضعیت ها یا موقعیت های غیرعمومی بر وضعیت ها یا موقعیت های عمومی.

بخش سوم: تنظیم و نظارت بر پردازش داده ها و اطلاعات شخصی

ماده ۱۳. تنظیم و نظارت بر پردازش داده ها و اطلاعات شخصی به عهده ارکان ذیل است:

الف) کمیسیون صیانت از داده ها و اطلاعات شخصی

ب) هیأت نظارت

پ) کارگروه های تخصصی

پ) دبیرخانه اجرایی کمیسیون.

گفتار یکم: کمیسیون صیانت از داده ها و اطلاعات شخصی

ماده ۱۴. کمیسیون از اعضای ذیل تشکیل میشود:

  1. وزیر ارتباطات و فناوری اطلاعات به عنوان رئیس کمیسیون
  2. وزیر اطلاعات
  3. وزیر کشور
  4. وزیر اقتصاد و دارایی
  5. وزیر فرهنگ و ارشاد اسلامی
  6. دادستان کل کشور
  7. دبیر شورای عالی و رئیس مرکز ملی فضای مجازی
  8. معاون پیشگیری از وقوع جرم قوه قضائیه؛
  9. رئیس کمیسیون اصل نودم مجلس شورای اسلامی
  10. رئیس کمیسیون حقوقی و قضایی مجلس شورای اسلامی
  11. دبیر شورای اجرایی فناوری اطلاعات به عنوان دبیر کمیسیون.
  12. دونفر از صاحبنظران دارای سوابق مرتبط با مدیریت، سیاستگذاری، حکمروایی داده ها و اطلاعات به پیشنهاد دبیر و تأیید رئیس کمیسیون

تبصره ۱. به تشخیص رئیس کمیسیون، جلسات در سطح اعضا یا معاونین ذیربط آن ها تشکیل میشود.

تبصره ۲. احکام عضویت نمایندگان اعضاء از سوی رئیس کمیسیون صادر میشود.

ماده ۱۵. کمیسیون وظایف و اختیارات ذیل را به عهده دارد:

الف) همسو سازی امور تنظیم و نظارت کارگروه های تخصصی با یکدیگر و همچنین با هیأت نظارت

ب) تعدیل، تجمیع، تلفیق یا تفکیک وظایف و یا اعضای کارگروه های تخصصی برپایه اختیارات قانونی آنها

پ) تصویب ضوابط و دستورالعمل های مربوط به صیانت و میات از داده های و اطلاعات شخصی و آیین نامه داخلی کمیسیون

ت) پیشنهاد مصوبات راهبردی و تقنینی موردنیاز به مراجع ذیربط

ث) حل و فصل اختلافات بین کارگروه های تخصصی و هیأت نظارت و همچنین با سایر نهاد های حاکمیتی

ج) هماهنگی مصوبات و تصمیمات کمیسیون، کارگروه های تخصصی و هیأت نظارت با مقررات اداری کشور

چ) صدور احکام رؤسای کارگروه های تخصصی و ناظران ویژه؛

ح) استماع گزارش هیأت نظارت و ناظران ویژه درباره مأموریت های محوله از سوی کمیسیون و تصمیمگیری درباره آنها

خ) گزارش به مراجع بالادستی درباره وضعیت صیانت از داده ها و اطلاعات شخصی و تنظیم و نظارت بر پردازش آنها

د) تصویب شیوه نامه انتخاب ناظران ویژه و نظارت کلان بر امور و فعالیت های آنها

ذ) تصویب تخلفات و ضمانت اجرای های انتظامی

ماده ۱۶. مصوبات و تصمیمات کمیسیون برای کلیه دستگاه های اجرایی، کارگروه های تخصصی و هیأت نظارت و کنترل گران و پردازش گران لازم الاتباع است.

ماده ۱۷. جلسات کمیسیون با حضور دوسوم اعضاء رسمیت یافته و مصوبات آن با رأی اکثریت حاضران به تصویب میرسد.

تبصره. حضور اعضاء و کارشناسان کارگروه های تخصصی و همچنین سایر مقامات، خبرگان و کارشناسان با حق اظهارنظر در جلسات کمیسیون بلامانع است.

ماده ۱۸. دبیرخانه کمیسیون در محل وزارت ارتباطات و فناوری اطلاعات تشکیل میشود. وظایف دبیر کمیسیون عبارتند از:

الف) انجام امور دبیرخان های کمیسیون

ب) هماهنگی و نظارت بر دبیرخانه های اجرایی کارگروه های تخصصی و هیأت نظارت

پ) اطلاع رسانی و ابلاغ مصوبات و تصمیمات کمیسیون

ت) برگزاری و تنظیم دستور جلسات، دعوت از اعضاء و سایرین و هماهنگی امور آن

ث) پیشنهاد آیین نامه اجرایی دبیرخانه جهت تصویب در کمیسیون.

ماده ۱۹. کمیسیون با توجه به اولویت های مرتبط با صیانت و حفاظت از داده ها و اطلاعات شخصی کارگروه های تخصصی، متشکل از نمایندگان نهاد های متولی امور حاکمیتی مرتبط با صیانت از داده ها و اطلاعات شخصی در موضوعات خاص نظیر سلامت، بانکداری، امور مالی،امور اجتماعی، امور شهری و نظایر این ها تشکیل داده و به تصویب میرساند، آیین نامه تشکیل، مشتمل بر بخش های همگن و حیطه کار آنها، ریاست، دبیر و محل دبیرخانه، اعضاء، تکالیف و مأموریت ها، چگونگی اداره و رسمی تیافتن جلسات و مصوبات، تعامل کارگروه ها، گزارش به کمیسیون و سایر مراجع صلاحیت دار، ظرف ۴ ماه به پیشنهاد وزارت ارتباطات وفناوری اطلاعات به تصویب هیأت وزیران میرسد.

تبصره۱: هریک از نهاد های عضو کارگروه های تخصصی، مسؤولیت اجرا یا نظارت بر حسن اجرای مصوبات و تصمیمات کمیسیون و کارگروه متبوع را در حیطه کار خود به عهده دارند و مکلفند گزارش مربوط را به ترتیب مقرر ارائه دهند.

تبصره۲: ضوابط مقرر از سوی کارگروه های تخصصی در هریک از امور تنظیمی و نظارتی، پس از تأیید کمیسیون لازمالاجراست.

ماده ۲۰. اقدامات نظارتی، از جمله مصاحبه، بررسی، بازرسی یا حسابرسی، رصد، ردیابی، پایش یا کنترل حضوری یا برخط نسبت به موارد ذیل اعمال میشود:

الف) مدیران، متصدیان و بهره برداران مستقیم یا مرتبط با پردازش داده ها و اطلاعات شخصی

ب) زیرساخت ها، سازه ها و سامانه های سختافزاری و نرمافزاری، اعم از اختصاصی یا مشترک فراهم آمده برای پردازش داده ها و اطلاعات شخصی

پ) اسناد، اطلاعات و داده ها و اطلاعات کاغذی یا دیجیتالی راجع و مرتبط با پردازش داده ها و اطلاعات شخصی.

ماده ۲۱. اعضای هیأت نظارت عبارتند از:

  1. دادستان کل کشور به عنوان رئیس هیأت
  2. رئیس کمیسیون اصل نودم مجلس شورای اسلامی
  3. دبیر کمیسیون.

تبصره: هیأت نظارت در محل دادستانی کل کشور تشکیل میشود. آیین نامه تشکیل و طرز کار هیأت و دبیرخانه آن به تصویب کمیسیون میرسد

ماده ۲۲. وظایف هیأت نظارت عبارتند از:

الف) نظارت بر حسن اجرای امور نظارتی ابلاغی کمیسیون

ب) دریافت و رسیدگی به شکایات ذینفعان صیانت از داده ها و اطلاعات شخصی

پ) شناسایی و معرفی ناظران ویژه به کمیسیون و نظارت بر امور و فعالیت های آن ها برپایه شیوه نامه مصوب کمیسیون

ت) پیشنهاد شیوه نامه های اختصاصی استنادپذیری ادله ناظر به داده ها و اطلاعات شخصی جهت تصویب در کمیسیون

ث) ایفای سایر امور محوله از سوی کمیسیون

ماده ۲۳. در موارد ذیل، ناظر ویژه تعیین میشود:

الف) پردازش داده ها و اطلاعات شخصی حیاتی و حساس

ب) پردازش کلانداده ها و اطلاعات شخصی

پ) زیان ها و آسیب های جدی یا پرشمار بالقوه و بالفعل پردازش ها به داده ها و اطلاعات شخصی

ت) سایر موارد به تشخیص هیأت نظارت و تأیید کمیسیون

ماده ۲۴. شرایط احراز صلاحیت ناظر ویژه عبارتند از:

الف) نداشتن سوء پیشینه مؤثر کیفری و انتظامی

ب) داشتن حسن شهرت

پ) دارا بودن تجربه و تخصص لازم

ت) نداشتن تعارض منافع با موضوع نظارت

ماده ۲۵. مدت فعالیت ناظر ویژه به دو شکل تعیین میشود:

الف) موردی متناسب با موضوع نظارت واگذار شده به وی

ب) دور های برای مدت چهار سال و قابل تمدید برای دوره های مشابه بر اساس شیوه نامه مصوب کمیسیون

ماده ۲۶. شرایط فعالیت ناظر ویژه عبارتند از:

الف) تکالیف و مأموریت های وی به پیشنهاد هیأت نظارت به تصویب کمیسیون رسیده و به وی ابلاغ میشود.

ب) حیطه کار ناظر ویژه به طور معین و مشخص تعریف میشود و امور نظارتی مبهم و مجمل اعتبار ندارد.

پ) کنترل گران و پردازش گران موظفند به هزینه خود نیازمندی های نظارتی متعارف ناظر ویژه را فراهم آورند.

ت) هیأت نظارت موظف است حمایت های قانونی و تسهیلات لازم را برای حسن ایفای تعهدات ناظر ویژه فراهم آورد.

ث) نظارت ویژه قائم به شخص است و حق واگذاری همه یا بخشی از آن به دیگری را ندارد.

ج) توقف یا تعلیق فعالیت، برکناری یا قبول استعفای وی تن ها از سوی کمیسیون امکانپذیر است.

چ) در دوره تصدی نظارت ویژه، حق پذیرش نظارت های بیرون از چارچوب مقرر از سوی کمیسیون، اعم از انتفاعی یا غیرانتفاعی را ندارد.

تبصره. حق الزحمه ناظران ویژه به موجب آیین نامه مصوب کمیسیون تعیین و پرداخت میشود.

بخش چهارم: تعهدات کنترل گران و پردازش گران

گفتار یکم: دامنه تعهدات کنترل گران و پردازش گران

ماده ۲۷. همه کارکرد های فرایند پردازش داده ها و اطلاعات شخصی باید برپایه دستور یا درخواست مستند
کنترل گر باشد. در غیر این صورت، پردازش گر به عنوان کنترل گر پردازش هم شناخته میشود.

تبصره ۱: چنانچه هریک از کارکرد های پردازش، کنترل گر یا پردازش گر مختص به خود را داشته باشد، تنها نسبت به همان کارکرد تعهد خواهند داشت.

تبصره ۲: در صورت تعدد کنترل گران یا پردازش گران در هر کارکرد، فرض بر تعهد برابر آنهاست. مگر اینکه خلاف آن ثابت شود.

ماده ۲۸. فراهم آوردن همه امکانات، تجهیزات و نیروی انسانی موردنیاز برای نظارت بر پردازش، حسب مورد به عهده کنترل گر یا پردازش گرست.

تبصره: توافق کنترل گر یا پردازش گر با اشخاص موضوع داده یا دیگران درباره نظارت آن ها بر پردازش، تا جایی
معتبر است که به تمهیدات نظارتی این قانون خدشه وارد نیاورد.

گفتار دوم: اعتبار پردازش

ماده ۲۹. در جایی که اخذ رضایت از شخص موضوع داده الزامیست، متناسب با نوع و میزان پردازش، فراوانی اشخاص موضوع داده، شیوه اعلام رضایت از سوی آن ها و هزینه های مترتبه، رضایت نامه مربوط تدوین و به عنوان جزء لاینفک توافق پردازش لحاظ میگردد.

ماده ۳۰. نقش آفرینی پردازش گر داده ها و اطلاعات شخصی به عنوان یک شغل یا حرفه مستقل، ولو به شکل موردی یا موقت، اعم از انتفاعی یا غیرانتفاعی، مستلزم دارابودن پروانه یا گواهی از مرجع صلاحیت دار مربوط است.

تبصره ۱: دارا بودن پروانه یا گواهی موضوع این ماده به منزله معافیت از سایر الزامات این قانون، به ویژه اخذ رضایت از اشخاص موضوع داده نیست و رعایت آن ها الزامی است.

تبصره ۲: مشاغل کنترل گر یا پردازش گر داده ها و اطلاعات شخصی، در صورتی از الزام مقرر در این ماده معافند که صرفا داده ها و اطلاعات شخصی مشتریان بالقوه یا بالفعل خود را تن ها برای موضوع فعالیت خود پردازش نمایند.

ماده ۳۱. هرگونه واگذاری شغلی یا حرف های داده ها و اطلاعات شخصی، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیت دار ذیربط است.

ماده ۳۲. هرگونه توافق میان کنترل گران، پردازش گران، اشخاص موضوع داده و سایر ذینفعان که مغایر با احکام و ضوابط الزامی این قانون باشد، فاقد اعتبار و باطل است.

تبصره: طرفین توافق های موضوع این قانون موظفند ارتکاب تخلفات و جرایم آن را نقض توافق بدانند و ضمانت اجرا های قراردادی متناسب، اثربخش و بازدارنده پیشبینی نمایند.

ماده ۳۳. کنترل گر یا پردازش گر موظف است اطلاعات ذیل را در اختیار یا دردسترس اشخاص موضوع داده قرار دهد:

الف) هدف پردازش، از قبیل امنیتی، اقتصادی، اجتماعی، فرهنگی، سلامت و رفاه و حقوقی و قضایی

ب) نوع و نحوه پردازش، از قبیل تجمیع، تغییر، تجزیه و تحلیل، اشتراک گذاری، نگهداری و پاک کردن داده ها و اطلاعات

پ) هویت، ماهیت و فعالیت کنترل گران یا پردازش گران اصلی و مرتبط

ت) موقعیت ها و وضعیت های پردازش، اعم از عمومی و غیر عمومی

ث) منابع پردازش، از قبیل پایگاه های اطلاعات مؤسسات عمومی یا خصوصی یا برگزاری آمایش ها و پیمایش های گوناگون؛

ج) ویژگی ها و شرایط فنی پردازش، به ویژه از لحاظ بومی گزینی داده ها و اطلاعات شخصی اتباع ایرانی موضوع ماده (۴۴) این قانون

چ) گواهی ها یا پروانه های دریافت شده از مراجع صلاحیت دار

ح) سطح ایمنی و امنیت پردازش و دانش و هزینه مترتب بر آن

خ) حق های اشخاص موضوع داده نسبت به پردازش داده ها و اطلاعات شخصی شان و چگونگی استیفا آنها

د) ناظر ویژه پردازش و سایر مراجع صلاحیت دار نظارتی و رسیدگیکننده به شکایات اشخاص موضوع داده.

تبصره: کنترل گر یا پردازش گر موظف است ظرف یک ماه از تاریخ دریافت داده ها و اطلاعات شخصی، مطابق این ماده اطلاعرسانی کند.

ماده ۳۴. اطلاعرسانی به اشخاص موضوع داده باید با شرایط و ویژگی های فردی و اجتماعی و امکانات در اختیار و سطح فراگیری آن ها سازگاری داشته باشد و علاوه بر پیام رسانی های همگانی و اختصاصی، در قالب مستنداتی از قبیل «شرایط و ملاحظات پردازش» به انجام رسد، تا آنجا که از آگاهی آن ها اطمینان حاصل شود.

ماده ۳۵. هریک از کارکرد ها و مراحل پردازش، باید از تمهیدات ایمنی و امنیتی ویژه خود برخوردار باشد. این تمهیدات باید هر سه سطح ذیل را در برگیرند:

الف) ایمنی و امنیت فیزیکی، شامل زیرساخت ها، سازه ها و سامانه های سختافزاری مرتبط

ب) ایمنی و امنیت اطلاعات، شامل انواع پردازنده های سختافزاری و نرمافزاری

پ) ایمنی و امنیت انسانی، شامل همه کنترل گران و پردازش گران اصلی و مرتبط

ماده ۳۶. ساز و کار ها و ابزار های سختافزاری و نرمافزاری ایمنی و امنیتی مقرر یا پیشنهادی باید با شرایط ذیل سازگار باشد:

الف) نوع و میزان آسیب زایی تهدید های بالقوه و بالفعل از نگاه اشخاص موضوع داده

ب) تأمین پذیری آنها

پ) توانمندی فنی و اجرایی

ماده ۳۷. اشخاص موضوع داده تن ها در صورتی میتوانند کنترل گر یا پردازش گر را به رعایت تمهیدات ایمنی و امنیتی فراتر از ضوابط مراجع صلاحیت دار ملزم کنند که اجرای آن تمهیدات ایفای تعهدات آن ها را مختل نکرده و هزینه های آن را نیز عهده دار شوند.

ماده ۳۸. کنترل گران و پردازش گران دربرابر اشخاص موضوع داده از پاسخگویی کامل برخوردارند؛ اعم از آنکه تعهداتشان با آن ها پیرو عقد لازم، منعقد شده یا در تفاهم نامه یا اسنادی مانند خطمشی های حریم خصوصی مندرج باشد.

ماده ۳۹. فرض بر عدم اعراض حق اشخاص موضوع داده ها و اطلاعات است و کنترل گر یا پردازش گر مکلف به ایفای همگی آنهایند، مگر اینکه بتوانند خلاف آن را ثابت کنند.

ماده ۴۰. کنترل گر یا پردازش گر موظف است اطلاعات ذیل را تا ۱۸ ماه پس از پردازش داده ها و اطلاعات را شخصی نگهداری کند:

الف) داده ها و اطلاعات رخدادنگار (Files Log) و داده ها و اطلاعات ترافیک حاصل از پردازش داده ها و اطلاعات شخصی

ب) اطلاعات هویتی اشخاص موضوع داده ها و اطلاعات

پ) انواع پردازش های انجام شده بر روی داده موردنظر و هدف یا اهداف آن

ت) اطلاعات هویتی کنترل گران یا پردازش گران اصلی و مرتبط با پردازش موردنظر.

تبصره. داده ها و اطلاعات و اطلاعات موضوع این گفتار علیه کنترل گر و پردازش گر آن قابل استناد است.

ماده ۴۱. چنانچه صحت و تمامیت داده ها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترل گر یا پردازش گر موظف است همه نسخه های اصلی و مخدوش شده داده ها و اطلاعات را به مدت شش ماه از تاریخ آخرین پردازش موجب خدشه نگهداری نماید.

ماده ۴۲. در صورت ابلاغ رویه های زنجیره حفاظتی عمومی از سوی مراجع صلاحیت دار، اجرای آن در پردازش داده ها و اطلاعات شخصی الزامی و هزینه آن به عهده کنترل گر یا پردازش گر مربوط است.

تبصره ۱: اجرای رویه های خصوصی زنجیره حفاظتی، منوط به تأمین هزینه آن ها از سوی درخواست کننده و عدم مغایرت با رویه های عمومی است.

تبصره ۲: در صورت تعارض رویه ها، اولویت با رویه های مرتبط با امور کیفری و سپس انتظامی است.

ماده ۴۳. در موارد ذیل، پردازش داده ها و اطلاعات شخصی، فرامرزی انگاشته میشود:

الف) هریک از کنترل گران یا پردازش گران تابعیت خارجی داشته باشند

ب) سامانه های پردازنده داده ها و اطلاعات در بیرون از قلمرو حاکمیتی جمهوری اسلامی ایران قرار داشته باشد

پ) پردازنده های نرمافزاری در ایران ثبت نشده باشد.

ماده ۴۴. در خصوص پردازش داده ها و اطلاعات شخصی اتباع ایرانی، رعایت شرایط ذیل الزامی است:

الف) تن ها در مراکز داده واقع در قلمرو حاکمیتی جمهوری اسلامی ایران یا مراکز داده خارجی مورد تأیید مراجع صلاحیت دار ذخیره شوند

ب) همه پردازنده های سختافزاری و نرمافزاری از گواهی مراجع صلاحیت دار ذیربط برخوردار باشند

پ) بر روی شبکه ارتباطی مطمئن جا به جا شوند

ت) صلاحیت کنترل گران و پردازش گران خارجی مورد تأیید مراجع ذیربط قرار گرفته باشد؛

ث) پردازش های فرامرزی برپایه ضوابط مقرر به ثبت برسد.

بخش پنجم: مسؤولیت ها و ضمانت اجراها

ماده ۴۵. کنترل گر و پردازش گر در برابر تعهدات خود مسؤولیت مستقل دارند و زیاندیده همزمان میتواند به کنترل گر یا پردازش گر مراجعه و جبران همه زیان ها را مطالبه نماید. . پردازش گر در صورتی معاف از مسؤولیت است که:

الف) اقدام وی با دستور یا درخواست کنترل گر مغایرت نداشته باشد

ب) در صورت غیرقانونی دانستن دستور یا درخواست موردنظر، هشدار لازم را به کنترل گر داده باشد

پ) در صورت زیانبار دانستن پردازش، از ناظر ویژه کسب تکلیف کرده باشد.

ماده ۴۶. در جایی که شخص حقیقی وابسته به شخص حقوقی به دیگری زیان میرساند، مسؤولیت جبران با شخص حقوقی خواهد بود. مگر اینکه بتواند ثابت کند شخص حقیقی فراتر از اختیارات خود عمل نموده و شخص حقوقی نیز در نظارت بر حسن ایفای تعهدات وی مرتکب قصور نشده است.

ماده ۴۷. چنانچه شخص موضوع داده حقوق خود را به طور ناروا استیفا و به دیگری زیانی وارد کند، مسؤول جبران آن خواهد بود.

ماده ۴۸. در صورت ورود آسیب معنوی ناشی از پردازش یا عدم پردازش داده ها و اطلاعات شخصی، متناسب با شرایط و اوضاع و احوال آسیب دیده و اطمینان از عدم ورود آسیب های بیشتر یا دیگر به او یا به دیگران، از وی اعاده حیثیت به عمل میآید. از جمله:

الف) الزام مرتکب به پردازش داده ها و اطلاعات یا فراهم آوردن زمینه انجام آن برای آسیب دیده

ب) عذرخواهی در وضعیت و موقعیت مشابه

پ) کمک به آسیب دیده برای بازیابی بالینی یا روانی یا موقعیت اجتماعی خود

ماده ۴۹. مرجع صلاحیت دار قضایی یا انتظامی میتواند متناسب با نوع و گستره آسیب حیثیتی وارده، میزان جبران پذیری و زیان های مادی ناشی از آن، مرتکب را به پرداخت جریمه تنبیهی در حق آسیب دیده محکوم نماید. میزان جریمه با کسب نظر از کمیسیون یا کارگروه های تخصصی تعیین و اعمال میگردد.

تبصره: شیوه نامه تعیین و تقویم زیان های مادی ناشی از پردازش غیرمجاز داده ها و اطلاعات شخصی به پیشنهاد کارگروه های تخصصی به تصویب کمیسیون میرسد.

ماده ۵۰. مجازات های مقرر در این قانون در صورتی اعمال میشود که در قوانین دیگر مجازات شدیدتری برای جرم موردنظر پیشبینی نشده باشد.

تبصره ۱. رسیدگی به اتهامات جرایم و تخلفات انتظامی این قانون در صورتی مشروعیت دارد که ضوابط حاکم بر استناد پذیری ادله در هر یک از مراحل پردازش، مستند سازی و ارائه آن ها رعایت شده باشد.

تبصره ۲. هریک از کارکرد های پردازش که برای آن ها جرم و مجازات مستقلی در دیگر قوانین تعریف شده است، به همان ترتیب و برپایه ضوابط مربوط به تعدد جرایم لحاظ خواهند شد.

ماده ۵۱. مرتکبان ذیل به مجازات مقرر محکوم میشوند:

الف) نقض حق رضایت شخص موضوع داده، چنانچه داده ها و اطلاعات وضعیت ها و موقعیت های غیرعمومی پردازش شود، به مجازات درجه ۵ و چنانچه داده ها و اطلاعات وضعیت ها و موقعیت های عمومی پردازش شود، به مجازات درجه ۶

ب) ممانعت از استیفای همه یا بخشی از حق درخواست شخص موضوع داده درباره پردازش یا توقف آن یا انجام پردازش داده ها و اطلاعات شخصی بوسیله خود وی یا نقض حق گمنامی، به یک یا هر دو مجازات درجه ۶

پ) نقض تعهدات اعتبارپذیری، اعتمادپذیری یا استنادپذیری پردازش داده ها و اطلاعات شخصی، به یک یا هر دو مجازات درجه ۵

ت) استیفای ناروای حقوق مندرج در این قانون از سوی شخص موضوع داده، با توجه به شدت جرم و زیانها و آسیب های وارده به یک یا هر دو مجازات درجه ۶

ث) کنترل غیرمجاز پردازش از سوی مقام صلاحیت دار دستگاه اجرایی، علاوه بر مجازات مقرر برای جرم موردنظر به انفصال از خدمت از شش ماه تا سه سال

ج) امتناع از اجرا یا اجرای نادرست یا اقدام به نحوی که اجرای همه یا بخشی از ضوابط این قانون یا دستور کمیسیون یا هیأت نظارت یا ناظر ویژه منتفی گردد، مانند عدم نگهداری همه یا بخشی از داده ها و اطلاعات، حسب مورد یک یا هر دو مجازات درجه ۵

تبصره ۱: دادگاه میتواند مرتکب را به گذراندن دوره های ویژه صیانت از داده ها و اطلاعات شخصی و دریافت گواهی های مربوط، پیرو شیوه نامه مصوب کمیسیون ملزم نماید.

تبصره ۲: چنانچه اشخاص حقوقی موضوع ماده (۷۴۷) قانون مجازات اسلامی مرتکب جرایم مقرر این قانون شوند، مطابق ماده (۷۴۸) آن قانون مجازات خواهند شد.

ماده ۵۲. در صورت وجود یک یا چند شرط ذیل، مجازات مرتکب یک یا دو درجه بالاتر تعیین میشود:

الف) بواسطه شغل یا حرفه خود مرتکب جرم شده باشد؛

ب) نسبت به گستره و دامنه فعالیت خود، شمار قابل توجهی از اشخاص را هدف قرار داده باشد؛

پ) زیان مادی یا آسیب معنوی قابل توجه یا جبران ناپذیری را وارد آورده باشد؛

ت) داده ها و اطلاعات شخصی حیاتی یا حساس، ابزار یا نتیجه جرم باشند؛ و

ث) به شکل گروهی یا سازمان یافته مرتکب شده باشد.

تبصره: چنانچه عواید مالی حاصل از ارتکاب جرایم این قانون بیشتر از جزای نقدی مقرر برای آن ها باشد، همان مبنا قرار میگیرد. در صورت اعمال حبس به جای جزای نقدی، تفاضل عواید مالی مذکور در این ماده باید به عنوان جزای نقدی اعمال گردد.

ماده ۵۳. تخلفات انتظامی مقرر از سوی کمیسیون، موارد ذیل را دربرمیگیرد:

الف) همه جرایم مقرر در این قانون

ب) نقض تعهدات کنترل گران و پردازش گران، اعم از اعتبارپذیری، اعتمادپذیری، استنادپذیری و پردازشهای فرامرزی

پ) نقض تعهدات اشخاص موضوع داده دربرابر سایر ذینفعان

ت) نقض تعهدات قراردادی یا سایر اسناد تعهدآور

ماده ۵۴. ضمانت اجرا های انتظامی قابل اتخاذ از کمیسیون برای تخلفات برپایه معیار های بازدارندگی، تناسب و اثربخشی میتواند یک یا چند گزینه زیر باشد:

الف) جریمه نقدی

ب) منع فعالیت یا بهرهبرداری یا انفصال از خدمت در یک یا چند رده حرف های یا تخصصی برای مدت معین

پ) منع فعالیت یا بهرهبرداری یا انفصال از خدمت در همه یا برخی نهاد ها یا اشخاص موضوع این قانون برای مدت معین

ت) ممنوعیت خروج از کشور برای مدت معین

ث) ممنوعیت حضور در مزایدهها، مناقصهها، نمایشگاهها، گردهماییها، جشنواره ها و مانند آن برای مدت معین

ج) کاهش مدت اعتبار پروانه یا گواهی یا قرارداد فعالیت یا بهرهبرداری یا سنوات خدمت یا تعلیق آن برای مدت معین

چ) منع تمدید اعتبار پروانه یا گواهی یا قرارداد فعالیت یا بهرهبرداری یا دریافت پروانه یا گواهی فعالیت یا بهرهبرداری یا احراز سمت دیگر برای مدت معین

ح) لغو اعتبار پروانه یا گواهی یا قرارداد فعالیت یا بهرهبرداری یا انفصال از خدمت

تبصره: احراز شرایط تخلف و مسایل مربوط به معاونت، مشارکت، تعدد و تکرار، مسؤولیت اشخاص حقوقی متخلف و مانند آن و همچنین عوامل رافع، مانع، مخففه و مشدده مسؤولیت، برپایه قانون مجازات اسلامی خواهد بود.

بخش ششم: سایر مقررات

ماده ۵۵. اعتبارات هزینه ای مورد نیاز این قانون به نحو متمرکز در ردیف بودجه دبیرخانه و به پیشنهاد وزارت ارتباطات و فناوری اطلاعات در لایحه بودجه سالیانه درج و به تصویب میرسد.

ماده ۵۶. از تاریخ تصویب این قانون کلیه قوانین و مقررات مغایر با آن نسخ میگردد و مادام که در قوانین بعدی نسخ و یا اصلاح مواد و مقررات این قانون صریحا و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود.

مقدمه (دلایل توجیهی) :

الف) در اجرای اصول مختلف فصل سوم قانون اساسی جمهوری اسلامی ایران راجع به «حقوق ملت»، به ویژه اصول نوزدهم، بیستم، بیست و دوم، بیست و سوم، بیست و پنجم، بیست و ششم، سی و هشتم و سی و نهم

ب) سیاست های کلی نظام، ابلاغی مقام معظم رهبری درباره:

۱. شبکه های اطلاعرسانی رایان های (به ویژه بند های ۱ و ۷)

۲. نظام اداری (به ویژه بند ۲۳)

۳. پدافند غیرعامل (به ویژه بند ۱۱)

۴. امنیت فضای تولید و تبادل اطلاعات و ارتباطات (به ویژه بند ۱)

۵. برنامه ششم توسعه (به ویژه بند های ۳۶ و ۵۳۳) و در جهت رفع خلاء های قانونی مربوطه به داده ها و اطلاعات به ویژه آن دسته اطلاعات که در فضای مجازی توسط ارائه دهندگان خدمات از مردم و کسب و کار ها اخذ، گردآوری و پردازش میشود، حمایت و حفاظت از اشخاصی که به نوعی داده ها و اطلاعات به او مربوط میشود و همچنین تکمیل سایر قوانین مرتبط با فضای مجازی، ازجمله و بویژه:

۱. قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات

۲. قانون انتشار و دسترسی آزاد به اطلاعات

۳. قانون تجارت الکترونیکی

۴. قانون مجازات اسلامی ـ بخش تعزیرات

۵. قانون آیین دادرسی کیفر

۶. قانون نحوه مجازات اشخاصی که در امور سمعی و بصری فعالیت غیرمجاز مینمایند

۷. قانون برنامه ششم توسعه

۸. قانون سلامت نظام اداری و مبارزه با فساد.

اسامی مضا کنندگان طرح:

  1. مجتبی توانگر
  2. جلال محمودزاده
  3. سیدمحمد مولوی
  4. جعفر قادری
  5. محسن پیرهادی
  6. مالک شریعتی نیاسر
  7. نصراله پژمان فر
  8. علی خضریان
  9. محمد باقری بناب
  10. سیدمجتبی محفوظی
  11. روح اله نجابت
  12. سیدلفته احمدنژاد
  13. محسن علیزاده سپیدان
  14. محمد علی پور
  15. محمد صفائی دلوئی
  16. فریدون حسنوند
  17. رسول فرخی میکال
  18. شهباز حسن پوربیگلری
  19. ابراهیم عزیزی شیراز
  20. علی اصغر عنابستانی
  21. موسی احمدی
  22. محمدتقی نقدعلی
  23. بهروز محبی نجم آبادی
  24. مجتبی بخشی پور
  25. جواد نیک بین
  26. یعقوب رضازاده
  27. غلامعلی کوهساری
  28. عبدالجلال ایری
  29. مجید نصیرائی
  30. رضا آریان پور
  31. احمد محرم زاده یخفروزان

ضمیمه نظر اداره کل تدوین قوانین

بیان مستندات و دلایل مغایرت:

در رابطه با طرح/لایحه تقدیمی از نظر اصل ۷۵ قانون اساسی: ماده ۵۵ طرح تقدیمی موجب افزایش هزینه های عمومی دولت میگردد و از این حیث که محل تأمین آن مشخص نشده با اصل هفتاد و پنجم (۷۵) قانون اساسی، مغایر میباشد.

در رابطه با طرح / لایحه تقدیمی با قانون اساسی: در ماده ۴۹ طرح واگذاری تعیین و اعمال میزان جریمه با کسب نظر از کمیسیون یا کارگروه های تخصصی ، بر خلاف اصل عدم تفویض اختیار قانونگذاری است و با اصل ۸۵ قانون اساسی مغایرت دارد.

در رابطه با طرح / لایحه تقدیمی با سند چشم انداز: ماده ۱ طرح فاقد حکم قانونی میباشد و با بند ۹ سیاست های کلی نظام قانون گذاری ابلاغی مقام معظم رهبری (دام ظله) مصوب ۱۳۹۸/۰۷/۰۶ مبنی بر «رعایت اصول قانونگذاری و قانون نویسی» مغایرت دارد. پیشنهاد می شود مفاد ماده مرقوم به مقدمه توجیهی طرح انتقال یابد.

ماده ۵۱ طرح، با بند ۹ سیاست های کلی نظام قانون گذاری ابلاغی مقام معظم رهبری (دام ظله) مصوب ۱۳۹۸/۰۷/۰۶ مبنی بر «رعایت اصول قانونگذاری و قانون نویسی» مغایرت دارد.

در ماده ۵۶ طرح، از این جهت که به طور کلی نسبت به نسخ کلیه قوانین و مقررات مغایر حکم مینماید با سیاست های تنقیحی مجلس شورای اسلامی مقرر در قانون تدوین و تنقیح قوانین و مقررات کشور مصوب ۱۳۸۹/۰۳/۲۵ و همچنین با بند ۹ سیاست های کلی نظام قانونگذاری ابلاغی مقام معظم رهبری (دام ظله) مصوب ۱۳۹۸/۰۷/۰۶ مبنی بر «رعایت اصول قانونگذاری و قانون نویسی» مغایرت دارد. بهتر است مواد منسوخ مورد نظر طراح محترم به طور دقیق احصاء و ذکر شود. همچنین، قسمت اخیر ماده که مقرر میدارد: مادام که در قوانین بعدی نسخ و یا اصلاح مواد و مقررات این قانون صریحا و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود، زائد است.

در رابطه با طرح تقدیمی آیین نگارش قانونی و ویرایش ادبی:

۱ -در مقدمه توجیهی به دلایل تقدیم طرح با قید یکفوریت اشاره نشده است.

۲ -پیشنهاد میشود مواد بهاین ترتیب دستهبندی گردد: بخش، فصل، مبحث. همچنین بخش سوم صرفا دارای یک گفتار است.

۳ -در متن طرح تقدیمی «اصول نگارش متون قانونی» رعایت نشدهاست و متن روان و گویا نمیباشد. با توجه به کلیت متن و استفاده از واژگان نامتعارف در نظام قانونی ما، ظاهرا متن ترجمه است.

۴ -به طور کلی در لایحه از عبارات کلی و مبهم استفاده شده است و همین امر به جای اینکه سد راه سوءاستفاده های احتمالی شود میتواند منجر به برداشت آزاد از متن قانون و نقض غرض شود. به عنوان مثال در موارد زیر یا مطلب مبهم است یا تکلیف به صراحت مشخص نشده است:

  • در ماده (۷ ) عبارت «با هدف فراموشی»
  •  بند (ت) ماده (۲۶) عبارت «فراهم آوردن حمایت های قانونی و تسهیلات لازم»
  • در تبصره ماده (۲۸) عبارت «خدشه وارد کردن به تمهیدات نظارتی این قانون»
  •  در ماده (۳۱) عبارت «علاوه بر رعایت سایر مقررات»
  • در ماده (۴۲) عبارت «رویه های زنجیره حفاظتی عمومی»
  • در بند (ث) ماده (۴۴) عبارت «ثبت پردازش های فرامرزی برپایه ضوابط مقرر»

۵ -مطابق اصول نگارش متون قانونی فلسفه، ضرورت و هدف از تقدیم طرح باید در مقدمه بیان شود و درج آن در متن مناسب نیست. بنابراین پیشنهاد میشود متن مندرج در ماده (۱) به مقدمه توجیهی منتقل شود.

۶ -بند (ج) ماده (۲) با صدر این ماده تناسب ندارد، زیرا از جمله اختصارات است نه تعاریف.

۷ -در ماده (۵) شناسایی وصف «عدم اهلیت» برای فردی که در اغماست، موجب ابهام است که آیا این فرد از همه لحاظ در حکم محجور شناخته میشود و مثلا رضایت ولی یا قیم برای ایشان کفایت می کند یا خیر.

۸ -ذیل بخش سوم باید گفتارهایی به «دبیرخانه کمیسیون»، «کارگروه های تخصصی» و «هیأت نظارت» اختصاص پیدا کند.

۹ -بند های (پ) و (ت) ماده (۲۴) طرح فاقد ضابطه مشخص و موجب ابهام است.

۱۰ -برای بند (پ) ماده (۲۶) ضمانت اجرائی قانونی پیش بینی نشده است.

۱۱ -اولا استفاده از عبارت «Files Log «در ماده (۴۰) خلاف اصل پانزدهم قانون اساسی است. ثانیا مناسب است که عبارت معادل آن در طرح یعنی «رخدادنگاری» در قسمت تعاریف مورد تعریف واقع شود.

۱۲ -درخصوص ماده (۴۸) ، با توجه به ابهام مفهوم «آسیب معنوی» در نظام قانونی فعلی، مناسب است که از این عبارت تعریف مناسبی ارائه شود.

۱۳ -در انت های بند های ماده (۵۱) عبارت «موضوع ماده (۱۹) قانون مجازات اسلامی مصوب ۱۳۹۲/۲/۱ «اضافه گردد.

۱۴ -در تبصره (۲ ) ماده (۵۱) بعد از عبارت «ماده (۷۴۷) قانون مجازات اسلامی» عبارت (الحاقی به موجب قانون جرائم رایان های ۱۳۸۸/۳/۵) اضافه شود.

۱۵ -برخی از بند های ماده (۵۴) طرح نظیر «الف»، «ت» و «ث» خلاف اصل قانون بودن جرم و مجازات است زیرا این موارد در زمره مجازات های کیفری هستند که صرفا قوه مقننه مجاز به تعیین چنین ضمانتاجراءهایی میباشد.

۱۶ -ماده(۵۶ ) طرح از این جهت که به طور کلی نسبت به نسخ تمامی قوانین و مقررات مغایر حکم مینماید با سیاستهای تنقیحی مجلس شورای اسلامی مقرر در قانون تدوین و تنقیح قوانین و مقررات کشور مصوب ۱۳۸۹/۳/۲۵ مغایرت دارد. قوانین مدنظر برای نسخ باید بطور دقیق احصاء و ذکر شوند. همچنین حکم انتهایی این ماده بدیهی است و نیازی به ذکر آن نمیباشد.

ضمیمه نظر اداره کل اسناد و تنقیح قوانین

نظر اداره کل به انضمام سوابق قانونی

الف- نظر اداره کل

۱. لازم است تا کنشگران پردازش داده ها و اطلاعات شخصی موضوع بند پ ماده ۱ در ماده ۲ طرح تعریف شود.

۲. بند ب ماده ۲ طرح نیازمند اصلاح ویرایشی است.

۳. در بند ج ماده ۲ طرح تعریفی ارائه نشده است و صرفا جنبه تعیین کلمه اختصاری دارد.

۴. هدف فراموشی موضوع ماده ۷ طرح ابهام دارد و لذا این ماده از حیث مذکور مغایر ردیف ۳ بند ۹ سیاست های کلی نظام قانونگذاری است.

۵. بند ب ماده ۸ طرح کلی است و میتواند مستمسکی برای تضییع حق دسترسی شخص موضوع داده قرار گیرد.

۶. وضعیت و نسبت مواد ۵ و ۱۰ به یکدیگر باید به طور شفاف تبیین شود. در حال حاضر تفکیک این دو از هم شفاف نیست.

۷. زیان معنوی موضوع بند ب ماده ۱۱ نیازمند تعریف قانونی است.

۸. در مواد ۱۶ و ۲۰ طرح باید اصل تفکیک قوا و ۵۷ قانون اساسی را در قوای مقننه و مجریه لحاظ نمود.

۹. داده ها و اطلاعات شخصی حیاتی و حساس موضوع بند الف ماده ۲۳ و بند ت ماده ۵۲ طرح نیازمند تعریف قانونی است.

۱۰. عبارات نیازمندی های نظارتی متعارف و حمایت های قانونی و تسهیلات لازم در ماده ۲۶ و کارکرد های فرایند پردازش داده ها موضوع ماده ۲۷ طرح ابهام دارد و از این حیث مغایر ردیف ۳ بند ۹ سیاست های کلی نظام قانونگذاری است.

۱۱. ماده ۲۷ و تبصره های آن ابهام دارد و از این حیث مغایر ردیف ۳ بند ۹ سیاست های کلی نظام قانونگذاری است.

۱۲. عبارت نقش آفرینی پردازش گر داده ها و اطلاعات موضوع ماده ۳۰ طرح در ادبیات تقنینی غیرمتعارف بنظر میرسد.

۱۳. قید از نگاه اشخاص موضوع داده در بند الف ماده ۳۶ ابهام دارد و از این حیث مغایر ردیف ۳ بند ۹ سیاست های کلی نظام قانونگذاری است.

۱۴. حکم تبصره ۲ ماده ۴۲ طرح و ضوابط مقرر در ماده ۴۴ طرح مبهم است و از این حیث مغایر ردیف ۳ بند ۹ سیاست های کلی نظام قانونگذاری است.

۱۵. پیشنهاد میشود در ماده ۴۵ طرح عبارت مسئولیت تضامنی جایگزین عبارت مسئولیت مستقل شود.

۱۶. آسیب معنوی موضوع مواد ۴۸ و ۵۲ طرح نیازمند تعریف قانونی است.

۱۷. ماده ۴۹ طرح از جهت اعطاء تعیین میزان جریمه به کمیسیون و کارگروه مذکور در ماده به ویژه در بخش قضایی مغایر اصل ۸۵ قانون اساسی و اصل قانونی بودن جرم و مجازات است.

۱۸. حکم ماده ۵۰ طرح به موجد ابهام و پیچیدگی است. قانونگذاری باید ایجاد شفافیت نماید.

۱۹. مواد مذکور در تبصره ۲ ماده ۵۱ طرح در واقع مواد ۱۹ و ۲۰ قانون جرایم رایانه ای هستند.

۲۰. بعضی بند های ماده ۵۴ طرح از نوع مجازات انتظامی نیست بلکه مجازات کیفری محسوب میشود.

۲۱. ماده ۵۵ رافع مغایرت با اصل ۷۵ قانون اساسی نیست.

۲۲. حکم صدر ماده ۵۶ صحیح نیست و مقنن باید قوانین مغایر را احصاء و صراحتا نسخ نماید.

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


The reCAPTCHA verification period has expired. Please reload the page.

دکمه بازگشت به بالا