صفحه اول > نظرات ارائه شده
 

 

نگاهی کوتاه به قانون مجازات جرایم رایانه ای

 

اشاره

پیش نویس قانون مجازات جرایم رایانه ای که توسط کمیته مبارزه با جرایم رایانه ای و تحت نظر شورای عالی توسعه قضایی تدوین شده است طی دو روز سمینار ابعاد حقوقی فناوری اطلاعات مورد بررسی کارشناسان مختلف قرار گرفت. نفس برگزاری این سمینار حرکت مثبتی است که نشان دهنده توجه جدی بانیان این حرکت به لزوم همفکری در جهت زدودن ابهامات و مشکلات پیش نویس قانون است. البته به رغم اینکه چنین فرصتی میتوانست یک چالش جدی و سازنده مابین متخصصین در مورد این قانون ایجاد کند متاسفانه بدلیل ضعف جدی این سمینار از جهت ابعاد فنی و عدم حضور کارشناسان IT چنین نشد و میتوان گفت این سمینار در بهترین حالت بیشتر به یک اتفاق "حقوقی-قضایی" صرف تبدیل شد تا یک کنفرانس میان رشته ای.

اما ازانجا که این قانون در هر حال به نوعی بر ادامه کار و توسعه IT در کشور تاثیرات جدی خواهد گذاشت مناسب است که با نگاهی منصفانه به نقادی پیش نویس جاری قانون بپردازیم.

 

مشخصات قانون

شاید تا به حال فرصت نکرده اید این قانون را مطالعه کنید یا اصولا مانند  مابقی متخصصین کامپیوتر ، اهل مطالعه متون خسته کننده حقوقی نیستید . اگر چنین است ، توصیه میکنیم پیش از ادامه این نوشته حتما نگاهی به آن بیاندازید .

این قانون در پنج بخش تدوین شده که در ادامه به هر یک از این بخشها به صورت مستقل خواهیم پرداخت.

 

1. تعاریف

در بخش اول اصطلاحات به کار رفته در متن قانون تعریف شده اند . با بررسی این بخش به نظر می رسد که قانون حاضر در صورت تصویب، شاید جزء معدود قوانین کشور باشد که در آن به تصریح از لغات فرنگی در این سطح استفاده شده است. مجموعا هشت اصلاح به کار رفته در طی قانون در این بخش تعریف شده اند که شامل اصطلاحاتی مانند Data، Content، Service Provider... هستند. دقت در تدوین این بخش به جهت حساسیت مطلب ، ظرافت مرزها و اتکای کل قانون به این اصطلاحات ضروری ست.

ایراد اصلی وارد بر این بخش آن است که تعاریف ذکر شده ظاهرا حاصل ترجمه لفظ به لفظ از یک یا چند منبع "خاص منظور" است. بعنوان مثال در تعریف Computer System قانون میگوید که سیستمی است که از طریق اجرای برنامه های "پردازش خودکار داده" عمل میکند. این سئوال پیش می آید که مگر "برنامه پردازش غیر خودکار داده" هم داریم که قانون گذار بر خودکار بودن ماجرا تاکید دارد. همینجا به جای "مجموعه ای از اجزای سخت افزاری به همراه نرم افزارهای مربوطه" قانون گذار ترجیح داده بگوید: "مجموعه ای از دستگاههای متصل سخت افزاری- نرم افزاری" که یا بی معنی است یا اگر هم ترکیب معنی داری باشد دور از ذهن است.

اجازه دهید ذکر خسته کننده ریز این ایرادات را با چند نتیجه کلی خاتمه دهیم:

الف. گرچه تعاریف از نظر جامعیت در حد قابل قبولی است اما در هر یک از تعاریف شاخ و برگهای اضافی و غیر لازم به چشم می خورند. (بعنوان مثال تعریف اطلاعات)

ب. رویکرد جایگزینی واژگان فارسی به جای انگلیسی به صورت کامل انجام نشده است. بعنوان مثال واژه "رایانه" به جای کامپیوتر انتخاب شده اما در متن قانون بارها واژه "کامپیوتری" به کار رفته. بعنوان مثال "جعل کامپیوتری" در ماده 26  یا بند ح از بخش تعاریف. استفاده از واژگانی که معادل مصوب فرهنگستانی دارند نیز در متن بصورت مکرر دیده میشود مانند واژه  "سیستم"  شده که ظاهرا جایگزین فرهنگستانی آن "سامانه " است. و نیز واژه هایی مثل دیسکت و سی دی (ماده 35)، پرینت (ماده 37).

 

2. جرایم و مجازاتها

بخش اصلی قانون و چالش برانگیز ترین فصل آن همین جرایم و مجازاتهاست. البته از نگاه حقوقی شاید نکات جالب تری نیز در بخش سوم یافت شود اما به لحاظ فنی و نیز از دید کاربری این بخش شایسته توجهی ویژه است.

پارامترهایی مهمی که در این بخش باید مد نظر قرار گیرند به ترتیب عبارتند از:

  • تفکیک کامل حریم خصوصی و حوزه عمومی
  • تعریف دقیق و واضح جرایم حوزه IT
  • تناسب مجازاتهای در نظر گرفته شده با جرایم
  • ملاحظات تکنولوژیک

مورد اول یک موضوع عام است که تمامی بازیگران حوزه IT در کشور می توانند (و باید) در مورد آن اظهار نظر کنند. موارد دوم و سوم بیشتر در وادی تخصصی حقوق است که البته این بدان معنی نیست که حق اظهار نظر آماتوری در این دو مورد از ما سلب شده باشد. و مورد چهارم دقیقا موردی است که باید محل تامل جدی متخصصان IT و خصوصا امنیت شبکه باشد.

 

ملاحظات مرتبط با حریم خصوصی

مرور کلی قانون حاضر نشان میدهد که در این قانون  موضوع حریم خصوصی کمتر مورد توجه قرار گرفته است. ماده 45  همین قانون صراحتا شنود اطلاعات را ممنوع میکند مگر در موارد مربوط به امنیت کشور یا با دستور مستقیم مقام قضایی. این دقیقا همان چیزی است که نه تنها به عنوان یک ماده بلکه به عنوان روح کلی قانون باید مورد توجه قرار میگرفت. به رغم تصریح ماده 45 ، در ماده 30 همین قانون شنود اطلاعات تمامی اتباع کشور توسط ISP ها و ICP ها اجباری میشود آنهم تا سه ماه. شاید استدلال مقابل این باشد که این اطلاعات اصولا تنها ذخیره میشود و فقط در موارد مذکور در قانون مورد بازخوانی و رهگیری قرار میگیرد. در مقابل این استدلال چه می توان گفت؟ آیا قانونی در حال حاضر وجود دارد که تمامی سرویس دهندگان مخابرات را ملزم به ضبط تمامی مکالمات کند یا ضبط مکالمات تنها با حکم قاضی ممکن است؟ اجازه دهید پیش از ادامه یکبار دیگر نگاهی بیاندازیم به قانون اساسی ج.ا.ا

اصل 25 

بازرسی و نرساندن نامه‏ها، ضبط و فاش کردن مکالمات تلفنی، افشای مخابرات تلگرافی و تلکس، سانسور، عدم مخابره و نرساندن آنها، استراق سمع و هر گونه تجسس ممنوع است مگر به حکم قانون. 

پرسش اصلی این است: آیا ارتباطات اینترنتی کمتر از ارتباطات تلفنی شخصی هستند که اینگونه خلاف نص صریح قانون اساسی عمل شده است؟ اجازه دهید بازگردیم به قانون.

ماده 21 قانون ارائه دهندگان خدمات میزبانی را به منظور جلوگیری از محتویات مستهجن موظف به بازبینی اطلاعات موجود روی هاست می کند. دراین که باید برای جلوگیری از این مساله راه حلی اندیشید شکی وجود ندارد اما این راه حل لزوما نظارت میزبانها بر روی اطلاعات شخصی کاربران نیست. دقت کنید که خدمات میزبانی صرفا به منظور میزبانی سایتهای وب نیست بلکه میزبانی اطلاعات است. بعبارتی ممکن است زمانی که Data Center راه اندازی شود ، شما داده های شخصی ، برنامه ها و عکسهای خانوادگی خود را به منظور حفاظت و سهولت دسترسی بر روی یک میزبان (بدون دسترسی همگانی) قرار دهید. این قانون ارائه دهنده خدمات میزبانی را موظف می سازد تا اطلاعات شما را مورد بازبینی قرار دهد که مشخصا با چیزی که مورد نظر شماست یعنی محرمانگی اطلاعات شخصی در تناقض است.

فهرست فوق را در زمینه معضلات این قانون از جهت حریم شخصی میتوان ادامه داد. البته ما  نیز معترفیم که باید ساز و کار مناسبی برای جلوگیری از آشفتگی بیش از حد در فضای سایبر اتخاذ شود. اما این کار باید با توجه به اصول اساسی آزادیهای فردی و حریم اشخاص صورت گیرد چیزی که خوشبختانه در قانون اساسی ج.ا.ا. مورد تاکید جدی است.

 

ملاحظات تکنولوژیک

در ارتباط با محتوای فنی قانون موارد متعددی را می توان ذکر کرد:

  1. ماده دوم کسانی را که "با نقض تدابیر حفاظتی" وارد سیستمهای مخابراتی و رایانه ای می شوند به حبس و جریمه محکوم می کند. معلوم نیست که قید "نقض تدابیر حفاظتی" به چه معناست و ذکر مستقیم آن چه لزومی دارد. مثلا اگر کسی به یک سیستم دارای فایروال که غلط پیکربندی شده است وارد شود آیا تدابیر امنیتی را نقض کرده است یا نه؟ از جهت وجود فایروال تدابیر حفاظتی را نقض کرده است اما ازانجا که قواعد فایروال به غلط به IP او اعتماد کرده اند قواعد حفاظتی را نقض نکرده و به لحاظ فنی کاملا بر طبق قواعد وارد سیستم شده است.
  2. ماده 6 مدیران و مسئولین فنی را از جهت لو رفتن اطلاعات کاملا مسئول می داند و مجازات تا دو سال زندان را برای آنها در نظر میگیرد. عملی شدن این بند به معنی ایجاد تعهدی بسیار سنگین برای مدیران رده میانی IT در کشور است. در اینصورت کمتر کسی میتواند مسئولیت حفاظت از شبکه ها و مدیریت آنها را بعهده بگیرد چون عملا به لحاظ وضعیت جاری امنیت شبکه های کامپیوتری، بعهده گرفتن چنین تعهدی غیر منطقی است.
  3. ماده 20، ICP ها را موظف به اجرای فیلترینگ جهت جلوگیری از دسترسی افراد به سایتهای پورنوگرافی و سایر سایتهای ممنوعه می سازد. در واقع این قانون کنترل را کاملا در سطح ماکرو اعمال می کند . البته این یک رویکرد است. رویکرد دیگری هم که میتوان  به این موضوع داشت این است که ISP ها را موظف به فراهم آوردن ساز و کار فیلترینگ کنیم تا مثلا مراکز پزشکی و یا دانشگاههای علوم پزشکی بتوانند به بعضی اطلاعات لازم دسترسی پیدا کنند.
  4. ماده 22 قانون، تولید انتشار و فروش داده ها ، نرم افزارها و یا وسایلی که در زمینه ارتکاب جرایم رایانه ای به کار میرود را ممنوع ساخته ، متخلفین را به حبس و جزای نقدی محکوم می سازد. بعنوان کارشناس امنیت شبکه برای من بهیچ وجه روشن نیست که نرم افزارهای مخصوص جرایم رایانه ای چه موجوداتی هستند که یک بخش قانون جهت آنها اختصاص داده شده. تمامی BackDoor ها ابزارهای Remote Control نیز هستند. تمامی Vulnerbility Scanner ها جهت امنیت نیز به کار میروند و ... تنها نرم افزاری که خاص ارتکاب جرم است  ویروسهای کامپیوتری هستند که به نظر کمی عجیب به نظر میرسد افرادی ویروس خرید و فروش کنند. جالب است که حتی ابزارهای Cracking نیز کاربردهای همچون Audit دارند. بنابراین اصولا این ماده بلاموضوع است چون چنین نرم افزارهایی اصولا وجود خارجی ندارند. به فرض اجرا این ماده در روند کار شاخه امنیت شبکه که جزء مهمترین شاخه های جاری فن آوری اطلاعات است اختلال جدی ایجاد خواهد کرد.

 

نتیجه گیری

در نهایت بد نیست چند نکته را مجددا مرور کنیم:

1.  نفس تلاش یک تیم قضایی در جهت ایجاد ساز و کارهای قانونی در حوزه IT شایان توجه است و باید ازان قدر دانی کرد

2.  تصویب و اجرای چنین قانونی باید در زمان مناسب و با حداکثر دقت صورت گیرد. کل صنعت IT در کشور نهال نوپا و بسیار نحیفی است که با اندکی سختگیری بی مورد و یا ایجاد موانع قانونی دست و پا گیر ممکن است رو به نابودی رود یا لااقل رشد آن برای مدتی مدید به تعویق افتد.

3.  معتقدیم در شرایط حاضر و با توجه به مشکلات امنیتی موجود و محتمل ، گلوگاه صنعت IT   داشتن قانون جرایم رایانه ای نیست و وجود قانون تجارت الکترونیکی و سایر قوانین در حال حاضر کافی است. بر عکس، تصویب این قانون به شکل فعلی ممکن است خود به یک گلوگاه جدی برای این صنعت تبدیل شود.

4.  تکنولوژی اطلاعات نه تنها بعنوان یک تکنولوژی که بعنوان یک شیوه نوین زندگی، بازیگران تاثیر گذار متعددی دارد اعم از متخصصین ، کاربران ، گروههای صنفی ذی نفع ،  سرویس دهندگان... تصویب هر نوع قانونی درین زمینه باید با توجه به منافع ، اشتراکها و تضادهای تمامی این گروهها صورت گیرد.