میز گرد قانون مبارزه با جرایم رایانه‌ای

میز گرد قانون مبارزه با جرایم رایانه‌ای

مقدمه:

گروه امداد امنیت کامپیوتری ایران از ابتدا قانون مجارات جرایم رایانه ای را با دقت زیر نظر داشته و سعی کرده است با جمع آوری نظرات ، به تدوین قانونی مناسب کمک کند. به همین دلیل بود که پس از حضور در همایش بررسی ابعاد حقوقی فناوری اطلاعات و جمع آوری نظرات بعضی کارشناسان، سعی داشت تا در جلسه ای حضوری و در محیطی صمیمی با دبیر محترم کمیته مبارزه با جرایم رایانه ای به بحث و بررسی قانون بپردازد. خوشبختانه این امر با کمک ماهنامه دنیای کامپیوتر و ارتباطات میسر شد و جلسه ای در دفتر این ماهنامه تشکیل گردید. در این جلسه آقایان رضا پرویزی(دبیر کمیته مبارزه با جرائم رایانه‌ای)، شاهپور دولتشاهی(کارشناس حقوق)، محمود اروج‌زاده (مدیرمسئول ماهنامه ماهنامه دنیای کامپیوتر و ارتباطات) ، علی مولوی(کارشناس فناوری اطلاعات و عضو تحریریه ماهنامه دنیای کامپیوتر و ارتباطات)، علیرضا قمی(کارشناس امنیت شبکه) و سیدمحمدرضا رشتی (کارشناس فناوری اطلاعات و مدیر سایت "گروه امداد امنیت کامپیوتری ایران")حضور داشتند. متن ذیل گزارشی مختصر از جلسه فوق است.

اروج‌: جناب آقای پرویزی! لطفاً مختصراً تاریخچه‌ای از زمینه و چگونگی تدوین این پیش‌نویس بفرمایید.

پرویزی: در اواخر شهریور سال 81 با دستور آقای هاشمی شاهرودی: کمیته مبارزه با جرایم رایانه‌

    به این نتیجه رسیدیم که اولویت، ایجاد امنیت در فضای سایبر است. در این زمینه در کشورمان کاری تا بحال نشده بود. البته قبلاً یک کار مطالعاتی در شورای عالی انفورماتیک شده بود. ما به سراغ همه افراد و صاحبنظران در این زمینه رفتیم و نظراتشان را جمع‌

    با فراخوانی در دانشکده‌

قمی: در مورد تعداد این گروه بفرمایید.

پرویزی: از دانشکده حقوق دانشگاه تهران و شهید بهشتی و امام صادق و دانشگاه آزاد و همچنین از بین قضات تهران، 22 نفر فقط در بخش حقوقی داشتیم. همراه با پیشرفت کار، ما مشاوره هم داشتیم، مثلاً در زمینه حقوق جزایی بین‌

    در مجموع این پیش نویس، با پشتوانه حقوق و فنی و با تلاش و مشاوره فراوان تهیه شده است. بعد این پیش‌

اروج‌: مدل مورد نظرتان در تدوین این قانون چه بوده؟ و سهم و نقش هر کدام از دو جنبه حقوقی و فناوری چه میزان بوده است؟

پرویزی: در این زمینه در دنیا عموماً به 3 روش عمل می‌شود، در برخی کشورها مانند هند، همان قوانین کیفری سنتی که دارند، مورد استفاده قرار می‌گیرد و اگر چنانچه موضوع جدیدی (مثلاً دسترسی غیرمجاز در شبکه) مطرح شود، ماده یا موادی به همان قانون یا قانون دیگر اینترنتی اضافه می‌کنند.
    گروه دیگری (مانند برخی ایالت‌های امریکا) حتی سرقت و قتل کامپیوتری و... را هم در جرایم کامپیوتری قرار می‌دهند. در مدل سوم، درجایی که قوانین سنتی جوابگو نباشند، به جرایم کامپیوتری تبدیل می‌شوند، همچنین بعضی موارد که در قوانین سنتی جرم محسوب می‌شوند، ولی وقتی وارد فضای رایانه‌ای می‌شوند، ابهام ایجاد می‌کنند که جرم هستند یا نه؟ مانند "نشر اکاذیب" (که مصداق ماده 698 است) و یا "جعل" (در ماده 523) که گفته شده "هر کس که سندی را بتراشد یا بخراشد و . . . " در جرایم سنتی، مصداق آن حتماً در زمینه سند مکتوب است، بنابراین در نوشته کامپیوتری مورد ابهام است، مورد بحث قرار می‌گیرند.
    ما در جاهایی که خلاء قانونی داشتیم آنرا پر کرده‌ایم. مثلاً در قانون داریم که هرکس که وارد تا سیاست نظامی به صورت غیرمجاز شود چند سال حبس می‌شود، حالا اگر وارد سایت‌های نظامی شود چطور؟ طبیعتاً قابل اجرا نیست و سعی کرده‌ایم این خلاء ها را پر کنیم.

رشتی: یکی از مشکلات این است که تا به حال مثلاً امکان جاسوسی از طریق تلفن وجود داشت، ولی مگر قانون جاسوسی از طریق تلفن داشتیم که حالا جاسوسی رایانه‌

پرویزی: ما همه قانون قوانین مرتبط با جاسوسی را مطالعه کردیم، آیا اسناد طبقه‌

رشتی: در قانون در جایی بحث بعضی ابزارها و نرم‌

پرویزی: ببینید نظراتی که برخی دوستان قوه قضاییه داده‌

قمی: به نظر من لزوماً نه!

پرویزی: چرا، ممکن است الان نباشد، ولی فردا ممکن است هر کسی استفاده غیرمجاز از آن بکند...

قمی: به نظر من ممکن نیست ابزاری پیدا کنیم که "صرفاً" برای هک و ارتکاب جرم باشد، عموماً استفاده امنیتی و مدیریت امنیت هم می‌

پرویزی: مثلا ابزاری هست که در تماس Dial-up شما با شرکت ISP فقط و فقط برای شنود به کار می‌

قمی: اما شرکت‌های مخابراتی همین ابزار را در کنار تجهیزات خود می‌فروشند برای Diagnostics

پرویزی: ببینید مانند اسلحه است که داشتن آن در کشور ما جرم است، ولی قاضی و پلیس و . . . قانوناً آن را دارند.

رشتی: اگر یک شرکت خصوصی از این ابزارها به منظور بررسی وضعیت یک شبکه استفاده کندتا بتواند نقایص آن را بیابد وگزارش کند، الان مشمول انجام جرم است در این قانون!

پرویزی: معلوم است که بخش‌

قمی: باید محیط وشرایط کلی به گونه‌

پرویزی: اشکالی که در چنین نظری وجود دارد، بی‌

قمی: البته میتوان نوعی قانون مینیمالیستی داشت که نیاز امروز را برطرف کند، و نه قانون حداکثری و گسترده

پرویزی: اتفاقاً این قانون کاملاً حداقلی است و خیلی مباحث در آن دیده نشده، مثلاً بحث اسپم و...

دولتشاهی: اگر می‌

اروج‌

پرویزی: البته در دنیا معمولاً شرکتی به نام ISP همه خدمات از قبیل اینترنت و هاستینگ و ثبت دامنه و... را انجام می‌

مولوی: البته معمولاً به این ترتیب هم نیست که این موارد را بتوان به راحتی پیدا کرد، یعنی این که چنین مصادیقی در همان صفحات اصلی و اولیه قرار نیست که مدیر هاست بتواند به راحتی آن را پیدا کند، بنابراین نمی‌

پرویزی: قطعاً در آیین‌

    این نکته را هم نباید فراموش کرد که در تدوین این قانون، نمایندگان بخش خصوصی هم حضور داشتهاند(رییس انجمن ISPها) و به اندازه کافی تلاش برای حفظ حقوق بخش خصوصی کرده‌

قمی: نکته دیگر، حفظ حریم خصوصی کاربران است، اگر قرار باشد همه اطلاعات ردوبدل شده کاربران، ذخیره و بررسی گردد که مبادا در آینده جرمی اتفاق بیفتد، این در واقع تجاوز به حریم خصوصی است...

پرویزی : بله، ولی این برداشت ناشی از یک سوءتفاهم رایج است. ببینید، "داده محتوا" و "داده ترافیک" تفاوتشان همین است، از نگاه ناظر خارجی ، من در ساعت خاصی وارد دفتر مجله کامپیوتر و ارتباطات می‌

اروج‌: به این ترتیب در واقع کارت اینترنت با این سازوکار فعلی دیگر نمی‌تواند وجود داشته باشد...

پرویزی: بله.

قمی: آنچه از "داده ترافیک" فهمیده می‌

پرویزی: همین طور است. اینها ناشی از سوءتفاهم است. همان طور که گفتم این پیش‌

نویس همچنان در معرض دید و نظر کارشناسان است، همین طور در سایت مخصوص همایش حقوق فناوری اطلاعات. همه صاحبنظران می‌توانند نظرات و انتقادهای خود را بر آن بنویسندشود که باید توسط ISP لاگ گرفته و ثبت شود ظاهراً چیزی مانند سیگنالینگ است در تلفن، بنابراین تصور این که همه فعالیت یک کاربر ثبت شود و حجم عظیمی از اطلاعات باید توسط ISPها ذخیره شود درست نیست.زادهشوم و با آقای اروج‌زاده یک ساعت صحبت می‌کنم، این "داده ترافیک" است و در واقع سابقه کار، ولی این که محتوای صحبت ما چیست Content است. ISP قرار نیست که محتوا را ثبت کند و این که کاربر چه سایت‌هایی را دیده و... بلکه قرار است نوع خدمات اصلی ثبت شود (پروتکل‌ها مثل ... , HTTP , Mail , FTP) و نحوه ارتباط (شامل مبدا ارتباط که آدرس IP آن است) و مدت آن و هویت کاربری که تماس گرفته و مبدا ارتباط (شماره کاربر) یعنی هویت تماس گیرنده باید برای شما مشخص باشد و مسیر هم به این معنا که مثلاً شما از داخل یک LAN وصل شده‌اید به یک ISP و از آنجا به یک ICP کشور، تا اینجا مسیر است.
        بنابراین این طور نیست که همه سایت‌هایی که دیده باید ثبت شود و... بلکه فقط "داده ترافیک" ثبت می‌شود، این مفهوم هم دقیقاً مطابق با تعریف کنفرانسیون بین‌المللی جرایم سایبر بوداپست است.اند.نامه اجرایی قانون، موضوع به تفصیل بررسی خواهد شد، یعنی اگر کسی روی هاست شما مورد خلافی ببیند، (مثلاً توهین به خودش) در این مورد با اعلام قانونی، آن مورد باید از روی هاست حذف شود (ونه همة سایت) و اگر در طول زمان معینی، فرد مدعی نتواند از مجاری قانونی اقدام کند، مسئله منتفی خواهد شد، همچنین در قانون شبکه‌های اطلاع‌رسانی (که الآن در دست کار و بررسی است) همه جزئیات و ضوابط و شبکه‌ها دقیق‌تر مشخص می‌گردد.توان همیشه آن را "مصداق بارز" دانست...دهد، ولی ما اینجا آمده‌ایم و به دلایل مختلف آن را تکه‌تکه کرده‌ایم! نکته بعد این که مطابق مستندات و قوانین مختلف در دنیا، مطالعه نشان می‌دهد که مهمترین اصل ، "از بین بردن کردن خلاف در نطفه" است، که بستر اصلی آن در "هاستینگ" است، یعنی از طریق آن می‌توان مشکلات مراحل بعدی در ISP و... را پیشگیری کرد؛ مثلاً شرکتی که یک نام دامنه مسئله‌دار را ثبت می‌کند، قطعاً از نام آن می‌تواند بفهمد که هدف از سایت آن چه خواهد بود، آیا این شرکت هاستینگ مسئولیتی نخواهد داشت؟ ما در این باره بحث‌های فراوانی داشتیم، مسئولیتی هم که برای هاست در قانون آمده، برای مسائل اخلاقی و پورن است، نه برای مسائل سیاسی و توهین و امثال اینها. حتی در این موارد هم طوری نیست که هاست موظف به قضاوت باشد، بلکه فقط مصادیق بارز مانند عکس‌های پورنوگرافی و... مسئول است.زاده: پیامد مهمی که قانون حداکثری و سختگیری می‌تواند داشته باشد هم به نظر من قابل توجه است، فرض کنید که نتیجه یک قانون، سختی و محدودیت زیاد در کار فعالان این بخش مثل ISPها و شرکت‌های میزبان و... باشد، قطعاً این محدودیت باعث می‌شود بخش زیادی از سرمایه‌گذاران این حوزه خارج شوند، و چون اصولاً اینترنت و کلاً IT در کشورمان توسط بخش خصوصی دنبال می‌شود و توسعه پیدا می‌کند، بعید نیست که به کلیت این حوزه مهم و مؤثر علمی و اقتصادی کشورمان لطمه اساسی بخورد.بینید که این قانون کمی بیشتر و جلوتر از وضع و شرایط فعلی ما را هدف قرار داده است، به این خاطر است که اصولاً مطابق قانون اساسی، یکی ازوظایف قوه قضاییه، "پیشگیری از جرم" است، و با توجه به سرعتی که در وقوع و پیشرفت جرایم رایانه‌ای دیده می‌شود، نمی‌توانیم هر سال قانون تازه‌ای را وضع کنیم، این سرعت ایجاب می‌کند که ما پیش‌بینی 5 سال آینده را بکنیم، این به اقتضای ماهیت جرایم رایانه‌ای است.قانونی و هرج و مرجی است که به وجود می‌آید و قابل کنترل نیست، در حالی که از ابتدا می‌توان همه مقدمات و شرایط و نیازها و مشکلات را دید، مضافاً این که این تکنولوژی هم بسیار سریع و درحال تغییرات و اگر بخواهیم صبر کنیم تا در آینده برای آن بستر سازی و قانونگذاری کنیم، دیگر زمان را از دست خواهیم داد.ای باشد که برای قانون مساعد باشد، مثلاً مدتی پیش دیدم که در امریکا برعلیه "مهندسی معکوس" (Reverse Engineering) نرم‌افزارها در حال قانون گذاری هستند، در حالی که تا مدتی پیش خودشان از آن درآمد کسب می‌کردند ولی حالا که چین وارد این عرصه شده و آنها درآمدشان از این بابت کاهش یافته، علیه آن قانون وضع می‌کنند بنابراین قانون باید ناظر برسود و منافع ملی باشد، مثال دیگر، مدتی پیش نویسنده ویروس "سارس" در آلمان دستگیر شد، جالب است که نوعی غرور در این کشور از این بابت به وجود آمد! که قابل توجه است و کمتر جایی به این موضوع پرداخته شد، نکته پنهان در این قضیه، انتقال سرمایه عظیمی در زمینه نرم‌افزار از آمریکا به کشور چک است، چون بیشترین منبع هک در دنیا کشور چک است... منظورم این است که تجربه آنها نشان می‌دهد که اجازه دادند که سیستم آنها به سطحی از بلوغ برسد، (که البته ممکن است کمی هم بینظمی در آن وجود داشته باشد) ولی در مجموع نبودن قید و بندها باعث سود عمومی برای کشور می‌شود، با رسیدن به بلوغ، بحث قانون و محدودیت‌ها به وجود می‌آید. به نظر من این قانون در شرایط فعلی برای کشورما و با شکل فعلیاش شاید زود باشد...هایی به وجود می‌آیند که کار بررسی و مطالعه و تأمین امنیت شبکه‌ها را انجام خواهند داد، و قاعدتاً باید قانون دیگری باشد که در مورد وضعیت آنها نظر بدهد، این قانون فعلی قرار نیست که در همه مورد نظر بدهد و تکلیفشان را معلوم کند. مثل کسی که به دلایل مشخصی می‌تواند تقاضای مجوز داشتن اسلحه بکند...رود، آن هم شنود داده‌هاشود...اند این است که در این موارد قید "صرفاً برای ارتکاب جرم" هم بیاید، ببینید، مثلاً به نظر شما آیا Sub7 صرفاً برای ارتکاب جرم به کار می‌رود یا نه؟افزارهای امنیتی است، شما خوب می‌دانید که اینها اکثراً دو منظوره هستند بنابراین این ماده شامل گروه‌های فعال و متخصص امنیتی هم می‌شوند...بندی شده و سری، شامل داده‌های کامپیوتری هم می‌شود؟ طبعاً نه! بنابراین باید ابتدا داده‌های سری را تعریف کرد و سپس تکلیف آنها را مشخص کرد. ببینید قاضی در مقام قضاوت باید مبتنی بر کلمه به کلمه قانون قضاوت کند، قانون به قدری فراگیر و شفاف باشد که امکان تفسیر نباشد.ای داشته باشیم؟ ولی با توضیح شما مشخص شد که در واقع رفع ابهام است.زادهنویس را در سطح بالاتری بردیم و در جلسه‌ای با حضور آقای جهانگرد و آقای جمشیدی به طورهفتگی بررسی می‌شد. در آنجا از 80 ماده به کمتر از 60 ماده تقلیل پیدا کرد. ما به این مرحله هم بسنده نکردیم، در همایش بررسی حقوق فناوری اطلاعات، آن را مورد بررسی قرار دادیم. البته باز هم در لایه‌هایی دیگر مورد نظرخواهی قرار دارد و تا گذر از مرحله قوه قضاییه به دولت، امکان ویرایش آن وجود دارد، همین طور در دولت هم قابل تغییرات. بعضی نکات در این هست که صرفاً به دلیل تبعیت از تعاریف کلی‌تر وجود دارد، مثلاً در زمینه تعریف "سیستم رایانه‌ای" با وجود تعاریف گوناگون در جهان، ما ترجیح دادیم که تعریف قانون تجارت الکترونیک را ملاک قراردهیم، مانند "داده رایانه‌ای"، "اطلاعات"، "داده محتوا" و... ما نهایتاً همه نظرات را می‌خوانیم و دنبال می‌کنیم، حتی وبلاگی را هم که در نقد و اعتراض به این قانون به وجود آمده مطالعه می‌کنیم.الملل، معاون دادستان در امور بین‌الملل به ما مشاوره می‌داد و همچنین قضات. در کنار این گروه، افراد فنی هم حضور داشتند، و از انجمن ISPها، انجمن شرکت‌های انفورماتیک، مجمع ناشران الکترونیک، تعدادی کارشناس امنیتی شبکه و از مرکز تحقیقات مخابرات، در مجموع حدود 50 نفر این گروه را تشکیل داده بودند. چندین جلد کتاب خارجی تهیه کردیم و نیز از منابع اینترنتی و خارجی.های حقوق، از متخصصین فوق لیسانس و دکترا تعداد زیادی آمدند و از بین ایشان کسانی که با کامپیوتر ناآشنا نبودند را در کوتاه مدت تعدادی آموزش مبانی فناوری اطلاعات دادیم. همچنین در حدامکان هم مبانی حقوق کیفری فناوری اطلاعات را آموزش دیدند، ما با همین گروه کار را شروع کردیم.آوری کردیم، طبیعتاً کسانی که به کار تدوین این قانون می‌پردازند، باید هم مسلط به حقوق و هم به فناوری اطلاعات باشند، یافتن چنین افرادی آسان نبود، ابتدا به نظر می‌رسید که کسانی را که با فناوری آشنا هستند آموزش حقوق بدهیم، که چنین چیزی در کوتاه مدت ممکن نبود، به این نتیجه رسیدیم که این که حقوقدانانی را که الفبای فناوری اطلاعات را بشناسند، آموزش دهیم، عملی‌تر است.ای برای تدوین قوانین لازم در زمینه IT تاسیس شد، این مسئله البته بنا به درخواست دبیر شورای عالی اطلاع‌رسانی، آقای جهانگرد بود، ایشان در شورای معاونین قوه قضاییه، طرح تکفا، و ضرورت زیرساخت‌های حقوقی و قانونی را مطرح کرده بود: مسئولیت کمیته به بنده محول شد و سپس چندین جلسه درباره قوانین لازم در این زمینه، و همچنین اولویت هر کدام مورد بحث قرار گرفت. زاده