تاملی پیرامون متن اصلاح شده لایحه جرایم رایانه ای

در مقوله امنیت رایانه‌ای و فناوری اطلاعات نیز ـ مانند سایر زمینه‌ها ـ سیاست‌های دولت نقش بسیار مهمی ایفا می‌كند. با این‌حال در این مورد باید با احتیاط اظهارنظر كرد، چراكه یك چارچوب عمومی قوانین هرچند می‌تواند امنیت رایانه‌ای را تقویت كند، اما اشكالاتی كه در اثر مقررات نادرست دولتی به‌وجود می‌آید بیش از مزایای چنین مقرراتی است.

فناوری به‌سرعت درحال تغییر است و تهدیدات جدید با چنان سرعتی انتشار می‌یابند كه مقررات دولتی به‌راحتی می‌توانند تبدیل به موانعی برای ارایه سریع پاسخ‌های مبتكرانه شوند. بنابراین بهترین راه این است كه میان معیارهای تقنینی و غیرتقنینی یك نقطه تعادل پیدا كنیم.

برای دست‌یابی به چنین تعادلی، سیاست‌گذاران باید به برخی ویژگی‌های ذاتی و منحصر به‌فرد رایانه توجه كنند. در مقایسه با فناوری‌های اطلاعات و ارتباطات پیشین، فضای سایبر(مجازی) یك فضای غیرمتمركز است. بخشی از قدرت اینترنت ناشی از این حقیقت است كه فاقد مرزبان است و بیشتر كارایی آن در مرزهای شبكه است تا در مركز آن. سیاست‌های امنیت سایبر دولت باید این ویژگی‌ها را مدنظر قرار دهند.

دولت‌ها معمولا سیستم رایانه‌ای خاص خود را دارند؛ از جمله رایانه‌هایی كه برای امنیت ملی، خدمات اضطراری، بهداشت و سایر عملكردهای ضروری مورد استفاده قرار می‌گیرند، اما بسیاری از سیستم‌های رایانه‌ای سازمان‌های دولتی وابسته به همان نرم‌افزارها و سخت‌افزارهایی هستند كه توسط شركت‌های خصوصی طراحی و ساخته شده‌اند و لذا مسئله امنیت در آن‌ها یكی از مسایل قابل توجه است. بنابراین مسؤولیت امنیت این سیستم‌ها میان دولت و بخش خصوصی تقسیم شده است و همچنین مشخص شده كه دولت باید برای مجازات و پیشگیری از انجام حملات به سیستم‌های بخش خصوصی، مثل سیستم‌های دولتی از قدرت قوانین حقوق و جزا كمك بگیرد.

ایجاد یك محیط قابل اطمینان در فضای سایبر نیازمند تطبیق قوانین و سیاست‌های دولتی سایر زمینه‌ها بر حوزه امنیت سایبر است. این زمینه‌ها شامل حمایت از مصرف‌كننده، خصوصی ماندن داده‌ها و ارتباطات، حقوق مالكیت معنوی و چارچوب تجارت الكترونیكی است. در دنیای بدون اینترنت، قانون برای معاملات تجاری و مصرف‌كنندگان حمایت‌هایی ایجاد می‌كند.

قسمت اعظم این قوانین در حوزه فضای سایبر نیز قابل اعمال هستند، اما كشورهایی كه به‌دنبال گسترش فناوری اطلاعات و ارتباطات (ICT) هستند باید این مسئله را بررسی كنند كه آیا در قوانین آن‌ها خلائی وجود دارد كه مانع ایجاد اعتماد لازم برای افزایش امنیت فضای سایبر شود یا خیر. در حقیقت كشورهایی كه علاقه‌مند به گسترش تجارت الكترونیكی هستند ممكن است دریابند كه قوانین آن‌ها در مورد خدمات مالی، مالكیت سایبر و حمایت از مصرف‌كننده از اعتماد یا پشتیبانی لازم برای تعاملات خارج از دنیای اینترنت برخوردار نیست. اصلاح قوانین دنیای سایبر ممكن است به‌عنوان بخشی از اصلاحات روی قوانین كلی‌تر انجام شود. (برگرفته از کتاب مرجع «راهنمای امنیت فناوری اطلاعات»، انتشارات شورای عالی اطلاع‌رسانی) اما پس از این مقدمه و تاکید بر نقش حیاتی و اعتمادساز تامین امنیت فضای مجازی در هر کشور، به نقد لایحه جرایم رایانهای کشور که چندسالی است در مجلس شورای اسلامی در انتظار تصویب است، می‌پردازیم.

به‌نظر می‌رسد در تهیه لایحه جرایم رایانه‌ای، موارد متعددی که باعث جامعیت و قابل اجرا بودن یک قانون است لحاظ نشده که این امر باعث می‌شود لایحه مزبور در صورت تصویب، نتواند در پیشگیری و مجازات عوامل حقیقی آزار و اذیت‌های رایانه‌ای چندان موثر باشد.

در ادامه فهرست عناوینی که در ادامه این مکتوب در خصوص پیش‌نویس تهیه شده، مورد اشاره قرار گرفته‌اند و پس از آن نیز موارد مذکور بهصورت مشروح بررسی می‌شوند.

۱. فقدان تعریف مشخص از حیطه و شمول قانون

۲. عدم دسته‌بندی افعال مجرمانه و تفکیک آن‌ها از مجازات‌ها

۳. عدم تناسب مجازات با معیارهای معقول تعیین‌کننده حدود مجازات

۴. بی‌توجهی به عوامل تاثیرگذار در شدت تقصیر/قصور متولیان امنیت

۵. عدم اشاره به برخی از مهم‌ترین عناوین آزار و اذیت رایانه‌ای به‌عنوان مصادیق جرم

۶. مشکلات قانونی پیگرد الکترونیکی؛ در صورت تصویب این پیش‌نویس

۷. سکوت در برابر سوء‌استفاده از سامانه‌ها برای تهاجم به سامانه‌های شخص ثالث

۸. لزوم توجه به عدم اختلال در خدمات

۹. همگن نبودن مواد مختلف در تعیین مصادیق

۱۰. آیین‌نامه‌های مبهم

۱۱. برخی نکات موردی

۱. فقدان تعریف مشخص از حیطه و شمول قانون

به‌طور کلی طبق الگوهای سرآمدی امنیت، برای تدوین قانون در حیطه‌هایی که کاربرد فناوری

● رایانه‌ای باعث ناکارآمد شدن سیستم قانونی مورد استفاده می‌شود، یک تقسیم‌بندی عمده برای جرایم رایانه‌ای در نظر گرفته می‌شود که عبارت است از:

a. جرایمی که به‌وسیله رایانه تسهیل می‌شوند؛ و

b. جرایمی که توسعه و کاربرد فناوری رایانه‌ای و شبکه باعث خلق مفاهیم جدید و به‌وجود آمدن آن‌ها شده است.

بنابراین، برای تدوین نظام جامع و مانع قانونی به‌منظور افزایش اعتماد در فضای رایانه‌ای، هم باید قوانین مختص این فضا را به‌وجود آورد و هم باید قوانین جزایی را که از قبل وجود داشته به‌گونه‌ای اصلاح کرد که جرایم تسهیل شده به‌وسیله رایانه را نیز دربر بگیرد. لذا نباید در قانون جرایم رایانه‌ای به‌دنبال جمع‌آوری تمام اقدامات مجرمانه در هر زمینه‌ای بود و باید قسمتی از آن را به اصلاح قوانین دیگر واگذارد. در هر صورت، به‌نظر می‌رسد لازم باشد که در مقدمه متن پیشنهادی، حیطه قانون و شمول آن (و در صورت صلاح‌دید، حتی مواردی که این قانون به آن‌ها مربوط نمی‌شود نیز) به‌وضوح مورد اشاره قرار گیرند. مثلا به‌نظر می‌رسد ماده ۲۵ از جنس قانون دیگری برای الزامات نگهداری داده‌هاست که باید شامل موارد دیگری (نظیر مسؤولیت تهیه صحیح نسخه پشتیبان و غیره و همچنین مجازات‌های عدم عملکرد صحیح در خصوص موارد ذکر شده) نیز بشود.

به‌دلیل عدم رعایت اصل مذکور، در موادی از این پیش‌نویس تداخل‌هایی با سایر قوانین مانند حقوق شهروندی و قانون مدنی وجود دارد؛ مانند مواردی که در فصل چهارم و فصل پنجم بازتعریف شده، درحالی که طبق قوانین حال حاضر نیز کلیه این موارد از افعال مجرمانه محسوب می شوند و تنها از طریق رایانه، کیفیت انجام آن‌ها متفاوت است.

۲. عدم دسته‌بندی افعال مجرمانه و تفکیک آن‌ها از مجازات‌ها

طبق الگوهای سرآمدی، به‌دلیل ماهیت پیچیده و کثرت افعال مجرمانه در فناوری‌های نوین مانند فناوری اطلاعات و ارتباطات، برای روشن بودن چارچوب و ساده‌تر شدن اجرای قانون، معمولا ابتدا در یک فصل مصادیق افعال مجرمانه دسته‌بندی و تشریح می‌شوند و سپس مجازات‌های مربوطه در فصل بعد آن متناظر با دسته‌بندی انجام شده و سایر عوامل تعیین‌کننده میزان مجازات (که در بند چهارم همین مکتوب مورد اشاره قرار گرفته‌اند) تعیین می‌شوند.

این دسته‌بندی علاوه بر ساده کردن کار تطبیق فعل انجام شده با مصادیق افعال مجرمانه (خصوصا در مواردی‌که فعل انجام شده با بیش از یک مصداق تطابق دارد)، کار اصلاح قانون متناسب با پیشرفت و تغییر کاربرد فناوری را نیز تسهیل می‌کند.

۳. عدم تناسب مجازات با معیارهای معقول تعیین‌کننده حدود مجازات

مواردی چون قصد و نیت فرد مهاجم، آگاهی قبلی برای تخریب، سطح حساسیت سامانه هدف، میزان تقصیر یا قصور متولیان حفاظت از سامانه میانی (توضیحات بیشتر در این مورد در بند ششم همین مکتوب آمده است)، میزان تقصیر یا قصور متولیان حفاظت از سامانه هدف، میزان خرابی‌های مستقیم به بار آمد و همچنین میزان آسیب‌ها و ضررهایی که در مراحل بعد به قربانی/قربانیان فعل مجرمانه وارد می‌شود (که گاهی اشخاص ثالث حقیقی و حقوقی را هم دربر می‌گیرد)، همه از مواردی هستند که عرفا مسؤولیت آن‌ها برعهده مجرم و معاونان اوست و لذا در تعیین مجازات، توجه صرف به‌عنوان مصداق تشخیص داده شده از فعل مجرمانه کافی نیست و باید این موارد نیز در نظر گرفته شوند. این مورد نیز در قوانین کشورهای توسعه‌یافته که به اقتضای کاربرد فناوری پیش از کشورهای درحال توسعه، زودتر به ضرورت وجود قوانینی از این دست پی برده‌اند به چشم می‌خورد.

۴. بی‌توجهی به عوامل تاثیرگذار در شدت تقصیر/قصور متولیان امنیت

زمانی‌که یک تهاجم موفقیت‌آمیز (با هر درجه‌ای از موفقیت) صورت می‌گیرد، همه مسؤولیت خرابی‌های به بار آمده بر گردن مهاجم نیست، بلکه مسؤولان، سیاست‌گذاران و مدیران سامانه هدف نیز در آن شریکند؛ چراکه معمولا با عدم تدبیر به موقع اقدامات لازم برای جلوگیری از نفوذ، راه را برای تهاجم آسان باز گذاشته‌اند. اما میزان این شراکت بسته به عوامل مختلف (از جمله میزان پیچیدگی روش مورد استفاده برای نفوذ، میزان استحکام تدابیر امنیتی سامانه هدف و غیره) متغیر است.

هرچند در ماده ۵ پیش‌نویس مورد بحث به این مورد اشاره ضمنی شده است، اما باز هم بدون توجه به نوع حمله، قصد تخریب، میزان خسارت‌های وارده و سایر موارد موثر و صرفا به‌دلیل «اعطای دسترسی» به مهاجم، مجازات مشخصی برای خاطیان در نظر گرفته شده است؛ درحالی‌که اولا عوامل موثر بر مجازات باید به شرح گفته شده باشند و ثانیا، ممکن است فرد خاطی از طریقی غیر از «اعطای دسترسی» به انجام حمله توسط مهاجم کمک کرده باشد.

نویسنده: امضا محفوظ