مشفق » 1384 » نوامبر

یکشنبه, بهمن ۳۰, ۱۳۸۴ at ۱:۵۶ ب.ظ //
By: mbhp //
دسته : بدون دسته بندی

نقدي بر لايحه جرايم رايانه ای

اينترنت در ايرانلايحه‌قضايي مجازات جرايم رايانه ای که از سوی قوه قضاییه تهیه و تدوین شده به دولت ارایه شده و در آینده نزدیک جهت بررسی و تصویب به مجلس شورای اسلامی خواهد رفت ، این لایحه دارای ۴ بخش و ۵۱ ماده است .

به جهت اهمیت و فراگیری این موضوع به نقد و بررسی این لایحه پرداخته و دریچه بحث و تبادل نظر صاحبان اندیشه را در این باب باز می گذاریم

اشکالات شکلی
در بخش نخست لایحه تحت عنوان” تعاريف” و در یک ماده به بررسی تعاریف و اصطلاحات رایج در علوم رایانه ای پرداخته شده است اما این اصطلاحات کامل نبوده و در برخی موارد از نظر تعریف دقیق و مانع و جامع با مشکل مواجه است مجموعا هشت اصلاح به کار رفته در طی قانون در این بخش تعریف شده اند، ایراد اصلی وارد بر این بخش آن است که تعاریف ذکر شده ظاهرا حاصل ترجمه لفظ به لفظ از یک یا چند منبع “خاص” است ،از سوی دیگر رویکرد جایگزینی واژگان فارسی به جای انگلیسی به صورت کامل انجام نشده است. بعنوان مثال واژه “رایانه” به جای کامپیوتر انتخاب شده اما در متن قانون بارها واژه “کامپیوتری” به کار رفته وقانون حاضر در صورت تصویب، شاید جزء معدود قوانین کشور باشد که در آن به تصریح از لغات فرنگی در این سطح استفاده شده است ، استفاده از واژگانی که معادل مصوب فرهنگستانی دارند نیز در متن بصورت مکرر دیده میشود

اشکالات محتوایی
مرور کلی قانون حاضر نشان میدهد که در این قانون موضوع حریم خصوصی کمتر مورد توجه قرار گرفته است
ماده ۴۵ همین قانون صراحتا شنود اطلاعات را ممنوع میکند مگر در موارد مربوط به امنیت کشور یا با دستور مستقیم مقام قضایی. این دقیقا همان چیزی است که نه تنها به عنوان یک ماده بلکه به عنوان روح کلی قانون باید مورد توجه قرار میگرفت. به رغم تصریح ماده ۴۵ ، در ماده ۳۰ همین قانون شنود اطلاعات تمامی اتباع کشور توسط آی اس پی و آی سی پی ها اجباری میشود آنهم تا سه ماه. شاید استدلال مقابل این باشد که این اطلاعات اصولا تنها ذخیره میشود و فقط در موارد مذکور در قانون مورد بازخوانی و رهگیری قرار میگیرد. در مقابل این استدلال چه می توان گفت؟ آیا قانونی در حال حاضر وجود دارد که تمامی سرویس دهندگان مخابرات را ملزم به ضبط تمامی مکالمات کند یا ضبط مکالمات تنها با حکم قاضی ممکن است؟ اجازه دهید پیش از ادامه یکبار دیگر نگاهی بیاندازیم به قانون اساسی :
اصل ۲۵
“بازرسی و نرساندن نامه‏ها، ضبط و فاش کردن مکالمات تلفنی، افشای مخابرات تلگرافی و تلکس، سانسور، عدم مخابره و نرساندن آنها، استراق سمع و هر گونه تجسس ممنوع است مگر به حکم قانون”
پرسش اصلی این است: آیا ارتباطات اینترنتی کمتر از ارتباطات تلفنی شخصی هستند که اینگونه خلاف نص صریح قانون اساسی عمل شده است؟
ماده ۲۱ قانون ارائه دهندگان خدمات میزبانی را به منظور جلوگیری از محتویات مستهجن موظف به بازبینی اطلاعات موجود روی هاست می کند. دراین که باید برای جلوگیری از این مساله راه حلی اندیشید شکی وجود ندارد اما این راه حل لزوما نظارت میزبانها بر روی اطلاعات شخصی کاربران نیست. دقت کنید که خدمات میزبانی صرفا به منظور میزبانی سایتهای وب نیست بلکه میزبانی اطلاعات است
ممکن است زمانی که” دیتا سنتر”راه اندازی می شود ، شما داده های شخصی ، برنامه ها و عکسهای خانوادگی خود را به منظور حفاظت و سهولت دسترسی بر روی یک میزبان (بدون دسترسی همگانی) قرار دهید. این قانون ارائه دهنده خدمات میزبانی را موظف می سازد تا اطلاعات شما را مورد بازبینی قرار دهد که مشخصا با چیزی که مورد نظر شماست یعنی محرمانگی اطلاعات شخصی در تناقض است
ماده دوم کسانی را که “با نقض تدابیر حفاظتی” وارد سیستمهای مخابراتی و رایانه ای می شوند به حبس و جریمه محکوم می کند. معلوم نیست که قید “نقض تدابیر حفاظتی” به چه معناست و ذکر مستقیم آن چه لزومی دارد. مثلا اگر کسی به یک سیستم دارای فایروال که غلط پیکربندی شده است وارد شود آیا تدابیر امنیتی را نقض کرده است یا نه؟ از جهت وجود فایروال تدابیر حفاظتی را نقض کرده است اما ازانجا که قواعد فایروال به غلط به آی پی او اعتماد کرده اند قواعد حفاظتی را نقض نکرده و به لحاظ فنی کاملا بر طبق قواعد وارد سیستم شده است
ماده ۶ مدیران و مسئولین فنی را از جهت لو رفتن اطلاعات کاملا مسئول می داند و مجازات تا دو سال زندان را برای آنها در نظر میگیرد. عملی شدن این بند به معنی ایجاد تعهدی بسیار سنگین برای مدیران رده میانی آی تی در کشور است. در اینصورت کمتر کسی میتواند مسئولیت حفاظت از شبکه ها و مدیریت آنها را بعهده بگیرد چون عملا به لحاظ وضعیت جاری امنیت شبکه های کامپیوتری، بعهده گرفتن چنین تعهدی غیر منطقی است
ماده ۱۸می گوید: هركس از طريق سيستم رايانه‌اي يا مخابراتي، فيلم يا تصوير يا صوت يا اسرار خصوصي يا خانوادگي ديگران را بدون رضايت وي منتشر نمايد يا در دسترس ديگران قرار دهد، به نحوي كه منجر به ضرر غير گردد يا عرفا موجب هتك حيثيت وي شود، به حبس از ۹۱ روز تا ۶ ماه يا پرداخت جزاي نقدي از ۲ ميليون و ۵۰۰ هزار تا ۵ ميليون ريال محكوم خواهد شد، به نظر می رسد که در این ماده باید قید شود که مجرم ملزم به پرداخت خسارات وارده به متضرر می باشد و در هرصورت چون جرم فقط با شکایت شاکی خصوصی قابل پیگیری است نکته دیگر در این مورد این است که ملاک تعیین مجازات و کم و کیف آن تعیین نشده است مثلا آیا تعداد دفعات نمایش آن تصویر ملاک است یا نفس انتشار آن؟
ماده ۱۹می گوید: هركس از طريق سيستم رايانه‌اي يا مخابراتي اكاذيبي را منتشر نمايد يا در دسترس ديگران قرار دهد يا اعمالي را خلاف حقيقت راسا يا به عنوان نقل قول به شخص حقيقي يا حقوقي يا مقامات رسمي نسبت دهد به نحوي كه موجب تشويش اذهان عمومي يا مقامات رسمي يا ضرر غير شود، علاوه بر اعاده حيثيت به حبس از ۳ ماه و يك روز تا ۶ ماه با پرداخت جزاي نقدي از ۲ ميليون و ۵۰۰ هزار تا ۵ ميليون ريال محكوم خواهد شد ، به نظر می رسد درج عبارت ” يا به عنوان نقل قول ” به درستی مورد بررسی قرار نگرفته است چرا که در محیط اینترنت معمولا منابع خبری تولید کننده خبر محدود هستند و اکثر سایتها اخبار را به نقل از منابع اصلی آنها منتشر می کنند حال اگر قرار باشد که تمام سایتها مسوول صحت و سقم همه مطالب منتشره خود باشند احتمالا باید بسیاری از آنها کرکره خود را محترمانه پایین بکشند!از سوی دیگر معمولا بسیاری از سایتها فقط با دادن یک لینک خواننده را به سوی منبع اصلی هدایت می کنند یعنی خبری را منتشر نکرده اند در این مورد قانونگذار سکوت کرده است
ماده ۲۰، آی سی پی ها را موظف به اجرای فیلترینگ جهت جلوگیری از دسترسی افراد به سایتهای پورنوگرافی و سایر سایتهای ممنوعه می سازد. در واقع این قانون کنترل را کاملا در سطح ماکرو اعمال می کند . البته این یک رویکرد است. رویکرد دیگری هم که میتوان به این موضوع داشت این است که آی اس پی ها را موظف به فراهم آوردن ساز و کار فیلترینگ کنیم تا مثلا مراکز پزشکی و یا دانشگاههای علوم پزشکی بتوانند به بعضی اطلاعات لازم دسترسی پیدا کنند
همچنین واقعیتی عینی که همه متخصصین به آن اذعان دارند وجود راه‌های متعدد برای دور زدن فیلترها و رسیدن به اطلاعات مورد نظر است. استفاده از تجهیزات فیلترگذاری با صرف هزینه‌های زیاد می‌تواند مانع دسترسی تعدادی از کاربران به محتویات سایت‌های موجود در لیست‌های سیاه‌شود، ولی با استفاده از روش‌هایی که چندان دشوار هم نیستند کاربران می‌توانند دسترسی خود را حفظ کنند. در این صورت تکلیف ارائه دهندگان خدمات چیست؟
در ماده ۲۱ همین قانون آمده است: « به منظور جلوگیری از ادامه ارائه یا انتشار محتویات موضوع مواد ۱۵ و بند الف ماده ۱۶ ارائه‌کنندگان خدمات میزبانی موظفند نسبت به محتوای موجود در سایت‌های تحت میزبانی خود نظارت نمایند، چنانچه عدم نظارت یا بی مبالاتی وی در نظارت منجر به ادامة ارائه یا انتشار محتویات فوق گردد به مجازات مقرر در ماده ۲۵ همین قانون محکوم خواهند شد»
با این فرض که ارائه دهندگان خدمات میزبانی با صرف هزینه‌های فراوان موفق به انجام این کار بشوند، تضمینی برای از بین رفتن محتویات نامطلوب بوجود نمی‌آید. در حال حاضر که قانون مکتوبی برای مبارزه با چنین محتویاتی وجود ندارد، در بیشتر موارد میزبان‌های خارجی برای نگه‌داری و ارائه اطلاعات انتخاب می‌شوند. با توجه به توضیحاتی که در رابطه با ماده ۲۰ قانون بیان شد، امکان دسترسی به این گونه محتوا برای کاربران وجود داردماده ۲۲ قانون، تولید انتشار و فروش داده ها ، نرم افزارها و یا وسایلی که در زمینه ارتکاب جرایم رایانه ای به کار میرود را ممنوع ساخته ، متخلفین را به حبس و جزای نقدی محکوم می سازد به عقیده کارشناسان امنیت شبکه بسیاری از نرم افزار ها دارای کاربردهای دوگانه هستند و از آنها می توان هم برای امنیت شبکه و هم بریا تخریب شبکه استفاده کرد لذا چیزی به نام نرم افزارهای مخصوص جرایم رایانه ای اصولا وجود خارجی ندارد
از طرف دیگراجرای این بند به معنای تعطیلی همه فعالیت‌های تحقیقاتی و بسته شدن درب آزمایشگاه‌های شبکه و امنیت اطلاعات در دانشگاه‌ها و شرکت‌های خصوصی و دولتی که در زمینه امنیت شبکه فعال هستند می باشد
در بندهایی از این قانون مجازاتهایی برای ناقضان تدابیر امنیتی تعیین گردیده است، اگر منظور از این افراد همان هکرها باشند، شایان ذکر است که هکرها در سه گروه طبقه‌بندی می‌گردند، گروهی که برای کشف شکافهای امنیتی بمنظور پوشاندن آنها فعالیت می‌کنند، گروهی دیگر که از دانش فنی بالایی برخوردار نیستند و از ابزاری که تهیه آن چندان سخت نیست و توسط سایرین تولید شده استفاده می‌کنند و گاهی خود از عواقب استفاده از آنها اطلاع چندانی ندارند و گروه سوم که در جهت کسب منافع شخصی، کسب شهرت یا صدمه‌رساندن به دیگران فعالیت می‌کنند. شایسته است که قانونگذار محترم ناقضان تدابیر حفاظتی را دقیق‌تر مشخص کند، ضمن اینکه از آنجا که نتیجه عمل هر سه گروه هکرها ممکن است به هم شبیه باشد، دسته‌بندی آنها همیشه به سهولت و تنها براساس شواهد، ممکن نیستدر قسمتی از قانون برای ماموران دولتی که در اثر بی‌احتیاطی باعث دسترسی افراد بدون صلاحیت به اطلاعات باارزش شوند،‌مجازات تعیین گشته است. نکته‌ای که باید به آن اشاره شود، تعداد معدود متخصصان امنیت و حفاظت داده در کشور است که از دانش و اطلاعات کافی و به‌روز شده برای محافظت داده‌ها برخوردار باشند. جالب اینجاست که خود همین افراد معدود نیز، به این نکته معترفند که هیچگاه نمی‌توان نسبت به محافظت از داده‌ها، اطمینان صد در صد داشت. زیرا معمولا (نه همیشه) شکاف‌های امنیتی بعد از مورد سوءاستفاده قرار گرفتن، مرمت می‌شوند. بنابراین همیشه باید برای یک سیستم داده محافظت شده حتی توسط به‌روز ترین افراد و ابزارها، درصدی احتمال خطر در نظر گرفت که همین درصد نامساوی با صفر باعث عدم پذیرش مسوولیت محافظت از اطلاعات توسط ماموران دولتی خواهد گشت
در ماده ۳۰ ارائه دهندگان خدمات اینترنتی موظف به ذخیره داده‌های مبادله‌شده توسط کاربرانشان بمدت سه ماه شده‌اند. یک محاسبه ساده برای تخمین این حجم از اطلاعات، نیاز ارائه دهندگان خدمات اینترنتی را به حجم زیادی از ابزار ذخیره‌سازی اطلاعات، علیرغم پهنای باند کمی که در اختیار کاربران قرار می‌گیرد، مشخص می‌سازد. اجازه دهید برای روشن شدن مطلب مثالی بزنیم. اگر فرض کنیم که یک آی سی پی پهنای باند ۱۶ مگابیت را در اختیار داشته باشد (پهنای باندی که بین این شرکتها در حال حاضر بسیار معمول است) ، حجم اطلاعاتی که روزانه باید ذخیره شود برابر خواهد بود با حدود ۱۸۱ گیگابایت اطلاعات و این حجم در سه ماه به حدود ۱۶ هزار گیگابایت خواهد رسید! چگونگی ذخیره سازی و سپس پردازش این اطلاعات موضوعی است که باید به آن اندیشید. اما اخبار و شنیده‌ها حکایت از آن دارد که در آینده نزدیک کاربران کشورمان می‌توانند برای دسترسی به اینترنت از خطوط پرسرعت بهره‌مند شوند. ضرب عدد تخمین‌زده شده قبل در میزان افزایش پهنای باند، پایبندی ارائه‌دهندگان خدمات اینترنتی به این ماده از قانون را بدون اینکه قصد تخلف از قانون را داشته باشند، زیرسوال می‌برد
درتبصره همین ماده ۳۰ تمامي ايجادكنندگان نقاط تماس بين‌المللي و ارايه‌كنندگان خدمات اطلاع‌رساني و اينترنتي موظف شده اند که نشانی های آی پی خود را به اداره كل مبارزه با جرايم رايانه‌اي نيروي انتظامي اعلام نمايند در این تبصره مشخص نشده که آیا این مراجع ملزمند فقط در هنگام درخواست نیروی انتظامی این آی پی ها را ارایه کنند یا به عنوان یک وظیفه رایج و همیشگی ملزم به ارایه این اطلاعات به نیروی انتظامی هستند
در قسمتهایی از این قانون، سرویس‌دهندگان و سرویس‌گیرندگان اینترنت نسبت به محتویات به نمایش در آمده یا منتشر شده مسوول شناخته شده اند. این مسوولیت تا جایی پذیرفته است که وجود یا انتشار این محتویات به عمد صورت گرفته باشد. از نظر دور نداریم که امروز با توجه به انواع نرم‌افزارهای جاسوسی یا تبلیغاتی، ویروس‌ها و کرمهای اینترنتی، امکان ارسال و دریافت اطلاعات به یک سیستم کامپیوتری متصل به اینترنت بدون کسب اجازه از صاحب آن امکانپذیر است. امکان سرقت آدرس‌های ایمیل شخص قربانی و سوءاستفاده از آنها وجود دارد. همچنین بازکردن صفحات وب که دربردارنده محتویات مستهجن هستند، بر روی کامپیوتر فرد، بدون کسب اجازه از وی میسر است. بنابراین آنچه که در این میان دقت بسیار بالایی می‌طلبد، تدابیری است که کارشناسان فنی و حقوقی درگیر در تدوین این قانون، در اثبات تعمد در هرکدام از تخلفات مذکور می‌اندیشند
در بسیاری از مواد دیگر قانون مشاهده می‌شود که روح تساهل در برخورد با مجرم وجود دارد. به عنوان مثال در ماده‌های ۲، ۳، ۴، ۱۱ و ۱۲ شرط مجرمیت فرد احراز تعمد در انجام فعل است، حتی در مورد قرار دادن اطلاعات در دسترس دولت‌ها و سازمان‌های بیگانه. علاوه بر این در مواد ۷ و ۹ وجود قصد تقلب و در ماده ۱۰ وجود قصد اضرار متمایز کننده مجرمین می‌باشد. در شرایطی که عدم وجود قصد تقلب باعث تبرئه کسی که محتویات کارت اعتباری را تحریف نموده است می‌شود، چگونه ارائه دهندگان خدمات تحت هر شرایطی مسئول کل داده ذخیره شده در میزبان خود و یا کل داده تبادل شده از طریق خطوط ارتباطی می‌باشند. آیا نباید ضریب خطای ماشینی و یا انسانی را در این میان مدنظر قرار داد؟
از سوی دیگر تعدادی از مواد این قانون به حدی سخت‌گیرانه است که می‌تواند عرصه را بر فعالان حوزه آی تی کاربران و ارائه دهندگان خدمات چنان تنگ کند که امکان ادامه فعالیت وجود نداشته باشد. یک کاربر عادی که می‌داند کلیه اعمالش در دنیای مجازی ثبت می‌شود و شناخت دقیقی هم نسبت به سایت‌های اینترنتی و محتویات آنها ندارد همواره در اضطراب مشاهده سایت‌ها بوده و در چنین شرایطی ممکن است عطای اینترنت را به لقایش ببخشد. در شرایطی که متوسط استفاده از اینترنت در کشور بسیار پایین‌تر از استانداردهای جهانی و حتی کشورهای در حد ایران می‌باشد این حرکت قطعاً در راستای منافع کشور نیست
یک نکته اساسی دیگر هم نادیده گرفته شده است : در تمام مواد این قانون دست قوه قضاییه برای برخورد ، توقیف ، تفتیش ، تعطیلی و مجازات باز گذاشته شده است اما حتی در یک بند یا تبصره اشاره نشده که اگر در اثر سهل انگاری یا اشتباه یا هر دلیل دیگر بعد از روزها ووهفته ها توقیف تجهیزات یک آی اس پی و تحمیل میلیونها تومان خسارت به او یا هتک حیثیت یک فرد، اتهام او ثابت نشد چگونه باید از آنها اعاده حیثیت شود؟ و میزان و نحوه پرداخت خسارت به آنها چگونه است ؟
سرانجام اینکه قانون مذکور اگر چه گام مهمی برای تعیین مجازات مجرمین رایانه ای به شمار می رود اما همچنان نسبت به مساله انتشار بدون مجوز مطالب و محتویات سایتها توسط دیگران ساکت است به عبارت دیگر نگاه قانون گذار در این موضوع فقط معطوف به محتویات مستهجن و غیر قانونی بوده است و نه مساله کپی رایت که قطعا می تواند در زمره تخلفات رایانه ای باشد

نکات قوت
این قانون قطعا نکات قوت بسیاری هم دارد نفس تدوین چنین قانونی نشانه توجه به تکنولوژی های جدید است در با رشد این تکنولوژی ها و رسیدن تعداد کاربران اینترنت درایران به ۶ میلیون نفر نیاز کشور به وجود چنین قوانینی بیش از پیش احساس می شود در ۲ سال گذشته موضوعاتی همچون کلاهبرداری از طریق تجارت شبکه ای مثل پنتاگونو ، گلد کوئیست ، تجارت الماس و یا هک ۳۵۰ دامین ایرانی و یا حمله هکری به دستگاههای آی تی ام بانک ملی ایران و یا تخریب سایتهای شخصی یا انتشار عکس های خصوصی هنرمندان و یا انتشار بدون مجوز مقالات و آثار نویسندگان در سایتهای دیگرتهدیداتی را متوجه حامعه آی تی ایرانی کرده است این قانون در کنار قوانینی همچون تجارت الکترونیک میتواند راهگشای فعالیت قانونمند در زمینه فناوری اطلاعات در ایران باشد

منابع :
جنگ نرم۱ ، ویژه جنگ رایانه ای ، تالیف حمید ضیایی پرور ، انتشارات موسسه تحقیقاتی تهران ، تهران:۱۳۸۳
جنگ نرم۲ ، ویژه جنگ رسانه ای ، تالیف حمید ضیایی پرور ، انتشارات موسسه تحقیقاتی تهران ، تهران:۱۳۸۳
http://www.isna.ir/news/NewsCont.asp?id=۴۷۳۸۴۱

http://www.ircert.com/Articles/CyberLawCriticism۱.htm

http://www.ircert.com/Articles/CyberLawCriticism۳.htm

http://www.ircert.com/Articles/CyberLawCriticism۲.htm

http://www.itiran.com/?type=news&id=۱۷۸۸

http://www.itiran.com/?type=article&id=۲۱۵۴

http://www.itna.ir/archives/article/۰۰۰۱۹۴.php

http://www.itiran.com/?type=article&id=۲۱۳۸

http://www.itna.ir/archives/article/۰۰۰۷۷۵.php
http://www.itna.ir/archives/article/۰۰۱۰۵۹.php
http://www.itna.ir/archives/interview/۰۰۱۲۹۱.php
http://www.itiran.com/?type=news&id=۱۸۱۸

http://www.itiran.com/?type=news&id=۲۰۳۹

Comments: ۰

نقدي بر لايحه جرايم رايانه ای

لینک ها