مرجع تصویب: قوه قضائیه شماره ویژه نامه: ۷۰۳
سال هفتاد شماره ۲۰۲۱۸
آییننامه جمعآوری و استنادپذیری ادله الکترونیکی
شماره۱۰۰/۲۸۴۶۳/۹۰۰۰ ۱۳/۵/۱۳۹۳
جناب آقای سینجلی جاسبی
رئیس محترم هیأت مدیره و مدیرعامل روزنامه رسمی کشور
تصویر آییننامه شماره ۱۰۰/۲۸۱۹۹/۹۰۰۰ـ ۱۲/۵/۱۳۹۳ ریاست محترم قوه قضائیه جهت درج در روزنامه رسمی به پیوست ارسال میگردد.
مدیرکل دبیرخانه قوه قضائیه ـ محسن محدث
شماره۱۰۰/۲۸۱۹۹/۹۰۰۰ ۱۲/۵/۱۳۹۳
در اجرای ماده ۵۴ قانون جرایم رایانهای مصوب ۵/۳/۱۳۸۸ مجلس شورای اسلامی و بـنا به پیشنهاد وزیر دادگستری، آییننامه جمعآوری و استنادپذیری ادله الکترونیکی به شرح مواد آتی است:
فصل اول: تعاریف
ماده۱ـ واژهها و اصطلاحات بکار برده شده در این آییننامه در معانی زیر بکار میرود:
الف ـ ارائهدهندگان خدمات دسترسی: اشخاصی هستند که امکان ارتباط کاربران را با شبکههای رایانهای یا مخابراتی و ارتباطی داخلی یا بینالمللی یا هر شبکه مستقل دیگر فراهم میآورند از قبیل تأمینکنندگان، توزیعکنندگان، عرضهکنندگان خدمات دسترسی به شبکههای رایانهای یا مخابراتی.
ب ـ ارائهدهندگان خدمات میزبانی: اشخاصی هستند که امکان دسترسی کاربران به فضای ایجادشده توسط سامانههای رایانهای، مخابراتی و ارتباطی تحت تصرف یا کنترل خود را به کاربران واگذار میکنند تا رأساً یا توسط کاربر متقاضی، دادههای رایانهای را جهت نگهداری، انتشار، توزیع یا ارائه در شبکههای داخلی یا بینالمللی یا هر منظور دیگر ذخیره یا پردازش کنند.
ج ـ ارائه دادههای الکترونیکی: عبارت است از در اختیار قرار دادن تمام یا بخشی از دادههای حفظ یا نگهداریشده توسط ارائهدهندگان خدمات دسترسی یا میزبانی یا اشخاصی که دادهها را تحت تصرف یا کنترل دارند.
د ـ جمعآوری ادله الکترونیکی: فرآیندی است که طی آن ادله الکترونیکی به تنهایی یا به همراه سامانههای رایانهای یا مخابراتی یا حاملهای داده، نگهداری، حفظ فوری، تفتیش و توقیف و شنود میشوند.
هـ ـ زنجیره حفاظتی: مجموعه اقداماتی است که ضابط دادگستری و سایر اشخاص ذیصلاح به منظور حفظ صحت، تمامیت، اعتبار و انکارناپذیری ادله الکترونیکی با بکارگیری ابزارها و روشهای استاندارد در مراحل شناسایی، کشف، جمعآوری، مستندسازی، تجزیه و تحلیل و ارائه آنها به مرجع مربوط به اجراء درآورده و ثبت میکنند؛ به نحوی که امکان ردیابی آنها از مبدأ تا مقصد وجود داشته باشد.
و ـ شنود: عبارت است از هر گونه دستیابی به محتوای در حال انتقال ارتباطات غیرعمومی در سامانههای رایانهای یا مخابراتی یا امواج الکترومغناطیسی با استفاده از سامانهها و تجهیزات سختافزاری و نرمافزاری مربوط.
زـ مجری حفاظت: شخصی است که به نحوی دادههای رایانهای ذخیره شده را تحت تصرف یا کنترل دارد و مطابق ماده ۳۴ قانون و سایر قوانین و مقررات جهت حفاظت آنها تعیین میشود.
ح ـ متصرف قانونی: در مورد اشخاص حقیقی، شخص مالک یا شخصی است که به نحوی داده یا سامانه را به صورت مشروع در اختیار دارد یا نماینده یا ولی یا سرپرست قانونی وی. در مورد اشخاص حقوقی دولتی یا عمومی غیردولتی، بالاترین مقام آنها یا نماینده قانونی آنها طبق مقررات مربوط و در مورد سایر اشخاص حقوقی، مدیر یا نماینده قانونی آنهاست.
ط ـ قانون: منظور از قانون در این آییننامه، قانون جرایم رایانهای مصوب ۵/۳/۱۳۸۸ میباشد.
تبصره ـ سایر اصطلاحات به شرح تعریف ارائه شده در قوانین دیگر میباشد.
فصل دوم: جمعآوری ادله الکترونیکی
الف: نگهداری دادهها
ماده۲ـ ارائهدهندگان خدمات دسترسی و میزبانی موظفند از سامانههایی استفاده نمایند که قابلیت نگهداری دادههای ترافیک و اطلاعات کاربران را مطابق مواد ۳۲ و ۳۳ قانون داشته باشد.
ماده۳ـ ارائهدهندگان خدمات دسترسی موظفند سامانههای خود را به نحوی تنظیم کنند که کلیه ارتباطات رایانهای را که از طریق آنها انجام میشود ثبت کنند و کلیه دادههای ترافیک مربوط به خود و کاربران مربوط را تا شش ماه پس از ایجاد نگهداری کنند.
تبصره ـ عرضه کنندگان خدمات دسترسی حضوری اینترنت (کافینتها) موظفند مشخصات هویتی، آدرس، ساعت شروع و خاتمه کار کاربر و نشانی اینترنتی (IP) تخصیصی را در دفتر روزانه ثبت نمایند.
ماده۴ـ ارائهدهندگان خدمت دسترسی موظفند اطلاعات کاربران را حداقل ۶ ماه پس از خاتمه اشتراک یا لغو قرارداد کاربر نگهداری کنند. هویت و نشانی کاربر باید در قرارداد منعقده درج شود.
ماده۵ ـ ارائه دهندگان خدمات میزبانی داخلی و نمایندگان داخلی ارائهدهندگان خدمات میزبانی خارجی موظفند اطلاعات کاربران خود را حداقل تا شش ماه پس از خاتمه اشتراک و محتوای ذخیره شده و داده ترافیک حاصل از تغییرات ایجاد شده را حداقل تا پانزده روز نگهداری کنند. برگه اشتراک باید به نحوی تنظیم شود که هویت و نشانی آنان مشخص باشد.
تبصره۱ـ ارائهدهندگان خدمات میزبانی موظفند سامانههای رایانهای خود را به نحوی تنظیم کنند که هرگونه تغییر اعم از اصلاح یا حذف محتوا و داده ترافیک حاصل از آن را ذخیره نماید.
تبصره۲ـ اشخاصی که نسبت به انباشت یا ذخیره موقت اطلاعات در راستای ارائه خدمات دسترسی اقدام میکنند، ارائهدهنده خدمات میزبانی محسوب نمیشوند.
ماده۶ ـ ارائهدهندگان خدمات دسترسی و میزبانی و مجریان حفاظت موظفند امنیت دادههای ترافیکی و محتوای نگهداری و حفاظت شده را مطابق با ضوابط و دستورالعملهایی که به تصویب رئیس قوه قضائیه میرسد، تأمین نمایند.
ماده۷ـ دادههای محتوا و ترافیک و اطلاعات کاربران باید مطابق مقررات این آییننامه به نحوی نگهداری، حفاظت، توقیف و ارائه شود که صحت و تمامیت، محرمانگی، اعتبار و انکارناپذیری آنها محفوظ بماند.
ماده۸ ـ در مواردی که برابر قانون نگهداری و حفاظت دادهها الزامی است، نگهداری و حفاظت باید به گونهای انجام شود که مدیریت جستجو و گزارشدهی آنها امکانپذیر باشد.
ماده۹ـ وزارت ارتباطات و فنآوری اطلاعات هماهنگیهای لازم برای تنظیم زمان سامانههای جمعآوری دادههای محتوا، ترافیک و اطلاعات کاربران را مطابق با ساعت رسمی کشور به عمل میآورد.
ماده۱۰ـ مرکز آمار و فناوری اطلاعات با همکاری وزارت ارتباطات و فناوری اطلاعات سالانه رویههای فنی نحوه نگهداری، حفاظت، توقیف و ارائه دادهها و اطلاعات کاربران و همچنین راهنماهای عملی حفظ امنیت و استنادپذیری دادهها را تصویب و به ارائهدهندگان خدمات دسترسی و میزبانی و بهرهبرداران ابلاغ مینماید.
ب: حفاظت از ادله رایانهای
ماده۱۱ـ مقام قضایی در جریان تحقیق و فرآیند رسیدگی میتواند دستور حفاظت هر نوع داده رایانهای ذخیره شده را از جمله دادههای رمزنگاری شده، حذف، پنهان، فشرده یا پنهان نگاری شده و یا دادههایی که نوع و نام آنها موقتاً تغییر یافته و یا دادههایی که برای بررسی آنها نیاز به سختافزار مخصوصی میباشد، صادر نماید.
تبصره۱ـ ضابطان قضایی فقط در موارد مندرج در ماده ۳۴ قانون میتوانند رأساً دستور حفاظت دادههای ذخیره شده را صادر کنند.
تبصره۲ـ قاضی مکلف است بلافاصله پس از اعلام ضابط قضایی نسبت به تأیید یا رد دستور حفاظت صادره توسط ضابط اظهارنظر نماید. مجری حفاظت تا تعیین تکلیف از ناحیه قاضی موظف به حفاظت از اطلاعات میباشد.
ماده۱۲ـ دستور حفاظت باید به طور صریح و دقیق مشتمل بر نوع دادهها، موضوع و مدت زمان با رعایت تبصره۲ ماده ۳۴ قانون، باشد.
ماده۱۳ـ در موارد مقتضی، اجرای دستور حفاظت با نظارت ضابطان قضایی متخصص یا اشخاص خبره مورد وثوق به نمایندگی از طرف مرجع قضایی انجام میشود.
ماده۱۴ـ مجری حفاظت موظف است بلافاصله پس از ابلاغ، دستور حفاظت را اجراء و صورتجلسهای را مشتمل بر زمان اجرای دستور، نحوه حفاظت، حجم و نوع دادههای حفاظتشده در دو نسخه تنظیم و یک نسخه از آن را به مرجع صادرکننده دستور ارسال کند و نسخه دیگر را نزد خود نگه دارد.
ماده۱۵ـ دستور حفاظت باید فوری و با روش مطمئن به مجری حفاظت ابلاغ شود. این دستور همچنین به اشخاص ذینفع نیز ابلاغ میشود؛ مگر آن که ابلاغ به آنها مخلّ رسیدگی باشد که در این صورت تشخیص زمان ابلاغ حسب مورد با مقام قضایی میباشد.
تبصره ـ روش مطمئن روشی است که با توجه به نوع دادهها و طول مدت زمان حفاظت، امکان بهرهبرداری از دادههای حفاظت شده را در مراحل بعدی دادرسی ممکن سازد.
ماده۱۶ـ حفاظت از دادهها باید به نحوی باشد که محرمانگی، تمامیت، صحت و انکارناپذیری دادهها رعایت شود.
ج: ارائه ادله رایانهای
ماده۱۷ـ دستور ارائه توسط مقام قضایی صادر میشود و باید به طور صریح و شفاف و مشتمل بر شخص ارائهدهنده، موضوع و نوع دادهها، شیوه و زمان تحویل دادهها و مرجع تحویلگیرنده باشد.
ماده۱۸ـ ارائه دادهها باید به نحوی باشد که محرمانگی، تمامیت، صحت و انکارناپذیری دادهها رعایت شده و حتیالامکان بدون ایجاد مانع برای فعالیت سامانه و با روش متعارف و کم هزینه به یکی از شیوههای ذیل باشد:
الف ـ تحویل یک نسخه چاپ شده از داده.
ب ـ تحویل یک نسخه رایانهای از داده.
ج ـ ایجاد دسترسی به داده.
د ـ انتقال تجهیزات رایانهای و مخابراتی.
ماده۱۹ـ هنگام ارائه دادهها صورتجلسهای در سه نسخه تنظیم و حداقل موارد ذیل در آن ذکر و به امضای ارائه دهنده و تحویل گیرنده میرسد:
الف ـ شماره و تاریخ دستور قضایی ارائه دادهها
ب ـ مشخصات ارائه دهنده
ج ـ مشخصات تحویل گیرنده
د ـ زمان و مکان ارائه
هـ ـ نوع و حجم دادهها
وـ اطلاعات مربوط به نحوه حفظ یا نگهداری دادهها
ز ـ روشهای امنیتی بکاررفته در زمان ارائه
ح ـ مشخصات سختافزاری و نرمافزاری تجهیزات
ط ـ شیوه ارائه و مشخصات داده.
تبصره۱ـ در هنگام انتقال تجهیزات، احتیاط لازم برای حفظ آنها بعمل میآید.
تبصره۲ـ یک نسخه از صورتجلسه به مرجع قضایی ارسال میشود و نسخهای در اختیار ارائه دهنده و نسخه دیگر در اختیار تحویل گیرنده قرار میگیرد.
ماده۲۰ـ از زمان ارائه دادهها به ضابطان قضایی یا دیگر اشخاص ذیربط، مسئولیت حفظ دادههای مذکور با شخص یا اشخاص تحویل گیرنده خواهد بود.
ماده۲۱ـ ارائه دادههایی که افشاء یا دسترسی به آنها مطابق قوانین خاص دارای محدودیت یا توأم با تشریفات میباشد، تابع مقررات مربوط است.
ماده۲۲ـ دستور ارائه داده، مجوز افشای آن نمیباشد و پس از دستور ارائه هرگونه دسترسی به مفاد داده مستلزم صدور دستور قضایی است.
ماده۲۳ـ اشخاصی که مسئول اجرای هریک از دستورات قضایی اعم از نگهداری، حفاظت، ارائه، تفتیش و توقیف سامانه و داده یا شنود آن میباشند یا دستور به آنها ابلاغ میشود یا به نوعی مرتبط با دستورات یاد شده هستند، حق افشای مفاد دستور و یا دادهها و اطلاعات مربوط را ندارند.
د: تفتیش و توقیف ادله رایانهای
ماده۲۴ـ ضابطان قضایی باید کلیه اطلاعاتی که ضرورت تفتیش و توقیف را ایجاب مینماید در درخواست خود اعلام نمایند. همچنین، موارد زیر را حسب مورد در درخواست تفتیش یا توقیف ذکر نمایند:
الف ـ دلایل ضرورت تفتیش و توقیف
ب ـ حتیالامکان نوع و میزان دادهها و سختافزارها
ج ـ محل تفتیش یا توقیف
د ـ دلایل لازم برای تصویربرداری و بررسی در خارج از محل
هـ ـ زمان تقریبی لازم برای تفتیش و توقیف.
ماده۲۵ـ در دستور تفتیش یا توقیف داده یا سامانه باید محل تفتیش یا توقیف تعیین و حتیالامکان در محل استقرار سامانه انجام پذیرد.
ماده۲۶ـ مدت توقیف و فرصت اجرای تفتیش باید در دستور قضایی تصریح و کمترین فرصت ممکن منظور شود. در صورت نیاز به زمان بیشتر، به درخواست مجری تفتیش یا توقیف و ذکر علت آن، این مدت قابل تمدید میباشد.
ماده۲۷ـ تفتیش و توقیف در مواردی که مستلزم ورود به منازل و اماکن خصوصی باشد، مطابق مقررات مندرج در آیین دادرسی کیفری خواهد بود.
ماده۲۸ـ در مواردی که تفتیش یا توقیف طبق دستور قضایی بدون حضور متصرف قانونی یا شخصی که داده یا سامانه را تحت اختیار دارد، انجام پذیرد، مراتب پس از انجام فوراً به ذینفع ابلاغ خواهد شد.
ماده۲۹ـ چنانچه پس از اجرای دستور توقیف و یا در زمان اجرای دستور توقیف دادهها یا سامانههای رایانهای یا مخابراتی بیم لطمه جانی یا خسارت مالی شدید به اشخاص یا اخلال در ارائه خدمات عمومی برود مراتب از مرجع قضایی صادرکننده دستور توقیف کسب تکلیف شده و در صورت تشخیص قاضی حسب مفاد ماده ۴۴ قانون عمل میگردد.
ماده۳۰ـ قوه ق
