حریم ناامن سیم‌کارت‌ها

 باز هم اپراتور تلفن‌ همراه و باز هم شکسته شدن حریم خصوصی افراد. در روزهای اخیر، مشخص شده که اطلاعات ٢٠‌میلیون مشترک یکی از اپراتورهای تلفن‌ همراه توسط یک ربات تلگرامی هک و منتشر شده است. این خبر به‌حدی شنونده را به شوک می‌برد که در وهله اول باورپذیر به نظر نمی‌رسد. تصور کنید اطلاعات خصوصی این تعداد مشترک به یکباره در اختیار عده‌ای قرار می‌گیرد و آنها مبادرت به خرید و فروش این اطلاعات می‌کنند.

البته تاکنون گزارشی از پیامدهای چنین اتفاقی منتشر نشده است اما نفس افشای چنین موضوعی افکار عمومی را در ترس و اضطراب جدی قرار می‌دهد. از طرفی اپراتور همراه اول با ارسال پیامی به کاربران خود اطمینان داده انتشار اطلاعات خصوصی افراد مربوط به این اپراتور نیست که نشان از شدت نگرانی ایجادشده در میان کاربران مختلف تلفن‌های همراه داشت. البته این نخستین‌بار نیست که نبود حریم امن در اپراتورهای تلفن ‌همراه خبرساز شده است اما همچنان خبری از برخورد قضائی و جبران خسارات مادی و معنوی مشترکان متضرر این اپراتورها نیست. برای بررسی ابعاد حقوقی انتشار اطلاعات کاربران اپراتور‌های تلفن ‌همراه و تبعات قضائی این واقعه با «شاپور دولتشاهی» وکیل دادگستری و عضو کمیته پیش‌نویس قانون جرایم رایانه‌ای گفت‌وگویی انجام داده است.

  ماجرا چیست و تجاوز به حریم خصوصی کاربران تلفن‌های همراه چگونه انجام شده است؟
در روزهای اخیر، افشای اطلاعات ۲۰‌میلیون نفر از صاحبان خطوط تلفن ‌همراه ایرانسل خبرساز شده است. پس از سه‌سال این دومین‌بار است که خبر انتشار اطلاعات کاربران شبکه ایرانسل خبرساز می‌شود. دفعه قبل نیز اخبار حکایت از آن داشت که شبکه اطلاعات کاربران ایرانسل مورد دستبرد واقع شده و این اطلاعات شامل نام، نام خانوادگی، نشانی دقیق (آنچه هنگام ثبت‌نام و خرید خط تلفن از سوی مشترک اعلام شده است)، کدپستی و احیانا شماره تلفن ثابتی از صاحب خط تلفن‌ همراه در دسترس عموم قرار گرفته بود. در‌‌ همان زمان اپراتور مربوطه اطمینان داد که خطر برطرف شده و این اطلاعات دیگر در دسترس عموم قرار ندارد.

اکنون پس از گذشت سه‌سال، رباتی در شبکه‌های اجتماعی پیدا شده که مخاطب را ترغیب به یافتن مشخصات دارنده شماره تلفن‌های همراه ایرانسل می‌کند. مخاطب با وارد کردن شماره تلفن ‌همراه مورد نظر خود، به مشخصات و اطلاعات شخصی صاحب خط، از جمله نام و نام خانوادگی، کد ملی، نشانی و کدپستی... دسترسی می‌یافت. ربات یادشده تأکید داشت که اطلاعات کاربران را از مجموعه اطلاعات افشاشده از پایگاه داده اپراتور ایرانسل که سه‌سال پیش افشا شده بود، ارایه می‌کند.

  چه شد که خبر هک شدن اپراتورهای تلفن ‌همراه رسانه‌ای شد؟
این‌بار به مدد سروصدای خبری و بلند شدن صدای اعتراضات، مدیر روابط‌عمومی وزارت فناوری اطلاعات و ارتباطات (تسنیم‌نیوز در ۱۱ تیر ۱۳۹۵) و معاون حقوقی و امور بین‌الملل پلیس فتای ناجا (مهر‌نیوز در شنبه ۱۲ تیر ۱۳۹۵) اعلام کردند که اپراتور ایرانسل، ربات موصوف را غیرفعال کرده و جلوی انتشار اطلاعات کاربران را گرفته است و پلیس فتا نیز با دستور مقام قضائی درصدد شناسایی و دستگیری عامل یا عاملان انتشار این اطلاعات در فضای مجازی است. هنوز آب خوش این خبر از گلوی کاربران پایین نرفته بود که رسانه‌های خبری مجددا از بازیابی و عملکرد ربات موصوف خبر دادند که البته این‌بار، اطلاعات را نه به صورت رایگان که به فروش گذارده است و در قبال ارایه مشخصات صاحب خطوط درخواستی، درخواست مبالغی کرده است.

  روش کار ربات جدید به چه شکل بود؟
پیام جدید ربات بدین مضمون است: «سلام دوستان، ربات با امکانات جدید و شماره‌های جدید به‌روزرسانی شد. برای خرید به ‌ای دی... پیام بدید. شماره‌های پشتیبانی شده ۰۹۳۵، ۰۹۳۶، ۰۹۳۷، ۰۹۳۸، ۰۹۳۹، ۰۹۳۳، ۰۹۳۰»
همچنین روی این ربات به گزارش (ایسنا – شنبه ۱۲ تیرماه ۱۳۹۵) این‌گونه اعلام شده که: «به دلیل شکایت‌های زیاد ربات پاک شد. پایگاه داده جدید با امکانات جدید با شماره‌های جدید فروشی است.» بنابر اعلام خبرگزاری ایسنا، این اطلاعات خصوصی در ‌سال ۱۳۹۲ لو رفته و در قالب فایل اکسل تا چند‌میلیون تومان خرید و فروش می‌شده است.
 شما از نویسندگان قانون جرایم رایانه‌ای بودید. به نظر شما در این شرایط انتشار اطلاعات کاربران عواقب قانونی هم در پی خواهد داشت؟
صرف‌نظر از ناتوانی فنی اپراتور مربوطه در کشف عامل این رخداد ضد امنیتی از یک‌سو و عدم پاسخگویی در قبال حفاظت نکردن از حریم خصوصی مشترکان این اپراتور، بررسی عواقب حقوقی این پدیده خالی از لطف نیست. قانون تجارت الکترونیکی که در ‌سال ۱۳۸۲ و با اقتباس از قواعد آنسیترال به تصویب رسید، تنها چند مورد معدود از جرایم رایانه‌ای محض را در برداشت.

همزمان با تصویب قانون تجارت الکترونیکی، ریاست وقت قوۀقضائیه با تشکیل کمیته مبارزه با جرایم رایانه‌ای، پیش‌نویس «قانون جرایم رایانه‌ای» را در دستور کار این کمیته قرار داد و سرانجام پس از ۵ سال، قانون جرایم رایانه‌ای در خردادماه ۱۳۸۸ به تصویب رسید که گام بلندی در راستای پیشگیری و مبارزه با انواع جرایم رایانه‌ای و اینترنتی به حساب می‌آمد. این قانون با بررسی قوانین فضای سایبر حدود ۴۴ کشور جهان پیش‌نویس شده بود و در مرکز پژوهش‌های مجلس شورای اسلامی نیز تغییرات و اضافات دیگری همچون «کمیته فیلترینگ» یا ممنوعیت استفاده از بستر اینترنت برای ارتباطات تلفنی (VoIP) روی آن صورت پذیرفت.

نهایتا قانونی از کار درآمد که بسیاری از نیازهای امروزه جامعه را در مقابله با جرایم رایانه‌ای و اینترنتی برآورده می‌کند. اما برخوردهای موردی و شاذ با مواردی همچون مانحن فیه، نشان می‌دهد قانون مزبور هم همانند هر قانون دیگری نیازمند بازنگری و اصلاح و اضافات است. در این فقره نیز برای انطباق عمل صورت گرفته با قانون جرایم رایانه‌ای باید فروض مختلفی را در نظر گرفت.

  چه مواردی را باید در امر محاکمه و مجازات مجرمان در نظر گرفت؟
ابتدا بهتر است تصور کنیم که نویسنده (تولیدکننده) ربات مذکور و منتشرکننده آن در فضای مجازی، هر دو یک نفر هستند.

دوم این‌که حال چنانچه شخصی که ربات را تولید و منتشر کرده، خود به پایگاه داده ایرانسل (در سه‌سال گذشته) دسترسی پیدا کرده، باید فرض را بر این نهاد که وی با «دسترسی غیرمجاز» یا (با کمی اغماض فنی) با هک کردن پایگاه داده‌های ایرانسل، به این بانک عظیم اطلاعاتی دست یافته و سپس با انتشار این ربات در فضای مجازی اطلاعات مشترکان را منتشر کرده است.

در این حالت بدون تردید در مرحله نخست و صرفا بابت دسترسی غیرمجاز به پایگاه داده شرکت ایرانسل مرتکب جرم موضوع ماده ۱ قانون جرایم رایانه‌ای شده و مستحق یک یا هر دو مجازات مقرر در ماده ۱ خواهد بود. اما از باب سرقت اطلاعات مشترکان، مستند به ماده ۱۲ قانون جرایم رایانه‌ای از آنجاکه عین داده‌ها همچنان در اختیار ایرانسل قرار دارد، تنها به مجازات پرداخت جزای نقدی از یک تا ۲۰‌میلیون ریال محکوم خواهد شد که صدالبته مجازات غیرمتناسب با عمل ارتکابی و گستره نقض قانون خواهد بود و از باب انتشار یا در دسترس قرار دادن اطلاعات مشترکان (خواه رایگان، خواه در قبال دریافت وجه) بررسی را به فروض بعد موکول می‌کنیم.

مورد سوم هم این‌که نویسنده و منتشرکننده ربات، سفارش دسترسی غیرمجاز به این پایگاه داده را به یک هکر داده و سپس این داده‌ها را در اختیار گرفته و با تولید و انتشار ربات، اطلاعات را در اختیار اشخاص متقاضی نهاده است که در این‌صورت نیز درخصوص بخش اول، مرتکب معاونت در دسترسی غیرمجاز به پایگاه داده و همچنین معاونت در سرقت اطلاعات مشترکین ایرانسل شده است و برابر قانون مجازات اسلامی مصوب ۱۳۷۵ که در زمان هک اولیه پایگاه داده ایرانسل حاکم بوده، مجازات معاون حداقل مجازات مباشر (یعنی حبس ۹۱ روز یا جزای نقدی ۵‌میلیون تومان یا هر دو مجازات برای دسترسی غیرمجاز و جزای نقدی از یک تا ٢٠‌میلیون ریال برای سرقت اطلاعات) می‌بود اما از آنجا که تاکنون خبری از دستگیری و محاکمه مباشر اصلی دسترسی غیرمجاز به پایگاه داده ایرانسل منتشر نشده، لذا فرض بر آن است که اکنون و با لحاظ قانون مجازات اسلامی مصوب ۱۳۹۲ باید به جرم وی رسیدگی کرد که چون برابر ماده ۱۲۷ قانون اخیر مجازات معاون، یک تا دو درجه کمتر از مرتکب اصلی است و مجازات مرتکب اصلی درخصوص دسترسی غیرمجاز از درجه ۶ و درخصوص سرقت اطلاعات از درجه ۷ محسوب می‌شود؛ لذا مجازات منتشر کننده ربات برای معاونت در دسترسی غیرمجاز، مجازات درجه ۷ (حبس از ۹۱ روز تا ۶ ماه یا جزای نقدی از ۱۰ تا ۲۰‌میلیون ریال) و یا درجه ۸ (حبس تا ۳ ماه یا جزای نقدی تا ۱۰‌میلیون ریال) و برای معاونت در سرقت داده‌ها، از درجه ۸ (فقط جزای نقدی تا ١٠‌میلیون ریال) خواهد بود که باز برابر ماده ۶۵، چنانچه دادگاه تصمیم بر اعمال مجازات درجه ۸ (در خصوص دسترسی غیرمجاز که دارای مجازات حبس است) بر معاون داشته باشد، باید وی را به مجازات «جایگزین حبس» محکوم كند و درخصوص تولید و انتشار خود ربات نیز مجددا به فروض آتی موکول می‌شود.
 الان مجازات منتشرکنندگان اطلاعات مشترکین چگونه خواهد بود؟
مورد چهارم دقیقا پاسخ به همین سوال است که درخصوص مجازات «انتشار اطلاعات مشترکین در فضای مجازی» از طریق ربات مزبور، متاسفانه جرم ارتکابی با هیچ‌یک از مواد قانون جرايم رایانه‌ای منطبق نخواهد بود. تنها ماده این قانون که ابتدا برای انطباق عمل با قانون به ذهن متبادر می‌شود، ماده ۱۷ قانون جرايم رایانه‌ای‌ است که اشاره داشته: «هرکس به‌وسیله سامانه‌های رایانه‌ای یا مخابراتی... اسرار دیگری را بدون رضایت او جز در موارد قانونی منتشر کند یا در دسترس دیگران قرار دهد به نحوی‌که عرفا موجب هتک حیثیت او شود...» که در ردّ این تطبیق باید به دو نکته مهم اشاره کرد:
اول این‌که عرفا نمی‌توان نام و نام‌خانوادگی و سایر مشخصات فردی دارنده یک شماره تلفن‌همراه را از مصادیق «اسرار اشخاص» دانست و دوم این‌که انتشار نام و مشخصات صاحب خط تلفن همراه، عرفا موجب هتک حیثیت دارنده خط به حساب نمی‌آید؛ لذا انطباق این ماده با عمل ارتکابی توسط منتشرکننده ربات مورد بحث، خالی از وجه قانونی خواهد بود.

مورد پنجم هم این‌که ماده بعدی که قدری از انطباق را متبادر می‌کند، بند (الف) از ماده ۲۵ قانون جرايم رایانه‌ای است بدین مضمون: «تولید یا انتشار یا توزیع و در دسترس قرار دادن یا معامله داده‌ها یا نرم‌افزار‌ها یا هر نوع ابزار الکترونیکی که «صرفا» به منظور ارتکاب جرايم رایانه‌ای به کار می‌رود» که با توجه به توضیحات فوق‌الاشاره در بند (۴) با توجه به این‌که خود عمل ارتکابی جرم نیست، لذا انتشار نرم‌افزاری که این داده‌های «غیرمجرمانه» را در دسترس کاربران قرار می‌دهد نیز از مصادیق «نرم‌افزارهایی که صرفا برای ارتکاب جرم به کار می‌رود» نخواهد بود، لذا این انطباق نیز منتفی به نظر می‌رسد.

  جناب دولتشاهی با توجه به مواد ۶۴ و ۶۵ قانون تجارت الکترونیکی و کسب در‌آمد این ربات از فروش اطلاعات خصوصی افراد شرایط محاکمه و مجازات چگونه خواهد بود؟
نکته مهم آخر همین است که برابر ماده ۶۴ قانون تجارت الکترونیکی مصوب ۱۳۸۲: «تحصیل غیرقانونی اسرار تجاری و اقتصادی بنگاه‌ها و موسسات برای خود یا افشای آن برای اشخاص ثالث در محیط الکترونیکی جرم محسوب می‌شود» و برابر ماده ۶۵‌‌ همان قانون، اسرار تجاری شامل مواردی است که عموما منصرف از اطلاعات ارایه شده توسط این ربات است و تنها عبارت «فهرست مشتریان» است که قدری قابل تأمل خواهد بود اما با قدری مداقّه به این نتیجه مي‌رسيم که اولا ربات مزبور هرگز «فهرست یا لیستی» از مشتریان ایرانسل را در اختیار متقاضیان قرار نمی‌دهد بلکه با ارايه هر شماره تلفن، تنها مشخصات‌‌ همان یک نفر صاحب خط را ارایه می‌كند؛ لذا نمی‌توان آن را «فهرست مشتریان» نامید و ثانیا اسرار تجاری مورد حمایت نیز باید دارای سه شرط مقرر در این ماده باشند بدین مضمون که: اولا به‌طور مستقل دارای ارزش اقتصادی بوده ثانیا در دسترس عموم قرار نداشته باشد و ثالثا تلاش‌های معقولانه‌ای برای حفظ و حراست از آنها به‌عمل آمده باشد که حتی چنانچه تحقق دو فرض اخیر را درخصوص فهرست مشترکان ایرانسل محتمل بدانیم، تحقق شرط اول (واجد ارزش اقتصادی مستقل بودن) درخصوص آنها به‌هیچ عنوان صادق نخواهد بود چرا که نام و مشخصات تک‌تک خطوط تلفن‌همراه ایرانسل که بنا بر آمار موجود بالغ بر نیمی از کل جمعیت کشور را در بردارد، هرگز واجد ارزش اقتصادی نیست (هر چند که تحقق این شرط درخصوص فهرست کاملی از نام مشترکان ایرانسل هم قویا محل تردید است) لذا ارايه نام و مشخصات صاحبان خطوط تلفن ایرانسل را نمی‌توان از مصادیق افشای اسرار تجاری در محیط الکترونیکی دانست.

  با این توضیحات معتقدید قوانین ما در این مورد کامل هستند؟
قوانین فعلی درخصوص حفاظت از «اسرار تجاری» و «اسرار شخصی» کامل و کارآمد است؛ اما آنجا که بحث صرفا حمایت از حریم خصوصی افراد جامعه است و آنچه مورد تعرض واقع شده نه «اسرار تجاری» و نه «اسرار شخصی و خانوادگی» باشد بلکه صرفا «اطلاعات اشخاص» به‌عنوان بخشی از حریم خصوصی افراد جامعه به معنی آنچه فرد انتظار دارد فقط برای آنان‌ که خود می‌خواهد افشا شود و در برابر اغیار تمایل بر محرمانه ماندن آن دارد، صرف نظر از این‌که از نظر عرف واجد وصف «محرمانه» یا «حریم خصوصی» باشد یا خیر، قوانین موجود با خلأ جرم‌انگاری مواجه‌اند و در این مقطع حساس چنین نقصی رخ می‌نماید.
 در پایان این یک نکته حائز اهمیت است انتظار برای برخورد قضائی سریع و قاطع است؛ نظر شما در این رابطه چیست؟
هر چند مسأله روز، همین بحث انتشار ربات افشاگر مشخصات فردی صاحبان خطوط تلفن‌همراه ایرانسل در فضای مجازی است و بنابر اخبار، عزم سیستم قضائی و پلیسی بر شناسایی و دستگیری مرتکب جرم شده تا احساس امنیت اطلاعات و حریم خصوصی مشترکین تلفن‌های همراه بازگردانده شود و آحاد جامعه نیز به دنبال فرجام کار هستند، نباید از یاد برد در عالم حقوق کیفری، نخستين و مهم‌ترین اصل، «تفسیر مضیق قوانین» است و به هیچ بهانه‌ای ولو تسکین آلام بزه‎دید‌گان و یا بازگرداندن آرامش خاطر شهروندان در حفظ حریم خصوصی، نباید دست به اقدامات هیجانی زد و به هر زحمت، عمل ارتکابی را با یکی از مواد قانونی منطبق «قلمداد» کرد!
شایسته است مقامات محترم قضائی و پلیسی در برخورد با این واقعه، قبل از هرگونه برخورد احساسی و هیجانی، درک عمیق و واقعی از ماهیت عمل به‌دست آورده و چنانچه آن را با هیچ‌یک از مواد قانونی منطبق ندانستند، با شهامت تمام و کمال و اعلام «جرم نبودن عمل انتسابی» نسبت به توقف پیگرد کیفری موضوع اقدام كرده، مبادا که گذر از خلأ قوانین را بهانه‌ای برای زیرپا نهادن اصول بنیادین حقوق کیفری كنيم؛ اما همزمان بایسته است، با شناخت از زوایای تاریک و پنهان قوانین موجود، پیشنهاد اصلاح یا تکمیل قوانین مرتبط را به مراجع ذیربط ارایه کنیم.شهروند