مدیر فناوری‌های نوین مرکز پژوهش‌های مجلس تشریح کرد؛

کالبدشکافی تخلف اپراتورها در حفظ اطلاعات مشترکان

تاریخ انتشار : ۰۳ بهمن ۱۳۹۰

با وجود نمایشگر، شماره تلفن جزء اسرار شخصی محسوب نمی‌شود و نیز نمی‌توان به ارسال پیامک تبلیغی، جرم هتک حیثیت نسبت داد.

به گزارش گرداب، چندی پیش خبری با عنوان فروش اطلاعات شخصی مشترکان اپراتورهای تلفن همراه و دسترسی شرکت‌های ارسال کننده پیامک‌های تبلیغی به بانک اطلاعات مشخصات مشترکان منتشر شد.

در نهایت معاون نظارت و اعمال مقررات سازمان تنظیم مقررات و ارتباطات رادیویی با اعلام نتایج بررسی صحت و سقم این موضوع، گفت: «از مسیرهای غیررسمی اطلاعاتی شامل شماره تلفن همراه و چند رقم کد پستی خارج شده که برخی از این اطلاعات با نام و جنسیت مشترک همراه بوده است.»

در رابطه با ابعاد حقوقی این موضوع گفت وگویی با "رضا باقری‌اصل"، مدیر دفتر فناوری‌های نوین مرکز پژوهش‌های مجلس شورای اسلامی انجام داده‌ایم.
 
در قانون فعلی، ارسال پیامک تبلیغاتی بدون اجازه مشترک جرم نیست
آیا در قضیه فروش بانک اطلاعات مشترکین تلفن همراه بر اساس قانون جرایم رایانه ای جرمی روی داده است؟
باقری‌اصل در این خصوص، گفت: «این موضوع باید بر اساس قانون جرایم رایانه‌ای و آنچه به واقع اتفاق افتاده تشریح شود. نخست اینکه در زمان تدوین قانون و اصلاحاتی که بر آن اعمال شد، بحث‌های زیادی در خصوص اینکه برای ارسال پیامک یا ایمیل تبلیغاتی مزاحم یا آنچه به عنوان اسپم شناخته می‌شود، آیا باید جرم انگاری صورت گیرد یا خیر؟»

مدیر دفتر فناوری های نوین مرکز پژوهش‌های مجلس شورای اسلامی افزود: «در زمان تصویب قانون به واسطه اینکه این موضوع خیلی فراگیر نبود و از سوی دیگر، قبل از جرم‌‌‌‌انگاری باید حقوق و مسئولیت‌های قانونی این نوع فعالیت‌ها در قوانین موضوعه خودشان تعریف می‌شد، قانونگذار به جمع‌بندی عدم جرم‌انگاری رسید تا زمانی که قانونی دیگر ارسال این نوع پیام‌ها را مبتنی بر خواست کند، نه مبتنی بر درخواست عدم دریافت.»

وی تصریح کرد: «آن موقع امکان جرم‌انگاری ارسال پیام یا پیامک بدون کسب اجازه از مشترک وجود خواهد داشت.»

پیشنهاد تعیین جرم برای پیامک‌های تبلیغی در پی فراگیر شدن مزاحمت‌ها
باقری‌اصل تاکید کرد: «اگر چه به نظر می‌رسد به دلیل فراگیر شدن این نوع مزاحمت‌ها، می‌توان امروز قانون جرایم رایانه‌ای را بر این منوال اصلاح کرد.»

مدیر دفتر فناوری های نوین مرکز پژوهش‌های مجلس شورای اسلامی افزود: «نکته دوم این است که باید آنچه اتفاق افتاده را بر اساس مصادیق قانونی جرایم رایانه‌ای ترسیم کرد. به این صورت که اشخاصی اقدام به ایجاد بانک اطلاعاتی از مشترکین تلفن همراه کرده‌اند و برای خدمات تبلیغی یا سایر خدمات از طریق پیام کوتاه یا غیره، آن را در اختیار متقاضیان قرار می‌دهند.»

روش تعیین بانک‌ اطلاعاتی، معیار انتساب جرم
باقری‌اصل گفت: «این بانک‌های اطلاعاتی به سه شیوه می تواند تهیه شود؛ نخست، اگر این بانک اطلاعات از طریق گردآوری شماره‌ها با استفاده از روش‌هایی نظیر فرم‌هایی که اشخاص در جاهای مختلف پر می‌کنند، یا از طریق گیرنده‌های بلوتوث یا  از طریق دیگری ایجاد شود که ربطی به اپراتور تلفن همراه و دفاتر مشترکین و سامانه‌های مخابراتی نظیر BTS‌ها و نرم‌افزارهای صورت‌حساب و خدمات مشترکین و پورتال‌های آنها نداشته باشد، نمی‌توان بر این عمل جرمی منتسب کرد.

با وجود نمایشگر، شماره تلفن جزء اسرار نیست
یکی از مسئولین پلیس فتا، این اقدام را به دلیل افشاء اسرار، جرم دانسته است.
باقری‌اصل در این خصوص، گفت: «بر اساس ماده 17 قانون جرایم رایانه‌ای آمده که "هر کس به وسیله سیستم‌های رایانه‌ای یا مخابراتی صوت، تصویر، فیلم خصوصی، خانوادگی یا اسرار دیگری را بدون رضایت او منتشر کند، یا در دسترس دیگران قرار دهد، به نحوی که منجر به ضرر یا عرفاً موجب هتک حیثیت او شود، به مجازات مندرج در قانون محکوم خواهد شد." در این رابطه باید این طور گفت که نخست، کمتر مقام قضایی می توان یافت که شماره تلفن فرد را جزئی از اسرار بداند، ضمن اینکه این ماده قانونی یک قید دیگر هم دارد یعنی عمل انتشار باید منجر به ضرر یا هتک حیثیت فرد شود، بنابراین با این ماده قانونی نمی‌توان موضوع مورد بحث را مورد پیگرد قرار داد.»

انتشار بانک اطلاعاتی مشترکان اپراتورها، جرم است
مدیر دفتر فناوری های نوین مرکز پژوهش‌های مجلس شورای اسلامی افزود: «دوم اینکه این بانک اطلاعاتی یا به صورت دسترسی غیر مجاز به بانک‌های اطلاعاتی مخابرات یا اپراتورها یا به شیوه سرقت داده تهیه شده باشد که مصداق جرم ماده 1 و ماده 12 قانون جرایم رایانه‌ای است و در صورت سوم اگر ایجاد و تهیه و انتشار این بانک از طریق دسترسی مجاز به بانک اطلاعات مشترکین مخابرات باشد، مواد دیگری از قانون حاکم است.»

وی گفت: ‌«بنا بر ماده 32 قانون جرایم رایانه‌ای "ارائه دهندگان خدمات دسترسی موظفند داده‌های ترافیک را حداقل تا شش ماه پس از ایجاد و اطلاعات کاربران را حداقل تا شش ماه پس از خاتمه اشتراک نگهداری کنند". بر اساس این حکم تمامی اپراتورها که خدمت دسترسی به شبکه مخابراتی کشور اعم از خدمات موبایل، اینترنت و هر نوع خدمت مورد نیاز به اشتراک و دسترسی را فراهم می کنند ملزم به حفظ داده ترافیک و اطلاعات کاربر هستند. همچنین بنابر تبصره دیگر این ماده، اطلاعات کاربر شامل هرگونه اطلاعات راجع به کاربر خدمات دسترسی‌ از قبیل نوع خدمات، امکانات فنی مورد استفاده و مدت زمان آن، هویت،‌ آدرس جغرافیایی یا پستی یا IP، شماره تلفن و سایر مشخصات فردی او است.»

مجازات قانونی برای افشاکنندگان داده‌های محرمانه
مدیر دفتر فناوری‌های نوین مرکز پژوهش‌های مجلس شورای اسلامی افزود: «همچنین در ماده 34 قانون، مصادیق دیگری برای حفظ داده ذکر شده و برای جلوگیری از سوءاستفاده از این داده‌ها در این ماده آمده "چنانچه هر یک از کارکنان دولت یا ضابطان قضایی یا سایر اشخاص از اجرای این دستور خودداری یا داده‌ای حفاظت شده را افشا کنند یا اشخاصی که داده‌ مزبور به آنها مربوط می‌شود را از مفاد دستور صادره آگاه کنند، ضابطان قضایی و کارکنان دولت به مجازات امتناع از دستور مقام قضایی و سایر اشخاص به حبس از 91 روز تا 6 ماه یا جزای نقدی از 5 تا 10 میلیون ریال یا هر دو مجازات محکوم خواهند شد."»
 
ارائه دهندگان خدمات دسترسی مجاز به فروش ، انتشار و افشاء اطلاعات نیستند
وی خاطر نشان کرد: «جالب اینکه تبصره ماده 34 می گوید "حفظ داده‌ها به منزله ارائه یا افشای آنها نبوده و مستلزم رعایت مقررات مربوط است." یعنی دستور حفظ داده ماده 34  یا دستور جامع نگهداری داده ماده 32 این مجوز را به ارائه دهنده خدمت دسترسی نمی‌دهد که این اطلاعات را بفروشد یا انتشار دهد یا حتی افشا کند؛ بلکه تنها می تواند آنها را بر اساس ماده 35 به مقام قضایی ارائه داده که استنکاف از آن نیز مجازات خاص خود را دارد.»
 
اگر بانک اطلاعات مشترکین از سوی مخابرات ارائه شده باشد، جرم است
مدیر دفتر فناوری‌های نوین مرکز پژوهش‌های مجلس شورای اسلامی تاکید کرد: «در نتیجه بنابر آنچه گفته شد، اگر این بانک‌های اطلاعات مشترکین از طریق مخابرات در اختیار این شرکت‌ها قرار گرفته شده باشد جرم اتفاق افتاده است. آنچه در گزارش‌های خبری در این رابطه نقل شده در دو بخش قابل تفکیک است. برای مثال گفته شده بود بانک اطلاعات مدیران کشور که احتمالاً به صورت گردآوری اطلاعات به دست آمده که جرمی نیست.»
 
نمی‌توان به ارسال پیامک جرم ضرر و هتک حیثیت نسبت داد
باقری‌اصل گفت: «با وجود سیستم نمایشگر شماره تلفن که اتفاقاً یکی از مؤثرین شیوه‌های کاهش مزاحمین بوده، نمی‌توان بر شماره تلفن اشخاص اسرار اطلاق کرد و حتی در این صورت هم جرم ضرر و هتک حیثیت بوده، که بر دریافت پیامک نمی توان چنین  چیزی را نسبت داد. اما در خصوص بانک اطلاعات کل مشترکین یا هر نوع  بانک اطلاعاتی که ناشی از جستجوی این بانک باشد، برای مثال با پالایش فیلد شغل آنهایی را که "مدیر" در شغل آن‌ها به وسیله خود شخص هنگام خرید اشتراک وارد شده، بانک مدیرانی تشکیل داده باشند، بنا بر احکام قانونی برشمرده هر یک از پرسنل مخابرات یا اپراتورها یا خود شرکت‌های مخابراتی  واپراتورها یا پیمانکاران آنها کل بانک یا حتی بخشی از آن در اختیار شخص دیگری قرار گیرد، مقام قضایی با بررسی ادله می تواند جرم موضوع ماده 34  را مورد پیگرد قرار دهد.»

 مدیر دفتر فناوری‌های نوین مرکز پژوهش‌های مجلس شورای اسلامی تصریح کرد: «به نظر می‌رسد عمل اتفاق افتاده از این دست و ناشی از تخلف واحدهای زیر مجموعه اپراتورها نظیر دفاتر خدمات مشترکین یا حتی شرکت‌های طرف قرارداد بوده و چرا که این بانک، داده استراتژیک اپراتورها برای حفظ رقابت با سایر رقبایش است و منطقی نیست با رقم ناچیزی آن را در اختیار غیر قراردهد.»

تخلف انتشار اطلاعات مشترکین، ناشی از واحدهای زیرمجموعه اپراتورها بوده است
مدیر دفتر فناوری‌های نوین مرکز پژوهش‌های مجلس شورای اسلامی گفت: «با توجه به اینکه مواردی ذکر شده که کل بانک اطلاعات مشترکین افشا شده است، به نظر می رسد ناشی از تخلف واحدهای زیرمجموعه اپراتورها است.»

بنابراین اگر این اتفاق به گونه‌ای که شرح دادید رخ داده باشد، شرکت مخابرات و یا اپراتور مرتبط جرمی را مرتکب نشده است؟
باقری‌اصل در این خصوص، گفت: «یکی از ابداعات قانون جرایم رایانه‌ای ماده 19 و20 برای مسئولیت کیفری اشخاص حقوقی است. بنابر ماده 19 "چنانچه جرایم رایانه‌ای به نام شخص حقوقی و در راستای منافع آن ارتکاب یابد، شخص حقوقی دارای مسئولیت کیفری خواهد بود" از جمله عدم نظارت شخص حقوقی بر کارمندان. بنابراین همانطور که مدیران شرکت مخابرات اذعان داشته‌اند، اگر بحث فروش اطلاعات نبوده باشد به واسطه اینکه جرم اتفاق افتاده به ضرر این شرکت بوده، بنابراین  مسئولیت کیفری بر شرکت مخابرات یا اپراتورها مترتب نیست.»
 
تخلف اپراتور در عدم اعمال تدابیر امنیتی برای حفظ اطلاعات مشترکین
مدیر دفتر فناوری‌های نوین مرکز پژوهش‌های مجلس شورای اسلامی توضیح داد: «اما اگر غیر از این باشد که مشمول حکم ماده 20 قانون جرایم رایانه‌ای است، اگر چه بر اساس مفاد پروانه اپراتوری عدم اعمال تدابیر امنیتی برای حفظ داده‌های مشترکین، می‌تواند تخلف اپراتور  محسوب شده و از سوی نهاد ذیربط بررسی شود و اگر در پروانه این بند نباشد که نقص پروانه خواهد بود.»

منبع: فارس