23 KiB
2015-05-27
تعليق على قانون الجريمة الإلكترونية EIPR privacy
نشرت مواقع إخبارية بالأمس مقتطفات لقانون "جرائم الإنترنت" باعتباره معروضا على البرلمان لإقراره. و بينما لم تظهر حتى الآن نسخة نهائية من مشروع القانون كما يعرض على البرلمان، إلا أن أمثلة المواد المنشورة في الإعلام حتى الآن تتطابق مع مسودة مشروع قانون "في شأن مكافحة جرائم تقنية المعلومات" ظهرت في شهر مايو 2015 بعد مواقفة مجلس الوزراء عليها و قبل إبداء مجلس الدولة رأيه فيها.
تنشر المبادرة المصرية للحقوق الشخصية تعليقا أوليا على مسودة القانون، أملا في إتاحة أطول وقت لمناقشته، و تحث الحكومة و مجلس النواب على نشر المسودة الحالية لمشروع القانون حتى يتسنى للجمهور و المهتمين و المختصين و للمجتمع المدني إبداء تعليق أشمل و أوفى عن قانون يمس حقوق و حريات كل مستخدمي الإنترنت في مصر، و الذين يقدر عددهم بعشرات الملايين، خصوصا مع تزايد أهمية الاتصالات و المعلوماتية في مختلف مناحي الحياة، و تأثيرها المباشر على قضايا الاقتصاد و الحريات.
أولا: قانون جنائي و ليس إجرائيا
تثير قضية تنظيم الإنترنت في العالم أسئلة إجرائية بالأساس. فالإنترنت، باعتبارها وسيطا عالميا و ذاتي التنظيم، طرحت سؤال الولاية الجغرافية: أين ترتكب الجرائم على الإنترنت؟ فطبيعة الإنترنت تسمح كثيرا بأن يكون الجاني في دولة، و المجني عليه في دولة أخرى. أو أن يكون الاثنان في نفس المكان بينما ترتكب الجريمة على حاسوب في بلد آخر، و هو أغلب الحال في جرائم النشر في مصر مثلا، حيث أن معظم المواقع على إنترنت تعمل من أنظمة معلوماتية محلها بلاد أخرى.
السؤال الآخر و الذي زادت أهميته بعد اكتشاف حجم التجسس الذي تمارسه الحكومات و أطراف أخرى هو سؤال الأذون القضائية للمراقبة. إذ أن المراقبة الواسعة للإنترنت mass surveillance تستدعي أن تعترض السلطات و تفحص كل الاتصالات كي تجد الرسالة التي تريد الحصول عليها، ما يجعل إذن التفتيش القضائي الخاص و المحدد غير متطابق على الإطلاق مع هذا النوع من مراقبة الإنترنت.
لا تحاول مسودة مشروع قانون "مكافحة جرائم تقنية المعلومات" الإجابة على مثل هذا النوع من الأسئلة الذي ظهر بالفعل نتيجة انتشار الإنترنت باعتبارها وسيط الاتصال الجديد و الرئيسي. بدلا من ذلك، فإن كل مواد القانون باستثناء المادة الأولى (مادة التعريفات) هي مواد جزائية تعاقب على جرائم وصفتها المذكرة الإيضاحية لمشروع القانون العام الماضي باعتبارها "نوع جديد من الإجرام لم يكن معروفا من قبل".
ثانيا: قانون يضر بمبدأ المساواة أمام القانون
مسودة مشروع قانون الجريمة الإلكترونية الجديد تخلق وضعا جديدا في القانون الجنائي المصري، حيث ينشئ عقوبات جديدة تبعا لطريق ارتكابها و ليس تبعا للجرائم نفسها، فانتحال الشخصية مثلا أو التحريض على ارتكاب جرائم العنف سيعاقب عليها إن ارتكبت بطريق الإنترنت بمواد مختلفة عن إذا ما ارتكبت نفس الجرائم و أحدثت نفس القدر من الضرر و لكن بطريق آخر. و هذا لا يضر فقط بمبدأ العدالة و المساواة أمام القانون و قد يصم القانون بعدم الدستورية، و لكنه أيضا يضع القضاة أمام قواعد قانونية متباينة، و قد ينتهي الأمر بالقاضي في محكمة عادلة بتجاهل قانون الجريمة الإلكترونية لأنه في أغلب الأحوال، فإن مشروع قانون الجريمة الإلكترونية يعاقب بعقوبات أشد على مرتكب الجريمة من إن عوقب بموجب القوانين السارية حاليا و على رأسها قانون العقوبات، ما يوجب القاضي أن يطبق أثناء اختياره للعقوبة القانون الأصلح للمتهم.
ثالثا: قانون شديد القسوة
تعتمد مسودة مشروع القانون بشكلها الحالي عقوبات كثيرة تتنوع بين الحبس و السجن لمدد طويلة قد تصل للسجن المشدد أو حتى المؤبد، و هو في هذا يفوق كثيرا في قسوة عقوباته و مدتها القوانين المثيلة حول العالم.
رابعا: قانون يحمي الأقوياء أكثر من الضعفاء
تزيد العقوبة في مسودة مشروع القانون إن ارتكبت الجريمة ذاتها في حق الأشخاص الاعتبارية العامة (مثل الهيئات العامة أو الحكومة) مقارنة بالأشخاص الطبيعيين (الأفراد).
خامسا: صياغة فضفاضة لا تناسب القانون الجنائي
تتسم مواد مسودة مشروع القانون في شكلها الحالي، سواء في المادة التعريفات (الأولى) أو في بقية المواد الجزائية بصياغة فضفاضة غير محددة المعنى و لا تليق بمستوى الدقة و التحديد المطلوب من القانون الجنائي، و التي ينبغي أن تفوق حتى الدقة المطلوبة في باقي أنواع القوانين
سادسا: تقنين حجب المواقع كإجراء عادي
تتيح مسودة مشروع القانون لأول مرة في تاريخ القانون المصري حجب محتوى مواقع إنترنت في غير الحالات الاستثنائية التي ينظمها قانون حالة الطوارئ، و هو في هذا يحذو في إضفاء صفة الاعتيادية على حالات قانونية استثنائية حذو قوانين أخرى سيئة السمعة نالها الانتقاد مثل قانون مكافحة الإرهاب رقم 94 لسنة 2015.
The draft convention on cybercrime is generally expansive and ambiguous with respect to its proposed measures. The document represents the interests of law enforcement, and seems to ignore technological feasibility, scalability, operational costs and risks, and civil liberties.
The development of this convention has been characterized by a lack of transparency and openness in relation to the CoE policy-making process. This process has been exceedingly secretive and has not benefited from any input except from selected law enforcement officials for several years. There have been no open meetings on this held anywhere.
القانون جزائي و لا يتناول المشكلات الأساسية في النطاق الرقمي كالإجراءات الجنائية و الولاية الجغرافية.
القانون عقوباته قاسية على الجرائم التي ترتكب في حق الأفراد، و قاسية جدا في الجرائم التي ترتكب في حق الشركات، و قاسية جدا جدا في الجرائم التي ترتكب في حق الدولة و المؤسسات العامة. القانون يميل لحماية مصالح الأقوى
الصياغة عامة و لا تصل في أحيان كثيرة للدقة المطلوبة في القوانين الجزائية
أولا: المواد التي تغطي اتفاقية بودابست 2001
المواد 4، 5، 6، 7، 12 هي طريقة الشارع المصري في تحويل اتفاقية بودابست 2001 المرفق هنا نصها بالعربية إلى جزء من القانون الوطني. تستوجب هذه المواد بعض التفكير فعلا و ردا أكثر تطورا من بقية المواد. قد تضاف إلى هذه المواد مادة التعريفات رقم 1 و المادتين 2 و 3 الناقصتين من الملف الذي نعمل عليه.
الاستراتيجية الأولى هنا في رأيي هي التوصية ب 1) تعديل مواد قانون العقوبات، إن لزم، كي تشمل الأفعال إن استخدمت فيها أنظمة المعلوماتية (لا يجرم قانون العقوبات، مثلا التعد على المجال الخاص دون إذن trespassing)؛ ثم 2) تدريب منفذي القانون من قضاة و مأموري الضبط القضائي على قراءة القوانين بشكل مختلفة و على مهارات جمع و فحص القرائن و الأدلة الرقمية.
ينتج عن إصدار مواد عقابية خاصة بالنطاق الرقمي لها عقوبات مختلفة أن يخرج القانون من مجازاة الاعتداء على حقوق و حريات الآخرين و إحداث الضرر بأنفسهم أو أموالهم إلى مجازاة استخدام أدوات بعينها في ارتكاب الأفعال المجرمة، و في هذا ما ينفي مبدأ المساواة أمام القانون.
الدخول غير المشروع: المادة 4 في مشروع القانون هي المادة 2 في الاتفاقية.
نوصي بأن تحذف لصالح المادة ؟؟؟ في قانون العقوبات
التدخل في البيانات: المادة 5 في مشروع القانون هي المادة 4 في الاتفاقية.
نوصي بأن تحذف لصالح المادة 361 و المادة 361 مكرر (أ) و المادة 365 في قانون العقوبات
التدخل غير المشروع في منظومة: المادة 6 في مشروع القانون هي المادة 5 في الاتفاقية. نوصي بأن تحذف لصالح المادة ؟؟؟ في قانون العقوبات.
الاعتراض غير المشروع: المادة 7 في مشروع القانون هي المادة 3 في الاتفاقية. نوصي بأن تحذف لصالح المادة 309 مكرر من قانون العقوبات (الفرق هو أن المادة 7 من القانون تجرم الاعتراض بدون غرض، في حين أن المادة 309 مكرر عقوبات تجرم الاعتراض بغرض التعدي على خصوصية آخرين.
إساءة استخدام الأجهزة: المادة 12 في مشروع القانون هي المادة 6 في الاتفاقية. على الرغم من اتفاقي معك في تجريم الحيازة بغرض ارتكاب جريمة، إلا أن الاتفاقية تجرم الحيازة بغرض ارتكاب جريمة. أليست المشكلة هنا هي مشكلة تحديد النية أثناء المحاكمة؟ أدرك أن هذا أمر خطير في ظل حالة النظام الجنائي المصري.
ثانيا: المواد الزائدة التي تخص تدمير الممتلكات الخاصة
المادة 8، على سوء صياغتها، يقصد بها الDDOS. الجزء الزائد منها يتعارض مع المادة 5 من ذات مشروع القانون، إلا أن المادة 5 لا تتعرض لإبطاء الأنظمة المعلوماتية بهجوم من نوع DDOS و هو عيب حالي في قانون جرائم الحواسيب البريطاني مثلا. كيف ترى حل ذلك؟
ثالثا: المواد الزائدة الخاصة بانتحال الشخصية
المادة 9 تتعارض مع المادة 4 من ذات مشروع القانون فيما يتعلق بالاختراق و المادة 5 من ذات مشروع القانون فيما يتعلق بالإتلاف
المادة 10 هل هي سرقة أم تعد على ممتلكات خاصة أم انتحال شخصية؟ كلها حالات تغطيها مواد أخرى في مشروع القانون و في قانون العقوبات. نوصي بحذفها
المادة 11 هي جريمة انتحال الشخصية Identity theft. هل هناك شيء مماثل في القانون المصري دون ربطه بغرض آخر مثل الحصول على الأموال بشكل غير مشروع؟ الهدف الأساسي من هذه المادة في تصوري هو منع الحسابات التي تتظاهر بتمثيل الشخصيات العامة و المؤسسات العامة و الشركات على سبيل السخرية غالبا و النصب أحيانا. لكني أتخيل قدرة هذه الحسابات المزيفة على إحداث أضرار بخلاف النصب (و بخلاف النقد المباح)
رابعا: المواد الخاصة بإداريي النظم
ما تقوم به المواد 15، 16، 17، 18 هي أنها
• تجرم ممارسة إداريو النظم حق الصمت، و بالتالي تمنع عنهم حقا أساسيا. أين يوجد حق الصمت في القانون المصري؟
• تجرم إهمال إداريو النظم في حماية النظم المعلوماتية. هل هناك مواد في قانون العقوبات تعاقب حارس العقار على الإهمال؟ حجة الموظف العام و المادة 116 من قانون العقوبات و ما بعدها لن تكون حجة كافية في النقاش، لأن بعض الحضور سيحاجون بأن جهات خاصة مثل شركات الهاتف و المستشفيات الخاصة قد تسبب ضررا كبيرا باختراقها. إجابتي في هذه النقطة و غيرها ستكون في ضرورة وجود تشريع مستقل لحماية البيانات، و لكن النقطة هنا هي الإهمال في حماية أنظمة معلوماتية سواء كانت ملكيتها خاصة أم عامة.
• نفس الحجة تنطبق في العبث بالأدلة في المادة 17 من مشروع القانون. ما المادة التي تعاقب على العبث بالأدلة بغض النظر عن إن كان المجرم موظفا عموميا أم غير ذلك؟
• سؤال إضافي: ما هي عقوبات الإهمال في مهن أخرى؟
خامسا: المواد التي تقنن حجب المحتوى
المواد 19 و 20 لا تحدد ما هو الأمن القومي، و سأرجع هنا لمشاركتي في صياغة مبادئ تشوان Teshwane Principles عن موازنة الحق في حرية المعلومات مع متطلبات السرية لأغراض الأمن القومي، شاملا ذلك تعريفا دقيقا لما هو الأمن القومي.
ثم أدلل بعد ذلك على عدم فعالية الحجب و مخاطره.
ثم أنتقد المادة 19 في أنها نقلت القدرة على الأمر بحجب المحتوى من القضاء الإداري إلى القضاء الجنائي و بالتالي منعت أطرافا ثالثة أصحاب مصلحة من الانضمام للدعوى الجنائية، حيث لا يمكن في القضاء الجنائي المصري الانضمام الهجومي أو الدفاعي أو تقديم مذكرات ناصحة للمحكمة amicus brief. مش كدا؟
بالإضافة إلى ثغرة إعادة الوضع كما كان عليه في حالة لم تعرض الجهة الطالبة المحضر كما تتطلب الفقرة الأخيرة.
سادسا: المادتين 14 و 22 و هما أخطر ما في القانون. سأوضح أن الغرض من وجود المادة 14 بالرغم من تكرارها للمادة 171 من قانون العقوبات هي أن تسمح للمادة 22 بزيادة عقوبة التحريض إلى السجن المشدد بل و المؤبد، و بالتالي تصبح عقوبة التحريض على معظم الجرائم أكبر من عقوبة الجرائم نفسها.
أخيرا، تعكس المادتين 14 و 22 اتجاها استمر عقود نحو إزالة العقوبات السالبة للحرية في جرائم النشر.
سابعا: حماية البيانات
هل هناك نظير للمادة 13 في القانون المصري فيما يحكم البريد مثلا؟ هي تتعلق بمسؤولية الناقل intermediary liability.
المادة 26
ثامنا: تجريم الشروع
كما قلت عن المادة 27
بعد إجابتك على أسئلتي هنا لتحديد المواد النظيرة في قانون العقوبات، سأعمل على جدول يقارن بين العقوبات هنا و هناك لاستخلاص السياسة العقابية (الإيلامية) وراء هذا القانون
The draft circulating (missing one page containing articles 2 and 3, and with a confused order of pages. PDF attached), seems to be the final MoJ draft presented to the cabinet. Obviously, there is very little information about the process.
The bill is made of 28 articles. Most of the articles are penal, with sanctions ranging from jail (being short term incarceration starting from one day) to life, and fines from 5,000 all the way to 20,000,000 pounds. Sanctions for the same crime are consistently severe when the violation is against an individual, very severe when against a corporation, and extremely severe when against the state or a public body.
For now please refer to the attached grid. I now classify the bill to cover 8 topics:
- The Budapest Convention on Cybercrime 2001
This is the Council of Europe treaty MoJ cites, along with the Arab Convention, as a basis for the bill. The bill attempts to adopt parts of the convention:
Definitions: article 1 in the bill, article 1 in the convention
Illegal access: article 4 in the bill, article 2 in the convention
Data interference: article 5 in the bill, article 4 in the convention
System interference: article 6 in the bill, article 5 in the convention
Illegal interception: article 7 in the bill, article 3 in the convention
Misuse of devices: article 12 in the bill, article 6 in the convention
While trying to adopt the Convention, in response to "new crimes", the bill is creating a new (cyber) legal domain that is different than the regular legal domain. Data interference in the new cyber domain would result in a separate crime with different sanctions, usually more severe, than data interference otherwise, even if the same persons' rights were violated in exactly the same way. The medium becomes part of the crime. Lack of equality before the law here is possibly a cause of unconstitutionality.
- Articles 14 and 22
This becomes very evident considering the collective result of articles 14 and 22. While the explanatory memorandum of the bill claims the bill covers only new crimes arising from new technologies, article 14 creates a sanction for "building a site that incites committing any crime in the penal code or in any other part of the law". Article 22 goes on to punish any crime in this act "harming public order, threatening safety of society, endangering citizens lives and safety, preventing public authorities undertaking their duties, suspending the constitution or the law, damaging national unity and social peace, defaming a heavenly religion, assaulting rights and freedoms enshrined by the constitution" by maximum-security prison, or life in prison.
Now starting a website to commit any of these is punishable by up to a life sentence, while doing the same act, say on television with millions watching, is only a felony punishable with jail. Two separate legal domains with two very different sanctions. Libel on the internet could mean a life sentence.
- Distributed Denial of Service Attack
Article 8 seems to have been originally meant for DDOS attacks, where a person controlling a huge number of computers orders them all to contact one server, putting it under pressure and rendering it practically unavailable for genuine users. The overbroad wording, however, may contradict with article 5 of the same bill.
- Identity fraud and theft
Articles 9, 10, 11 handle different cases of identity fraud and theft, are vaguely worded and are possibly redundant and in conflict with other articles in the bill (4 and 5) and with the penal code.
- System Administrators
Together, articles 15, 16 and 17 effectively cancel the right to remain silent for system administrators, which was recently added to the constitution. Sysadmins will have to report crimes committed against systems they run under a threat of jail for failing to do so, open their system and logs to the authorities under a threat of jail if they fail to do so, and be under a threat of jail if a court finds that the system was hacked partly due to their negligence.
This contrasts with a 50 pounds fine if a security guard fails in their duties that may lead to exactly the same harm. I expect these to be a real threat to industry, since practically all industry now relies on ICTs and hires sysadmins to manage security, among other things.
- Blocking of content
Articles 19 and 20 allow for blocking of content in case it threatens national security, with a process involving a three-judge criminal court issuing the order, and unless there is a hurry the order will come before the blocking.
Until now, blocking of content is a matter of the administrative courts to look into, where it is possible for practically any citizen to get involved in the lawsuit on either side and submit briefs. This right is not available in criminal proceedings, or at best very restricted.
Companies failing to comply with a blocking order will pay a fine reaching twenty million pounds.
- Data protection
Cybercrime bills have included data protection elements since the first draft in 2007. Article 13 sanctions service providers for unlawful disclosure, while article 26 requires them to keep metadata and content of telecoms for 90 days, possibly in conflict with the telecom act.
- Attempt
The bill sanctions attempted crimes with a full penalty of a complete crime. Unusual.