نوع قانون تصويبنامه
محل صدور هيئت وزيران
تاريخ 1386/06/21
شماره قانون 98986/?31819??
عنوان قانون تصویب آئین‌نامه اجرایی ماده (32) قانون تجارت الکترونیکی در دولت مصوب 1382
متن کامل قانون:
هیئت وزیران در جلسه مورخ 21/6/1386 بنا به پیشنهاد مشترک وزارتخانه‌های ‏بازرگانی، ارتباطات و فناوری اطلاعات، امور اقتصادی و دارایی و دادگستری و معاونت ‏برنامه‌ریزی و نظارت راهبردی رئیس جمهوری و به استناد ماده (32) قانون تجارت الکترونیکی ‏ـ مصوب1382ـ آئین‌نامه اجرایی ماده یادشده را تصویب کرد. ‏
آيين نامه اجرايي ماده (32) قانون تجارت الكترونيكي – مصوب 1382 –
ماده 1- در اين آيين نامه ، اصطلاحات زير در معاني مشروح مربوط به كار مي روند:
الف – قانون : قانون تجارت الكترونيكي – مصوب 1382 –
ب – شورا : شوراي سياست گذاري گواهي الكترونيكي ، موضوع ماده (2) اين آيين نامه.
پ – مركز ريشه : مركز صدور گواهي الكترونيكي ريشه ،‌موضوع بند (الف ) ماده (4) اين آيين نامه .
ت- مركز مياني : مركز صدور گواهي الكترونيكي مياني ، موضوع بند (الف ) ماده (4) اين آيين نامه است.
ث- دفاتر ثبت نام : دفتر ثبت گواهي الكترونيكي ، موضوع بند(پ) ماده (4) اين آيين نامه .
ج- گواهي الكترنيكي : داده الكترونيكي حاوي اطلاعاتي در مورد مركز صادر كننده گواهي ، مالك گواهي ،‌تاريخ صدور و انقضا ، كليد عمومي مالك و يك شماره سريال كه توسط مركز مياني توليد شده به گونه اي كه هر شخصي مي تواند به صحت ارتباط بين كليد عمومي و مالك آن اعتماد كند.
چ-داده ايجاد امضاي الكترونيكي : داده اي انحصاري نظير رمز يا كليد خصوصي كه امضا كنننده براي ايجاد امضاي الكترونيكي از آن استفاده مي كند.
ح- داده وارسي امضاي الكترونيكي : داده اي نظير رمز يا كليد عمومي كه براي بررسي و صحت امضاي الكترونيكي مورد استفاده قرار مي گيرد.
خ- زوج كليد يا داده هاي ايجاد و وارسي امضاي الكترونيكي : كليد خصوصي و كليد عمومي مرتبط با آن در يك رمز نگاري نامتقارن.
د- طرف اعتماد كننده: شخصي است كه به اعتبار اطلاعات گواهي الكترونيكي اعتماد مي كند.
ذ- مهر زماني: اعلاميه اي شامل يك امضاي الكترونيكي كه به وسيله مركز مياني صادر شدهو تاييد مي كند كه داده پيام معين در موقع خاصي به او ارايه شده است.
ر- مخزن : يك پايگاه داده ذخيره و انتشار گواهيهاي الكترونيكي و اطلاعات مربوط به آنها جهت بهره برداري طرفهاي اعتماد كننده است.
ز-تجهيزات ايجاد و وارسي امضاي الكترونيكي : نرم افزار و يا سخت افزاري كه به منظوراجراي داده هاي مربوط به ايجاد و وارسي امضاي الكترونيكي استفاده مي شود.
ژ-سياستهاي گواهي: مجموعه سياستهاي گواهي الكترونيكي مشتمل بر سياستها، قوانين، مقررات و روشهاي فني ، حقوقي و ساحتاري كه مطابق با استاندارد هاي بين المللي تدوين شده و حداقل خواسته هاو الزامات پياده سازي مراكز صدور گواهي ، دفاتر ثبت نام ، صاحبان امضا و طرفهاي اعتماد كننده را مشخص مي كند . تدوين اين سياستهاي گواهي براي مركز ريشه الزامي است و مي تواندبراي مركز مياني به طور جداگانه تنطيم گردد.
س- دستور العمل گواهي : مجموعه دستورالعملهايي كه منطبق با سياستهاي گواهي جهت تشريح جزئيات عملكرد مديريت گواهيهاي الكترونيكي در مركزريشه و مراكز مياني تدوين مي گردد.
ش- زير ساخت كليد عمومي : مجموعه اي از نرم افزارها ، سخت افزار ها ، سياستها ، فرآيندها و روالهاي مورد نياز براي مديريت گواهيها و زوج كليد ها.
ماده 2- به منظور حفظ یکپارچگی و سیاستگذاری در حوزه زیرساخت کلید عمومی ‏کشور، شورای سیاستگذاری گواهی الکترونیکی مرکب از وزیر بازرگانی یا معاون ذی‌ربط وی، معاونان ذی‌ربط وزرای دادگستری، اطلاعات، ارتباطات و فناوری اطلاعات، امور اقتصادی و دارایی، بهداشت، درمان و آموزش پزشکی، بانک مرکزی و معاونت برنامه‌ریزی و نظارت راهبردی رییس جمهور تشکیل می شود ضمن اینکه رییس اتاق بازرگانی و صنایع و معادن ایران، رییس سازمان ثبت اسناد و املاک کشور، رییس سازمان نظام صنفی رایانه‌ای، دبیر شورای‌عالی انفورماتیک، دبیر شورای عالی فناوری اطلاعات حضور دارند.
رییس مرکز توسعه تجارت الکترونیکی وزارت بازرگانی به عنوان دبیر شورا خواهد بود و یک تا سه نفر مشاور خبره با پیشنهاد رییس و تأیید اکثریت سایر اعضای شورا نیز انتخاب خواهند شد.‏
ماده 3- در شرح وظایف شورا، بررسی سیاست‌های کلان و برنامه‌های مربوط به حوزه زیرساخت کلید عمومی ‏کشور و ارایه آن به شورای‌عالی فناوری اطلاعات کشور جهت تصویب، صدور مجوز ایجاد مرکز ریشه، تصویب و به‌روزرسانی سیاستها و دستورالعمل گواهی مراکز ریشه و میانی، تصویب استانداردها، رویه‌ها و دستورالعمل‌های اجرایی گواهی الکترونیکی نیز دیده شده است.
همچنین این شورا باید به عنوان مرجع هماهنگ‌کننده در مورد فعالیت حوزه‌های گوناگون ‏اجرایی برای ارایه خدمات رایانه‌ای صدور گواهی مبتنی بر زیرساخت کلید عمومی و ‏نحوه تعامل مراکز صدور گواهی داخلی با مرکز صدور گواهی خارجی و هرگونه تفسیر یا ‏کاربردپذیری مفاد سیاستهای گواهی ریشه و میانی ایفای نقش کرده و نظارت عالیه و بررسی گزارش عملکرد و تخلفات احتمالی مراکز ریشه و میانی و ‏در صورت لزوم لغو مجوز آنها را بعهده گیرد.
ماده 4- سطوح دفاتر خدمات صدور گواهی الکترونیکی موضوع ماده (31) قانون ‏به عنوان ارایه دهندگان خدمات گواهی الکترونیکی به نحوی تعیین می‌شوند که مرکز دولتی صدور گواهی الکترونیکی ریشه که با کسب مجوز از شورا فعالیت ‏نماید تبصره 1 : که در حقیقت این مرکز وابسته به مرکز توسعه تجارت الکترونیکی، موضوع ماده (80) ‏قانون است.
تبصره 2: سیستم بانکی می‌تواند با اخذ مجوز شورا در حوزه نظام بانکی مرکز ریشه ‏مستقل ایجاد نماید که در این صورت مرکز یادشده وابسته به مرکز توسعه تجارت الکترونیکی ‏موضوع این ماده نخواهد بود.‏
این درحالی است که مرکز صدور گواهی الکترونیکی میانی که با کسب مجوز از یک مرکز ریشه، ‏مبادرت به صدور گواهی الکترونیکی نموده و سایر خدمات مربوط به امضای الکترونیکی را ‏انجام می‌دهد. ‏
دفتر ثبت‌نام گواهی الکترونیکی که با کسب مجوز از حداقل یک مرکز میانی ‏نسبت به ثبت و انتقال درخواست متقاضیان درخصوص صدور و لغو گواهیها و سایر امور ‏مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوی مراکز میانی که تعهد همکاری ‏با آنها را امضا نموده است، اقدام می‌نماید. ‏
ماده 5 - وظایف و مسئولیتهای مرکز ریشه به نحوی تعیین می شود که پیشنهاد سیاستها و دستورالعمل گواهی مرکز ریشه و ارایه به شورا جهت تصویب، اجرای سیاستها و دستورالعمل‌های شورا، بررسی و تصویب سیاستها و دستورالعمل مراکز میانی، بررسی و احراز شرایط لازم و صلاحیت متقاضیان ایجاد مراکز میانی و صدور ‏مجوز برای آنها، حصول اطمینان از ثبت اطلاعات معتبر و مناسب در گواهی‌ها و نگهداری مدارک ‏و شواهد دال بر صحت این اطلاعات، حصول اطمینان از عملکرد صحیح مراکز میانی،ابطال گواهی مراکز میانی که برخلاف تعهداتشان عمل کرده‌اند نیز جزو وظایف مرکز ریشه باشد.
اطلاع‌رسانی به صاحبان امضا و طرف‌های اعتماد کننده در مورد هرگونه تغییر در ‏کارکرد مرکز میانی، ایجاد و به‌روزرسانی یک مخزن بر خط و اطلاع‌رسانی خدمات آن نیز از جمله دیگر وظایف مرکز ریشه است.
ماد 6- مرکز ریشه به محض قطع عملیات مرکز میانی و زمانی که فعالیت این مرکز ‏به موجب حکم مراجع قضایی و یا دلیل دیگری متوقف شود و همچنین در صورت لغو ‏مجوز مرکز میانی باید به روش مندرج در بند (خ) ماده (5) این آیین‌نامه و درج در روزنامه ‏رسمی جمهوری اسلامی ایران فهرست گواهیهای باطل شده را منتشر نماید.‏
تبصره : مسئولیت و نحوه پرداخت خسارت بابت ضرر و زیان ناشی از ابطال ‏مرکز میـانی به صاحـبان امضای الکترونیکی صادرشده از این مرکز و یا به دفاتر ثبت ‏نام باید در دستورالعمل گواهی الکترونیکی مرکز و یا در قرارداد منعقدشده بین طرفین ‏قید شده باشد.‏
ماده 7- مراکز میانی حسب مورد توسط دستگاههای دولتی یا بخش غیردولتی ‏ایجاد می‌شوند و شرایط و ضوابط تأسیس مراکز میانی به نحوی تعیین می‌شود که ارایه اساسنامه یا مجوز ثبت از مراجع ذی ربط، ارایه تقاضا از طرف متقاضی و معرفی پنج نفر دارای مدرک تحصیلی مرتبط مورد تأیید وزارتخانه‌های علوم، ‏تحقیقات و فناوری و بهداشت، درمان و آموزش پزشکی با شرایطی نظیر
سه نفرکارشناس دارای مدرک تحصیلی دانشگاهی و ترجیحاً دارای تجربه ‏فعالیت مرتبط، دو نفر با مدرک کاردانی در رشته‌های مرتبط با فناوری اطلاعات و ارتباطات یا ‏حداقل سه سال تجربه در حوزه‌های مرتبط با فناوری اطلاعات و ارتباطات همراه با مجوز ‏طی‌ دوره آموزشی از مراکز فنی و حرفه‌ای صورت گیرد.
تأمین مکان فیزیکی مناسب همراه با تجهیزات سخت‌افزاری و نرم‌افزاری لازم ‏اعلام شده از سوی مرکز ریشه به نحوی که امنیت فنی و رمزنگاری را تضمین نماید و ‏مورد تأیید بازرسان مرکز ریشه قرار گرفته باشد ضمن اینکه تضمین معتبر متناسب با مبلغ تعیین شده توسط مرکز ریشه نیز ارائه شود.
در راستای تدوین سیاستها و دستورالعمل گواهی مرکز، مراکز ریشه مکلفند ظرف دو ماه نسبت به بررسی تقاضا اقدام و نتیجه را ‏به متقاضیان اعلام نموده و مراکز میانی ایجاد شده توسط سازمانهای دولتی نیز به صورت غیرانتفاعی ‏فعالیت نمایند.
مراکز میانی دولتی از ابتدای سال 1388 مجاز به ارایه خدمات گواهی ‏الکترونیکی به بخشهای غیردولتی خارج از حوزه فعالیت خود نیستند.
اشخاصی که مجوز راه‌اندازی مرکز میانی را با ملاحظه شرایط این ماده ‏اخذ می‌نمایند مکلفند ظرف شش ماه از تاریخ صدور مجوز نسبت به تأسیس مرکز اقدام ‏نمایند. در غیر این صورت مجوز ایشان لغو شده تلقی می‌گردد. ‏
ماده 8- مراکز میانی در حین فعالیت با رعایت مفاد دستورالعمل گواهی، وظایفی به عهده دارند به نحوی که بررسی صلاحیت و صدور مجوز برای دفاتر ثبت‌نام ذی‌ربط، تضمین ارایه خدمات صدور و لغو گواهیها به صورت مطمئن، تضمین ارایه خدمات تأیید صحت گواهیها به صورت سریع و مطمئن، تضمین محرمانه بودن داده‌های مربوط به امضا در فرآیند ایجاد این داده‌ها برای ‏جلوگیری از شبیه‌سازی گواهیها به عهده آنها است.
حصول اطمینان نسبت به مواردی صورت می گیرد که در لحظه صدور گواهی الکترونیکی، اطلاعات مندرج در گواهیها صحیح باشند، در هنگام صدور گواهی الکترونیکی، امضاکننده مشخص‌شده در گواهی، داده‌های ‏ایجاد و وارسی امضای الکترونیکی را دریافت نموده و داده ایجاد امضای الکترونیکی تحت ‏کنترل انحصاری وی باشد. ‏
کلیه اطلاعات مرتبط با گواهی الکترونیکی باید تا مدت زمان تعیین‌شده در ‏دستورالعمل گواهی به صورت الکترونیکی حفظ شود ضمن اینکه تاریخ و ساعت صدور و لغو یک گواهی به دقت تعیین شده و قابل تشخیص باشد. این درحالی است که عدم کپی یا ذخیره داده ایجاد امضای الکترونیکی متقاضیان باید تضمین شود. ‏
گواهی نباید قابل دسترسی برای عموم باشد، جز در مواردی که صاحبان گواهیها ‏رضایت خود را اعلام کرده‌اند یا نوع گواهی انتشار عمومی را ایجاب نماید.‏ همچنین در صورت امکان مرکز میانی و با دریافت درخواست دفتر ثبت نام، یک مهر ‏زمانی به داده‌های الکترونیکی ضمیمه شود. ‏
تبصره 1- هر مرکز میانی موظف است فهرستی از گواهیهایی را که توسط آن مرکز ‏صادر می‌شود با ذکر تاریخ صدور، نام صاحب گواهی و نوع گواهی تهیه و منتشر نماید. ‏اطلاعات مزبور ‌باید در جایگاه اینترنتی مربوط درج گردد. ‏
تبصره 2- مرکز میانی بر عملکرد دفاتر ثبت‌ نام طرف قرارداد خود نظارت داشته و ‏در صورت احراز تخلف طبق ضوابط با آن برخورد کرده و در صورت لزوم با رعایت ‏تمهیدات پیش‌بینی شده در دستورالعمل گواهی نسبت به لغو مجوز دفتر ثبت‌ نام متخلف ‏اقدام خواهد نمود. ‏
ماده 9- مجوز مراکز میانی به طور ادواری، مطابق با سیاستهای گواهی و با ملاحظه ‏شرایط و تحولات فناوریهای جدید و پس از احراز مجدد صلاحیت متقاضیان، توسط مرکز ‏ریشه قابل تمدید می‌باشد.
ماده 10- مجوز مراکز میانی صرفاً با تأیید مرکز ریشه با ملاحظه شرایط مقرر در این ‏آیین‌نامه و دستورالعمل گواهی قابل واگذاری به غیر خواهد بود. ‏
ماده 11- کلیه مؤسسات اعم از دولتی یا غیردولتی می‌توانند در حوزه فعالیت داخلی ‏خود بدون اخذ مجوز از مرکز ریشه مبادرت به ثبت و صدور گواهی نمایند. گواهی‌هایی ‏که به این صورت صادر می‌شود خارج از شمول مقررات این آیین‌نامه بوده و امضاهایی ‏که به وسیله این گواهی‌ها تأیید می‌شوند خارج از موضوع ماده (10) قانون و صرفاً ‏قابل استفاده در همان مؤسسات خواهد بود. ‏
ماده 12- دفاتر ثبت نام می‌توانند بنا به مورد توسط اشخاص حقیقی یا حقوقی اعم ‏از دولتی یا غیردولتی ایجاد شوند. اشخاص حقیقی و نیز صاحبان امضای اشخاص حقوقی ‏متقاضی دریافت مجوز راه‌اندازی دفاتر ثبت نام در کشور باید تابعیت جمهوری اسلامی ایران بوده و تدین و عاملیت به احکام اسلام یا پیروی از ادیان به رسمیت شناخته شده در ‏قانون اساسی داشته باشد ضمن اینکه نداشتن پیشینه کیفری، عدم تجاهر به فسق و داشتن صلاحیت اخلاقی و حُسن سابقه،عدم اعتیاد به مواد مخدر، انجام خدمت وظیفه عمومی یا معافیت دایم، دارا بودن حداقل مدرک کاردانی مورد تأیید وزارتخانه‌های علوم، تحقیقات و ‏فناوری و بهداشت، درمان و آموزش پزشکی، ارایه ضمانت معتبر، داشتن سابقه کار حداقل سه سال متوالی یا پنج سال متناوب مورد تأیید مرکز ‏میانی در بخشهای مرتبط با فناوری اطلاعات نیز از دیگر شرط ها است.‏
تبصره 1- نوع و میزان ضمانت معتبر بر اساس دستورالعمل دفاتر صدور گواهی ‏الکترونیکی میانی پیش بینی می‌شود.
تبصره 2- شعب بانکها به عنوان دفاتر ثبت نام مراکز میانی تحت نظارت مرکز ریشه ‏نظام بانکی از شمول این ماده و ماده (14) مستثنی هستند ‏
تبصره 3- اشخاصی که مبادرت به اخذ مجوز راه‌اندازی دفتر ثبت نام با ملاحظه ‏شرایط این ماده می‌نمایند مکلفند ظرف چهار ماه از تاریخ صدور مجوز نسبت به تأسیس ‏دفتر اقدام نمایند. در غیر این صورت مجوز مذکور لغو شده تلقی می‌گردد. ‏
تبصره 4- متقاضی تأسیس دفتر ثبت نام موظف به تأمین مکان فیزیکی مناسب ‏مطابق دستورالعمل گواهی میانی طرف قرارداد و تهیه و نصب تابلو با درج شماره مجوز ‏دریافتی از مرکز یا مراکز میانی طرف قرارداد است.
ماده 13- دفاتر ثبت نام وظایفی نظیر انجام عملیات مطابق با دستورالعمل گواهی مرکز میانی مربوط، احراز هویت و تصدیق مدارک ارایه شده متقاضی دریافت خدمات گواهی، ارسال درخواست متقاضی همراه با مدارک مربوطه به مرکز میانی مربوط و دریافت گواهی صادر شده از مرکز میانی مربوطه و تحویل به متقاضی را بعهده دارند.
ماده 14- مجوز دفاتر ثبت نام حداکثر برای سه سال صادر می‌شود. این مجوز مطابق با ‏دستورالعمل گواهی میانی و با لحاظ شرایط و تحولات فناوریهای نوین پس از احراز ‏صلاحیت متقاضیان توسط مراکز میانی قابل تمدید خواهد بود. ‏
ماده 15- دفاتر ثبت نام موظفند هنگام ثبت نام متقاضی گواهی الکترونیکی، ‏امضای شخص را برای صحت اطلاعات ارایه شده (املایی و محتوایی) اخذ نموده و وی را ‏از نحوه و شرایط دقیق استفاده از گواهیها، از جمله محدودیتهای حاکم بر استفاده، ‏خدمات و شیوه‌های طرح و پیگیری دعوی مطابق سیاستها و دستورالعمل گواهی میانی ‏آگاه سازند. ‏
ماده 16- حق‌الثبت دفاتر ثبت نام، براساس نوع گواهی و خدمات ارایه‌شده به متقاضیان ‏با رعایت مقررات براساس تعرفه‌ای که بنا به پیشنهاد شورا به تصویب هیئت وزیران می‌رسد ‏تعیین می‌شود. ‏
ماده 17 - به منظور حفظ محرمانه بودن و غیرقابل دستیابی بودن داده‌های ایجاد ‏امضای الکترونیکی از طریق استنتاج، مراکز میانی مکلفند از تجهیزات و روشهایی استفاده ‏کنند که داده‌های ایجاد امضای الکترونیکی مورد استفاده برای امضای الکترونیکی بیش از ‏یکبار استفاده نشده و در مقابل هر گونه شبیه‌سازی از طریق ابزارهای فنی محافظت و در ‏برابر استفاده آن توسط اشخاص ثالث به نحو اطمینان بخشی محافظت شوند.‏
تبصره - این تجهیزات و روشها نباید داده‌های لازم برای امضا را تغییر دهد و باید ‏تضمین نماید که این داده‌ها قبل از طی فرآیند امضا در اختیار امضاکننده قرار نگیرد. ‏
ماده 18 - اعتبار و پذیرش گواهی الکترونیکی صادره از مراجع صدور گواهی خارجی، ‏مشروط به توافق دو جانبه بین مرکز ریشه کشور و مرجع صدور گواهی کشور خارجی با ‏رعایت اصل شرط عمل متقابل و تصویب شورا خواهد بود.‏
ماده 19 - گفتنی است در مواردی با حفظ سوابق موجود، گواهی الکترونیکی توسط مرکز میانی ‏صادرکننده آن، ابطال می‌شود که از جمله آن درخواست ابطال توسط صاحب گواهی الکترونیکی و یا وکیل قانونی وی، تخطی صاحب گواهی الکترونیکی از تعهداتش، احراز صدور گواهی مبتنی بر اظهارات دروغ و اشتباه متقاضی، مشاهده تخلف صاحب گواهی و یا دفاتر ثبت نام و مرکز میانی از مندرجات این ‏آیین‌نامه. در این صورت مرکز ریشه دستور ابطال گواهی را صادر نماید، احراز صدور گواهی الکترونیکی که شامل اطلاعات شخص ثالث بوده و گواهی ‏بدون رضایت وی صادر شده باشد و یا کلید خصوصی نزد سایر افراد غیر مجاز افشا شده باشد.
ماده 20- تمامی دستگاههای اجرایی مکلفند مطابق برنامه زمانبندی شده ظرف دو ‏سال از زمان ابلاغ این آیین‌نامه فناوری امضای الکترونیکی مطمئن را در فعالیتها و فرایندهای ‏الکترونیکی حوزه عملکرد خود و سازمانهای تابعه مورد استفاده قرار دهند و گزارش عملکرد ‏خود را هر شش (6) ماه یکبار به کمیسیون امور اجتماعی و دولت الکترونیک ارایه نمایند. ‏
پرویز داودی
معاون اول رئیس جمهور