قانون المعاملات الإلكترونية

في تطبيق أحكام هذا القانون، يكون للكلمات والعبارات الآتية المعنى المبين قرين كل منها، ما لم يقتض سياق النص معنى آخر:

تسري أحكام هذا القانون على المعاملات والوثائق والتوقيعات الإلكترونية وخدمات الثقة.

لا تخل أحكام هذا القانون باستقلالية البنك المركزي العماني في القيام بعملياته وفي تنظيم عمليات المصارف المرخصة والمؤسسات المالية الخاضعة لإشرافه ورقابته، وبسرية المعلومات والبيانات المتعلقة بتلك الجهات، والدخول إلى أنظمتها.

تنشأ في الوزارة بقرار من الوزير لجنة تسمى “لجنة إدارة خدمات الثقة”، تشكل من رئيس وعدد من الأعضاء من ذوي الخبرة، وتحدد اللائحة نظام عملها.

تختص لجنة إدارة خدمات الثقة بالآتي: ١ – اعتماد الضوابط والإجراءات المتعلقة بتقديم خدمات الثقة، لا سيما خدمات الثقة المقدمة للأشخاص ذوي الإعاقة، بما يتناسب مع احتياجاتهم. ٢ – اعتماد الضوابط والإجراءات والمعايير المتعلقة بأنظمة الهوية الإلكترونية، وإجراءات التحقق من الهوية الإلكترونية، وذلك بعد التنسيق مع الجهات ذات العلاقة. ٣ – منح، وتجديد، وإيقاف، وإلغاء تراخيص تقديم خدمات الثقة، والموافقة على التنازل عنها، على النحو الذي تبينه اللائحة. ٤ – اعتماد مقدم خدمات الثقة الأجنبي، والاعتراف بالشهادات الصادرة عنه، وذلك على النحو الذي تبينه اللائحة. ٥ – الموافقة على إنشاء المفاتيح الجذرية للجهات المرخص لها، واعتماد المفاتيح الجذرية التي تنشئها تلك الجهات. ٦ – اعتماد تقارير التدقيق على أنشطة مقدمي خدمات الثقة. ٧ – اعتماد سجل مقدمي خدمات الثقة.

يكون لموظفي الوزارة الذين يصدر بتحديدهم قرار من السلطة المختصة بالاتفاق مع الوزير صفة الضبطية القضائية في نطاق تطبيق أحكام هذا القانون واللائحة والقرارات الصادرة تنفيذا لأحكامه.

باستثناء مفاتيح التشفير التي يحددها مجلس الأمن الوطني، يجب على صاحب مفتاح التشفير تمكين المخولين صفة الضبطية القضائية من فحص المعلومات الضرورية المتعلقة بالمفتاح.

تعتبر الوثيقة الإلكترونية وثيقة مكتوبة، وتنتج آثارها القانونية، إذا توفر في إنشائها واعتمادها الشروط المنصوص عليها في هذا القانون واللائحة والقرارات الصادرة تنفيذا لأحكامه.

يتحقق حفظ الوثيقة الإلكترونية أو المعلومات أو البيانات الإلكترونية إذا توفرت الشروط الآتية: ١ – حفظ الوثيقة أو المعلومات أو البيانات إلكترونيا في الشكل الذي أنشئت أو أرسلت أو تسلمت به في الأصل، أو بشكل مشفر، أو في أي شكل يضمن عدم إجراء أي تغيير أو تعديل على محتواها. ٢ – بقاء الوثيقة أو المعلومات أو البيانات محفوظة على نحو يتيح الوصول إليها واستخدامها والرجوع إليها في أي وقت. ٣ – حفظ الوثيقة أو المعلومات أو البيانات بطريقة تمكن من التعرف على المنشئ والمرسل إليه، وتاريخ ووقت إنشائها أو إرسالها أو تسلمها. ولا يخل حكم الفقرة السابقة بأي حكم منصوص عليه في أي قانون آخر يتعلق بحفظ الوثيقة الإلكترونية أو المعلومات أو البيانات الإلكترونية.

إذا اشترط أي قانون آخر تقديم أصل الوثيقة، فإن الوثيقة الإلكترونية تعد أصلا إذا استخدمت وسيلة تسمح بعرض محتواها المراد تقديمه بطريقة واضحة ومفهومة، ويعتمد عليها فنيا للتحقق من سلامة المعلومات أو البيانات الواردة فيها.

عند تطبيق قواعد الإثبات في أي إجراءات قانونية، فإنه لا يحول دون قبول الوثيقة الإلكترونية أن تكون قد جاءت في غير شكلها الأصلي، إذا كانت الوثيقة الإلكترونية أفضل دليل يتوقع بدرجة مقبولة أن يحصل عليه الشخص الذي يقدمه، وتكون لهذه الوثيقة حجية في الإثبات، بمراعاة الآتي: ١ – مدى إمكانية الاعتماد على الطريقة التي تم بها تنفيذ واحدة، أو أكثر من عمليات المعالجة كالإدخال أو الإنشاء أو التخزين أو التقديم أو الإرسال. ٢ – مدى إمكانية الاعتماد على الطريقة التي تمت بها المحافظة على سلامة المعلومات أو البيانات الإلكترونية. ٣ – مدى إمكانية الاعتماد على مصدر المعلومات أو البيانات الإلكترونية، إذا كان معروفا. ٤ – مدى إمكانية الاعتماد على الطريقة التي تم بها التحقق من هوية المنشئ، إذا كانت ذات صلة.

تعتبر الوثيقة الإلكترونية صادرة عن المنشئ سواء صدرت عنه بنفسه ولحسابه أو بالنيابة عنه أو إذا صدرت عن طريق وسيط إلكتروني آلي معتمد للعمل تلقائيا من قبل المنشئ أو من ينوب عنه، وللمرسل إليه أن يعتبر الوثيقة الإلكترونية قد صدرت عن المنشئ، وأن يتصرف بناء على ذلك في الحالتين الآتيتين: ١ – إذا اتبع المرسل إليه إجراء سبق أن وافق عليه المنشئ. ٢ – إذا كانت الوثيقة الإلكترونية ناتجة عن إجراء قام به شخص تابع للمنشئ أو وكيل عنه مخول بالدخول إلى الوسيط الإلكتروني الآلي الذي يستخدمه المنشئ. ولا تعتبر الوثيقة الإلكترونية صادرة عن المنشئ في الحالتين الآتيتين: ١ – إذا أخطر المنشئ المرسل إليه بأن الوثيقة الإلكترونية لم تصدر عنه، ومنحه مدة معقولة من تاريخ الإخطار للتصرف وفقا لذلك. ٢ – إذا علم المرسل إليه أن الوثيقة الإلكترونية لم تصدر عن المنشئ.

يسري حكم الفقرة الأولى من المادة (١٢) من هذا القانون في حال طلب المنشئ من المرسل إليه أو اتفق معه عند أو قبل إرسال الوثيقة الإلكترونية أو عن طريقها أن يتم الإقرار بتسلمها، مع مراعاة الآتي: ١ – إذا ذكر المنشئ أن الوثيقة الإلكترونية مشروطة بتسلم الإقرار، تعامل الوثيقة الإلكترونية فيما يتعلق بترتيب الحقوق والالتزامات بين المنشئ والمرسل إليه كما لو لم ترسل إلى حين تسلم المنشئ الإقرار. ٢ – إذا طلب المنشئ إقرارا بتسلم الوثيقة الإلكترونية، ولكنه لم يذكر أن الوثيقة الإلكترونية مشروطة بتسلم الإقرار خلال الوقت المحدد أو المتفق عليه، أو إذا لم يتم تحديد وقت معين، فإن للمنشئ أن يوجه إلى المرسل إليه إخطارا بذلك، مع تحديد مدة زمنية لتسلم الإقرار، فإذا لم يتم تسلم الإقرار خلال تلك المدة، جاز للمنشئ بعد توجيه إخطار إلى المرسل إليه، أن يعامل الوثيقة الإلكترونية كأنها لم ترسل. ٣ – عندما يتسلم المنشئ إقرار المرسل إليه بالتسلم، يفترض – ما لم يثبت العكس – أن المرسل إليه قد تسلم الوثيقة الإلكترونية ذات الصلة. ٤ – إذا لم يكن المنشئ قد اتفق مع المرسل إليه على أن يتم الإقرار بشكل معين، يجوز الإفصاح عن الإقرار بالتسلم بواسطة أي مراسلة أو سلوك من جانب المرسل إليه يؤكد للمنشئ أنه قد تسلم الوثيقة الإلكترونية. ٥ – إذا نص الإقرار الذي تسلمه المنشئ على أن الوثيقة الإلكترونية ذات الصلة قد استوفت المتطلبات الفنية، يفترض – ما لم يثبت العكس – أن تلك المتطلبات قد استوفيت.

يتحدد وقت إرسال الوثيقة الإلكترونية من وقت دخولها إلى نظام معالجة المعلومات أو البيانات الإلكترونية خارج سيطرة المنشئ أو الشخص الذي ينوب عنه أو الوسيط الإلكتروني الآلي، ما لم يتفق المنشئ أو المرسل إليه على خلاف ذلك. ويتحدد وقت تسلم الوثيقة الإلكترونية وفقا للآتي: ١ – إذا حدد المرسل إليه عنوانا إلكترونيا لغرض تسلم الوثيقة الإلكترونية، يكون وقت وصولها إلى هذا العنوان هو وقت التسلم. ٢ – إذا أرسلت الوثيقة الإلكترونية إلى عنوان إلكتروني آخر تابع للمرسل إليه بخلاف الذي حدده لتسلم الوثيقة الإلكترونية يكون وقت استخراجها بواسطة المرسل إليه، أو من ينوب عنه هو وقت التسلم.

تعتبر الوثيقة الإلكترونية قد أرسلت من المكان الذي يقع فيه مقر عمل المنشئ، وأنها تسلمت في المكان الذي يقع فيه مقر عمل المرسل إليه، وإذا كان للمنشئ، أو المرسل إليه أكثر من مقر عمل، يعتد بالمقر الأوثق علاقة بالمعاملة الإلكترونية المعنية، وإذا تعذر تحديده يكون المقر الرئيسي هو مقر العمل، وفي حال لم يكن للمنشئ أو المرسل إليه مقر عمل، أو لم تكن هناك معاملة معينة بينهما، يعتد بمقر الإقامة المعتاد. وفي جميع الأحوال، يجوز للمنشئ والمرسل إليه الاتفاق على خلاف ذلك.

يكون للتوقيع الإلكتروني البسيط حجية في الإثبات إذا استوفى الأحكام المنصوص عليها في المادة (١١) من هذا القانون، ويجوز لكل ذي شأن أن يثبت بأي طريقة أن هذا التوقيع جدير بالاعتماد عليه.

يكون للتوقيع الإلكتروني المتقدم والمعتمد حجية في الإثبات إذا استوفى الشروط الآتية: ١ – أن تكون أداة إنشائه مرتبطة بالموقع، وليس بأي شخص آخر، وتحت سيطرته وقت التوقيع. ٢ – أن يكون ممكنا كشف أي تغيير يحدث عليه بعد إجراء التوقيع. ٣ – أن يكون ممكنا كشف أي تغيير يحدث في المعلومات أو البيانات الإلكترونية المرتبطة به بعد إجرائه، إذا كان الغرض من اشتراط التوقيع هو تأكيد سلامة المعلومات أو البيانات الإلكترونية التي يتعلق بها التوقيع. ومع ذلك، يجوز لكل ذي شأن أن يثبت بأي طريقة أن التوقيع الإلكتروني المتقدم والمعتمد جدير بالاعتماد عليه.

يجوز لأغراض التعاقد، التعبير عن الإيجاب والقبول كليا أو جزئيا بوسائل إلكترونية، ويعتبر ذلك التعبير ملزما لجميع الأطراف متى تم التوقيع عليه إلكترونيا، وفقا لأحكام هذا القانون واللائحة والقرارات الصادرة تنفيذا لأحكامه.

يجوز إبرام العقد بين وسائط إلكترونية آلية معدة، ومبرمجة مسبقا، للقيام بذلك، كما يجوز إبرامه بين وسيط إلكتروني آلي مملوك لشخص طبيعي، أو اعتباري، وبين شخص طبيعي، أو اعتباري إذا كان يعلم أو من المفترض أن يعلم أنه يتعامل مع وسيط إلكتروني آلي سيتولى مهمة إبرام العقد أو تنفيذه. وتحدد اللائحة الشروط الواجب توفرها في الوسيط الإلكتروني الآلي.

تكون للعقود الإلكترونية التي تبرم وفقا لأحكام هذا القانون ذات الآثار القانونية للعقود التي تبرم بالأساليب العادية، من حيث الإثبات، والصحة، والقابلية للتنفيذ، وغير ذلك من الأحكام.

تنتفي مسؤولية الوسيط مدنيا وجزائيا عن أي معلومات أو بيانات واردة في شكل وثيقة إلكترونية تخص الغير، إذا لم يكن هو مصدر هذه المعلومات أو البيانات، واقتصر دوره على توفير إمكانية الدخول إلى الوثيقة الإلكترونية. ويقصد بتوفير إمكانية الدخول إلى أي معلومات تخص الغير في تطبيق أحكام هذه المادة، إتاحة الوسائل الفنية التي تمكن من الدخول إلى معلومات واردة في شكل وثيقة إلكترونية تخص الغير أو بثها أو مجرد زيادة فاعلية البث ويشمل ذلك الحفظ التلقائي أو المرحلي أو المؤقت لهذه المعلومات بغرض إمكانية الدخول إليها، كما يقصد بالغير في تطبيق أحكام هذه المادة، أي شخص ليس للوسيط سيطرة فعلية عليه.

يشترط لانتفاء مسؤولية الوسيط وفقا لحكم المادة (٢١) من هذا القانون ما يأتي: ١ – عدم علمه بأي وقائع أو ملابسات من شأنها أن تدل، بحسب المجرى العادي للأمور، على قيام مسؤوليته المدنية أو الجزائية. ٢ – قيامه على الفور – في حالة علمه بما ذكر في البند (١) من هذه المادة – بوقف توفير إمكانية الدخول إلى تلك المعلومات، أو عرضها.

لا تخل أحكام المادتين (٢١) و(٢٢) من هذا القانون، بأي التزامات تنشأ بموجب عقد أو المفروضة بموجب أي قانون آخر، أو حكم قضائي واجب النفاذ بشأن تقييد أو منع أو إزالة أي معلومات واردة في شكل وثيقة إلكترونية أو الحيلولة دون النفاذ إليها.

تتمثل خدمات الثقة في الآتي: ١ – إصدار شهادات التصديق الإلكتروني. ٢ – التوقيع الإلكتروني المعتمد. ٣ – الختم الإلكتروني. ٤ – التحقق من الهوية الإلكترونية. ٥ – خدمات التسليم الإلكتروني. ٦ – أي خدمات أخرى تحددها الوزارة.

لا يجوز تقديم أي من خدمات الثقة إلا بعد الحصول على ترخيص بذلك من الوزارة، وفقا للشروط والإجراءات التي تبينها اللائحة. وتستثنى من ذلك خدمات الثقة المقدمة ضمن نظام معالجة المعلومات أو البيانات الإلكترونية المغلقة داخل جهة ما والجهات الخاضعة لها أو التي تشرف عليها، والذي لا يتعامل مع أي طرف ثالث، ولا يستخدم أو يقدم خدمات الثقة من أجل معاملات خارجية.

يكون ترخيص تقديم خدمات الثقة شخصيا، ولا يجوز التنازل عنه جزئيا، أو كليا، أو التوقف عن تقديم الخدمة أو الاندماج مع مقدم خدمات ثقة آخر إلا بعد موافقة الوزارة، ووفقا للشروط والإجراءات التي تبينها اللائحة.

يلتزم مقدم خدمات الثقة بالمحافظة على سرية المعلومات التي حصل عليها، باستثناء المعلومات التي سمح صاحب العلاقة – كتابة أو إلكترونيا – بنشرها والإفصاح عنها.

يكون مقدم خدمات الثقة مسؤولا عن صحة المعلومات عند تقديم خدماته، كما يكون مسؤولا عن أي ضرر يلحق الغير الذي تصرف بناء على تلك المعلومات الواردة في خدماته.

يلتزم مقدم خدمات الثقة عند إصدار شهادات التصديق الإلكتروني بالآتي: ١ – إصدار شهادات التصديق الإلكتروني وتسليمها وحفظها وفقا للترخيص الصادر له عن الوزارة، والضوابط والإجراءات التي تبينها اللائحة. ٢ – استعمال وسائل موثوق بها لإصدار شهادات التصديق الإلكتروني، واتخاذ الوسائل اللازمة لحمايتها من التزوير والتلف. ٣ – إنشاء قاعدة بيانات لشهادات التصديق الإلكتروني التي أصدرها، وحفظ تلك البيانات وما يطرأ عليها من تعديل بما في ذلك الشهادات الموقوفة والملغاة. ٤ – أخذ المعلومات ذات الصفة الشخصية من طالب الشهادة مباشرة أو من غيره بشرط أخذ الموافقة الكتابية من طالب الشهادة بذلك.

يلتزم مزود الخدمات الإلكترونية بالآتي: ١ – اتخاذ الإجراءات اللازمة للتأكد من الموقع، وصحة شهادة التوقيع الإلكتروني، والهوية الإلكترونية، وشهادة التصديق الإلكتروني. ٢ – تحديد مستوى الأمان للتوقيع الإلكتروني أو الختم الإلكتروني وفقا لطبيعة أو أهمية المعاملة التي يقصد تعزيزها بالتوقيع الإلكتروني أو الختم الإلكتروني. ٣ – اتخاذ الإجراءات اللازمة للتحقق من صحة التوقيع أو الختم الإلكتروني والشهادات المستخدمة في ذلك التوقيع. ولا تنتفي مسؤولية مزود الخدمات الإلكترونية تجاه الغير في حالة عدم الالتزام بالإجراءات الواردة في الفقرة الأولى من هذه المادة.

يعاقب بالسجن مدة لا تقل عن (١) شهر، ولا تزيد على (١) سنة، وبغرامة لا تقل عن (١٠٠) مائة ريال عماني، ولا تزيد على (١٥٠٠) ألف وخمسمائة ريال عماني، أو بإحدى هاتين العقوبتين، كل من: ١ – صاحب مفتاح تشفير رفض تمكين الموظفين المخولين صفة الضبطية القضائية من أداء واجباتهم المنصوص عليها في هذا القانون. ٢ – مقدم خدمات الثقة أو أحد العاملين لديه رفض تقديم تسهيلات للموظفين المخولين صفة الضبطية القضائية للقيام بالمراقبة، أو الإشراف، أو التفتيش على أي نظام حاسب آلي، أو جهاز، أو بيانات، أو مواد أخرى متصلة بنظام الحاسب الآلي بمقر مقدم خدمات الثقة.

يعاقب بالسجن مدة لا تقل عن (٦) ستة أشهر، ولا تزيد على (١) سنة، وبغرامة لا تقل عن (١٠٠٠) ألف ريال عماني، ولا تزيد على (٥٠٠٠) خمسة آلاف ريال عماني، أو بإحدى هاتين العقوبتين، كل من: ١ – قام بطريقة غير مشروعة بكشف مفاتيح فك التشفير أو فك تشفير معلومات مودعة لديه. ٢ – استعمل بصفة غير مشروعة عناصر تشفير شخصية متعلقة بتوقيع غيره. ٣ – استعمل بصفة غير مشروعة أداة إنشاء توقيع إلكتروني أو أداة التحقق الإلكتروني المتعلقة بشخص آخر. ٤ – قدم بيانات غير صحيحة عن هويته إلى مقدم خدمات الثقة.

يعاقب بالسجن مدة لا تقل عن (١) سنة، ولا تزيد على (٣) ثلاث سنوات، وبغرامة لا تقل عن (٥٠٠٠) خمسة آلاف ريال عماني، ولا تزيد على (٢٠٠٠٠) عشرين ألف ريال عماني، أو بإحدى هاتين العقوبتين، كل من: ١ – استغل المعلومات التي جمعها عن طالب شهادة التصديق الإلكتروني لأغراض أخرى خارج خدمات الثقة وبدون الحصول على موافقة صاحبها الكتابية. ٢ – أفشى المعلومات أو البيانات المتعلقة بشهادة التصديق الإلكتروني دون الحصول على الموافقة الكتابية لصاحب شهادة التصديق الإلكتروني. ٣ – نشر شهادة تصديق إلكتروني مزورة أو غير صحيحة أو ملغاة أو موقوفا العمل بها، أو وضعها في متناول شخص آخر مع علمه بحالها.

يعاقب بالسجن مدة لا تقل عن (٣) ثلاث سنوات، ولا تزيد على (٥) خمس سنوات، وبغرامة لا تقل عن (٢٠٠٠٠) عشرين ألف ريال عماني، ولا تزيد على (٥٠٠٠٠) خمسين ألف ريال عماني، أو بإحدى هاتين العقوبتين، كل من: ١ – قام بتقديم خدمات الثقة بدون ترخيص. ٢ – قدم بيانات أو معلومات مضللة إلى الوزارة بغرض الحصول على ترخيص خدمات الثقة.

مع عدم الإخلال بالمسؤولية الجزائية للأشخاص الطبيعيين، يعاقب الشخص الاعتباري بغرامة تعادل ضعف الحد الأقصى لعقوبة الغرامة المقررة قانونا للجريمة، إذا كانت الجريمة قد ارتكبت باسمه، أو لحسابه من قبل رئيس، أو أحد أعضاء مجلس إدارته، أو مديره أو أي مسؤول آخر يتصرف بتلك الصفة، أو بموافقته، أو بتستر، أو إهمال جسيم منه.

دون الإخلال بحقوق الغير حسني النية، على المحكمة المختصة الحكم في جميع الأحوال بمصادرة الأجهزة والأدوات والبرامج وغيرها من الأشياء التي استعملت في ارتكاب أي من الجرائم المنصوص عليها في هذا القانون، وكذلك الأموال المتحصلة منها.

مع عدم الإخلال بالعقوبات المنصوص عليها في هذا القانون، يجوز للوزارة فرض جزاءات إدارية على المخالفات التي يتم ارتكابها بالمخالفة لأحكام هذا القانون أو اللائحة أو القرارات الصادرة تنفيذا له، على ألا تزيد الغرامة الإدارية على (٢٠٠٠) ألفي ريال عماني.