رود
یا نه؟
قمی:
به نظر من لزوماً نه!
پرویزی: چرا، ممکن است الان
نباشد، ولی فردا ممکن است هر کسی استفاده غیرمجاز از آن بکند...
قمی:
به نظر من ممکن نیست ابزاری پیدا کنیم که "صرفاً" برای هک و
ارتکاب جرم باشد، عموماً استفاده امنیتی و مدیریت امنیت هم می
شود...
پرویزی:
مثلا ابزاری هست که در تماس Dial-up شما با شرکت ISP فقط و فقط
برای شنود به کار می
رود،
آن هم شنود دادهها
قمی:
اما شرکتهای
مخابراتی همین ابزار را در کنار تجهیزات خود میفروشند
برای Diagnostics
پرویزی: ببینید مانند اسلحه
است که داشتن آن در کشور ما جرم است، ولی قاضی و پلیس و . . .
قانوناً آن را دارند.
رشتی: اگر یک شرکت
خصوصی از این ابزارها به منظور بررسی وضعیت یک شبکه استفاده
کندتا بتواند نقایص آن را بیابد وگزارش کند، الان مشمول انجام
جرم است در این قانون!
پرویزی:
معلوم است که بخش
هایی
به وجود میآیند
که کار بررسی و مطالعه و تأمین امنیت شبکهها
را انجام خواهند داد، و قاعدتاً باید قانون دیگری باشد که در
مورد وضعیت آنها نظر بدهد، این قانون فعلی قرار نیست که در همه
مورد نظر بدهد و تکلیفشان را معلوم کند. مثل کسی که به دلایل
مشخصی میتواند
تقاضای مجوز داشتن اسلحه بکند...
قمی:
باید محیط وشرایط کلی به گونه
ای
باشد که برای قانون مساعد باشد، مثلاً مدتی پیش دیدم که در
امریکا برعلیه "مهندسی معکوس" (Reverse Engineering) نرمافزارها
در حال قانون گذاری هستند، در حالی که تا مدتی پیش خودشان از
آن درآمد کسب میکردند
ولی حالا که چین وارد این عرصه شده و آنها درآمدشان از این
بابت کاهش یافته، علیه آن قانون وضع میکنند
بنابراین قانون باید ناظر برسود و منافع ملی باشد، مثال دیگر،
مدتی پیش نویسنده ویروس "سارس" در آلمان دستگیر شد، جالب است
که نوعی غرور در این کشور از این بابت به وجود آمد! که قابل
توجه است و کمتر جایی به این موضوع پرداخته شد، نکته پنهان در
این قضیه، انتقال سرمایه عظیمی در زمینه نرمافزار
از آمریکا به کشور چک است، چون بیشترین منبع هک در دنیا کشور
چک است... منظورم این است که تجربه آنها نشان میدهد
که اجازه دادند که سیستم آنها به سطحی از بلوغ برسد، (که البته
ممکن است کمی هم بینظمی در آن وجود داشته باشد) ولی در مجموع
نبودن قید و بندها باعث سود عمومی برای کشور میشود،
با رسیدن به بلوغ، بحث قانون و محدودیتها
به وجود میآید.
به نظر من این قانون در شرایط فعلی برای کشورما و با شکل
فعلیاش شاید زود باشد...
پرویزی:
اشکالی که در چنین نظری وجود دارد، بی
قانونی
و هرج و مرجی است که به وجود میآید
و قابل کنترل نیست، در حالی که از ابتدا میتوان
همه مقدمات و شرایط و نیازها و مشکلات را دید، مضافاً این که
این تکنولوژی هم بسیار سریع و درحال تغییرات و اگر بخواهیم صبر
کنیم تا در آینده برای آن بستر سازی و قانونگذاری کنیم، دیگر
زمان را از دست خواهیم داد.
قمی:
البته میتوان نوعی قانون مینیمالیستی داشت که نیاز امروز را
برطرف کند، و نه قانون حداکثری و گسترده
پرویزی:
اتفاقاً این قانون کاملاً حداقلی است و خیلی مباحث در آن دیده
نشده، مثلاً بحث اسپم و...
دولتشاهی: اگر می
بینید
که این قانون کمی بیشتر و جلوتر از وضع و شرایط فعلی ما را هدف
قرار داده است، به این خاطر است که اصولاً مطابق قانون اساسی،
یکی ازوظایف قوه قضاییه، "پیشگیری از جرم" است، و با توجه به
سرعتی که در وقوع و پیشرفت جرایم رایانهای
دیده میشود،
نمیتوانیم
هر سال قانون تازهای
را وضع کنیم، این سرعت ایجاب میکند
که ما پیشبینی
5 سال آینده را بکنیم، این به اقتضای ماهیت جرایم رایانهای
است.
اروج
زاده:
پیامد مهمی که قانون حداکثری و سختگیری میتواند
داشته باشد هم به نظر من قابل توجه است، فرض کنید که نتیجه یک
قانون، سختی و محدودیت زیاد در کار فعالان این بخش مثل ISPها و
شرکتهای
میزبان و... باشد، قطعاً این محدودیت باعث میشود
بخش زیادی از سرمایهگذاران
این حوزه خارج شوند، و چون اصولاً اینترنت و کلاً IT در
کشورمان توسط بخش خصوصی دنبال میشود
و توسعه پیدا میکند،
بعید نیست که به کلیت این حوزه مهم و مؤثر علمی و اقتصادی
کشورمان لطمه اساسی بخورد.
پرویزی:
البته در دنیا معمولاً شرکتی به نام ISP همه خدمات از قبیل
اینترنت و هاستینگ و ثبت دامنه و... را انجام می
دهد،
ولی ما اینجا آمدهایم
و به دلایل مختلف آن را تکهتکه
کردهایم!
نکته بعد این که مطابق مستندات و قوانین مختلف در دنیا، مطالعه
نشان میدهد
که مهمترین اصل ، "از بین بردن کردن خلاف در نطفه" است، که
بستر اصلی آن در "هاستینگ" است، یعنی از طریق آن میتوان
مشکلات مراحل بعدی در ISP و... را پیشگیری کرد؛ مثلاً شرکتی که
یک نام دامنه مسئلهدار
را ثبت میکند،
قطعاً از نام آن میتواند
بفهمد که هدف از سایت آن چه خواهد بود، آیا این شرکت هاستینگ
مسئولیتی نخواهد داشت؟ ما در این باره بحثهای
فراوانی داشتیم، مسئولیتی هم که برای هاست در قانون آمده، برای
مسائل اخلاقی و پورن است، نه برای مسائل سیاسی و توهین و امثال
اینها. حتی در این موارد هم طوری نیست که هاست موظف به قضاوت
باشد، بلکه فقط مصادیق بارز مانند عکسهای
پورنوگرافی و... مسئول است.
مولوی:
البته معمولاً به این ترتیب هم نیست که این موارد را بتوان به
راحتی پیدا کرد، یعنی این که چنین مصادیقی در همان صفحات اصلی
و اولیه قرار نیست که مدیر هاست بتواند به راحتی آن را پیدا
کند، بنابراین نمی
توان
همیشه آن را "مصداق بارز" دانست...
پرویزی:
قطعاً در آیین
نامه
اجرایی قانون، موضوع به تفصیل بررسی خواهد شد، یعنی اگر کسی
روی هاست شما مورد خلافی ببیند، (مثلاً توهین به خودش) در این
مورد با اعلام قانونی، آن مورد باید از روی هاست حذف شود (ونه
همة سایت) و اگر در طول زمان معینی، فرد مدعی نتواند از مجاری
قانونی اقدام کند، مسئله منتفی خواهد شد، همچنین در قانون شبکههای
اطلاعرسانی
(که الآن در دست کار و بررسی است) همه جزئیات و ضوابط و شبکهها
دقیقتر
مشخص میگردد.
این نکته
را هم نباید فراموش کرد که در تدوین این قانون، نمایندگان بخش
خصوصی هم حضور داشتهاند(رییس انجمن ISPها) و به اندازه کافی
تلاش برای حفظ حقوق بخش خصوصی کرده
اند.
قمی: نکته دیگر، حفظ
حریم خصوصی کاربران است، اگر قرار باشد همه اطلاعات ردوبدل شده
کاربران، ذخیره و بررسی گردد که مبادا در آینده جرمی اتفاق
بیفتد، این در واقع تجاوز به حریم خصوصی است...
پرویزی
: بله، ولی این برداشت ناشی از یک سوءتفاهم رایج است. ببینید،
"داده محتوا" و "داده ترافیک" تفاوتشان همین است، از نگاه ناظر
خارجی ، من در ساعت خاصی وارد دفتر مجله کامپیوتر و ارتباطات
می
شوم
و با آقای اروجزاده
یک ساعت صحبت میکنم،
این "داده ترافیک" است و در واقع سابقه کار، ولی این که محتوای
صحبت ما چیست Content است. ISP قرار نیست که محتوا را ثبت کند
و این که کاربر چه سایتهایی
را دیده و... بلکه قرار است نوع خدمات اصلی ثبت شود (پروتکلها
مثل ... , HTTP , Mail , FTP) و نحوه ارتباط (شامل مبدا ارتباط
که آدرس IP آن است) و مدت آن و هویت کاربری که تماس گرفته و
مبدا ارتباط (شماره کاربر) یعنی هویت تماس گیرنده باید برای
شما مشخص باشد و مسیر هم به این معنا که مثلاً شما از داخل یک
LAN وصل شدهاید
به یک ISP و از آنجا به یک ICP کشور، تا اینجا مسیر است.
بنابراین این طور نیست که همه سایتهایی
که دیده باید ثبت شود و... بلکه فقط "داده ترافیک" ثبت میشود،
این مفهوم هم دقیقاً مطابق با تعریف کنفرانسیون بینالمللی
جرایم سایبر بوداپست است.
اروج
زاده:
به این ترتیب در واقع کارت اینترنت با این سازوکار فعلی دیگر
نمیتواند
وجود داشته باشد...
پرویزی: بله.
قمی:
آنچه از "داده ترافیک" فهمیده می
شود
که باید توسط ISP لاگ گرفته و ثبت شود ظاهراً چیزی مانند
سیگنالینگ است در تلفن، بنابراین تصور این که همه فعالیت یک
کاربر ثبت شود و حجم عظیمی از اطلاعات باید توسط ISPها ذخیره
شود درست نیست.
پرویزی:
همین طور است. اینها ناشی از سوءتفاهم است. همان طور که گفتم
این پیش
نویس
همچنان در معرض دید و نظر کارشناسان است، همین طور در سایت
مخصوص همایش حقوق فناوری اطلاعات. همه صاحبنظران میتوانند
نظرات و انتقادهای خود را بر آن بنویسند.
منبع :
http://ccwmagazine.com/Issues/Issue24/vijhe/mizgerd.ASP
