چندی پیش قانون جرائم رایانه‌ای توسط رئیس‌جمهور ابلاغ شد. این قانون كه با پیچ‌و‌خم‌های زیاد و در مسیر نفس‌گیر بروكراسی ایران مدت 7 سال سرگردان بود، نقد انتقادات زیادی را چه پیش از تصویب و چه بعد از تصویب در پی داشت. به بهانه ابلاغ این قانون كه حالا برای خود دادسرای جدایی نیز دارد، با حسین نیازخانی، كارشناس رسمی قوه قضاییه در زمینه جرایم رایانه‌ای به گفت‌و‌گو نشسته‌ایم.

  بهتر است در ابتدا بیشتر با شما آشنا شویم.
حسین نیازخانی هستم. دارای مدرك مهندسی كامپیوتر (نرم‌افزار) و دارای مدارك بین‌المللی IT در زمینه‌های MCSE ,MCDBA ,MCSE ,MCITP  برای دوره‌های 2000 و2003 و 2008 شركت مایكروسافت و مدارك CCNA برای شركت CISCO  و مدرس این دوره‌ها نیز هستم. تقریبا از 12 سال پیش به صورت حرفه‌ای فعالیت خود را در  زمینه IT  شروع كردم. در سال 1383 بود كه قوه‌قضائیه برای اولین‌بار اقدام به برگزاری آزمونی برای كارشناسان حوزه كامپیوتر كرد. من در این آزمون شركت نموده و با نمره بالایی پذیرفته شدم. من جز اولین‌هایی بودم كه موفق به اخذ پروانه كارشناسی در زمینه كامپیوتر و جرایم كامپیوتری  شد.  در آن زمان بحثی در مركز امور مشاوران و كارشناسان قوه قضائیه مطرح شد مبنی بر این كه كارشناسان كامپیوتر از كارشناسان جرایم رایانه‌ای جدا ‌شوند.

در آن زمان تصمیم بر این شد كه قوه قضاییه با برگزاری آزمونی برای جرایم رایانه‌ای گروهی را به ‌عنوان كارشناس ویژه این جرایم انتخاب نماید. دو- سه سال بعد قوه قضاییه آزمونی دیگر برگزار كرد و من در آن شركت كردم.  برای تهران 11 نفر كارشناس انتخاب شد كه من جزء آن 11 نفر بودم. شرایط من نسبت به 10 نفر دیگر بهتر بود. چون به عنوان اولین كارشناس رسمی كامپیوتر و شركت‌كننده در این آزمون بودم و در آزمون قبلی مراحل گزینش را گذرانده بودم، البته دوباره این مراحل برای من نیز طی شد. بعد از آن باید پروانه صادر می‌شد، اما به‌ دلیل عدم شفافیت و اختلاف نظراتی كه در قوه قضائیه بود برخی مخالف بودند و معتقد بودند كه كارشناس كامپیوتر و كارشناس جرایم رایانه‌ای مثل هم هستند و هنوز هم این اختلاف نظر وجود دارد. ولی تنها كسی هستم كه هر دو مدرك كارشناسی را دارم، یعنی هم كارشناسی كامپیوتر و هم كارشناسی جرایم رایانه‌ای. البته امیدوارم كه این ابهام موجود هر چه سریع‌تر برطرف گردد. 

پس یعنی شما از سال 83 تاكنون به ‌عنوان كارشناس جرایم رایانه‌ای در پرونده‌ها با قوه قضائیه همكاری داشته‌اید؟ 
بله همینطور هست. 

در مورد مراكز قضایی رسیدگی به این نوع جرایم بفرمایید؟ 
قبلا ما دادسرای ویژه جرایم اینترنتی نداشتیم، جدیدا چند ماهی است كه تشكیل شده است. قبلا در مجتمع كاركنان دولت در میدان امام خمینی(ره) به این پرونده‌ها رسیدگی می‌شد. از طرفی دیگر در قسمت‌های مختلف جرایمی بود كه بی‌ارتباط با جرایم رایانه‌ای نبود.  برای مثال پرونده جرایم هرمی كه من كارشناس ویژه این نوع  پرونده هستم و چند سالی است كه روی این پرونده كار می‌كنم. خوب در ابتدا پرونده هرمی جزء جرایم سنتی و كلاسیك  محسوب می‌شد ولی بعدها وارد حیطه كامپیوتر شد و باتوجه به این كه در این نوع جرایم، كامپیوتر به عنوان ابزار جرم تلقی شد، یعنی همه كارها از طریق كامپیوتر انجام می‌شد. به همین دلیل  این نوع جرایم كه جلوه جدیدی از بزه‌كاری در كشور ماست به شدت در حال گسترش است. معمولا اكثر پرونده‌های  هرمی در تهران را من كارشناسی نموده‌ام. قبلا این مشكل بود كه پرونده این جرایم به شعبه‌ای می‌رفت كه قاضی آن به پرونده‌های دیگری مانند قتل و سرقت وغیره رسیدگی می‌كرد. 

حالا باید به پرونده‌ای در مورد جرایم رایانه‌ای رسیدگی كند، خوب این قابل قبول نبود. یعنی نه ارتباط من با قاضی یك ارتباط خوب و علمی بود و نه خروجی كار و حكم نهایی درست بود.  خوب ممكن بود حق كسی هم در این میان از بین برود، چون نمی‌شد ارتباطی با قاضی  برقرار كرد. به هر حال قاضی هم در حیطه تخصصی خود، یعنی حیطه حقوقی فعالیت می‌كرد، ولی من به ‌صورت علمی و فنی كار می‌كردم.  خوب من گزارش‌هایم را به این شكل آماده می‌كردم، كه مثلا 4 صفحه علمی و فنی می‌نوشتم، در نهایت 4 خط به ‌صورت عمومی و قابل درك برای قاضی می‌نوشتم، قاضی هم هنگام خواندن گزارش من فقط آن 4 خط انتهایی را می‌خواند. این برای ما سخت بود ولی چاره‌ای نبود، اگر قضات آموزش نبینند، ما همچنان با این مسئله روبرو خواهیم بود. 

بهتر است راجع‌ به جرایم رایانه‌ای صحبت كنیم كه اصلا جرم رایانه‌ای چیست؟ 
در جرایم رایانه‌ای با توجه گستردگی و وسعت آن در دنیا تعاریف مختلف ارایه شده است و پس از گذشت تقریبا نیم قرن هنوز یك تعریف استاندارد برای آن ارایه نشده است این نوع جرایم از مرز یك شهر و ایالت و حتی كشور و قاره هم فراتر رفته و می‌توانیم بگوییم كه جرایم كلاسیك و سنتی  در حال حاضر به سمت رایانه‌ای شدن پیش می‌روند. در كشورهای مختلف تعاریف متعددی در مورد این نوع جرایم وجود دارد.  به طور مثال قانونگذار فنلاند در تعریف این جریم این چنین تعریف می‌نماید كه جرمی است كه در برگیرنده سیستم‌ها و داده‌ها و یا منابع‌ نرم‌افزاری و سخت‌افزاری كه به عنوان هدف و یا ابزار و یا ركن جرم محسوب گردد و یا  مثلا آمریكا تعریفی كه از جرایم رایانه‌ای دارد این است كه هر اقدام غیرقانونی كه با یك رایانه و یا سیستم رایانه‌ای و یا با بكارگیری از آن مرتبط باشد.  كشورهای مختلف هم همین تعریف را با كمی تغییر پذیرفته‌اند و بیشتر به قوانین پرداخته‌اند.

پیشینه قانون جرایم رایانه‌ای هم در آمریكا بازمی‌گردد به سال 1976 كه قوانین جامع و كاملی را برای این حوزه درنظر گرفته‌اند. اما جرایم رایانه‌ای تفاوت‌های اساسی با جرایم سنتی دارد. اول اینكه در جرایم سنتی محل وقوع جرم مشخص است، مثلا سرقتی در بانك انجام می‌شود محل وقوعش مشخص است اما در جرایم رایانه‌ای اینطور نیست.  به ‌علت فرامرزی بودن، مكان مشخص نیست. مثلا شما اینجا پشت میز كامپیوتر خود نشسته‌اید و كامپیوتر دیگری را در كشوری دیگر هك می‌كنید. در كشورهای مختلف قوانین هر روز به‌روز می‌شود. چون تكنولوژی هر روز پیشرفت می‌كند. می‌خواهم بگویم جرایم رایانه‌ای مشخصه‌ای دارد كه در آینده نمی‌توانید دیگر آن‌ را از سایر جرایم تفكیك كنید. همانطور كه قبلا هم گفتم جرایم سنتی به سمت جرایم رایانه‌ای پیش می‌رود. این در همه جای دنیا اتفاق می‌افتد. 

مشكلات موجود در بررسی و رسیدگی این نوع جرایم چیست؟ 
یكی از بزرگ‌ترین مشكلات ما قضات مشخص این جرایم است. من به ‌عنوان یك كارشناس نظرم را مطرح می‌كنم، سعی هم می‌كنم كه به زبان عمومی و قابل فهم برای قضات ارایه دهم اما انتظار دارم كه قاضی پرونده هم حداقل 50 درصد از حرف‌های مرا درك كند. خوب این نیاز به این دارد كه قاضی پرونده هم كاملا آموزش دیده باشد.  قاضی جرایم رایانه‌ای با قاضی جرایم سنتی متفاوت است. البته این مشكل در همه جای دنیا بوده است ولی مسئله این است كه آنها از سال 1976 قانون را داشته‌اند و تاكنون پیشرفت كرده‌اند و مشكلات كار را حل كرده‌اند. ولی ما در ابتدای راه هستیم. بحث به روز شدن كارشناسان جرایم رایانه‌ای موضوع بعدی است، اگر كارشناسان جرایم رایانه‌ای خود و اطلاعات خود را به‌روز نكنند قاعدتا نمی‌توانند كار كارشناسی خوبی را روی پرونده انجام دهند، چون كسانی كه به ‌عنوان مجرم، جرمی را در حیطه اینترنت انجام می‌دهند، كسانی هستند كه همیشه یك قدم از بقیه افراد جلوتر هستند یعنی دانش زیادی دارند، از نقطه ضعف یك شبكه استفاده می‌كنند و مرتكب جرم می‌شوند. در مرحله آخر آموزش كارآگاهان این نوع جرایم است. 

به طور مثال كارآگاهان جرایم رایانه‌ای چه نوع آموزشی را باید ببینند؟ 
معمولا در این نوع پرونده‌ها ابتدا باید كار تحقیقاتی و كارآگاهی و در مرحله بعد كار كارشناسی انجام پذیرد در همه جای دنیا پلیس‌های ویژه و آموزش دیده برای این كار وجود دارد. البته چند سال پیش من خود دوره‌ای تحت همین عنوان برای كاراگاهان آگاهی تهران كه مسئول رسیدگی این جرایم بودند برگزار نمودم ولی این دوره‌ها نیاز به تداوم دارد. 

پس این به ‌این معناست كه جرم خاص قانون خاصی را نیز می‌طلبد؟ 
دقیقا همین‌طور است. در حال حاضر قانونی كه داریم، نیاز به تغییرات و تحولات زیادی دارد. شاید اگر این قانون 3 سال پیش تصویب شده بود تا حالا كامل‌تر شده بود و نقاط ضعف آن گرفته شده بود. البته همه جای دنیا این روال مرسوم است، برای مثال در آمریكا كه من بررسی كامل و جامعی روی آن داشتم، دیدم كه قانونی كه سال 1976 تصویب شده بود با قانونی كه در حال‌ حاضر جاریست كاملا متفاوت است.  در كشور ایالت متحده قوانین خاص هر ایالت هست كه فقط در همان منطقه و ایالت قابل اجرا می باشد و نوع دیگر  قوانین وجود دارد كه به‌طور عموم در سطح ایالات متحده اجرا می‌شود. از طرفی قوانینی هم دارند كه در ارتباط با كشورهای دیگر است.  این قانون كه اخیرا ابلاغ شد مخصوص داخل ایران است ولی همانطور هم كه به یك نمونه اشاره كردم زمانی پرونده از ایران خارج می‌شود و در كشور دیگری اتفاق می‌افتد، شما پرونده‌ای را بررسی می‌كنید ولی بعد به یك IP مربوط به كشوری دیگر مثل امارات یا فرانسه می‌رسید.  

خوب شما چه خواهید كرد؟ اگر تفاهم‌نامه‌ بین‌المللی نباشد مطمئنا به مشكل برخواهیم خورد. موضوع بعدی در مورد جرایم رایانه‌ای فراسرزمینی بودن آن است.  
این نوع جرایم محل خاصی ندارد، فرد از هر نقطه‌ای در دنیا می‌تواند به اینترنت متصل شود و جرم خود را مرتكب شود. این موضوع، جرایم سنتی را از جرایم رایانه‌ای منفك می‌كند. مورد بعدی كه باید به آن اشاره كنم بحث قضاتی است كه روی این پرونده‌ها قضاوت می‌كنند، این یكی از نكات مهم قضیه است، من هر چقدر هم كه در كار خود خبره باشم و قضیه را تحلیل كنم، در نهایت این قاضی است كه حكم نهایی را صادر می‌كند.  اگر این قاضی دیدگاه مثبتی به این قضیه نداشته باشد و یا دانش، اطلاعات و آموزش كافی نداشته باشد، خوب نهایتا معلوم است كه چه اتفاقی خواهد افتاد. اتفاقی كه در همه دنیا افتاده و قضات آنها را از پایه  شروع به آموزش دیدن كرده‌اند.   

چرا تصویب لایحه جرایم رایانه‌ای 7 سال به طول انجامید؟ 
خوب این لایحه بین مجلس وقوه قضاییه در حال رفت‌وآمد بود و اشكالات محتوایی بر آن وارد بود كه باید رفع می‌شد كه همین رفت‌وبرگشت‌ها خود هر كدام 7-6 ماه طول ‌كشید. ولی به هر حال كار به اتمام رسید و این لایحه تصویب و توسط رئیس‌جمهور ابلاغ شد. در تارخ 3/5/88 مجلس نظر نهایی خود را داد و نهایتا به تایید شورای نگهبان رسید و ابلاغ شد.  این قانون شامل 54 ماده است. بخش اول در مورد جرایم و مجازات‌هاست.  یعنی در 8 فصل كه از موارد 1 تا 27 را شامل می‌شود به تعریف جرایم، اركان و عناصر جرایم نیز پرداخته شده است. در بخش دوم این قانون، قانونگذار به آیین دادرسی جرایم رایانه‌ای پرداخته است، كه از ماده 28 تا54 را شامل می‌شود. در این بخش‌ بندی آورده شده است كه قانون مربوط به ادله الكترونیكی و جمع‌آوری آن تا شش ماه پس از تصویب این قانون باید تهیه و تصویب شود. 

منظور از این ادله چیست؟ 
بحث ادله به این شكل است كه در جرایم سنتی از یك تار موی بجا مانده، از آب دهان برای چسباندن در یك پاكت و موارد بسیار دیگر به عنوان ادله محسوب و در پرونده ثبت می‌شود، در مورد جرایم رایانه‌ای هم این ادله لازم است و خوب كاملا مشخص است كه ادله جرایم رایانه‌ای با جرایم سنتی متفاوت است.  این مصادیق هنوز مشخص نشده و این بند همین را می‌گوید كه باید تا شش ماه دیگر مصادیق این ادله مشخص و روشن شوند. مثلا بعضی كشورها ایمیل را به عنوان ادله الكترونیكی قبول ندارند. این بند باید تا شش ماه دیگر مشخص شود تا وقتی من روی پرونده‌ای كار می‌كنم و ایمیلی را به عنوان مستند دریافت می‌كنم، بدانم كه آن را باید به عنوان ادله ضمیمه پرونده كنم یا خیر؟ و وقتی از كامپیوتر اطلاعاتی را جمع‌آوری می‌كنم آیا به‌ عنوان مستند می‌توانم ضمیمه پرونده كنم یا نه. خوب این اشكالات بزرگ این قانون است كه می‌توان با این اشكال گفت كه این قانون در حال حاضر هم ماهیت اجرایی دارد، هم ندارد.  نداشتن ماهیت اجرایی هم دقیقا به‌خاطر همین مشخص نبودن ادله است كه تعیین آن در قانون برای 6 ماه آینده پیش‌بینی شده است. 

خوب این ادله چگونه تعیین خواهد شد؟ 
ببینید گروهی را مشخص كرده‌اند و این گروه باید بیاید و بگوید كه این مصادیق چه چیزهایی می‌تواند باشد.مشاوره با افراد متخصص و كارشناس در این زمینه می تواند كمك به ارایه را ه حل های بهتر در این زمینه گردد یعنی این گروه متخصص باید آیین‌نامه‌ای را تهیه كند و در آن دقیقا مشخص كند كه این ادله چیست و چه مصادیقی دارد. 

حالا كه بحث به اینجا رسید لطفا بفرمایید آیا مجازات‌هایی كه در این قانون تعیین شده كافی و منطقی است یا نه؟
بینید در بندی از این قانون آمده كه مجازات‌ها هر 2 یا 3 سال یك بار همراه با تورم باید تغییر كند. در حوزه‌های دیگر نیز كم و بیش چنین بندی وجود دارد، البته به نظر من مبالغی كه در قانون درنظر گرفته شده زیاد نیست. چون با توجه به خساراتی كه از انجام جرایم رایانه‌ای ایجاد می‌شود كه بعضی مواقع مبالغ هنگفتی است، این میزان به عنوان جریمه ناچیز است. به نظر من این مبالغ معقول است و قانونگذار نیز پیش‌بینی كرده كه با تورم تغییر كند. البته در بعضی موارد ما شاهد بیان كلیاتی هستیم كه خوب این هم طبیعی است و وقتی قانونی برای اولین بار تدوین می‌شود به كلیات می‌پردازد. این قانون هم از قوانین كشورهای دیگر الگوبرداری شده و باید زمان بگذرد و مواردی پیش بیاید تا بخش‌های تكمیلی به آن اضافه شود. 

اشكالاتی كه بعضا به این قانون وارد می‌شود این است كه به وضوح به حضور كارشناس در پرونده اشاره نشده، آیا حضور كارشناس در یك پرونده جرم رایانه‌ای الزام حقوقی دارد؟ 
معمولا حضور كارشناس در یك پرونده الزام حقوقی ندارد و مستلزم تشخیص قاضی و یا در خواست طرفین و موافقت قاضی پرونده می‌باشد. 

پس به طور صریح در این قانون صحبتی از الزام حضور كارشناس نشده است؟ 
بله همین طور هست. 

پس می‌شود گفت این مسئله زیاد خوب نیست؟ 
خوب با توجه به اینكه درحال حاضر قضات و كارگاهان  در مورد این نوع جرایم آموزش  ندیده‌اند باید گفت بله. ولی اشاره نكردن به حضور كارشناس در این قانون نمی‌تواند از ارزش نظرات كارشناسی در این نوع پرونده‌ها كم نماید.  

با توجه به تجربه شما در پرونده‌هایی كه تاكنون كار كارشناسی بر روی آن انجام داده‌اید، جرایم رایانه‌ای در ایران چه سیر و تحولی را گذرانده است؟ منظورم این است كه جرایم رایانه‌ای ایران در چه سطحی است؟‌  
در جرایم سنتی هر ساله آماری تهیه می‌شود و این آمار نشان می‌دهد كه هر جرمی در سال چه میزان بالا و پایین و یا نوسان دارد. مثلا ممكن است امسال میزان سرقت ماشین كمتر ازسال گذشته باشد ولی در مورد جرایم رایانه‌ای به هیچ‌وجه این را نخواهیم دید. یعنی میزان جرایم رایانه‌ای همواره در یك خط صعودی خواهد بود. این هم یك دلیل دارد و آن این‌كه همیشه مجرمان و هكرها یك قدم از شما جلوتر هستند. در همه جای دنیا و همه كشورها اینگونه است در ایران نیز اینگونه خواهد بود. ببینید از زمانی كه قانون  و مجازات‌های این جرائم تعریف شده، همیشه قوانین رشد كرده، چون میزان وقوع جرایم بیشتر شده و رشد كرده است.  

رده سنی و جنسیتی این جرایم چگونه است؟ 
بستگی دارد، مثلا فردی كه در اینترنت عكس خانوادگی كسی را منتشر می‌كند، معمولا در سن جوانی یا نوجوانی است، ولی جرایمی كه مربوط به هك، نفوذ و یا كلاهبرداری‌های كلان است قاعدتا تا سنین بالاتر و افراد تحصیلكرده را شامل می‌شود. 

نوع جرایمی كه در ایران اتفاق می‌افتد بیشتر از چه دسته‌ای است؟ 
در حال حاضر در كشور ما بستر وقوع هر دو نوع جرایم فراهم است و لازم به ذكر است كه در حال حاضر می‌توان به جلوه‌ای تازه از جرایم تحت عنوان فعالیت‌های هرمی اشاره نمود كه به شدت در قشر جوان و حتی اكثر موارد در افراد دانشگاهی و تحصیل كرده رو به افزایش است كه با توجه به این كه در این جرایم معمولا كامپیوتر به عنوان ابزار و یكی از اركان این نوع جرایم مطرح می‌شود. لذا نیاز به تامل بیشتر و به روز نمودن قوانین در این مورد هر دارد.  

اصولا امنیت سیستم‌های ارتباطی و كامپیوتری به چه صورتی قابل راه‌اندازی است؟ 
بحث امنیت در دو حیطه دنبال می‌شود، بخشی از امنیت مربوط به سیاست‌های امنیتی تعریف شده در ارگان ها و سازمان ها می باشد و كارشناسان متخصص سازمان‌ها باید الگوهایی امنیتی مناسب تعریف نمایند و در لایه بالاتر  ایجاد بستر ارتباطی امن توسط مراكز مخابراتی و ارتباطی یك كشور می باشد كه متاسفانه كشور ما در هر دو زمینه ضعیف عمل نموده است.    

قانون تجارت الكترونیكی سابق و قانون جرایم رایانه‌ای تصویب شده و موارد و اختلافات موجود در آن به چه نحوی قابل توجیح است؟ 
این دو قانون دارای فصول مشترك و متعارض هم می‌باشد كه نقاط مشترك این دو قانون می‌توان به جرایم جعل و كلاهبرداری اشاره نمود و در تعارضات احتمالی این دو قانون طبق یكی از بندهای جرایم رایانه‌ای باید به قانون تازه تصویب جرایم رایانه‌ای تكیه نمود.