آیین نامه ماده 782 قانون مجازات اسلامی 1392 مصوب 1393/05/12

مقررات مرجع:

ماده 782 قانون مجازات اسلامی 1392 (ماده 54 قانون جرائم رایانه ای مصوب 1388/03/05) آیین نامه های مربوط بـه جمع آوری و استنادپذیری ادله الکترونیکی ظرف مدت شش ماه از تاریخ تصویب این قانون توسط وزارت دادگستری با همکاری وزارت ارتباطات و فناوری اطلاعات تهیه و بـه تصویب رئیس قوه قضائیه خواهد رسید.

متن آیین نامه ماده 782 قانون مجازات اسلامی 1392:

در اجرای ماده ۵۴ قانون جرایم رایانه ای مصوب 1388/03/05 مجلس شورای اسلامی و بنا بـه پیشنهاد وزیر دادگستری، آیین نامه جمع آوری و استنادپذیری ادله الکترونیکی بـه شرح مواد آتی است:

فصل اول: تعاریف

ماده ۱ ـ واژه ها و اصطلاحات بکار برده شده در این آیین نامه در معانی زیر بکار می رود:

الف ـ ارائه دهندگان خدمات دسترسی: اشخاصی هستند کـه امکان ارتباط کاربران را با شبکه های رایانه ای یا مخابراتی و ارتباطی داخلی یا بین المللی یا هر شبکه مستقل دیگر فراهم می آورند از قبیل تامین کنندگان، توزیع کنندگان، عرضه کنندگان خدمات دسترسی بـه شبکه های رایانه ای یا مخابراتی.

ب ـ ارائه دهندگان خدمات میزبانی: اشخاصی هستند کـه امکان دسترسی کاربران بـه فضای ایجاد شده توسط سامانه های رایانه ای، مخابراتی و ارتباطی تحت تصرف یا کنترل خود را بـه کاربران واگذار می کنند تا راساً یا توسط کاربر متقاضی، داده های رایانه ای را جهت نگهداری، انتشار، توزیع یا ارائه در شبکه های داخلی یا بین المللی یا هر منظور دیگر ذخیره یا پردازش کنند.

ج ـ ارائه داده های الکترونیکی: عبارت است از در اختیار قرار دادن تمام یا بخشی از داده های حفظ یا نگهداری شده توسط ارائه دهندگان خدمات دسترسی یا میزبانی یا اشخاصی کـه داده ها را تحت تصرف یا کنترل دارند.

د ـ جمع آوری ادله الکترونیکی: فرآیندی است کـه طی آن ادله الکترونیکی بـه تنهایی یا بـه همراه سامانه های رایانه ای یا مخابراتی یا حامل های داده، نگهداری، حفظ فوری، تفتیش و توقیف و شنود می شوند.

هـ ـ زنجیره حفاظتی: مجموعه اقداماتی است کـه ضابط دادگستری و سایر اشخاص ذیصلاح بـه منظور حفظ صحت، تمامیت، اعتبار و انکارناپذیری ادله الکترونیکی با بکارگیری ابزارها و روشهای استاندارد در مراحل شناسایی، کشف، جمع آوری، مستندسازی، تجزیه و تحلیل و ارائه آنها بـه مرجع مربوط بـه اجراء درآورده و ثبت می کنند؛ بـه نحوی کـه امکان ردیابی آنها از مبدا تا مقصد وجود داشته باشد.

و ـ شنود: عبارت است از هر گونه دستیابی بـه محتوای در حال انتقال ارتباطات غیر عمومی در سامانه های رایانه ای یا مخابراتی یا امواج الکترومغناطیسی با استفاده از سامانه ها و تجهیزات سخت افزاری و نرم افزاری مربوط.

ز ـ مجری حفاظت: شخصی است کـه بـه نحوی داده های رایانه ای ذخیره شده را تحت تصرف یا کنترل دارد و مطابق ماده ۳۴ قانون و سایر قوانین و مقررات جهت حفاظت آنها تعیین می شود.

ح ـ متصرف قانونی: در مورد اشخاص حقیقی، شخص مالک یا شخصی است کـه بـه نحوی داده یا سامانه را بـه صورت مشروع در اختیار دارد یا نماینده یا ولی یا سرپرست قانونی وی. در مورد اشخاص حقوقی دولتی یا عمومی غیردولتی، بالاترین مقام آنها یا نماینده قانونی آنها طبق مقررات مربوط و در مورد سایر اشخاص حقوقی، مدیر یا نماینده قانونی آنهاست.

ط ـ قانون: منظور از قانون در این آیین نامه، قانون جرایم رایانه ای مصوب 1388/03/05 می باشد.

تبصره ـ سایر اصطلاحات بـه شرح تعریف ارائه شده در قوانین دیگر می باشد.

بیشتر بخوانید:

فصل دوم: جمع آوری ادله الکترونیکی

قسمت الف: نگهداری داده ها

ماده ۲ ـ ارائه دهندگان خدمات دسترسی و میزبانی موظفند از سامانه هایی استفاده نمایند کـه قابلیت نگهداری داده های ترافیک و اطلاعات کاربران را مطابق مواد ۳۲ و ۳۳ قانون داشته باشد.

ماده ۳ ـ ارائه دهندگان خدمات دسترسی موظفند سامانه های خود را بـه نحوی تنظیم کنند کـه کلیه ارتباطات رایانه ای را کـه از طریق آنها انجام می شود ثبت کنند و کلیه داده های ترافیک مربوط بـه خود و کاربران مربوط را تا شش ماه پس از ایجاد نگهداری کنند.

تبصره ـ عرضه کنندگان خدمات دسترسی حضوری اینترنت (کافی نت ها) موظفند مشخصات هویتی، آدرس، ساعت شروع و خاتمه کار کاربر و نشانی اینترنتی (IP) تخصیصی را در دفتر روزانه ثبت نمایند.

ماده ۴ ـ ارائه دهندگان خدمت دسترسی موظفند اطلاعات کاربران را حداقل ۶ ماه پس از خاتمه اشتراک یا لغو قرارداد کاربر نگهداری کنند. هویت و نشانی کاربر باید در قرارداد منعقده درج شود.

ماده ۵ ـ ارائه دهندگان خدمات میزبانی داخلی و نمایندگان داخلی ارائه دهندگان خدمات میزبانی خارجی موظفند اطلاعات کاربران خود را حداقل تا شش ماه پس از خاتمه اشتراک و محتوای ذخیره شده و داده ترافیک حاصل از تغییرات ایجاد شده را حداقل تا پانزده روز نگهداری کنند. برگه اشتراک باید بـه نحوی تنظیم شود کـه هویت و نشانی آنان مشخص باشد.

تبصره ۱ ـ ارائه دهندگان خدمات میزبانی موظفند سامانه های رایانه ای خود را بـه نحوی تنظیم کنند کـه هرگونه تغییر اعم از اصلاح یا حذف محتوا و داده ترافیک حاصل از آن را ذخیره نماید.

تبصره ۲ ـ اشخاصی کـه نسبت بـه انباشت یا ذخیره موقت اطلاعات در راستای ارائه خدمات دسترسی اقدام می کنند، ارائه دهنده خدمات میزبانی محسوب نمی شوند.

ماده ۶ ـ ارائه دهندگان خدمات دسترسی و میزبانی و مجریان حفاظت موظفند امنیت داده های ترافیکی و محتوای نگهداری و حفاظت شده را مطابق با ضوابط و دستورالعمل هایی کـه بـه تصویب رئیس قوه قضائیه می رسد، تامین نمایند.

ماده ۷ ـ داده های محتوا و ترافیک و اطلاعات کاربران باید مطابق مقررات این آیین نامه بـه نحوی نگهداری، حفاظت، توقیف و ارائه شود کـه صحت و تمامیت، محرمانگی، اعتبار و انکار ناپذیری آنها محفوظ بماند.

ماده ۸ ـ در مواردی کـه برابر قانون نگهداری و حفاظت داده ها الزامی است، نگهداری و حفاظت باید بـه گونه ای انجام شود کـه مدیریت جستجو و گزارش دهی آنها امکان پذیر باشد.

ماده ۹ ـ وزارت ارتباطات و فن آوری اطلاعات هماهنگی های لازم برای تنظیم زمان سامانه های جمع آوری داده های محتوا، ترافیک و اطلاعات کاربران را مطابق با ساعت رسمی کشور بـه عمل می آورد.

ماده ۱۰ ـ مرکز آمار و فناوری اطلاعات با همکاری وزارت ارتباطات و فناوری اطلاعات سالانه رویه های فنی نحوه نگهداری، حفاظت، توقیف و ارائه داده ها و اطلاعات کاربران و همچنین راهنماهای عملی حفظ امنیت و استنادپذیری داده ها را تصویب و بـه ارائه دهندگان خدمات دسترسی و میزبانی و بهره برداران ابلاغ می نماید.

بیشتر بخوانید:

قسمت ب: حفاظت از ادله رایانه ای

ماده ۱۱ ـ مقام قضایی در جریان تحقیق و فرآیند رسیدگی می تواند دستور حفاظت هر نوع داده رایانه ای ذخیره شده را از جمله داده های رمزنگاری شده، حذف، پنهان، فشرده یا پنهان نگاری شده و یا داده هایی کـه نوع و نام آنها موقتا تغییر یافته و یا داده هایی کـه برای بررسی آنها نیاز بـه سخت افزار مخصوصی می باشد، صادر نماید.

تبصره ۱ ـ ضابطان قضایی فقط در موارد مندرج در ماده ۳۴ قانون می توانند راسا دستور حفاظت داده های ذخیره شده را صادر کنند.

تبصره ۲ ـ قاضی مکلف است بلافاصله پس از اعلام ضابط قضایی نسبت بـه تایید یا رد دستور حفاظت صادره توسط ضابط اظهارنظر نماید. مجری حفاظت تا تعیین تکلیف از ناحیه قاضی موظف بـه حفاظت از اطلاعات می باشد.

ماده ۱۲ ـ دستور حفاظت باید بـه طور صریح و دقیق مشتمل بر نوع داده ها، موضوع و مدت زمان با رعایت تبصره ۲ ماده ۳۴ قانون، باشد.

ماده ۱۳ ـ در موارد مقتضی، اجرای دستور حفاظت با نظارت ضابطان قضایی متخصص یا اشخاص خبره مورد وثوق بـه نمایندگی از طرف مرجع قضایی انجام می شود.

ماده ۱۴ ـ مجری حفاظت موظف است بلافاصله پس از ابلاغ، دستور حفاظت را اجراء و صورت جلسه ای را مشتمل بر زمان اجرای دستور، نحوه حفاظت، حجم و نوع داده های حفاظت شده در دو نسخه تنظیم و یک نسخه از آن را بـه مرجع صادرکننده دستور ارسال کند و نسخه دیگر را نزد خود نگه دارد.

ماده ۱۵ ـ دستور حفاظت باید فوری و با روش مطمئن بـه مجری حفاظت ابلاغ شود. این دستور همچنین بـه اشخاص ذینفع نیز ابلاغ می شود؛ مگر آن کـه ابلاغ بـه آنها مخل رسیدگی باشد کـه در این صورت تشخیص زمان ابلاغ حسب مورد با مقام قضایی می باشد.

تبصره ـ روش مطمئن روشی است کـه با توجه بـه نوع داده ها و طول مدت زمان حفاظت، امکان بهره برداری از داده های حفاظت شده را در مراحل بعدی دادرسی ممکن سازد.

ماده ۱۶ ـ حفاظت از داده ها باید بـه نحوی باشد کـه محرمانگی، تمامیت، صحت و انکار ناپذیری داده ها رعایت شود.

بیشتر بخوانید:

قسمت ج: ارائه ادله رایانه ای

ماده ۱۷ ـ دستور ارائه توسط مقام قضایی صادر می شود و باید بـه طور صریح و شفاف و مشتمل بر شخص ارائه دهنده، موضوع و نوع داده ها، شیوه و زمان تحویل داده ها و مرجع تحویل گیرنده باشد.

ماده ۱۸ ـ ارائه داده ها باید بـه نحوی باشد کـه محرمانگی، تمامیت، صحت و انکار ناپذیری داده ها رعایت شده و حتی الامکان بدون ایجاد مانع برای فعالیت سامانه و با روش متعارف و کم هزینه بـه یکی از شیوه های ذیل باشد:

الف ـ تحویل یک نسخه چاپ شده از داده.

ب ـ تحویل یک نسخه رایانه ای از داده.

ج ـ ایجاد دسترسی بـه داده.

د ـ انتقال تجهیزات رایانه ای و مخابراتی.

ماده ۱۹ ـ هنگام ارائه داده ها صورت جلسه ای در سه نسخه تنظیم و حداقل موارد ذیل در آن ذکر و بـه امضای ارائه دهنده و تحویل گیرنده می رسد:

الف ـ شماره و تاریخ دستور قضایی ارائه داده ها

ب ـ مشخصات ارائه دهنده

ج ـ مشخصات تحویل گیرنده

د ـ زمان و مکان ارائه

هـ ـ نوع و حجم داده ها

و ـ اطلاعات مربوط بـه نحوه حفظ یا نگهداری داده ها

ز ـ روشهای امنیتی بکار رفته در زمان ارائه

ح ـ مشخصات سخت افزاری و نرم افزاری تجهیزات

ط ـ شیوه ارائه و مشخصات داده.

تبصره ۱ ـ در هنگام انتقال تجهیزات، احتیاط لازم برای حفظ آنها بعمل می آید.

تبصره ۲ ـ یک نسخه از صورت جلسه بـه مرجع قضایی ارسال می شود و نسخه ای در اختیار ارائه دهنده و نسخه دیگر در اختیار تحویل گیرنده قرار می گیرد.

ماده ۲۰ ـ از زمان ارائه داده ها بـه ضابطان قضایی یا دیگر اشخاص ذیربط، مسئولیت حفظ داده های مذکور با شخص یا اشخاص تحویل گیرنده خواهد بود.

ماده ۲۱ ـ ارائه داده هایی کـه افشاء یا دسترسی بـه آنها مطابق قوانین خاص دارای محدودیت یا توام با تشریفات می باشد، تابع مقررات مربوط است.

ماده ۲۲ ـ دستور ارائه داده، مجوز افشای آن نمی باشد و پس از دستور ارائه هرگونه دسترسی بـه مفاد داده مستلزم صدور دستور قضایی است.

ماده ۲۳ ـ اشخاصی کـه مسئول اجرای هریک از دستورات قضایی اعم از نگهداری، حفاظت، ارائه، تفتیش و توقیف سامانه و داده یا شنود آن می باشند یا دستور بـه آنها ابلاغ می شود یا بـه نوعی مرتبط با دستورات یاد شده هستند، حق افشای مفاد دستور و یا داده ها و اطلاعات مربوط را ندارند.

قسمت د: تفتیش و توقیف ادله رایانه ای

ماده ۲۴ ـ ضابطان قضایی باید کلیه اطلاعاتی کـه ضرورت تفتیش و توقیف را ایجاب می نماید در درخواست خود اعلام نمایند. همچنین، موارد زیر را حسب مورد در درخواست تفتیش یا توقیف ذکر نمایند:

الف ـ دلایل ضرورت تفتیش و توقیف

ب ـ حتی الامکان نوع و میزان داده ها و سخت افزارها

ج ـ محل تفتیش یا توقیف

د ـ دلایل لازم برای تصویربرداری و بررسی در خارج از محل

بیشتر بخوانید:

قسمت هـ ـ زمان تقریبی لازم برای تفتیش و توقیف.

ماده ۲۵ ـ در دستور تفتیش یا توقیف داده یا سامانه باید محل تفتیش یا توقیف تعیین و حتی الامکان در محل استقرار سامانه انجام پذیرد.

ماده ۲۶ ـ مدت توقیف و فرصت اجرای تفتیش باید در دستور قضایی تصریح و کمترین فرصت ممکن منظور شود. در صورت نیاز بـه زمان بیشتر، بـه درخواست مجری تفتیش یا توقیف و ذکر علت آن، این مدت قابل تمدید می باشد.

ماده ۲۷ ـ تفتیش و توقیف در مواردی کـه مستلزم ورود بـه منازل و اماکن خصوصی باشد، مطابق مقررات مندرج در آیین دادرسی کیفری خواهد بود.

ماده ۲۸ ـ در مواردی کـه تفتیش یا توقیف طبق دستور قضایی بدون حضور متصرف قانونی یا شخصی کـه داده یا سامانه را تحت اختیار دارد، انجام پذیرد، مراتب پس از انجام فورا بـه ذینفع ابلاغ خواهد شد.

ماده ۲۹ ـ چنانچه پس از اجرای دستور توقیف و یا در زمان اجرای دستور توقیف داده ها یا سامانه های رایانه ای یا مخابراتی بیم لطمه جانی یا خسارت مالی شدید بـه اشخاص یا اخلال در ارائه خدمات عمومی برود مراتب از مرجع قضایی صادرکننده دستور توقیف کسب تکلیف شده و در صورت تشخیص قاضی حسب مفاد ماده ۴۴ قانون عمل می گردد.

ماده ۳۰ ـ قوه قضاییه تمهیدات لازم از جمله بسترسازی و ایجاد زیرساختهای ارتباط رایانه ای و الکترونیکی و همچنین راه اندازی سامانه ها و درگاه های مبتنی بر فناوری اطلاعات را جهت تسهیل در عملیاتی کردن فرایندها و روشهای موضوع این آیین نامه فراهم می آورد.

ماده ۳۱ ـ اشخاصی کـه داده ها یا سامانه های رایانه ای یا مخابراتی را تحت کنترل و یا تصرف دارند، موظف بـه همکاری در اجرای دستور تفتیش و توقیف می باشند. در صورتی کـه بـه واسطه عدم همکاری یا عدم دسترسی بـه این اشخاص، تفتیش یا توقیف امکان پذیر نباشد، نحوه دسترسی بـه داده ها یا سامانه ها از قبیل ورود بـه محل، رفع موانع استفاده از سخت افزار و نرم افزار، رمزگشایی و امثال آن با دستور مقام قضایی تعیین خواهد شد.

ماده ۳۲ ـ رضایت متصرف قانونی سامانه موضوع بند ج ماده ۴۱ قانون، باید کتبی و با امضای وی باشد.

ماده ۳۳ ـ در مواردی کـه توقیف داده ها بـه روش چاپ یا کپی یا تصویربرداری داده ها انجام می شود، اصل داده ها در صورتی توقیف و غیرقابل دسترس می شود کـه در دستور قضایی تصریح شده باشد.

ماده ۳۴ ـ ضابطان صرفا مجاز بـه تفتیش و توقیف داده ها و سامانه هایی هستند کـه بـه طور صریح در دستور قضایی ذکر گردیده و چنانچه حین اجرای دستور، داده های مرتبط با جرم ارتکابی در سایر سامانه های رایانه ای یا مخابراتی تحت کنترل یا تصرف متهم کشف شود، در صورت بیم امحاء نسبت بـه حفظ فوری داده ها اقدام و مراتب را حداکثر ظرف ۲۴ ساعت کتبا بـه مقام قضایی مربوط گزارش می دهند.

ماده ۳۵ ـ تفتیش داده ها یا سامانه ها در محل استقرار یا از طریق شبکه یا در آزمایشگاه یا در محل مناسب با دستور و تشخیص مقام قضایی با رعایت صحت، تمامیت، محرمانگی، و انکار ناپذیری ادله انجام می پذیرد.

ماده ۳۶ ـ ضابطان و اشخاصی کـه حسب قانون مامور جمع آوری، تفتیش، نگهداری، حفظ و انتقال داده ها و سامانه های رایانه ای یا مخابراتی می شوند باید علاوه بر داشتن شرایط لازم از قبیل تخصص و توانایی فنی و آموزش کافی، تجهیزات و وسایل لازم را در اختیار داشته باشند.

بیشتر بخوانید:

ماده ۳۷ ـ هنگام تفتیش رعایت موارد زیر ضروری است:

الف ـ شیوه اقدام نباید موجب تغییر، امحاء یا جابجایی داده های موردنظر در سامانه های رایانه ای باشد.

ب ـ تفتیش صرفا در محدوده دستور قضایی و داده های مرتبط با جرم موضوع دستور، انجام می پذیرد.

ج ـ کلیه فرایندهای انجام شده بر روی داده های مورد تفتیش یا توقیف باید با استفاده از روش های قابل تشخیص، ثبت و محافظت شود.

ماده ۳۸ ـ توقیف با رعایت تناسب، نوع، اهمیت و نقش داده یا سامانه رایانه ای یا مخابراتی بـه روش های زیر انجام می شود:

الف ـ در توقیف داده ها از طریق چاپ داده ها، غیرقابل دسترس کردن داده ها بـه روش هایی از قبیل تغییر گذر واژه یا رمزنگاری و ضبط حامل های داده.

ب ـ در توقیف سامانه های رایانه ای یا مخابراتی از طریق تغییر گذرواژه، پلمپ سامانه در محل استقرار یا ضبط سامانه.

تبصره ـ توقیف باید حتی الامکان بدون ایجاد مانع برای فعالیت سامانه و بـه روش ساده و کم هزینه بـه شیوه هایی از قبیل ذخیره در حامل های داده، ذخیره در سامانه با گذاشتن گذرواژه، تهیه نسخه پشتیبان، تصویربرداری، تهیه رونوشت و چاپ انجام شود.

ماده ۳۹ ـ دستور توقیف سامانه شامل سایر سخت افزارها یا حامل های داده متصل بـه آن نمی شود، مگر آن کـه در دستور قضایی تصریح گردد. در صورت نیاز بـه حفظ فوری سخت افزارها یا حامل های داده، ضابطان یا سایر ماموران در حدود وظایف قانونی می توانند نسبت بـه حفظ فوری آن مطابق ماده ۳۴ قانون و رعایت مقررات این آیین نامه اقدام نمایند.

ماده ۴۰ ـ در صورت پلمپ سامانه چنانچه نیاز بـه گماردن حافظ باشد با دستور مقام قضایی اقدام می شود.

ماده ۴۱ ـ بـه منظور حفظ وضعیت اصلی ادله رایانه ای و جلوگیری از هرگونه تغییر، تحریف یا آسیب آن، مرجع قضایی مدت زمان نگهداری و مراقبت از آنها را تا مدت ۵ روز تعیین می کند.

تبصره ـ چنانچه برای نگهداری و مراقبت مدت بیشتری مورد نیاز باشد، مدت مذکور بـه صورت مستدل توسط مقام قضایی تمدید می شود.

ماده ۴۲ ـ اجرای دستور توقیف باید طی صورت جلسه ای با قید دقیق جزئیات و مشخصات داده یا سامانه، محل، تاریخ و زمان دقیق، مشخصات حاضران و مجری دستور، مشخصات حافظ در صورت وجود، شماره و تاریخ دستور قضایی مبنی بر توقیف، شیوه توقیف و مشخصات مالک یا متصرف داده یا سامانه و موارد ضروری دیگر تنظیم و ضمن اعلام بـه مقام قضایی رسیدگی کننده، در سابقه ضبط گردد.

ماده ۴۳ ـ ضابطان قضایی و سایر ماموران در حدود وظایف قانونی در شروع تفتیش و توقیف باید صورت وضعیت اولیه ای از سامانه رایانه ای یا مخابراتی و اجزای آن و کلیه اتصالات کابلی بین اجزای مختلف سخت افزارها و حامل های داده متصل بـه آن کـه علامت گذاری و ثبت می شوند را تنظیم و بـه امضای تفتیش کننده یا توقیف کننده و متصرف قانونی کـه سامانه تحت کنترل اوست یا قائم مقام قانونی وی برسانند. برای ضبط دقیق مشخصات ابزار و اجزای آن تصویربرداری بلامانع است.

ماده ۴۴ ـ مرجع قضایی صالح، ضمن صدور رای باید نسبت بـه داده یا سامانه توقیف شده تعیین تکلیف نماید.

بیشتر بخوانید: