گفتگو با جواد جاویدنیا در فیناپ؛ از تغییرات فیلترینگ تا ایجاد سیستم یکپارچه احراز هویت

رویداد «فیناپ» پنج‌شنبه ۳۰ خرداد ماه برگزار و برای اولین بار بخش جدیدی تحت عنوان «فیناپ پلاس» به آن اضافه شد که شاهد حضور یک مهمان ویژه بود. «جواد جاویدنیا»، سرپرست معاونت فضای مجازی دادستانی کل کشور و همچنین دبیر کارگروه تعیین مصادیق و محتوای مجرمانه، مهمان اولین فیناپ پلاس بود.

در این رویداد که با محوریت فناوری‌های مالی و کسب‌وکارهای حوزه فین‌تک برگزار می‌شود، با جواد جاویدنیا درباره ساختار فیلترینگ و همچنین احراز هویت کاربران از سوی کسب‌وکارها گفتگو کردم؛ گفتگویی البته کسب‌وکار محور که مشروح آن را در ادامه مطالعه می‌کنید.

سرپرست معاونت فضای مجازی دادستانی کل کشور در این گفتگو خبر از تعامل خود با اکوسیستم استارت‌آپی می‌دهد و می‌گوید دیگر بخش‌های مختلف سیستم قضایی کشور نمی‌توانند به شکل جداگانه درخواست فیلتر شدن کسب‌وکارها را داشته باشند و همه‌ی درخواست‌های اینچنینی باید از نظارت معاونت فضای مجازی دادستانی کل کشور عبور کند.

نکته مهم دیگری که جاویدنیا به آن اشاره کرد سرنوشت اینستاگرام بود. از سوی دیگر او عقیده دارد که باید یک سیستم احراز هویت یکپارچه و حاکمیتی وجود داشته باشد که کسب‌وکارها بتوانند به شکلی رایگان از آن استفاده کنند؛ اتفاقی که امروز با سامانه شاهکار نمی‌افتد و کسب‌وکارها باید در ازای استفاده از آن هزینه پرداخت کنند.

---

امیر مستکین: آقای جاویدنیا وقتی از بیرون به عملکرد بخشی که شما مسئولیتش را دارید نگاه می‌کنیم، می‌بینیم که در این بازه زمانی تعامل‌های مناسبی با اکوسیستم استارت‌آپی کشور داشته‌اید. از استارت‌آپ‌های بزرگ مثل اسنپ، تپسی و دیجی‌کالا دیدن می‌کنید، با استارتاپ‌های کوچک‌تر جلسه می‌گذارید تا مشکلاتشان را حل کنید. اما مسئله اینجاست که قوانین کشور در حوزه فضای مجازی خلاء زیاد دارند. اگر هم نداشته باشند ضمانت اجرایی ندارند. از طرفی شما در این جایگاه هستید و سعی می‌کنید خلا ها را پر کنید و با جلساتی که می‌گذارید مشکلات را حل کنید. زمانی که شخص دیگری با تفکر متفاوتی در صندلی شما قرار بگیرد تکلیف استارت‌آپ‌ها چیست؟ 

جواد جاویدنیا، سرپرست معاونت فضای مجازی دادستانی کل کشور: ما در این مدت به دنبال ایجاد استانداردها و رفع نواقص قانونی بوده‌ایم. از طرفی خوشحالم که دوستان تغییر رویکرد را احساس کرده‌اند و این را وظیفه خودمان می‌دانیم. چراکه وقتی می‌خواهیم برای جمعی تصمیم‌گیری کنیم، قطعاً باید با شرایط و وضعیت‌شان آشنا باشیم تا تصمیمی که می‌گیریم، عادلانه و عالمانه باشد.

پس به دنبال آن هستیم تا استانداردسازی‌هایی انجام دهیم تا این مسائل از حالت سلیقه‌ای خارج شود و هر فردی هم که جای بنده در صندلی معاونت فضای مجازی نشسته باشد، بتواند همین مسیر را ادامه دهد. شرطش این است که بتوانیم با همکاری خود دوستان، استانداردهای لازم را تهیه کنیم و از طریق دستگاه‌های مربوطه‌ای که متولی هستند، مثل بانک مرکزی، دستگاه‌های دولتی یا شورای عالی فضای مجازی، قوانین مناسبی، متناسب با وضعیت و واقعیت‌های موجود کسب‌وکارها را فراهم کنیم تا این وضعیت پایدار باشد و از حالت سلیقه‌گرایی خارج شود.

آیا شخصاً فکر نمی‌کنید که فرآیند فیلترینگ نیاز به تغییر دارد؟ خیلی ها می‌گویند فیلترینگ کسب‌وکارها به مثابه اعدام آنهاست. من این را قبول ندارم اما دست کم به مثابه پلمب یک واحد تجاری است. چرا در این فرآیند از کسب‌وکار درخواست نمی‌شود تا از خودش دفاع کند و حرفش را بزند. آیا فیلترینگ تا حدی یکطرفه اجرا نمی‌شود؟

از زمانی که بنده متصدی این امر شده‌ام، سعی کرده‌ایم تغییراتی را ایجاد کنیم. ممکن است این تغییرات ۱۰۰ درصد محقق نشده باشد، اما تمام درخواست‌های فیلترینگی که به سمت ما می‌آید، همه را تکلیف کرده‌ایم تا بخش مربوطه چک کند؛ به‌ویژه تبصره ماده ۲۱ قانون جرایم رایانه‌ای که بحث تذکر است. در واقع هدف این است که قبل از اینکه بخواهیم با سایتی برخورد کنیم یا آن را فیلتر کنیم یا فیلترینگ نسبت به یک اپلیکیشن انجام شود، تا آنجایی که امکان داشته باشد، تخلف رفع شود و فیلترینگ انجام نشود.

نسبت به سایت‌ها و اپلیکیشن‌هایی که به شکل رسمی در اتحادیه، سازمان توسعه تجارت الکترونیکی، وزارت ارشاد ثبت هستند، موارد حتماً چک و بررسی می‌شوند. همین اخیراً، نسبت به چند سایت و اپلیکیشن معروف، دستوراتی آمده بود که همان‌جا، مشکل را در مجموعه خودمان حل کردیم و اجازه ندادیم اتفاقی بیفتد. بخش‌نامه‌ای هم در رابطه با این مسئله صادر شد. برای اینکه ما نظارت را داشته باشیم، همه بخش‌های دستگاه قضایی در سراسر کشور، باید اعمال فیلترینگ را از مجرای دادستانی کل کشور انجام دهند.

پس این سازوکار ایجاد شده و به سمت مکانیزه شدن آن هم در حرکت هستیم. تلاش‌مان این است که استارت‌آپ‌ها و کسب‌وکارهایی که ثبت شده هستند را مورد حمایت قانونی ویژه قرار دهیم.

ثبت شده در کجا؟

اتحادیه و سازمان نظام صنفی رایانه‌ای. هرچند ما عقیده داریم که این‌ها باید یک کاسه شوند.

چون خودشان با هم اختلاف‌هایی دارند. 

بله اختلاف دارند و بخشی، بخش دیگر را به هر ترتیب غیرقانونی می‌داند. به دنبال همین موضوع هم هستیم و می‌خواهیم جلساتی در این رابطه برگزار کنیم. اما در نهایت کسب‌وکارهایی که ثبت شده هستند مورد حمایت خواهند بود. پس این تدابیر در حال انجام است که انشاالله از مسدود شدن‌های بی‌رویه جلوگیری شود؛ هرچند که هنوز هم، علی‌رغم بخش‌نامه‌ای که در همین رابطه صادر شده، باز هم شاهد اعمال سلیقه‌ها هستیم که البته مانع آنها خواهیم شد. این مشکل قطعاً با مکانیزه شدن حل خواهد شد.

امروز می‌بینیم که سیاست‌های خوبی وجود دارد که دیتا در داخل کشور بماند اما گاهی سیاست‌هایی هم وجود دارد که باعث دلسردی کسب‌وکارها از نگهداری داده‌هایشان در داخل کشور می‌شود. در گذشته چندبار دیده‌ایم که هماهنگ با فیلترینگ، به سرویس دهنده داخلی هم دستور داده می‌شود تا سرورهای یک کسب‌وکار را خاموش کند. این اتفاق چند مشکل اساسی به وجود می‌آورد. جایگاه کسب‌وکار در گوگل از دست می‌رود، شرکت‌ها کمتر به میزبانی داده‌ها در داخل کشور تمایل نشان می‌دهند، ترافیک بین‌الملل به جای ترافیک داخلی استفاده می‌شود که هزینه‌ها را بیشتر می‌کند و در نهایت ارز دارد از کشور خارج می‌شود. اساساً چرا این اتفاق می‌افتاد؟

از زمانی که این مشکل به بنده گزارش شد، دستور اکید دادم که این مورد اجرا نشود. دست کم در مورد کسب‌وکارها اجرا نشود و در مورد بقیه هم در حال بررسی هستیم.

مشکلی که در این زمینه داریم، و مربوط به بستری است که فیلترینگ را اجرا می‌کند، این است که ترافیک داخل، از گیت فیلترینگ عبور داده نمی‌شود. به همین خاطر، راه‌کاری که برای این موارد داخلی باقی می‌ماند، این است که هاستینگ از سرویس‌دهی خارج شود.

یعنی فیلترینگ ما نمی‌تواند سایت‌هایی که داخل میزبانی می‌شوند را فیلتر کند؟ 

می‌تواند، اما بنا به دلایل مختلف اینکار انجام نمی‌شود. مشکلی که در این زمینه وجود دارد، این است که هاستینگ‌ها شناسنامه دار نیستند. حتی بعضی هاستینگ‌هایی که شناخته شده‌تر هستند هم مجوز ندارند. تعدادی از آنها اصلاً شناخته شده نیستند و یک بی‌نظمی اینچنینی هم در فضای مجازی کشور وجود دارد. ما به دنبال آن هستیم تا هاستینگ‌ها شناسنامه‌دار شوند.

پیشنهادی در یکی از جلسات هم مطرح شده است و فعلاً در دست بررسی است. پیشنهاد این بود که برخی هاستینگ‌ها شناسایی شوند و تا قبل از اینکه وزارت ارتباطات بخواهد برای آنها مجوز صادر کند، کسب‌وکارهایی که در آنجا هاست می‌شوند در لیست سفیدی قرار بگیرند که در برخوردهای احتمالی دقت بیشتری وجود داشته باشد.

در نهایت دستور ما این بوده که همزمان با فیلترینگ، سرور کسب‌وکاری خاموش نشود. البته در عمل و اجرا، چون تعداد زیاد است، ادعا نمی‌کنم که همین اتفاق به شکل سراسری افتاده اما تلاش ما این است که چنین کاری انجام نشود و دستورات لازم را در این زمینه صادر کرده‌ایم.

بر اساس نظرات دادستانی کل کشور و شورای عالی فضای مجازی، ارائه خدمات پرداخت در پیام رسان‌های فیلتر شده ممنوع است. اما اینجا به بحثی می‌رسیم که پرداخت‌یارها هم درگیر آن می‌شوند. آیا می‌توانیم بگوییم ارسال لینک در این پیام‌رسان‌ها، مصداق خدمات پرداخت است؟

این بیشتر برمی‌گردد به این موضوع که آیا می‌توانیم تشخیص بدهیم لینکی که از آن استفاده می‌کنیم از کدام نرم‌افزار می‌آید یا خیر. اگر قابل تشخیص باشد، قاعدتاً PSP یا پرداخت‌یار باید مانع شود. اینجا از نظر فنی بحث وجود دارد و قرار شد خود پرداخت‌یارها هم بررسی‌هایی در این رابطه انجام دهند.

قطعاً از زمانی که متوجه شوند، ادامه خدمت مشمول ممنوعیت است. اما بررسی اولیه که البته هنوز قطعی نیست، نشان می‌دهد که این قابلیت وجود دارد که IP مشخصی که لینک به آن وصل می‌شود را تشخیص داد.

مطلب دیگری هم که از دوستان خواسته‌ایم و هنوز آن را اجرایی نکرده‌اند، این است که به IPهای خارجی و IPهایی که از VPN استفاده می‌کنند، خدمات ندهند. به شدت دنبال این موضوع هستیم و باید اجرایی شود. چون جرائم بسیار زیادی به واسطه این IPهای خارجی در حال انجام است. همینطور خدمات پرداختی که در نرم‌افزارهای خارجی ارائه می‌شود. شاید دوستان این را بگویند که ما داریم کار خودمان را انجام می‌دهیم و بقیه حواس‌شان را جمع کنند تا کلاه‌شان برداشته نشود، یا دستگاه‌های امنیتی و غیره باید فضا را فراهم کنند تا قابلیت شناسایی [جرایم] را داشته باشند.

اما واقعیت این است که در نظام‌های پرداخت دیگر، به راحتی به IP خارجی و ناشناس خدمت ارائه نمی‌شود.

آقای جاویدنیا برای چند لحظه به موضوع لینک برگردیم، در نهایت می‌بینیم که خدمات پرداختی در پیام‌رسان انجام نمی‌شود. ما داریم در مورد یک لینک صحبت می‌کنیم که می‌تواند روی کاغذ نوشته شود و با پست ارسال شود، می‌تواند در پیام‌رسان گپ ارسال شود یا در تلگرام ارسال شود. در نهایت اتفاقی داخل آن پیام‌رسان نمی‌افتد. این مسئله فکر نمی‌کنید سخت‌گیری بیش‌از حد به پرداخت‌یارهاست، چراکه شاپرک هم دائماً به پرداخت‌یارها فشار می‌آورد که باید جلوی استفاده از لینک‌ها در تلگرام گرفته شود. در حالی که درباره لینکی صحبت می‌کنیم که کسب‌وکار نمی‌داند کجا می‌رود. 

حرف من هم همین است که اگر نمی‌داند، و قابلیت تشخیص آن را ندارد، این یک حرف طبیعی است. اما اگر قابلیت تشخیص را دارد، دیگر عذری باقی نمی‌ماند. در نهایت آنچه مشخص است، این است که ما باید به هر نحو ممکن، مانع از اینگونه اقدامات شویم. خود دوستان هم قرار است نظرات‌شان را به ما ارائه بدهند. اما اینکه از اساس بگوییم خیر، ما در آنجا خدمات‌مان را آزادانه ارائه بدهیم، برای مجموعه حاکمیتی از نظر امنیتی و امنیت اقتصادی قابل پذیرش نیست.

ما امروز در جمعی هستیم که بیشتر آنها جوانان کارآفرین و صاحبین کسب‌وکار هستند. می‌توانید به این سوال به شکلی صریح پاسخ بدهید که افراد کارآفرین، روی اینستاگرام برای آینده سرمایه‌گذاری کنند یا خیر؟

اینکه دقیقاً چه اتفاقی خواهد افتاد را من به آن ورود نمی‌کنم. اما چیزی که مشخص و محرز است، این است که ما مصوبه شورای عالی فضای مجازی را داریم که می‌گوید این‌ها باید ساماندهی شوند و با شرایط خاصی باید به آنها مجوز داده شود. تا جایی مسئله پیش رفت که برای آنها مجوز صادر شود، این‌ها نپذیرفتند که مجوز صادر شود و رسماً وارد کشور شوند و تعاملی برقرار شود مبنی بر اینکه فضای امنی برای مردم ایجاد کنند.

بنابراین، قطعاً و مسلماً دیر یا زود این چالشی که وجود دارد به جایی منتهی خواهد شد که یک تعیین تکلیف نهایی نسبت به این قضیه انجام شود. اگر تعیین تکلیف نهایی، به این سمت برود که این‌ها بیاییند و رسماً داخل کشور نمایندگی ایجاد کنند و ارائه خدمت داشته باشند، ریسک کم خواهد بود. اما چون احتمال این موضوع کم است، بنابراین، احتمال بحث برخوردی بیشتر وجود دارد.

در نهایت من نظر شخصی و مشاوره‌ای ام را می‌دهم و این نظر سازمانی و نظر معاونت فضای مجازی دادستانی نیست. از نظر شخصی، من اینکار [سرمایه‌گذاری] را توصیه نمی‌کنم.

بیایید به سراغ بحث بعدی که «احراز هویت» است برویم که فعلاً تبدیل به یک کلاف سردرگم شده است. از نظر شما آیا نیاز است تا کسب‌وکار خودش را وارد مبحث احزار هویت کند؟ از طرفی آیا امروز واقعاً می‌توان گفت که با سامانه شاهکار داریم احراز هویت می‌کنیم؟

در حال حاضر سامانه شاهکار تقریباً خیلی فعال نشده و در اختیار خیلی از کسب‌وکارها هم قرار نگرفته است. سامانه شاهکار به تنهایی نیازها را برطرف نمی‌کند. صرفاً تطبیق کد ملی با شماره موبایل فرد است.

اساس احراز هویت باید به شکل حاکمیتی شکل بگیرد و کسب‌وکارها هم بیایند و خدمات دریافت کنند. به این دلیل که همه کسب‌وکارهایی که اینجا حضور دارند هم می‌دانند که چه اتفاقاتی در حال رخ دادن است.  کسب‌وکارها مجبور شده‌اند دیتابیسی را بر حسب الزامات امنیتی و قضایی جمع‌آوری کنند چون در طول زمان به دلیل ناتوانی از معرفی مشتری، مشکلاتی برای آنها پیش آمده است. پس در مرور زمان به آنها گفته‌اند چکار کنید، گاهی هم خودشان ابداعاتی انجام داده‌اند.

نتیجه همه این‌ها، این‌ شده که اطلاعات هویتی اشخاص، بعضاً عکس اشخاص را نگهداری می‌کنند که خود این تهدید است. بنابراین ما نظرمان این است که سند احراز هویت باید به شکل جامع ایجاد شود و همه دستگاه‌ها بتوانند از آن استفاده بکنند. امروز می‌بینیم که بعضی بانک‌ها هم رفته‌اند و سیستم احراز هویتی را برای خودشان تولید کرده‌اند. این هم قطعاً مطلوب نیست. باید همه این‌ها یکجا قرار بگیرد و مبنایش، سند احراز هویتی است که در شورای عالی فضای مجازی در حال تدوین است. از حیث مسائل عملی هم ما پیگیر هستیم. در مجموع عقیده دارم که کسب‌وکار نباید مسئولیت احراز هویت را تا این حد برعهده داشته باشد و از طرفی دغدغه اطلاعات خصوصی که جمع آوری می‌کند را هم نباید داشته باشد.

سوال اینجا این است که آیا خود حاکمیت می‌خواهد مسئولیت احراز هویت را برعهده بگیرد؟

بستگی دارد که منظور شما از حاکمیت کدام بخش باشد. ما به عنوان دادستانی کل کشور و همینطور نیروهای انتظامی و امنیتی، قطعاً به دنبال آن هستیم تا سامانه احراز هویت یکسان و با مدیریت واحد و امن شکل بگیرد تا به همه خدمات بدهد. مسئله مهمی که وجود دارد، این است که خدمات احراز هویت باید به رایگان در اختیار کسب‌وکارها قرار گیرد.

که البته امروز این اتفاق نمی‌افتد. 

بله نمی‌افتد. چون این زیرساختی است که برای یک فضای مجازی امن، تجارت محور و کسب‌وکار محور باید وجود داشته باشد.

امروز آیا نقشه راهی برای وجود یک سیستم احراز هویت یکپارچه که کسب‌وکارها هم بتوانند از آن استفاده کنند داریم؟ 

اگر بخواهم شفاف عرض کنم، فعلاً خیر. اما چیزی که مشخص است، این است که ما داریم برنامه‌هایی را دنبال می‌کنیم و سعی می‌کنیم با دیگر بخش‌ها هم هماهنگ باشیم. اما تا زمانی که سند در شورای عالی فضای مجازی تدوین نشود و جای مشخصی را برای اینکار مامور نکند، ما با این مشکل مواجه هستیم. اما در نهایت خودمان برنامه‌هایی داریم، صحبت‌های اولیه‌ای را هم با بخش‌هایی که احراز هویت را انجام می‌دهند داشته‌ایم تا سامانه‌ها را به شکل آزمایشی در اختیار بعضی کسب‌وکارها نیز قرار دهیم، نتایجش را دریافت کنیم و بعد به شکل عمومی‌تری ارائه شوند.

آقای جاویدنیا امروز وقتی که سیستم یکپارچه‌ای وجود ندارد و نقشه‌راه هم هنوز تدوین نشده، آیا نباید فشار روی کسب‌وکارها کاهش پیدا کند تا مسئله احراز هویت به شکل حاکمیتی حل شود؟ چون زمانی که فشار روی کسب‌وکارها باشد، اتفاقی که می‌افتد دریافت‌ عکس از کاربران در هنگام نگه داشتن مدارک‌شان و سپس جمع‌آوری این‌هاست که مشکل امنیتی دارد. 

این یک تصمیم‌گیری سخت است. شما تصور کنید فردی متضرر می‌شود و بخش زیادی از سرمایه‌ زندگی‌اش رفته است. سپس ما مراجعه می‌کنیم به کسب‌وکار و می‌گوییم شما به چه کسی سرویس داده‌اید یا کالا و خدمات را فروخته‌اید. اگر پاسخ متقنی نداشته باشد، نمی‌توانیم توجیحی برای این شرایط داشته باشیم.

البته این را قبول داریم که ما پافشاری‌هایی روی این مسئله داشته‌ایم. مثالش‌ هم سایت‌های آگهی است که اگر پافشاری ما نبود، بیشتر از این مسائل از آنها انتظاراتی وجود داشت. ولی این حداقل‌ها را باید حفظ کنند. اما اگر استانداردهای غیرهمسانی برای کسب‌وکارهای مختلف اعمال شده، از طریق اتحادیه منعکس کنند تا زمان ایجاد یک ساختار منسجم و یکپارچه، استاندارد یکسانی نسبت به همه اعمال شود.

بحث دیگری هم وجود دارد که مربوط به دسترسی به دیتای شرکت‌های خصوصی است. در این بخش هم داریم فعالیت‌هایی را انجام می‌دهیم تا بتوانیم سازوکاری را طراحی کنیم. گلایه‌ای که کسب‌وکارها دارند مبنی بر اینکه ما نمی‌دانیم باید به کجا اطلاعات بدهیم و افراد مختلفی مطالبه اطلاعات دارند، این مشکل را هم حل می‌کنیم.

پیروی بحث اطلاعات کاربران که گفتید، نهادهای ناظری هستند که اطلاعات کاربران را درخواست می‌کنند و معمولاً هم درخواست به شکل شفاهی است. آیا این درخواست‌ها از نظر شما تخلف هستند یا نیستند؟ اگر تخلف هستند مرجع رسیدگی به آنها کجاست؟

هرگونه درخواست اطلاعات حتماً باید با دستور قضایی باشد. یک سری از اطلاعات خصوصی مردم هم هست که آنها فقط باید با دستور قضات و اصل ۲۵ و در چارچوب خاصی انجام بگیرد چون اساساً آیین نامه خاص خودش را دارد. ما این مسائل را به بخش‌های مختلف اعلام کرده‌ایم. اگر کسب‌وکارها با درخواست شفاهی برای اطلاعات مواجه می‌شوند، یا درخواستی که دستور قضایی پشت آن وجود ندارد، حتماً به ما منعکس کنند. ما هم قطعاً با اینکار برخورد خواهیم کرد.

اگر چنین تخلفی هم صورت گرفته باشد، چون بحث رسیدگی به تخلفات ضابطان بر عهده دادسرا هاست، در این بخش ما خودمان می‌توانیم ورود کنیم و اگر گزارش‌هایی در این زمینه وجود داشته باشد حتماً رسیدگی خواهیم کرد.

گاهی اعلام می‌شود که بخشی دسترسی سریع به اطلاعات را نیاز دارد. دستور قضایی مربوطه هم وجود دارد، اما راهکاری که بشود به شکلی سریع از اپلیکیشن یا سایت مربوط اطلاعات را خواست وجود ندارد. چنین راهکاری هنوز طراحی نشده که این درخواست در یک بستر امن انجام بگیرد. این موارد هنوز در مرحله بررسی است و اگر خود کسب‌وکارها هم پیشنهادی دارند، ارائه دهند. ما به دنبال یک سامانه متمرکز برای حل این مسئله هستیم تا به شکل آنلاین و برخط، بشود دستورات قضایی صحت سنجی شود و هم مرجع پاسخگویی مشخص باشد که به چه طریقی اطلاعات به چه منبعی ارسال شود. اینطور هم مدیران کسب‌وکارها از سردرگمی خارج می‌شوند و هم اطلاعات مردم حفظ می‌شود و هم الزامات قانونی رعایت شود.

این‌جا باز هم به سوال اول بازمی‌گردیم، امروز جواد جاویدنیا در این صندلی نشسته است. اگر دو سال دیگر شخص دیگری صندلی شما را در اختیار داشت که به شکل دیگری فکر می‌کرد، تکلیف کسب‌وکار چیست؟

این مورد یعنی رسیدگی به تخلفات ضابطان در اجرای وظایف‌شان برعهده دادسراهاست. یعنی اگر یک قاضی دستور می‌دهد که یک ضابط اطلاعاتی را استخراج و ارائه دهد، اگر تخلفی صورت بگیرد یا ضابط بدون رعایت الزامات قانونی، اطلاعات را درخواست کند، به تخلف رسیدگی خواهد شد. بنابراین چه بنده باشم، چه نباشم، تفاوتی نمی‌کند و روند می‌تواند از طریق دادستانی کل کشور یا از طریق آن دادسرایی که مربوط به آن شهر است، رسیدگی لازم انجام شود. قوه قضاییه هم روی این موضوع حساسیت ویژه‌ای دارد و قطعاً رسیدگی می‌کند.

بحث دیگری که وجود دارد تفکیک نشدن جرم کاربر و پلتفرم است. اگرچه وضعیت بهتر شده و قوانین جرایم رایانه‌ای هم شفاف هستند، اما گاهی دیده می‌شود که درست اجرا نمی‌شود. مثالش هفته گذشته اتفاق افتاد. مدیرعامل یک سایت گفت که توسط یک کارت دزدی از خدمات ما استفاده شده، و امروز قاضی من را مجرم می‌داند. فرض کنید یک شخصی یک پول نقدی را سرقت می‌کند، سپس با آن به سوپرمارکت می‌رود و آب‌معدنی می‌خرد. آیا می‌توانیم اینجا سوپرمارکت را مجرم بدانیم؟

مصداق را باید بررسی کنیم و ببینم واقعاً چه بوده. اما حداقل احراز هویتی که لازم است را اگر مدیر کسب‌وکار انجام داده باشد، و در چارچوب مقررات قانونی فعالیت کرده باشد (برای مثال در بحث پرداخت‌یارها مواردی از سمت بانک مرکزی ابلاغ شده و پرداخت‌یارها باید این‌ها را انجام دهند) ممکن است خود کسب‌وکار مشخصاً در جرم نقش نداشته باشد، اما به دلیل کوتاهی که در بخش کنترل انجام داده و کشف تقلب را انجام نداده...

تا جایی که من می‌دانم یک کسب‌وکار نمی‌تواند تشخیص بدهد کارت بانکی که دارد از خدماتش استفاده می‌کند، دزدی یا فیشینگ است یا خیر.

من آن را به عنوان مصداق عرض نکردم. اگر واقعاً فقط این باشد که شخصی با کارت سرقتی از سایتی خرید کرده است و در حد معمول، سایت احراز هویت لازم را انجام داده، این شخص [مدیر سایت] نباید پاسخگو باشد. قطعاً کلاه برداری شده و از کارت برداشت شده است. ولی مدیر کسب‌وکار، احراز هویت لازم را اگر انجام نداده باشد، در برخی قوانین یا بخش‌نامه‌ها می‌بینیم که به عنوان مسئولیت باید جبران خسارت کند.

در مورد قوانین پولشویی که ضوابط خاصی دارد، اگر آنها را رعایت نکند، تاکید می‌کند ضوابطی که در چارچوب قانون ابلاغ شده، به تناسب اتفاقی که افتاده، حکم صادر خواهد شد. اما اگر وظایف قانونی و قراردادی را انجام داده باشد، قطعاً جرم متوجه مدیر سایت نخواهد بود.

چقدر فکر می‌کنید که قضات ما، با جرایم رایانه‌ای آشنا هستند؟ چون این مشکلات بیشتر در شهرستان‌ها دیده می‌شود. 

در سطح مراکز استان، در بالای ۷۰ درصد از استان‌ها، قضاتی که امروز اشتغال دارند افرادی هستند که در دوره کارآموزی باید ۲۰ ساعت دوره آشنایی با جرایم رایانه‌ای را بگذرانند و هم آموزش‌های ضمن خدمتی در این زمینه برگزار شده. اما خودمان هم می‌دانیم که این‌ها کافی نیست. یکی از وظایف دادستانی کل کشور، این است که بر اجرای قوانین در کل کشور نظارت کند. به همین خاطر، هرگونه موردی که خلاف مطالبی که عرض کردم به ما گزارش شده، پیگیری کرده‌ایم و پرونده را مطالبه کرده‌ایم و اگر رویه اشتباه بوده، خواسته‌ایم تا نسبت به اصلاح آن اقدام کند. بالای ۹۰ درصد از این مشکلات را حل کرده‌ایم. چند درصدی که عرض کردم هم در حال پیگیری است تا هرچه سریع‌تر این موارد حل شود و وضعیت مطلوب تری را شاهد باشیم.

البته در بحث آموزش آنلاین قضات هم در حال اجرای برنامه‌هایی هستیم تا هرچه سریع‌تر وضعیت مطلوب‌تری را در این زمینه شاهد باشیم.

گاهی پرداخت‌یارها تخلفی را در پلتفرم خودشان کشف می‌کنند. اینجا هیچ آیین نامه‌ای ندارند که باید با متخلف چکار کنند. اگر پول را مسدود کنند، به مشکل می‌خورند که چرا اینکار را کرده‌اند. اگر نکنند، با این سوال مواجه می‌شوند که چرا نکرده‌اند. چرا هیچ آیین‌نامه‌ای نداریم که مشخص باشد پرداخت‌یار پس از کشف جرم باید چکار کند؟

این مورد که می‌گویید درست است و شاید هم کوتاهی از ما یا بانک مرکزی بوده که آیین نامه مشخصی را در این زمینه نداشتند. چیزی که دنبالش خواهیم بود و آن را ابلاغ خواهیم کرد، این است که فرمت خاصی از نامه وجود داشته باشد و سریعاً و مستقیماً این موارد را به یک ID یا ایمیل که باید مشخص شود ارسال کنند و بعد از همین جلسه، این مورد را مد نظر خواهیم داشت.

این موارد بلافاصله باید به پلیس فتا اعلام شود و رونوشت آن هم در اختیار دادستانی کل کشور قرار بگیرد. اینطور دستور قضایی مبنی بر مسدودسازی حساب مربوطه صادر شود تا مسئولیتی هم بر عهده پرداخت یار وجود نداشته باشد. البته اگر در گذشته آیین نامه‌ای در این زمینه از سوی شاپرک یا بانک مرکزی به پرداخت‌یارها ابلاغ شده، فعلاً بر اساس آن کار را انجام دهند. ولی تاجایی که خاطرم هست، آیین‌نامه مشخصی در این رابطه وجود ندارد.

اما روند صحیح به این صورت است که خود پرداخت‌یار به شکل مستقیم اینکار را انجام ندهد، مگر بر مبنای قراردادی بین خودش و مشتری، که این اجازه را دریافت کرده باشد. اگر چنین قراردادی وجود داشته باشد، بر این مبنا هم مشکل قانونی وجود نخواهد داشت. سپس بالافاصله به مراجع قانونی و انتظامی اطلاع داده شود.