"سیمکارت" شما به فروش میرسد!
کد خبر :
۲۰۹۹۹
بازدید :
۱۴۵۱
باز هم اپراتور تلفن همراه و باز هم شکسته شدن حریم خصوصی افراد. در روزهای اخیر، مشخص شده که اطلاعات ٢٠میلیون مشترک یکی از اپراتورهای تلفن همراه توسط یک ربات تلگرامی هک و منتشر شده است.
این خبر بهحدی شنونده را به شوک میبرد که در وهله اول باورپذیر به نظر نمیرسد. تصور کنید اطلاعات خصوصی این تعداد مشترک به یکباره در اختیار عدهای قرار میگیرد و آنها مبادرت به خرید و فروش این اطلاعات میکنند.
البته تاکنون گزارشی از پیامدهای چنین اتفاقی منتشر نشده است اما نفس افشای چنین موضوعی افکار عمومی را در ترس و اضطراب جدی قرار میدهد. از طرفی اپراتور همراه اول با ارسال پیامی به کاربران خود اطمینان داده انتشار اطلاعات خصوصی افراد مربوط به این اپراتور نیست که نشان از شدت نگرانی ایجادشده در میان کاربران مختلف تلفنهای همراه داشت. البته این نخستینبار نیست که نبود حریم امن در اپراتورهای تلفن همراه خبرساز شده است اما همچنان خبری از برخورد قضائی و جبران خسارات مادی و معنوی مشترکان متضرر این اپراتورها نیست.
«شهروند» برای بررسی ابعاد حقوقی انتشار اطلاعات کاربران اپراتورهای تلفن همراه و تبعات قضائی این واقعه با «شاپور دولتشاهی» وکیل دادگستری و عضو کمیته پیشنویس قانون جرایم رایانهای گفتوگویی انجام داده است.
ماجرا چیست و تجاوز به حریم خصوصی کاربران تلفنهای همراه چگونه انجام شده است؟
در روزهای اخیر، افشای اطلاعات ۲۰میلیون نفر از صاحبان خطوط تلفن همراه ایرانسل خبرساز شده است. پس از سهسال این دومینبار است که خبر انتشار اطلاعات کاربران شبکه ایرانسل خبرساز میشود. دفعه قبل نیز اخبار حکایت از آن داشت که شبکه اطلاعات کاربران ایرانسل مورد دستبرد واقع شده و این اطلاعات شامل نام، نام خانوادگی، نشانی دقیق (آنچه هنگام ثبتنام و خرید خط تلفن از سوی مشترک اعلام شده است)، کدپستی و احیانا شماره تلفن ثابتی از صاحب خط تلفن همراه در دسترس عموم قرار گرفته بود.
در همان زمان اپراتور مربوطه اطمینان داد که خطر برطرف شده و این اطلاعات دیگر در دسترس عموم قرار ندارد. اکنون پس از گذشت سهسال، رباتی در شبکههای اجتماعی پیدا شده که مخاطب را ترغیب به یافتن مشخصات دارنده شماره تلفنهای همراه ایرانسل میکند. مخاطب با وارد کردن شماره تلفن همراه مورد نظر خود، به مشخصات و اطلاعات شخصی صاحب خط، از جمله نام و نام خانوادگی، کد ملی، نشانی و کدپستی... دسترسی مییافت. ربات یادشده تأکید داشت که اطلاعات کاربران را از مجموعه اطلاعات افشاشده از پایگاه داده اپراتور ایرانسل که سهسال پیش افشا شده بود، ارایه میکند.
چه شد که خبر هک شدن اپراتورهای تلفن همراه رسانهای شد؟
اینبار به مدد سروصدای خبری و بلند شدن صدای اعتراضات، مدیر روابطعمومی وزارت فناوری اطلاعات و ارتباطات (تسنیمنیوز در ۱۱ تیر ۱۳۹۵) و معاون حقوقی و امور بینالملل پلیس فتای ناجا (مهرنیوز در شنبه ۱۲ تیر ۱۳۹۵) اعلام کردند که اپراتور ایرانسل، ربات موصوف را غیرفعال کرده و جلوی انتشار اطلاعات کاربران را گرفته است و پلیس فتا نیز با دستور مقام قضائی درصدد شناسایی و دستگیری عامل یا عاملان انتشار این اطلاعات در فضای مجازی است. هنوز آب خوش این خبر از گلوی کاربران پایین نرفته بود که رسانههای خبری مجددا از بازیابی و عملکرد ربات موصوف خبر دادند که البته اینبار، اطلاعات را نه به صورت رایگان که به فروش گذارده است و در قبال ارایه مشخصات صاحب خطوط درخواستی، درخواست مبالغی کرده است.
روش کار ربات جدید به چه شکل بود؟
پیام جدید ربات بدین مضمون است: «سلام دوستان، ربات با امکانات جدید و شمارههای جدید بهروزرسانی شد. برای خرید به ای دی... پیام بدید. شمارههای پشتیبانی شده ۰۹۳۵، ۰۹۳۶، ۰۹۳۷، ۰۹۳۸، ۰۹۳۹، ۰۹۳۳، ۰۹۳۰»
همچنین روی این ربات به گزارش (ایسنا - شنبه ۱۲ تیرماه ۱۳۹۵) اینگونه اعلام شده که: «به دلیل شکایتهای زیاد ربات پاک شد. پایگاه داده جدید با امکانات جدید با شمارههای جدید فروشی است.» بنابر اعلام خبرگزاری ایسنا، این اطلاعات خصوصی در سال ۱۳۹۲ لو رفته و در قالب فایل اکسل تا چندمیلیون تومان خرید و فروش میشده است.
شما از نویسندگان قانون جرایم رایانهای بودید. به نظر شما در این شرایط انتشار اطلاعات کاربران عواقب قانونی هم در پی خواهد داشت؟
صرفنظر از ناتوانی فنی اپراتور مربوطه در کشف عامل این رخداد ضد امنیتی از یکسو و عدم پاسخگویی در قبال حفاظت نکردن از حریم خصوصی مشترکان این اپراتور، بررسی عواقب حقوقی این پدیده خالی از لطف نیست. قانون تجارت الکترونیکی که در سال ۱۳۸۲ و با اقتباس از قواعد آنسیترال به تصویب رسید، تنها چند مورد معدود از جرایم رایانهای محض را در برداشت. همزمان با تصویب قانون تجارت الکترونیکی، ریاست وقت قوۀقضائیه با تشکیل کمیته مبارزه با جرایم رایانهای، پیشنویس «قانون جرایم رایانهای» را در دستور کار این کمیته قرار داد و سرانجام پس از ۵ سال، قانون جرایم رایانهای در خردادماه ۱۳۸۸ به تصویب رسید که گام بلندی در راستای پیشگیری و مبارزه با انواع جرایم رایانهای و اینترنتی به حساب میآمد. این قانون با بررسی قوانین فضای سایبر حدود ۴۴ کشور جهان پیشنویس شده بود و در مرکز پژوهشهای مجلس شورای اسلامی نیز تغییرات و اضافات دیگری همچون «کمیته فیلترینگ» یا ممنوعیت استفاده از بستر اینترنت برای ارتباطات تلفنی (VoIP) روی آن صورت پذیرفت.
نهایتا قانونی از کار درآمد که بسیاری از نیازهای امروزه جامعه را در مقابله با جرایم رایانهای و اینترنتی برآورده میکند. اما برخوردهای موردی و شاذ با مواردی همچون مانحن فیه، نشان میدهد قانون مزبور هم همانند هر قانون دیگری نیازمند بازنگری و اصلاح و اضافات است. در این فقره نیز برای انطباق عمل صورت گرفته با قانون جرایم رایانهای باید فروض مختلفی را در نظر گرفت.
چه مواردی را باید در امر محاکمه و مجازات مجرمان در نظر گرفت؟
ابتدا بهتر است تصور کنیم که نویسنده (تولیدکننده) ربات مذکور و منتشرکننده آن در فضای مجازی، هر دو یک نفر هستند.
دوم اینکه حال چنانچه شخصی که ربات را تولید و منتشر کرده، خود به پایگاه داده ایرانسل (در سهسال گذشته) دسترسی پیدا کرده، باید فرض را بر این نهاد که وی با «دسترسی غیرمجاز» یا (با کمی اغماض فنی) با هک کردن پایگاه دادههای ایرانسل، به این بانک عظیم اطلاعاتی دست یافته و سپس با انتشار این ربات در فضای مجازی اطلاعات مشترکان را منتشر کرده است. در این حالت بدون تردید در مرحله نخست و صرفا بابت دسترسی غیرمجاز به پایگاه داده شرکت ایرانسل مرتکب جرم موضوع ماده ۱ قانون جرایم رایانهای شده و مستحق یک یا هر دو مجازات مقرر در ماده ۱ خواهد بود. اما از باب سرقت اطلاعات مشترکان، مستند به ماده ۱۲ قانون جرایم رایانهای از آنجاکه عین دادهها همچنان در اختیار ایرانسل قرار دارد، تنها به مجازات پرداخت جزای نقدی از یک تا ۲۰میلیون ریال محکوم خواهد شد که صدالبته مجازات غیرمتناسب با عمل ارتکابی و گستره نقض قانون خواهد بود و از باب انتشار یا در دسترس قرار دادن اطلاعات مشترکان (خواه رایگان، خواه در قبال دریافت وجه) بررسی را به فروض بعد موکول میکنیم.
مورد سوم هم اینکه نویسنده و منتشرکننده ربات، سفارش دسترسی غیرمجاز به این پایگاه داده را به یک هکر داده و سپس این دادهها را در اختیار گرفته و با تولید و انتشار ربات، اطلاعات را در اختیار اشخاص متقاضی نهاده است که در اینصورت نیز درخصوص بخش اول، مرتکب معاونت در دسترسی غیرمجاز به پایگاه داده و همچنین معاونت در سرقت اطلاعات مشترکین ایرانسل شده است و برابر قانون مجازات اسلامی مصوب ۱۳۷۵ که در زمان هک اولیه پایگاه داده ایرانسل حاکم بوده، مجازات معاون حداقل مجازات مباشر (یعنی حبس ۹۱ روز یا جزای نقدی ۵میلیون تومان یا هر دو مجازات برای دسترسی غیرمجاز و جزای نقدی از یک تا ٢٠میلیون ریال برای سرقت اطلاعات) میبود اما از آنجا که تاکنون خبری از دستگیری و محاکمه مباشر اصلی دسترسی غیرمجاز به پایگاه داده ایرانسل منتشر نشده، لذا فرض بر آن است که اکنون و با لحاظ قانون مجازات اسلامی مصوب ۱۳۹۲ باید به جرم وی رسیدگی کرد که چون برابر ماده ۱۲۷ قانون اخیر مجازات معاون، یک تا دو درجه کمتر از مرتکب اصلی است و مجازات مرتکب اصلی درخصوص دسترسی غیرمجاز از درجه ۶ و درخصوص سرقت اطلاعات از درجه ۷ محسوب میشود؛ لذا مجازات منتشر کننده ربات برای معاونت در دسترسی غیرمجاز، مجازات درجه ۷ (حبس از ۹۱ روز تا ۶ ماه یا جزای نقدی از ۱۰ تا ۲۰میلیون ریال) و یا درجه ۸ (حبس تا ۳ ماه یا جزای نقدی تا ۱۰میلیون ریال) و برای معاونت در سرقت دادهها، از درجه ۸ (فقط جزای نقدی تا ١٠میلیون ریال) خواهد بود که باز برابر ماده ۶۵، چنانچه دادگاه تصمیم بر اعمال مجازات درجه ۸ (در خصوص دسترسی غیرمجاز که دارای مجازات حبس است) بر معاون داشته باشد، باید وی را به مجازات «جایگزین حبس» محکوم كند و درخصوص تولید و انتشار خود ربات نیز مجددا به فروض آتی موکول میشود.
الان مجازات منتشرکنندگان اطلاعات مشترکین چگونه خواهد بود؟
مورد چهارم دقیقا پاسخ به همین سوال است که درخصوص مجازات «انتشار اطلاعات مشترکین در فضای مجازی» از طریق ربات مزبور، متاسفانه جرم ارتکابی با هیچیک از مواد قانون جرايم رایانهای منطبق نخواهد بود. تنها ماده این قانون که ابتدا برای انطباق عمل با قانون به ذهن متبادر میشود، ماده ۱۷ قانون جرايم رایانهای است که اشاره داشته: «هرکس بهوسیله سامانههای رایانهای یا مخابراتی... اسرار دیگری را بدون رضایت او جز در موارد قانونی منتشر کند یا در دسترس دیگران قرار دهد به نحویکه عرفا موجب هتک حیثیت او شود...» که در ردّ این تطبیق باید به دو نکته مهم اشاره کرد:
اول اینکه عرفا نمیتوان نام و نامخانوادگی و سایر مشخصات فردی دارنده یک شماره تلفنهمراه را از مصادیق «اسرار اشخاص» دانست و دوم اینکه انتشار نام و مشخصات صاحب خط تلفن همراه، عرفا موجب هتک حیثیت دارنده خط به حساب نمیآید؛ لذا انطباق این ماده با عمل ارتکابی توسط منتشرکننده ربات مورد بحث، خالی از وجه قانونی خواهد بود.
مورد پنجم هم اینکه ماده بعدی که قدری از انطباق را متبادر میکند، بند (الف) از ماده ۲۵ قانون جرايم رایانهای است بدین مضمون: «تولید یا انتشار یا توزیع و در دسترس قرار دادن یا معامله دادهها یا نرمافزارها یا هر نوع ابزار الکترونیکی که «صرفا» به منظور ارتکاب جرايم رایانهای به کار میرود» که با توجه به توضیحات فوقالاشاره در بند (۴) با توجه به اینکه خود عمل ارتکابی جرم نیست، لذا انتشار نرمافزاری که این دادههای «غیرمجرمانه» را در دسترس کاربران قرار میدهد نیز از مصادیق «نرمافزارهایی که صرفا برای ارتکاب جرم به کار میرود» نخواهد بود، لذا این انطباق نیز منتفی به نظر میرسد.
جناب دولتشاهی با توجه به مواد ۶۴ و ۶۵ قانون تجارت الکترونیکی و کسب درآمد این ربات از فروش اطلاعات خصوصی افراد شرایط محاکمه و مجازات چگونه خواهد بود؟
نکته مهم آخر همین است که برابر ماده ۶۴ قانون تجارت الکترونیکی مصوب ۱۳۸۲: «تحصیل غیرقانونی اسرار تجاری و اقتصادی بنگاهها و موسسات برای خود یا افشای آن برای اشخاص ثالث در محیط الکترونیکی جرم محسوب میشود» و برابر ماده ۶۵ همان قانون، اسرار تجاری شامل مواردی است که عموما منصرف از اطلاعات ارایه شده توسط این ربات است و تنها عبارت «فهرست مشتریان» است که قدری قابل تأمل خواهد بود اما با قدری مداقّه به این نتیجه ميرسيم که اولا ربات مزبور هرگز «فهرست یا لیستی» از مشتریان ایرانسل را در اختیار متقاضیان قرار نمیدهد بلکه با ارايه هر شماره تلفن، تنها مشخصات همان یک نفر صاحب خط را ارایه میكند؛ لذا نمیتوان آن را «فهرست مشتریان» نامید و ثانیا اسرار تجاری مورد حمایت نیز باید دارای سه شرط مقرر در این ماده باشند بدین مضمون که: اولا بهطور مستقل دارای ارزش اقتصادی بوده ثانیا در دسترس عموم قرار نداشته باشد و ثالثا تلاشهای معقولانهای برای حفظ و حراست از آنها بهعمل آمده باشد که حتی چنانچه تحقق دو فرض اخیر را درخصوص فهرست مشترکان ایرانسل محتمل بدانیم، تحقق شرط اول (واجد ارزش اقتصادی مستقل بودن) درخصوص آنها بههیچ عنوان صادق نخواهد بود چرا که نام و مشخصات تکتک خطوط تلفنهمراه ایرانسل که بنا بر آمار موجود بالغ بر نیمی از کل جمعیت کشور را در بردارد، هرگز واجد ارزش اقتصادی نیست (هر چند که تحقق این شرط درخصوص فهرست کاملی از نام مشترکان ایرانسل هم قویا محل تردید است) لذا ارايه نام و مشخصات صاحبان خطوط تلفن ایرانسل را نمیتوان از مصادیق افشای اسرار تجاری در محیط الکترونیکی دانست.
با این توضیحات معتقدید قوانین ما در این مورد کامل هستند؟
قوانین فعلی درخصوص حفاظت از «اسرار تجاری» و «اسرار شخصی» کامل و کارآمد است؛ اما آنجا که بحث صرفا حمایت از حریم خصوصی افراد جامعه است و آنچه مورد تعرض واقع شده نه «اسرار تجاری» و نه «اسرار شخصی و خانوادگی» باشد بلکه صرفا «اطلاعات اشخاص» بهعنوان بخشی از حریم خصوصی افراد جامعه به معنی آنچه فرد انتظار دارد فقط برای آنان که خود میخواهد افشا شود و در برابر اغیار تمایل بر محرمانه ماندن آن دارد، صرف نظر از اینکه از نظر عرف واجد وصف «محرمانه» یا «حریم خصوصی» باشد یا خیر، قوانین موجود با خلأ جرمانگاری مواجهاند و در این مقطع حساس چنین نقصی رخ مینماید.
در پایان این یک نکته حائز اهمیت است انتظار برای برخورد قضائی سریع و قاطع است؛ نظر شما در این رابطه چیست؟
هر چند مسأله روز، همین بحث انتشار ربات افشاگر مشخصات فردی صاحبان خطوط تلفنهمراه ایرانسل در فضای مجازی است و بنابر اخبار، عزم سیستم قضائی و پلیسی بر شناسایی و دستگیری مرتکب جرم شده تا احساس امنیت اطلاعات و حریم خصوصی مشترکین تلفنهای همراه بازگردانده شود و آحاد جامعه نیز به دنبال فرجام کار هستند، نباید از یاد برد در عالم حقوق کیفری، نخستين و مهمترین اصل، «تفسیر مضیق قوانین» است و به هیچ بهانهای ولو تسکین آلام بزهدیدگان و یا بازگرداندن آرامش خاطر شهروندان در حفظ حریم خصوصی، نباید دست به اقدامات هیجانی زد و به هر زحمت، عمل ارتکابی را با یکی از مواد قانونی منطبق «قلمداد» کرد!
شایسته است مقامات محترم قضائی و پلیسی در برخورد با این واقعه، قبل از هرگونه برخورد احساسی و هیجانی، درک عمیق و واقعی از ماهیت عمل بهدست آورده و چنانچه آن را با هیچیک از مواد قانونی منطبق ندانستند، با شهامت تمام و کمال و اعلام «جرم نبودن عمل انتسابی» نسبت به توقف پیگرد کیفری موضوع اقدام كرده، مبادا که گذر از خلأ قوانین را بهانهای برای زیرپا نهادن اصول بنیادین حقوق کیفری كنيم؛ اما همزمان بایسته است، با شناخت از زوایای تاریک و پنهان قوانین موجود، پیشنهاد اصلاح یا تکمیل قوانین مرتبط را به مراجع ذیربط ارایه کنیم.
این خبر بهحدی شنونده را به شوک میبرد که در وهله اول باورپذیر به نظر نمیرسد. تصور کنید اطلاعات خصوصی این تعداد مشترک به یکباره در اختیار عدهای قرار میگیرد و آنها مبادرت به خرید و فروش این اطلاعات میکنند.
البته تاکنون گزارشی از پیامدهای چنین اتفاقی منتشر نشده است اما نفس افشای چنین موضوعی افکار عمومی را در ترس و اضطراب جدی قرار میدهد. از طرفی اپراتور همراه اول با ارسال پیامی به کاربران خود اطمینان داده انتشار اطلاعات خصوصی افراد مربوط به این اپراتور نیست که نشان از شدت نگرانی ایجادشده در میان کاربران مختلف تلفنهای همراه داشت. البته این نخستینبار نیست که نبود حریم امن در اپراتورهای تلفن همراه خبرساز شده است اما همچنان خبری از برخورد قضائی و جبران خسارات مادی و معنوی مشترکان متضرر این اپراتورها نیست.
«شهروند» برای بررسی ابعاد حقوقی انتشار اطلاعات کاربران اپراتورهای تلفن همراه و تبعات قضائی این واقعه با «شاپور دولتشاهی» وکیل دادگستری و عضو کمیته پیشنویس قانون جرایم رایانهای گفتوگویی انجام داده است.
ماجرا چیست و تجاوز به حریم خصوصی کاربران تلفنهای همراه چگونه انجام شده است؟
در روزهای اخیر، افشای اطلاعات ۲۰میلیون نفر از صاحبان خطوط تلفن همراه ایرانسل خبرساز شده است. پس از سهسال این دومینبار است که خبر انتشار اطلاعات کاربران شبکه ایرانسل خبرساز میشود. دفعه قبل نیز اخبار حکایت از آن داشت که شبکه اطلاعات کاربران ایرانسل مورد دستبرد واقع شده و این اطلاعات شامل نام، نام خانوادگی، نشانی دقیق (آنچه هنگام ثبتنام و خرید خط تلفن از سوی مشترک اعلام شده است)، کدپستی و احیانا شماره تلفن ثابتی از صاحب خط تلفن همراه در دسترس عموم قرار گرفته بود.
در همان زمان اپراتور مربوطه اطمینان داد که خطر برطرف شده و این اطلاعات دیگر در دسترس عموم قرار ندارد. اکنون پس از گذشت سهسال، رباتی در شبکههای اجتماعی پیدا شده که مخاطب را ترغیب به یافتن مشخصات دارنده شماره تلفنهای همراه ایرانسل میکند. مخاطب با وارد کردن شماره تلفن همراه مورد نظر خود، به مشخصات و اطلاعات شخصی صاحب خط، از جمله نام و نام خانوادگی، کد ملی، نشانی و کدپستی... دسترسی مییافت. ربات یادشده تأکید داشت که اطلاعات کاربران را از مجموعه اطلاعات افشاشده از پایگاه داده اپراتور ایرانسل که سهسال پیش افشا شده بود، ارایه میکند.
چه شد که خبر هک شدن اپراتورهای تلفن همراه رسانهای شد؟
اینبار به مدد سروصدای خبری و بلند شدن صدای اعتراضات، مدیر روابطعمومی وزارت فناوری اطلاعات و ارتباطات (تسنیمنیوز در ۱۱ تیر ۱۳۹۵) و معاون حقوقی و امور بینالملل پلیس فتای ناجا (مهرنیوز در شنبه ۱۲ تیر ۱۳۹۵) اعلام کردند که اپراتور ایرانسل، ربات موصوف را غیرفعال کرده و جلوی انتشار اطلاعات کاربران را گرفته است و پلیس فتا نیز با دستور مقام قضائی درصدد شناسایی و دستگیری عامل یا عاملان انتشار این اطلاعات در فضای مجازی است. هنوز آب خوش این خبر از گلوی کاربران پایین نرفته بود که رسانههای خبری مجددا از بازیابی و عملکرد ربات موصوف خبر دادند که البته اینبار، اطلاعات را نه به صورت رایگان که به فروش گذارده است و در قبال ارایه مشخصات صاحب خطوط درخواستی، درخواست مبالغی کرده است.
روش کار ربات جدید به چه شکل بود؟
پیام جدید ربات بدین مضمون است: «سلام دوستان، ربات با امکانات جدید و شمارههای جدید بهروزرسانی شد. برای خرید به ای دی... پیام بدید. شمارههای پشتیبانی شده ۰۹۳۵، ۰۹۳۶، ۰۹۳۷، ۰۹۳۸، ۰۹۳۹، ۰۹۳۳، ۰۹۳۰»
همچنین روی این ربات به گزارش (ایسنا - شنبه ۱۲ تیرماه ۱۳۹۵) اینگونه اعلام شده که: «به دلیل شکایتهای زیاد ربات پاک شد. پایگاه داده جدید با امکانات جدید با شمارههای جدید فروشی است.» بنابر اعلام خبرگزاری ایسنا، این اطلاعات خصوصی در سال ۱۳۹۲ لو رفته و در قالب فایل اکسل تا چندمیلیون تومان خرید و فروش میشده است.
شما از نویسندگان قانون جرایم رایانهای بودید. به نظر شما در این شرایط انتشار اطلاعات کاربران عواقب قانونی هم در پی خواهد داشت؟
صرفنظر از ناتوانی فنی اپراتور مربوطه در کشف عامل این رخداد ضد امنیتی از یکسو و عدم پاسخگویی در قبال حفاظت نکردن از حریم خصوصی مشترکان این اپراتور، بررسی عواقب حقوقی این پدیده خالی از لطف نیست. قانون تجارت الکترونیکی که در سال ۱۳۸۲ و با اقتباس از قواعد آنسیترال به تصویب رسید، تنها چند مورد معدود از جرایم رایانهای محض را در برداشت. همزمان با تصویب قانون تجارت الکترونیکی، ریاست وقت قوۀقضائیه با تشکیل کمیته مبارزه با جرایم رایانهای، پیشنویس «قانون جرایم رایانهای» را در دستور کار این کمیته قرار داد و سرانجام پس از ۵ سال، قانون جرایم رایانهای در خردادماه ۱۳۸۸ به تصویب رسید که گام بلندی در راستای پیشگیری و مبارزه با انواع جرایم رایانهای و اینترنتی به حساب میآمد. این قانون با بررسی قوانین فضای سایبر حدود ۴۴ کشور جهان پیشنویس شده بود و در مرکز پژوهشهای مجلس شورای اسلامی نیز تغییرات و اضافات دیگری همچون «کمیته فیلترینگ» یا ممنوعیت استفاده از بستر اینترنت برای ارتباطات تلفنی (VoIP) روی آن صورت پذیرفت.
نهایتا قانونی از کار درآمد که بسیاری از نیازهای امروزه جامعه را در مقابله با جرایم رایانهای و اینترنتی برآورده میکند. اما برخوردهای موردی و شاذ با مواردی همچون مانحن فیه، نشان میدهد قانون مزبور هم همانند هر قانون دیگری نیازمند بازنگری و اصلاح و اضافات است. در این فقره نیز برای انطباق عمل صورت گرفته با قانون جرایم رایانهای باید فروض مختلفی را در نظر گرفت.
چه مواردی را باید در امر محاکمه و مجازات مجرمان در نظر گرفت؟
ابتدا بهتر است تصور کنیم که نویسنده (تولیدکننده) ربات مذکور و منتشرکننده آن در فضای مجازی، هر دو یک نفر هستند.
دوم اینکه حال چنانچه شخصی که ربات را تولید و منتشر کرده، خود به پایگاه داده ایرانسل (در سهسال گذشته) دسترسی پیدا کرده، باید فرض را بر این نهاد که وی با «دسترسی غیرمجاز» یا (با کمی اغماض فنی) با هک کردن پایگاه دادههای ایرانسل، به این بانک عظیم اطلاعاتی دست یافته و سپس با انتشار این ربات در فضای مجازی اطلاعات مشترکان را منتشر کرده است. در این حالت بدون تردید در مرحله نخست و صرفا بابت دسترسی غیرمجاز به پایگاه داده شرکت ایرانسل مرتکب جرم موضوع ماده ۱ قانون جرایم رایانهای شده و مستحق یک یا هر دو مجازات مقرر در ماده ۱ خواهد بود. اما از باب سرقت اطلاعات مشترکان، مستند به ماده ۱۲ قانون جرایم رایانهای از آنجاکه عین دادهها همچنان در اختیار ایرانسل قرار دارد، تنها به مجازات پرداخت جزای نقدی از یک تا ۲۰میلیون ریال محکوم خواهد شد که صدالبته مجازات غیرمتناسب با عمل ارتکابی و گستره نقض قانون خواهد بود و از باب انتشار یا در دسترس قرار دادن اطلاعات مشترکان (خواه رایگان، خواه در قبال دریافت وجه) بررسی را به فروض بعد موکول میکنیم.
مورد سوم هم اینکه نویسنده و منتشرکننده ربات، سفارش دسترسی غیرمجاز به این پایگاه داده را به یک هکر داده و سپس این دادهها را در اختیار گرفته و با تولید و انتشار ربات، اطلاعات را در اختیار اشخاص متقاضی نهاده است که در اینصورت نیز درخصوص بخش اول، مرتکب معاونت در دسترسی غیرمجاز به پایگاه داده و همچنین معاونت در سرقت اطلاعات مشترکین ایرانسل شده است و برابر قانون مجازات اسلامی مصوب ۱۳۷۵ که در زمان هک اولیه پایگاه داده ایرانسل حاکم بوده، مجازات معاون حداقل مجازات مباشر (یعنی حبس ۹۱ روز یا جزای نقدی ۵میلیون تومان یا هر دو مجازات برای دسترسی غیرمجاز و جزای نقدی از یک تا ٢٠میلیون ریال برای سرقت اطلاعات) میبود اما از آنجا که تاکنون خبری از دستگیری و محاکمه مباشر اصلی دسترسی غیرمجاز به پایگاه داده ایرانسل منتشر نشده، لذا فرض بر آن است که اکنون و با لحاظ قانون مجازات اسلامی مصوب ۱۳۹۲ باید به جرم وی رسیدگی کرد که چون برابر ماده ۱۲۷ قانون اخیر مجازات معاون، یک تا دو درجه کمتر از مرتکب اصلی است و مجازات مرتکب اصلی درخصوص دسترسی غیرمجاز از درجه ۶ و درخصوص سرقت اطلاعات از درجه ۷ محسوب میشود؛ لذا مجازات منتشر کننده ربات برای معاونت در دسترسی غیرمجاز، مجازات درجه ۷ (حبس از ۹۱ روز تا ۶ ماه یا جزای نقدی از ۱۰ تا ۲۰میلیون ریال) و یا درجه ۸ (حبس تا ۳ ماه یا جزای نقدی تا ۱۰میلیون ریال) و برای معاونت در سرقت دادهها، از درجه ۸ (فقط جزای نقدی تا ١٠میلیون ریال) خواهد بود که باز برابر ماده ۶۵، چنانچه دادگاه تصمیم بر اعمال مجازات درجه ۸ (در خصوص دسترسی غیرمجاز که دارای مجازات حبس است) بر معاون داشته باشد، باید وی را به مجازات «جایگزین حبس» محکوم كند و درخصوص تولید و انتشار خود ربات نیز مجددا به فروض آتی موکول میشود.
الان مجازات منتشرکنندگان اطلاعات مشترکین چگونه خواهد بود؟
مورد چهارم دقیقا پاسخ به همین سوال است که درخصوص مجازات «انتشار اطلاعات مشترکین در فضای مجازی» از طریق ربات مزبور، متاسفانه جرم ارتکابی با هیچیک از مواد قانون جرايم رایانهای منطبق نخواهد بود. تنها ماده این قانون که ابتدا برای انطباق عمل با قانون به ذهن متبادر میشود، ماده ۱۷ قانون جرايم رایانهای است که اشاره داشته: «هرکس بهوسیله سامانههای رایانهای یا مخابراتی... اسرار دیگری را بدون رضایت او جز در موارد قانونی منتشر کند یا در دسترس دیگران قرار دهد به نحویکه عرفا موجب هتک حیثیت او شود...» که در ردّ این تطبیق باید به دو نکته مهم اشاره کرد:
اول اینکه عرفا نمیتوان نام و نامخانوادگی و سایر مشخصات فردی دارنده یک شماره تلفنهمراه را از مصادیق «اسرار اشخاص» دانست و دوم اینکه انتشار نام و مشخصات صاحب خط تلفن همراه، عرفا موجب هتک حیثیت دارنده خط به حساب نمیآید؛ لذا انطباق این ماده با عمل ارتکابی توسط منتشرکننده ربات مورد بحث، خالی از وجه قانونی خواهد بود.
مورد پنجم هم اینکه ماده بعدی که قدری از انطباق را متبادر میکند، بند (الف) از ماده ۲۵ قانون جرايم رایانهای است بدین مضمون: «تولید یا انتشار یا توزیع و در دسترس قرار دادن یا معامله دادهها یا نرمافزارها یا هر نوع ابزار الکترونیکی که «صرفا» به منظور ارتکاب جرايم رایانهای به کار میرود» که با توجه به توضیحات فوقالاشاره در بند (۴) با توجه به اینکه خود عمل ارتکابی جرم نیست، لذا انتشار نرمافزاری که این دادههای «غیرمجرمانه» را در دسترس کاربران قرار میدهد نیز از مصادیق «نرمافزارهایی که صرفا برای ارتکاب جرم به کار میرود» نخواهد بود، لذا این انطباق نیز منتفی به نظر میرسد.
جناب دولتشاهی با توجه به مواد ۶۴ و ۶۵ قانون تجارت الکترونیکی و کسب درآمد این ربات از فروش اطلاعات خصوصی افراد شرایط محاکمه و مجازات چگونه خواهد بود؟
نکته مهم آخر همین است که برابر ماده ۶۴ قانون تجارت الکترونیکی مصوب ۱۳۸۲: «تحصیل غیرقانونی اسرار تجاری و اقتصادی بنگاهها و موسسات برای خود یا افشای آن برای اشخاص ثالث در محیط الکترونیکی جرم محسوب میشود» و برابر ماده ۶۵ همان قانون، اسرار تجاری شامل مواردی است که عموما منصرف از اطلاعات ارایه شده توسط این ربات است و تنها عبارت «فهرست مشتریان» است که قدری قابل تأمل خواهد بود اما با قدری مداقّه به این نتیجه ميرسيم که اولا ربات مزبور هرگز «فهرست یا لیستی» از مشتریان ایرانسل را در اختیار متقاضیان قرار نمیدهد بلکه با ارايه هر شماره تلفن، تنها مشخصات همان یک نفر صاحب خط را ارایه میكند؛ لذا نمیتوان آن را «فهرست مشتریان» نامید و ثانیا اسرار تجاری مورد حمایت نیز باید دارای سه شرط مقرر در این ماده باشند بدین مضمون که: اولا بهطور مستقل دارای ارزش اقتصادی بوده ثانیا در دسترس عموم قرار نداشته باشد و ثالثا تلاشهای معقولانهای برای حفظ و حراست از آنها بهعمل آمده باشد که حتی چنانچه تحقق دو فرض اخیر را درخصوص فهرست مشترکان ایرانسل محتمل بدانیم، تحقق شرط اول (واجد ارزش اقتصادی مستقل بودن) درخصوص آنها بههیچ عنوان صادق نخواهد بود چرا که نام و مشخصات تکتک خطوط تلفنهمراه ایرانسل که بنا بر آمار موجود بالغ بر نیمی از کل جمعیت کشور را در بردارد، هرگز واجد ارزش اقتصادی نیست (هر چند که تحقق این شرط درخصوص فهرست کاملی از نام مشترکان ایرانسل هم قویا محل تردید است) لذا ارايه نام و مشخصات صاحبان خطوط تلفن ایرانسل را نمیتوان از مصادیق افشای اسرار تجاری در محیط الکترونیکی دانست.
با این توضیحات معتقدید قوانین ما در این مورد کامل هستند؟
قوانین فعلی درخصوص حفاظت از «اسرار تجاری» و «اسرار شخصی» کامل و کارآمد است؛ اما آنجا که بحث صرفا حمایت از حریم خصوصی افراد جامعه است و آنچه مورد تعرض واقع شده نه «اسرار تجاری» و نه «اسرار شخصی و خانوادگی» باشد بلکه صرفا «اطلاعات اشخاص» بهعنوان بخشی از حریم خصوصی افراد جامعه به معنی آنچه فرد انتظار دارد فقط برای آنان که خود میخواهد افشا شود و در برابر اغیار تمایل بر محرمانه ماندن آن دارد، صرف نظر از اینکه از نظر عرف واجد وصف «محرمانه» یا «حریم خصوصی» باشد یا خیر، قوانین موجود با خلأ جرمانگاری مواجهاند و در این مقطع حساس چنین نقصی رخ مینماید.
در پایان این یک نکته حائز اهمیت است انتظار برای برخورد قضائی سریع و قاطع است؛ نظر شما در این رابطه چیست؟
هر چند مسأله روز، همین بحث انتشار ربات افشاگر مشخصات فردی صاحبان خطوط تلفنهمراه ایرانسل در فضای مجازی است و بنابر اخبار، عزم سیستم قضائی و پلیسی بر شناسایی و دستگیری مرتکب جرم شده تا احساس امنیت اطلاعات و حریم خصوصی مشترکین تلفنهای همراه بازگردانده شود و آحاد جامعه نیز به دنبال فرجام کار هستند، نباید از یاد برد در عالم حقوق کیفری، نخستين و مهمترین اصل، «تفسیر مضیق قوانین» است و به هیچ بهانهای ولو تسکین آلام بزهدیدگان و یا بازگرداندن آرامش خاطر شهروندان در حفظ حریم خصوصی، نباید دست به اقدامات هیجانی زد و به هر زحمت، عمل ارتکابی را با یکی از مواد قانونی منطبق «قلمداد» کرد!
شایسته است مقامات محترم قضائی و پلیسی در برخورد با این واقعه، قبل از هرگونه برخورد احساسی و هیجانی، درک عمیق و واقعی از ماهیت عمل بهدست آورده و چنانچه آن را با هیچیک از مواد قانونی منطبق ندانستند، با شهامت تمام و کمال و اعلام «جرم نبودن عمل انتسابی» نسبت به توقف پیگرد کیفری موضوع اقدام كرده، مبادا که گذر از خلأ قوانین را بهانهای برای زیرپا نهادن اصول بنیادین حقوق کیفری كنيم؛ اما همزمان بایسته است، با شناخت از زوایای تاریک و پنهان قوانین موجود، پیشنهاد اصلاح یا تکمیل قوانین مرتبط را به مراجع ذیربط ارایه کنیم.
۰
