جاسوسی رایانهای همانند جاسوسی سنتی ناظر به کسب اسرار حرفهای، تجاری، اقتصادی، سیاسی، نظامی و نیز افشا و انتقال و استفاده از اسرار است.
اساس پیدایش هک، جاسوسی اینترنتی نیست و بسیاری از هکرها هم با انگیزههای تقویت ایمنی دادهها، غلبه بر سیستمهای ایمنی، لذت بردن از نفوذ به بانکهای مهم داده و مطرح شدن بین دوستان یا در مطبوعات و تمایل شدید به یادگیری نحوه کار رایانه، هیجان خواندن اطلاعاتی که میدانند اجازه دیدن آنها را ندارند یا انجام کاری که میدانند قانونی نیست و… دست به انجام این کار میزنند؛ بنابراین باید گفت: نخست رایانه، موضوع جاسوسی است؛ یعنی هدف دستیابی به اطلاعات رایانه است. دوم رایانه، واسطه جاسوسی است؛ یعنی جاسوسان از رایانه به عنوان ابزار جاسوسی استفاده میکنند و سوم جاسوسی رایانهای و اینترنتی جزو جرایم محض رایانهای به شمار میروند. مثل هک که یکی از انواع راههای جاسوسی است، اما آنچه در مسایل حقوقی جاسوسی، سبب خلأ قانون شده، این است که جاسوسی جزو آن دسته از جرایمی است که وسایل، در ارتکابشان شرط نیست.
قانونگذار در ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی مصوب سال ۱۳۷۵ به جاسوسی سنتی اشاره کرده است «هر کس با هدف برهم زدن امنیت کشور به هر وسیله اطلاعات طبقهبندیشده را با پوشش مسئولان نظام یا ماموران دولت یا به نحو دیگر جمعآوری کند، چنانچه بخواهد آن را در اختیار دیگران قرار دهد و موفق به انجام آن شود به حبس از دو تا ۱۰ سال و در غیر این صورت به حبس از یک تا پنج سال محکوم میشود.»
بدین ترتیب جمعآوری اطلاعات طبقهبندیشده (سری، به کلی سری، محرمانه و خیلی محرمانه) و در اختیار دیگران قرار دادن این اطلاعات تحت عنوان جاسوسی در قوانین ما پیشبینی شده و تاکنون پاسخگوی جرایم احتمالی در این حوزه بوده است.
قانونگذار جمهوری اسلامی ایران در ماده ۳ قانون جرایم رایانهای توانست با تدبیری موفق، این نوع جدید از جاسوسی را که تحت عنوان جاسوسی رایانهای شناخته میشود پوشش دهد. طبق این ماده «هر کس به طور غیرمجاز نسبت به دادههای سری در حال انتقال یا ذخیرهشده در سامانههای رایانهای یا مخابراتی یا حاملهای داده مرتکب اعمال زیر شود به مجازاتهای مقرر محکوم خواهد شد: الف- دسترسی به دادههای مذکور یا تحصیل آنها یا شنود محتوای سری در حال انتقال به حبس از یک تا سه سال یا جزای نقدی از بیست میلیون ریال تا شصت میلیون ریال یا هر دو مجازات. ب. – در دسترس قرار دادن دادههای مذکور برای اشخاص فاقد صلاحیت به حبس از دو تا ۱۰ سال. ج. – افشا یا در دسترس قرار دادن دادههای مذکور برای دولت، سازمان، شرکت یا گروه بیگانه یا عاملان آنها به حبس از پنج تا پانزده سال.»
سوال اساسی این است که چرا با وجود اینکه قانون مجازات اسلامی پیش از این و در ماده ۵۰۵ فوقالذکر، جاسوسی را جرم تلقی کرده بود، اما یک بار دیگر و در یک ماده قانونی جدید باز هم به جاسوسی پرداخته است؟
در پاسخ باید گفت: اولا ماده ۳ قانون جرایم رایانهای، ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی را نسخ صریح یا ضمنی نکرده است و هر دو ماده قانونی در دادگاهها قابل اعمال است و ثانیا طبیعتا صرف ارتکاب جرم توسط رایانه نمیتواند موجب تصویب قانون جدیدی باشد، زیرا در همان ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی نیز عنوان «به هر نحو دیگر» یا «به هر وسیله» وجود دارد که شامل رایانه هم میشود؛ بنابراین تفاوتهای دیگری وجود دارد که اینک به بیان آن خواهیم پرداخت.
۱- در ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی مصوب سال ۱۳۷۵، بحث از اطلاعات طبقهبندیشده به طور عام است و شامل هر چهار طبقه اطلاعات میشود، اما در ماده ۳ قانون جرایم رایانهای صرفا از اطلاعات سری و به کلی سری نام برده شده و اطلاعات محرمانه و خیلی محرمانه را از تعریف خود خارج کرده است.
اطلاعات سری اطلاعاتی است که افشای آن به منافع ملی و امنیت کشور لطمه وارد میکند و اطلاعات به کلی سری اطلاعاتی است که افشای آنها به امنیت کشور و منافع ملی صدمات جبران میزند. بدین ترتیب، چون ماده ۳ قانون جرایم رایانهای اختصاصا به اطلاعات سری و به کلی سری اختصاص دارد در موارد جرایم احتمالی در حال حاضر قاضی به این ماده استناد میکند نه ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی.
۲- در ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی آمده است که «اطلاعات را جمعآوری کند»، اما در ماده ۳ قانون جرایم رایانهای مقرر شده است که «دسترسی به دادهها». بدین ترتیب متوجه خواهیم شد که محدوده ماده ۳ قانون جرایم رایانهای بیشتر است و برای دسترسی به این اطلاعات جرم مشخص کرده است، اما از طرفی هم این ماده ضعف دارد، زیرا جمعآوری اطلاعات را مورد اشاره قرار نداده است.
حال در فرضی که فردی به اطلاعات طبقهبندیشده دسترسی پیدا کرده و این اطلاعات را جمعآوری کرده باشد قبل از در اختیار قرار دادن، جرم متعدد انجام داده است، اما قاضی ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی را اعمال خواهد کرد، زیرا جمعآوری اطلاعات مستلزم دسترسی به آن اطلاعات بوده و مجازاتش هم اشد است.
۳- در ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی بیان شده است که اطلاعات طبقهبندیشده را «در اختیار دیگران قرار دهد». مفهوم دیگران کلی و مبهم است و ممکن است منظور کشور بیگانه یا فرد بیگانه یا فرد غیر صالح و… باشد، ولی ماده ۳ قانون جرایم رایانهای این نقص را جبران کرده و افراد فاقد صلاحیت یا دولت، سازمان، شرکت یا گروه بیگانه یا عاملان آنها را نیز در این گروه آورده است.
۴- در ماده ۵۰۵ بخش تعزیرات قانون مجازات اسلامی، مجازات فرد در صورتی که موفق به انتقال اطلاعات شود ۲ الی ۱۰ سال حبس است و در صورت عدم موفقیت یک الی ۵ سال حبس، اما در ماده ۳ قانون جرایم رایانهای برای انتقال اطلاعات به افراد فاقد صلاحیت ۲ الی ۱۰ سال حبس و برای انتقال اطلاعات به گروه، دولت و سازمان بیگانه بین ۵ الی ۱۵ سال حبس تعزیری تعیین شده است که شدیدتر محسوب میشود.
موادی از قانون جرایم رایانهای با موضوع جاسوسی رایانهای
قانونگذار در ماده ۳ قانون جرایم رایانهای مقرر میدارد: «هرکس به طور غیرمجاز نسبت به دادههای سری در حال انتقال یا ذخیرهشده در سامانههای رایانهای یا مخابراتی یا حاملهای داده مرتکب اعمال زیر شود، به مجازاتهای مقرر محکوم خواهد شد: دسترسی به دادههای مذکور یا تحصیل آنها یا شنود محتوای سری در حال انتقال به حبس از یک تا سه سال یا جزای نقدی از بیست میلیون ریال تا شصت میلیون ریال یا هر دو مجازات؛ در دسترس قرار دادن دادههای مذکور برای اشخاص فاقد صلاحیت به حبس از دو تا ۱۰ سال و نیز افشا یا در دسترس قرار دادن دادههای مذکور برای دولت، سازمان، شرکت یا گروه بیگانه یا عاملان آنها، به حبس از پنج تا پانزده سال.»
همچنین بر اساس ماده ۴ این قانون «هرکس به قصد دسترسی به دادههای سری موضوع ماده ۳ این قانون، تدابیر امنیتی سامانههای رایانهای یا مخابراتی را نقض کند به حبس از ۶ ماه تا دو سال یا جزای نقدی از ۱۰ میلیون ریال تا چهل میلیون ریال یا هر دو مجازات محکوم خواهد شد.»
در ماده ۵ قانون جرایم رایانهای نیز آمده است «چنانچه مأموران دولتی که مسئول حفظ دادههای سری مقرر در ماده ۳ این قانون یا سامانههای مربوط هستند و به آنها آموزش لازم داده شده است یا دادهها یا سامانههای مذکور در اختیار آنها قرار گرفته است بر اثر بیاحتیاطی، بیمبالاتی یا عدم رعایت تدابیر امنیتی موجب دسترسی افراد فاقد صلاحیت به دادهها، حاملهای داده یا سامانههای مذکور شوند به حبس از نود و یک روز تا دو سال یا جزای نقدی از پنج میلیون ریال تا ۴۰ ریال ریال یا هر دو مجازات و انفصال از خدمت از ۶ ماه تا دو سال محکوم خواهند شد.»