شنبه ۳ آذر ۱۴۰۳ , 23 Nov 2024
سه شنبه ۸ اسفند ۱۴۰۲ ساعت ۱۵:۲۹
کد مطلب : 416060
​​​​​​​تکلیف قوه قضاییه به حفظ حریم خصوصی افراد و تامین امنیت داده‌های شخصی آنان

پیامدهای حقوقی هک ادعایی پرونده‌های قضایی / مجازات عاملان هک‌ اطلاعات مردم چیست؟

پروژه ایران : پس از آنکه یک گروه رخنه‌گر (هکر) ادعا کرد به سامانه مدیریت پرونده‌های قوه قضاییه رخنه کرده است، این خبر تکذیب شد. حال برخی پرونده‌ها که ادعا می‌شود واقعی است با جزئیات در دسترس عموم قرار گرفته است. اگر این پرونده‌ها واقعی باشد، سبب خسارات قابل توجه مادی و معنوی به حیثیت افراد می شود. در این فرض به لحاظ قانونی، چه کسی مسوول تامین امنیت داده‌های شخصی مردم در این سامانه‌هاست؟ دامنه این مسوولیت تا کجاست؟ و چه کیفری در انتظار رخنه‌گران است؟
بررسی حقوقی ادعای هک سامانه‌های قضایی و مجازات عاملان آن
بررسی حقوقی ادعای هک سامانه‌های قضایی و مجازات عاملان آن
به گزارش پایگاه خبری پروژه ایران، یک گروه رخنه‌گر (هکر) ادعا کرده است که حجم عظیمی از داده‌های شخصی مردم در سامانه قوه قضاییه را به صورت غیر قانونی منتشر کرده و در دسترس عموم قرار داده است. با جستجوی نام افراد در این سایت می‌توان به داده‌های شخصی برخی افراد رسید که البته مشخص نیست آیا واقعی است یا غیر واقعی و شامل اسامی شاکی و متهم، شماره ملی، نام پدر، شماره رمز شخصی، تاریخ تولد، جنسیت و نشانی اقامتگاه آنها، همچنین عنوان اتهام، شعبه رسیدگی کننده و نتیجه پرونده می شود. 

حال در فرض وقوع چنین اتفاقی و انتشار اطلاعات مردم، باید دید چه مسوولیتی، متوجه چه کسی است و منتشر کننده اطلاعات مرتکب چه جرمی شده است؟

 

تکلیف قوه قضاییه به اتخاذ تمهیدات فنی و قانونی لازم

مطابق ماده ۶۵۸ الحاقی 8 مهر 1393 به قانون آیین دادرسی کیفری مصوب 1392 «قوه قضائیه موظف است تمهیدات فنی و قانونی لازم را برای حفظ حریم خصوصی افراد و تأمین امنیت داده‌های شخصی آنان، در چهارچوب اقدامات این بخش [دادرسی الکترونیکی] فراهم آورد.»
متاسفانه دسترسی غیر مجاز و افشای این داده‌ها که بسیاری از آنها حریم خصوصی شهروندان محسوب می‌شود، نشانگر عدم اتخاذ تمهیدات فنی لازم است. بر این اساس جامعه انتظار به‌جایی دارد که قوه قضاییه، در قبال افشای غیر قانونی داده‌های شخصی شهروندان پاسخگو باشد.

افشای داده‌های شخصی اعتبار و حیثیت بسیاری از افراد را مخدوش و حریم خصوصی ایشان را نقض کرده است. نمونه بارز آن، افشای دو پرونده تشکیل شده از سوی یکی از هنرمندان است که در فضای مجازی دست به دست می‌شود و موجب بروز ابهاماتی شده است و البته واقعی بودن این پرونده ها نیز زیر سوال است.

اگر چنین نشت اطلاعاتی حقیقت داشته باشد (که حقیقت داشتن آن با توجه به تکذیب قوه قضائیه و اطلاعات منتشر شده با تردید‌های جدی روبرو است) به اعتماد عمومی و سرمایه اجتماعی عدلیه لطمه زیادی می‌زند. پذیرش واقعیت، عذرخواهی و اتخاذ تدابیر و تمهیدات فنی لازم برای پیشگیری از تکرار چنین اتفاقاتی در آینده نشانه مسوولیت پذیری و پاسخگویی مسوولان است.
 

مسوولیت مقامات مسوول در قبال افشای داده‌های شخصی شهروندان

به تصریح قانون آیین دادرسی کیفری، دو دسته از مقامات و ماموران در قبال افشای داده‌های شخصی شهروندان و نقض حریم خصوصی ایشان مسوولیت کیفری دارند:
1. اشخاصی که مسؤول حفظ امنیت مراکز، سامانه‌های رایانه‌ای و مخابراتی و اطلاعات موضوع دادرسی الکترونیکی هستند.
2. اشخاصی که داده‌ها یا سامانه‌های مذکور در اختیار آنان قرار گرفته ‌است. مانند مقامات قضایی و ماموران اداری که مجوز دسترسی به این اطلاعات را دارند.
 

مسوولیت قانونی اشخاصی که به این داده‌ها دسترسی دارند

مسوولیت قانونی مقامات بالا به دو صورت است: مسوولیت کیفری و مسوولیت مدنی. تکلیف مسوولیت کیفری اشخاصی که این داده‌ها را در اختیار داشته‌اند، در قانون آیین دادرسی کیفری مشخص شده است، ولی مسوولیت مدنی در هاله ابهام قرار دارد.
 
به طور کلی، رخنه به سامانه‌های قوه قضاییه و دسترسی غیزمجاز و سرقت داده‌های شخصی و افشای آنها به دو صورت قابل تصور است: تقصیر یا قصور.

تقصیر به این معناست که اشخاصی که به صورت قانونی اختیار دسترسی به این داده‌ها را دارند، مانند مقامات قضایی یا مسوولان حفظ امنیت سامانه های قضایی، با علم و عمد موجب نقض حریم خصوصی افراد یا محرمانگی اطلاعات شوند یا به طور غیرمجاز آنها را افشا کرده یا در دسترس اشخاص فاقد صلاحیت قرار داده‌اند.

قصور نیز به این معناست رخنه به سبب بی‌احتیاطی یا بی‌مبالاتی یا عدم مهارت یا عدم رعایت تدابیر متعارف امنیتی از سوی اشخاصی که مسؤول حفظ امنیت این داده‌ها یا سامانه‌ها بوده‌اند یا آنها را در اختیار داشته‌اند، رخ دهد.
 
البته حالت سومی هم هست که در قانون ذکر نشده و آن هک داده‌ها و سامانه‌ها به سبب ایرادات امنیتی در محصولات خارجی است که از ابتدا با نام Zero Day یا Backdooor در آن‌ها وجود دارد و هیچ کسی نمی تواند ادعا کند این سامانه‌ها مخصوصا زمانی که در بستر اینترنت قرار دارند، نسبت به نفوذ و هک ۱۰۰ درصد ایمن هستند. که این حالت نه تقصیر است نه قصور و مسوولیتی در قبال آن متوجه متولیان سامانه نیست. البته مسوولیت به روز رسانی مدام سامانه و استخدام متخصصان فناوری اطلاعات به عهده مسوولان فناوری اطلاعات است اما موارد این چنینی، رافع مسوولیت کیفری یا مدنی است.

ماده ۶۶۰ قانون آیین دادرسی کیفری مسوولیت کیفری و مجازات مقصران این اتفاق را معین کرده است. مطابق این ماده «چنانچه اشخاصی که داده‌های موضوع این بخش را در اختیار دارند، موجبات نقض حریم خصوصی افراد یا محرمانگی اطلاعات را فراهم آورند یا به‌طور غیرمجاز آنها را افشاء کرده یا در دسترس اشخاص فاقد صلاحیت قرار دهند، به حبس از 2 تا 5 سال یا جزای نقدی از 20 تا 200 میلیون ریال و انفصال از خدمت از 2 تا 10 سال محکوم خواهند شد.»
 
ماده ۶۶۱ این قانون نیز مسوولیت کیفری اشخاص فوق را در فرض بی‌احتیاطی و بی‌مبالاتی تعیین می‌کند. مطابق این ماده «چنانچه اشخاصی که مسؤول حفظ امنیت مراکز، سامانه‌های رایانه‌ای و مخابراتی و اطلاعات موضوع این بخش هستند یا داده‌ها یا سامانه (سیستم)های مذکور در اختیار آنان قرار گرفته ‌است بر اثر بی‌احتیاطی یا بی‌مبالاتی یا عدم مهارت یا عدم رعایت تدابیر متعارف امنیتی موجبات ارتکاب جرائم رایانه‌ای به وسیله یا علیه داده‌ها و سامانه‌های رایانه‌ای و مخابراتی را فراهم آورند، به حبس از 6 ماه تا 2 سال یا انفصال از خدمت تا 5 سال یا جزای نقدی از 10 تا 100 میلیون ریال محکوم خواهند شد.»
 
اما در مورد مسوولیت مدنی و جبران خسارت از سوی مقاماتی که این داده‌ها را در اختیار دارند، نص صریحی در قانون دیده نمی شود ولی می توان با استناد به "ملاک" ماده 78 قانون تجارت الکترونیک نتیجه گرفت که چنین مسوولیتی وجود دارد. برابر این ماده «هر گاه در بستر مبادلات الکترونیکی در اثر نقص یا ضعف سیستم‌ مؤسسات خصوصی و دولتی، به‌ جز در نتیجه قطع فیزیکی ارتباط الکترونیکی، خسارتی به‌ اشخاص وارد شود، مؤسسات مزبور مسؤول جبران خسارات وارده می‌باشند مگر اینکه ‌خسارات وارده ناشی از فعل شخصی افراد باشد که در این صورت جبران خسارات‌ برعهده این اشخاص خواهد بود.»

همانطور که از این ماده و عنوان قانون آن پیدا است ارتباط مستقیمی به داده های شخصی افراد در سامانه‌های قوه قضاییه ندارد، ولی با اخذ ملاک از این ماده و شاید به قیاس اولویت بتوان چنین مسوولیتی را متوجه مقامات در اختیار دارنده این اطلاعات یا مسوول حفظ آنها دانست.
 

مسوولیت کیفری رخنه‌گران (هکرها)

اقدام رخنه‌گران (هکرها) در قوانین کیفری ایران با عنوان مجرمانه «دسترسی غیرمجاز به داده‌ها یا سامانه‌های رایانه‌ای حفاظت شده» منطبق است که در ماده  729 قانون مجازات اسلامی کتاب تعزیرات (ماده یک قانون جرایم رایانه‌ای مصوب 1388) آمده است.

مطابق این ماده «هرکس به طور غیرمجاز به داده‌ها یا سیستم‌های رایانه‌ای یا مخابراتی که به وسیله تدابیر امنیتی حفاظت شده ‌است دسترسی یابد، به حبس از 91 روز تا یک سال یا جزای نقدی از 5 تا 20 میلیون ریال یا هر دو مجازات محکوم خواهد شد.» جزای نقدی این ماده وفق مصوبه هیات وزیران در مورخ 25/12/1399 به 20 تا 80 میلیون ریال افزایش یافته است.

متاسفانه قانون گذار ما به دو تفاوت و تفکیک مهم توجه نکرده است. نخست، به تفاوت و تفکیک میان دسترسی غیر مجاز و افشای غیر قانونی داده‌ها توجه نکرده است و در نتیجه افشای غیرمجاز داده‌ها جرم مستقل یا موجب تشدید جرم اول نیست. یعنی اگر شخصی به داده‌ها غیرمجاز دسترسی پیدا کند، فارغ از اینکه آنها را افشا کند یا نکند، محکوم به مجازات ماده 729 می‌شود. جرم انگاری مستقل «افشای غیرمجاز داده‌ها» تا حدی می‌توانست انگیزه‌ای برای عدم افشا فراهم کند؛ زیرا مانع از سنگین تر شدن مجازات می‌شد.
 
دوم، تفاوتی بین رخنه و دسترسی غیرمجاز به داده‌های یک گوشی همراه با دسترسی غیرمجاز به سامانه‌های عمومی نظیر سامانه‌های قوه قضاییه که دارای میلیون‌ها کاربر هستند، قائل نیست. در حالی که آثار رخنه و دسترسی غیر مجاز با توجه به میزان خسارات وارده مادی یا معنوی به اشخاص بسیار متفاوت است، لیکن کیفرگذاری آن به صورت واحد و یکسان انجام شده است.

از سوی دیگر با توجه به اینکه گروه مدعی هک اطلاعات قضایی، در خارج از ایران است، قوه قضاییه با همکاری پلیس بین الملل باید به طور جدی این افراد و سایر موارد مشابه را پیگیری کرده و حقوق مردم را استیفاء کند.
گزارشگر : تحریریه پروژه ایران
https://theiranproject.com/vdcepp8e7jh8z7i.b9bj.html
نام شما
آدرس ايميل شما