مفهوم امنیت سایبري

وکیل پایه یک دادگستری در مشهد

مفهوم امنیت سایبري

امنیت در لغت، به معناي در امان بودن و مصون بودن از هرگونه ترس و تهدید است . پیشرفت در هر عرصه اي، حتی در عرصۀ علمی، ورزشی و فرهنگی ،مرهون امنیت است. علاوه بر این تجارت، امور اقتصادي، سرمایه گذاري در مناطق مختلف نیز با توجه ویژه به مؤلفۀ امنیت انجام می شود. بدیهی است که در فضاي سایبر نیز، اولین مؤلفهاي که مورد توجه قرار می گیرد، چه در سطح کلان و چه در سطح خرد، بحث امنیت است. در ساده ترین شرایط، اولین خواستۀ افرادي که وارد فضاي سایبر می شوند، تأمین امنیت داده ها و اطلاعات آنها است.

فضاي سایبر ، با توجه به ماهیت خود، فضاي تهدیدآمیزي را ایجاد کرده که می تواند مخل امنیت افراد تلقی شود. فرصتی که، جهت  استفادة حداکثري از فضاي سایبر، براي دولت و ملت ایجاد شده،  نیاز به امنیت را در تمام سطوح، بیش از گذشته کرده است؛ و می بایست این فضا را از رخدادهایی چون بزه کاري و ترورسیم سایبري و … حفاظت کرد . عواملی چون دسترسی آسان، ارزان بودن ورود، عدم امکان شناسایی در فضاي عنکبوتی سایبري و … تأثیر شگرفی را بر گسترش جرایم ارتکابی و درنهایت، تهدید امنیت افراد در این فضا داشته است. بدیهی است که ارئۀ معیارهاي تکنیکی ،به تنهایی نمی تواند براي حفظ امنیت افراد در حوزة سایبر کافی باشد و این فضا، نیازمند یک سازوکار حقوقی و ارائۀ راهبردهاي حقوقی جهت ایجاد امنیت کاربران و صیانت از آنها است.

مقصود از امنیت سایبري، آن است که کاربران و به طور کلی حاضران در فضاي سایبر که بیشتر از شهروندان عادي قلمداد می شوند، از حضور در این فضا ،نخست، احساس امنیت کنند که شقوق این امنیت، جلوه هاي مختلف حفظ داده و اطمینان حداکثري از لو نرفتن یا عدم سرقت را در بر میگیرد. دوم؛ مجرمان و مرتکبان افعال زیانبار ،قبل از انجام فعل، بازدهی فعل زیان بار را، در قبال مجازات یا الزام به جبران خسارت وارده ،ناچیز بشمارند و جنبۀ بازدارندگی مقصود قانونگذار از این جهت تأمین شود .

بحث امنیت سایبري، به قدري حائز اهمیت است که دولت بریتانیا، در سال ۲۰۱۶، یک سازمان دولتی تحت عنوان ” مرکز ملی امنیت سایبري” تأسیس کرده است.  این سازمان، سالانه در گزارشی، تعداد حمله هاي سایبري علیه دولت بریتانیا، تعداد حمله هاي دفع شده و چیستی و چگونگی آن و راهکارهاي نوین مقابله با این گونه حمله ها و افزایش ایمنی در فضاي سایبر را ارائه می دهد. ایالات متحدة آمریکا نیز، بعد از واقعۀ یازده سپتامبر که امنیت سایبري خود را مختل دید، بحث امنیت سایبري را براي اولین بار، مورد توجه قرار داد و آن را به بخش خصوصی واگذار کرد  که البته در دوران انتخابات جدید ایالات متحدة آمریکا و حمله هاي سایبري رخ داده و تاثیر آن در نتیجه انتخابات ناکارآمدي این بخش ثابت شد.

 

 

راهبرد قانونی امنیت سایبري

مقصود از راهبرد قانونی آن است که قانونگذار، در وضعیت فعلی نظام حقوقی کشور، با وضع چه قواعدي در پی تأمین امنیت سایبري بوده است؟

با توجه به اینکه فضاي سایبر، فضایی بدون حد و مرز است، بدیهی است که سیاستگذاري در حوزة داخلی، به تنهایی در تأمین امنیت راهگشا نخواهد بود؛ بلکه این فضا نیازمند یک سازوکار جهانی و بین المللی است. در واقع با پیشرفت فناوري، دولتها نیازمند ایجاد تشکیلاتی هستند، که به صورت منظم و مستمر، با همکاري سایر دولتها، در زمینۀ قواعد مربوط به فضاي سایبر و تأمین امنیت، با توجه به نیاز جامعه، خود را به روز کنند . جرایم سایبري، به قدري پویا هستند که ارائۀ یک قانون و راهکار مـلی، نمی توانـد براي مدت طولانـی کارآمـد بـاشد .

فضاي ایمن فضایی است که متشکل از شبکه هاي ارتباطی که در آن محتوا و خدمات مفید در چارچوب مبانی و ارزشهاي اسلامی و مقررات کشور ارائه می شود و کاربران می توانند بر اساس ویژگیهاي جمعیتی از قبیل سن، جنس، شغل و تحصیلات از محتوا و خدمات مورد نیاز بهره مند شوند و حتی الامکان در برابر محتوا و رفتارهاي آسیب زا محفوظ بمانند.

البته که این تعریف، به موضوع فضاي سایبر سالم و امن پرداخته است، اما به نظر می رسد که از نظر محتوایی و با رویکردي اسلامی به آن نگریسته است و تنها به پالایش اطلاعات، با رویکرد اسلامی نظر داشته است .

از آنجا که امنیت، مفهومی چندوجهی دارد، با توجه به مصوبۀ شوراي عالی فضاي مجازي با موضوع نظام ملی پیشگیري و مقابله با حوادث فضاي مجازي ، نیروي انتظامی جمهوري اسلامی، مسئول رسیدگی به حوادث فضاي سایبر است که در حوزة عمومی اتفاق می افتد؛ البته این، به معناي نادیده گرفتن فعالیت سایر نهادها در این بستر نیست.

بدیهی است ،براي ایجاد محیطی امن در فضاي سایبر، باید کلیۀ فعالان این حوزه با یکدیگر مشارکت داشته باشند. باید در نظر داشت که ایجاد امنیت در این فضا، تنها با همکاري بخش خصوصی امکان پذیر نیست و نیاز به حضور و مشارکت حکومت نیز دارد، در غیر این صورت امنیت، پایداري و تداوم نخواهد داشت .

تهدیدهاي سایبري، ناقض حریم خصوصی اشخاص حقیقی و حقوقی است و امنیت ملی کشور را تهدید می کند. حریم خصوصی فضاي سایبر، از جنس اطلاعات است و از طرق مختلف از جمله نفوذ به سیستم رایانه اي اشخاص، استفاده از روشهاي فریب، تارنماها و شبکه هاي اجتماعی نقض می شود. نقض امنیت داده، موجب مسئولیت کیفري و مدنی است و واسطه هاي الکترونیک در تحقق این نقض، نقش مؤثري دارند. هرچند مبانی و منابع تحقق مسئولیت مدنی، در دنیاي واقعی و فضاي سایبر مشترك هستند، نمی توان منکر تفاوتهایی بین آنها بود؛ بنابراین علاوه بر ضرورت ارئۀ یک راهبرد عملی، لازم است، مسئولیت مدنی بین واسطه ها و گروه هاي فعال در حوزه سایبري تبیین شود تا در هر مورد مشخص شود مسئولیت، چه زمان به صورت مجزا و چه زمانی اشتراکی است و اینکه آیا این مسئولیت، مبتنی بر نظریه تقصیر است یا مسئولیت محض.

 

تداخل صلاحیتها در فضاي سایبر

صلاحیت مراجع رسیدگی به جرم  در اصل مبتنی بر محل ارتکاب جرم، محل کشف جرم، محل دستگیري متهم یا محل اقامت متهم است. ضابطۀ تعیین هر یک از این موارد می تواند براي تعیین دادگاه صلاحیت دار حایز اهمیت باشد. در فضاي سایبر نیز، با توجه به اینکه تعیین محل ارتکاب جرم و کشف متهم بسیار دشوار و در مواقعی غیر ممکن است، تعیین دادگاه صلاحیت دار نقش مهم و گاه پیچیده اي در این حوزه دارد؛ زیرا فضاي سایبر، فاقد حد و مرز است و افراد با هویت هاي جعلی مرتکب جرم می شوند. بنابراین طرح راهکار و راهبردي در این خصوص و نیاز به ارائۀ نظریه هاي جدید در این فضا اجتناب ناپذیر است.

برخی سعی کرده اند همان قواعد سنتی ناظر بر صلاحیت کیفري مراجع قضایی را، با نگرشی جدید، در این فضا اجرا کنند و برخی دیگر با طرح تئوريهاي نو در خصوص صلاحیت، از قبیل ” فضاي سایبر به عنوان یک فضاي آزاد بین المللی” و یا پیش بینی دادگاهی ویژه به نام ” دادگاه دیجیتالی یا سایبري” و یا صلاحیت ” دادگاه ذي ارتباط منطقی با جرم” را مطرح کرده اند. کشور ایران، در قانون مجازات جرایم رایانه اي،

در مادة ۲۸ تئوري اول ،یعنی اجراي قواعد سنتی با نگرشی جدید را اتخاذ کرده است.این ماده مقرر داشته که علاوه بر موارد پیش بینی شده در دیگر قوانین،دادگاههاي ایران براي رسیدگی به این  موارد صالح خواهند بود:

الف .داده هاي مجرمانه یا داده هایی که براي ارتکاب جرم به کار رفته است و به هر نحو در سامانه هاي رایانه اي و مخابراتی، یا حامل هاي دادة موجود در قلمرو حاکمیت زمینی، دریایی و هوایی جمهوري اسلامی ایران ذخیره شده باشد.

ب .جرم از طریق تارنماهاي (وبسایت هاي) داراي دامنۀ مرتبه بالاي کد کشوري ایران ارتکاب یافته باشد.

ج. جرم، توسط هر ایرانی یا غیرایرانی، در خارج از ایران، علیه سامانه هاي رایانه اي و مخابراتی و تارنماهاي (وبسایتهاي) مورد استفاده، یا تحت کنترل قواي سه گانه یا نهاد رهبري یا نمایندگی هاي رسمی دولت یا هر نهاد یا مؤسسه اي که خدمات عمومی ارائه می دهد یا علیه تارنماهاي (وبسایت هاي) داراي دامنۀ مرتبه بالاي کد کشوري ایران، در سطح گسترده ارتکاب یافته باشد.

در کشور ما از لحاظ رویۀ عملی، تا تقبل از تصویب قانون مجازات جرایم رایانه اي، قضات سعی داشتند قواعد سنتی صلاحیت را، با اتخاذ معیاري جدید و موافق با فضاي جدید اجرا کنند؛ که در این خصوص، رویه واحدي هم اتخاذ نشده بود.در بندهاي الف و ب مادة ۲۸، با تسري قلمرو حاکمیت کشور به سامانه هاي رایانه اي و مخابراتی یا حامل هاي دادة موجود در قلمرو حاکمیت زمینی، دریایی و هوایی کشور و تارنماهاي داراي دامنۀ مرتبۀ بالاي کد کشور ایران، قاعدة صلاحیت سرزمینی را، به گونۀ دیگري نسبت به جرایم ارتکابی در فضاي سایبر اعمال کرده است .

در بند ج، صلاحیت شخصی سنتی و در بند د: با قبول هرزه نگاري اطفال به عنوان جرم ،موضوع صلاحیت جهانی، قاعدة صلاحیت جهانی را براي رسیدگی به جرایم سایبري پیش بینی کرده است.

البته باید این نکته را در نظر داشت که در رسیدگی به جرایم رایانه اي، مانند جرایم سنتی ،قواعد صلاحیت ذاتی و شخصی نیز رعایت می شود.

براي مثال در فرضی که متهم مرتکب سرقت رایانه اي و جاسوسی رایانه اي می شود، اتهام وي از حیث جاسوسی رایانه اي، در دادگاه انقلاب رسیدگی می شود و از حیث صلاحیت شخصی نیز برخی جرایم هستند که محل وقوع آنها، نقشی در تعیین صلاحیت محل دادگاه ندارد؛ مانند جرایمی که شخصیت مرتکب ،تعیین کننده صلاحیت است، مانند جرایم استانداران، روحانیون، قضات و … یا مواردي که سن مرتکب تعیین کننده صلاحیت باشد، مانند جرایم اطفال یا مواردي که به اعتبار شغل متهم باشد ،مانند جرایم مربوط به افراد نظامی که به مناسبت شغل در حین انجام وظیفه مرتکب می شود که در این حالت با پیروي از قاعده صلاحیت شخصی در مراجع صالح یعنی دادگاه پایتخت یا مرکز استان یا اطفال یا دادگاه نظامی حسب مورد رسیدگی می شود.

قانون آیین دادرسی جرایم رایانه اي نیروهاي مسلح و دادرسی الکترونیکی که در تاریخ ۰۸/۰۷/۱۳۹۳ به تصویب مجلس شوراي اسلامی رسید، با این تفاوت که با توجه به تغییر تشکیلات قضایی، قوة قضاییه در مادة ۶۶۶ این قانون موظف شده، به تناسب ضرورت شعبه یا شعبی از دادسراها، دادگاه هاي کیفري یک، کیفري دو، اطفال و نوجوانان ،نظامی و تجدید نظر را براي رسیدگی به جرایم رایانه اي اختصاص دهد. این دادگاه می تواند به صلاح دید خود و بر اساس قواعد پیش بینی شده در مادة مزبور، از قانون جرایم رایانه اي یا دیگر قواعد، نظیر ارتباط منطقی با یک حوزه، پرونده ها را به آنها ارجاع یا احاله کند.

 

 

بر اساس مادة ۶۶۵ همین قانون:

چنانچه جرم رایانه اي در محلی کشف یا گزارش شود، ولی محل وقوع آن معلوم نباشد، دادسراي محل کشف مکلف است تحقیقات مقدماتی را انجام دهد. چنانچه محل وقوع جرم مشخص نشود، دادسرا پس از اتمام تحقیقات مبادرت به صدور قرار می کند و دادگاه مربوط نیز رأي مقتضی را صادر خواهد کرد.

لذا دیده می شود که قانون مجازات جرایم رایانه اي ایران، با در نظر گرفتن چالش هاي فضاي سایبر و مشکل بودن تعیین محل ارتکاب جرم سایبري، مرجع محل گزارش جرم و یا محل کشف جرم را، در جایی که محل وقوع قابل تعیین نباشد، جایگزین ضابطۀ محل وقوع جرم کرده و همان مراجع را براي رسیدگی صالح دانسته است.بر اساس قوانین کنونی ایران، اصل بر این است که مرجع صالح رسیدگی به جرایم سایبري، مرجع محل وقوع جرم است؛ ولی در صورت عدم امکان تعیین محل وقوع جرم، که بیشتر وقتها چنین امکانی وجود ندارد، محل گزارش یا کشف ملاك خواهد بود.

در میان محل گزارش و محل کشف، اگرچه بیشتر وقتها این دو محل یکی هستند، ولی در صورت متفاوت بودن آنها، حسب مادة ۶۶۵ قانون مزبور، اولویت با محل کشف است و محل گزارش، ناظر به زمانی است که جرم کشف نشده باشد. و در مواردي که اجزاء مختلف عنصر مادي جرم، در چند حوزة قضایی مختلف اتفاق می افتد یا مواردي که یک شخص، مرتکب چندین جرم متفاوت سایبري در چند حوزة قضایی مختلف می شود، ممکن است چندین حوزة قضایی خودرا براي رسیدگی صالح بدانند، در این حالت، تبصرة مادة ۵۲ قانون جرایم رایانه اي مقرر می دارد:

براي رسیدگی به جرایم رایانه اي مقررات خاص از جهت آیین دادرسی پیش بینی نشده است، طبق مقررات قانون آیین دادرسی اقدام خواهد شد .

حال با در نظر گرفتن مقررات شکلی قانون جرایم رایانه اي و مقررات مربوط به صلاحیت مندرج در قانون آیین دادرسی کیفري، مصوب ۹۲، فرضهاي مختلفی جهت تعیین دادگاه صالح از حیث صلاحیت محلی متصور است که به شرح آن می پردازیم:

  1. مطابق اصول کلی آیین دادرسی کیفري و نیز قانون جرایم رایانه اي در جایی که محل وقوع جرم معلوم باشد، دادگاه محل وقوع جرم براي رسیدگی صالح است.
  2. اگر یک یا چند جرم سایبري، که از حیث مجازات مشابه است، در یک حوزة قضایی کشف یا گزارش شود که محل وقوع آن معلوم نباشد، مطابق مادة ۲۹ قانون جرایم رایانه اي ،دادسراي محل کشف مکلف است، تحقیقات مقدماتی را انجام دهد؛ چنانچه محل وقوع جرم مشخص نشود، دادسرا پس از اتمام تحقیقات، مبادرت به صدور قرار می کند و دادگاه مربوطه نیز رأي مقتضی صــادر می کند.
  3. جرم سایبري واقع شده؛ ولی اجزاء مختلف عنصر مادي آن، در دو حوزه واقع شده اند و محل وقوع جرم معلوم نباشد، به دلیل بروز اختلاف میان مراجع قضایی، رأي وحدت رویه شماره ۷۲۹ مورخ ۱/۱۲/۹۱، در خصوص جرم کلاهبرداري مرتبط با رایانه مقرر می دارد:

هرگاه تمهید مقدمات و نتیجه حاصل از آن در حوزه هاي قضایی مختلف صورت گرفته باشـد، دادگاهی که بانک افتتاح کننده حساب زیان دیده از بزه که پول به طور متقلبانه از آن برداشت شده در حوزة آن قرار دارد، صالح به رسیدگی است.

  1. در صورت وقوع چند جرم مختلف، که از حیث مجازات در حوزه هاي قضایی متفاوت(اعم از سایبري و غیر سایبري) است، در صورتی که محل وقوع جرایم معلوم باشد ،دادگاه محل وقوع مهمترین جرم، صالح به رسیدگی است.
  1. در صورت وقوع چند جرم مشابه از حیث مجازات (اعم از سایبري و غیر سایبري) که محل وقوع جرایم مشخص نباشد و متهم نیز دستگیر نشده باشد؛ دادگاهی که ابتدا شروع به رسیدگی کرده، صالح است.
  2. در صورت وقوع چند جرم مشابه از حیث مجازات، در حوزه هاي قضایی مختلف که محل وقوع جرایم نیز معلوم نباشد، دادگاه محل دستگیري متهم، صالح به رسیدگی است.
  3. در صورت وقوع چند جرم مشابه از حیث مجازات، در حوزه هاي قضایی مختلف که متهم نیز دستگیر شده، ولی محل دستگیر شدن محل وقوع جرم نباشد، دادگاه محل وقوع جرم که ابتدا شروع به رسیدگی کرده، صالح به رسیدگی است .