طرح جدید حفاظت از داده‌ها در مجلس اعلام وصول شد

 
نمایندگان مجلس طرح جدیدی با عنوان حفاظت از داده‌ها ارائه داده‌اند. پیش از این نیز طرح قانون یکپارچه‌سازی داده و اطلاعات ملی در مجلس اعلام وصول شده بود. همچنین دبیر شورای اجرایی فناوری اطلاعات اردیبهشت امسال اعلام کرد لایحه مقررات عمومی حفاظت از داده به زودی در دولت تصویب شده و به مجلس می‌رود.
 
 نمایندگان مجلس با هدف رفع خلاهای قانونی مربوط به داده‌ها و اطلاعات به ویژه داده‌هایی که در فضای مجازی توسط ارائه‌دهندگان خدمات از مردم و کسب‌وکارها گردآوری و پردازش می‌شود، طرح «حمایت و حفاظت از داده‌ها و اطلاعات شخصی» را به صحن علنی ارائه دادند. براساس این طرح برای حفاظت و صیانت از داده‌ها و اطلاعات شخصی، کمیسیون صیانت از داده‌ها و اطلاعات شخصی تشکیل می‌شود. همچنین آنطور که نمایندگان مقرر کردند، پردازش داده‌ها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است.
 
طرح «حمایت و حفاظت از داده و اطلاعات شخصی» اواخر شهریور در صحن علنی اعلام وصول شد. هدف اصلی این طرح، رفع خلا قانونی مربوط به داده‌ها و اطلاعات به ویژه آن دسته از اطلاعات که در فضای مجازی توسط ارائه‌دهندگان خدمات از مردم و کسب‌وکارها اخذ و گردآوری و پردازش می‌شود. همچنین این طرح قرار است قوانین مرتبط با قانون وظایف و اختیارات وزیر ارتباطات،قانون انتشار و دسترسی آزاد به اطلاعات، قانون تجارت الکترونیکی، قانون مجازات اسلامی، قانون برنامه ششم توسعه و قانون سلامت نظام اداری و غیره را تکمیل کند. این طرح در ۵۶ ماده تدوین و تهیه شده و به امضای ۳۱ نماینده رسیده است. اشخاص مشمول این طرح، اتباع ایرانی و حقیقی و حقوقی عمومی یا خصوصی و اتباع خارجی حقیقی یا حقوقی عمومی یا خصوصی که داده‌ها و اطلاعات شخصی آنها درون یا بیرون از ایران پردازش می‌شود، است.
 
پردازش داده‌های اشخاص هم شامل اقداماتی چون ایجاد، ثبت، دریافت، گردآوری، نگهداری، جداسازی، تغییر، تجزیه و تحلیل، طبقه‌بندی، تطبیق، ذخیره‌سازی، اشتراک‌گذاری، فرستادن، توزیع و عرضه، انتشار و دردسترس قراردادن و پاک کردن آنها می‌شود.
 
براساس این طرح کنترل‌گر شخصی است که همه یا بخشی از هدف، سازوکار، شرایط، ویژگی‌ها و ابزارهای یک یا چند عملیات پردازش داده‌ها و اطلاعات شخصی در اختیار پردازش‌گر را تعیین می‌کند.
 
پردازشگر هم شخصی است که برای پردازش از کنترل‌گر اجازه می‌گیرد. در صورت نبود کنترل‌گر، پردازشگر به عنوان کنترل‌گر شناخته می‌شود.
 
حقوق اشخاص
از منظر طراحان، اشخاص موضوع این طرح درمقابل داده‌هاو اطلاعات شخصی خود از حقوقی برخوردار هستند. در ابتدا پردازش داده‌ها و اطلاعات شخصی، منوط به رضایت شخص موضوع این طرح است. البته اعلام رضایت باید پیش از پردازش داده‌ها باشد، بیانگر آگاهی شخص موضوع داده باشد و استنادپذیر باشد.
 
پردازش داده‌ها و اطلاعات شخصی مربوط به وضعیت‌ها یا موقعیت‌های عمومی، بدون رضایت شخص یا اشخاص موضوع این طرح در صورتی بلامانع است که خودش اجازه داده تا اطلاعات را در معرض پردازش قرار دهد و پردازش روی داده‌ها و اطلاعات خود را منع یا محدود نکرده باشد.
 
در صورتی که شخص موضوع داده فهمید که داده‌های حاصل از پردازش نادرست است یا پردازش داده‌ها خارج از محدود رضایت او بوده، حق دارد هرزمان، خواستار پردازش یا عدم پردازش همه یا بخشی از داده و اطلاعات باشد.
 
اگر فردی به پردازش داده‌های خود رضایت دهد، به معنای آشکار شدن هویت شخص موضوع داده و اطلاعات نیست و باید گمنامی او حفظ شود.
 
البته در مواردی پردازش اطلاعات و داده‌های شخصی در چارچوب قوانین مربوطه بدون رضایت شخص مانعی ندارد. این موارد عبارت هستند از «صیانت از حیثیت، جان و مال شخص موضوع داده ضروری باشد»، «برای صیانت از حیثیت یا جان دیگری و پیشگیری از زیان مالی شدید به او ضروری باشد»،« برای پیشگیری یا پاسخ به تهدیدهای نظم،ایمنی و امنیت عمومی ضروری و برای کشف جرایم یا تخلفات یا شناسایی متهمان یا اجرای احکام قضایی و انتظامی ضروری باشد.»
 
بهره‌برداری از داده‌ها و اطلاعات شخصی، بدون رضایت شخص در صورتی بلامانع است که گمنامی او حفظ شود، زیان مادی یا معنوی برای او نداشته باشد و جلب رضایت او امکان‌پذیر نباشد.
 
کمیسیون صیانت از داده‌ها و اطلاعات شخصی
آنطور که نمایندگان مشخص کردند، تنظیم و نظارت برپردازش داده‌ّها و اطلاعات شخصی به عهده ۴ نهاد است؛ کمیسیون صیانت از داده‌ها و اطلاعات شخصی، هیات نظارت، کارگروه‌های تخصصی و دبیرخانه اجرایی کمیسیون.
 
۱۳ نفر عضو این کمیسیون هستند که عبارتند از وزیر ارتباطات، وزیر اطلاعات، وزیر کشور، وزیر اقتصاد، وزیر فرهنگ و ارشاد اسلامی، دبیر شورای عالی و رئیس مرکز ملی فضای مجازی، معاون پیشگیری از وقوع جرم قوه‌قضاییه، رئیس کمیسیون اصل نودم مجلس، رئیس کمیسیون حقوقی و قضایی مجلس، دبیر شورای اجرایی فناوری اطلاعات و دو نفر از صاحبنظران دارای سوابق مرتبط با سیاستگذاری، حکمروایی داده‌ها و اطلاعات به پیشنهاد دبیر و تایید رئیس کمیسیون.
 
براساس این طرح، وزیر ارتباطات و فناوری اطلاعات رئیس و دبیر شورای اجرای فناوری اطلاعات دبیر کمیسیون مذکور هستند. به تشخیص رییس کمسیون، جلسات در سطح اعضا یا معاونان آنها تشکیل می‌شود.
 
وظیفه این کمیسیون «همسوسازی امور تنظیم و نظارت بر کارگروه‌های تخصصی با یکدیگر و همچنین با هیات نظارت»، «تعدیل و تجمیع، تلفیق یا تفکیک وظایف یا اعضای کبارگروه‌های تخصصی برپایه اختیارات قانونی آنها»، «تصویب ضوابط و دستورالعمل‌های مربوط به صیانت از داده‌های شخصی و آیین‌نامه داخلی کمیسیون»، «گزارش به مراجع بالادستی درباره وضعیت صیانت از داده‌ها و اطلاعات شخصی وتنظیم و نظارت پردازش آنها»، «تصویب تخلفات و ضمانت اجرایی‌ّهای انتظامی» و «صدور احکام روسای کارگروه‌های تخصصی و ناظران ویژه» است.
 
مصوبات و تصمیمات کمیسیون برای کلیه دستگاه‌های اجرایی، کارگروه‌های تخصصی و هیات نظارت و کنترل‌گرایان و پردازش‌گران ضروری است.
 
دبیرخانه این کمیسیون همچنین در وزارت ارتباطات و فناوری اطلاعات تشکیل می‌شود. کمیسیون همچنین با توجه به اولویت‌‌های مرتبط با صیانت و حفاظت از داده‌ها و اطلاعات شخصی، کارگروه‌های تخصصی متشکل از نمایندگان نهادهای متولی امور حاکمیتی مرتبط با صیانت از داده‌های شخصی در موضوعات خاص نظیر سلامت، بانکداری، امور مالی، امور اجتماعی، امور شهری و غیره تشکیل می‌شود.
 
هرکدام از کارگروه‌ها، مسئولیت اجرا یا نظارت بر حسن اجرای مصوبات کمیسیون را در حیطه کاری خود به عهده دارد.
 
هیات نظارت هم براساس این طرح تشکیل می‌شود که اعضای آن، دادستان کل کشور، رئیس کمیسیون اصل نود مجلس و دبیر کمیسیون صیانت از داده‌‌های شخصی هستند.
 
هیات نظارت در محل دادستانی کل کشور تشکیل می‌شود و وظایفی مانند «نظارت بر حسن اجرای امور نظارتی ابلاغی کمیسیون»، «دریافت و رسیدگی به شکایات ذی‌نفعان صیانت از داده‌ها و اطلاعات شخصی»، «شناسایی و معرفی ناظران ویژه به کمسیون و نظارت بر فعالیت آنها»، «پیشنهاد شیوه‌نامه‌های اختصاصی استنادپذیری ادله ناظر برداده‌ها و اطلاعات شخصی» را به عهده دارد.
 
در بخشی از وظایف هیات نظارت «انتخاب ناظر ویژه» آمده که این ناظر در شرایط ویژه‌ای از سوی این هیات انتخاب می‌شود. در مواردی که پردازش داده‌ها و اطلاعات شخصی حیاتی و حساس باشد، کلان داده‌ها در حال پردازش باشند و زیان‌ها و آسیب‌های جدی به داده‌ها و اطلاعات وارد شود.
 
وظایف کنترل‌گران و پردازش‌گران
در این طرح نمایندگان همچنین برای کنترل‌گران و پردازش‌گران وظایف و مسئولیت‌هایی تعیین کردند. البته که براساس این طرح پردازشگر به عنوان شغل یا حرفه مستقل، مستلزم دارا بودن پروانه یا گواهی از مرجع صلاحیتدار است.
 
واگذاری این شغل و حرفه، علاوه بر رعایت سایر مقررات، مستلزم ثبت در سامانه مرجع صلاحیتدار ذی‌ربط است.
 
کنترل‌گر یا پردازش‌گر برای پردازش اطلاعات شخصی افراد موضوع این طرح، باید یکسری اطلاعات در اختیار آنها قرار دهند. یعنی کنترل‌گران یا پردازش‌گردان باید هدف از پردازش، منابع پردازش، ویژگی‌ها و شرایط فنی پردازش، سطح ایمنی و امنیت پردازش را به شخص اعلام کنند، اشخاص موضوع این ماده باید از هویت، ماهیت و فعالیت کنترل‌گران مطلع شوند.
 
کنترل‌گر یا پردازش‌گر موظف هستند ظرف یک ماه از تاریخ دریافت داده‌ها و اطلاعات شخصی این اطلاع‌رسانی‌ها را انجام دهند. آنها همچنین در برابر اشخاص موضوع داده باید پاسخگویی کامل را داشته باشند.
 
کنترل‌گر یا پردازش‌گر موظف است اطلاعاتی مانند اطلاعات هویتی، انواع پردازش‌های انجام شده روی داده‌ها و اطلاعات هویتی کنترل‌گران یا پردازش‌گران را تا ۱۸ ماه پس از پردازش داده نزد خود نگه دارند.
 
اگر صحت و تمامیت داده‌ها و اطلاعات شخصی اصلی مخدوش شده باشد، کنترل‌گر یا پردازش‌گر موظف است، همه نسخه‌های اصلی و مخدوش شده داده‌ها و اطلاعات را به مدت ۶ ماه از تاریخ آخرین پردازش نگهداری کنند.
 
آنطور که در این طرح آمده است، پردازش داده‌ها و اطلاعات در صورتی فرامرزی شناخته می‌شوند که هریک از کنترل‌گران یا پردازش‌گران تابعیت خارجی داشته باشند، سامانه‌های پردازنده داده‌ها و اطلاعات بیرون از قلمرو جمهوری اسلامی باشد و پردازنده‌های نرم‌افزاری در ایران ثبت نشده باشد.
 
البته که در خصوص پردازش داده‌ها و اطلاعات شخصی اتباع ایرانی، این پردازش تنها باید در مراکز داده واقع در داخل کشور یا مراکز خارجی مورد تایید مراجع صلاحیت‌دار انجام گیرد.
 
همه پردازنده‌های سخت افزاری و نرم‌افزاری باید از مراجع صلاحیت‌دار گواهی لازم را داشته باشند. این اطلاعات روی شبکه ارتباطی مطمئن جابه جا شوند.
 
ضمانت اجرایی
آنطور که در این طرح مشخص شده، کنترل‌گران و پردازش‌گران در برابر تعهدات خود مسئولیت مستقل دارند و فرد زیان‌دیده می‌تواند به کنترل‌گر یا پردازش‌گر مراجعه کند و خواستار جبران زیان خود شود.
 
اگر شخص موضوع این طرح، حقوق خود را به صورت ناروا درخواست و به دیگری زیانی وارد کند،مسئول جبران آن خواهد بود.
 
در صورت وارد کردن اسیب، مرجع صلاحیت‌دار قضایی یا انتظامی می‌تواند متناسب با نوع و گستره آسیب حیثیتی به موضوع وارد شود و میزان زیان را بسنجند و برای فرد مرتکب شده جریمه تنبیهی در نظر بگیرند. میزان جریمه یا کسب نظر از کمیسیون یا کارگروه‌های تخصصی تعیین و اعمال می‌شود.
 
تخلفات انتظامی مقرر از سوی کمیسیون همه جرایم مقرر در این قانون، نقض تعهدات کنترل‌گران و پردازش‌گران، نقض تعهدات اشخاص موضوع داده در برابر سایر ذی‌نفعان و نقض تعهدات قراردادی یا سایر اسناد تعهدآور را در برمی‌گیرد.
 
در پایان نمایندگان مقرر کرده‌اند تا اعتبارات هزینه‌ای مورد نیاز این قانون به نحوه متمرکز در ردیف بودجه دبیرخانه و پیشنهاد وزارت ارتباطات در لایحه بودجه سالیانه درج و به تصویب برسد.
 
از تاریخ تصویب این قانون همچنین کلیه قوانین و مقررات مغایر با آن نسخ می‌شود و تا زمانی که در قوانین بعدی نسخ یا اصلاح مواد و مقررات این قانون به صورت صریح و با ذکر نام این قانون و ماده مورد نظر قید نشود، معتبر خواهد بود.

سه طرح مجلس برای مدیریت داده تجمیع می‌شوند

حدود ۱۰ ماه از آغاز مجلس یازدهم می‌گذرد و در این مدت سه طرح در زمینه «تجمیع داده‌ها و اطلاعات و تبادل اطلاعات دستگاه‌های اجرایی» اعلام وصول شده است. تاکنون سرنوشت هیچ‌کدام از این طرح‌ها مشخص نبوده؛ اما حالا رئیس کمیته ارتباطات و فناوری اطلاعات مجلس اعلام می‌کند که این طرح‌ها هدف یکسانی را دنبال می‌کنند ولی در اجرا اختلاف‌هایی دارند، به همین خاطر در کمیته ارتباطات و فناوری اطلاعات هم‌اکنون در حال تجمیع این طرح‌ها هستند.
 
مصطفی طاهری، با اعلام این خبر درمورد اینکه تاکنون چه تغییراتی در طرح ایجاد کردند، به پیوست گفت: «در حال حاضر اجماع طرح‌ها به این صورت انجام شده که کمیسیونی به نام کمیسیون دوام تشکیل می‌شود. این کمیسیون فراقوه‌ای است و از تمام قوه‌ها در آن حضور دارند و درمورد داده‌ها و اطلاعات ملی تصمیم‌گیری می‌کنند. این کمیسیون قرار است زیرنظر شورای عالی فضای مجازی فعالیت کند.»
 
آذرماه سال گذشته دو طرح « الزام به انتشار داده و اطلاعات» و «قانون یکپارچه‌سازی داده‌ها و اطلاعات ملی» در مجلس اعلام وصول شد. در طرح اول بر وظیفه ذاتی کارگروه تعامل‌پذیری دولت الکترونیکی در یکپارچه‌سازی داده‌ها و تعامل بین دستگاه‌ها تاکید شده بود و قرار بود نام این کارگروه به «کمیسیون داده‌ها و اطلاعات ملی» با نام اختصاری «دوام» تغییر پیدا کرده و اعضای جدیدی هم از سایر دستگاه‌ها به آن اضافه شود. در طرح دوم نمایندگان در تلاش بودند تا اختیار انتشار اطلاعات و داده‌ها را از دست دولت و کمیسیون انتشار و دسترسی آزاد به اطلاعات که زیر نظر وزارت فرهنگ و ارشاد قرار دارد خارج کنند و در اختیار«شورای عالی نظارت بر انتشار اطلاعات» که زیر نظر قوه قضائیه است قرار دهند.
 
اما فروردین ماه سال جاری بار دیگر طرح دیگر  تحت عنوان «نظام جامع مدیریت داده‌های کشور و تسهیل ارائه خدمات الکترونیکی به مردم» در مجلس اعلام وصول شد که براساس این طرح سازمان ثبت احوال کشور با تغییر ساختار بحث تجمیع و تبادل داده را ساماندهی می‌کند. به این صورت سازمان ثبت احوال کشور از وزارت کشور جدا می‌شود و با نام «سازمان مدیریت داده‌های کشور» زیرنظر مستقیم رئیس جمهور به فعالیت ادامه خواهد داد.
 
 
مصطفی طاهری، رئیس کمیته ارتباطات و فناوری اطلاعات مجلس
حالا مصطفی طاهری، رئیس کمیته ارتباطات و فناوری اطلاعات مجلس درمورد دلیل تهیه چند طرح در مورد حکمرانی داده به پیوست گفت: «علاوه براین طرح، دو طرح دیگر هم تهیه شده بود. هدف این طرح‌ها یک موضوع است و آن تجمیع داده‌ها است. درحال حاضر بیش از ۳۰ سامانه اطلاعاتی مهم در کشور وجود دارد.» او ادامه داد: «داده‌های مهمی که تولید می‌شوند هم‌اکنون جزیره‌ای هستند و حاکمیت نمی‌تواند به صورت یکپارچه از آنها استفاده کند. هیچ کدام از سامانه‌ها به دیگری ارتباط ندارند. استاندارد داده‌ها یکی نیستند. ارتباطی که گاه بین این سامانه‌ها برقرار شده، ناقص است. داده‌ها به آن صورت که بتوان روی آنها حکمرانی کرد، صورت نمی‌گیرد.»
 
او با اشاره به طرح‌های مجلس در این زمینه گفت: «این طرح‌ها هم به دنبال حکمرانی داده‌ها هستند تا توجه حاکمیت به این داده‌ها جلب شود و بتواند به درستی روی داده‌ها حکمرانی کند. به عنوان مثال در زمینه یارانه یا شیوع کرونا و بحث کسب‌وکارهای آسیب‌دیده ما داده یکپارچه نداریم. درمورد مسائلی چون فرار مالیاتی و خانه‌های خالی و چندین مورد مشکلات اقتصادی وجود دارد که همه به حکمرانی داده برمی‌گردد. هر قانونی هم که در زمینه تجمیع داده وجود دارد، روی زیرساخت‌ها به خوبی تمرکز نکرده است.»
 
به گفته طاهری همه این طرح‌ها در هدف یک موضوع را دنبال می‌کنند؛ اما در نحوه اجرایی شدن اختلاف سلیقه دارند و به همین خاطر نمایندگان در کمیته فناوری اطلاعات در حال تجمیع این طرح‌ها هستند.
 
او همچنین بیان کرد: «در هفته یک تا دو جلسه در کمیته مربوط به این موضوع برگزار می‌شود و در این جلسات در حال اجماع طرح‌ها هستیم و مواد و تبصره‌ها جابه جا می‌شوند و پیشنهادهای نمایندگان را هم در این طرح در نظر می‌گیریم. وقتی به جمع بندی کلی در طرح تجمیع داده‌ها برسیم، به احتمال زیاد در هفته آینده در کمیسیون صنایع طرح نهایی را  مطرح می‌کنیم.»

مجلس می‌خواهد مدیریت داده کشور را به ثبت احوال بدهد

 
 
عبارت «تجمیع داده‌ها و اطلاعات و تبادل اطلاعات دستگاه‌های اجرایی» موضوعی است که نمایندگان در مجلس یازدهم به آن معترض هستند و تاکنون چندین طرح برای ساماندهی این بخش تهیه و تدوین کردند که البته سرنوشت هیچ‌کدام از آنها مشخص نیست. حالا در طرح جدید دیگری که ۲۲ فروردین‌ماه اعلام وصل شد، نمایندگان در تلاش هستند تا با تغییر ساختار سازمان ثبت احوال کشور بحث تجمیع و تبادل داده را ساماندهی کند. درصورت تصویب این طرح سازمان ثبت احوال کشور با تمام وظایف، اختیارات، اموال و دارایی‌ها و نیروی انسانی از وزارت کشور جدا می‌شود و با نام «سازمان مدیریت داده‌های کشور» زیرنظر مستقیم رئیس جمهور به فعالیت ادامه خواهد داد. نمایندگان همچنین پیش بینی کردند تا سازمان مدیریت داده‌های کشور در مدت یکسال از لازم الاجرا شدن این قانون نسبت به ایجاد «سامانه ملی داده‌ها» اقدام کند. این سامانه به کلیه پایگاه‌های داده‌های کشور متصل خواهد شد.
 
 نمایندگان مجلس یازدهم ساختار فعلی اجرایی کشور بربستر دولت الکترونیکی را به صورت جزیره‌ای و پراکنده و در عمل شعارگونه و یکپارچه‌سازی جامع مدیریت داده‌های کشور را یک ضرورت می‌دانند. در نظر آنها این طرح می‌تواند شرایطی را ایجاد کند که رویکرد تحول دیجیتال در کشور به طور جدی و در بستری اصولی و یکپارچه آغاز شود.
 
این طرح به امضای ۴۱ نماینده رسیده است. براساس مواد این طرح، سازمان ثبت احوال کشور با تمام وظایف، اختیارات، اموال و دارایی‌ها و نیروی انسانی از وزارت کشور جدا شود با نام «سازمان مدیریت داده‌های کشور» زیرنظر مستقیم رئیس جمهور به فعالیت ادامه دهد. در این طرح همچنین علاوه بر وظایف قانونی سازمان ثبت احوال، وظایف دیگری را به عهده این سازمان گذاشتند.
 
این وظایف شامل تصویب سیاست‌های راهبردی سازمان و نظارت برحسن اجرای آنها، سیاست‌گذاری نظام نگذاری، پردازش، دسترسی، یکپارچه‌سازی، تبادل، به اشتراک‌گذاری و امنیت داده‌ها و اطلاعات ملی در کشور، تجدیدنظر در سیاست‌های کلی سازمان در چارچوب شرح وظایف مصوب، تصویب مقررات مالی، اداری و استخدامی سازمان و مراکز و واحدهای تابعه، تصویب دستورالعمل‌های تخصصی موردنیاز فعالیت‌های سازمان به پیشنهاد رئیس سازمان است.
 
از منظر نمایندگان در این طرح ارکان سازمان هم باید تغییر کند و به این ترتیب هیات امنا، شورای هماهنگی و نظارت برداده‌های کشور و رئیس سازمان ارکان این سازمان را تشکیل می‌دهند. هیات امنا سازمان ترکیبی از رئیس جمهور، رئیس قوه مقننه، رئیس قوه قضاییه، رئیس ستاد کل نیروهای مسلح و رئیس مجمع تشخیص مصلحت نظام خواهد بود. این هیات امنا وظیفه تصویب سیاست‌های راهبردی مدیریت بر داده‌های کشور، تصویب و اصلاح اساسنامه سازمان و عزل و نصب رئیس سازمان را به عهده دارد. شورای هماهنگی و نظارت برداده‌های کشور نیز که جزوی از ارکان سازمان به حساب می‌آید، با هدف سیاست‌گذاری، هماهنگی و نظارت برداده‌ها تشکیل می‌شود و ۱۶ عضو دارد.
 
این اعضا شامل رئیس سازمان،نماینده تام الاختیار قوه قضائیه، نماینده تام الاختیار ستاد کل نیروهای مسلح، وزارت اطلاعات، وزارت ارتباطات و فناوری اطلاعات، وزارت کشور، وزارت تعاون، کار و رفاه اجتماعی، وزارت امور اقتصادی، بانک مرکزی، سازمان برنامه و بودجه، نیروی انتظامی، سپاه پاسداران، مرکز ملی فضای مجازی، سازمان امور مالیاتی، مرکز آمار ایران و یک نفر از نمایندگان مجلس به عنوان ناظر است.
 
نحوه تبادل داده بین دستگاه‌های اجرایی و اشخاص حقیقی و حقوقی
آنطور که دراین طرح پیش ‌بینی شده است، تبادل داده‌ها بین دستگاه‌های اجرایی با یکدیگر و با کسب‌وکارهای و کلیه اشخاص حقیقی و حقوقی با رعایت اصول حفاظتی و امنیتی با نظارت سازمان انجام شود. هرگونه تبادل داده‌ها خارج از نظارت سازمان و بدون رعایت قوانین موجود و مصوبات شورا ممنوع است.
 
هرشخص به هر نحو در اجرای این قانون اختلال کند به عنوان اختلال در نظام مدیریت کشورتحت تعقیب کیفری قرار گرفته و به حداکثر کیفرهای مقرر در قانون جرائم رایانه‌ای یا سایر قوانین مربوط محکوم می‌شود. چنانچه کارمند دستگاه‌ها اجرایی باشد به انفصال از شش ماه تا سه سال محکوم می‌شود و اگر ارائه‌دهنده خدمات باشد، به ممنوعیت از فعالیت از یک تا سه سال محکوم می‌شود.
 
 
پایگاه‌های داده‌ معتبر مدنظر طرح جدید نمایندگان مجلس
سازمان همچنین مکلف است تا در مدت یکسال از لازم الاجرا شدن این قانون نسبت به ایجاد «سامانه ملی داده‌ها» که در برگیرنده کلیه داده‌های هویتی،نشانی، تحصیلی، بهداشتی و درمانی، شغلی، حقوقی و قضایی، مجوزهای کسب و کار، اموال و دارایی، سرمایه‌گذاری، بانکی و مالیاتی کلیه اشخاص حقیقی حقوقی ایرانی و خارجی مقیم خارج است، اقدام کند. وزارت ارتباطات هم مکلف است بسترهای ارتباطی امن و مبتنی بر شبکه ملی اطلاعات را برای استقرار و توسعه سامانه ملی داده‌ها فراهم کند.سامانه ملی داده‌ها به کلیه پایگاه‌های داده‌های کشور متصل خواهد شد و اطلاعات این پایگاه‌ها را باید به صورت برخط در سامانه ملی داده‌ها قابل بهره‌برداری باشد. در این طرح نمایندگان مجلس لیست ۲۱ پایگاه ملی داده‌ای کشور را که سامانه ملی داده مقرر شده به آن وصل شوند را پیش‌بینی کرده‌اند.
 
شورای هماهنگی و نظارت برداده‌های کشور می‌تواند در صورت ضرورت دستور ادغام یا تفکیک پایگاه‌های داده‌های موجود کشور را صادر کند. تشکیل پایگاه‌‌های داده‌ای جدید توسط دستگاه‌های اجرایی کشور منوط به اخذ مجوز از سازمان خواهد بود. در صورتی هم که داده‌های موجود در پایگاه‌های داده‌ای کشور به تشخیص شورا ناقص بوده و نیاز به تکمیل باشد، فهرست نواقص داده‌ها و برنامه زمان‌بندی تکمیل آنها پس از تصویب در شورا توسط سازمان به دستگاه‌های ذی‌ربط ابلاغ خواهد شد.
 
در مدت یک ماه از تاریخ لازم‌ الاجراشدن این قانون، مرکز ملی تبادل اطلاعات (NIX) با کلیه امکانات سخت افزاری، نرم‌افزاری و نیروی انسانی از وزارت ارتباطات جدا و به سازمان منتقل می‌شود.
 
نحوه درخواست داده دستگاه‌های اجرایی
کلیه دستگاه‌های متولی پایگاه‌های داده‌های کشور مکلف هستند تا ساز و کار فنی و استانداردهای لازم برای حفظ امنیت فنی داده‌ها و جلوگیری از هک شدن پایگاه‌های داده‌ای تحت مدیریت خود را ایجاد و رعایت کنند.
 
وزارت ارتباطات هم مکلف است همکاری لازم برای حفظ امنیت فنی پایگاه‌های داده و جلوگیری از هک شدن را با همه دستگاه‌های مسئول ایجاد پایگاه‌های داده‌ای کشور داشته باشد. مسئولیت حفظ محرمانگی داده‌ها و اطلاعات اشخاص برعهده دستگاه‌های تولیدکننده و پردازش کننده است و در صورت هرگونه کوتاهی یا تخلف با مسببین، برابر با احکام مندرج درمواد ۷۲۹ تا ۷۳۳ قانون مجازات اسلامی یعنی قانون جرائم رایانه‌ای برخورد می‌شود.
 
 
سازمان همچنین مجاز است با استفاده از سامانه ملی داده‌ها، داده‌های مورد درخواست دستگاه‌های اجرایی یا سایر حقوقی کشور را با توجه به وظایف و ماموریت‌های قانونی آنها و مصوبات شورا، تهیه و در اختیار آنها قرار دهد.
 
سازمان مکلف است که خدمات مرتبط با سامانه ملی داده‌ها را در موارد خاص به ذی‌نفعان ارائه دهد. این موارد شامل «ارائه اطلاعات ثبت شده در پایگاه‌های داده‌های متصل به سامانه ملی داده‌ها در مورد شخص متقاضی» و «فراهم کردن ساز و کار لازم برای دریافت درخواست‌ها، بررسی و اصلاح اطلاعات متقاضیان در پایگاه داده‌های متصل به سامانه توسط دستگاه‌های اجرایی متولی و ارائه پاسخ نهایی به متقاضیان» است.
 
دسترسی به اطلاعات ثبت شده اشخاص در سامانه ملی داده‌ها و پایگاه‌ داده‌های کشور متصل آن تنها با رعایت و حفظ محرمانگی مجاز است و سازمان موظف است سوابق تراکنش داده‌ها را ذخیره کند و جهت جلوگیری از هرگونه سواستفاده مورد نظرات مستمر قرار دهد.