صفحه اول > مقالات

 

 

میز گرد قانون مبارزه با جرایم رایانه‌ای

 

مقدمه:

گروه امداد امنیت کامپیوتری ایران از ابتدا قانون مجارات جرایم رایانه ای را با دقت زیر نظر داشته و سعی کرده است با جمع آوری نظرات ، به تدوین قانونی مناسب کمک کند. به همین دلیل بود که پس از حضور در همایش بررسی ابعاد حقوقی فناوری اطلاعات و جمع آوری نظرات بعضی کارشناسان، سعی داشت تا در جلسه ای حضوری و در محیطی صمیمی با دبیر محترم کمیته مبارزه با جرایم رایانه ای به بحث و بررسی قانون بپردازد. خوشبختانه این امر با کمک ماهنامه دنیای کامپیوتر و ارتباطات میسر شد و جلسه ای در دفتر این ماهنامه تشکیل گردید. در این جلسه آقایان رضا پرویزی(دبیر کمیته مبارزه با جرائم رایانه‌ای)، شاهپور دولتشاهی(کارشناس حقوق)، محمود اروج‌زاده (مدیرمسئول ماهنامه ماهنامه دنیای کامپیوتر و ارتباطات) ، علی مولوی(کارشناس فناوری اطلاعات و عضو تحریریه ماهنامه دنیای کامپیوتر و ارتباطات)، علیرضا قمی(کارشناس امنیت شبکه) و سیدمحمدرضا رشتی (کارشناس فناوری اطلاعات و مدیر سایت "گروه امداد امنیت کامپیوتری ایران")حضور داشتند. متن ذیل گزارشی مختصر از جلسه فوق است.

 

اروجزاده: جناب آقای پرویزی! لطفاً مختصراً تاریخچهای از زمینه و چگونگی تدوین این پیشنویس بفرمایید.

پرویزی: در اواخر شهریور سال 81 با دستور آقای هاشمی شاهرودی: کمیته مبارزه با جرایم رایانهای برای تدوین قوانین لازم در زمینه IT تاسیس شد، این مسئله البته بنا به درخواست دبیر شورای عالی اطلاعرسانی، آقای جهانگرد بود، ایشان در شورای معاونین قوه قضاییه، طرح تکفا، و ضرورت زیرساختهای حقوقی و قانونی را مطرح کرده بود: مسئولیت کمیته به بنده محول شد و سپس چندین جلسه درباره قوانین لازم در این زمینه، و همچنین اولویت هر کدام مورد بحث قرار گرفت.

    به این نتیجه رسیدیم که اولویت، ایجاد امنیت در فضای سایبر است. در این زمینه در کشورمان کاری تا بحال نشده بود. البته قبلاً یک کار مطالعاتی در شورای عالی انفورماتیک شده بود. ما به سراغ همه افراد و صاحبنظران در این زمینه رفتیم و نظراتشان را جمعآوری کردیم، طبیعتاً کسانی که به کار تدوین این قانون میپردازند، باید هم مسلط به حقوق و هم به فناوری اطلاعات باشند، یافتن چنین افرادی آسان نبود، ابتدا به نظر میرسید که کسانی را که با فناوری آشنا هستند آموزش حقوق بدهیم، که چنین چیزی در کوتاه مدت ممکن نبود، به این نتیجه رسیدیم که این که حقوقدانانی را که الفبای فناوری اطلاعات را بشناسند، آموزش دهیم، عملیتر است.

    با فراخوانی در دانشکدههای حقوق، از متخصصین فوق لیسانس و دکترا تعداد زیادی آمدند و از بین ایشان کسانی که با کامپیوتر ناآشنا نبودند را در کوتاه مدت تعدادی آموزش مبانی فناوری اطلاعات دادیم. همچنین در حدامکان هم مبانی حقوق کیفری فناوری اطلاعات را آموزش دیدند، ما با همین گروه کار را شروع کردیم.

قمی: در مورد تعداد این گروه بفرمایید.

پرویزی: از دانشکده حقوق دانشگاه تهران و شهید بهشتی و امام صادق و دانشگاه آزاد و همچنین از بین قضات تهران، 22 نفر فقط در بخش حقوقی داشتیم. همراه با پیشرفت کار، ما مشاوره هم داشتیم، مثلاً در زمینه حقوق جزایی بینالملل، معاون دادستان در امور بینالملل به ما مشاوره میداد و همچنین قضات. در کنار این گروه، افراد فنی هم حضور داشتند، و از انجمن ISPها، انجمن شرکتهای انفورماتیک، مجمع ناشران الکترونیک، تعدادی کارشناس امنیتی شبکه و از مرکز تحقیقات مخابرات، در مجموع حدود 50 نفر این گروه را تشکیل داده بودند. چندین جلد کتاب خارجی تهیه کردیم و نیز از منابع اینترنتی و خارجی.

    در مجموع این پیش نویس، با پشتوانه حقوق و فنی و با تلاش و مشاوره فراوان تهیه شده است. بعد این پیشنویس را در سطح بالاتری بردیم و در جلسهای با حضور آقای جهانگرد و آقای جمشیدی به طورهفتگی بررسی میشد. در آنجا از 80 ماده به کمتر از 60 ماده تقلیل پیدا کرد. ما به این مرحله هم بسنده نکردیم، در همایش بررسی حقوق فناوری اطلاعات، آن را مورد بررسی قرار دادیم. البته باز هم در لایههایی دیگر مورد نظرخواهی قرار دارد و تا گذر از مرحله قوه قضاییه به دولت، امکان ویرایش آن وجود دارد، همین طور در دولت هم قابل تغییرات. بعضی نکات در این هست که صرفاً به دلیل تبعیت از تعاریف کلیتر وجود دارد، مثلاً در زمینه تعریف "سیستم رایانهای" با وجود تعاریف گوناگون در جهان، ما ترجیح دادیم که تعریف قانون تجارت الکترونیک را ملاک قراردهیم، مانند "داده رایانهای"، "اطلاعات"، "داده محتوا" و... ما نهایتاً همه نظرات را میخوانیم و دنبال میکنیم، حتی وبلاگی را هم که در نقد و اعتراض به این قانون به وجود آمده مطالعه میکنیم.

اروجزاده: مدل مورد نظرتان در تدوین این قانون چه بوده؟ و سهم و نقش هر کدام از دو جنبه حقوقی و فناوری چه میزان بوده است؟

پرویزی: در این زمینه در دنیا عموماً به 3 روش عمل میشود، در برخی کشورها مانند هند، همان قوانین کیفری سنتی که دارند، مورد استفاده قرار میگیرد و اگر چنانچه موضوع جدیدی (مثلاً دسترسی غیرمجاز در شبکه) مطرح شود، ماده یا موادی به همان قانون یا قانون دیگر اینترنتی اضافه میکنند.
    گروه دیگری (مانند برخی ایالت
های امریکا) حتی سرقت و قتل کامپیوتری و... را هم در جرایم کامپیوتری قرار میدهند. در مدل سوم، درجایی که قوانین سنتی جوابگو نباشند، به جرایم کامپیوتری تبدیل میشوند، همچنین بعضی موارد که در قوانین سنتی جرم محسوب میشوند، ولی وقتی وارد فضای رایانهای میشوند، ابهام ایجاد میکنند که جرم هستند یا نه؟ مانند "نشر اکاذیب" (که مصداق ماده 698 است) و یا "جعل" (در ماده 523) که گفته شده "هر کس که سندی را بتراشد یا بخراشد و . . . " در جرایم سنتی، مصداق آن حتماً در زمینه سند مکتوب است، بنابراین در نوشته کامپیوتری مورد ابهام است، مورد بحث قرار میگیرند.
    ما در جاهایی که خلاء قانونی داشتیم آنرا پر کرده
ایم. مثلاً در قانون داریم که هرکس که وارد تا سیاست نظامی به صورت غیرمجاز شود چند سال حبس میشود، حالا اگر وارد سایتهای نظامی شود چطور؟ طبیعتاً قابل اجرا نیست و سعی کردهایم این خلاء ها را پر کنیم.

رشتی: یکی از مشکلات این است که تا به حال مثلاً امکان جاسوسی از طریق تلفن وجود داشت، ولی مگر قانون جاسوسی از طریق تلفن داشتیم که حالا جاسوسی رایانهای داشته باشیم؟ ولی با توضیح شما مشخص شد که در واقع رفع ابهام است.

پرویزی: ما همه قانون قوانین مرتبط با جاسوسی را مطالعه کردیم، آیا اسناد طبقهبندی شده و سری، شامل دادههای کامپیوتری هم میشود؟ طبعاً نه! بنابراین باید ابتدا دادههای سری را تعریف کرد و سپس تکلیف آنها را مشخص کرد. ببینید قاضی در مقام قضاوت باید مبتنی بر کلمه به کلمه قانون قضاوت کند، قانون به قدری فراگیر و شفاف باشد که امکان تفسیر نباشد.

رشتی: در قانون در جایی بحث بعضی ابزارها و نرمافزارهای امنیتی است، شما خوب میدانید که اینها اکثراً دو منظوره هستند بنابراین این ماده شامل گروههای فعال و متخصص امنیتی هم میشوند...

پرویزی: ببینید نظراتی که برخی دوستان قوه قضاییه دادهاند این است که در این موارد قید "صرفاً برای ارتکاب جرم" هم بیاید، ببینید، مثلاً به نظر شما آیا Sub7 صرفاً برای ارتکاب جرم به کار میرود یا نه؟

قمی: به نظر من لزوماً نه!

پرویزی: چرا، ممکن است الان نباشد، ولی فردا ممکن است هر کسی استفاده غیرمجاز از آن بکند...

قمی: به نظر من ممکن نیست ابزاری پیدا کنیم که "صرفاً" برای هک و ارتکاب جرم باشد، عموماً استفاده امنیتی و مدیریت امنیت هم میشود...

پرویزی: مثلا ابزاری هست که در تماس Dial-up شما با شرکت ISP فقط و فقط برای شنود به کار میرود، آن هم شنود دادهها

قمی: اما شرکتهای مخابراتی همین ابزار را در کنار تجهیزات خود میفروشند برای Diagnostics

پرویزی: ببینید مانند اسلحه است که داشتن آن در کشور ما جرم است، ولی قاضی و پلیس و . . . قانوناً آن را دارند.

رشتی: اگر یک شرکت خصوصی از این ابزارها به منظور بررسی وضعیت یک شبکه استفاده کندتا بتواند نقایص آن را بیابد وگزارش کند، الان مشمول انجام جرم است در این قانون!

پرویزی: معلوم است که بخشهایی به وجود میآیند که کار بررسی و مطالعه و تأمین امنیت شبکهها را انجام خواهند داد، و قاعدتاً باید قانون دیگری باشد که در مورد وضعیت آنها نظر بدهد، این قانون فعلی قرار نیست که در همه مورد نظر بدهد و تکلیفشان را معلوم کند. مثل کسی که به دلایل مشخصی میتواند تقاضای مجوز داشتن اسلحه بکند...

قمی: باید محیط وشرایط کلی به گونهای باشد که برای قانون مساعد باشد، مثلاً مدتی پیش دیدم که در امریکا برعلیه "مهندسی معکوس" (Reverse Engineering) نرمافزارها در حال قانون گذاری هستند، در حالی که تا مدتی پیش خودشان از آن درآمد کسب میکردند ولی حالا که چین وارد این عرصه شده و آنها درآمدشان از این بابت کاهش یافته، علیه آن قانون وضع میکنند بنابراین قانون باید ناظر برسود و منافع ملی باشد، مثال دیگر، مدتی پیش نویسنده ویروس "سارس" در آلمان دستگیر شد، جالب است که نوعی غرور در این کشور از این بابت به وجود آمد! که قابل توجه است و کمتر جایی به این موضوع پرداخته شد، نکته پنهان در این قضیه، انتقال سرمایه عظیمی در زمینه نرمافزار از آمریکا به کشور چک است، چون بیشترین منبع هک در دنیا کشور چک است... منظورم این است که تجربه آنها نشان میدهد که اجازه دادند که سیستم آنها به سطحی از بلوغ برسد، (که البته ممکن است کمی هم بینظمی در آن وجود داشته باشد) ولی در مجموع نبودن قید و بندها باعث سود عمومی برای کشور میشود، با رسیدن به بلوغ، بحث قانون و محدودیتها به وجود میآید. به نظر من این قانون در شرایط فعلی برای کشورما و با شکل فعلیاش شاید زود باشد...

پرویزی: اشکالی که در چنین نظری وجود دارد، بیقانونی و هرج و مرجی است که به وجود میآید و قابل کنترل نیست، در حالی که از ابتدا میتوان همه مقدمات و شرایط و نیازها و مشکلات را دید، مضافاً این که این تکنولوژی هم بسیار سریع و درحال تغییرات و اگر بخواهیم صبر کنیم تا در آینده برای آن بستر سازی و قانونگذاری کنیم، دیگر زمان را از دست خواهیم داد.

قمی: البته میتوان نوعی قانون مینیمالیستی داشت که نیاز امروز را برطرف کند، و نه قانون حداکثری و گسترده

پرویزی: اتفاقاً این قانون کاملاً حداقلی است و خیلی مباحث در آن دیده نشده، مثلاً بحث اسپم و...

دولتشاهی: اگر میبینید که این قانون کمی بیشتر و جلوتر از وضع و شرایط فعلی ما را هدف قرار داده است، به این خاطر است که اصولاً مطابق قانون اساسی، یکی ازوظایف قوه قضاییه، "پیشگیری از جرم" است، و با توجه به سرعتی که در وقوع و پیشرفت جرایم رایانهای دیده میشود، نمیتوانیم هر سال قانون تازهای را وضع کنیم، این سرعت ایجاب میکند که ما پیشبینی 5 سال آینده را بکنیم، این به اقتضای ماهیت جرایم رایانهای است.

اروجزاده: پیامد مهمی که قانون حداکثری و سختگیری میتواند داشته باشد هم به نظر من قابل توجه است، فرض کنید که نتیجه یک قانون، سختی و محدودیت زیاد در کار فعالان این بخش مثل ISPها و شرکتهای میزبان و... باشد، قطعاً این محدودیت باعث میشود بخش زیادی از سرمایهگذاران این حوزه خارج شوند، و چون اصولاً اینترنت و کلاً IT در کشورمان توسط بخش خصوصی دنبال میشود و توسعه پیدا میکند، بعید نیست که به کلیت این حوزه مهم و مؤثر علمی و اقتصادی کشورمان لطمه اساسی بخورد.

پرویزی: البته در دنیا معمولاً شرکتی به نام ISP همه خدمات از قبیل اینترنت و هاستینگ و ثبت دامنه و... را انجام میدهد، ولی ما اینجا آمدهایم و به دلایل مختلف آن را تکهتکه کردهایم! نکته بعد این که مطابق مستندات و قوانین مختلف در دنیا، مطالعه نشان میدهد که مهمترین اصل ، "از بین بردن کردن خلاف در نطفه" است، که بستر اصلی آن در "هاستینگ" است، یعنی از طریق آن میتوان مشکلات مراحل بعدی در ISP و... را پیشگیری کرد؛ مثلاً شرکتی که یک نام دامنه مسئلهدار را ثبت میکند، قطعاً از نام آن میتواند بفهمد که هدف از سایت آن چه خواهد بود، آیا این شرکت هاستینگ مسئولیتی نخواهد داشت؟ ما در این باره بحثهای فراوانی داشتیم، مسئولیتی هم که برای هاست در قانون آمده، برای مسائل اخلاقی و پورن است، نه برای مسائل سیاسی و توهین و امثال اینها. حتی در این موارد هم طوری نیست که هاست موظف به قضاوت باشد، بلکه فقط مصادیق بارز مانند عکسهای پورنوگرافی و... مسئول است.

مولوی: البته معمولاً به این ترتیب هم نیست که این موارد را بتوان به راحتی پیدا کرد، یعنی این که چنین مصادیقی در همان صفحات اصلی و اولیه قرار نیست که مدیر هاست بتواند به راحتی آن را پیدا کند، بنابراین نمیتوان همیشه آن را "مصداق بارز" دانست...

پرویزی: قطعاً در آییننامه اجرایی قانون، موضوع به تفصیل بررسی خواهد شد، یعنی اگر کسی روی هاست شما مورد خلافی ببیند، (مثلاً توهین به خودش) در این مورد با اعلام قانونی، آن مورد باید از روی هاست حذف شود (ونه همة سایت) و اگر در طول زمان معینی، فرد مدعی نتواند از مجاری قانونی اقدام کند، مسئله منتفی خواهد شد، همچنین در قانون شبکههای اطلاعرسانی (که الآن در دست کار و بررسی است) همه جزئیات و ضوابط و شبکهها دقیقتر مشخص میگردد.

    این نکته را هم نباید فراموش کرد که در تدوین این قانون، نمایندگان بخش خصوصی هم حضور داشتهاند(رییس انجمن ISPها) و به اندازه کافی تلاش برای حفظ حقوق بخش خصوصی کردهاند.

قمی: نکته دیگر، حفظ حریم خصوصی کاربران است، اگر قرار باشد همه اطلاعات ردوبدل شده کاربران، ذخیره و بررسی گردد که مبادا در آینده جرمی اتفاق بیفتد، این در واقع تجاوز به حریم خصوصی است...

پرویزی : بله، ولی این برداشت ناشی از یک سوءتفاهم رایج است. ببینید، "داده محتوا" و "داده ترافیک" تفاوتشان همین است، از نگاه ناظر خارجی ، من در ساعت خاصی وارد دفتر مجله کامپیوتر و ارتباطات میشوم و با آقای اروجزاده یک ساعت صحبت میکنم، این "داده ترافیک" است و در واقع سابقه کار، ولی این که محتوای صحبت ما چیست Content است. ISP قرار نیست که محتوا را ثبت کند و این که کاربر چه سایتهایی را دیده و... بلکه قرار است نوع خدمات اصلی ثبت شود (پروتکلها مثل ... , HTTP , Mail , FTP) و نحوه ارتباط (شامل مبدا ارتباط که آدرس IP آن است) و مدت آن و هویت کاربری که تماس گرفته و مبدا ارتباط (شماره کاربر) یعنی هویت تماس گیرنده باید برای شما مشخص باشد و مسیر هم به این معنا که مثلاً شما از داخل یک LAN وصل شدهاید به یک ISP و از آنجا به یک ICP کشور، تا اینجا مسیر است.
        بنابراین این طور نیست که همه سایت
هایی که دیده باید ثبت شود و... بلکه فقط "داده ترافیک" ثبت میشود، این مفهوم هم دقیقاً مطابق با تعریف کنفرانسیون بینالمللی جرایم سایبر بوداپست است.

اروجزاده: به این ترتیب در واقع کارت اینترنت با این سازوکار فعلی دیگر نمیتواند وجود داشته باشد...

پرویزی: بله.

قمی: آنچه از "داده ترافیک" فهمیده میشود که باید توسط ISP لاگ گرفته و ثبت شود ظاهراً چیزی مانند سیگنالینگ است در تلفن، بنابراین تصور این که همه فعالیت یک کاربر ثبت شود و حجم عظیمی از اطلاعات باید توسط ISPها ذخیره شود درست نیست.

پرویزی: همین طور است. اینها ناشی از سوءتفاهم است. همان طور که گفتم این پیشنویس همچنان در معرض دید و نظر کارشناسان است، همین طور در سایت مخصوص همایش حقوق فناوری اطلاعات. همه صاحبنظران میتوانند نظرات و انتقادهای خود را بر آن بنویسند.

 

منبع : http://ccwmagazine.com/Issues/Issue24/vijhe/mizgerd.ASP