تصویبآييننامهجمعآوريواستنادپذيريادلهالكترونيكي
آييننامه جمعآوري و استنادپذيري ادله الكترونيكي در سه فصل و 48 ماده به تصويب رييس قوه قضاييه رسيد .
فصل اول: تعاريف
ماده 1ـ واژهها و اصطلاحات بكار برده شده در اين آییننامه در معاني زير بكار میرود:
الف- ارائه دهندگان خدمات دسترسي: اشخاصي هستند كه امكان ارتباط كاربران را با شبکههای رايانهاي يا مخابراتي و ارتباطي داخلي يا بینالمللی يا هر شبكه مستقل ديگر فراهم میآورند از قبيل تأمین كنندگان، توزيع كنندگان، عرضه كنندگان خدمات دسترسي به شبکههای رايانهاي يا مخابراتي.
ب- ارائه دهندگان خدمات ميزباني: اشخاصي هستند كه امكان دسترسي كاربران به فضاي ايجاد شده توسط سامانههای رايانهاي، مخابراتي و ارتباطي تحت تصرف يا كنترل خود را به كاربران واگذار میكنند تا راساً يا توسط كاربر متقاضي، دادههاي رايانهاي را جهت نگهداري، انتشار، توزيع يا ارائه در شبکههای داخلي يا بینالمللی يا هر منظور ديگر ذخيره يا پردازش كنند.
ج ـ ارائه دادههاي الكترونيكي: عبارت است از در اختيار قراردادن تمام يا بخشي از دادههاي حفظ يا نگهداري شده توسط ارائه دهندگان خدمات دسترسي يا ميزباني يا اشخاصي كه دادهها را تحت تصرف يا كنترل دارند.
د - جمعآوری ادله الكترونيكي: فرايندي است كه طي آن ادله الكترونيكي به تنهايي يا به همراه سامانههای رايانهاي يا مخابراتي يا حاملهای داده، نگــهداري، حفظ فوري، تفتيش و توقيف و شنود میشوند.
هـ - زنجيره حفاظتي: مجموعه اقداماتي است كه ضابط دادگستري و ساير اشخاص ذيصلاح به منظور حفظ صحت، تماميت، اعتبار و انكار ناپذيري ادله الكترونيكي با بكارگيري ابزارها و روشهاي استاندارد در مراحل شناسايي، كشف، جمعآوری، مستند سازي، تجزيه و تحليل و ارائه آنها به مرجع مربوط به اجرا در آورده و ثبت میكنند؛ به نحوي كه امكان رد يابي آنها از مبدا تا مقصد وجود داشته باشد.
و - شنود: عبارت است از هرگونه دستيابي به محتواي در حال انتقال ارتباطات غير عمومي در سامانههای رايانهاي يا مخابراتي يا امواج الكترومغناطيسي با استفاده از سامانهها و تجهيزات سختافزاری و نرمافزاری مربوط.
ز - مجري حفاظت: شخصي است كه به نحوي دادههاي رايانهاي ذخيره شده را تحت تصرف يا كنترل دارد و مطابق ماده 34 قانون و ساير قوانين و مقررات جهت حفاظت آنها تعيين میشود.
ح ـ متصرف قانوني: در مورد اشخاص حقيقي، شخص مالك يا شخصي است كه به نحوي داده يا سامانه را به صورت مشروع در اختيار دارد يا نماينده يا ولي يا سرپرست قانوني وي. در مورد اشخاص حقوقي دولتي يا عمومي غير دولتي، بالاترين مقام آنها يا نماينده قانوني آنها طبق مقررات مربوط و در مورد ساير اشخاص حقوقي، مدير يا نماينده قانوني آنهاست.
ط ـ قانون: منظور از قانون در اين آيين نامه، قانون جرايم رايانهاي مصوب 5/3/1388 میباشد.
تبصره: ساير اصطلاحات به شرح تعريف ارائه شده در قوانین دیگر میباشد.
فصل دوم: جمعآوری ادله الكترونيكي
الف: نگهداري دادهها
ماده2ـ ارائه دهندگان خدمات دسترسي و ميزباني موظفند از سامانههایي استفاده نمايند كه قابليت نگهداري دادههاي ترافيك و اطلاعات كاربران را مطابق مواد 32 و 33 قانون داشته باشد.
ماده 3ـ ارائهدهندگان خدمات دسترسي موظفــند سامانههای خود را به نحوي تنظيم كنند كه كليه ارتباطات رايانهاي را كه از طريق آنها انجام میشود ثبت کنند و كليه دادههاي ترافيك مربوط به خود و كاربران مربوط را تا شش ماه پس از ايجاد نگهداري كنند.
تبصره : عرضه كنندگان خدمات دسترسي حضوري اينترنت (كافي نتها) موظفند مشخصات هويتي، آدرس، ساعت شروع و خاتمه كار كاربر و نشاني اينترنتي ( IP ) تخصيصي را در دفتر روزانه ثبت نمايند.
ماده 4ـ ارائه دهندگان خدمت دسترسي موظفند اطلاعات كاربران را حداقل 6 ماه پس از خاتمه اشتراك يا لغو قرارداد كاربر نگهداري كنند. هويت و نشاني كاربر بايد در قرارداد منعقده درج شود.
ماده5 ـ ارائهدهندگان خدمات ميزباني داخلي و نمايندگان داخلي ارائه دهندگان خدمات ميزباني خارجي موظفند اطلاعات كاربران خود را حداقل تا شش ماه پس از خاتمه اشتراك و محتواي ذخيره شده و داده ترافيك حاصل از تغييرات ايجاد شده را حداقل تا پانزده روز نگهداري كنند. برگه اشتراك بايد به نحوي تنظيم شود كه هويت و نشاني آنان مشخص باشد.
تبصره 1 : ارائهدهندگان خدمات ميزباني موظفند سامانههای رايانهاي خود را به نحوي تنظيم كنند كه هرگونه تغيير اعم از اصلاح يا حذف محتوا و داده ترافيك حاصل از آن را ذخيره نمايد.
تبصره 2: اشخاصي كه نسبت به انباشت يا ذخيره موقت اطلاعات در راستاي ارائه خدمات دسترسي اقــدام میكنند، ارائه دهنده خدمات ميزباني محسوب نميشوند.
ماده 6ـ ارائه دهندگان خدمات دسترسي و ميزباني و مجريان حفاظت موظفند امنيت دادههاي ترافيكي و محتواي نگهداري و حفاظت شده را مطابق با ضوابط و دستورالعمل هايي كه به تصويب رييس قوه قضاييه میرسد، تأمین نمايند.
ماده 7ـ دادههاي محتوا و ترافيك و اطلاعات كاربران بايد مطابق مقررات اين آییننامه به نحوي نگهداري، حفاظت، توقيف و ارائه شود كه صحت و تماميت، محرمانگي، اعتبار و انكار ناپذيري آنها محفوظ بماند.
ماده 8ـ در مواردي كه برابر قانون نگهداري و حفاظت دادهها الزامي است، نگهداري و حفاظت بايد به گونهاي انجام شود كه مديريت جستجو و گزارش دهي آنها امكانپذير باشد.
ماده 9ـ وزارت ارتباطات و فن آوري اطلاعات هماهنگيهای لازم براي تنظيم زمان سامانههای جمعآوری دادههاي محتوا، ترافيك و اطلاعات كاربران را مطابق با ساعت رسمي كشور به عمل میآورد.
ماده 10ـ مركز آمار و فناوري اطلاعات با همكاري وزارت ارتباطات و فناوري اطلاعات سالانه رويههای فني نحوه نگهداري، حفاظت، توقيف و ارائه دادهها و اطلاعات كاربران و همچنين راهنماهاي عملي حفظ امنيت و استناد پذيري دادهها را تصويب و به ارائه دهندگان خدمات دسترسي و ميزباني و بهره برداران ابلاغ مینمايد.
ب: حفاظت از ادله رايانهاي
ماده 11ـ مقام قضايي در جريان تحقيق و فرايند رسيدگي میتواند دستور حفاظت هر نوع داده رايانهاي ذخيره شده را ازجمله دادههاي رمزنگاري شده، حذف، پنهان، فشرده يا پنهان نگاري شده و يا دادههايي كه نوع و نام آنها موقتاً تغييريافته و يا دادههايي كه براي بررسي آنها نياز به سخت افزار مخصوصي میباشد، صادر نمايد.
تبصره1: ضابطان قضايي فقط در موارد مندرج در ماده 34 قانون میتوانند راساً دستور حفاظت دادههاي ذخيره شده را صادر كنند.
تبصره2: قاضي مکلف است بلافاصله پس از اعلام ضابط قضايي نسبت به تأييد يا رد دستور حفاظت صادره توسط ضابط اظهار نظر نمايد. مجري حفاظت تا تعيين تکليف از ناحيه قاضي موظف به حفاظت از اطلاعات ميباشد.
ماده 12ـ دستور حفاظت بايد به طور صريح و دقيق مشتمل بر نوع دادهها، موضوع و مدت زمان با رعايت تبصره 2 ماده 34 قانون، باشد.
ماده 13ـ در موارد مقتضي، اجراي دستور حفاظت با نظارت ضابطان قضايي متخصص يا اشخاص خبره مورد وثوق به نمايندگي از طرف مرجع قضايي انجام میشود.
ماده 14ـ مجري حفاظت موظف است بلافاصله پس از ابلاغ، دستور حفاظت را اجرا و صورتجلسه اي را مشتمل بر زمان اجراي دستور، نحوه حفاظت، حجم و نوع دادههاي حفاظت شده در دو نسخه تنظيم و يك نسخه از آن را به مرجع صادر كننده دستور ارسال کند و نسخه ديگر را نزد خود نگه دارد.
ماده 15ـ دستور حفاظت بايد فوري و باروش مطمئن به مجري حفاظت ابلاغ شود. اين دستور همچنين به اشخاص ذينفع نيز ابلاغ میشود؛ مگر آن كه ابلاغ به آنها مخلّ رسيدگي باشد كه در اين صورت تشخيص زمان ابلاغ حسب مورد با مقام قضايي میباشد.
تبصره: روش مطمئن روشي است كه با توجه به نوع دادهها و طول مدت زمان حفاظت، امكان بهره برداري از دادههاي حفاظت شده را در مراحل بعدي دادرسي ممكن سازد.
ماده 16ـ حفاظت از دادهها بايد به نحوي باشد كه محرمانگي، تماميت، صحت و انكارناپذيري دادهها رعايت شود.
ج: ارائه ادله رايانهاي
ماده 17ـ دستور ارائه توسط مقام قضايي صادر میشود و بايد به طور صريح و شــفاف و مشتمل بر شخص ارائه دهنده، موضوع و نوع دادهها، شيوه و زمان تحويل دادهها و مرجع تحويل گيرنده باشد.
ماده 18ـ ارائه دادهها بايد به نحوي باشد كه محرمانگي، تماميت، صحت و انكارناپذيري دادهها رعايت شده و حتي الامكان بدون ايجاد مانع براي فعاليت سامانه و باروش متعارف و كم هزينه به يكي از شيوههای ذيل باشد:
الف- تحويل يك نسخه چاپ شده از داده.
ب- تحويل يك نسخه رايانهاي از داده.
ج- ايجاد دسترسي به داده.
د- انتقال تجهيزات رايانهاي و مخابراتي.
ماده 19ـ هنگام ارائه دادهها صورتجلسه اي در سه نسخه تنظيم و حداقل موارد ذيل در آن ذكر و به امضاي ارائه دهنده و تحويل گيرنده میرسد:
الف- شماره و تاريخ دستور قضايي ارائه دادهها
ب - مشخصات ارائه دهنده
ج - مشخصــات تحــويل گيرنده
د- زمان و مكان ارائه
هـ نوع و حجم دادهها
و - اطلاعات مربوط به نحوه حفظ يا نگهداري دادهها
ز - روشهاي امنيتي بكاررفته در زمان ارائه
ح - مشخصات سختافزاری و نرمافزاری تجهيزات
ط - شيوه ارائه و مشخصات داده.
تبصره 1: درهنگام انتقال تجهيزات، احتياط لازم براي حفظ آنها بعمل میآيد.
تبصره2: يك نسخه از صورتجلسه به مرجع قضايي ارسال میشود و نسخهای در اختيار ارائه دهنده و نسخه ديگر در اختيار تحويل گيرنده قرار میگيرد.
ماده 20ـ از زمان ارائه دادهها به ضابطان قضايي يا ديگر اشخاص ذيربط، مسؤليت حفظ دادههاي مذكور با شخص يا اشخاص تحويل گيرنده خواهد بود.
ماده 21ـ ارائه دادههايي كه افشا يا دسترسي به آنها مطابق قوانين خاص داراي محدوديت يا توأم با تشريفات میباشد، تابع مقررات مربوط است.
ماده 22ـ دستور ارائه داده، مجوز افشاي آن نمیباشد و پس از دستور ارائه هرگونه دسترسي به مفاد داده مستلزم صدور دستور قضايي است.
ماده 23ـ اشخاصي كه مسئول اجراي هر يك از دستورات قضايي اعم از نگهداري، حفاظت، ارائه، تفتيش و توقيف سامانه و داده يا شنود آن میباشند يا دستور به آنها ابلاغ میشود يا به نوعي مرتبط با دستورات ياد شده هستند، حق افشاي مفاد دستور و يا دادهها و اطلاعات مربوط را ندارند.
د: تفتيش و توقيف ادله رايانهاي
ماده 24ـ ضابطان قضايي بايد كليه اطلاعاتي كه ضرورت تفتيش و توقيف را ايجاب مینمايد در درخواست خود اعلام نمايند. همچنين، موارد زير را حسب مورد در درخواست تفتيش يا توقيف ذكر نمايند:
الف- دلايل ضرورت تفتيش و توقيف
ب - حتي الامكان نوع و ميزان دادهها و سخت افزارها
ج - محل تفتيش يا توقيف
د - دلايل لازم براي تصويربرداري و بررسي در خارج از محل
هـ - زمان تقريبي لازم براي تفتيش و توقيف.
ماده 25ـ در دستور تفتيش يا توقيف داده يا سامانه بايد محل تفتيش يا توقيف تعيين و حتي الامكان در محل استقرار سامانه انجام پذيرد.
ماده 26ـ مدت توقيف و فرصت اجراي تفتيش بايد در دستور قضايي تصريح و كمترين فرصت ممكن منظور شود. در صورت نياز به زمان بيشتر، به درخواست مجري تفتيش يا توقيف و ذكر علت آن، اين مدت قابل تمديد میباشد.
ماده 27ـ تفتيش و توقيف در مواردي كه مستلزم ورود به منازل و اماكن خصوصي باشد، مطابق مقررات مندرج در آيين دادرسي كيفري خواهد بود.
ماده 28ـ در مواردي كه تفتيش يا توقيف طبق دستور قضايي بدون حضور متصرف قانوني يا شخصي كه داده يا سامانه را تحت اختيار دارد، انجام پذيرد، مراتب پس از انجام فوراً به ذينفع ابلاغ خواهد شد.
ماده 29ـ چنانچه پس از اجراي دستور توقيف و يا در زمان اجراي دستور توقيف دادهها يا سامانههای رايانهاي يا مخابراتي بيم لطمه جاني يا خسارت مالي شديد به اشخاص يا اخلال در ارائه خدمات عمومي برود مراتب از مرجع قضايي صادركننده دستور توقيف كسب تكليف شده و در صورت تشخيص قاضي حسب مفاد ماده 44 قانون عمل میگردد.
ماده 30 ـ قوه قضاييه تمهيدات لازم از جمله بستر سازي و ايجاد زير ساختهاي ارتباط رايانهاي و الكترونيكي و همچنين راهاندازي سامانهها و درگاههای مبتني بر فناوري اطلاعات را جهت تسهيل در عملياتي كردن فرايندها و روشهاي موضوع اين آییننامه فراهم میآورد.
ماده 31ـ اشخاصي كه دادهها يا سامانههای رايانهاي يا مخابراتي را تحت كنترل و يا تصرف دارند، موظف به همكاري در اجراي دستور تفتيش و توقيف میباشند. در صورتي كه به واسطه عدم همكاري يا عدم دسترسي به اين اشخاص، تفتيش يا توقيف امكان پذير نباشد، نحوه دسترسي به دادهها يا سامانهها از قبيل ورود به محل، رفع موانع استفاده از سخت افزار و نرم افزار، رمزگشايي و امثال آن با دستور مقام قضايي تعيين خواهد شد.
ماده 32ـ رضايت متصرف قانوني سامانه موضوع بند ج ماده 41 قانون، بايد كتبي و با امضاي وي باشد.
ماده 33ـ در مواردي كه توقيف دادهها به روش چاپ يا كپي يا تصويربرداري دادهها انجام میشود، اصل دادهها در صورتي توقيف و غيرقابل دسترس میشود كه در دستور قضايي تصريح شده باشد.
ماده 34ـ ضابطان صرفاً مجاز به تفتيش و توقيف دادهها و سامانههایي هستند كه به طور صريح در دستور قضايي ذكر گرديده و چنانچه حين اجراي دستور، دادههاي مرتبط با جرم ارتكابي در ساير سامانههای رايانهاي يا مخابراتي تحت كنترل يا تصرف متهم كشف شود، در صورت بيم امحا نسبت به حفظ فوري دادهها اقدام و مراتب را حداكثر ظرف 24 ساعت كتباً به مقام قضايي مربوط گزارش میدهند.
ماده 35ـ تفتيش دادهها يا سامانهها در محل استقرار يا از طريق شبكه يا در آزمايشگاه يا در محل مناسب با دستور و تشخيص مقام قضايي با رعايت صحت، تماميت، محرمانگي، و انكارناپذيري ادله انجام میپذيرد.
ماده 36ـ ضابطان و اشخاصي كه حسب قانون مأمور جمعآوری، تفتيش، نگهداري، حفظ و انتقال دادهها و سامانههای رايانهاي يا مخابراتي میشوند بايد علاوه بر داشتن شرايط لازم از قبيل تخصص و توانايي فني و آموزش كافي، تجهيزات و وسايل لازم را در اختيار داشته باشند.
ماده 37ـ هنگام تفتيش رعايت موارد زير ضروري است:
الف ـ شيوه اقدام نبايد موجب تغيير، امحا يا جابجايي دادههاي مورد نظر در سامانههای رايانهاي باشد.
ب ـ تفتيش صرفاً در محدوده دستور قضايي و دادههاي مرتبط با جرم موضوع دستور، انجام میپذيرد.
ج ـ كليه فرايندهاي انجام شده بر روي دادههاي مورد تفتيش يا توقيف بايد با استفاده از روشهای قابل تشخيص، ثبت و محافظت شود.
ماده 38 ـ توقيف با رعايت تناسب، نوع، اهميت و نقش داده يا سامانه رايانهاي يا مخابراتي به روشهای زير انجام میشود:
الف ـ در توقيف داده ها از طريق چاپ دادهها، غير قابل دسترس كردن دادهها به روشهایي از قبيل تغيير گذرواژه يا رمزنگاري و ضبط حاملهای داده.
ب ـ در توقيف سامانههای رايانهاي يا مخابراتي از طريق تغيير گذرواژه، پلمپ سامانه در محل استقرار يا ضبط سامانه.
تبصره: توقيف بايد حتي الامكان بدون ايجاد مانع براي فعاليت سامانه و به روش ساده و كم هزينه به شيوههایي از قبيل ذخيره در حاملهای داده، ذخيره در سامانه با گذاشتن گذرواژه، تهيه نسخه پشتيبان، تصويربرداري، تهيه رونوشت و چاپ انجام شود.
ماده 39ـ دستور توقيف سامانه شامل ساير سختافزارها يا حاملهای داده متصل به آن نمیشود، مگر آن كه در دستور قضايي تصريح گردد. در صورت نياز به حفظ فوري سختافزارها يا حاملهای داده، ضابطان يا ساير مأموران در حدود وظايف قانوني میتوانند نسبت به حفظ فوري آن مطابق ماده 34 قانون و رعايت مقررات اين آییننامه اقدام نمايند.
ماده 40ـ در صورت پلمپ سامانه چنانچه نياز به گماردن حافظ باشد با دستور مقام قضايي اقدام میشود.
ماده 41ـ به منظور حفظ وضعيت اصلي ادله رايانهاي و جلوگيري از هرگونه تغيير، تحريف يا آسيب آن، مرجع قضايي مدت زمان نگهداري و مراقبت از آنها را تا مدت 5 روز تعيين میكند.
تبصره : چنانچه براي نگهداري و مراقبت مدت بيشتري مورد نياز باشد، مدت مذكور به صورت مستدل توسط مقام قضايي تمديد میشود.
ماده 42ـ اجراي دستور توقيف بايد طي صورتجلسهای با قيد دقيق جزئيات و مشخصات داده يا سامانه، محل، تاريخ و زمان دقيق، مشخصات حاضران و مجري دستور، مشخصات حافظ در صورت وجود، شماره و تاريخ دستور قضایی مبني بر توقيف، شيوه توقيف و مشخصات مالك يا متصرف داده يا سامانه و موارد ضروري ديگر تنظيم و ضمن اعلام به مقام قضایی رسيدگي كننده، در سابقه ضبط گردد.
ماده 43ـ ضابطان قضايي و ساير مأموران در حدود وظايف قانوني در شروع تفتيش و توقيف بايد صورت وضعيت اوليهای از سامانه رايانهاي يا مخابراتي و اجزاي آن و كليه اتصالات كابلي بين اجزاي مختلف سختافزارها و حاملهای داده متصل به آن كه علامت گذاري و ثبت میشوند را تنظيم و به امضاي تفتيش كننده يا توقيف كننده و متصرف قانوني كه سامانه تحت كنترل اوست يا قائم مقام قانوني وي برسانند. براي ضبط دقيق مشخصات ابزار و اجزاي آن تصويربرداري بلامانع است.
ماده 44 ـ مرجع قضايي صالح ، ضمن صدور رأی بايد نسبت به داده يا سامانه توقيف شده تعيين تكليف نمايد.
فصل سوم: امور متفرقه
ماده 45ـ دستورالعمل حقوقي و فني جمعآوری ادله و توقيف سامانههای رايانهاي و مخابراتي توسط دادستاني كل كشور با همكاري نيروي انتظامي تهيه و به تصويب دادستان كل كشور میرسد. اين دستور العمل بايد دربردارنده چگونگي حفظ صحنه جرم و جمعآوری ادله از سامانه در حال اجرا، خاموش و روشن كردن سامانه، بستهبندي و انتقال اطلاعات و نيز نمونه درخواستهای مرتبط با اين موارد باشد.
ماده 46 ـ در مورد جمعآوری ادله الكترونيكي از جمله نگــهداري، حفظ فوري، تفتيش و توقيف و شنود چنانچه موضوع مربوط به افراد و اماكن وابسته به قوه قضاييه و سازمانهای تابعه مراكز مرتبط با قوه قضاييه باشد، با دستور مقام قضايي توسط مركز حفاظت و اطلاعات قوه قضاييه انجام خواهد شد.
ماده 47ـ نسخههای تهيه شده از دادههاي رايانهاي قابل استناد به صورت متن، صوت يا تصوير در حكم اصل داده میباشند.
ماده 48ـ اين آيين نامه توسط وزارت دادگسـتري با همكاري وزارت ارتباطات و فناوري اطلاعات تهيه و در 48 ماده و 11 تبصره به تصويب رئيس قوه قضائيه رسيد.
صادق آملي لاريجاني
رييس قوه قضاييه