مقالات رایانش ابری

مسائل حقوقی مرتبط با هویت در محیط های مجازی

در رابطه با موضوع هویت ، بطور مبسوط توضیحات کافی در بخش مربوط داده شد و نیازی به تکرار آنها نیست . لیکن در رابطه با موارد برشمرده در ذیل توضیحات کافی جهت رفع ابهامات باقی مانده داده می شود .

1400/2/9 پنجشنبه

مسائل حقوقی مرتبط با هویت در محیط های مجازی

اهمیت هویت کاربران در جرایم رایانه ای

هویت کاربران در جرایم رایانه ای اهمیت حیاتی دارد . زیرا جرم به هویت منتسب میشود و هویت است که متهم ارتکاب آن می شود و دادگاه برای تبرئه یا محکومیت آن رسیدگی کیفری را آغاز می کند . بنابراین ، چنانچه هویت مرتکب جرم رایانه ای مشخص نباشد ، عملا فرآیند رسیدگی شکل نمی گیرد یا اگر بگیرد ، به صورت معلق و مشروط به آشکار شدن هویت متهم ادامه می یابد و ضابطان دادگستری مکلف می شوند هرچه سریع تر نسبت به کشف هویت وی اقدام و ادله مربوط را گردآوری کنند .
اهمیت حیاتی احراز هویت در جرایم رایانه ای در جلوگیری از تفتيشها و توقیف های ناروای دادهها و سامانه های رایانه ای متعلق به دیگران تجلی می یابد . چنانچه هویت مرتکب جرم ناشناس بماند ، مجریان قانون به ناچار سامانه ها و داده های بسیاری را برای کشف هویت وی تفتیش و بازرسی می کنند که همین امر بر احتمال نقض حریم داده ها و ارتباطات الکترونیکی اشخاص بی گناه می افزاید . لیکن چنانچه هرچه زودتر هویت مرتکب شناسایی گردد ، مجریان قانون سراغ آن دسته از داده ها و یا سامانه هایی خواهند رفت که به وی تعلق داشته یا به وی مربوط می شوند و از مراجعه به داده ها و یا سامانه های دیگران خودداری می کنند .
در همین رابطه ، قانون جرایم رایانه ای در بخش دوم خود با عنوان آیین دادرسی ، فصلی را به جمع آوری ادله الکترونیکی اختصاص داده که مبحث یکم آن راجع به نگهداری داده های ترافیک و اطلاعات کاربران از سوی ارائه دهندگان خدمات میزبانی و دسترسی است . با ملاحظه مفهوم این داده ها که در تبصره های یکم و دوم ماده ۳۲ آمده اند ، محرز می شود که هدف اصلی قانونگذار محرز نگه داشتن هویت کاربران به منظور کشف جرایم احتمالی ارتکابی از سوی آنها در آینده است . در این مواد آمده است :
ماده ۳۲- ارائه دهندگان خدمات دسترسی موظفند داده های ترافیک را حداقل تا شش ماه پس از ایجاد و اطلاعات کاربران را حداقل تا شش ماه پس از خاتمه اشتراک نگهداری کنند .
تبصره ۱- داده ترافیک هرگونه داده ای است که سامانه های رایانه ای در زنجیره ارتباطات رایانه ای و مخابراتی تولید می کنند تا امکان ردیابی آنها از مبدا تا مقصد وجود داشته باشد . این داده ها شامل اطلاعاتی از قبیل مبدأ ، مسیر ، تاریخ ، زمان ، مدت و حجم ارتباط و نوع خدمات مربوطه می شود .
تبصره ۲- اطلاعات کاربر هرگونه اطلاعات راجع به کاربر خدمات دسترسی از قبیل نوع خدمات ، امکانات فنی مورد استفاده و مدت زمان آن ، هویت ، آدرس جغرافیایی یا پستی یا پروتکل اینترنتی ( IP ) ، شماره تلفن و سایر مشخصات فردی اوست .
ماده ۳۳ - ارائه دهندگان خدمات میزبانی داخلی موظفند اطلاعات کاربران خود را حداقل تا شش ماه پس از خاتمه اشتراک و محتوای ذخیره شده و داده ترافیک حاصل از تغییرات ایجاد شده را حداقل تا پانزده روز نگهداری کنند . علاوه بر این ، قانونگذار در ماده ۴۹ مقرر داشته باید اطلاعاتی گردآوری و مستندسازی شود که به
۱۵۰ استانداردهای فنی و ابعاد حقوقی رایانش ابری در ایران 9 اعتبار و انکارناپذیری ادله الکترونیکی کمک می کند . منظور از انکارناپذیری چیزی جز محرز بودن هویت شخص منسوب به داده ها نیست که این حکم به روشنی جایگاه هویت الکترونیکی را در استنادپذیری ادله به منظور حفظ صحت و تمامیت ، اعتبار و انکارناپذیری ادله الکترونیکی جمع آوری شده ، لازم است مطابق آئین نامه مربوط از آنها نگهداری و مراقبت به عمل آید .
همین موضوع در ماده ۵۰ این قانون در خصوص استنادپذیری ادله الکترونیکی ارائه شده از سوی اشخاصی به جز مجریان قانون نیز تصریح شده است :
ماده ۵۰ - چنانچه داده های رایانه ای توسط طرف دعوا یا شخص ثالثی که از دعوا آگاهی نداشته ایجاد یا پردازش یا ذخیره یا منتقل شده باشد و سامانه رایانه ای با مخابراتی مربوط به نحوی درست عمل کند که به صحت و تمامیت ، اعتبار و انکارناپذیری داده ها خدشه وارد نشده باشد ، قابل استناد خواهد بود .

امکان سوءاستفاده کاربران از ماشین های مجازی

هر مجرمی می تواند شخصأ مرتکب جرم مورد نظر خویش شود یا اینکه برای ارتکاب آن چیزی را ابزار یا وسیله خویش قرار دهد . برای مثال ، ممکن است حیوانی را برای سرقت تربیت کند یا کودک نابالغی را که از لحاظ قانونی مسئولیت کیفری ندارد ، برای تحقق نیات شوم خویش بگمارد . به چنین اشخاصی گفته می شود . یعنی آنهایی که با تحقق بخشیدن اراده خویش در دیگر چیزها ، مرتکب جرم می شوند . اشیاء نیز از این قاعده بیرون نیستند و چنانچه برای تحقق نیات مجرمانه بکار گرفته شوند ، شخصی که آگاهانه آنها را بکار می گیرد ، سزاوار کیفر خواهد بود .
در دنیای سایبر نیز همین قاعده جاری است . چنانچه کاربری برای ارتکاب هر یک از جرایم رایانه ای ماشین های به اصطلاح مجازی بسازد ، همان مباشر معنوی خواهد بود و به کیفر جرمی محکوم خواهد شد که ماشین مجازی به جای وی مرتکب شده است . این موضوع از باب قاعدة سببیت نیز قابل طرح و تحلیل است . در اینجا اصطلاحا سبب اقوى از مباشر مرتکب جرم می شود . به بیان دیگر ، درست است که یک ماشین مجازی داده های دیگری را جعل می کند یا از بین می برد ، اما فاعل آن مجرم شناخته و کیفر می شود .
با این حال ، نکته اساسی اینست که مشخص شود ماشین های مجازی را چه کسی یا کسانی طراحی ، ساخته و اجرا کرده اند تا بر پایه آن احکام مربوط به مباشرت ، شراکت و یا معاونت در جرم بر آنها تحمیل شود . پیش نیاز ورود به این عرصه نیز امکان احراز هویت چنین اشخاصی است که اهمیت دوچندان هویت الکترونیکی آشکار می شود . این موضوع بویژه از آن جهت اهمیت دارد که ممکن است ماشین مجازی برای مدت زمان بسیار کوتاهی پدید آید و رفتار مجرمانه رایانه ای مورد نظر طراحان خود را مرتکب شود و سپس از بین برود . در چنین حالتی ، باید داده های رخدادنگار (Log Files) مربوط به کارکردهای رایانه ای کاربران به دقت و برای مدت زمان مطلوبی ذخیره شود تا در صورت رخداد چنین رویدادهای زیان باری امکان مراجعه به آنها و شناسایی کنشگران آنها فراهم باشد .

لزوم ثبت هویت در محیط مجازی سازی و مدیریت چرخه حیات ماشین های مجازی

همانطور که در بالا و همچنین سایر بخش ها مشاهده شد ، ثبت هویت از سوی فعالان گوناگون این عرصه الزامی انگاشته شده است . برای مثال ، قانون جرایم رایانه ای در مواد ۳۲ و ۳۳ خود ارائه دهندگان خدمات دسترسی و میزبانی را مکلف کرده داده های ترافیک و اطلاعات کاربران را برای شش ماه نگهداری کنند . این حکم عام الشمول است و همه کارکردهای رایانه ای ، از جمله چرخه حیات ماشین های مجازی را در بر می گیرد .
علاوه بر این ، کاربران نیز به شیوه ها و شگردهای مختلف قانونی ناچارند هویت خود را در محیط قابل پردازش رایانه ای آشکار و اعتبار آن را اثبات کنند تا بتوانند از امتیازات قانونی برای استیفای حقوق مشروع خویش بهره مند شوند که در بالا به ماده ۵۰ قانون جرایم رایانه ای اشاره شد .
احکام مندرج در قانون تجارت الکترونیکی نیز بخش دیگری از تدابیر قانونگذار برای آشکار کردن هرچه بیشتر هویت الکترونیکی اشخاص به شمار می آید . در جایی که اعتبار اسناد الکترونیکی به بکارگیری امضای الکترونیکی منوط شده است ، جایگاه تعیین کننده هویت الکترونیکی را نشان میدهد . بدیهی است امضای الکترونیکی به هویت های نامعلوم و گمنام تعلق نمی گیرند و چنانچه کاربری بخواهد از امتیاز رسمی بودن اسناد الکترونیکی خویش بهره مند شود ، می بایست امضاهای الکترونیکی عادی یا مطمئن را بکار گیرد .
با این حال ، اذعان می شود که چنانچه کاربران هویت گمنام یا پنهانی در تراکنشهای الکترونیکی شان داشته باشند ، با هیچ ضمانت اجرای قانونی یا مقرراتی روبرو نمی شوند . یک راهکار درست و اساسی می تواند الزامی نمودن بکارگیری هویت الکترونیکی واقعی و قابل ارزیابی و اعتبارسنجی از سوی همه کاربران باشد و چنانچه می خواهند با بکارگیری شیوه هایی مانند رمزنگاری هویت و یا کاربری شان را پنهان سازند ، باید مراجع صلاحيت دار قانونی بتوانند در صورت لزوم هویت واقعی آنها را بدون چالش ناروایی احراز کنند .
به نظر می‌رسد مرجع مقرراتگذار ارتباطات و فناوری اطلاعات می تواند با پشتوانه اختیار صلاحدیدی که از قانونگذار دریافت کرده ، نسبت به ساماندهی این حوزه اقدام کند . کمیسیون تنظیم مقررات ارتباطات بر پایه اختیاری که به موجب قانون وظایف و اختیارات وزارت ارتباطات و فناوری اطلاعات ، مصوب در خصوص تنظیم مقررات ارتباطی کشور دریافت کرده ( بند دماده ۵ ) ، می تواند ارائه دهندگان خدمات ارتباطی و فناوری اطلاعات را موظف کند از ارائه خدمات به آن دسته از کاربرانی که هویت گمنام یا پنهان یا نامعتبر دارند ، خودداری کنند و در صورت مشاهده چنین مواردی ، با ضمانت اجرای مقرراتی روبرو شوند . تجربه چنین رویکردی در سیم کارتهای ارتباطی همراه صورت گرفته و از زمانی که سازمان تنظیم مقررات و ارتباطات رادیویی به طور جدی موضوع را پیگیری و اپراتورهای ارتباطات سیار را ملزم به رعایت مقررات مربوط کرده ، میزان سوءاستفاده از این ابزارها به ۱۳۸۲ 9 طور قابل ملاحظه ای کاهش یافته است .