پروژه ایران
: پس از آنکه یک گروه رخنهگر (هکر) ادعا کرد به سامانه مدیریت پروندههای قوه قضاییه رخنه کرده است، این خبر تکذیب شد. حال برخی پروندهها که ادعا میشود واقعی است با جزئیات در دسترس عموم قرار گرفته است. اگر این پروندهها واقعی باشد، سبب خسارات قابل توجه مادی و معنوی به حیثیت افراد می شود. در این فرض به لحاظ قانونی، چه کسی مسوول تامین امنیت دادههای شخصی مردم در این سامانههاست؟ دامنه این مسوولیت تا کجاست؟ و چه کیفری در انتظار رخنهگران است؟
سه شنبه ۸ اسفند ۱۴۰۲ ساعت ۱۵:۲۹
کد مطلب : 416060
منبع : پروژه ایران
تکلیف قوه قضاییه به حفظ حریم خصوصی افراد و تامین امنیت دادههای شخصی آنان
پیامدهای حقوقی هک ادعایی پروندههای قضایی / مجازات عاملان هک اطلاعات مردم چیست؟
به گزارش پایگاه خبری پروژه ایران، یک گروه رخنهگر (هکر) ادعا کرده است که حجم عظیمی از دادههای شخصی مردم در سامانه قوه قضاییه را به صورت غیر قانونی منتشر کرده و در دسترس عموم قرار داده است. با جستجوی نام افراد در این سایت میتوان به دادههای شخصی برخی افراد رسید که البته مشخص نیست آیا واقعی است یا غیر واقعی و شامل اسامی شاکی و متهم، شماره ملی، نام پدر، شماره رمز شخصی، تاریخ تولد، جنسیت و نشانی اقامتگاه آنها، همچنین عنوان اتهام، شعبه رسیدگی کننده و نتیجه پرونده می شود.
حال در فرض وقوع چنین اتفاقی و انتشار اطلاعات مردم، باید دید چه مسوولیتی، متوجه چه کسی است و منتشر کننده اطلاعات مرتکب چه جرمی شده است؟
حال در فرض وقوع چنین اتفاقی و انتشار اطلاعات مردم، باید دید چه مسوولیتی، متوجه چه کسی است و منتشر کننده اطلاعات مرتکب چه جرمی شده است؟
تکلیف قوه قضاییه به اتخاذ تمهیدات فنی و قانونی لازم
مطابق ماده ۶۵۸ الحاقی 8 مهر 1393 به قانون آیین دادرسی کیفری مصوب 1392 «قوه قضائیه موظف است تمهیدات فنی و قانونی لازم را برای حفظ حریم خصوصی افراد و تأمین امنیت دادههای شخصی آنان، در چهارچوب اقدامات این بخش [دادرسی الکترونیکی] فراهم آورد.»
متاسفانه دسترسی غیر مجاز و افشای این دادهها که بسیاری از آنها حریم خصوصی شهروندان محسوب میشود، نشانگر عدم اتخاذ تمهیدات فنی لازم است. بر این اساس جامعه انتظار بهجایی دارد که قوه قضاییه، در قبال افشای غیر قانونی دادههای شخصی شهروندان پاسخگو باشد.
افشای دادههای شخصی اعتبار و حیثیت بسیاری از افراد را مخدوش و حریم خصوصی ایشان را نقض کرده است. نمونه بارز آن، افشای دو پرونده تشکیل شده از سوی یکی از هنرمندان است که در فضای مجازی دست به دست میشود و موجب بروز ابهاماتی شده است و البته واقعی بودن این پرونده ها نیز زیر سوال است.
اگر چنین نشت اطلاعاتی حقیقت داشته باشد (که حقیقت داشتن آن با توجه به تکذیب قوه قضائیه و اطلاعات منتشر شده با تردیدهای جدی روبرو است) به اعتماد عمومی و سرمایه اجتماعی عدلیه لطمه زیادی میزند. پذیرش واقعیت، عذرخواهی و اتخاذ تدابیر و تمهیدات فنی لازم برای پیشگیری از تکرار چنین اتفاقاتی در آینده نشانه مسوولیت پذیری و پاسخگویی مسوولان است.
متاسفانه دسترسی غیر مجاز و افشای این دادهها که بسیاری از آنها حریم خصوصی شهروندان محسوب میشود، نشانگر عدم اتخاذ تمهیدات فنی لازم است. بر این اساس جامعه انتظار بهجایی دارد که قوه قضاییه، در قبال افشای غیر قانونی دادههای شخصی شهروندان پاسخگو باشد.
افشای دادههای شخصی اعتبار و حیثیت بسیاری از افراد را مخدوش و حریم خصوصی ایشان را نقض کرده است. نمونه بارز آن، افشای دو پرونده تشکیل شده از سوی یکی از هنرمندان است که در فضای مجازی دست به دست میشود و موجب بروز ابهاماتی شده است و البته واقعی بودن این پرونده ها نیز زیر سوال است.
اگر چنین نشت اطلاعاتی حقیقت داشته باشد (که حقیقت داشتن آن با توجه به تکذیب قوه قضائیه و اطلاعات منتشر شده با تردیدهای جدی روبرو است) به اعتماد عمومی و سرمایه اجتماعی عدلیه لطمه زیادی میزند. پذیرش واقعیت، عذرخواهی و اتخاذ تدابیر و تمهیدات فنی لازم برای پیشگیری از تکرار چنین اتفاقاتی در آینده نشانه مسوولیت پذیری و پاسخگویی مسوولان است.
مسوولیت مقامات مسوول در قبال افشای دادههای شخصی شهروندان
به تصریح قانون آیین دادرسی کیفری، دو دسته از مقامات و ماموران در قبال افشای دادههای شخصی شهروندان و نقض حریم خصوصی ایشان مسوولیت کیفری دارند:
1. اشخاصی که مسؤول حفظ امنیت مراکز، سامانههای رایانهای و مخابراتی و اطلاعات موضوع دادرسی الکترونیکی هستند.
2. اشخاصی که دادهها یا سامانههای مذکور در اختیار آنان قرار گرفته است. مانند مقامات قضایی و ماموران اداری که مجوز دسترسی به این اطلاعات را دارند.
1. اشخاصی که مسؤول حفظ امنیت مراکز، سامانههای رایانهای و مخابراتی و اطلاعات موضوع دادرسی الکترونیکی هستند.
2. اشخاصی که دادهها یا سامانههای مذکور در اختیار آنان قرار گرفته است. مانند مقامات قضایی و ماموران اداری که مجوز دسترسی به این اطلاعات را دارند.
مسوولیت قانونی اشخاصی که به این دادهها دسترسی دارند
مسوولیت قانونی مقامات بالا به دو صورت است: مسوولیت کیفری و مسوولیت مدنی. تکلیف مسوولیت کیفری اشخاصی که این دادهها را در اختیار داشتهاند، در قانون آیین دادرسی کیفری مشخص شده است، ولی مسوولیت مدنی در هاله ابهام قرار دارد.
به طور کلی، رخنه به سامانههای قوه قضاییه و دسترسی غیزمجاز و سرقت دادههای شخصی و افشای آنها به دو صورت قابل تصور است: تقصیر یا قصور.
تقصیر به این معناست که اشخاصی که به صورت قانونی اختیار دسترسی به این دادهها را دارند، مانند مقامات قضایی یا مسوولان حفظ امنیت سامانه های قضایی، با علم و عمد موجب نقض حریم خصوصی افراد یا محرمانگی اطلاعات شوند یا به طور غیرمجاز آنها را افشا کرده یا در دسترس اشخاص فاقد صلاحیت قرار دادهاند.
قصور نیز به این معناست رخنه به سبب بیاحتیاطی یا بیمبالاتی یا عدم مهارت یا عدم رعایت تدابیر متعارف امنیتی از سوی اشخاصی که مسؤول حفظ امنیت این دادهها یا سامانهها بودهاند یا آنها را در اختیار داشتهاند، رخ دهد.
البته حالت سومی هم هست که در قانون ذکر نشده و آن هک دادهها و سامانهها به سبب ایرادات امنیتی در محصولات خارجی است که از ابتدا با نام Zero Day یا Backdooor در آنها وجود دارد و هیچ کسی نمی تواند ادعا کند این سامانهها مخصوصا زمانی که در بستر اینترنت قرار دارند، نسبت به نفوذ و هک ۱۰۰ درصد ایمن هستند. که این حالت نه تقصیر است نه قصور و مسوولیتی در قبال آن متوجه متولیان سامانه نیست. البته مسوولیت به روز رسانی مدام سامانه و استخدام متخصصان فناوری اطلاعات به عهده مسوولان فناوری اطلاعات است اما موارد این چنینی، رافع مسوولیت کیفری یا مدنی است.
ماده ۶۶۰ قانون آیین دادرسی کیفری مسوولیت کیفری و مجازات مقصران این اتفاق را معین کرده است. مطابق این ماده «چنانچه اشخاصی که دادههای موضوع این بخش را در اختیار دارند، موجبات نقض حریم خصوصی افراد یا محرمانگی اطلاعات را فراهم آورند یا بهطور غیرمجاز آنها را افشاء کرده یا در دسترس اشخاص فاقد صلاحیت قرار دهند، به حبس از 2 تا 5 سال یا جزای نقدی از 20 تا 200 میلیون ریال و انفصال از خدمت از 2 تا 10 سال محکوم خواهند شد.»
ماده ۶۶۱ این قانون نیز مسوولیت کیفری اشخاص فوق را در فرض بیاحتیاطی و بیمبالاتی تعیین میکند. مطابق این ماده «چنانچه اشخاصی که مسؤول حفظ امنیت مراکز، سامانههای رایانهای و مخابراتی و اطلاعات موضوع این بخش هستند یا دادهها یا سامانه (سیستم)های مذکور در اختیار آنان قرار گرفته است بر اثر بیاحتیاطی یا بیمبالاتی یا عدم مهارت یا عدم رعایت تدابیر متعارف امنیتی موجبات ارتکاب جرائم رایانهای به وسیله یا علیه دادهها و سامانههای رایانهای و مخابراتی را فراهم آورند، به حبس از 6 ماه تا 2 سال یا انفصال از خدمت تا 5 سال یا جزای نقدی از 10 تا 100 میلیون ریال محکوم خواهند شد.»
اما در مورد مسوولیت مدنی و جبران خسارت از سوی مقاماتی که این دادهها را در اختیار دارند، نص صریحی در قانون دیده نمی شود ولی می توان با استناد به "ملاک" ماده 78 قانون تجارت الکترونیک نتیجه گرفت که چنین مسوولیتی وجود دارد. برابر این ماده «هر گاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، به جز در نتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسؤول جبران خسارات وارده میباشند مگر اینکه خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات برعهده این اشخاص خواهد بود.»
همانطور که از این ماده و عنوان قانون آن پیدا است ارتباط مستقیمی به داده های شخصی افراد در سامانههای قوه قضاییه ندارد، ولی با اخذ ملاک از این ماده و شاید به قیاس اولویت بتوان چنین مسوولیتی را متوجه مقامات در اختیار دارنده این اطلاعات یا مسوول حفظ آنها دانست.
به طور کلی، رخنه به سامانههای قوه قضاییه و دسترسی غیزمجاز و سرقت دادههای شخصی و افشای آنها به دو صورت قابل تصور است: تقصیر یا قصور.
تقصیر به این معناست که اشخاصی که به صورت قانونی اختیار دسترسی به این دادهها را دارند، مانند مقامات قضایی یا مسوولان حفظ امنیت سامانه های قضایی، با علم و عمد موجب نقض حریم خصوصی افراد یا محرمانگی اطلاعات شوند یا به طور غیرمجاز آنها را افشا کرده یا در دسترس اشخاص فاقد صلاحیت قرار دادهاند.
قصور نیز به این معناست رخنه به سبب بیاحتیاطی یا بیمبالاتی یا عدم مهارت یا عدم رعایت تدابیر متعارف امنیتی از سوی اشخاصی که مسؤول حفظ امنیت این دادهها یا سامانهها بودهاند یا آنها را در اختیار داشتهاند، رخ دهد.
البته حالت سومی هم هست که در قانون ذکر نشده و آن هک دادهها و سامانهها به سبب ایرادات امنیتی در محصولات خارجی است که از ابتدا با نام Zero Day یا Backdooor در آنها وجود دارد و هیچ کسی نمی تواند ادعا کند این سامانهها مخصوصا زمانی که در بستر اینترنت قرار دارند، نسبت به نفوذ و هک ۱۰۰ درصد ایمن هستند. که این حالت نه تقصیر است نه قصور و مسوولیتی در قبال آن متوجه متولیان سامانه نیست. البته مسوولیت به روز رسانی مدام سامانه و استخدام متخصصان فناوری اطلاعات به عهده مسوولان فناوری اطلاعات است اما موارد این چنینی، رافع مسوولیت کیفری یا مدنی است.
ماده ۶۶۰ قانون آیین دادرسی کیفری مسوولیت کیفری و مجازات مقصران این اتفاق را معین کرده است. مطابق این ماده «چنانچه اشخاصی که دادههای موضوع این بخش را در اختیار دارند، موجبات نقض حریم خصوصی افراد یا محرمانگی اطلاعات را فراهم آورند یا بهطور غیرمجاز آنها را افشاء کرده یا در دسترس اشخاص فاقد صلاحیت قرار دهند، به حبس از 2 تا 5 سال یا جزای نقدی از 20 تا 200 میلیون ریال و انفصال از خدمت از 2 تا 10 سال محکوم خواهند شد.»
ماده ۶۶۱ این قانون نیز مسوولیت کیفری اشخاص فوق را در فرض بیاحتیاطی و بیمبالاتی تعیین میکند. مطابق این ماده «چنانچه اشخاصی که مسؤول حفظ امنیت مراکز، سامانههای رایانهای و مخابراتی و اطلاعات موضوع این بخش هستند یا دادهها یا سامانه (سیستم)های مذکور در اختیار آنان قرار گرفته است بر اثر بیاحتیاطی یا بیمبالاتی یا عدم مهارت یا عدم رعایت تدابیر متعارف امنیتی موجبات ارتکاب جرائم رایانهای به وسیله یا علیه دادهها و سامانههای رایانهای و مخابراتی را فراهم آورند، به حبس از 6 ماه تا 2 سال یا انفصال از خدمت تا 5 سال یا جزای نقدی از 10 تا 100 میلیون ریال محکوم خواهند شد.»
اما در مورد مسوولیت مدنی و جبران خسارت از سوی مقاماتی که این دادهها را در اختیار دارند، نص صریحی در قانون دیده نمی شود ولی می توان با استناد به "ملاک" ماده 78 قانون تجارت الکترونیک نتیجه گرفت که چنین مسوولیتی وجود دارد. برابر این ماده «هر گاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم مؤسسات خصوصی و دولتی، به جز در نتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به اشخاص وارد شود، مؤسسات مزبور مسؤول جبران خسارات وارده میباشند مگر اینکه خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات برعهده این اشخاص خواهد بود.»
همانطور که از این ماده و عنوان قانون آن پیدا است ارتباط مستقیمی به داده های شخصی افراد در سامانههای قوه قضاییه ندارد، ولی با اخذ ملاک از این ماده و شاید به قیاس اولویت بتوان چنین مسوولیتی را متوجه مقامات در اختیار دارنده این اطلاعات یا مسوول حفظ آنها دانست.
مسوولیت کیفری رخنهگران (هکرها)
اقدام رخنهگران (هکرها) در قوانین کیفری ایران با عنوان مجرمانه «دسترسی غیرمجاز به دادهها یا سامانههای رایانهای حفاظت شده» منطبق است که در ماده 729 قانون مجازات اسلامی کتاب تعزیرات (ماده یک قانون جرایم رایانهای مصوب 1388) آمده است.
مطابق این ماده «هرکس به طور غیرمجاز به دادهها یا سیستمهای رایانهای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از 91 روز تا یک سال یا جزای نقدی از 5 تا 20 میلیون ریال یا هر دو مجازات محکوم خواهد شد.» جزای نقدی این ماده وفق مصوبه هیات وزیران در مورخ 25/12/1399 به 20 تا 80 میلیون ریال افزایش یافته است.
متاسفانه قانون گذار ما به دو تفاوت و تفکیک مهم توجه نکرده است. نخست، به تفاوت و تفکیک میان دسترسی غیر مجاز و افشای غیر قانونی دادهها توجه نکرده است و در نتیجه افشای غیرمجاز دادهها جرم مستقل یا موجب تشدید جرم اول نیست. یعنی اگر شخصی به دادهها غیرمجاز دسترسی پیدا کند، فارغ از اینکه آنها را افشا کند یا نکند، محکوم به مجازات ماده 729 میشود. جرم انگاری مستقل «افشای غیرمجاز دادهها» تا حدی میتوانست انگیزهای برای عدم افشا فراهم کند؛ زیرا مانع از سنگین تر شدن مجازات میشد.
دوم، تفاوتی بین رخنه و دسترسی غیرمجاز به دادههای یک گوشی همراه با دسترسی غیرمجاز به سامانههای عمومی نظیر سامانههای قوه قضاییه که دارای میلیونها کاربر هستند، قائل نیست. در حالی که آثار رخنه و دسترسی غیر مجاز با توجه به میزان خسارات وارده مادی یا معنوی به اشخاص بسیار متفاوت است، لیکن کیفرگذاری آن به صورت واحد و یکسان انجام شده است.
از سوی دیگر با توجه به اینکه گروه مدعی هک اطلاعات قضایی، در خارج از ایران است، قوه قضاییه با همکاری پلیس بین الملل باید به طور جدی این افراد و سایر موارد مشابه را پیگیری کرده و حقوق مردم را استیفاء کند.
مطابق این ماده «هرکس به طور غیرمجاز به دادهها یا سیستمهای رایانهای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده است دسترسی یابد، به حبس از 91 روز تا یک سال یا جزای نقدی از 5 تا 20 میلیون ریال یا هر دو مجازات محکوم خواهد شد.» جزای نقدی این ماده وفق مصوبه هیات وزیران در مورخ 25/12/1399 به 20 تا 80 میلیون ریال افزایش یافته است.
متاسفانه قانون گذار ما به دو تفاوت و تفکیک مهم توجه نکرده است. نخست، به تفاوت و تفکیک میان دسترسی غیر مجاز و افشای غیر قانونی دادهها توجه نکرده است و در نتیجه افشای غیرمجاز دادهها جرم مستقل یا موجب تشدید جرم اول نیست. یعنی اگر شخصی به دادهها غیرمجاز دسترسی پیدا کند، فارغ از اینکه آنها را افشا کند یا نکند، محکوم به مجازات ماده 729 میشود. جرم انگاری مستقل «افشای غیرمجاز دادهها» تا حدی میتوانست انگیزهای برای عدم افشا فراهم کند؛ زیرا مانع از سنگین تر شدن مجازات میشد.
دوم، تفاوتی بین رخنه و دسترسی غیرمجاز به دادههای یک گوشی همراه با دسترسی غیرمجاز به سامانههای عمومی نظیر سامانههای قوه قضاییه که دارای میلیونها کاربر هستند، قائل نیست. در حالی که آثار رخنه و دسترسی غیر مجاز با توجه به میزان خسارات وارده مادی یا معنوی به اشخاص بسیار متفاوت است، لیکن کیفرگذاری آن به صورت واحد و یکسان انجام شده است.
از سوی دیگر با توجه به اینکه گروه مدعی هک اطلاعات قضایی، در خارج از ایران است، قوه قضاییه با همکاری پلیس بین الملل باید به طور جدی این افراد و سایر موارد مشابه را پیگیری کرده و حقوق مردم را استیفاء کند.
گزارشگر : تحریریه پروژه ایران
# تگ ها
آخرین عناوین
پربینندهترین