اللائحة التنفيذية لنظام التعـاملات الإلكترونيـة
قرار مجلس إدارة هيئة الحكومة الرقمية رقم (م-8-6) وتاريخ 03 /09 /1445هـ
الفصل الأول:
أحكام عامة
المادة الأولى:
تعريفات
1/1 يكون للألفاظ والعبارات المعرفة في المادة الأولى من نظام التعاملات الإلكترونية المعاني ذاتها المحددة لها في النظام عند استخدامها في اللائحة.
1/ 2 يقصد بالألفاظ والعبارات الآتية -أينما وردت في هذه اللائحة- المعاني المبيّنة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:
1- النظام: نظام التعاملات الإلكترونية.
2- المركز: مركز المعلومات الوطني.
3- سياسة الشهادة الرقمية: وثيقة صادرة من المركز أو مقدم خدمات التصديق تحتوي على شروط وإرشادات تبيّن لمستخدم الشهادة مدى ملاءمة شهادة التصديق الرقمي لاحتياجاته، ومدى الموثوقية المصاحبة لها، إلى جانب تحديد الاستخدامات المشروعة وغير المشروعة للشهادة، ودور مراكز التسجيل.
4- مركز التسجيل: الجهة التي تتولى عملية التسجيل والتثبت من هوية المتقدمين بالآلية المعتمدة من الجهة المصدرة لها للحصول على شهادات تصديق رقمي.
5- إجراءات التصديق الرقمي: وثيقة صادرة من المركز أو مقدم خدمات التصديق تحتوي على الطرق الفنية والإجرائية المتبعة لإصدار شهادة التصديق الرقمي من قبل مقدم خدمات التصديق.
6- الختم الإلكتروني: بيانات إلكترونية مدرجة في تعامل إلكتروني أو مضافة إليه أو مرتبطة به منطقياً، تستخدم لإثبات صحة ارتباط الختم بهوية من نسب إليه ومصادقته على التعامل الإلكتروني، واكتشاف أي تعديل يطرأ على هذا التعامل بعد الختم عليه.
7- الختم الزمني: بيانات إلكترونية واردة في سجل إلكتروني أو مضافة إليه أو مرتبطة به، بغرض تحديد تاريخ ووقت الإجراء الذي تم على هذا السجل، واكتشاف أي تعديل يطرأ على ذلك.
8- المستفيد: صاحب الشهادة، وهو الشخص المسجلة شهادة التصديق الرقمي باسمه.
9- الطرف المعتمد على الشهادة: هو الشخص الذي يستند إلى شهادة التصديق الرقمي في تعاملاته الإلكترونية ويعتمد على صحتها.
الفصل الثاني:
حفظ السجلات والبيانات الإلكترونية
المادة الثانية:
ضوابط حفظ السجلات والبيانات الإلكترونية
2 /1 يجب حفظ السجلات والبيانات المتعلقة بالتعاملات الإلكترونية بما يتفق مع متطلبات أي أنظمة أو لوائح أو إجراءات تتعلق بحفظ السجلات والبيانات التقليدية، بما لا يخل بالمادة السادسة من النظام.
2/2 يجب حفظ السجلات الصادرة بطبيعتها، وبكامل بياناتها الأصلية، ويجوز حفظها (أرشفتها) وفق أي شكل من أشكال البيانات الإلكترونية التي لا تخل بمحتوى السجل وجودته.
2 /3 مع مراعاة حكم الفقرة السابقة (2 /1) من هذه المادة، يجب أن يتضمن السجل الإلكتروني البيانات التي تحدد هوية السجل، وارتباطه بالتعامل الإلكتروني والسجلات الإلكترونية الأخرى، وتشمل تلك البيانات العناصر التالية بوصفها الحد الأدنى:
1- معلومات منشئ السجل الإلكتروني.
2- معلومات مرسل السجل الإلكتروني، إذا كان مختلفاً عن المنشئ.
3- معلومات المرسل إليه السجل الإلكتروني.
4- رقم العملية التي يتضمنها السجل الإلكتروني وطبيعتها.
5- تاريخ إنشاء السجل الإلكتروني ووقته.
6- تاريخ إرسال السجل الإلكتروني ووقته.
7- تاريخ استلام السجل الإلكتروني ووقته.
8- معلومات إعادة الإرسال، أو التعديل، أو الإلغاء، وكذلك رسائل إقرار الوصول في حالة اشتراط ذلك من قبل المرسل.
المادة الثالثة:
الطرف الملزم بحفظ السجلات الإلكترونية
3 /1 لتحديد الشخص الملزم بحفظ سجل إلكتروني، تطبق الأنظمة واللوائح والقرارات ذات العلاقة بحفظ الوثائق المتعلقة بالتعامل موضوع السجل الإلكتروني.
3 /2 يجوز للشخص الملزم بحفظ السجل الإلكتروني الاستعانة بخدمات جهة أخرى، لاستيفاء شروط الحفظ، دون أن يؤثر ذلك في مسؤوليته المنصوص عليها بهذه المادة.
3 /3 يلتزم طرفا التعامل الإلكتروني بالاتفاقيات الثنائية المبرمة بينهما فيما يتعلق بحفظ البيانات الإلكترونية، وذلك بما لا يتعارض مع الأنظمة ذات العلاقة.
المادة الرابعة:
مدة حفظ السجلات الإلكترونية
4 /1 يجب حفظ السجلات والبيانات المتعلقة بأي تعامل إلكتروني بما يتفق مع متطلبات أي أنظمة أو لوائح، أو إجراءات تتعلق بتحديد المدد الزمنية الواجب بقاء السجلات والبيانات محفوظة خلالها.
4 /2 مع مراعاة حكم الفقرة السابقة (4 /1) من هذه المادة، يجب حفظ السجلات والبيانات المتعلقة بأي تعامل إلكتروني بما يتفق مع الاتفاقيات المبرمة بين طرفي التعامل الإلكتروني.
المادة الخامسة:
شروط حفظ السجلات الإلكترونية
5 /1 عند حفظ السجلات والبيانات الإلكترونية يجب توافر الشروط التالية:
1- اتباع قواعد وإجراءات واضحة وموثقة لحفظ السجلات الإلكترونية، بما يتفق مع الأنظمة واللوائح ذات العلاقة.
2- حفظ السجلات والبيانات الإلكترونية في أي صيغة بما يتناسب مع النظام المعمول به لدى من قام بالحفظ.
3- إذا تطلبت أي فقرة في هذه اللائحة تحديد التاريخ والوقت أو حفظه أو إبرازه، فيجب الالتزام بالتالي بوصفه الحد الأدنى:
أ- تحديد التاريخ وفق التقويم الميلادي على الأقل، مع إضافة التقويم الهجري إذا تطلب ذلك أي نص نظامي، وأن يحدد الوقت بالساعة والدقيقة والثانية كحد أدنى.
ب- أن يتفق التاريخ والوقت مع الوقت الرسمي المعتمد في المملكة العربية السعودية، ما لم يتفق الطرفان على خلاف ذلك.
4- في حال تطلب السجل الإلكتروني إثبات صحة الوقت، يجب أن يحتوي السجل على ختم زمني صادر من قبل المركز أو من مقدم خدمات التصديق، بما يتوافق مع ما يصدر عن الهيئة.
5- استخدام التقنيات المناسبة لضمان حفظ السجل الإلكتروني بالشكل نفسه الذي أنشئ أو أرسل أو تسلم به، أو ضمان أن محتواه مطابق للمحتوى الذي أنشئ به، أو أرسل أو تسلم به.
5 /2 يجب على الطرف الملزم بحفظ السجلات الإلكترونية، إجراء عمليات (الأرشفة) والحفظ الاحتياطي بشكل دوري، بما يضمن حقوق مَن يعتمد على هذه السجلات، وبما يتفق مع متطلبات الأنظمة واللوائح ذات العلاقة.
الفصل الثالث:
عرض السجل الإلكتروني
المادة السادسة:
شروط عرض السجلات والبيانات الإلكترونية والاطلاع عليها
6 /1 يشترط لعرض السجلات والبيانات الإلكترونية، توافر المعلومات المتعلقة بالتعامل الإلكتروني وفق صيغة إلكترونية قياسية مقروءة ومفهومة وكاملة.
6 /2 تلتزم الجهات التي تقوم بحفظ السجلات والبيانات الإلكترونية بتحديد صلاحيات الاطلاع والتعامل مع السجلات والبيانات الإلكترونية لمنسوبيها بناءً على حاجة العمل، وبما لا يتعارض مع الأنظمة واللوائح ذات العلاقة.
6/ 3 تلتزم الجهات التي تقوم بحفظ السجلات الإلكترونية بتطبيق الحلول الفنية المناسبة لتسجيل جميع الحالات التي يتم فيها الاطلاع على تلك السجلات الإلكترونية، أو الوصول إليها، أو التغيير فيها أو في بياناتها.
6 /4 يحق لأحد الطرفين في التعامل الإلكتروني أو أي جهة ذات صلاحية نظاماً الحصول على معلومات من السجلات الخاصة بالتعامل الإلكتروني من الجهات التي تقوم بحفظها، وخلافاً لذلك لا يحق للجهة التي تقوم بحفظ السجلات الإلكترونية تقديمها لأي طرف ثالث دون الاتفاق المسبق بين طرفي التعامل.
الفصل الرابع:
إصدار السجل الإلكتروني واستلامه
المادة السابعة:
إنشاء السجلات الإلكترونية
7 /1 يعدُّ السجل الإلكتروني صادراً من المُنشئ، إذا كان المُنشئ هو الذي أصدره بنفسه، أو إذا صدر من خلال شخص له صلاحية التصرف نيابة عن المُنشئ.
7 /2 يعدُّ السجل الإلكتروني صادراً من المُنشئ، إذا أُرسل بوساطة منظومة آلية برمجها المُنشئ، أو شخص له صلاحية التصرف نيابة عن المُنشئ، لتعمل بشكل تلقائي نيابة عنه، بشرط أن يتحقق باستخدامها سلامة الإنشاء والإرسال التلقائيين.
7 /3 يجوز لمُنشئ السجل الإلكتروني الاستعانة فنياً بمن يراه من الوسطاء لإنشاء سجل أو إرساله، أو إنشائه وإرساله معاً، ولا يعدُّ الوسيط مُنشئاً للسجل.
المادة الثامنة:
إرسال السجلات الإلكترونية
8 /1 تقع مسؤولية إرسال السجل الإلكتروني على مَن له حق إنشائه، أو مَن تم تفويضه بإتمام عملية الإرسال.
8 /2 يكون وقت إرسال السجل الإلكتروني هو الوقت الذي تم فيه انتقال السجل من المنظومة الإلكترونية للمرسل إلى أي منظومة أخرى خارج صلاحيات المرسل، وفي حالة قيام المرسل إليه بتعريف مسبق ومحدد للمنظومة الإلكترونية التي يتم استقبال السجلات الإلكترونية عليها، فإن وقت استقبال السجل هو وقت دخول السجل الإلكتروني المرسل إلى تلك المنظومة، أما في حالة عدم تحديد منظومة معينة، فإن وقت استقبال السجل يُعدُّ الوقت الذي دخل فيه السجل الإلكتروني إلى أي منظومة تتبع للمرسل إليه.
8 /3 ما لم يتفق مُنشئ السجل والمرسل إليه على غير ذلك، يعدُّ السجل الإلكتروني مرسلاً من العنوان النظامي للمُنشئ، ويعدُّ مسلماً للمرسل إليه في عنوانه النظامي، ولتحديد هذه الفقرة، إذا كان للمُنشئ أو للمرسل إليه أكثر من عنوان نظامي، فإنه يعتد بالعنوان الأوثق علاقة بالمعاملة المعنية، أو بالعنوان المحدد في النظام الأساسي للشخص الاعتباري أو محل الإقامة للمرسل إليه.
8 /4 يجب توافر معلومات المصدر، مثل عنوان جهاز المصدر، والوقت، وعنوان جهاز المرسل إليه في السجل الإلكتروني قبل دخوله منظومة بيانات أخرى.
8 /5 يلتزم مُنشئ السجل الإلكتروني ومرسله بشروط حفظ السجلات والبيانات المحددة في هذه اللائحة.
8 /6 عند إنشاء السجل الإلكتروني وإرساله يجب توافر الآتي:
1- يجب أن يحتفظ السجل الإلكتروني بجميع بياناته التي تضمنها عند الإنشاء، وذلك عند الإرسال والاستقبال، سواء أكان على نفس الصيغة الإلكترونية أم تم تحويله إلى صيغة مختلفة.
2- يجب أن يبيّن السجل الإلكتروني معلومات المرسل منه، والمرسل إليه، ووقت الإرسال ومكانه ووقت الاستقبال ومكانه.
8 /7 يلتزم الوسيط بضمان وصول المعلومات من منظومة المرسل إلى منظومة المرسل إليه بالمحتوى نفسه ودون تغيير.
المادة التاسعة:
الإقرار بتسلم السجل الإلكتروني
9 /1 إذا ألزم نص نظامي، أو اتفق المُنشئ مع المرسل إليه، أو إذا طلب المُنشئ من المرسل إليه، عند توجيه السجل الإلكتروني أو قبل ذلك، بأن يرسل إقراراً بتسلم هذا السجل فإنه:
1- إذا لم يتضمن النص النظامي أو اتفاق المُنشئ مع المرسل إليه أن يكون الإقرار بتسلم السجل الإلكتروني وفق شكل معين، أو بطريقة معينة، فإنه يجوز أن يتم الإقرار بتسلم السجل بطريقتين:
أ- أي إبلاغ من جانب المرسل إليه، سواء أكان بوسيلة تلقائية أم بأي وسيلة أخرى.
ب- أي سلوك من جانب المرسل إليه يكفي لإعلام المُنشئ بأن المرسل إليه قد تسلم السجل الإلكتروني.
2- إذا اشترط النص النظامي، أو اشترط المُنشئ أن يتلقى من المرسل إليه إقراراً بتسلم السجل الإلكتروني، فإن للمُنشئ أن يعدَّ إرسال السجل الإلكتروني كأن لم يكن، إلى أن يتم تسلم هذا الإقرار، ما لم يتفق على خلاف ذلك.
9 /2 يتم إثبات تسلم السجل الإلكتروني بأي شكل من أشكال الإثبات التي يتفق عليها طرفا التعامل.
9 /3 لا ينبني على تلقي المرسل إقراراً بالتسلم من المرسل إليه، أن محتوى السجل الإلكتروني الذي أُرسل متطابق مع محتوى السجل الذي تم استلامه، ما لم يشتمل السجل الإلكتروني على آلية الحفاظ على المحتوى، كأن يتم ذلك بوساطة التوقيع/الختم الإلكتروني للمرسل والمرسل إليه.
9 /4 يجب أن يحتوي الإقرار بوصول السجل الإلكتروني المعلومات ذات العلاقة بذلك، مثل: التاريخ، الوقت، رقم مميّز للرسالة محل الإقرار أو عنوان لها.
9 /5 إذا تضمن الإقرار بالتسلم الذي تسلمه المُنشئ أن السجل الإلكتروني ذا الصلة قد استوفى الاشتراطات الفنية، سواء المتفق عليها أو المحددة في المعايير المعمول بها، فإنه يفترض أن تلك الشروط قد تم استيفاؤها إلى أن يثبت العكس.
الفصل الخامس:
التوقيع/ الختم الإلكتروني
المادة العاشرة:
شروط إجراء توقيع/ ختم إلكتروني ومواصفاته
10 /1 يعدُّ التوقيع/ الختم الإلكتروني صحيحاً، إذا تم الالتزام بالضوابط والشروط التالية:
1- أن يكون التوقيع/ الختم الإلكتروني مرتبطاً بشهادة تصديق رقمي صادرة من المركز أو من مقدم خدمات التصديق المرخص له من قبل الهيئة.
2- أن تكون شهادة التصديق الرقمي المرتبطة بالتوقيع/ الختم الإلكتروني نافذة المفعول وقت إجراء التوقيع/ الختم.
3- أن تتوافق بيانات هوية صاحب التوقيع/ الختم الإلكتروني مع شهادة التصديق الرقمي.
4- إذا تم التوقيع/ الختم الإلكتروني بالاشتراك مع منظومة بيانات إلكترونية لدى الموقِّع، فيشترط سلامة الارتباط المنطقي والفني بين منظومة التوقيع/ الختم الإلكتروني، ومنظومة البيانات الإلكترونية، ومن ثم خلوهما من العيوب الفنية التي قد تؤثر في صحة انعقاد التوقيع/ الختم وإرساله.
5- توافر الحد الأدنى من البنية الفنية والإدارية، وكذلك الموارد ذات الصلة التي تتحقق بهما موثوقية إجراءات التوقيع/ الختم الإلكتروني حسب الشروط الفنية الواردة في إجراءات التصديق الرقمي الخاصة بالمركز أو بمقدم خدمات التصديق.
6- التزام صاحب التوقيع/ الختم الإلكتروني بجميع الشروط الواردة في إجراءات التصديق الرقمي الخاصة بالمركز أو بمقدم خدمات التصديق فيما يتعلق بإجراء التوقيع/ الختم الإلكتروني، بما لا يتعارض مع الأنظمة واللوائح ذات العلاقة.
10 /2 يجب أن يتألف التوقيع/ الختم الإلكتروني المرتبط بشهادة تصديق رقمي من العناصر الفنية التالية بوصفها حداً أدنى:
1- جهة إصدار شهادة التصديق الرقمي، بحيث تحتوي الشهادة على جميع المعلومات الدالة على المركز أو مقدم خدمات التصديق، وتوقيعها الإلكتروني.
2- نوع التوقيع/ الختم الإلكتروني، ونطاق عمله، ورقمه التسلسلي.
3- تاريخ التوقيع/ الختم الإلكتروني، وفترة سريانه.
4- بيانات هوية صاحب التوقيع/ الختم الإلكتروني، ونطاق استخدام التوقيع/ الختم.
المادة الحادية عشرة:
الاحتياطات اللازمة لتلافي الاستعمال غير المشروع للتوقيع/ الختم الإلكتروني
11 /1 يجب على من يرغب في إجراء توقيع/ ختم إلكتروني، اتخاذ الاحتياطات اللازمة لتلافي أي استعمال غير مشروع لبيانات إنشاء التوقيع/ الختم الإلكتروني، وللمعدات الشخصية المتعلقة بتوقيعه/ ختمه، وتشمل تلك الاحتياطات ما يلي:
1- الحفاظ على شهادة التصديق الرقمي ووثائق التوقيع/ الختم الإلكتروني، الصادرة من المركز أو من مقدم خدمات التصديق.
2- تطبيق حلول وتقنيات مناسبة وموثوقة، وفقاً لما يرد في إجراءات التصديق الرقمي.
11 /2 يجوز لصاحب التوقيع/ الختم الإلكتروني، الاستعانة بجهات فنية متخصصة للمراجعة والتدقيق، بما يدعم جودة عملية التوقيع/ الختم، وموثوقيته، مع عدم الإخلال بأي ضوابط، أو شروط نظامية، أو تعاقدية بين أطراف التعامل.
11 /3 يجب على صاحب التوقيع/ الختم الإلكتروني، إبلاغ الجهة المصدرة لشهادة التصديق الرقمي فور علمه بوجود استعمال غير مشروع لتوقيعه/ ختمه، مع توثيق البيانات المتعلقة بالاستعمال غير المشروع.
المادة الثانية عشرة:
إجراءات التحقق من التوقيع/ الختم الإلكتروني
12 /1 يجب على مَن يعتمد على التوقيع/ الختم الإلكتروني، لطرف آخر، أن يبذل العناية اللازمة للتحقق من صحة التوقيع/ الختم، وذلك باستخدام بيانات التحقق من التوقيع/ الختم الإلكتروني، وفق الإجراءات التالية:
1- التأكد من منشأ شهادة التصديق الرقمي المرتبطة بالتوقيع/ الختم الإلكتروني، وأنها صادرة من المركز أو من مقدم خدمات التصديق، وفق أحكام هذه اللائحة، والتحقق من صلاحيتها، وأنها غير ملغية أو موقفة.
2- التأكد من أن البيانات المرفقة مع التوقيع/ الختم الإلكتروني، مطابقة لبيانات صاحب التوقيع/ الختم، من واقع شهادة التصديق الرقمي الصادرة له.
3- التحقق من عدم وجود رسائل تنبيه أو تحذير تفيد باحتمال وجود خلل في المطابقة الآلية للتوقيع/ الختم الإلكتروني، أو أي خلل آخر ذي صلة بالمنشأ أو المحتوى، وذلك ضمن الرسالة والتوقيع/ الختم، الواردين.
12 /2 يعدُّ التوقيع/ الختم الإلكتروني، ملغياً ولا يحدد هوية مُنشئ السجل الإلكتروني في حال اختلال أحد العناصر المقومة له وفق أحكام هذه اللائحة.
الفصل السادس:
خدمات التصديق الرقمي
المادة الثالثة عشرة:
فئات خدمات التصديق الرقمي واشتراطات تقديمها للمرخص له
13 /1 تشمل خدمات التصديق الرقمي ما يلي:
1- خدمات إصدار الشهادات الرقمية:
أ- تتيح للمرخص له تقديم خدمات إصدار شهادات التوقيعات والأختام الإلكترونية للمرخصين الآخرين الذين تحددهم الهيئة لتمكينهم من تقديم خدمات التصديق الرقمي الأخرى للمستفيد النهائي.
ب- تشمل خدمات إصدار الشهادات الرقمية ما يلي:
1- إصدار شهادة للتوقيع الإلكتروني: عملية إصدار شهادة تصديق رقمي لغرض استخدامها في عمليات توقيع إلكتروني.
2- إصدار شهادة للختم الإلكتروني: عملية إصدار شهادة تصديق رقمي لغرض استخدامها في عمليات ختم إلكتروني.
3- إصدار شهادة المصادقة للموقع الإلكتروني: إصدار شهادة تصديق رقمي لغرض استخدامها في عمليات مصادقة موقع إلكتروني.
ج- اشتراطات تقديم خدمات إصدار الشهادات الرقمية:
1- الالتزام بكافة الإجراءات والشروط الموضحة في هذه اللائحة والنظام وما تصدره الهيئة في هذا الشأن.
2- الارتباط بالمركز الجذري السعودي التابع للمركز، أو ما تحدده الهيئة -بالاتفاق مع المركز- في هذا الشأن.
د- يحق للمرخص له لتقديم خدمات إصدار الشهادات الرقمية للتوقيعات والأختام الإلكترونية، تقديم بعض أو جميع الخدمات الأخرى للتصديق الرقمي للمستفيد النهائي وفقاً لما تحدده الهيئة في هذا الشأن.
2- خدمات التوقيع الإلكتروني والختم الإلكتروني والزمني:
أ- تتيح للمرخص له تقديم خدمات التوقيع الإلكتروني أو الختم الإلكتروني أو الزمني للمستفيد النهائي.
ب- تشمل خدمات التوقيع الإلكتروني والختم الإلكتروني والزمني ما يلي:
1- إنشاء التوقيعات الإلكترونية: خدمة تتيح إنشاء توقيعات إلكترونية، باستخدام جهاز لإنشائها بناءً على شهادة توقيعات إلكترونية.
2- التحقق من التوقيعات الإلكترونية: خدمة يتم من خلالها التحقق من صحة وسلامة التوقيعات الإلكترونية.
3- حفظ التوقيعات الإلكترونية: عملية حفظ التوقيعات الإلكترونية بطريقة تضمن عدم العبث بها وإمكانية استرجاعها والتحقق منها لاحقاً.
4- إدارة جهاز إنشاء التوقيعات الإلكترونية: برنامج أو جهاز لإدارة وإنشاء التوقيعات الإلكترونية.
5- إنشاء الأختام الإلكترونية: إنشاء أختام إلكترونية باستخدام جهاز لإنشائها بناءً على شهادة أختام إلكترونية.
6- التحقّق من الأختام الإلكترونية: خدمة يتم من خلالها التحقق من صحة وسلامة الأختام الإلكترونية.
7- حفظ الأختام الإلكترونية: عملية حفظ الأختام الإلكترونية بطريقة تضمن عدم العبث بها وإمكانية استرجاعها والتحقق منها لاحقاً.
8- إدارة جهاز إنشاء الأختام الإلكترونية: برنامج أو جهاز لإدارة وإنشاء الأختام الإلكترونية.
9- إنشاء أختام زمنية إلكترونية: عملية إنشاء بيانات في صيغة إلكترونية لإثبات الوقت الذي تمّت فيه عملية التوقيع أو الختم الإلكتروني.
ج- اشتراطات تقديم خدمات التوقيع الإلكتروني والختم الإلكتروني والزمني:
1- الالتزام بكافة الإجراءات والشروط الموضحة في هذه اللائحة والنظام وما تصدره الهيئة في هذا الشأن.
2- الحصول على الشهادات الرقمية للتوقيعات والأختام الإلكترونية من خلال الربط مع مرخّص له بتقديم خدمات إصدار الشهادات الرقمية.
13 /2 ترتبط خدمة «إنشاء التوقيعات الإلكترونية» بخدمة «التحقق من التوقيعات الإلكترونية»، حيث لا يمكن للمرخص له تقديم إحداهما دون الأخرى ما لم تقرر الهيئة خلاف ذلك.
13 /3 ترتبط خدمة «إنشاء الأختام الإلكترونية» بخدمة «التحقق من الأختام الإلكترونية»، حيث لا يمكن للمرخص له تقديم إحداهما دون الأخرى ما لم تقرر الهيئة خلاف ذلك.
المادة الرابعة عشرة:
إجراءات الحصول على الترخيص وتجديده ووقفه وإلغائه والتنازل عنه
14 /1 مع مراعاة ما يصدر عن الهيئة، تكون إجراءات الحصول على الترخيص، أو تجديده، أو وقفه، أو إلغائه كما يلي:
1- التقديم
أ- تقديم طلب إصدار الترخيص، عبر الوسيلة التي تقرّها الهيئة ووفق النماذج المعتمدة منها، وذلك بعد استيفاء جميع الشروط والمتطلبات المذكورة في هذه اللائحة وما يصدر عن الهيئة.
ب- دراسة طلب الترخيص من قبل الهيئة، ولها طلب أي بيانات أو معلومات إضافية من مقدم الطلب.
ج- إشعار مقدم الطلب بنتيجة دراسة طلبه، سواء بالموافقة أو باستكمال المستندات أو بالرفض.
د- للهيئة إلغاء الطلب وإشعار مقدم الطلب في حال عدم التزامه بتقديم البيانات والمعلومات المطلوبة خلال المدة التي تحددها الهيئة.
2- الإصدار
أ- في حال صدور موافقة الهيئة على الطلب، يقوم المتقدم بطلب الترخيص بدفع المقابل المالي لإصدار الترخيص بحسب ما يصدر عن الهيئة.
ب- تُصدر الهيئة وثيقة ترخيص تقديم خدمات التصديق الرقمي لمقدم الطلب.
3- التجديد
أ- تقديم طلب تجديد الترخيص قبل 90 يوماً على الأقل من تاريخ انتهاء الترخيص، عبر الوسيلة التي تقرّها الهيئة ووفق النماذج المعتمدة منها.
ب- يلتزم مقدم طلب تجديد الترخيص بإجراءات التقديم الواردة في الفقرة 14 /1 (1) من هذه المادة.
ج- في حال صدور موافقة الهيئة على الطلب، يقوم مقدم الطلب بدفع المقابل المالي لتجديد الترخيص بحسب ما يصدر عن الهيئة.
د- تُصدر الهيئة وثيقة ترخيص تقديم خدمات التصديق الرقمي لمقدم الطلب.
4- الإيقاف والإلغاء والتنازل
أ- تقديم طلب إيقاف الترخيص أو إلغائه أو التنازل عنه، مع إرفاق جميع المبررات للطلب، والخطة التفصيلية للتعامل مع العقود الحالية المرتبطة بنطاق الترخيص والتعهد بتسليم كافة الملفات والبيانات للهيئة بالوسيلة التي تحددها الهيئة.
ب- دراسة الطلب من قبل الهيئة، ولها طلب أي بيانات أو معلومات إضافية من مقدم الطلب.
ج- إشعار مقدم الطلب بنتيجة دراسة طلبه.
14 /2 للهيئة فرض أي إجراءات أخرى تراها مناسبة في هذا الشأن.
المادة الخامسة عشرة:
تنظيم تراخيص تقديم خدمات التصديق الرقمي
15 /1 للهيئة إيقاف الترخيص أو إلغاؤه إذا أخلَّ المرخص له بالشروط والأحكام الواردة في هذه اللائحة أو الأنظمة واللوائح ذات العلاقة أو ما تصدره الهيئة من تعليمات أو قرارات، وفق الآتي:
1- إشعار المرخص له بما تم رصده، عبر الوسيلة التي تقرّها الهيئة، وتوجيهه باتخاذ إجراءات التصحيح اللازمة خلال المدة التي تحددها الهيئة.
2- تمديد مدة التصحيح للمرخص له وفقاً لتقدير الهيئة.
3- إلغاء الترخيص في حال عدم التزام المرخص له بإجراءات التصحيح المطلوبة خلال المدة التي حددتها الهيئة.
15 /2 تكون مدة تراخيص تقديم خدمات التصديق الرقمي خمس سنوات ميلادية اعتباراً من تاريخ صدورها، ما لم تقرر الهيئة خلاف ذلك.
15 /3 يخضع تقديم خدمات التصديق الرقمي للمقابل المالي المحدد من الهيئة، ولها الحق في إجراء أي تعديل عليه بعد الاتفاق مع مركز تنمية الإيرادات غير النفطية ووزارة المالية.
15 /4 يجب على المرخص له تقديم خطة إنهاء النشاط، تتضمن تفاصيل الإجراءات التي يتم اتباعها عند توقف مقدم خدمات التصديق الرقمي عن ممارسة نشاطه بطلب منه، أو في حالات إيقافه من قبل الهيئة، أو إلغاء ترخيصه أو عدم تجديده، بما يضمن حقوق جميع الأطراف ذوي الصلة.
15 /5 للهيئة الإشراف على إجراءات إطلاق الخدمة للمرخص له وإنهاؤها وتغييرها وتعليقها.
15 /6 تحدد الهيئة عدد التراخيص المتاحة لتقديم خدمات التصديق الرقمي ويحق لها تعديلها وفقاً للمصلحة العامة.
15 /7 للهيئة فرض شروط، أو إجراءات، أو متطلبات إضافية، أو إلغاء، أو استثناء بعضها على المتقدم بطلب الترخيص وفقاً لتنظيماتها والتعليمات الصادرة عنها ومقتضيات المصلحة العامة.
15 /8 للهيئة وفقاً لاختصاصها إصدار الوثائق التنظيمية والضوابط والأدلة الاسترشادية والقرارات لتنظيم تقديم خدمات التصديق الرقمي متى ما رأت الحاجة إلى ذلك.
15 /9 تحدد الهيئة الإجراءات التأهيلية والتنافسية، وآلية طرح تراخيص تقديم خدمات التصديق الرقمي دون الإخلال بالأنظمة المعمول بها في المملكة العربية السعودية.
المادة السادسة عشرة:
الشروط والضوابط اللازمة للحصول على الترخيص
16 /1 يجب أن يتوفر لدى المتقدم بطلب ترخيص تقديم خدمات التصديق الرقمي ما يلي:
1- سجل تجاري ساري المفعول لستة أشهر من تاريخ التقديم، على أن يكون مقر المنشأة الرئيسي في المملكة، وأن يكون نشاطها الرئيسي «المعلومات والاتصالات».
2- قائمة بالأعمال والمشاريع السابقة التي تثبت تمتّع المتقدم بطلب الترخيص بالخبرة التشغيلية في مجال التصديق الرقمي، إن توفرت، أو مجال الخدمات الرقمية.
3- منظومة بيانات إلكترونية ومنظومة لشهادات التصديق الرقمي وللتواقيع والأختام الإلكترونية، ضمن بيئة عمل فنية قياسية حسبما يرد في سياسة الشهادة الرقمية وإجراءات التصديق الرقمي.
4- بنية تحتية فنية، وموارد إدارية على درجة عالية من الكفاءة والمعيارية بمستوى لا يقل عن المقاييس المحددة وفقاً لسياسة الشهادة الرقمية وإجراءات التصديق الرقمي، لتشغيل وإدارة جميع عمليات التصديق الرقمي التي من أهمها إصدار شهادات التصديق الرقمي، وما يتبع ذلك من تجديد للشهادات، وتعليقها، وإلغائها، وإعادتها.
5- إتاحة البيانات الخاصة بالتحقق من صحة الشهادات، والتواقيع والأختام الإلكترونية لجميع أطراف التعامل الإلكتروني، مع ضمان ربطها مباشرة بقوائم الشهادات الموقوفة والملغاة.
6- تأسيس جميع الموارد الإلكترونية وتشغيلها وإدارتها، وفق آلية تضمن عمليات الحفظ و(الأرشفة)، وكذلك النقل إلى منظومات وقواعد بيانات قياسية أخرى، مع توفير البدائل والخطط التي بموجبها يتم ضمان استمرار الخدمة.
المادة السابعة عشرة:
التزامات المرخص له
17 /1 يلتزم المرخص له بما يلي:
1- الامتثال للنظام وهذه اللائحة وما يصدر عن الهيئة والجهات التنظيمية ذات العلاقة بشأن المسائل المحددة في نطاق هذه اللائحة.
2- الامتثال للأنظمة واللوائح والتنظيمات المتعلقة بتقديم الخدمات الرقمية للمستفيدين في المملكة العربية السعودية.
3- الاحتفاظ بكافة حسابات المستفيدين وسجلات العمليات المتعلقة بخدمات التصديق الرقمي بصورة دقيقة وأن يتم تحديثها باستمرار.
4- تقديم جميع المعلومات والتقارير والمستندات ذات العلاقة بخدمات التصديق الرقمي للهيئة وفقاً للآلية التي تحددها الهيئة في هذا الشأن.
5- إبلاغ الهيئة بأي تغييرات في الهيكل الإداري في غضون خمسة أيام من إحداث التغيير.
6- عدم استخدام الترخيص لغير الغرض المرخص له، إضافة إلى عدم استخدامه فيما من شأنه الإضرار بسمعة المملكة العربية السعودية، أو حكومتها، أو الهيئة، أو الجهات ذات العلاقة.
7- استخدام الوسيلة والنماذج التي تقرّها الهيئة في كل ما يتعلّق بإصدار، وإدارة التراخيص، وإرسال البيانات، والمعلومات.
8- الاستجابة لتوجيهات الهيئة بشأن الربط مع أنظمتها أو أي أنظمة للجهات الحكومية الأخرى، أو الربط مع أي مقدم خدمات تصديق آخر بحسب ما تصدره الهيئة، والتعاون في تبادل البيانات وفق الآلية التي تحددها الهيئة والجهات ذات العلاقة.
9- الحصول على موافقة مسبقة من الهيئة قبل القيام بأي عملية اندماج أو تضامن مع أي طرف آخر أو استحواذ على 5% أو أكثر من أسهم أو حصص مقدم خدمات التصديق، مع الالتزام بتقديم دراسة شاملة للهيئة، تبيّن المسوغات والأهداف، وكذلك أثر ذلك على الخدمات والمستفيدين. ويحق للهيئة -بناءً على ما تقتضيه الأنظمة ومصلحة المستفيدين- رفض الطلب أو طلب تعديله أو الموافقة عليه.
10- الالتزام بأن تكون جميع الأنظمة والأجهزة والبرامج والخوادم المستخدمة لتقديم الخدمات في مجال التصديق الرقمي موجودة داخل المملكة العربية السعودية.
11- إبلاغ الهيئة والجهات ذات العلاقة والمستفيدين بشكل فوري عن أي مشكلة أو عند وقوع خطر يحتمل أن يهدد موثوقية الموارد الإلكترونية أو الإدارية لديه.
12- تقديم الخدمات وفق الترخيص الصادر له داخل المملكة العربية السعودية فقط، والتعهّد بعدم القيام بتقديم هذه الخدمات خارج المملكة، وعدم تفويض أي تقديم أو استخدام مباشر أو غير مباشر لهذه الخدمات خارج المملكة دون موافقة كتابية مسبقة من الهيئة.
13- إبرام اتفاقية مستوى خدمة مع المستفيدين من خدمات التصديق الرقمي وأي طرف تحدده الهيئة مع الالتزام بما تصدره الهيئة من تنظيمات ونماذج في هذا الشأن.
14- الالتزام بالمدة الزمنية التي سيتم خلالها إطلاق الخدمات وفقاً لما يصدر عن الهيئة.
15- سداد المقابل المالي للترخيص خلال المواعيد التي تحددها الهيئة.
16- التوضيح عبر القنوات الإلكترونية الرسمية له حصوله على ترخيص من الهيئة.
17- الالتزام بما يصدر عن الهيئة بشأن المقابل المالي لتقديم خدمات التصديق الرقمي.
18- إعداد العقود والإجراءات التفصيلية، بما في ذلك الحد الأعلى للمقابل المالي للخدمة للمستفيدين، واعتمادها من قبل الهيئة، بما يحفظ حقوق جميع الأطراف ذات الصلة.
19- عدم إضافة أو تعديل أي مقابل مالي على خدمات التصديق الرقمي المقدمة منه دون الحصول على موافقة مسبقة من الهيئة.
20- عدم إضافة وتقديم أي خدمات تصديق رقمي جديدة إلا بعد الحصول على موافقة الهيئة.
21- إنشاء قسم لاستقبال البلاغات والشكاوى المقدمة من المستفيدين من خدمات التصديق الرقمي.
22- إتاحة الحصول على إحدى أو كل خدمات التصديق الرقمي للمرخصين الآخرين لتقديمها للمستفيد النهائي وفقاً لما يصدر عن الهيئة في هذا الشأن.
17 /2 تقوم الهيئة وفقاً لاختصاصاتها بمراجعة وتقييم أداء مقدم خدمات التصديق، ولها في ذلك الاستعانة بمن ترى من بيوت الخبرة المتخصصة، ويشمل ذلك على سبيل المثال، التحقّق الدوري من التزام مقدم خدمات التصديق للمتطلبات المعتمدة من الهيئة من خلال إجراء عمليات التدقيق الدورية على نفقة مقدم خدمات التصديق، ولها طلب البيانات والمعلومات والتقارير في هذه الشأن.
المادة الثامنة عشرة:
استمرار الخدمة في حالة إيقاف مقدم خدمات التصديق، أو إلغاء ترخيصه أو عدم تجديده
18 /1 يجب على مقدم خدمات التصديق أن يستمر في تقديم خدماته للمتعاملين، ولا يحق له تحت أي سبب أو ذريعة التوقف أو التنازل عن تقديم أي خدمة من خدماته، دون موافقة مسبقة من الهيئة، وذلك لضمان حقوق جميع الأطراف ذات الصلة.
18 /2 في حالة قيام الهيئة بعدم تجديد ترخيص أحد مقدمي خدمات التصديق، أو إيقافه مؤقتاً أو إلغائه، يجب على الهيئة اتخاذ التدابير اللازمة لاستمرارية تقديم الخدمات إلى مستخدمي خدمات مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه وفقاً لهذه المادة.
18 /3 إذا لم يقم مقدم خدمات التصديق الموقف أو الملغى أو المنتهي ترخيصه باتخاذ التدابير المحددة من قبل الهيئة نحو ضمان حقوق المستفيدين لديه، بما في ذلك التدابير المحددة في خطة إنهاء النشاط، فإنه يجوز للهيئة اتخاذ ما يلزم لإنجاز تلك التدابير بأسرع وقت ممكن على نفقة مقدم خدمات التصديق.
18 /4 يجوز للهيئة تمديد مدة الترخيص لمقدم خدمات التصديق، وذلك ليتسنى له تصفية جميع عملياته المتعلقة بعملائه من المستفيدين، على ألا يتم تحميلهم أي تكاليف مالية تتعلق بعملية التصفية.
18 /5 في حالة صدور قرار من الهيئة بمنح مقدم خدمات التصديق الموقف، أو الملغى، أو المنتهي ترخيصه تمديداً مؤقتاً للترخيص الممنوح له، فيخضع هذا التمديد للشروط التالية:
1- عدم استدراج، أو قبول مستفيدين جدد، أو تمديد العقود، أو التدابير الأخرى القائمة مع المستفيدين الموجودين، أو توسعة نطاقها.
2- عدم تمديد العقود أو التدابير الأخرى المبرمة مع أي مرخص آخر، أو توسعة نطاق تلك العقود أو التدابير.
3- إضافة إلى أي شروط أخرى قد تفرضها الهيئة للتأكد من استمرار تلقي المستفيدين للخدمة.
18 /6 للهيئة الحق في تعديل أي من الشروط المشار إليها في الفقرة (18 /5) من هذه المادة، حسبما تقتضيه الأنظمة ومصلحة المستفيدين.
المادة التاسعة عشرة:
أحكام ومعايير التصرف في معلومات ووثائق مقدم خدمات التصديق في حالة وقف نشاطه
19 /1 يلتزم مقدم خدمات التصديق في جميع حالات وقف نشاطه بالوفاء بالمتطلبات التالية:
1- الاحتفاظ بجميع السجلات والبيانات الإلكترونية المتعلقة بشهادات التصديق الرقمي، وكذلك البيانات الأخرى ذات الصلة، وعدم تعديل محتواها، وذلك إلى حين أن يتم التصرف بها من الهيئة، أو من أي جهة أخرى معتمدة من الهيئة.
2- تزويد الهيئة -أو أي جهة معتمدة من الهيئة- بجميع التفاصيل الفنية التي تصف بنية البيانات ومواصفاتها وحجمها من الناحية الفنية.
3- تحويل البيانات ونقلها سواء بشكل كلي أو بشكل جزئي، وفق الضوابط الفنية التي يحددها المركز وتعتمدها الهيئة، بما يحفظ حقوق المتعاملين.
19 /2 يجوز للهيئة حجز الموارد الفنية وقواعد البيانات، وغير ذلك من التدابير المناسبة التي تقتضيها حماية حقوق المتعاملين.
19 /3 يحتفظ المتعامل مع مقدم خدمات التصديق، أو أي طرف لحقه الضرر، بحق رفع الدعوى أمام الجهات القضائية المختصة وطلب التعويض.
19 /4 لا يجوز لمقدم خدمات التصديق الموقف نشاطه، لأي سبب من الأسباب، أن يحتفظ بأي نسخ من السجلات والبيانات الإلكترونية الناتجة عن ممارسته لنشاطه الذي تم إيقافه، بعد إتمام الخطوات الواردة في الفقرة (19 /1) من هذه المادة.
الفصل السابع:
شهادات التصديق الرقمي
المادة العشرون:
عناصر شهادة التصديق الرقمي
20 /1 يحدد المركز -وفق ما يصدر عن الهيئة- العناصر الفنية الواجب توافرها في شهادة التصديق الرقمي، على أن تتضمن العناصر الفنية التالية بوصفها حداً أدنى:
1- جهة إصدار شهادة التصديق الرقمي، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مقدم خدمات التصديق.
2- بيانات هوية صاحب الشهادة، ونطاق استخدام الشهادة.
3- تاريخ إصدار الشهادة، وفترة سريانها.
المادة الحادية والعشرون:
اعتماد شهادات التصديق الرقمي الأجنبية خارج المملكة
21 /1 تقوم الهيئة باعتماد شهادات التصديق الرقمي الصادرة من جهات أجنبية خارج المملكة.
21 /2 يجب مراعاة توافق قواعد وإجراءات الاعتراف بالجهة الأجنبية خارج المملكة المصدرة للشهادة، مع شروط وإجراءات الحصول على ترخيص تقديم خدمات التصديق.
21 /3 مع مراعاة أي ضوابط، أو شروط واردة في النظام أو اللائحة، أو أي اتفاقيات دولية نافذة، لا يؤثر اعتماد شهادات التصديق الرقمي الصادرة من الجهة الأجنبية خارج المملكة على حقوق صاحب الشهادة، أو على حقوق المتعاملين معه.
21 /4 تنشر الهيئة وفق الوسائل المتاحة قائمة بالجهات الأجنبية خارج المملكة المعترف بها من قبل الهيئة، ويتم تحديث القائمة بشكل مستمر.
21 /5 يحق للهيئة رفض شهادات التصديق الرقمي الصادرة من قبل جهة أجنبية خارج المملكة معترف بها، حسبما تقتضيه المصلحة العامة.
المادة الثانية والعشرون:
ضوابط إصدار شهادات التصديق الرقمي، وإجراءاتها، وتسليمها، وحفظها
22 /1 يلتزم المركز ومقدم خدمات التصديق بإصدار شهادات التصديق الرقمي وتسليمها وحفظها وفقاً للضوابط والإجراءات الواردة في سياسة الشهادة الرقمية وإجراءات التصديق الرقمي وما يصدر عن الهيئة.
22 /2 يلتزم المركز بالتنسيق مع الهيئة عند إعداد سياسة الشهادة الرقمية وإجراءات التصديق الرقمي وأي تحديثات تطرأ عليهما.
22 /3 يلتزم مقدم خدمات التصديق بالحصول على اعتماد الهيئة على سياسة الشهادة الرقمية وإجراءات التصديق الرقمي وأي تحديثات تطرأ عليهما.
22 /4 يلتزم مقدم خدمات التصديق بإعداد جميع النماذج والإجراءات والأدلة التي تمكنه من تقديم الخدمة بكفاءة، وفق الضوابط والشروط الواردة في النظام ولائحته التنفيذية، كما يجب اعتمادها من قبل الهيئة قبل تقديمها للمتعاملين، ولا يعفي اعتماد الهيئة مقدم خدمات التصديق من أي مسؤولية نظامية نتيجة أي ضرر قد يلحق بالأطراف التي تعتمد عليها.
22 /5 في حال المنازعات التي قد تنشأ بين الأطراف حول المواصفات الفنية، تكون الهيئة هي جهة الاختصاص لتفسير الضوابط والشروط الفنية التفصيلية، وما يتبعها من مقاييس عالمية.
22 /6 يكون مقدم خدمات التصديق مسؤولاً أمام المستفيدين عن جميع الخدمات والموارد الإدارية والفنية التي تتبع له، سواء بشكل مباشر أو غير مباشر عبر عقود الباطن.
المادة الثالثة والعشرون:
حالات إلغاء شهادات التصديق الرقمي أو إيقاف العمل بها
23 /1 يجوز إلغاء شهادة التصديق الرقمي، أو إيقاف العمل بها، بناءً على طلب من صاحب الشهادة، دون أن يؤثر هذا الإلغاء، أو الإيقاف على حقوق أي من الأطراف الذين سبق لهم التعامل بموجب الشهادة الملغاة أو الموقوفة.
23 /2 يجب على المركز أو مقدم خدمات التصديق إيقاف الشهادة أو إلغاءها بناءً على قرار من الهيئة، أو من غيرها من الجهات ذات الاختصاص، ويعدُّ المركز أو مقدم خدمات التصديق -بناءً على ذلك- مسؤولاً عن إكمال الإجراءات التالية:
1- تنفيذ ما ورد في قرار الإلغاء أو الإيقاف.
2- إشعار صاحب الشهادة بالإجراءات التي تمت.
3- تنبيه كل من يعتمد على الشهادة مستقبلاً بعدم صلاحية الشهادة، وفقاً لإجراءات التصديق الرقمي.
الفصل الثامن:
أحكام ختامية
المادة الرابعة والعشرون:
متطلبات الأمن السيبراني
24 /1 يجب على كافة المعنيين بأحكام هذه اللائحة، الالتزام بما يصدر عن الهيئة الوطنية للأمن السيبراني -وفقاً لاختصاصها ومهماتها- من سياسات وأطر ومعايير وضوابط وإرشادات حيال أي متطلبات أو مواصفات فنية متعلقة بالأمن السيبراني مما له علاقة بأحكام هذه اللائحة.
المادة الخامسة والعشرون:
نشر اللائحة
25 /1 تُنشر هذه اللائحة في الجريدة الرسمية ويُعمل بها من تاريخ نشرها.