آیین نامه اجرایی ماده (32) قانون تجارت الکترونیک مصوب 1386

هیئت‌ وزیران در جلسه مورخ ۱۱ /۶ /۱۳۸۶ بنا به پیشنهاد مشترك وزارتخانه‌ های بازرگانی، ارتباطات و فناوری اطلاعات، امور اقتصادی و دارایی و دادگستری و معاونت برنامه‌ ریزی و نظارت راهبردی رییس‌ جمهور و به استناد ماده (۳۲) قانون تجارت الكترونیكی ـ مصوب ۱۳۸۲ ـ آیین ‌نامه اجرایی ماده یاد شده را به شرح زیر تصویب نمود:

آیین ‌نامه اجرایی ماده (۳۲) قانون تجارت الكترونیكی

ماده ۱

در این آیین ‌نامه، اصطلاحات زیر در معانی مشروح مربوط به كار می ‌روند:

الف ـ قانون: قانون تجارت الكترونیكی ـ مصوب ۱۳۸۲ ـ.

ب ـ شورا: شورای سیاستگذاری گواهی الكترونیكی، موضوع ماده (۲) این آیین ‌نامه.

پ ـ مركز ریشه: مركز صدور گواهی الكترونیكی ریشه، موضوع بند (الف) ماده (4) این آیین‌ نامه.

ت ـ مركز میانی: مركز صدور گواهی الكترونیكی میانی، موضوع بند (ب) ماده (۴) این آیین‌ نامه است.

ث ـ دفاتر ثبت‌ نام: دفتر ثبت ‌نام گواهی الكترونیكی، موضوع بند (پ) ماده (۴) این آیین ‌نامه.

ج ـ گواهی الكترونیكی: داده الكترونیكی حاوی اطلاعاتی در مورد مركز صادر كننده گواهی، مالك گواهی، تاریخ صدور و انقضا، كلید عمومی مالك و یك شماره سریال كه توسط مركز میانی تولید شده به گونه‌ ای كه هر شخصی می ‌تواند به صحت ارتباط بین كلید عمومی و مالك آن اعتماد كند.

چ ـ داده ایجاد امضای الكترونیكی: داده‌ ای انحصاری نظیر رمز یا كلید خصوصی كه امضا كننده برای ایجاد امضای الكترونیكی از آن استفاده می ‌كند.

ح ـ داده وارسی امضای الكترونیكی: داده‌ ای نظیر رمز یا كلید عمومی كه برای بررسی و صحت امضای الكترونیكی مورد استفاده قرار می‌ گیرد.

خ ـ زوج كلید یا داده‌های ایجاد و وارسی امضای الكترونیكی: كلید خصوصی و كلید عمومی مرتبط با آن در یك رمزنگاری نامتقارن.

د ـ طرف اعتماد كننده: شخصی است كه به اعتبار اطلاعات گواهی الكترونیكی اعتماد می‌ كند.

ذ ـ مهر زمانی: اعلامیه‌ ای شامل یك امضای الكترونیكی كه به وسیله مركز میانی صادر شده و تأیید می ‌كند كه داده پیام معین در موقع خاصی به او ارایه شده است.

ر ـ مخزن: یك پایگاه داده ذخیره و انتشار گواهیهای الكترونیكی و اطلاعات مربوط به آنها جهت بهره‌ برداری طرفهای اعتماد كننده است.

ز ـ تجهیزات ایجاد و وارسی امضای الكترونیكی: نرم‌ افزار و یا سخت ‌افزاری كه به منظور اجرای داده ‌های مربوط به ایجاد و وارسی امضای الكترونیكی استفاده می ‌شود.

ژ ـ سیاستهای گواهی: مجموعه سیاستهای گواهی الكترونیكی مشتمل بر سیاستها، قوانین، مقررات و روشهای فنی، حقوقی و ساختاری كه مطابق با استانداردهای بین ‌المللی تدوین شده و حداقل خواسته ‌ها و الزامات پیاده ‌سازی مراكز صدور گواهی، دفاتر ثبت‌ نام، صاحبان امضا و طرفهای اعتماد كننده را مشخص می‌ كند. تدوین این سیاستهای گواهی برای مركز ریشه الزامی است و می‌ تواند برای مركز میانی به طور جداگانه تنظیم گردد.

س ـ دستور‌العمل گواهی: مجموعه دستورالعملهایی كه منطبق با سیاستهای گواهی جهت تشریح جزئیات عملكرد مدیریت گواهیهای الكترونیكی در مركز ریشه و مراكز میانی تدوین می ‌گردد.

ش ـ زیر ساخت كلید عمومی: مجموعه ‌ای از نرم ‌افزارها، سخت ‌افزارها، سیاستها، فرآیندها و روالهای مورد نیاز برای مدیریت گواهیها و زوج كلیدها.

ماده ۲ 

به منظور حفظ یكپارچگی و سیاستگذاری در حوزه زیر ساخت كلید عمومی كشور شورای سیاستگذاری گواهی الكترونیكی مركب از اعضای زیر تشكیل می‌ شود:

الف ـ وزیر بازرگانی یا معاون ذی‌ ربط وی (رییس)

ب ـ معاون ذی ‌ربط وزیر دادگستری.

پ ـ معاون ذی‌ ربط وزیر اطلاعات.

ت ـ معاون ذی‌ ربط وزیر ارتباطات و فناوری اطلاعات.

ث ـ معاون ذی ‌ربط وزیر امور اقتصادی و دارایی.

ج ـ معاون ذی ‌ربط وزیر بهداشت، درمان و آموزش پزشكی.

چ ـ معاون ذی‌ ربط معاونت برنامه‌ ریزی و نظارت راهبردی رییس ‌جمهور.

ح ـ معاون ذی ‌ربط رییس كل بانك مركزی جمهوری اسلامی ایران.

خ ـ رییس اتاق بازرگانی و صنایع و معادن ایران.

د ـ رییس سازمان ثبت اسناد و املاك كشور.

ذ ـ رییس سازمان نظام صنفی رایانه‌ ای.

ر ـ دبیر شورای‌ عالی انفورماتیك.

ز ـ دبیر شورای‌ عالی فناوری اطلاعات.

ژ ـ رییس مركز توسعه تجارت الكترونیكی وزارت بازرگانی به عنوان دبیر شورا (بدون حق رأی).

س ـ یك تا سه نفر مشاور خبره با پیشنهاد رییس و تأیید اكثریت سایر اعضای شورا.

ش – معاون ذی ربط وزیر امور خارجه

ص – معاون ذی ربط وزیر كشور

ماده ۳ 

وظایف شورا به شرح زیر تعیین می ‌شود:

الف ـ بررسی سیاستهای كلان و برنامه های مربوط به حوزه زیرساخت كلید عمومی كشور و ارایه آن به شورای‌ عالی فناوری اطلاعات كشور جهت تصویب.

ب ـ صدور مجوز ایجاد مركز ریشه.

پ ـ تصویب و به‌ روزرسانی سیاستها و دستورالعمل گواهی مراكز ریشه و میانی.

ت ـ تصویب استانداردها، رویه‌ها و دستورالعملهای اجرایی گواهی الكترونیكی.

ث ـ ایفای نقش به عنوان مرجع هماهنگ كننده در مورد فعالیت حوزه‌ های گوناگون اجرایی برای ارایه خدمات رایانه‌ای صدور گواهی مبتنی بر زیرساخت كلید عمومی و نحوه تعامل مراكز صدور گواهی داخلی با مركز صدور گواهی خارجی و هرگونه تفسیر یا كاربرد پذیری مفاد سیاستهای گواهی ریشه و میانی.

ج ـ نظارت عالیه و بررسی گزارش عملكرد و تخلفات احتمالی مراكز ریشه و میانی و در صورت لزوم لغو مجوز آنها.

ماده ۴ 

سطوح دفاتر خدمات صدور گواهی الكترونیكی موضوع ماده (۳۱) قانون به عنوان ارایه دهندگان خدمات گواهی الكترونیكی به شرح زیر تعیین می ‌شوند:

الف ـ مركز دولتی صدور گواهی الكترونیكی ریشه كه با كسب مجوز از شورا فعالیت می ‌نماید.

تبصره ۱ ـ این مركز وابسته به مركز توسعه تجارت الكترونیكی، موضوع ماده (۸۰) قانون می‌ باشد.

تبصره ۲ ـ سیستم بانكی می‌ تواند با اخذ مجوز شورا در حوزه نظام بانكی مركز ریشه مستقل ایجاد نماید كه در این صورت مركز یاد شده وابسته به مركز توسعه تجارت الكترونیكی موضوع این ماده نخواهد بود.

ب ـ مركز صدور گواهی الكترونیكی میانی كه با كسب مجوز از یك مركز ریشه، مبادرت به صدور گواهی الكترونیكی نموده و سایر خدمات مربوط به امضای الكترونیكی را انجام می ‌دهد.

پ ـ دفتر ثبت ‌نام گواهی الكترونیكی كه با كسب مجوز از حداقل یك مركز میانی نسبت به ثبت و انتقال درخواست متقاضیان در خصوص صدور و لغو گواهیها و سایر امور مربوط به آنها مطابق با ضوابط و دستورالعمل صادره از سوی مراكز میانی كه تعهد همكاری با آنها را امضا نموده است، اقدام می ‌نماید.

ماده ۵ 

وظایف و مسئولیتهای مركز ریشه به شرح زیر تعیین می‌ شوند:

الف ـ پیشنهاد سیاستها و دستورالعمل گواهی مركز ریشه و ارایه به شورا جهت تصویب.

ب ـ اجرای سیاستها و دستورالعمل های شورا.

پ ـ بررسی و تصویب سیاستها و دستورالعمل مراكز میانی.

ت ـ بررسی و احراز شرایط لازم و صلاحیت متقاضیان ایجاد مراكز میانی و صدور مجوز برای آنها.

ث ـ حصول اطمینان از ثبت اطلاعات معتبر و مناسب در گواهیها و نگهداری مدارك و شواهد دال بر صحت این اطلاعات.

ج ـ حصول اطمینان از عملكرد صحیح مراكز میانی.

چ ـ ابطال گواهی مراكز میانی كه برخلاف تعهداتشان عمل كرده‌اند.

ح ـ اطلاع ‌رسانی به صاحبان امضا و طرفهای اعتماد كننده در مورد هر گونه تغییر در كاركرد مركز میانی.

خ ـ ایجاد و به‌ روزرسانی یك مخزن بر خط و اطلاع‌ رسانی خدمات آن.

ماده ۶ 

مركز ریشه به محض قطع عملیات مركز میانی و زمانی كه فعالیت این مركز به موجب حكم مراجع قضایی و یا دلیل دیگری متوقف شود و همچنین در صورت لغو مجوز مركز میانی باید به روش مندرج در بند (خ) ماده (۵) این آیین ‌نامه و درج در روزنامه رسمی جمهوری اسلامی ایران فهرست گواهیهای باطل شده را منتشر نماید.

تبصره ـ مسئولیت و نحوه پرداخت خسارت بابت ضرر و زیان ناشی از ابطال مركز میانی به صاحبان امضای الكترونیكی صادر شده از این مركز و یا به دفاتر ثبت نام باید در دستورالعمل گواهی الكترونیكی مركز و یا در قرار‌داد منعقد شده بین طرفین قید شده باشد.

ماده ۷ 

مراكز میانی حسب مورد توسط دستگاههای دولتی یا بخش غیردولتی ایجاد می‌ شوند و شرایط و ضوابط تأسیس مراكز میانی به شرح زیر تعیین می ‌شود:
الف ـ ارایه اساسنامه یا مجوز ثبت از مراجع ذی ‌ربط.
ب ـ ارایه تقاضا از طرف متقاضی
پ ـ معرفی پنج نفر دارای مدرك تحصیلی مرتبط مورد تأیید وزارتخانه‌های علوم، تحقیقات و فناوری و بهداشت، درمان و آموزش پزشكی با شرایط زیر:
۱ ـ سه نفركارشناس دارای مدرك تحصیلی دانشگاهی و ترجیحاً دارای تجربه فعالیت مرتبط.
۲ ـ دو نفر با مدرك كاردانی در رشته‌ های مرتبط با فناوری اطلاعات و ارتباطات یا حداقل سه سال تجربه در حوزه‌ های مرتبط با فناوری اطلاعات و ارتباطات همراه با مجوز طی‌ دوره آموزشی از مراكز فنی و حرفه‌ ای.
ت ـ تأمین مكان فیزیكی مناسب همراه با تجهیزات سخت ‌افزاری و نرم‌ افزاری لازم اعلام شده از سوی مركز ریشه به نحوی كه امنیت فنی و رمزنگاری را تضمین نماید و مورد تأیید بازرسان مركز ریشه قرار گرفته باشد.
ث ـ ارایه تضمین معتبر متناسب با مبلغ تعیین شده توسط مركز ریشه.
ج ـ تدوین سیاستها و دستورالعمل گواهی مركز.

تبصره ۱ ـ مراكز ریشه مكلفند ظرف دو ماه نسبت به بررسی تقاضا اقدام و نتیجه را به متقاضیان اعلام نمایند.

تبصره ۲ ـ مراكز میانی ایجاد شده توسط سازمانهای دولتی به صورت غیرانتفاعی فعالیت خواهند نمود.

تبصره ۳ ـ مراكز میانی دولتی از ابتدای سال ۱۳۸۸ مجاز به ارایه خدمات گواهی الكترونیكی به بخشهای غیردولتی خارج از حوزه فعالیت خود نمی ‌باشند.

تبصره ۴ ـ اشخاصی كه مجوز راه‌ اندازی مركز میانی را با ملاحظه شرایط این ماده اخذ می‌ نمایند مكلفند ظرف شش ماه از تاریخ صدور مجوز نسبت به تأسیس مركز اقدام نمایند. در غیر این صورت مجوز ایشان لغو شده تلقی می ‌گردد.

ماده ۸ 

مراكز میانی در حین فعالیت با رعایت مفاد دستورالعمل گواهی، وظایف زیر را به عهده خواهند داشت:
الف ـ بررسی صلاحیت و صدور مجوز برای دفاتر ثبت‌ نام ذی ‌ربط.
ب ـ تضمین ارایه خدمات صدور و لغو گواهیها به صورت مطمئن.
پ ـ تضمین ارایه خدمات تأیید صحت گواهیها به صورت سریع و مطمئن.
ت ـ تضمین محرمانه بودن داده‌ های مربوط به امضا در فرآیند ایجاد این داده‌ ها برای جلوگیری از شبیه‌ سازی گواهیها.
ث ـ حصول اطمینان نسبت به موارد زیر:
۱ ـ در لحظه صدور گواهی الكترونیكی، اطلاعات مندرج در گواهیها صحیح باشند.
۲ ـ در هنگام صدور گواهی الكترونیكی، امضا كننده مشخص شده در گواهی، داده ‌های ایجاد و وارسی امضای الكترونیكی را دریافت نموده و داده ایجاد امضای الكترونیكی تحت كنترل انحصاری وی باشد.
۳ ـ كلیه اطلاعات مرتبط با گواهی الكترونیكی را تا مدت زمان تعیین شده در دستورالعمل گواهی به صورت الكترونیكی حفظ نماید.
۴ ـ تاریخ و ساعت صدور و لغو یك گواهی به دقت تعیین شده و قابل تشخیص باشد.
۵ ـ عدم كپی یا ذخیره داده ایجاد امضای الكترونیكی متقاضیان را تضمین نماید.
۶ ـ گواهی قابل دسترسی برای عموم نباشد، جز در مواردی كه صاحبان گواهیها رضایت خود را اعلام كرده‌اند یا نوع گواهی انتشار عمومی را ایجاب نماید.
۷ ـ در صورت امكان مركز میانی و با دریافت درخواست دفتر ثبت نام، یك مهر زمانی به داده‌ های الكترونیكی ضمیمه شود.

تبصره ۱ـ هر مركز میانی موظف است فهرستی از گواهیهایی را كه توسط آن مركز صادر می ‌شود با ذكر تاریخ صدور، نام صاحب گواهی و نوع گواهی تهیه و منتشر نماید. اطلاعات مزبور ‌باید در جایگاه اینترنتی مربوط درج گردد.

تبصره ۲ـ مركز میانی بر عملكرد دفاتر ثبت‌ نام طرف قرارداد خود نظارت داشته و در صورت احراز تخلف طبق ضوابط با آن برخورد كرده و در صورت لزوم با رعایت تمهیدات پیش‌ بینی شده در دستورالعمل گواهی نسبت به لغو مجوز دفتر ثبت‌ نام متخلف اقدام خواهد نمود.

ماده ۹ 

مجوز مراكز میانی به طور ادواری، مطابق با سیاستهای گواهی و با ملاحظه شرایط و تحولات فناوریهای جدید و پس از احراز مجدد صلاحیت متقاضیان، توسط مركز ریشه قابل تمدید می‌ باشد.

ماده ۱۰

مجوز مراكز میانی صرفاً با تأیید مركز ریشه با ملاحظه شرایط مقرر در این آیین‌ نامه و دستور‌العمل گواهی قابل واگذاری به غیر خواهد بود.

ماده ۱۱

كلیه مؤسسات اعم از دولتی یا غیردولتی می‌ توانند در حوزه فعالیت داخلی خود بدون اخذ مجوز از مركز ریشه مبادرت به ثبت و صدور گواهی نمایند. گواهی هایی كه به این صورت صادر می ‌شود خارج از شمول مقررات این آیین ‌نامه بوده و امضاهایی كه به وسیله این گواهی ها تأیید می‌شوند خارج از موضوع ماده (۱۰) قانون و صرفاً قابل استفاده در همان مؤسسات خواهد بود.

ماده ۱۲

دفاتر ثبت نام می ‌توانند بنا به مورد توسط اشخاص حقیقی یا حقوقی اعم از دولتی یا غیردولتی ایجاد شوند. اشخاص حقیقی و نیز صاحبان امضای اشخاص حقوقی متقاضی دریافت مجوز راه‌ اندازی دفاتر ثبت نام در كشور باید دارای شرایط زیر باشند:
الف ـ تابعیت جمهوری اسلامی ایران
ب ـ تدین و عاملیت به احكام اسلام یا پیروی از ادیان به رسمیت شناخته شده در قانون اساسی.
پ ـ ندا‌شتن پیشینه كیفری.
ت ـ عدم تجاهر به فسق و داشتن صلاحیت اخلاقی و حُسن سابقه.
ث ـ عدم اعتیاد به مواد مخدر.
ج ـ انجام خدمت وظیفه عمومی یا معافیت دایم.
چ ـ دارا بودن حداقل مدرك كاردانی مورد تأیید وزارتخانه‌های علوم، تحقیقات و فناوری و بهداشت، درمان و آموزش پزشكی.
ح ـ ارایه ضمانت معتبر.
خ ـ داشتن سابقه كار حداقل سه سال متوالی یا پنج سال متناوب مورد تأیید مركز میانی در بخشهای مرتبط با فناوری اطلاعات.

تبصره ۱ ـ نوع و میزان ضمانت معتبر بر اساس دستورالعمل دفاتر صدور گواهی الكترونیكی میانی پیش ‌بینی می‌ شود.

تبصره ۲ـ شعب بانكها به عنوان دفاتر ثبت نام مراكز میانی تحت نظارت مركز ریشه نظام بانكی از شمول این ماده و ماده (۱۴) مستثنی هستند.

تبصره ۳ ـ اشخاصی كه مبادرت به اخذ مجوز راه‌ اندازی دفتر ثبت‌ نام با ملاحظه شرایط این ماده می ‌نمایند مكلفند ظرف چهار ماه از تاریخ صدور مجوز نسبت به تأسیس دفتر اقدام نمایند. در غیر این صورت مجوز مذكور لغو شده تلقی می ‌گردد.

تبصره ۴ـ متقاضی تأسیس دفتر ثبت‌ نام موظف به تأمین مكان فیزیكی مناسب مطابق دستورالعمل گواهی میانی طرف قرارداد و تهیه و نصب تابلو با درج شماره مجوز دریافتی از مركز یا مراكز میانی طرف قرارداد می‌ باشد.

ماده ۱۳ 

وظایف دفاتر ثبت ‌نام به شرح زیر می ‌باشد:
الف ـ انجام عملیات مطابق با دستورالعمل گواهی مركز میانی مربوط.
ب ـ احراز هویت و تصدیق مدارك ارایه شده متقاضی دریافت خدمات گواهی.
پ ـ ارسال درخواست متقاضی همراه با مدارك مربوطه به مركز میانی مربوط.
ت ـ دریافت گواهی صادر شده از مركز میانی مربوطه و تحویل به متقاضی.

ماده ۱۴

مجوز دفاتر ثبت ‌نام حداكثر برای سه سال صادر می ‌شود. این مجوز مطابق با دستورالعمل گواهی میانی و با لحاظ شرایط و تحولات فناوریهای نوین پس از احراز صلاحیت متقاضیان توسط مراكز میانی قابل تمدید خواهد بود.

ماده ۱۵ 

دفاتر ثبت‌ نام موظفند هنگام ثبت نام متقاضی گواهی الكترونیكی، امضای شخص را برای صحت اطلاعات ارایه شده (املایی و محتوایی) اخذ نموده و وی را از نحوه و شرایط دقیق استفاده از گواهیها، از جمله محدودیتهای حاكم بر استفاده، خدمات و شیوه‌ های طرح و پیگیری دعوی مطابق سیاستها و دستورالعمل گواهی میانی آگاه سازند.

ماده ۱۶ 

حق ‌الثبت دفاتر ثبت‌ نام، بر اساس نوع گواهی و خدمات ارایه شده به متقاضیان با رعایت مقررات بر اساس تعرفه ‌ای كه بنا به پیشنهاد شورا به تصویب هیئت‌ وزیران می‌ رسد تعیین می ‌شود.

ماده ۱۷ 

به منظور حفظ محرمانه بودن و غیرقابل دستیابی بودن داده‌ های ایجاد امضای الكترونیكی از طریق استنتاج، مراكز میانی مكلفند از تجهیزات و روشهایی استفاده كنند كه داده‌ های ایجاد امضای الكترونیكی مورد استفاده برای امضای الكترونیكی بیش از یكبار استفاده نشده و در مقابل هر ‌گونه شبیه ‌سازی از طریق ابزارهای فنی محافظت و در برابر استفاده آن توسط اشخاص ثالث به نحو اطمینان بخشی محافظت شوند.

تبصره ـ این تجهیزات و روشها نباید داده ‌های لازم برای امضا را تغییر دهد و باید تضمین نماید كه این داده‌ ها قبل از طی فرآیند امضا در اختیار امضا كننده قرار نگیرد.

ماده ۱۸

اعتبار و پذیرش گواهی الكترونیكی صادره از مراجع صدور گواهی خارجی، مشروط به توافق دو جانبه بین مركز ریشه كشور و مرجع صدور گواهی كشور خارجی با رعایت اصل شرط عمل متقابل و تصویب شورا خواهد بود.

ماده ۱۹ 

در موارد زیر با حفظ سوابق موجود، گواهی الكترونیكی توسط مركز میانی صادر كننده آن، ابطال می ‌شود:
الف ـ درخواست ابطال توسط صاحب گواهی الكترونیكی و یا وكیل قانونی وی.
ب ـ تخطی صاحب گواهی الكترونیكی از تعهداتش.
پ ـ احراز صدور گواهی مبتنی بر اظهارات دروغ و اشتباه متقاضی.
ت ـ مشاهده تخلف صاحب گواهی و یا دفاتر ثبت نام و مركز میانی از مندرجات این آیین‌ نامه. در این صورت مركز ریشه دستور ابطال گواهی را صادر نماید.
ث ـ احراز صدور گواهی الكترونیكی كه شامل اطلاعات شخص ثالث بوده و گواهی بدون رضایت وی صادر شده باشد.
ج ـ افشای كلید خصوصی نزد سایر افراد غیر مجاز.

ماده ۲۰ 

تمامی دستگاههای اجرایی مكلفند مطابق برنامه زمانبندی شده ظرف دو سال از زمان ابلاغ این آیین‌ نامه فناوری امضای الكترونیكی مطمئن را در فعالیتها و فرایندهای الكترونیكی حوزه عملكرد خود و سازمانهای تابعه مورد استفاده قرار دهند و گزارش عملكرد خود را هر شش (۶) ماه یكبار به كمیسیون امور اجتماعی و دولت الكترونیك ارایه نمایند.

معاون اول رئیس جمهور – پرویز داودی