صفحه اول > نظرات ارائه شده
 

 

نگاهي كوتاه به قانون مجازات جرايم رايانه اي

 

اشاره

پيش نويس قانون مجازات جرايم رايانه اي که توسط کميته مبارزه با جرايم رايانه اي و تحت نظر شوراي عالي توسعه قضايي تدوين شده است طي دو روز سمينار ابعاد حقوقي فناوري اطلاعات مورد بررسي کارشناسان مختلف قرار گرفت. نفس برگزاري اين سمينار حرکت مثبتي است که نشان دهنده توجه جدي بانيان اين حرکت به لزوم همفکري در جهت زدودن ابهامات و مشکلات پيش نويس قانون است. البته به رغم اينکه چنين فرصتي ميتوانست يک چالش جدي و سازنده مابين متخصصين در مورد اين قانون ايجاد کند متاسفانه بدليل ضعف جدي اين سمينار از جهت ابعاد فني و عدم حضور کارشناسان IT چنين نشد و ميتوان گفت اين سمينار در بهترين حالت بيشتر به يک اتفاق "حقوقي-قضايي" صرف تبديل شد تا يک کنفرانس ميان رشته اي.

اما ازانجا که اين قانون در هر حال به نوعي بر ادامه کار و توسعه IT در کشور تاثيرات جدي خواهد گذاشت مناسب است كه با نگاهي منصفانه به نقادي پيش نويس جاري قانون بپردازيم.

 

مشخصات قانون

شايد تا به حال فرصت نکرده ايد اين قانون را مطالعه کنيد يا اصولا مانند  مابقي متخصصين کامپيوتر ، اهل مطالعه متون خسته کننده حقوقي نيستيد . اگر چنين است ، توصيه ميکنيم پيش از ادامه اين نوشته حتما نگاهي به آن بياندازيد .

اين قانون در پنج بخش تدوين شده که در ادامه به هر يک از اين بخشها به صورت مستقل خواهيم پرداخت.

 

1. تعاريف

در بخش اول اصطلاحات به کار رفته در متن قانون تعريف شده اند . با بررسي اين بخش به نظر مي رسد كه قانون حاضر در صورت تصويب، شايد جزء معدود قوانين کشور باشد که در آن به تصريح از لغات فرنگي در اين سطح استفاده شده است. مجموعا هشت اصلاح به کار رفته در طي قانون در اين بخش تعريف شده اند که شامل اصطلاحاتي مانند Data، Content، Service Provider... هستند. دقت در تدوين اين بخش به جهت حساسيت مطلب ، ظرافت مرزها و اتکاي کل قانون به اين اصطلاحات ضروري ست.

ايراد اصلي وارد بر اين بخش آن است که تعاريف ذکر شده ظاهرا حاصل ترجمه لفظ به لفظ از يک يا چند منبع "خاص منظور" است. بعنوان مثال در تعريف Computer System قانون ميگويد که سيستمي است که از طريق اجراي برنامه هاي "پردازش خودکار داده" عمل ميکند. اين سئوال پيش مي آيد که مگر "برنامه پردازش غير خودکار داده" هم داريم که قانون گذار بر خودکار بودن ماجرا تاکيد دارد. همينجا به جاي "مجموعه اي از اجزاي سخت افزاري به همراه نرم افزارهاي مربوطه" قانون گذار ترجيح داده بگويد: "مجموعه اي از دستگاههاي متصل سخت افزاري- نرم افزاري" که يا بي معني است يا اگر هم ترکيب معني داري باشد دور از ذهن است.

اجازه دهيد ذکر خسته کننده ريز اين ايرادات را با چند نتيجه کلي خاتمه دهيم:

الف. گرچه تعاريف از نظر جامعيت در حد قابل قبولي است اما در هر يک از تعاريف شاخ و برگهاي اضافي و غير لازم به چشم مي خورند. (بعنوان مثال تعريف اطلاعات)

ب. رويکرد جايگزيني واژگان فارسي به جاي انگليسي به صورت كامل انجام نشده است. بعنوان مثال واژه "رايانه" به جاي کامپيوتر انتخاب شده اما در متن قانون بارها واژه "کامپيوتري" به کار رفته. بعنوان مثال "جعل کامپيوتري" در ماده 26  يا بند ح از بخش تعاريف. استفاده از واژگاني که معادل مصوب فرهنگستاني دارند نيز در متن بصورت مکرر ديده ميشود مانند واژه  "سيستم"  شده که ظاهرا جايگزين فرهنگستاني آن "سامانه " است. و نيز واژه هايي مثل ديسکت و سي دي (ماده 35)، پرينت (ماده 37).

 

2. جرايم و مجازاتها

بخش اصلي قانون و چالش برانگيز ترين فصل آن همين جرايم و مجازاتهاست. البته از نگاه حقوقي شايد نکات جالب تري نيز در بخش سوم يافت شود اما به لحاظ فني و نيز از ديد کاربري اين بخش شايسته توجهي ويژه است.

پارامترهايي مهمي که در اين بخش بايد مد نظر قرار گيرند به ترتيب عبارتند از:

  • تفکيک کامل حريم خصوصي و حوزه عمومي
  • تعريف دقيق و واضح جرايم حوزه IT
  • تناسب مجازاتهاي در نظر گرفته شده با جرايم
  • ملاحظات تکنولوژيک

مورد اول يک موضوع عام است که تمامي بازيگران حوزه IT در کشور مي توانند (و بايد) در مورد آن اظهار نظر کنند. موارد دوم و سوم بيشتر در وادي تخصصي حقوق است که البته اين بدان معني نيست که حق اظهار نظر آماتوري در اين دو مورد از ما سلب شده باشد. و مورد چهارم دقيقا موردي است که بايد محل تامل جدي متخصصان IT و خصوصا امنيت شبکه باشد.

 

ملاحظات مرتبط با حريم خصوصي

مرور کلي قانون حاضر نشان ميدهد که در اين قانون  موضوع حريم خصوصي كمتر مورد توجه قرار گرفته است. ماده 45  همين قانون صراحتا شنود اطلاعات را ممنوع ميکند مگر در موارد مربوط به امنيت کشور يا با دستور مستقيم مقام قضايي. اين دقيقا همان چيزي است که نه تنها به عنوان يک ماده بلکه به عنوان روح کلي قانون بايد مورد توجه قرار ميگرفت. به رغم تصريح ماده 45 ، در ماده 30 همين قانون شنود اطلاعات تمامي اتباع کشور توسط ISP ها و ICP ها اجباري ميشود آنهم تا سه ماه. شايد استدلال مقابل اين باشد که اين اطلاعات اصولا تنها ذخيره ميشود و فقط در موارد مذکور در قانون مورد بازخواني و رهگيري قرار ميگيرد. در مقابل اين استدلال چه مي توان گفت؟ آيا قانوني در حال حاضر وجود دارد که تمامي سرويس دهندگان مخابرات را ملزم به ضبط تمامي مکالمات کند يا ضبط مکالمات تنها با حکم قاضي ممکن است؟ اجازه دهيد پيش از ادامه يکبار ديگر نگاهي بياندازيم به قانون اساسي ج.ا.ا

اصل 25 

بازرسي و نرساندن نامه‏ها، ضبط و فاش كردن مكالمات تلفني، افشاي مخابرات تلگرافي و تلكس، سانسور، عدم مخابره و نرساندن آنها، استراق سمع و هر گونه تجسس ممنوع است مگر به حكم قانون. 

پرسش اصلي اين است: آيا ارتباطات اينترنتي کمتر از ارتباطات تلفني شخصي هستند که اينگونه خلاف نص صريح قانون اساسي عمل شده است؟ اجازه دهيد بازگرديم به قانون.

ماده 21 قانون ارائه دهندگان خدمات ميزباني را به منظور جلوگيري از محتويات مستهجن موظف به بازبيني اطلاعات موجود روي هاست مي کند. دراين که بايد براي جلوگيري از اين مساله راه حلي انديشيد شکي وجود ندارد اما اين راه حل لزوما نظارت ميزبانها بر روي اطلاعات شخصي کاربران نيست. دقت کنيد که خدمات ميزباني صرفا به منظور ميزباني سايتهاي وب نيست بلکه ميزباني اطلاعات است. بعبارتي ممکن است زماني كه Data Center راه اندازي شود ، شما داده هاي شخصي ، برنامه ها و عکسهاي خانوادگي خود را به منظور حفاظت و سهولت دسترسي بر روي يک ميزبان (بدون دسترسي همگاني) قرار دهيد. اين قانون ارائه دهنده خدمات ميزباني را موظف مي سازد تا اطلاعات شما را مورد بازبيني قرار دهد که مشخصا با چيزي که مورد نظر شماست يعني محرمانگي اطلاعات شخصي در تناقض است.

فهرست فوق را در زمينه معضلات اين قانون از جهت حريم شخصي ميتوان ادامه داد. البته ما  نيز معترفيم که بايد ساز و کار مناسبي براي جلوگيري از آشفتگي بيش از حد در فضاي سايبر اتخاذ شود. اما اين کار بايد با توجه به اصول اساسي آزاديهاي فردي و حريم اشخاص صورت گيرد چيزي که خوشبختانه در قانون اساسي ج.ا.ا. مورد تاکيد جدي است.

 

ملاحظات تکنولوژيک

در ارتباط با محتواي فني قانون موارد متعددي را مي توان ذکر کرد:

  1. ماده دوم کساني را که "با نقض تدابير حفاظتي" وارد سيستمهاي مخابراتي و رايانه اي مي شوند به حبس و جريمه محکوم مي کند. معلوم نيست که قيد "نقض تدابير حفاظتي" به چه معناست و ذکر مستقيم آن چه لزومي دارد. مثلا اگر کسي به يک سيستم داراي فايروال که غلط پيکربندي شده است وارد شود آيا تدابير امنيتي را نقض کرده است يا نه؟ از جهت وجود فايروال تدابير حفاظتي را نقض کرده است اما ازانجا که قواعد فايروال به غلط به IP او اعتماد کرده اند قواعد حفاظتي را نقض نکرده و به لحاظ فني کاملا بر طبق قواعد وارد سيستم شده است.
  2. ماده 6 مديران و مسئولين فني را از جهت لو رفتن اطلاعات کاملا مسئول مي داند و مجازات تا دو سال زندان را براي آنها در نظر ميگيرد. عملي شدن اين بند به معني ايجاد تعهدي بسيار سنگين براي مديران رده مياني IT در کشور است. در اينصورت کمتر کسي ميتواند مسئوليت حفاظت از شبکه ها و مديريت آنها را بعهده بگيرد چون عملا به لحاظ وضعيت جاري امنيت شبکه هاي کامپيوتري، بعهده گرفتن چنين تعهدي غير منطقي است.
  3. ماده 20، ICP ها را موظف به اجراي فيلترينگ جهت جلوگيري از دسترسي افراد به سايتهاي پورنوگرافي و ساير سايتهاي ممنوعه مي سازد. در واقع اين قانون کنترل را کاملا در سطح ماکرو اعمال مي کند . البته اين يک رويکرد است. رويکرد ديگري هم که ميتوان  به اين موضوع داشت اين است که ISP ها را موظف به فراهم آوردن ساز و کار فيلترينگ کنيم تا مثلا مراكز پزشكي و يا دانشگاههاي علوم پزشكي بتوانند به بعضي اطلاعات لازم دسترسي پيدا كنند.
  4. ماده 22 قانون، توليد انتشار و فروش داده ها ، نرم افزارها و يا وسايلي که در زمينه ارتکاب جرايم رايانه اي به کار ميرود را ممنوع ساخته ، متخلفين را به حبس و جزاي نقدي محکوم مي سازد. بعنوان کارشناس امنيت شبکه براي من بهيچ وجه روشن نيست که نرم افزارهاي مخصوص جرايم رايانه اي چه موجوداتي هستند که يک بخش قانون جهت آنها اختصاص داده شده. تمامي BackDoor ها ابزارهاي Remote Control نيز هستند. تمامي Vulnerbility Scanner ها جهت امنيت نيز به کار ميروند و ... تنها نرم افزاري که خاص ارتکاب جرم است  ويروسهاي کامپيوتري هستند که به نظر کمي عجيب به نظر ميرسد افرادي ويروس خريد و فروش کنند. جالب است که حتي ابزارهاي Cracking نيز کاربردهاي همچون Audit دارند. بنابراين اصولا اين ماده بلاموضوع است چون چنين نرم افزارهايي اصولا وجود خارجي ندارند. به فرض اجرا اين ماده در روند کار شاخه امنيت شبکه که جزء مهمترين شاخه هاي جاري فن آوري اطلاعات است اختلال جدي ايجاد خواهد کرد.

 

نتيجه گيري

در نهايت بد نيست چند نکته را مجددا مرور کنيم:

1.  نفس تلاش يک تيم قضايي در جهت ايجاد ساز و کارهاي قانوني در حوزه IT شايان توجه است و بايد ازان قدر داني کرد

2.  تصويب و اجراي چنين قانوني بايد در زمان مناسب و با حداکثر دقت صورت گيرد. کل صنعت IT در کشور نهال نوپا و بسيار نحيفي است که با اندکي سختگيري بي مورد و يا ايجاد موانع قانوني دست و پا گير ممکن است رو به نابودي رود يا لااقل رشد آن براي مدتي مديد به تعويق افتد.

3.  معتقديم در شرايط حاضر و با توجه به مشکلات امنيتي موجود و محتمل ، گلوگاه صنعت IT   داشتن قانون جرايم رايانه اي نيست و وجود قانون تجارت الکترونيکي و ساير قوانين در حال حاضر کافي است. بر عکس، تصويب اين قانون به شکل فعلي ممکن است خود به يک گلوگاه جدي براي اين صنعت تبديل شود.

4.  تکنولوژي اطلاعات نه تنها بعنوان يک تکنولوژي که بعنوان يک شيوه نوين زندگي، بازيگران تاثير گذار متعددي دارد اعم از متخصصين ، کاربران ، گروههاي صنفي ذي نفع ،  سرويس دهندگان... تصويب هر نوع قانوني درين زمينه بايد با توجه به منافع ، اشتراکها و تضادهاي تمامي اين گروهها صورت گيرد.