آیا نصر مرجع صدور مجوز و اعمال مجازات‌های قانونی است؟

زمان مطالعه: ۸ دقیقه

ازآنجاکه پیش‌ازاین به بایدهای نظام صنفی رایانه‌ای از منظر حقوقی پرداختیم بگذارید بدون مقدمه بیان کنیم که با عنایت به ماده ۱ قانون اصلاح مواد (۱) ، (۶) و (۷۹) قانون اجرای سیاست‌های کلی اصل چهل و چهارم (۴۴) قانون اساسی که عنوان می‌دارد: «مجوز کسب‌وکار: هر نوع اجازه کتبی اعم از مجوز، پروانه، اجازه‌نامه، گواهی، جواز، استعلام، موافقت، تأییدیه یا مصوبه است که برای شروع، ادامه، توسعه یا بهره‌برداری فعالیت اقتصادی توسط دستگاه‌های اجرائی موضوع ماده (۵) قانون مدیریت خدمات کشوری مصوب ۸/ ۷/ ۱۳۸۶ و ماده (۵)قانون محاسبات عمومی مصوب ۱۳۶۶/۶/۱، شوراهای اسلامی شهر و روستا، اتاق‌های بازرگانی، صنایع، معادن و کشاورزی، اتاق‌های تعاون یا اصناف، تشکل‌های اقتصادی، اتحادیه‌ها، شوراها، مجامع و نظام‌های صنفی یا نمایندگان و متصدیان مستقیم یا غیرمستقیم آن‌ها صادر می‌شود.»

لذا درواقع مطابق این قانون مجوز نظام صنفی رایانه‌ای کشور جزء مجوزهای کسب‌وکار قرار گرفته است و همچنین باتوجه‌به تبصره ماده ۲ قانون نظام صنفی کشور با آخرین اصلاحات مصوب ۱۳۹۲/۶/۱۶ که بیان می‌دارد «صنوفی که قانون خاص دارند، از شمول این قانون مستثنا می‌باشند. قانون خاص قانونی است که بر اساس آن نحوه صدور مجوز فعالیت، تنظیم و تنسیق امور واحدهای ذی‌ربط، نظارت، بازرسی و رسیدگی به تخلفات افراد و واحدهای تحت پوشش آن به‌صراحت در متن قانون مربوطه معین می‌شود.»

معلوم می‌شود سازمان نظام صنفی رایانه‌ای کشور به‌عنوان یک سازمان که دارای قانون خاص است از شمول قانون نظام صنفی مستثنا شده است، این امر برای سازمان‌های نظام‌مهندسی کشور، نظام‌پزشکی کشور، سازمان نظام روان‌شناسی و سازمان نظام دامپزشکی نیز متصور است، ایضاً ماده ۱۲ قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای که عنوان می‌دارد «به‌منظور حمایت عملی از حقوق یادشده در این قانون، نظم‌بخشی و ساماندهی فعالیت‌های تجاری رایانه‌ای مجاز، نظام صنفی رایانه‌ای توسط اعضای صنف یادشده تحت نظارت شورا به وجود خواهد آمد، مجازات‌های مربوط به تخلفات صنفی مربوط، برابر مجازات‌های جزایی یادشده در لایحۀ قانونی امور صنفی (مصوب ۱۳۵۹/۴/۱۳ و اصلاحیه‌های آن) خواهد بود.» مشاهده می‌شود نظام صنفی رایانه‌ای کشور با حدود قانونی و قابلیت اعمال مجازات‌های مربوط به تخلفات صنفی تشکیل شده است.

همچنین ماده یک اساسنامه نظام صنفی رایانه‌ای که در راستای اجرای قانون حمایت از پدیدآورندگان نرم‌افزارهای رایانه‌ای مصوب ۱۳۷۹/۱۰/۴ مجلس شورای اسلامی و آیین‌نامه اجرایی شماره ۲۱۱۸۵/ت ۲۶۰۸۹ ه. مورخ ۱۳۸۳/۴/۲۴ مصوب دولت جمهوری اسلامی ایران تأسیس شده است، بیان می‌کند «در اجرای ماده (۱۲) قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای و به‌منظور حمایت عملی از حقوق یادشده در آن، نظم‌بخشی و ساماندهی فعالیت‌های تجاری رایانه‌ای مجاز، سازمان نظام صنفی رایانه‌ای کشور به وجود می‌آید.»

ملاحظه می‌شود نظام صنفی رایانه‌ای کشور به‌صورت قانونمند در کشور تأسیس و اقدام به صدور مجوز فعالیت کرده است، لذا باتوجه‌به مواد ۳۲ به بعد آیین‌نامه اجرایی مواد (۲) و (۱۷) قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای، خصوصاً تعریف بند ۲ ماده ۳۲ که تصریح می‌دارد «فرد صنفی: شخص حقیقی یا حقوقی است که فعالیت خود را درزمینۀ امور تحقیقاتی، طراحی، تولیدی، خدماتی، تجاری رایانه‌ای (اعم از سخت‌افزار، نرم‌افزار و شبکه‌های اطلاع‌رسانی) قرار می‌دهد.» صدور این مجوز برای اشخاص حقیقی و حقوقی، توسط سازمان در حال اصرار است از دیگر سو فعالیت‌های این سازمان نیز در رأی کلاس پرونده ۸۶/۲۸۳ مورخ ۱۳۸۷/۳/۲۰ که بیان می‌دارد «نحوه تشکیل نظام صنفی رایانه‌ای را به سازمان مدیریت و برنامه‌ریزی با همکاری وزارتخانه‌های فرهنگ و ارشاد اسلامی و دادگستری و تصویب آن را به هیئت وزیران محول کرده است» توسط دیوان عمومی عدالت اداری صحه‌گذاری شده است.

ایضاً باید توجه کرد که این سازمان و تعیین وظایف آن نیز توسط هیئت وزیران در جلسه مورخ۱۳۸۳/۴/۲۱ بنا به پیشنهاد شماره ۲۰۰۹۷/۵۰ مورخ ۱۳۸۰/۱۱/۲۹ سازمان مدیریت و برنامه‌ریزی کشور و به استناد مواد (۲) و (۱۷) قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای (مصوب ۱۳۷۹) تصویب شده است.

با عنایت به موارد فوق جهت ضمانت اجرای فعالیت‌های سازمان نیز موارد زیر قابل‌تأمل است، در ماده ۱ فصل اول اساسنامه نظام صنفی آماده است: «در اجرای ماده ۱۲ قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای و به‌منظور حمایت عملی از حقوق یادشده در آن، نظم‌بخشی و ساماندهی فعالیت‌های تجاری رایانه‌ای مجاز، سازمان نظام صنفی رایانه‌ای کشور به وجود می‌آید»، ازاین‌رو برای مشخص‌شدن بهتر اهداف سازمان ناگزیر از آن هستیم تا ماده ۱۲ قانون حمایت از حقوق پدیدآورندگان نرم‌افزارهای رایانه‌ای را مورد دقت قرار دهیم، در ماده ۱۲ این قانون آمده است؛ «به‌منظور حمایت عملی از حقوق یادشده در این قانون، نظم‌بخشی و ساماندهی فعالیت‌های تجاری رایانه‌ای مجاز، نظام صنفی رایانه‌ای توسط اعضای صنف یادشده تحت نظارت شورابه وجود خواهد آمد. مجازات‌های مربوط به تخلفات صنفی مربوط، برابر مجازات‌های جرائم یادشده در لایحه قانونی امور صنفی خواهد بود.»

همان گونه که ملاحظه می‌شود این ماده قانونی نیز مجری را به قانون نظام صنفی ارجاع می‌دهد، جالب اینکه در این قانون به طور مفصل و در فصل هشتم به تخلفات و جریمه‌های صنفی اشاره شده است که خود دارای ۱۷ ماده قانونی در این باره است (مواد ۵۷ الی ۷۴).

از دیگر سو دربند ۱ ماده ۵ اساسنامه نظام صنفی رایانه‌ای به طور دقیق هدف تأسیس نظام صنفی رایانه‌ای این‌گونه بیان شده است که: «مجموعه قواعد و مقرراتی است که در جهت ساماندهی، ایجاد تشکیلات، تعیین وظایف و نظم‌بخشی به فعالیت تجاری رایانه‌ای مجاز و حمایت از حقوق پدیدآورندگان نرم‌افزار وضع و تحت نظارت شورای‌عالی انفورماتیک کشور تنظیم و تنسیق می‌شود.»

همچنین با اندک نگاهی به بندهای ۲ و ۳ همین ماده قانونی مشخص می‌گردد این سازمان برای چه گروهی از جامعه تدوین و ساختارمند شده است، ««فرد صنفی»: شخص حقیقی یا حقوقی است که فعالیت خود را درزمینۀ امور تحقیقاتی، طراحی، تولیدی، خدماتی، تجاری رایانه‌ای (اعم از سخت‌افزار، نرم‌افزار و شبکه‌های اطلاع‌رسانی) قرار می‌دهد.» و ««واحد صنفی»: هر واحد اقتصادی که توسط فرد صنفی رایانه‌ای با اخذ پروانه کسب یا مجوز لازم برای فعالیت موضوع بند (۵-۲) این ماده دایر می‌شود، واحد صنفی نامیده می‌شود.»، بامطالعه دو بند فوق نتیجه ذیل حاصل می‌شود که واحد صنفی قانوناً به هر واحد اقتصادی اطلاق می‌شود که توسط فرد صنفی رایانه‌ای با اخذ مجوز از سازمان نظام صنفی رایانه‌ای کشور برای فعالیت درزمینۀ تحقیقاتی، طراحی، تولیدی، خدماتی، تجاری رایانه‌ای اعم از سخت‌افزار، نرم‌افزار و شبکه‌های اطلاع‌رسانی دایر شود.

لذا درصورتی‌که هر شخص اعم از حقیقی یا حقوقی بدون اخذ مجوز اقدام به فعالیت اقتصادی کند، این اقدام غیرقانونی بوده و می‌توان به طرق قانونی که بعداً ذکر خواهد شد با آن مقابله کرد؛ از طرف دیگر گاه سؤال می‌شود که ایجاد کسب‌وکارهای جدید با موضوعاتی نو مانند خدمات حمل‌ونقل اینترنتی، رایانش ابری، تصدی‌گری امور مربوط به مراکز داده و عملیات داده‌کاوی و مانند آن چگونه باید برای فعالیت‌های خود مجوز اخذ نمایند؟ و آیا نظام صنفی رایانه‌ای پاسخگوی این‌گونه نیازها هست؟

در پاسخ به این سؤال باید توجه کرد که به فعالیت‌های رایانه‌ای را از دو منظر می‌توان نگریست، نخست آنکه خدمات ارائه شده در این بستر ذاتاً عملیاتی رایانه‌ای است و دوم عملیاتی که ذاتاً رایانه‌ای نیست بلکه از فناوری اطلاعات به‌عنوان یک ابزار تسهیلگری استفاده می‌کند، در این صورت پاسخ زیر را می‌توان به این‌گونه فعالیت‌ها داد:

در اموری که ذاتاً مرتبط با فناوری اطلاعات است سازمان نظام صنفی رایانه‌ای به استناد بندهای پیشین و همچنین به استناد بندهای ۴ ، ۵ و ۷ ماده ۱۳ اساسنامه باید برای فعالیت‌های این‌گونه افراد و واحدهای صنفی بررسی‌های لازم را معمول، ارائه طریق‌هایی را پیشنهاد و ضوابط و مقرراتی و نظام‌نامه‌هایی را تصویب و ابلاغ کند.

«ماده ۱۳ :وظایف و اختیارات هیئت عمومی به شرح زیر است:

۱۳-۴ -بررسی و تصویب خط مشی های عمومی و پیشنهادی شورای مرکزی،

۱۳-۵ -دریافت گزارش از فعالیت‌ها و مشکلات نظام‌های استانی و ارائه طریق به آن‌ها،

۱۳-۷ -بررسی و تصویب ضوابط، مقررات، نظام‌نامه ها و همچنین دستورالعمل پرداخت حق الزحمه اعضای شورای مرکزی، اعضای شورای انتظامی استانی، شورای انتظامی کل، بازرسان استانی و بازرس نظام به پیشنهاد شورای مرکزی»

در خصوص فعالیت‌هایی که ذاتاً فناورانه نبوده بلکه از فناوری به‌عنوان یک ابزار استفاده می‌شود، می‌بایست بر اساس قانون نظام صنفی مخصوصاً مواد ۵ و ۶ از واحد صنفی مربوطه مجوزهای لازم را کسب و پس از آن اقدام به ارائه و یا عرضه محصولات خود اعم از کالا و خدمات کردند.

«ماده ۵ – پروانه کسب: مجوزی است که طبق مقررات این قانون به‌منظور شروع و ادامه کسب‌وکار یا حرفه به فرد یا افراد صنفی برای محل مشخص یا وسیله کسب معین داده می‌شود.

ماده ۶ – پروانه تخصصی و فنی: گواهینامه ای است که برداشتن مهارت انجام دادن کارهای تخصصی یا فنی دلالت دارد و به وسیله مراجع ذی صلاح صادر می‌شود.»

لذا معلوم می‌شود قانون‌گذار برای فعالیت‌هایی که ذاتاً مبتنی بر فناوری اطلاعات اعم از سخت‌افزار و نرم‌افزار است سازمان نظام صنفی را مرجع و برای فعالیت‌هایی که ذاتاً مبتنی بر این‌گونه فعالیت‌ها نمی‌باشند، اتحادیه‌های دیگر را مسئول صدور مجوز قرار داده است. ازاین‌رو ایجاد اتحادیه و سازمان‌های موازی برای سازمان‌دهی این امور غیرقانونی است.

از دیگر سو با عنایت به ماده ۳۰ اساسنامه نظام صنفی مخصوصاً بند ۱۱ این ماده مشخص می‌گردد یکی از وظایف شورای مرکزی این سازمان حمایت اجتماعی از اعضای صنف بوده و دفاع از حقوق افراد صنفی و ایضاً حمایت از حقوق مصرف‌کنندگان نیز جزء وظایف ذاتی این سازمان است:

«ماده ۳۰ – وظایف و اختیارات اتحادیه‌ها عبارت است از:

۳۰-۱۱- حمایت اجتماعی از اعضای نظام رایانه‌ای و دفاع از حقوق و حیثیت آن‌ها و همچنین دفاع متقابل از حقوق جامعه به‌عنوان مصرف‌کنندگان محصولات صنف»،

بدیهی است که یکی از اقدامات اجتماعی و دفاع از حقوق فعالین صنفی و حمایت از حقوق مصرف‌کنندگان به استناد اصل «قاعده ملازمه اذن در شی‌ء با اذن در لوازم آن» انجام اقدامات قانونی و قضائی است که نظام صنفی می‌تواند به واسطه آن عملکردی بی بدیل را دارا باشد.

لذا برای انجام اقدامات قانونی و نظام بخشی به فعالیت‌های رایانه‌ای و فناوری اطلاعات آن گونه که در ماده ۳۵ اساسنامه آمده است اختیاراتی به شورای انتظامی کل نظام صنفی داده شده، این ماده بیان می‌دارد: « شورای انتظامی کل سازمان نظام، مرجع تجدیدنظر آرای صادرشده مبنی بر محکومیت از درجه پنج شورای انتظامی استان‌ها و یا موارد شدیدتر پیش‌بینی‌شده در قانون نظام صنفی است.»

ماده صدرالذکر یکی از مهم‌ترین مواد اساسنامه سازمان نظام صنفی است زیراکه در بطن خود به سه مرجع قانونی اشاره کرده نخست خود اساسنامه دوم قانون نظام‌مهندسی و شورای انتظامی استان‌ها و سوم قانون نظام‌مهندسی، ازاین‌رو برای روشن شدن موضوع ناگزیر باید به مواردی اشاره کرد.

نخست وقتی در این ماده از مرجع تجدیدنظر آرای صادره سخن به میان می‌آورد، منظور آن است که این سازمان می‌تواند مرجع بدوی را نیز اداره و ساختارمند کند، همچنین شورای انتظامی استان، آن‌گونه که در ماده ۸۵ قانون نظام صنفی مطرح شده است، مرجع رسیدگی به شکایات و تخلفات انضباطی، انتظامی و یا حرفه‌ای از کسانی است که دارای پروانه و مجوز اشتغال هستند، است و البته درصورتی‌که خود نظام صنفی تشخیصی در این باره بدهد می‌تواند رأساً اقدام به شکایت نماید. این ماده و تبصره‌های آن بیان می‌دارد:

ماده ۸۵ – شورای انتظامی استان مرجع رسیدگی به شکایات و دعوی اشخاص حقیقی و حقوقی در خصوص تخلفات حرفه‌ای، انضباطی و انتظامی مهندسان و کاردان های فنی عضو نظام‌مهندسی استان و یا دارندگان پروانه اشتغال است. کلیه اشخاص حقیقی و حقوقی، اعم از صاحب کار، زیان دیده از تخلف، دستگاه ها و سازمان‌های دولتی و وابسته به دولت یا غیردولتی یا نهادهای انقلاب اسلامی، شهرداری ها و مؤسسات عمومی و به طورکلی هر شخصی که در مورد هر یک از اعضای نظام‌مهندسی استان یا دارنده پروانه اشتغال شکایتی در مورد تخلفات انضباطی، انتظامی و یا حرفه‌ای وی داشته باشد می‌توان شکایت خود را به طور کتبی و با درج مشخصات و شرح تخلف مورد ادعا به انضمام اسناد و مدارک مربوط به دبیرخانه نظام‌مهندسی استان ارسال یا تحویل دهد.

تبصره ۴ – هیئت‌‌مدیره می‌تواند در صورت اطلاع از وقوع تخلف، بدون دریافت شکایت، رأساً نیز به شورای انتظامی استان اعلام شکایت کند.

درصورتی‌که به ماده ۳۵ اساسنامه نظام صنفی برگردیم شاهد آن خواهیم بود که بیان کرده «محکومیت از درجه پنج شورای انتظامی استان‌ها و یا موارد شدیدتر پیش‌بینی‌شده در قانون نظام صنفی» ملاک عمل سازمان است. محکومیت درجه پنج آن‌طور که در ماده ۹۰ قانون نظام‌مهندسی بیان شده عبارت است از:

درجه ۵ – محرومیت موقت از استفاده از پروانه اشتغال به مدت سه سال تا پنج سال و ضبط پروانه اشتغال به مدت محرومیت.

نکته آخر آنکه مطابق ماده ۱۲ قانون تعزیرات حکومتی فعالیت بدون مجوز و پروانه ممنوع است این ماده بیان می‌دارد: «ماده ۱۲: نداشتن پروانه کسب واحدهای صنفی – عبارت است از عدم اخذ پروانه بدون عذر موجه ظرف مهلت و ضوابط و مقرراتی که توسط هیأت عالی نظارت بر شورای مرکز اصناف تعیین و اعلام می‌شود.» در این ماده در سه سطح و دوازده مرحله نیز مجازاتی را برای فعالیت‌های بدن مجوز اشخاص پیش‌بینی کرده است که خود شامل جرائم مالی و یا تعطیلی کسب‌وکار می‌شود.

لذا با عنایت به وجود سازمان نظام صنفی رایانه‌ای و مستفاد از متون قانونی فوق الذکر و استمرار فعالیت‌های قانونی این سازمان و پرهیز از ایجاد کارهای موازی و اخلال درروند صدور مجوز و ایضاً تلاش در راستای اقدام در جهت مجوز زدایی و پویایی محیط کسب‌وکار علی هذا علاوه بر این که پیشنهاد می‌شود با تجمیع نهادهای ایجادشده زیر چتر سازمان و تشریک مساعی با سازمان‌های موجود تجمیع مجوزها صورت پذیرد، روشن می‌شود این سازمان یگانه مرجع صدور مجوزهای قانونی و بازویی برای اجرای مجازات ها و ضامن اجرای فعالیت‌های قانونی است.

آژیر قرمز برای اطلاعات بیومتریک ایرانی‌ها

زمان مطالعه: ۳ دقیقه

مطالعه امنیتی که روی ۹۶ کشور جهان انجام شده است نشان می‌دهد ایران از لحاظ جمع‌‌آوری و امنیت داده‌های بیومتریک اوضاع و احوال خوبی ندارد.

بر اساس گزارشی که از سوی شرکت تحلیل تکنولوژی کامپریتک(Comparitech) منتشر شده ایران پس از چین و کاستاریکا بیشترین داده‌های بیومتریک را از شهروندان خود جمع‌آوری می‌کند و امنیت این اطلاعات هم چندان مناسب نیست. در این رتبه‌بندی آمریکا در رتبه چهارم قرار گرفته است. یکی از نکاتی که در این گزارش به‌شدت مورد‌توجه قرار‌گرفته نحوه حفاظت و استفاده از داده‌های بیومتریک جمع‌آوری‌شده است.

داده‌های بیومتریک اکنون به منبعی مهم برای شناسایی افراد در حوزه‌های مختلف تبدیل شده است. استفاده از سیستم بیومتریک از عکس گذرنامه گرفته تا دسترسی به حساب‌های بانکی با اثر انگشت، با سرعت فزاینده‌ای در حال رشد است. بنابراین موضوع گردآوری این داده‌ها و در ادامه محافظت از آنها از اهمیت بسزایی برخوردار است. اساسا داده‌های بیومتریک از سوی دولت‌ها باید گردآوری شود، اما در بعضی موارد بخش خصوصی هم وارد حوزه گردآوری داده‌های بیومتریک شده است. شیوع کرونا هم باعث شده تا در جهان استفاده از اطلاعات بیومتریک به‌شدت افزایش پیدا‌کند.

در این وضعیت در میان حدود ۱۰۰ کشور جهان تحقیقات نشان داده که ایران به لحاظ وضعیت نامناسب گردآوری اطلاعات در رتبه سوم قرار می‌گیرد که نگران‌کننده است و می‌تواند حتی خطرآفرین باشد.

نبود تعریف قانونی برای داده بیومتریک

«محمدجعفر نعناکار» به‌عنوان حقوقدان به ۲نوع اطلاعات اشاره می‌کند و می‌گوید: نوع اول، اطلاعات کلی شهروندان است اما نوع دوم اطلاعات بیومتریک افراد است.

او که پیش از این مدیرکل حقوقی سازمان فناوری اطلاعات بوده ادامه می‌دهد: اگرچه تعریف حقوقی برای داده‌های بیومتریک ارائه شده، اما تعریف قانونی برای این دسته از داده‌ها در متون نداریم.

به‌گفته نعناکار «آن دسته از مشخصات داده‌ای که قابلیت انتساب به یک شخص معین دارد تحت‌عنوان داده‌های بیومتریک طبقه‌بندی می‌شود و علی‌القاعده این داده‌ها باید از سوی دولت‌ها گردآوری شود و بخش‌خصوصی عموما نباید به حوزه گردآوری داده وارد شود».

او با اشاره به اینکه بخش‌خصوصی می‌تواند به داده‌های بیومتریک دسترسی داشته باشد، ادامه می‌دهد: کارت‌های هوشمند ملی دارای داده‌های بیومتریک هستند. یعنی هم اثر انگشت و هم تصویر چهره افراد در این کارت‌ها موجود است. بنابراین وزارت کشور می‌تواند دسترسی به این داده‌ها را برای بخش‌خصوصی فراهم کند.

نعناکار به آیین‌نامه‌های شورای‌عالی امنیت ملی و دستورالعمل‌های مرکز ملی فضای مجازی درباره ذخیره و حفاظت از داده‌های بیومتریک اشاره می‌کند و می‌گوید: این آیین‌نامه‌ها و دستورالعمل‌ها مشخص کرده‌اند که این داده‌ها چگونه باید جمع‌آوری، محافظت و استفاده شوند. اما متأسفانه نظارت بر این دستورالعمل‌ها که وظیفه شورای‌عالی فضای مجازی است به درستی صورت نمی‌گیرد.

خلاء قانونی

نعناکار با اشاره به اینکه اکنون تعدادی از استارت‌آپ‌ها و شرکت‌های نوپا ایجاد شده‌اند که خدمات احراز هویت را به‌عهده گرفته‌اند و داده‌های بیومتریک افراد را تجمیع می‌کنند، ادامه می‌دهد: حتی بعضی از بانک‌های خصوصی هم این خدمات را از طریق پلتفرم‌های خود ارائه می‌دهند، درحالی‌که این پلتفرم‌ها در ابتدا باید در سازمان فناوری اطلاعات ثبت شوند. طبق قانون تجارت الکترونیک وظیفه حفظ داده‌ها هم با تجمیع‌کننده و هم با صاحب داده‌هاست. بنابراین درصورت افشای این داده‌ها، برای مجرم، جرائم کیفری درنظر گرفته می‌شود. همچنین طبق قانون، اطلاعات به‌طور کل، از جمله داده‌های بیومتریک باید تا ۶‌ماه در سرورهای داخلی حفظ شود و نمی‌توان آنها را در سرورهایی که در خارج از ایران میزبانی می‌شود ذخیره کرد.

نعناکار همچنین با اشاره به اینکه مجازاتی برای افشای داده‌های بیومتریک به‌طور خاص دیده نشده است، می‌گوید: در مورد افشای داده‌ها به‌طور کلی، می‌توان آن را «خیانت در امانت» تلقی کرد اما واقعیت این است که باید راهکاری اندیشیده شود که داده‌ها افشا نشوند؛ چراکه لو رفتن اطلاعات شهروندان با هیچ مجازاتی قابل‌جبران نیست.