دسترسی و شنود غیر قانونی از منظر قانون

• اصطلاح «دسترسی غیرقانونی» جرم مهمی است که تهدیدات خطرناک و تعرضات علیه امنیت از قبیل محرمانه بودن، تمامیت و دسترس‌پذیری سیستم‌ها و داده‌های رایانه‌ای را شامل می‌شود. بنابراین صرف تعرض غیرقانونی، یعنی «نفوذ غیرمجاز» یا تجاوز به حریم رایانه باید غیرقانونی تلقی شود

متنی که پیش رو دارید، بخشی از پایان‌نامه حسام ایپکچی، با عنوان حقوق کیفری سایبر در کنوانسیون بوداپست است که در دانشگاه تهران مرکزی و برای دوره کارشناسی ارشد حقوق بین‌الملل در دانشگاه آزاد تهران مرکز نوشته ‌شده. ایپکچی در این بخش از پایان‌نامه خود، به حقوق کیفری اختصاص سایبری (یعنی بررسی موردی جرائم این حوزه) پرداخته و با تقسیم جرائم به دو بخش جرائم علیه محرمانگی و تمامیت داده‌ها و جرائم مرتبط با رایانه، این جرائم را مرور کرده است. آنچه در ادامه به ‌عنوان اولین بخش از درسنامه‌های حقوق فناوری اطلاعات در بخش حقوقی ماهنامه پیوست خواهید دید، توضیحات نگارنده درباره دو جرم دسترسی غیرقانونی و شنود غیرقانونی است.

اصطلاح «دسترسی غیرقانونی» جرم مهمی است که تهدیدات خطرناک و تعرضات علیه امنیت از قبیل محرمانه بودن، تمامیت و دسترس‌پذیری سیستم‌ها و داده‌های رایانه‌ای را شامل می‌شود. بنابراین صرف تعرض غیرقانونی، یعنی «نفوذ غیرمجاز» یا تجاوز به حریم رایانه باید غیرقانونی تلقی شود.

این جرائم می‌توانند موانعی را در کاربری قانونی دستگاه‌ها و داده‌ها ایجاد کنند یا تغییر و تخریبی را که با هزینه‌های زیاد قابل بازسازی هستند به وجود آورند. بدیهی است چنین تجاوزهایی می‌تواند باعث دسترسی به داده‌های محرمانه نظیر گذرواژه‌ها، اطلاعات راجع به سیستم‌های هدف یا حتی تشویق نفوذگرها به ارتکاب اشکال خطرناک‌تری از جرائم مرتبط با رایانه، نظیر کلاهبرداری یا جعل رایانه شود. دسترسی غیرمجاز جرمی است که عموماً توسط افراد برنامه‌نویس و متخصص در علوم رایانه‌ای ارتکاب می‌یابد و در میان جرائم رایانه‌ای از جمله جرائم رایانه‌ای محض تلقی می‌شود.

در تقسیم‌بندی‌های سنتی از جرائم، می‌توان آن را از زمره جرائم علیه اموال برشمرد. همچنین جرمی است عمدی، آنی، مطلق، غیرمشهود. عنصر مادی این جرم ناظر به افعال مثبت است. از آنجا که دسترسی غیرمجاز، در ارتکاب بسیاری از جرائم رایانه‌ای (خصوصاً جرائم رایانه‌ای محض) دارای تاثیر و نقش بوده، به‌عنوان جرمی مادر یا زاینده، معروف است.

دسترسی غیرقانونی در ماده ۲ کنوانسیون بوداپست این‌گونه مورد بحث قرار می‌گیرد: «هر یک از اعضا باید به گونه‌ای اقدام به وضع قوانین و مقررات کند که در صورت لزوم بر اساس نیازهای حقوق داخلی خود، هر نوع دسترسی عمدی بدون حق به تمام یا قسمتی از سیستم رایانه‌ای را یک فعل مجرمانه تلقی کند. این اعضا می‌توانند مقرر دارند که این جرم در اثر تعرض به اقدامات امنیتی با قصد دسترسی به داده‌های رایانه‌ای یا دیگر مقاصد ناروا یا نسبت به سیستم رایانه‌ای که با سیستم رایانه‌ای دیگری در ارتباط است، محقق می‌شود.»

بنابراین موثرترین ابزار پیشگیری از دسترسی غیرمجاز می‌تواند به‌کارگیری و توسعه اقدامات امنیتی باشد. با این حال لازم است یک واکنش فراگیر نیز نسبت به تهدیدات موجود صورت پذیرد و از ابزارهای حقوق جزا نیز استفاده شود و بر همین مبنا منع کیفری دسترسی غیرمجاز می‌تواند از دستگاه‌ها و داده‌ها حمایت بیشتری کند.

دسترسی شامل ورود به سیستم رایانه‌ای دیگری از طریق شبکه‌های مخابرات عمومی یا ورود به یک سیستم رایانه‌ای روی همان شبکه است. نظیر شبکه محلی یا اینترنت داخلی یک سازمان. در اینجا نحوه برقراری ارتباط حائز اهمیت نیست.

همچنین این عمل باید «بدون حق» انجام شود؛ به این معنا که دسترسی مجاز مالک یا فرد ذی‌حق دیگری به سیستم یا بخشی از آن جرم محسوب نمی‌شود؛ مثل دسترسی با هدف ارزیابی مجاز یا حفاظت از سیستم رایانه‌ای مورد نظر. از طرف دیگر دسترسی به سیستم رایانه‌ای که دسترسی آن برای عموم آزاد است نیز جرم محسوب نمی‌شود. به این ترتیب چنین دسترسی‌ای «با حق» تلقی می‌شود.

به‌کارگیری ابزارهای فنی خاص می‌تواند منجر به دسترسی مورد نظر ماده ۲ کنوانسیون شود. نظیر دسترسی مستقیم به یک صفحه وب یا دسترسی از طریق پیوندهای فوق متن شامل پیوندهای عمیق می‌شود یا استفاده از کوکی جهت پیدا کردن محل اطلاعات و بازیابی آنها به جای ارتباطات، به‌کارگیری چنین ابزارهایی، به خودی خود «بدون حق» است.

نکته قابل ملاحظه اینکه داشتن یک وب‌سایت عمومی، حاکی از رضایت دارنده آن برای دسترسی هر کاربر وب به آن است. استفاده از ابزارهای استاندارد تهیه‌شده از پروتکل‌های ارتباطات و برنامه‌های کاربردی معمول به خودی خود «بدون حق» نیست، خصوصاً آنکه فرض می‌شود صاحب امتیاز سیستمی که دیگران به آن دست می‌یابند، نحوه بهره‌برداری از سیستم خود را پذیرفته است. به ‌عنوان ‌مثال، وی با نصب اولیه یا پاک نکردن کوکی‌ها مخالفت نمی‌کند.

بسیاری از قوانین ملی تاکنون نسبت به جرائم ناشی از نفوذ غیرمجاز، مقرراتی وضع کرده‌اند. اما چارچوب کلی و رویکرد آنها به شکل چشمگیری با یکدیگر متفاوت است. رویکرد وسیع جرم‌انگاری در اولین جمله ماده ۲، جای بحث دارد.

کشورهای عضو می‌توانند رویکرد وسیعی اتخاذ، و مطابق اولین جمله ماده ۲، صرف نفوذ غیرمجاز را جرم‌انگاری کنند. از طرف دیگر می‌توانند تمام یا بخشی از عناصر کیفی مذکور در جمله دوم را اضافه کنند. این عناصر عبارت‌اند از: نقض اقدامات امنیتی، سوءنیت خاص در کسب داده‌های رایانه‌ای یا سایر مقاصد سوء که اعمال مسئولیت را توجیه می‌کنند.

آخرین گزینه، به اعضا اجازه داده تا وضعیتی را که در آن شخصی به صورت فیزیکی و بدون هیچ گونه استفاده‌ای از سیستم رایانه‌ای به یک رایانه مستقل دست پیدا می‌کند، از شمول ماده ۲ استثنا کنند. بنابراین کشورها می‌توانند جرم را به دسترسی غیرقانونی به سیستم رایانه‌ای متصل به شبکه محدود کنند؛ نظیر شبکه‌های عمومی راه‌اندازی‌شده از طریق خدمات مخابراتی و شبکه‌های خصوصی همچون اینترانت‌ها و اکس‌ترانت‌ها.

شنود غیرقانونی

در بسیاری از جوامع پیشرفته در عرصه فناوری اطلاعات و ارتباطات از جمله در کشورهای عضو اتحادیه اروپا یک اصل کلی مبنی بر محرمانه بودن ارتباطات و جریان‌های اطلاعاتی مربوط به آن وجود دارد. به موجب همین اصل کلی، استراق سمع ارتباطات ممنوع است، مگر در شرایط خاص با اهداف مشخص و مجوز قانونی. این اصل از بند ۸ کنوانسیون اروپایی در مورد حقوق بشر که در بند ۶ معاهده اتحادیه اروپا و به طور اخص در دستورالعمل‌های 46/ 95 و 66/ 97 کمیسیون اروپا به آن اشاره شده است، پیروی می‌کند.

تمام کشورهای عضو اتحادیه دارای چارچوبی حقوقی هستند که بر آن اساس می‌توانند مجوز قضایی را برای شنود مطالب موجود روی شبکه‌های عمومی ارتباطات راه دور، به مراجع انتظامی خود بدهند. این چارچوب قانونی که باید همسو با حقوق جامعه اروپایی باشد شامل مواردی برای حفاظت از حریم خصوصی است که عبارت‌اند از: محدود کردن استراق سمع به موارد پی‌جویی جرائم خطرناک، الزام به حفظ ضرورت و تناسب شنود در پی‌جویی‌های فردی، یا اطمینان از حصول اطلاع شخص مورد نظر از روند شنود به محض دفع احتمال اختلاف در بازجویی.

بر مبنای همین سابقه و مقدمات، ماده ۳ کنوانسیون بوداپست در حیطه جرائم سایبر مقرر می‌کند: هر یک از اعضا باید به گونه‌ای اقدام به وضع قوانین و مقررات کند که در صورت لزوم بر اساس حقوق داخلی خود، هر نوع شنود عمدی و بدون حق و از طریق ابزارهای فنی انتقال داده‌های رایانه‌ای غیرعمومی را که به سیستم رایانه‌ای یا از طریق آن ارسال شده یا در آن موجود است، جرم‌انگاری کند. این عمل شامل انتشار امواج الکترومغناطیسی از سیستم رایانه‌ای که جهت انتقال داده‌های رایانه‌ای به کار می‌رود نیز می‌شود. ممکن است عضو مورد نظر مقرر دارد که جرم یا دارا بودن قصد ناروا یا نسبت به سیستم رایانه‌ای که با سیستم دیگری در ارتباط است، نیز محقق می‌شود.»

جرم مندرج در ماده ۳ کنوانسیون، این اصل را روی تمامی اشکال انتقال داده‌های الکترونیکی، چه از طریق تلفن، فکس، پست الکترونیکی یا ناقل فایل اعمال می‌کند. متن این ماده، بیشتر برگرفته از جرم «شنود غیرمجاز» مندرج در توصیه‌نامه شماره ۹(۸۹) است.

عنصر مادی شنود از طریق ابزارهای فنی گوش دادن، کنترل یا نظارت بر محتوای ارتباطات، تحصیل محتوای داده‌ها چه به صورت مستقیم، یعنی از طریق استفاده از سیستم رایانه‌ای، چه به شکل غیرمستقیم، یعنی با استفاده از دستگاه‌های استراق سمع الکترونیکی یا شنود محقق می‌شود. همچنین شنود شامل ضبط کردن نیز هست.

این جرم بر انتقال غیرعمومی داده‌های رایانه‌ای دلالت دارد. واژه «غیرعمومی» ماهیت فرایند انتقال (برقراری ارتباطات) را نشان می‌دهد نه ماهیت داده‌های انتقال‌یافته. ممکن است داده‌های انتقال ‌یافته اطلاعاتی باشند که در دسترس عموم قرار دارند اما طرفین ارتباط می‌خواهند به شکل سری با یکدیگر ارتباط برقرار کنند یا ممکن است داده‌ها به خاطر اهداف تجاری تا زمان ارائه خدمات مخفی باقی بمانند، مانند پرداخت حق اشتراک تلویزیون. بنابراین صرف واژه غیرعمومی به خودی خود ارتباطات برقرار‌شده از طریق شبکه‌های عمومی را استثنا نمی‌کند.

لازم به ذکر است این واقعیت که مفهوم سیستم رایانه‌ای می‌تواند ارتباطات رادیویی را نیز دربر گیرد، بدین معنی نیست که کشور عضو ملزم است شنود هر انتقال رادیویی را، حتی اگر به صورت غیرعمومی به شکلی نسبتاً آشکار و در دسترس صورت می‌گیرد -که حتی می‌توان آن را از طریق «رادیو آماتوری» شنود کرد-، جرم‌انگاری کند.

جرم‌انگاری نسبت به «امواج الکترومغناطیس» چارچوب بسیار فراگیری را تضمین خواهد کرد. ارسال‌های الکترومغناطیسی از طریق رایانه، طی فعالیت آن صورت می‌گیرد. چنین ارسال‌هایی بر مبنای تعریف ارائه‌شده در ماده ۱، داده محسوب نمی‌شوند. با این وجود می‌توان با استفاده از چنین ارسال‌هایی، داده‌ها را بازسازی کرد. بنابراین، شنود داده‌ها از طریق شنود امواج الکترومغناطیسی سیستم رایانه‌ای تحت ماده مذکور قرار می‌گیرد.

عنصر معنوی برای تحقق جرم شنود اهمیت بسیاری دارد. برای احراز مسئولیت کیفری، بایستی شنود غیرقانونی از روی عمد صورت گیرد و بدون حق نیز باشد. به ‌عنوان‌ مثال اگر مرتکب بر طبق دستور یا بر مبنای اجازه طرفین ارتباط، اقدام به شنود کند نظیر ارزیابی مجاز یا اقدامات حفاظتی با موافقت طرفین ارتباط، یا در جهت حفظ امنیت ملی یا کشف جرائم توسط مامورین ذی‌صلاح پی‌جویی انجام ‌شده باشد، جرم تحقق نخواهد یافت.