دریافت اطلاعات از ارایه دهندگان IT بدون دستور قضایی جرم است
بر اساس مواد 667 و 668 قانون آیین دادرسی کیفری مصوب سال 1393 که جایگزین مواد 32 و 33 قانون جرایم رایانهای هستند، در خصوص نحوه نگهداری و حفظ فوری دادهها، مواد 64، 65 و 75 قانون تجارت الکترونیکی با موضوع حفظ اسرار تجاری ارایهدهندگان خدمات فناوری اطلاعات، الزام به ارایه یا دسترسی یا اخذ اطلاعات شامل داده ترافیک، اطلاعات کاربران، اطلاعات مالی، فهرست مشتریان و مصادیق ذکرشده در مواد فوق بدون دستور مقام قضایی ممنوع و مصداق جرم است
بر اساس مواد 667 و 668 قانون آیین دادرسی کیفری مصوب سال 1393 که جایگزین مواد 32 و 33 قانون جرایم رایانهای هستند، در خصوص نحوه نگهداری و حفظ فوری دادهها، مواد 64، 65 و 75 قانون تجارت الکترونیکی با موضوع حفظ اسرار تجاری ارایهدهندگان خدمات فناوری اطلاعات، الزام به ارایه یا دسترسی یا اخذ اطلاعات شامل داده ترافیک، اطلاعات کاربران، اطلاعات مالی، فهرست مشتریان و مصادیق ذکرشده در مواد فوق بدون دستور مقام قضایی ممنوع و مصداق جرم است.
رضا باقری اصل، مدیر سابق دفتر فناوری نوین مرکز پژوهشهای مجلس و معاون فعلی دولت الکترونیکی سازمان فناوری اطلاعات ایران طی یادداشتی در خبرگزاری ایسنا، مطلب فوق را عنوان کرده که در ادامه آن آمده است:
مواد 32 و 33 قانون جرایم رایانهای از پشتوانه محکمی در ادبیات حقوق کیفری سایبری بینالمللی نیز برخوردارند و در مهمرین سند این عرصه تاکنون یعنی کنوانسیون جرایم سایبر شورای اروپا، با عنوان Data Retention بازتاب یافتهاند که در برابر «حفاظت از دادهها» قرار میگیرند و در کنوانسیون عنوان Data Preservation را دارد.
هدف اصلی از نگهداری دادهها، صرفاً تثبیت وضعیت دادههای پایه یا بهاصطلاح مادر در نظام تبادلات سایبری بهمنظور دور ماندن آنها از تهدیدهای ضد صحت و تمامیت، بهویژه تغییرات یا پاک شدنهای کلی یا جزیی دادهها و اطلاعات، یا بدتر از آن پدید نیامدنشان به دلایلی است که پدیدآورندگان به منفعت یا مصلحت خویش نمیدانند.
به همین دلیل، در این مواد هیچ سخنی از دسترسی، ارایه یا افشای این دادهها نشده و تنها گفته شده است که باید چنین دادههایی نگاهداری شود؛ آنهم تنها از سوی دو گروه ارایهدهندگان خدمات دسترسی و ارایهدهندگان خدمات میزبانی.
هر دوی این عناوین در عرف فنی و حرفهای این حوزه، مفاهیم و مصادیق روشنی دارند و بهسادگی نمیتوان گروهی را از آنها جدا کرد یا گروهی را بر آنها افزود و انتظار میرود که نگهداری دادهها و اطلاعات پایه برشمردهشده در این قانون، یعنی دادههای ترافیک و اطلاعات کاربران، بخش عمدهای از اهداف نظام کیفری سایبری را در مرحله مقدماتی محقق کند و بتوان گامهای بعدی پیگرد مجرمان سایبری را مطمئنتر و البته معتبرتر برداشت.
در جایی که به سراغ خدماتی بهجز دسترسی و میزبانی میرویم، از لایه زیرساخت که منظور نظر قانونگذار بوده است، فاصله گرفتهایم و گروهی دیگر را به آنها افزودهایم که در اراده قانونگذار نبودهاند. ضمن اینکه در قوانین سایر کشورها نیز چنین رویهای وجود ندارد که احکام نگهداری دادهها، به همه کنشگران سایبری بار شود.
حتی قانونگذار برای جلوگیری از هرگونه سوءاستفاده احتمالی از این دادهها و اطلاعات، الزام به نگهداری آنها را تنها برای پدیدآورندگانشان، یعنی ارایهدهندگان خدمات دسترسی و میزبانی مقرر داشته و در این مرحله هیچ مقامی نمیتواند آنها را ملزم کند نسخهای از دادهها و اطلاعات نگهداریشده را، البته بهموجب این قانون، در اختیارش قرار دهد تا به صورت جداگانه نگهداری کند. حکم آن است که خودش نگاه دارد تا دستور مقتضی قضایی بعدی برسد.
مزید بر علت، تفاوت ماهوی دادهها و اطلاعات لایهها و بخشهای دیگر، تراکنشهای سایبری نسبت به لایه زیرساخت است. در آنجا، دادهها و اطلاعات، اختصاصیتر و تخصصیتر میشوند و بنابراین احکام حقوقی ناظر بر آنها نیز متفاوت و البته متمایز است.
برای نمونه، ممکن است در آنجا بحث اسرار تجاری (موضوع قانون تجارت الکترونیکی) یا سایر عناوین قانونی، مانند داراییهای نامشهود (موضوع قانون اجرای سیاستهای کلی اصل 44 قانون اساسی) و اطلاعات نهانی (موضوع قانون بازار اوراق بهادار جمهوری اسلامی ایران) نیز به میان میآید که دسترسی به آنها را، حتی برای مقامات اجرایی و قضایی، دشوارتر از دادهها و اطلاعات نگهداریشده بهموجب مواد 32 و 33 قانون جرایم رایانهای کند.
بنابراین بسیاری از اطلاعات سایر فعالان عرصه خدمات فناوری اطلاعات در زمره اسرار تجاری قرار میگیرند. مصادیق آنهم بهروشنی و صراحت در ماده 65 قانون تجارت الکترونیکی آمده که از جمله آن میتوان به اطلاعات مشتریان اشاره کرد.
بدیهی است حفظ اسرار تجاری، مورد حمایت قانونی قرار گرفته و نقض آن جرمانگاری شده؛ حال ممکن است این نقض توسط هر کسی صورت پذیرد.
در خصوص این موضوع که شنیده شده است برخی فعالان از دستورات خارج از چارچوب قانونی برای دسترسی برخط به اطلاعات مشتریان گله دارند، باید گفت که لازم است از آنها حمایت شایسته قانونی به عمل آید و در صورت کافی نبودن حمایت، ورود شورای عالی فضای مجازی به این مهم که ضامن توسعه خدمات الکترونیکی و کسب و کارهای برخط و اشتغال این حوزه است، ضروری به نظر میرسد.
بنابراین مطالبه انبوه و کلی دادهها و اطلاعات نیز ناموجه است و حتماً باید موردی و مصداقی باشد. در غیر این صورت قانونگذار چنین حکم میراند که اطلاعات نگاهداریشده در مواعد مقرر، مثلاً 6 ماهه را تحویل مراجع صلاحیتدار قضایی یا اجرایی ذیربط دهند و خود نیز همه مستندات را از بین برده و هیچ نسخهای از آنها را نگهداری نکنند.
به بیان روشنتر، در مرحله نگهداری دادهها و اطلاعات، هنوز هیچ رویداد حقوقی بهویژه از نوع کیفری آن رخ نداده و تنها از باب حفظ ادله الکترونیکی و اطمینان از در دسترس بودن بهشرط رخ دادن جرم، قانونگذار حکم به نگهداری آنها داده است تا در صورت رخداد چنین رویدادی، مراحل حفظ فوری آنها، ارایه و حتی تفتیش و توقیف بر پایه روالها و ضوابط مختص به خودشان اجرایی شوند.
به این ترتیب، با عنایت به موارد برشمرده، مطالبه از کسانی، به جز ارایهدهندگان خدمات دسترسی و میزبانی، فعالان خدمات فناوری اطلاعات نظیر فینتکها، نمونههایی بهجز دادههای ترافیک و اطلاعات کاربران خارج از چارچوب قانون، به شکل کلی و انبوه و نه موردی و مصداقی، توسعه ناموجه و ناروای قانون جرایم رایانهای (قانون آیین دادرسی کیفری) و برخلاف نص صریح قانون تجارت الکترونیکی است.
منبع : روزنامه حمایت
رای شماره 477 هیات عمومی دیوان عدالت اداری با موضوع ابطال بند 2 از پنجمین جلسه مورخ 1394 9 22 ستاد ساماندهی استان البرز تاثیر بطلان عمل حقوقی در تحقق جرم