بهدف توفير الحماية القانونية لمستخدمي الحاسوب والشبكة المعلوماتية وما هو متصل بهما من خدمات وآليات، بدأ مشروع قانون جرائم المعلوماتية العراقي وهو مطروح اليوم بقوة خصوصاً بعد وصوله لمرحلة القراءة الثانية في البرلمان العراقي. بداية تجب الإشارة بشكل عام إلى أهمية تشريع قانون مختص بأجهزة الحاسوب وخدماته وملحقاته في العراق نتيجة للمخاطر الجمة التي قد تنتج عن غياب الغطاء القانوني لهذا النوع من الجرائم سواء على مستوى الأفراد أو المؤسسات؛ فالدخول غير المشروع إلى جهاز معين قد يستخدم في الابتزاز أو السرقة أو التهديد أو تعطيل المصالح وغيرها الكثير من الأضرار التي ذكرتُ بعضها كدعوة لتفهم خطورة الموضوع خصوصاً ممن أشار إلى أنه مع إلغاء القانون جملة وتفصيلاً في بعض المقابلات التلفزيونية مؤخرا [1].
برغم أهمية القانون، فإن قبوله على الصيغة الحالية سيشكل نكسة على جميع الصعد للحريات في العراق. بل إن قبوله على صيغته الحالية هوأيضا غير كفيل بتوفير الحماية المطلوبة والصحيحة لحماية المواطن من الجرائم التقنية. أما مسألة الحريات فقد عبر عنها عدد كبير من النشطاء لعل أبرزهم أعضاء الشبكة العراقية للإعلام المجتمعي [3] [4] والصحفيون وحتى المؤسسات الدولية [2] المهتمة بالجانب التشريعي وصيانة الحريات العامة المكفولة في المواثيق الدولية.
في لقاء سريع ضمن أجنحة البرلمان مع الأستاذ علي شلاه أحد أعضاء لجنة الثقافة والإعلام البرلمانية، أوضح فيه أنهم طلبوا التريث بتشريع القانون وطلب مناقشة الأمر مع النشطاء والقانونيين والمدونين ومصممي صفحات الانترنت[1] ، وهذه رسالة مطمئنة قليلاً فيما لو حرص البرلمان على التحرك سريعاً نحو معالجة المشاكل المرتبطة بصياغة القانون ككل. مع هذا يقلقني كثيراً عدم وجود تحرك حقيقي للاتصال بخبراء تقنيين ومختصين في أمن المعلومات من أجل فهم ما يجب إقرار القوانين بحقه.
مشاكل القانون التي تتعلق بالحريات مهمة ولكن ما يريحني هو وجود العدد الكبير من المدافعيين عنها للفت نظر السادة المشرعين. وعليه أنا أريد أن أطرح أيضا موضوع الصياغة الصحيحة للقوانين من أجل توفير حماية حقيقية للمواطن وإلا فقد القانون غايته بشكل أو بآخر. ما أقصده هو الفهم التقني لما يمكن أن يسبب الضرر ومن ثم توفير غطاء قانوني مناسب مما يستوجب الاستعانة كثيراً بأصحاب الاختصاص. في بحثي عن القانون وجدتُ تعديلات بسيطة للغاية ولكن مهمة ما بين النسخة النسخة الأولى [5]، والثانية [6] ، وهو شيء مؤسف أن يمر الزمن دون معالجة وتصحيح حقيقيين لبنود ومواد القانون. الأمر الآخر هو مسألة تخصص القانون، فنحن نأمل أن يكون حال القانون من حال القوانين في دول سبقتنا بالتشريع كما في بريطانيا[8] وفرنسا [9] وأمريكا [10] على سبيل المثال من حيث التخصص في ما له علاقة بالحاسوب وملحقاته التقنية لننتهي منه بعيدا عن إقحام جرائم أمن الدولة والمخدرات والتجارة بالبشر معه.
إذن، فيما لو تركتُ مسألة العقوبات المشددة وعدم وضوح الصياغة نتيجة استخدام كلمات فضفاضة إلى غيري ممن ناقش او سيناقش هذه المسائل ، يبقى لي كمختص أن أتناول عدم تخصص القانون من جهة وسوء الصياغة فيما يتعلق بالجانب التقني للموضوع حصراً.
سوء الصياغة طاغية على فقرات القانون وضعف في فهم الجانب التقني
“قانون سيء الصياغة وعقوبات غاشمة تخرق الحق” كان العنوان الثانوي لتقرير الهيومن رايتس ووتش 2012 [2] عن قانون جرائم المعلوماتية العراقي وأجد نفسي متفقاً كثيراً مع هذا الطرح على أمل إحداث التغيير المناسب للقانون قبل التصويت عليه أو قراءته بالبرلمان مرة أخرى. بعد الإشارة لهذا التقرير والمنفذ من قبل محامين في مكتب Dorsey & Whitney LLPسأحاول ترك الجانب القانوني لهم وأبحث وأتساءل باسم المختصين بأمن المعلومات و من سيتطرق لتدريس هذا القانون في الجامعات التقنية فيما لو أُقر مستقبلاُ.
بداية ، استوقفني تكرار جملة “كل من انشأ أو أدار موقعاً على شبكة المعلومات بقصد…” في المادة (4) والمادة (5) وغيرهم. إن كاتب القانون يفترض أن الجريمة تقع بحالة وجود موقع على شبكة المعلومات وهذا ببساطة قد يستثني الوسائل التقنية الأخرى للقيام بنفس الجرم عن طريق إرسال بيانات بطرق مختلفة أو حصرها على جهاز معين دون ربطه بالشبكة. في الوقت الذي صيغ فيه هذا القانون كما هو واضح دون الاستعانة الكافية بالخبراء التقنيين، نجد كيف أن القانون البريطاني Computer Misuse Act 1990 [8] على سبيل المثال يحرص على الدقة بإعادة وصف ما يمكن أن يؤدي إلى الجريمة مع التعميم والابتعاد عن أي تحديد، بالتالي فقانونهم وبصياغته الحالية وفي أكثر من فقرة يشمل الحاسوب ومتعلقاتها أو ما يُشار إليه بالـPeripherals – وهي ما قد يرتبط بجهاز الحاسوب ولكنها ليست جزأ منه كالطابعات- بل وهناك أيضا ما هو متعلق بالشبكة المعلوماتية كالـRouters والـSwitches وغيرها الكثير. ولو ظهرت تصنيفات جديدة لشملها القانون نتيجة التعميم المدروس في المصطلحات المستخدمة.
المادة (14) ثالثاً (د) تُعاقب من “استخدم أو تسبب دون تصريح في استخدام الحاسوب العائد للغير بطريقة مباشرة أو غير مباشرة”. وهذا معناه أن في حالة وجود هجوم الكتروني حيث تم استخدام كمبيوتري الشخصي كحلقة وصل أو ما يعرف بالـProxy للمساعدة بشن الهجوم على طرف ثالث دون علمي وإدراكي لما يجري فالقانون أعلاه سيعتبرني مشتركا بالجرم! ، علما أن هذا النوع من الخروقات منتشر جداً وعليه تجب إضافة كلمة “مُتعمّداً” إلى النص وفي المكان المناسب.
المادة (15) أولاً (ب) تجرم كل من “تنصت أو راقب البيانات والمعلومات المخزنة أو المتبادلة في نظم المعلومات”. والفقرة لا تستثني من له تصريح، علماً أن هذه العملية تكون طبيعية لكل مدراء الأنظمة من أجل دراسة كفاءة النظام ومراقبته كجزء من عملهم في الشركة وعلى حسب الحاجة. سوء صياغة هذه الفقرة سيؤثر أيضاً على عمل المختصين بأمن المعلومات حيث يقوم عملهم على محاولة مراقبة واختراق النظم ولكن بتصريح مسبق من أجل تحديد مراكز الضعف ومن ثم إغلاق الثغرات.
المادة (6) ثالثا تنص على جريمة “نشر أو إذاعة وقائع كاذبة أو مظللة بقصد إضعاف الثقة بالنظام المالي الالكتروني أو الأوراق التجارية والمالية الالكترونية وما في حكمها …” جنبا إلى جنب وبنفس العقوبة مع المادة “اولا” من المادة نفسها والتي تنص على “اثارة العصيان المسلح أو التهديد بذلك أو الترويج له…”. الإشكال الأول هنا هو تجريم من ينشر المعلومة التي قد تكون خاطئة لا من ينشرها وهو يعرف أنها خاطئة، أما القول بقصد إضعاف الثقة بالنظام المالي الالكتروني جنبا إلى جنب مع إثارة العصيان المسلح فهو موضوع خطير جداً بل ولا يجب أن يجرم بأي شكل من الأشكال لكونه حقيقة واقعة وهو أن التعامل الالكتروني به الكثير من المخاطر ومن حق أي مواطن غير مقتنع به أن يكتب في أضراره لتثقيف المستخدمين. وعليه فإن من حق أي شخص أن يرفض التعامل الالكتروني جملة وتفصيلاً أو التثقيف ضده. هذا لا يعني الدعوة ضد التعاملات الالكترونية عامة ولكن من الواجب صيانة حق التعبير والاستخدام. إن إقرار مواد بهذه الطريقة سيكون سبباً بتهديد إبداع العقل البشري لا حمايته كما أشارت الأسباب الموجبة للقانون. أنا لا أعتقد أن من صاغ القانون مدرك لحقيقة أن نقد الأنظمة المالية الالكترونية من الناحية العملية يجري على قدم وساق في كل المواقع المختصة بأمن المعلومات، وأن صياغة القانون بهذا الشكل سيكون صدمة مفزعة للكثيريين وسيكون مصيره إما الإهمال أو التصحيح مستقبلاً، وعليه فإن تطبيقه صعب جداً هذا غير أن عقوبته مشابهة لمن أثار العصيان المسلح!
عدم الاختصاص
في الوقت الذي يحدد قسم الأسباب الموجبة لقانون جرائم المعلوماتية العراقي بأنه يهدف لتوفير “الحماية القانونية وإيجاد نظام عقابي لمرتكبي جرائم الحاسوب وشبكة المعلومات التي رافقت نشوء ونمو وتطور نظم الحاسوب والشبكات …” نجد أن القانون غير مختص بل إنه مطول ليدمج جرائم الحاسوب الخاصة بجرائم أخرى هي أصلا مجَرَمة أو يجب أن تجرم ضمن قوانين أخرى بعيداً عن ما هو مرتبط بالتقنية الحديثة حصراً لأسباب أبرزها درجة العقوبة المطلوبة. على سبيل المثال فالمادة (3) أولاً (أ) تذكر “المساس باستقلال البلاد ووحدتها وسلامتها ومصالحها الاقتصادية أو السياسية أو العسكرية أو الأمنية العليا” ، ولا نعلم سبب إدراج هذا النص وما يشابهه أصلا خصوصاً مع إمكانية وجود قوانين مختصة بالمصلحة العامة وأمن الدولة الخارجي. أريد أن اشير هنا إلى قانون العقوبات رقم 111 لسنة 1969 [7] ، حيث أن الباب الأول من الكتاب الثاني مخصص للجرائم الماسة بأمن الدولة الخارجي ويحدد عقوبة لمن يمس متعمدا بـ “استقلال البلاد أو وحدتها أو سلامة أراضيها وكان الفعل من شانه أن يؤدي إلى ذلك”. بالنتيجة لا يوجد فرق بين أن يقوم شخص ما باستهداف أمن البلد عن طريق تواصل ونقل معلومات معينة سواء كان بالبريد العادي أو الانترنت أو حتى الحمام الزاجل!، فالمبدأ واحد. ومن جهة أخرى فاستهداف أمن البلد قد يكون بطرق كثيرة غير محصورة بنقل المعلومات على اختلاف وسيلتها، بالتالي فتجريم من هذا القبيل يجب أن يكون عامّاً وغير محدد بوسيلة معينة وهذا بكل تأكيد ليس له علاقة بقانون مختص بأجهزة الحاسوب والشبكات. بالنتيجة، حتى وإن وجد سبب لربط الاثنين، فالأصلح هو إنشاء قانون أكثر اختصاصا بجرائم متعلقة باستخدام الحاسوب ومتعلقاته حصراً كما هو الأمر في أكثر دول العالم الأخرى البارزة بهذا المجال.
المثال الآخر هو المادة (10) ، حيث يُعاقب كل من “أنشأ او أدار أو روج أو نشر موقعاً على شبكة المعلومات يتيح أو يسهل عمليات غسل الاموال أو قبل عمليات مالية غير مشروعة كالحوالات وعمليات المتاجرة الوهمية أو نقل أو تبادل أو استخدم أو اكتسب أو حاز الأموال بالوسائل الالكترونية خلافاً للقانون أو أخفى مصادرها مع علمه بأنها متحصلة من مصادر غير مشروعة”. وهنا مرة أخرى يربط جرم عام بمواقع الانترنت، فهل هناك فرق بين جريمة غسيل الاموال باستخدام موقع انترنت؟ وهل نحتاج لقانون جديد لكل وسيلة من وسائل غسيل الاموال؟
الأمر سيان مع المادة (11) بخصوص تهديد الأشخاص، والمادة (5) أولاً الخاصة بالاتجار بالبشر والمادة (5) ثانياً الخاصة بالاتجار بالمخدرات وهلم جراً. وللمقارنة ، فالقوانين الخاصة بالحاسوب والشبكات في كل من بريطانيا وفرنسا وأمريكا على سبيل المثال نجد أنها تركز على الفعل الجديد والمرتبط بالتكنولوجيا كاعتراض البيانات والدخول غير المصرح به لجهاز معين أو تعديل البيانات حصراً دون التطرق لجرائم تم تغطيتها بقوانين أخرى غير مرتبطة بطبيعتها بالحاسوب والشبكات الدولية؛ فجريمة دخول كمبيوتر عن بعد دون تصريح مسبق غير ممكنة دون وجود الحاسوب والشبكة بينما جريمة ترويج المخدرات ممكنة بطرق أخرى ووجودها غير مرتبط بالحاسوب والشبكة فقط.
الخلاصة
المشكلة مع مشروع قانون جرائم المعلوماتية العراقي يمكن تقسيمها إلى ثلاثة جوانب، الأول يتعلق بالحريات العامة وشدة العقوبات وهي أمور يركز عليها الإعلام العراقي المحلي والنشطاء المحليين والدوليين ولربما يكون الضغط السياسي فعالاً لتغيير القانون وصقله من هذه الناحية رغم أن هذا لم يتحقق بعد. الجانب الثاني قمتُ بمناقشته على أنه مشاكل تتعلق بالصياغة الحالية للنص مع ذكر بعض الأمثلة وكثير منها جانب تقني بل وقانوني لغوي في بعض الأحيان وهذا يتطلب مراجعة قانونية مع الاستعانة بخبراء في أمن المعلومات. أما الجانب الثالث فيتعلق بعدم تخصصية القانون فيما لو قارناه مع ما هو موجود في دول سبقتنا بالتشريع وعُرفت بقوة القانون فيها. هذه أمور أجد من الأهمية أن تتم مراجعتها والتاكيد عليها في الإعلام العراقي لأن هذا القانون سيؤثر على كثير من جوانب الحياة الحالية والقادمة ويمس المواطن العراقي إما بحمايته قانونياً أو ردعه عن الاسخدام السيء للتقنية. المقالة هذه لم تستعرض كل المشاكل الموجودة في القانون لكنها استعرضت أنواع المشاكل مع أمثلة للتوضيح ولفت الانتباه فقط.
المصادر المستخدمة
[1] تقرير ماجد عبد القادر ، قناة العربية (2012). مشروع قانون عراقي لجرائم الانترنت يثير الجدل. متوفر من http://www.alarabiya.net/articles/2012/07/15/226559.html تاريخ اخر مراجعة 2772012
[2] هيومن رايتس ووتش (2012) تقرير قانون جرائم المعلوماتية العراقي. متوفر من http://www.hrw.org/node/108737 تاريخ اخر مراجعة 2772012
[3] تحسين الزركاني (2012). بعد قراءته الاولى في مجلس النواب حراك واسع لتعديله ، مدونون وناشطون يتخوفون من قانون جرائم المعلوماتية. متوفر من http://www.hamzoz.com/archives/1276 تاريخ اخر مراجعة 2772012
[4] الشبكة العراقية للأعلام المجتمعي (INSM) https://www.facebook.com/IN4SM تاريخ اخر مراجعة 2772012
[5] مدونة القلم العراقي الحر (2012). قانون جرائم المعلوماتية العراقي نسخة 2010. متوفر من http://talzrkiny.blogspot.co.uk/2012/02/blog-post_4108.html تاريخ اخر مراجعة 2772012
[6] نص مشروع قانون جرائم المعلوماتية العراقي في نسخته الثانية. متوفر من http://blog.creativeitp.com/category/articles-in-arabic/ تاريخ اخر مراجعة 2772012
[7] قاعدة التشريعات العراقية (الاصدار 2011). برنامج الأمم المتحدة الانمائي. العراق. متوفر من http://www.iraq-ild.org تاريخ اخر مراجعة 2772012
Computer Misuse Act 1990 [8] متوفر من http://www.legislation.gov.uk/ukpga/1990/18/contents?view=plain تاريخ اخر مراجعة 2772012
[9] جرائم الحاسوب والعلومات الفرنسي متوفر من http://www.cybercrimelaw.net/France.html تاريخ اخر مراجعة 2772012
[10] جرائم الحاسوب والعلومات الامريكي متوفر من http://www.cybercrimelaw.net/US.html تاريخ اخر مراجعة 2772012
* مختص في أمن المعلومات