لایحه تراکنشهای الکترونیکی بخش یکم: کلیات گفتار یکم: هدف قانون ماده ١. اهداف این قانون عبارتند از: الف) اعتباربخشی قانونی به تراکنشهای الکترونیکی، مانند تراکنشهای تجاری و کسبوکار الکترونیکی، خدمات عمومی و اداری الکترونیکی و تراکنشهای شخصی؛ ب) استنادپذیری تراکنشهای الکترونیکی در دعاوی قضایی و غیرقضایی؛ پ) فراهمسازی پیشنیازهای قانونی جایگزینی دیوانسالاری سنتی با خدمات دولت الکترونیکی؛ ت) یکپارچهسازی و هماهنگسازی رویهها و فرایندهای اعتباربخشی، اطمینانپذیری و استنادپذیری تراکنشهای الکترونیکی، همسو با رویهها و فرایندهای بینالمللی؛ و ث) حمایت از تراکنشهای الکترونیکی در برابر اقدامات غیرمجاز و غیرقانونی. گفتار دوم: تعاریف و اختصارها ماده ٢. اختصارهای بکار رفته در این قانون عبارتند از: الف) شورا: شورای عالی فضای مجازی ب) وزارت: وزارت ارتباطات و فناوری اطلاعات ماده ٣. تعابیر و واژگان زیر در معنای مشروح بکار میروند: الف) تراکنش الکترونیکی: هرگونه فرایند خودکار یا نیمهخودکار بوسیلة سامانههای الکترونیکی که موجب پردازش دادههای قابل استناد رایانهای میشود. ب) تراکنش قابل استناد: هر تراکنشی که با انجام آن امکان استیفای یک حق یا ایفای یک تکلیف قانونی فراهم باشد. پ) دادة قابل استناد: به هر شکل دادة رایانهای، مانند متن، صوت، تصویر ویا ترکیبی از آنها و همچنین انواع برنامههای رایانهای، علامت، کد و الگوریتم گفته میشود. ت) دادهها و اطلاعات تراکنشی: هرگونه داده و اطلاعات که به شکل چاپی یا الکترونیکی نگهداری یا ذخیره شده و امکان اثبات یا رد اعتبارپذیری ویا استنادپذیری تراکنش مورد ادعا را داشته باشد. ث) پردازش دادهها: هرگونه ایجاد، تغییر، ارسال، دریافت، جابهجایی، ذخیرهسازی، حذف، اشتراکگذاری یا نمایش هدفمند دادههای رایانهای است. ج) دارندة دادهها و اطلاعات تراکنشی: همة اشخاص حقوقی و حقیقی که به موجب این قانون تراکنشهای الکترونیکی عمومی، خصوصی و شخصی را پردازش میکنند و در این قانون به اختصار «دارنده» نامیده میشوند. گفتار سوم: دامنة شمول قانون ماده ٤. در پرتو اهداف این قانون، تراکنشهای قابل استناد الکترونیکی و دادهها و اطلاعات تراکنشی مشمول احکام و ضوابط آن میشوند. ماده ٥. تراکنشهای الکترونیکی موضوع این قانون در سه گروه زیر قرار میگیرند: الف) تراکنشهای الکترونیکی عمومی: تراکنشهایی که بوسیلة سازمانها و نهادهای زیرنظر مستقیم ولی فقیه و قوای سهگانة مقننه، مجریه و قضائیه، مجلس خبرگان رهبری، مجمع تشخیص مصلحت نظام، شورای نگهبان، شورای عالی امنیت ملی، شورای عالی انقلاب فرهنگی، شورای عالی و مرکز ملی فضای مجازی، شورای عالی استانها، شوراهای اسلامی شهر و روستا، صدا و سیما و مؤسسات عمومی غیردولتی در حیطة وظایف و اختیاراتشان پردازش میشود. ب) تراکنشهای الکترونیکی خصوصی: تراکنشهایی که بوسیلة مؤسسات خصوصی شامل بنگاهها، شرکتها یا نهادهای انتفاعی یا غیرانتفاعی که مشمول مؤسسات عمومی نمیشوند، در حیطة فعالیتشان پردازش میشود. پ) تراکنشهای الکترونیکی شخصی: تراکنشهایی که بوسیله اشخاص حقیقی پردازش میشود. تبصره ـ در جایی که احکام این قانون، هم شامل مؤسسات عمومی و هم شامل مؤسسات خصوصی میشود، به اختصار «مؤسسات» بکار میرود. ماده ٦. تراکنشهای الکترونیکی موضوع این قانون به سه شکل زیر پردازش میشوند: الف) تراکنشهای الکترونیکی سامانههای رایانهای ویا مخابراتی با یکدیگر؛ ب) تراکنشهای الکترونیکی اشخاص و سامانههای رایانهای ویا مخابراتی با یکدیگر؛ و پ) تراکنشهای الکترونیکی اشخاص با یکدیگر. بخش دوم: اطمینانپذیری تراکنشها گفتار یکم: دسترسپذیری تراکنشها و دادهها و اطلاعات تراکنشی ماده ٧. هر شخص حق جستجو و دسترسی به دادهها و اطلاعات تراکنشی راجع به تراکنشهای الکترونیکی قابل استناد خویش را دارد، مگر اینکه قانون صراحتا منع کرده باشد. ماده ٨. دسترسپذیری دادهها و اطلاعات تراکنشی به منزلة افشای غیرمجاز آنها نیست و رعایت ضوابط مربوط الزامی است. ماده ٩. درخواست دسترسی به دادهها و اطلاعات تراکنشی به صورت کتبی یا الکترونیکی از سوی ذینفع یا نمایندة قانونی وی به دارنده ارائه میشود. ماده ١٠. درخواست دسترسی به دادهها و اطلاعات تراکنشی شامل موضوع و نوع آنها، مشخصات درخواستکننده و اطلاعاتی که بتوان بوسیلة آنها به او پاسخ داد، از قبیل نشانی پستی، شمارة تماس یا رایانامه و شیوة پیشنهادی درخواستکننده میشود. دارنده حق دارد از پاسخ به درخواستهای کلی و مبهم خودداری کند. ماده ١١. دارنده موظف است با رعایت قوانین و مقررات مربوط نسبت به ارائة دادهها و اطلاعات تراکنشی اقدام کند و حق ندارد به دلایل واهی از ایفای این وظیفه خودداری کند. ماده ١٢. در صورتی که ارائة اطلاعات درخواست شده به موجب قانون صراحتا ممنوع باشد، دارنده موظف است دلایل امتناع خود را به طور مستند و به شکل چاپی یا الکترونیکی به درخواستکننده ارائه دهد. ماده ١٣. هرگاه قرائن و اوضاع و احوال دلالت داشته باشد که ارائة دادهها و اطلاعات تراکنشی درخواستشده برای حفظ جان یا سلامتی یا آزادی یا حیثیت اشخاص ضروری است یا از خسارت مالی یا معنوی شدید به آنها یا از بروز یا گسترش خطرهای زیستمحیطی جلوگیری میکند، دارنده موظف به ایفای فوری آن خواهد بود. ماده ١٤. دارنده باید در کمترین زمان نسبت به پاسخگویی اقدام کند و در هر صورت ارائة دادهها و اطلاعات تراکنشی درخواستی نباید بیش از ده روز از زمان دریافت درخواست به طول انجامد. تبصرهـ هرگاه به دلایل موجه ارائة دادهها و اطلاعات درخواست شده در مهلت مقرر امکانپذیر نباشد، دارنده باید درخواستکننده را از دلایل مذکور به شکل مستند و مکتوب یا الکترونیکی آگاه کند و در هر حال مدت پاسخگویی نباید بیشتر از 20 روز باشد. ماده 1٥. چنانچه اطلاعات درخواست شده نزد دارندة دیگری باشد، دریافتکنندة درخواست باید درخواستکننده را راهنمایی کند. ماده ١٦. دریافتکنندگان درخواست حق ندارند از درخواستکننده هیچگونه دلیل یا توضیحی دربارة دادهها ویا اطلاعات موردنیاز خود بخواهند. ماده ١٧. دارنده باید به شیوة پیشنهادی درخواستکننده پاسخ دهد، مگر اینکه امکانات لازم جهت ارائة اطلاعات به شیوة مزبور را نداشته باشد. ماده ١٨. چنانچه دریافتکنندگان درخواست، مؤسسات باشند، باید رسید کتبی یا الکترونیکی شامل شمارة ثبت، تاریخ دریافت و نام و سمت خود را به درخواستکننده تحویل دهند. ماده ١٩. درخواستکننده باید هزینة ارائة دادهها و اطلاعات درخواستشده را بپردازد. درخصوص دادهها و اطلاعات تراکنشی عمومی، مطابق تعرفة مصوب وزارت اقدام خواهد شد. درخصوص دادهها و اطلاعات تراکنشی خصوصی و شخصی، دارنده حق ندارد هزینة نامتعارفی را مطالبه کند. ماده ٢٠. دارندگان دادهها و اطلاعات تراکنشی موظفند آنها را حداقل دو سال پس از ایجاد یا دو سال پس از آخرین پردازش انجام شده به نحوی نگهداری کنند که اطمینانپذیری آنها محفوظ بماند. مگر اینکه قانون مهلت بیشتری را مقرر کرده باشد. ماده ٢١. شیوهنامة دسترسپذیری دادهها و اطلاعات تراکنشی عمومی، خصوصی و شخصی ظرف ششماه به پیشنهاد وزارت به تصویب شورا میرسد. گفتار دوم: صحت و تمامیت تراکنشها و دادهها و اطلاعات تراکنشی ماده ٢٢. اعتبارپذیری و استنادپذیری تراکنشهای الکترونیکی منوط به احراز صحت و تمامیت آنهاست که با احراز صحت و تمامیت دادههای ورودی تراکنش به عمل میآید. ماده ٢٣. هرگاه دادههای تراکنش پردازش شده باشد، صحت و تمامیت آن در صورتی قابل احراز است که دادهها و اطلاعات تراکنشی مربوط، مانند دادههای رخدادنگار (Log Files) دردسترس باشد و با بررسی آنها بتوان مجاز بودن اقدامات مذکور را احراز کرد. ماده ٢٤. دارنده حق ندارد دادهها و اطلاعات تراکنشی قابل استناد را بدون آگاهی ذینفع آنها پردازش کند. مگر اینکه به موجب قانون اجازة چنین کاری را داشته یا رضایت صریح یا ضمنی وی را دریافت کرده یا عرفا ظن منطقی مبنی بر وجود چنین رضایتی را داشته باشد. در هرحال نگهداری دادهها و اطلاعات راجع به آنها برپایة ضوابط مقرر الزامی است. ماده ٢٥. دارنده موظف است رویهها، فرایندها، فناوریها و سامانههای نرمافزاری ویا سختافزاری مطمئنی را برای نگهداری دادهها و اطلاعات تراکنشی ذینفعان به کار گیرد تا صحت و تمامیت آنها تضمین گردد. ماده ٢٦. آییننامة تضمین صحت و تمامیت دادهها و اطلاعات تراکنشی عمومی، خصوصی و شخصی، ظرف سه ماه به پیشنهاد وزارت به تصویب شورا خواهد رسید. گفتار سوم: محرمانگی تراکنشها و دادهها و اطلاعات تراکنشی ماده ٢٧. نقض محرمانگی تراکنشهای الکترونیکی مانع اعتبار و استنادپذیری آنها نیست، مگر اینکه از سوی استنادکنندة دادهها و اطلاعات راجع به آنها یا به درخواست یا دستور وی صورت گرفته باشد. ماده ٢٨. محرمانگی تراکنشها و دادهها و اطلاعات تراکنشی عمومی برپایة طبقهبندی دادهها و اطلاعات راجع به آنها تعیین میشود. ماده ٢٩. محرمانگی تراکنشها و دادهها و اطلاعات تراکنشی خصوصی برپایة دادهها و اطلاعات راجع به حریم مکان کار، مانند اسرار تجاری و ارتباطات غیرعمومی آنها تعیین میشود. تبصره ـ منظور از اسرار تجاری هرگونه اطلاعات، فرمولها، الگوها، نرمافزارها و برنامهها، ابزار و روشها، تکنیکها و فرایندها، تألیفات منتشر نشده، روشهای انجام تجارت و داد و ستد، فنون، نقشهها و فراگردها، اطلاعات مالی، فهرست مشتریان، طرحهای تجاری و مانند آنهاست که ارزش اقتصادی دارند و در دسترس عموم قرار ندارند و دارندة آنها اقدامات متعارفی را برای صیانت از آنها در برابر سوءاستفادههای مختلف انجام داده است. ماده ٣٠. محرمانگی تراکنشهای الکترونیکی شخصی برپایة دادهها و اطلاعات راجع به حریم تمامیت فردی، حریم اقامتگاه، حریم مکان کار، ارتباطات غیرعمومی و اطلاعات شخصی و به موجب قوانین و مقررات مربوط تعیین میشود. تبصره ـ منظور از اطلاعات شخصی هرگونه اطلاعات وابسته به افراد، نظیر نام و نام خانوادگی، نشانی اقامتگاه و کار، شغل، اطلاعات مالی و بانکی، شمارة تماس، وضعیت خانوادگی، عادتهای فردی، وضعیت جسمی و روانی و همچنین اطلاعات راجع به گرایشهای جنسی، اعتقادی، سیاسی یا صنفی و وضعیت نژادی و قومی است. ماده ٣١. قواعد و ضوابط حاکم بر طبقهبندی و تعریف سطوح دسترسی به دادهها و اطلاعات تراکنشی عمومی به موجب آییننامة پیشنهادی وزارت خواهد بود که ظرف ششماه جهت تصویب به شورا تقدیم میکند. بخش سوم: اعتبارپذیری تراکنشها گفتار یکم: هویت کنشگران تراکنش ماده ٣٢. منظور از کنشگران تراکنش، شخص ویا سامانهای است که تراکنش را به سرانجام میرسانند. در تراکنش خودکار پدیدآورندة سامانة نرمافزاری ویا مالک آن کنشگر بشمار میآید. ماده ٣٣. تراکنش الکترونیکی منسوب به کنشگر آنست، مگر اینکه خلاف آن ثابت شود. ماده ٣٤. کنشگر تراکنش میتواند برای صیانت از حریم هویتی خود، به شکل گمنام یا با هویت ساختگی تراکنش را به سرانجام برساند، مگر اینکه به موجب قانون بکارگیری هویت واقعی الزامی باشد. چنانچه تراکنش به صورت گمنام یا با هویت ساختگی به سرانجام رسد، در صورتی معتبر است که مخاطب یا ذینفع تراکنش هویت واقعی آن را احراز کند. ماده ٣٥. هرگاه علاوه بر کنشگر، اشخاص یا سامانههای دیگری نیز در سرانجامیافتن تراکنش دخالت داشته باشند، هویت آنها نیز باید قابل احراز باشد. گفتار دوم: ابزارها و رویههای اعتباربخشی تراکنش ماده ٣٦. هویت کنشگر تراکنش برپایة شناسههای کاربردی برای شخص یا سامانه احراز میشود، مانند شمارة سیمکارت، بارکد، شمارة سریال، امضای الکترونیکی، امضای دیجیتالی، انواع شناسههای زیستسنجی، نام کاربری، شمارة تلفن و نشانی رایانامه. ماده ٣٧. شناسة هویتی باید شرایط زیر را داشته باشد: الف) نسبت به کنشگر خود منحصربفرد باشد؛ ب) هویت کنشگر خود را بطور مشخص و متمایز نشان دهد، مانند اینکه شخص حقوقی عمومی است یا خصوصی یا فرد عادی یا امکان احراز تعلق سامانه به هریک از آنها؛ پ) به شکل معتبر و قانونی ایجاد و واگذار شده باشد. ماده ٣٨. صرف برخورداری یک تراکنش از شناسة الکترونیکی به معنای معتبر بودن آن نیست و صحت و تمامیت آن نیز باید احراز شود. مگر اینکه شناسة الکترونیکی بکاررفته از لحاظ فنی توانایی اثبات صحت و تمامیت تراکنش را نیز داشته باشد. ماده ٣٩. شناسههای الکترونیکی به سه دستة زیر تقسیم میشوند: الف) شناسة الکترونیکی مطمئن: شناسهای که ساختن نمونة مشابه یا تغییر آن از لحاظ فنی تقریبا غیرممکن است؛ ب) شناسة الکترونیکی ایمن: شناسهای که اطمینانپذیری آن با توجه به نوع کاربری موردنظر از سوی پدیدآورندهاش تأیید شده است. پ) شناسة الکترونیکی عادی: شناسهای که مشمول شناسههای بندهای «الف» و «ب» این ماده نمیشود. ماده ٤٠. دریافت شناسة الکترونیکی منوط به ارائة اطلاعات زیر از سوی درخواستکننده است: الف) نام و نام خانوادگی برای اشخاص حقیقی و نام و شمارة ثبت برای مؤسسات خصوصی؛ ب) نشانی پستی اقامتگاه ویا مکان کار؛ پ) شمارة تماس و نشانی رایانامه؛ و ت) حیطة کاری که قرار است برای تراکنشهای آن شناسة الکترونیکی درخواستی بکار رود و ویژگیهای فنی و اجرایی متناسب با آن، به درخواست ارائهدهندة شناسه. تبصره ١. اطلاعات ارائه شده از سوی درخواستکنندة شناسة الکترونیکی مشمول ضوابط نگهداری و محرمانگی دادهها و اطلاعات تراکنشی میشود و دسترسی به آنها پیرو ضوابط مربوط خواهد بود. تبصره ٢. هرگاه شناسة الکترونیکی به اشخاص حقیقی فعال یا مرتبط با مؤسسات اختصاص مییابد، ثبت اطلاعات راجع به آنها مطابق این ماده الزامی است. تبصره ٣. در صورت تغییر اطلاعات، گیرندة شناسه موظف است فورا ارائهدهندة شناسه را آگاه کند. ماده ٤١. گواهی تأیید اعتبار شناسة الکترونیکی از سوی ارائهدهنده آن برای ذینفعان تراکنش صادر میشود. ذینفع تراکنش هر شخصی است که امکان بکارگیری آن را به عنوان یک تراکنش قابل استناد دارد. تبصره ـ صدور گواهی تأیید اعتبار برای ذینفع منوط به ارائة اطلاعات موضوع ماده (٤٠) به جز بند «ت» آن خواهد بود. ماده ٤٢. گواهی تأیید اعتبار شناسة الکترونیکی شامل اطلاعات زیر میشود: الف) هویت واقعی و ساختگی (در صورت ایجاد) دارندة شناسه؛ ب) حوزههایی که بکارگیری شناسة الکترونیکی موردنظر در آنها اعتبار دارد؛ پ) نام و مشخصات ارائهدهندة شناسه؛ ت) نام و مشخصات درخواستکنندة گواهی اعتبار؛ ث) مدت زمان اعتبار شناسة الکترونیکی؛ ج) مرجعی که قرار است گواهی برای آن صادر گردد، مگر اینکه ذینفع برای خود درخواست کرده باشد. ماده ٤٣. گواهی تأیید اعتبار شناسة الکترونیکی با رعایت ضوابط اطمینانپذیری و اعتبارپذیری میتواند به صورت چاپی یا الکترونیکی صادر شود. ماده ٤٤. در تراکنشهای زیر بکارگیری شناسة الکترونیکی مطمئن الزامی است: الف) معاملاتی که درخصوص اموال غیرمنقول به انجام میرسد؛ ب) امور مربوط به احوال شخصیة شهروندان ایرانی و اتباع خارجی؛ پ) امور مربوط به مهاجرت و سفرهای برونمرزی، مانند گذرنامه و روادید؛ ت) امور مربوط به اسناد و اوراق قضایی؛ ث) امور مربوط به سلامت، بهداشت، درمان و تأمین اجتماعی شهروندان؛ ج) امور مربوط به ثبت و تأسیس مؤسسات خصوصی؛ چ) امور مربوط به اسناد الکترونیکی واجد ارزش پول و اوراق بهادار بانکی؛ ح) معاملات منقولی که ارزش آنها بیش از یک میلیارد ریال است. تبصره ـ میزان ارزش معاملات منقول مندرج در بند «ج» براساس نرخ تورم رسمی و حسب اعلام بانک مرکزی هر سه سال یک بار به پیشنهاد وزارت و تصویب هیأت وزیران قابل تعدیل است. ماده ٤٥. اشخاص حق دارند از کنشگر یا مخاطب تراکنش بخواهند شناسة الکترونیکی ایمن را بکار برد، مگر اینکه امکان بکارگیری آن فراهم نباشد که در این صورت حق ندارند به صرف بکارگیری شناسة عادی از سوی کنشگر یا مخاطب تراکنش اعتبار آن را رد کنند. اثبات اعتبار تراکنش دارای شناسة عادی به عهدة بکارگیرندة آن خواهد بود. ماده ٤٦. نسبت به تراکنشهای دارای شناسة الکترونیکی مطمئن ادعای انکار و تردید مسموع نیست و تنها امکان طرح دعوای جعل امکانپذیر است. ماده ٤٧. در موارد زیر از شناسة الکترونیکی لغو اعتبار میگردد: الف) به موجب دستور مقام صلاحیتدار قضایی؛ ب) فوت یا انحلال شخص حقیقی یا حقوقی یا ازکارافتادن سامانة دارندة شناسة الکترونیکی؛ پ) پایان مدت اعتبار شناسة الکترونیکی؛ ت) درخواست دارندة شناسة الکترونیکی. تبصره ـ در جایی که اعتبار شناسة الکترونیکی به دلیل کارآیی فنی پایان مییابد، ارائهدهنده موظف است دارندة شناسه را آگاه و در صورت رضایت وی شناسة معتبر دیگری را جایگزین آن کند. ماده ٤٨. هرگاه ارائهدهندة شناسة الکترونیکی به موجب حکم صادره از سوی مراجع صلاحیتدار یا دلایل دیگر امکان ادامة فعالیت و ارائة خدمات به کاربران خود را نداشته باشد، موظف است با هماهنگی وزارت نسبت به جایگزینی ارائهدهندة خدمات دیگر اقدام کند. گفتار سوم: مراجع تعیین و تأیید اعتبار تراکنش ماده ٤٩. وزارت مرجع تعیین اعتبار تراکنشهای الکترونیکی است. اشخاص حقوقی که از وزارت پروانة خدمات شناسههای الکترونیکی را دریافت کردهاند، مراجع تأیید اعتبار تراکنشهای الکترونیکی شناخته میشوند. ماده ٥٠. وظایف وزارت برای اجرای این قانون عبارتند از: الف) بررسی صلاحیت و اعطای پروانة فعالیت به ارائهدهندگان شناسههای الکترونیکی؛ ب) تدوین و پیشنهاد آییننامههای مقرر در این قانون جهت تصویب نزد مراجع صلاحیتدار؛ پ) انجام نظارتهای کارآمد و اثربخش بر نحوة فعالیت ارائهدهندگان شناسههای الکترونیکی، بویژه رعایت تعهدات کمی و کیفی آنها در ارائة خدمات و اعمال ضمانت اجراهای راجع به تخلفات ارتکابیافته از سوی آنها برپایة آییننامة مصوب شورا و معرفی مؤسسات عمومی متخلف به مراجع صلاحیتدار رسیدگیکننده به تخلفات اداری؛ ت) استانداردگزینی فنی ـ اجرایی برای امور مربوط به شناسههای الکترونیکی به تفکیک سطوح مطمئن، ایمن و عادی؛ ث) تعامل با نهادها و مراجع معتبر فراملی دربارة امور مرتبط با این قانون؛ ج) هدایت و حمایت از پژوهشهای علمی و کاربردی مرتبط با این قانون؛ چ) تعامل با دستگاههای اجرایی دستاندرکار و ذیربط به منظور اجرای شایستة مقررات این قانون؛ ح) رسیدگی به گزارشها و شکایات ذینفعان شناسههای الکترونیکی دربارة موارد نقض مقررات این قانون؛ خ) همکاری با مراجع صلاحیتدار دادگستری در خصوص رسیدگی به پروندههای مرتبط با این قانون؛ د) فراهمآوردن زیرساختها، سازهها و سامانههای سختافزاری و نرمافزاری موردنیاز برای اجرای مقررات این قانون با اولویت بهرهبرداری از توان فنی، اقتصادی و اجرایی بخش غیردولتی؛ ذ) تدوین و ابلاغ منشور اخلاقی و کدهای رفتاری برای ارائهدهندگان خدمات، کاربران و ناظران تراکنشهای الکترونیکی؛ ر) اجرای طرح ملی بیمة تراکنشهای الکترونیکی. ماده ٥١. آن دسته از دستگاههای اجرایی که تاکنون در زمینة تعیین و تأیید اعتبار شناسههای الکترونیکی فعالیت داشتهاند، مانند امضای الکترونیکی، امضای دیجیتالی و زیستسنجها، موظفند برپایة سیاستهای مصوب شورا و هماهنگی با سازمان، نسبت به یکپارچهسازی و سازگاری زیرساختها، سازهها و سامانههای سختافزاری و نرمافزاری یکدیگر اقدام نمایند. ماده ٥٢. مجوزهای ارائة شناسههای الکترونیکی مطمئن، ایمن و عادی بطور جداگانه و پس از احراز شرایط زیر برای مؤسسات خصوصی صادر میشود: الف) صلاحیت امنیتی پس از استعلام از سوی مراجع صلاحیتدار؛ ب) صلاحیت فنی، از قبیل برخورداری از زیرساختها، سازهها و سامانههای سختافزاری و نرمافزاری موردنیاز برپایة سطح و گسترة فعالیت؛ پ) توانایی اداری ـ اجرایی به منظور پشتیبانی کاربران برپایة سطح و گسترة فعالیت؛ و ت) تابعیت ایرانی. ماده ٥٣. ارائة شناسههای الکترونیکی از سوی مؤسسات عمومی منوط به داشتن شرایط برشمرده برای مؤسسات خصوصی موضوع مادة فوق و اخذ پروانه از وزارت است. ماده ٥٤. آییننامة صدور پروانة خدمات شناسههای الکترونیکی ظرف سه ماه از تاریخ تصویب این قانون به پیشنهاد وزارت به تصویب شورا میرسد. بخش چهارم: استنادپذیری تراکنش¬ها گفتار یکم: مقررات عمومی ماده ٥٥. تراکنش¬هایی استنادپذیر بشمار می¬آیند که انکارناپذیری و اطمینانپذیری آنها محرز باشد. ماده ٥٦. برای احراز انکارناپذیری تراکنش باید موارد زیر به اثبات برسد: الف) اثبات هویت کنشگر، اعم از واقعی ویا ساختگی؛ و ب) انتساب تراکنش به کنشگر. ماده ٥٧. برای اثبات انتساب می¬توان به داده¬ها و اطلاعاتی استناد کرد که رابطة کنشگر با تراکنش را از لحاظ فنی به شکل متمایز اثبات می¬کند. وزارت موظف است ظرف سه ماه آییننامة داده¬ها و اطلاعات فنی قابل استناد برای اثبات انتساب تراکنش¬ها در محیط¬های قابل پردازش رایانه¬ای را به تصویب شورا برساند و همواره روزآمد نگاه دارد. ماده ٥٨. برای احراز اطمینان¬پذیری تراکنش باید ثابت شود که هرگونه پردازش آن با رعایت ضوابط قانونی، مقرراتی و قراردادی یا مبتنی بر توافق بوده و غیرمجاز سرانجام نیافته است. ماده ٥٩. ارائه یا ادای ادله قانونی، شامل اقرار، شهادت، سوگند یا اسناد رسمی بوسیلة تراکنش¬های الکترونیکی در صورتی استنادپذیر است که از شناسة الکترونیکی مطمئن برخوردار و اطمینان¬پذیری آنها نیز محرز باشد. ماده ٦٠. استنادپذیری تراکنش¬های الکترونیکی مطمئن با اتیان سوگند یا ادای اقرار یا شهادت قابل رد نیست. ماده ٦١. در صورت جمع بودن شرایط زیر، استنادپذیری تراکنش الکترونیکی مفروض انگاشته می¬شود: الف) کنشگر تراکنش هیچ سمتی در دعوا نداشته ویا ذی¬نفع آن نباشد؛ ب) کنشگر تراکنش را برپایة سازوکارها، رویه¬ها ویا فرایندهای استاندارد و متعارف پردازش کرده باشد؛ پ) تراکنش بخشی از فرایند مرسوم و پیوستة کنشگر باشد، مانند تراکنش¬هایی که در ارائة خدمات عمومی الکترونیکی به سرانجام می¬رسند؛ و ت) ظن منطقی دربارة اطمینان¬پذیری تراکنش وجود داشته باشد و در صورت کاستی یا نارسایی اجرایی ویا فنی به حیطة تراکنش موردنظر مربوط نباشد. ماده ٦٢. استناد به تراکنش الکترونیکی به عنوان دلیل مستقیم تنها در صورتی بلامانع است که از شناسة الکترونیکی مطمئن برخوردار باشد. منظور از دلیل مستقیم دلیلی است که بدون واسطه موضوع دعوا را اثبات یا رد کند. ماده ٦٣. نسخههای چاپی ارائهشده از تراکنش الکترونیکی اصل بشمار میآیند. مشروط بر آنکه نسخة الکترونیکی آنها در دسترس باشد. ماده ٦٤. هرگاه بخشی از تراکنش به صورت چاپی و بخشی دیگر به صورت الکترونیکی پردازش شده باشد، در صورتی استنادپذیر خواهد بود که یکپارچگی فرایند برپایة ضوابط اطمینانپذیری و اعتبارپذیری احراز گردد. ماده ٦٥. تراکنش الکترونیکی علیه کنشگر آن استنادپذیر است، مگر اینکه بتواند انتساب آن را انکار و اطمینان¬پذیری آن را رد کند. ماده ٦٦. ارائهدهندگان خدمات تراکنشهای الکترونیکی موظف به ارائة دادهها و اطلاعات تراکنشی مطابق ضوابط دسترسپذیری آنها و همچنین سایر اسناد و مستندات مورد نیاز مرجع رسیدگی به دعاوی مرتبط با تراکنشهای الکترونیکی هستند. این اشخاص عبارتند از: الف) ارائهدهندگان خدمات دسترسی: هر شخص حقیقی یا حقوقی که امکان ارتباط با شبکههای رایانهای را با ارائة خدماتی از قبیل تلفن همراه، تلفن ثابت و ارتباطات دادهها، خدمات عمومی انتقال دادهها از طریق خطوط کابلی (PAP)، خدمات انتقال دادهها از طریق ارتباطات ماهوارهای (SAP)، خدمات ارتباطات بیسیم مبتنی بر فناوری WiMAX، خدمات تلفن اینترنتی (VoIP) و خدمات مخابراتی ارتباطات همراه بینالمللی ماهوارهای (GMPCS) فراهم میآورد. ارائهدهندگان خدمات دسترسی حضوری (کافینتها) و مؤسسات که برای کارکنان و اعضای خود شبکة رایانهای درونسازمانی ملی یا فراملی راهاندازی میکنند، در حکم ارائهدهندة خدمات دسترسی هستند. ب) ارائهدهندگان خدمات میزبانی: اشخاصی که سامانه¬های رایانه¬ای و مخابراتی متعلق به خود یا متقاضی اینگونه خدمات را که در قلمرو حاکمیتی ایران قرار دارند، به منظور ذخیره یا پردازش محتوای رایانه¬ای، جهت انتشار، توزیع یا ارائه در شبکه¬های رایانهای ملی یا فراملی یا هر جهت دیگر مدیریت می¬کنند. آن دسته از دستگاههای اجرایی و اشخاص حقوقی خصوصی که پایگاه¬های داده درون¬سازمانی راهاندازی می¬کنند، در حکم ارائه¬دهنده خدمات میزبانی¬اند. انباشت موقت دادهها در جریان ارائه خدمات دسترسی، خدمات میزبانی به شمار نمیآید. پ) تأمینکنندگان محتوای تراکنش الکترونیکی: پدیدآورندگان و عرضهکنندگان مجاز انواع دادههای قابل استناد و نرمافزارهای رایانهای؛ ت) خدمات فناوری اطلاعات و ارتباطات: مانند خدمات مدیریت و امنیت فناوری اطلاعات؛ ث) ارائهدهندگان شناسههای الکترونیکی. گفتار دوم: مقررات اختصاصی ماده ٦٧. هرگاه به موجب شکایت کیفری، ضابطان دادگستری مسؤول گردآوری و ارائة تراکنشهای الکترونیکی به محاکم صلاحیتدار دادگستری شوند، موظف به رعایت ضوابط این قانون هستند. ماده ٦٨. مسؤولیتهای راجع به نگهداری، حفاظت فوری و ارائة دادهها و اطلاعات تراکنشی و همچنین اقداماتی که بهنگام تفتیش و توقیف دادهها و سامانههای رایانهای و مخابراتی و شنود محتوای ارتباطات رایانهای نسبت به تراکنشهای الکترونیکی به انجام میرسد، با رعایت احکام بخش دوم قانون جرایم رایانهای مصوب ١٣٨٨ خواهد بود. ماده ٦٩. کلیة اقداماتی که از سوی ضابطان دادگستری در فرایند تفتیش، توقیف، بازیابی، مستندسازی، جابهجایی، نگهداری و ارائة دادهها و تراکنشهای الکترونیکی به انجام میرسد، با رعایت احکام مربوط به اطمینانپذیری و اعتبارپذیری این قانون و به منظور تأمین زنجیرة حفاظتی، برپایة آییننامة استنادپذیری تراکنشهای الکترونیکی در دادرسی کیفری به عمل میآید که ظرف سه ماه از سوی وزارت با همکاری نیروی انتظامی جمهوری اسلامی ایران تهیه و جهت تصویب تقدیم شورا میشود. ماده ٧٠. به منظور رعایت احکام اطمینانپذیری و اعتبارپذیری نسبت به تراکنشهای الکترونیکی موضوع اقدامات ضابطان دادگستری، آییننامة موضوع مادة فوق شامل ضوابط زیر میشود: الف) احراز هویت همة مقامات تصمیمگیر و مأمورانی که در فرایند استنادپذیری به هر نحو و به هر میزان دخالت یا مشارکت داشتهاند؛ ب) نحوة دستیابی به دادهها و اطلاعات، بویژه دادهها و اطلاعاتی که مشمول ضوابط گوناگون محرمانگی میشوند؛ پ) رویهها، فرایندها و شگردها، مانند فنون تحقیقاتی ویژه که به موجب آنها اقدامات موضوع این آییننامه تعریف و اجرا میشوند، به تفکیک موقعیت شبکهای و سامانههای مستقل؛ ت) ابزارها، امکانات و سامانههای سختافزاری و نرمافزاری که در اجرای این آییننامه به کار گرفته میشوند؛ و ث) قوانین و مقرراتی که به موجب آنها اقدامات ضابطان دادگستری مجاز شمرده میشود. بخش پنجم: مسؤولیتها و ضمانت اجراها گفتار یکم: مسؤولیت مدنی و جبرانها بند یکم: صلاحیت محاکم مدنی ماده ٧١. در دعاوی مدنی راجع به تراکنشهای الکترونیکی، دادگاه محل سرانجامیافتن تراکنش صالح به رسیدگی میباشد. ماده ٧٢. هرگاه در یک دعوا چند تراکنش الکترونیکی مورد استناد قرار گرفته باشد، دادگاه محل سرانجامیافتن تراکنشی که دلیل مستقیم دعوا شناخته میشود یا دادگاه محل بیشترین تراکنشهای سرانجامیافته صالح به رسیدگی میباشد. ماده ٧٣. در صورت بروز اختلاف در صلاحیت، مطابق مقررات آیین دادرسی مدنی عمل خواهد شد. بند دوم: زیانهای مادی و معنوی ناشی از تراکنشها ماده ٧٤. زیان مادی ناشی از جرایم و تخلفات این قانون مطابق مقررات آیین دادرسی کیفری قابل مطالبه است. ماده ٧٥. در صورت اثبات ورود خسارت معنوی، دادگاه به درخواست زیاندیده علاوه بر الزام مرتکب به اعاده حیثیت، وی را با لحاظ تأثیر هتک حیثیت و جایگاه اجتماعی زیاندیده و میزان زیانهای مادی واردشده، به پرداخت ده میلیون تا یک میلیارد ریال خسارت در حق وی محکوم میکند. ماده ٧٦. در موارد زیر، چنانچه فعل زیانبار در جهت منافع و به نام اشخاص حقوقی ارتکاب یابد، شخص حقوقی نیز تضامنا مسؤول جبران خسارت خواهد بود: الف) چنانچه مدیر شخص حقوقی مرتکب فعل زیانبار شود؛ ب) چنانچه مدیر شخص حقوقی دستور یا درخواست ارتکاب فعل زیانبار را داده باشد؛ پ) هرگاه یکی از کارکنان شخص حقوقی با آگاهی مدیر یا در اثر تقصیر وی مرتکب فعل زیانبار شود. گفتار دوم: تخلفات و ضمانت اجراهای مقرراتی ماده ٧٧. تخلفات موضوع این قانون عبارتند از: الف) عدم رعایت ضوابط مربوط به دسترسپذیری و ارائة دادهها و اطلاعات تراکنشی درخواستی برخلاف ضوابط مقرر؛ ب) عدم رعایت ضوابط راجع به تأمین صحت و تمامیت و محرمانگی دادهها و اطلاعات تراکنشی؛ پ) عدم رعایت ضوابط راجع به ایجاد و واگذاری شناسههای الکترونیکی؛ ت) عدم رعایت ضوابط راجع به ثبت و روزآمدسازی اطلاعات کاربران تراکنشهای الکترونیکی؛ ث) عدم رعایت ضوابط مربوط به لغو اعتبار شناسة الکترونیکی؛ ج) عدم رعایت ضوابط مربوط به کیفیت و پشتیبانی خدمات تراکنش الکترونیکی؛ و چ) عدم رعایت ضوابط مربوط به حفظ صلاحیتهای امنیتی، فنی، اداری ـ اجرایی و تابعیت ایرانی. ماده ٧٨. چنانچه هریک از کارکنان مؤسسات عمومی مقررات این قانون را نقض کند، علاوه بر جریمة مقرر از سوی شورا، برای بار نخست به یکی از تنبیهات اداری مقرر در بندهای «ج» یا «د» ماده 9 قانون رسیدگی به تخلفات اداری مصوب 1372 و برای بار دوم به یکی از تنبیهات اداری مقرر در بندهای «هـ» تا «ز» مادة مزبور و برای بار سوم به یکی از تنبیهات مقرر در بندهای «ح» تا «ک» آن ماده محکوم خواهد شد. ماده ٧٩. هرگاه مؤسسات خصوصی برپایة شرایط برشمرده برای مسؤولیت کیفری اشخاص حقوقی، مرتکب تخلفات این قانون شوند، به ترتیب زیر به ضمانت اجراهای مقرراتی محکوم خواهند شد: الف) چنانچه ارائهدهندة خدمات تراکنش الکترونیکی باشند، برپایة ضوابط مقرر از سوی شورا به ضمانت اجراهای پروانهای شامل لغو، تعلیق و کاهش مدت اعتبار پروانه، جریمة نقدی، ممنوعالخروج شدن مدیران مؤسسه، محرومیت از تمدید اعتبار پروانه ویا اخذ سایر پروانههای خدمات تراکنشهای الکترونیکی محکوم خواهد شد. ب) چنانچه ارائهدهندة خدمات تراکنش الکترونیکی نباشند، در صورتی که از سوی یک دستگاه اجرایی پروانة فعالیت اخذ کرده باشند، مشمول ضمانت اجراهای مقرر در بند فوق میشوند و در غیر این صورت، به دستور دادگاه صلاحیتدار به انحلال مؤسسه، تعلیق فعالیت، جریمة نقدی و محرومیت از فعالیت در حیطة موردنظر محکوم خواهند شد. تبصره ـ درخصوص مؤسسات مشمول بند «ب» این ماده، وزارت میتواند به نمایندگی از شاکیان حقیقی و حقوقی، نزد مراجع صلاحیتدار اقامة دعوا کند. ماده ٨٠. هرگاه اشخاص حقیقی تخلفات موضوع این قانون را نسبت به تراکنشهای در اختیار خود مرتکب شوند، برپایة ضوابط مقرر از سوی شورا، به محرومیت از ارائه ویا کاربری خدمات تراکنش الکترونیکی ویا خدمات عمومی الکترونیکی محکوم میشوند. ماده ٨١. وزارت موظف است ظرف سه ماه فهرست تفصیلی تخلفات این قانون را به تفکیک حوزههای برشمرده در ماده (٧٧) و ضمانت اجراهای مقرراتی آنها را به موجب پیشنویس آییننامة تخلفات و ضمانت اجراهای مقرراتی تراکنشهای الکترونیکی جهت تصویب تقدیم شورا کند. ماده ٨٢. به هنگام تعریف، تخصیص و تعیین ضمانت اجراهای مقرراتی برای هریک از کارکنان مؤسسات عمومی، مؤسسات خصوصی و اشخاص حقیقی متخلف، رعایت معیارهای بازدارندگی، اثربخشی و تناسب ضمانت اجراها با تخلفات الزامی است و در این خصوص شاخصهایی چون شدت و گستردگی زیانهای مادی ویا معنوی، هویت زیاندیده یا زیاندیدگان، انگیزة متخلف، شیوة ارتکاب تخلف، مانند سازمانیافتگی مرتکبان و دستاوردهای بالقوه ویا بالفعل ناروای ناشی از ارتکاب تخلف مدنظر قرار خواهد گرفت. گفتار سوم: مسؤولیت کیفری و ضمانت اجراها بند یکم: صلاحیت محاکم کیفری ماده ٨٣. هرگاه همه یا بخشی از تراکنش الکترونیکی مجرمانه بر روی سامانة رایانهای واقع در قلمرو حاکمیتی ایران پردازش شده باشد، در حکم جرم رایانهای واقع شده در ایران است. تبصره ـ منظور از تراکنش الکترونیکی مجرمانه تراکنشی است که به وسیلة آن یک جرم رایانهای ارتکاب مییابد یا آماج یک جرم رایانهای قرار میگیرد. ماده ٨٤. چنانچه محتوای تراکنش مجرمانه بوسیلة تارنمای دارای دامنة مرتبه بالای کد کشوری ایران (.ir) توزیع یا منتشر شود یا به هر نحو دردسترس قرار گیرد، در حکم جرم واقعشده در ایران است. تبصره ـ دامنههای مرتبهبالای کد کشوری ایران، اعم از سطح یک مانند iran.ir یا سطح دو iran.ac.ir یا معادل فارسی آنها، یعنی «.ایران» مشمول این ماده میشوند. ماده ٨٥. در صورتی میتوان مرتکب تراکنش الکترونیکی مجرمانه را تحت پیگرد قرار داد که در ایران حضور داشته باشد یا به ایران مسترد گردد. ماده ٨٦. در موارد زیر، مقام صلاحیتدار قضایی با رعایت مقررات قانونی شروع به تحقیق میکند: الف) محتوای تراکنش مجرمانه در سامانة رایانهای واقع در حوزة قضایی محل مأموریت وی ذخیره شده باشد؛ ب) محتوای
نظری ارسال نشده است