داودآبادی

آیین‌نامه اجرایی ماده (۳۲) قانون تجارت الکترونیکی مصوب ۱۳۸۶/۰۶/۱۱

جستجو در این قانون
ماده ۱

در این آیین‌نامه، اصطلاحات زیر در معانى مشروح مربوط به کار مى‌روند:
الف‌- قانون:قانون تجارت الکترونیکى‌مصوب ۱۳۸۲.
ب‌- شورا: شوراى سیاست‌گذارى گواهى الکترونیکى،موضوع ماده(۲)این آیین‌نامه.
پ‌- مرکز ریشه: مرکز صدور گواهى الکترونیکى ریشه،موضوع بند(الف)ماده(۴)این آیین‌نامه.
ت‌- مرکز میانى: مرکز صدور گواهى الکترونیکى میانى،موضوع بند(ب)ماده(۴)این آیین‌نامه است.
ث‌- دفاتر ثبت‌نام: دفتر ثبت‌نام گواهى الکترونیکى،موضوع بند(پ)ماده(۴)این آیین‌نامه.
ج‌- گواهى الکترونیکى: داده الکترونیکى حاوى اطلاعاتى در مورد مرکز صادرکننده گواهى، مالک گواهى،تاریخ صدور و انقضا،کلید عمومى مالک و یک شماره سریال که توسط مرکز میانى تولیدشده به گونه‌اى که هر شخصى مى‌تواند به صحت ارتباط بین کلید عمومى و مالک آن اعتماد کند.
چ‌- داده ایجاد امضاى الکترونیکى: داده‌اى انحصارى نظیر رمز یا کلید خصوصى که امضا کننده براى ایجاد امضاى الکترونیکى از آن استفاده مى‌کند.
ح‌- داده وارسى امضاى الکترونیکى: داده‌اى نظیر رمز یا کلید عمومى که براى بررسى و صحت امضاى الکترونیکى مورد استفاده قرار مى‌گیرد.
خ‌- زوج کلید یا داده‌هاى ایجاد و وارسى امضاى الکترونیکى: کلید خصوصى و کلید عمومى مرتبط با آن در یک رمزنگارى نامتقارن.
د- طرف اعتمادکننده: شخصى است که به اعتبار اطلاعات گواهى الکترونیکى اعتماد مى‌کند.
ذ- مهر زمانى: اعلامیه‌اى شامل یک امضاى الکترونیکى که به وسیله مرکز میانى صادر شده و تأیید مى‌کند که داده پیام معین در موقع خاصى به او ارایه شده است.
ر- مخزن: یک پایگاه داده ذخیره و انتشار گواهیهاى الکترونیکى و اطلاعات مربوط به آنها جهت بهره‌بردارى طرفهاى اعتمادکننده است.
ز- تجهیزات ایجاد و وارسى امضاى الکترونیکى: نرم‌افزار و یا سخت‌افزارى که به منظور اجراى داده‌هاى مربوط به ایجاد و وارسى امضاى الکترونیکى استفاده مى‌شود.
ژ- سیاستهاى گواهى: مجموعه سیاستهاى گواهى الکترونیکى مشتمل بر سیاستها،قوانین، مقررات و روشهاى فنى،حقوقى و ساختارى که مطابق با استانداردهاى بین المللى تدوین شده و حداقل خواسته‌ها و الزامات پیاده‌سازى مراکز صدور گواهى،دفاتر ثبت‌نام،صاحبان امضا و طرفهاى اعتمادکننده را مشخص مى‌کند.تدوین این سیاستهاى گواهى براى مرکز ریشه الزامى است و مى‌تواند براى مرکز میانى به طور جداگانه تنظیم گردد.
س‌- دستورالعمل گواهى: مجموعه دستورالعملهایى که منطبق با سیاستهاى گواهى جهت تشریح جزئیات عملکرد مدیریت گواهیهاى الکترونیکى در مرکز ریشه و مراکز میانى تدوین مى‌گردد.
ش‌- زیرساخت کلید عمومى: مجموعه‌اى از نرم‌افزارها،سخت‌افزارها،سیاستها،فرآیندها و روالهاى مورد نیاز براى مدیریت گواهیها و زوج کلیدها.

ماده ۲

به منظور حفظ یکپارچگى و سیاستگذارى در حوزه زیرساخت کلید عمومى کشور شوراى سیاستگذارى گواهى الکترونیکى مرکب از اعضاى زیر تشکیل مى‌شود:
الف‌- وزیر بازرگانى یا معاون ذى ربط وى(رییس).
ب‌- معاون ذى ربط وزیر دادگسترى.
پ‌- معاون ذى ربط وزیر اطلاعات.
ت‌- معاون ذى ربط وزیر ارتباطات و فناورى اطلاعات.
ث‌- معاون ذى ربط وزیر امور اقتصادى و دارایى.
ج‌- معاون ذى ربط وزیر بهداشت،درمان و آموزش پزشکى.
چ‌- معاون ذى ربط معاونت برنامه‌ریزى و نظارت راهبردى رییس‌جمهور.
ح‌- معاون ذى ربط رییس کل بانک مرکزى جمهورى اسلامى ایران.
خ‌- رییس اتاق بازرگانى و صنایع و معادن ایران.
د- رییس سازمان ثبت اسناد و املاک کشور.
ذ- رییس سازمان نظام صنفى رایانه‌اى.
ر- دبیر شوراى عالى انفورماتیک.
ز- دبیر شوراى عالى فناورى اطلاعات.
ژ- رییس مرکز توسعه تجارت الکترونیکى وزارت بازرگانى به عنوان دبیر شورا (بدون حق رأى).
س‌- یک تا سه نفر مشاور خبره با پیشنهاد رییس و تأیید اکثریت سایر اعضاى شورا.

ماده ۳

وظایف شورا به شرح زیر تعیین مى‌شود:
الف‌- بررسى سیاستهاى کلان و برنامه‌هاى مربوط به حوزه زیرساخت کلید عمومى کشور و ارایه آن به شوراى عالى فناورى اطلاعات کشور جهت تصویب.
ب‌- صدور مجوز ایجاد مرکز ریشه.
پ‌- تصویب و به روزرسانى سیاستها و دستورالعمل گواهى مراکز ریشه و میانى.
ت‌- تصویب استانداردها،رویه‌ها و دستورالعملهاى اجرایى گواهى الکترونیکى.
ث‌- ایفاى نقش به عنوان مرجع هماهنگ‌کننده در مورد فعالیت حوزه‌هاى گوناگون اجرایى براى ارایه خدمات رایانه‌اى صدور گواهى مبتنى بر زیرساخت کلید عمومى و نحوه تعامل مراکز صدور گواهى داخلى با مرکز صدور گواهى خارجى و هرگونه تفسیر یا کاربردپذیرى مفاد سیاستهاى گواهى ریشه و میانى.
ج‌- نظارت عالیه و بررسى گزارش عملکرد و تخلفات احتمالى مراکز ریشه و میانى و در صورت لزوم لغو مجوز آنها.

ماده ۴

سطوح دفاتر خدمات صدور گواهى الکترونیکى موضوع ماده(۳۱)قانون به عنوان ارایه‌دهندگان خدمات گواهى الکترونیکى به شرح زیر تعیین مى‌شوند:
الف‌- مرکز دولتى صدور گواهى الکترونیکى ریشه که با کسب مجوز از شورا فعالیت مى‌نماید.
تبصره ۱- این مرکز وابسته به مرکز توسعه تجارت الکترونیکى،موضوع ماده(۸۰) قانون مى‌باشد.
تبصره ۲- سیستم بانکى مى‌تواند با اخذ مجوز شورا در حوزه نظام بانکى مرکز ریشه مستقل ایجاد نماید که در این صورت مرکز یادشده وابسته به مرکز توسعه تجارت الکترونیکى موضوع این ماده نخواهد بود.
ب‌- مرکز صدور گواهى الکترونیکى میانى که با کسب مجوز از یک مرکز ریشه،مبادرت به صدور گواهى الکترونیکى نموده و سایر خدمات مربوط به امضاى الکترونیکى را انجام مى‌دهد.
پ‌- دفتر ثبت‌نام گواهى الکترونیکى که با کسب مجوز از حداقل یک مرکز میانى نسبت به ثبت و انتقال درخواست متقاضیان در خصوص صدور و لغو گواهیها و سایر امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوى مراکز میانى که تعهد همکارى با آنها را امضا نموده است،اقدام مى‌نماید.

ماده ۵

وظایف و مسئولیتهاى مرکز ریشه به شرح زیر تعیین مى‌شوند:
الف‌- پیشنهاد سیاستها و دستورالعمل گواهى مرکز ریشه و ارایه به شورا جهت تصویب.
ب‌- اجراى سیاستها و دستورالعمل‌هاى شورا.
پ‌- بررسى و تصویب سیاستها و دستورالعمل مراکز میانى.
ت‌- بررسى و احراز شرایط لازم و صلاحیت متقاضیان ایجاد مراکز میانى و صدور مجوز براى آنها.
ث‌- حصول اطمینان از ثبت اطلاعات معتبر و مناسب در گواهیها و نگهدارى مدارک و شواهد دال بر صحت این اطلاعات.
ج‌- حصول اطمینان از عملکرد صحیح مراکز میانى.
چ‌- ابطال گواهى مراکز میانى که بر خلاف تعهداتشان عمل کرده‌اند.
ح‌- اطلاع‌رسانى به صاحبان امضا و طرفهاى اعتمادکننده در مورد هرگونه تغییر در کارکرد مرکز میانى.
خ‌- ایجاد و به روزرسانى یک مخزن بر خط و اطلاع‌رسانى خدمات آن.

ماده ۶

مرکز ریشه به محض قطع عملیات مرکز میانى و زمانى که فعالیت این مرکز به موجب حکم مراجع قضائى و یا دلیل دیگرى متوقف شود و همچنین در صورت لغو مجوز مرکز میانى باید به روش مندرج در بند(خ)ماده(۵)این آیین‌نامه و درج در روزنامه رسمى جمهورى اسلامى ایران فهرست گواهیهاى باطل شده را منتشر نماید.
تبصره- مسئولیت و نحوه پرداخت خسارت بابت ضرر و زیان ناشى از ابطال مرکز میانى به صاحبان امضاى الکترونیکى صادر شده از این مرکز و یا به دفاتر ثبت‌نام باید در دستورالعمل گواهى الکترونیکى مرکز و یا در قرارداد منعقدشده بین طرفین قید شده باشد.

ماده ۷

مراکز میانى حسب مورد توسط دستگاههاى دولتى یا بخش غیر دولتى ایجاد مى‌شوند و شرایط و ضوابط تأسیس مراکز میانى به شرح زیر تعیین مى‌شود:
الف‌-ارایه اساسنامه یا مجوز ثبت از مراجع ذى ربط
ب‌- ارایه تقاضا از طرف متقاضى
پ‌- معرفى پنج نفر داراى مدرک تحصیلى مرتبط مورد تأیید وزارتخانه‌هاى علوم،تحقیقات و فناورى و بهداشت،درمان و آموزش پزشکى با شرایط زیر:
۱- سه نفر کارشناس داراى مدرک تحصیلى دانشگاهى و ترجیحا داراى تجربه فعالیت مرتبط.
۲- دو نفر با مدرک کاردانى در رشته‌هاى مرتبط با فناورى اطلاعات و ارتباطات یا حداقل سه سال تجربه در حوزه‌هاى مرتبط با فناورى اطلاعات و ارتباطات همراه با مجوز طى دوره آموزشى از مراکز فنى و حرفه‌اى.
ت‌- تأمین مکان فیزیکى مناسب همراه با تجهیزات سخت‌افزارى و نرم‌افزارى لازم اعلام شده از سوى مرکز ریشه به نحوى که امنیت فنى و رمزنگارى را تضمین نماید و مورد تأیید بازرسان مرکز ریشه قرار گرفته باشد.
ث‌- ارایه تضمین معتبر متناسب با مبلغ تعیین شده توسط مرکز ریشه.
ج‌- تدوین سیاستها و دستورالعمل گواهى مرکز.
تبصره ۱- مراکز ریشه مکلفند ظرف دو ماه نسبت به بررسى تقاضا اقدام و نتیجه را به متقاضیان اعلام نمایند.
تبصره ۲- مراکز میانى ایجاد شده توسط سازمانهاى دولتى به صورت غیر انتفاعى فعالیت خواهند نمود.
تبصره ۳- مراکز میانى دولتى از ابتداى سال ۱۳۸۸ مجاز به ارایه خدمات گواهى الکترونیکى به بخشهاى غیر دولتى خارج از حوزه فعالیت خود نمى‌باشند.
تبصره ۴- اشخاصى که مجوز راه‌اندازى مرکز میانى را با ملاحظه شرایط این ماده اخذ مى‌نمایند مکلفند ظرف شش ماه از تاریخ صدور مجوز نسبت به تأسیس مرکز اقدام نمایند.در غیر این صورت مجوز ایشان لغوشده تلقى مى‌گردد.

ماده ۸

مراکز میانى در حین فعالیت با رعایت مفاد دستورالعمل گواهى،وظایف زیر را به عهده خواهند داشت:
الف‌- بررسى صلاحیت و صدور مجوز براى دفاتر ثبت‌نام ذى ربط.
ب‌- تضمین ارایه خدمات صدور و لغو گواهیها به صورت مطمئن.
پ‌- تضمین ارایه خدمات تأیید صحت گواهیها به صورت سریع و مطمئن.
ت‌- تضمین محرمانه بودن داده‌هاى مربوط به امضا در فرآیند ایجاد این داده‌ها براى جلوگیرى از شبیه‌سازى گواهیها.
ث‌- حصول اطمینان نسبت به موارد زیر:
۱- در لحظه صدور گواهى الکترونیکى،اطلاعات مندرج در گواهیها صحیح باشند.
۲- در هنگام صدور گواهى الکترونیکى،امضاکننده مشخص‌شده در گواهى،داده‌هاى ایجاد و وارسى امضاى الکترونیکى را دریافت نموده و داده ایجاد امضاى الکترونیکى تحت کنترل انحصارى وى باشد.
۳- کلیه اطلاعات مرتبط با گواهى الکترونیکى را تا مدت زمان تعیین‌شده در دستورالعمل گواهى به صورت الکترونیکى حفظ نماید.
۴- تاریخ و ساعت صدور و لغو یک گواهى به دقت تعیین شده و قابل تشخیص باشد.
۵- عدم کپى یا ذخیره داده ایجاد امضاى الکترونیکى متقاضیان را تضمین نماید.
۶- گواهى قابل دسترسى براى عموم نباشد،جز در مواردى که صاحبان گواهیها رضایت خود را اعلام کرده‌اند یا نوع گواهى انتشار عمومى را ایجاب نماید.
۷- در صورت امکان مرکز میانى و با دریافت درخواست دفتر ثبت‌نام،یک مهر زمانى به داده‌هاى الکترونیکى ضمیمه شود.
تبصره ۱- هر مرکز میانى موظف است فهرستى از گواهیهایى را که توسط آن مرکز صادر مى‌شود با ذکر تاریخ صدور،نام صاحب گواهى و نوع گواهى تهیه و منتشر نماید.اطلاعات مزبور باید در جایگاه اینترنتى مربوط درج گردد.
تبصره ۲- مرکز میانى بر عملکرد دفاتر ثبت‌نام طرف قرارداد خود نظارت داشته و در صورت احراز تخلف طبق ضوابط با آن برخورد کرده و در صورت لزوم با رعایت تمهیدات پیش‌بینى شده در دستورالعمل گواهى نسبت به لغو مجوز دفتر ثبت‌نام متخلف اقدام خواهد نمود.

ماده ۹

مجوز مراکز میانى به طور ادوارى،مطابق با سیاستهاى گواهى و با ملاحظه شرایط و تحولات فناوریهاى جدید و پس از احراز مجدد صلاحیت متقاضیان،توسط مرکز ریشه قابل تمدید مى‌باشد.

ماده ۱۰

مجوز مراکز میانى صرفا با تأیید مرکز ریشه با ملاحظه شرایط مقرر در این آیین‌نامه و دستورالعمل گواهى قابل واگذارى به غیر خواهد بود.

ماده ۱۱

کلیه مؤسسات اعم از دولتى یا غیر دولتى مى‌توانند در حوزه فعالیت داخلى خود بدون اخذ مجوز از مرکز ریشه مبادرت به ثبت و صدور گواهى نمایند.گواهى‌هایى که به این صورت صادر مى‌شود خارج از شمول مقررات این آیین‌نامه بوده و امضاهایى که به وسیله این گواهى‌ها تأیید مى‌شوند خارج از موضوع ماده(۱۰)قانون و صرفا قابل استفاده در همان مؤسسات خواهد بود.

ماده ۱۲

دفاتر ثبت‌نام مى‌توانند بنا به مورد توسط اشخاص حقیقى یا حقوقى اعم از دولتى یا غیر دولتى ایجاد شوند.اشخاص حقیقى و نیز صاحبان امضاى اشخاص حقوقى متقاضى دریافت مجوز راه‌اندازى دفاتر ثبت‌نام در کشور باید داراى شرایط زیر باشند:
الف‌- تابعیت جمهورى اسلامى ایران.
ب‌- تدین و عاملیت به احکام اسلام یا پیروى از ادیان به رسمیت شناخته‌شده در قانون اساسى.
پ‌- نداشتن پیشینه کیفرى.
ت‌- عدم تجاهر به فسق و داشتن صلاحیت اخلاقى و حسن سابقه.
ث‌- عدم اعتیاد به مواد مخدر.
ج‌- انجام خدمت وظیفه عمومى یا معافیت دایم.
چ‌- دارا بودن حداقل مدرک کاردانى مورد تأیید وزارتخانه‌هاى علوم،تحقیقات و فناورى و بهداشت،درمان و آموزش پزشکى.
ح‌- ارایه ضمانت معتبر.
خ‌- داشتن سابقه کار حداقل سه سال متوالى یا پنج سال متناوب مورد تأیید مرکز میانى در بخشهاى مرتبط با فناورى اطلاعات.
تبصره ۱- نوع و میزان ضمانت معتبر بر اساس دستورالعمل دفاتر صدور گواهى الکترونیکى میانى پیش‌بینى مى‌شود.
تبصره ۲- شعب بانکها به عنوان دفاتر ثبت‌نام مراکز میانى تحت نظارت مرکز ریشه نظام بانکى از شمول این ماده و ماده(۱۴)مستثنى هستند.
تبصره ۳- اشخاصى که مبادرت به اخذ مجوز راه‌اندازى دفتر ثبت‌نام با ملاحظه شرایط این ماده مى‌نمایند مکلفند ظرف چهار ماه از تاریخ صدور مجوز نسبت به تأسیس دفتر اقدام نمایند.در غیر این صورت مجوز مذکور لغوشده تلقى مى‌گردد.
تبصره ۴- متقاضى تأسیس دفتر ثبت‌نام موظف به تأمین مکان فیزیکى مناسب مطابق دستورالعمل گواهى میانى طرف قرارداد و تهیه و نصب تابلو با درج شماره مجوز دریافتى از مرکز یا مراکز میانى طرف قرارداد مى‌باشد.

ماده ۱۳

وظایف دفاتر ثبت‌نام به شرح زیر مى‌باشد:
الف‌- انجام عملیات مطابق با دستورالعمل گواهى مرکز میانى مربوط.
ب‌- احراز هویت و تصدیق مدارک ارایه شده متقاضى دریافت خدمات گواهى.
پ‌- ارسال درخواست متقاضى همراه با مدارک مربوطه به مرکز میانى مربوط.
ت‌- دریافت گواهى صادرشده از مرکز میانى مربوطه و تحویل به متقاضى.

ماده ۱۴

مجوز دفاتر ثبت‌نام حداکثر براى سه سال صادر مى‌شود.این مجوز مطابق با دستورالعمل گواهى میانى و با لحاظ شرایط و تحولات فناوریهاى نوین پس از احراز صلاحیت متقاضیان توسط مراکز میانى قابل تمدید خواهد بود.

ماده ۱۵

دفاتر ثبت‌نام موظفند هنگام ثبت‌نام متقاضى گواهى الکترونیکى،امضاى شخص را براى صحت اطلاعات ارایه‌شده(املایى و محتوایى)اخذ نموده و وى را از نحوه و شرایط دقیق استفاده از گواهیها،از جمله محدودیتهاى حاکم بر استفاده،خدمات و شیوه‌هاى طرح و پیگیرى دعوى مطابق سیاستها و دستورالعمل گواهى میانى آگاه سازند.

ماده ۱۶

حق الثبت دفاتر ثبت‌نام،بر اساس نوع گواهى و خدمات ارایه‌شده به متقاضیان با رعایت مقررات بر اساس تعرفه‌اى که بنا به پیشنهاد شورا به تصویب هیأت وزیران مى‌رسد تعیین مى‌شود.

ماده ۱۷

به منظور حفظ محرمانه بودن و غیر قابل دستیابى بودن داده‌هاى ایجاد امضاى الکترونیکى از طریق استنتاج،مراکز میانى مکلفند از تجهیزات و روشهایى استفاده کنند که داده‌هاى ایجاد امضاى الکترونیکى مورد استفاده براى امضاى الکترونیکى بیش از یکبار استفاده نشده و در مقابل هرگونه شبیه‌سازى از طریق ابزارهاى فنى محافظت و در برابر استفاده آن توسط اشخاص ثالث به نحو اطمینان‌بخشى محافظت شوند.
تبصره- این تجهیزات و روشها نباید داده‌هاى لازم براى امضا را تغییر دهد و باید تضمین نماید که این داده‌ها قبل از طى فرآیند امضا در اختیار امضاکننده قرار نگیرد.

ماده ۱۸

اعتبار و پذیرش گواهى الکترونیکى صادره از مراجع صدور گواهى خارجى، مشروط به توافق دو جانبه بین مرکز ریشه کشور و مرجع صدور گواهى کشور خارجى با رعایت اصل شرط عمل متقابل و تصویب شورا خواهد بود.

ماده ۱۹

در موارد زیر با حفظ سوابق موجود،گواهى الکترونیکى توسط مرکز میانى صادرکننده آن،ابطال مى‌شود:
الف‌- درخواست ابطال توسط صاحب گواهى الکترونیکى و یا وکیل قانونى وى.
ب‌- تخطى صاحب گواهى الکترونیکى از تعهداتش.
پ‌- احراز صدور گواهى مبتنى بر اظهارات دروغ و اشتباه متقاضى.
ت‌- مشاهده تخلف صاحب گواهى و یا دفاتر ثبت‌نام و مرکز میانى از مندرجات این آیین‌نامه.در این صورت مرکز ریشه دستور ابطال گواهى را صادر نماید.
ث‌- احراز صدور گواهى الکترونیکى که شامل اطلاعات شخص ثالث بوده و گواهى بدون رضایت وى صادر شده باشد.
ج‌- افشاى کلید خصوصى نزد سایر افراد غیر مجاز.

ماده ۲۰

تمامى دستگاههاى اجرایى مکلفند مطابق برنامه زمانبندى شده ظرف دو سال از زمان ابلاغ این آیین‌نامه فناورى امضاى الکترونیکى مطمئن را در فعالیتها و فرایندهاى الکترونیکى حوزه عملکرد خود و سازمانهاى تابعه مورد استفاده قرار دهند و گزارش عملکرد خود را هر شش(۶)ماه یکبار به کمیسیون امور اجتماعى و دولت الکترونیک ارایه نمایند.