بررسی الزامات حاکم بر تامین امنیت داده‌ های کاربران توسط پلتفرم ‌های ارائه‌ دهنده خدمات

تامین امنیت داده‌های کاربران از دسترسی غیرمجاز یکی از چالش‌های اساسی در حفاظت از اطلاعات است. در اغلب خط مشی های حریم خصوصی پلتفرم‌های ارائه‌دهنده خدمات، اعلام شده که پروتکل، سرور و لایه‌های امنیتی پلتفرم و روش‌های مناسب مدیریت داده‌ها، تلاش حداکثری برای امنیت داده‌ها خواهند کرد؛ با‌این‌حال، سازوکار و معیاری جهت اتخاذ تدابیر امنیتی شناسایی نشده است. در قوانین لازم‌الاجرا تنها قانون تجارت الکترونیک است که مقررات کلی در این حوزه مقرر کرده است. نوشتار حاضر با روش توصیفی-تحلیلی در بستر حقوق ایران صورت گرفته و درصدد بررسی الزامات حاکم بر امنیت داده کاربران است. نتیجه پژوهش نشان می‌دهد پردازشگران داده باید ضمن مسئول بودن در برابر امنیت داده، با در نظر گرفتن نوع داده، هزینه‌های اجرا و ماهیت، قلمرو، موضوع و اهداف پردازش و همچنین خطرات متنوع و آثار آن بر حقوق افراد، معیارهای فنی و سازمانی متناسبی را برای تضمین سطح مناسبی از امنیت در نظر بگیرند. بررسی دوره‌ای و ارزیابی و تنظیم گزارش از وضعیت سطح حفاظت از داده‌های مصرف‌کنندگان در پلتفرم‌ها و نیز ارائه شریان نظارتی برای مرکز ملی فضای مجازی از الزامات حفاظت از داده است. کمیسیون عالی تنظیم مقررات فضای مجازی کلیه ارائه‌دهندگان خدمات را مکلف کرده که از طریق اصلاح سیاست‌های حریم خصوصی خود، داده‌هایی که منجر به شناسایی هویت کاربران می‌شوند را طی دو ماه رمزنگاری کرده و «حق حذف» اطلاعات را برای کاربران شناسایی کنند. نتیجه آن که با توجه به نواقص دستورالعمل، از جمله کلی گویی، عدم شناسایی بستر ویژه جبران خسارت، و ابهام و سکوت مفاد دستورالعمل در برخی موارد و نیز اتکای ضمانت اجرا به مسئولیت مدنی و کیفری، تصویب قانون حفاظت از داده‌های افراد در کنار تشویق نظام خودتنظیم گری پلتفرم ها، از جمله راهکارهای عملی به نظر می رسند.

analysis of the requirements for user data security on service provider platforms

one of the most crucial issues in information security is the protection of user data from unauthorized access. in this regard, the privacy policy of almost every platform asserts that the company’s protocol, server, security layers, and data management techniques will ensure data security. however, the precise mechanism and criteria for implementing security measures remain unspecified. existing laws, except for the e-commerce law, fail to provide guidance on securing user data in electronic commerce, resulting in a significant gap in regulatory oversight. this article uses descriptive and analytical methods within iranian law to examine the requirements for securing users’ data. data processors must consider the type of data, implementation costs, processing nature, geographical location, subject and purposes of processing, potential risks, and their impact on individuals’ rights to ensure adequate security. therefore, data processors must adopt appropriate technical and organizational measures to ensure the security of users’ data at an adequate level. periodic review and assessment and reporting of the level of consumer data protection on platforms and providing a regulatory artery have been regarded as data protection requirements. the supreme commission for the regulation of cyberspace has obliged all service providers to encrypt the data that leads to the identification of users within two months, through the amendment of their privacy policies, and to recognize the &right to delete& information for users. the result is that due to the shortcomings of the directive, including generalities, the lack of identification of the special platform for compensation, and the ambiguity and silence of the provisions of the directive in some cases, as well as the reliance of the implementation guarantee on civil and criminal liability, the approval of the law on the protection of personal data, along with encouraging the self-regulating system of the platforms seems to be a practical solution.