ملتمس إلى من يهمه الأمر من أجل تغيير المادة 3-607 من القانون الجنائي المغربي المتعلقة بالدخول إلى مجموع أو بعض نظم للمعالجة الآلية للمعطيات عن طريق الاحتيال. مقدمة: لقد تزايدت بشكل كبير في السنوات الأخيرة الأهمية التي بدأت تأخذها نظم المعالجة الآلية للمعطيات (وهي التسمية القانونية لمصطلح ''نظم المعلومات'' أو ''نظم المعلوميات'') بالنسبة للشركات الخاصة، ولكن كذلك بالنسبة للمؤسسات العامة. غير أن نظم المعالجة الآلية للمعطيات هذه أصبحت عرضة للإضرار بها من قبل أشخاص (القراصنة أو المخربون) يستخدمون معارفهم في ميدان المعلوميات للنفاذ إليها وحتى الاعتداء على المعطيات التي تحويها. والقراصنة (Hackers) هم أولئك الأشخاص الذين يقومون باختراق النظم المعلوماتية بوسائل غير مشروعة، لكن دون المساس بالمعطيات الموجودة فيها، وذلك بهدف التنبيه إلى وجود ثغرات أمنية بها. أما المخربون (Crackers) فهم الأشخاص الذين يستثمرون معارفهم في ميدان المعلوميات للنفاذ بطرق غير مشروعة إلى النظم والشبكات المعلوماتية بغاية الإضرار بالمعطيات الحساسة التي يمكن أن تحويها. نشير إلى أن القانون لا يميز بين هؤلاء وأولائك، مادام الجميع قد يكونون عرضة للمساءلة القانونية بموجب أحكام القانون. وقد يكتشف مستخدم الإنترنت ثغرة أمنية في النظام المعلوماتي التابع لشركة خاصة أو لمؤسسة عمومية، فيجد نفسه قد نفذ إلى داخل ذلك النظام المعلوماتي دون إذن من صاحبه. أخطر من ذلك، إذا ما قام هاكر أخلاقي اكتشف ثغرات معلوماتية بالإبلاغ عنها لدى صاحب النظام المعلوماتي فإنه يواجه خطر أن تتم متابعته قضائيا وأن تتم محاكمته. والهاكر الأخلاقيون هم أولئك الذين يعمدون إلى تحذير المسؤولين عن أمن نظم المعلومات من الثغرات التي تعتري نظمهم المعلوماتية أو مواقع "الويب". فحتى اليوم، لا يمكن في فرنسا وكذلك في المغرب للهاكر الذي نفذ إلى نظام معلومات دون أن يكون له الحق في ذلك الإفلات من المتابعة القضائية بموجب المادة 607-3 من القانون الجنائي، إلا إذا كان قد قام بذلك عن طريق الصدفة (لم يفعل ذلك عن طريق الاحتيال)، وأن يقوم بالخروج حال اكتشافه هذا الأمر (حسن النية). غير أنه منذ دخول القانون من أجل الجمهورية الرقمية الفرنسي حيز التنفيذ أصبح بإمكان الهاكر الذي يكتشف ثغرة أمنية في نظام معلومات تابع للغير تجنب العقوبة الجنائية شريطة أن يقوم مباشرة بإبلاغ الوكالة الوطنية لأمن نظم المعلومات بذلك. والهدف من وراء ذلك هو تشجيع الأشخاص الذين لديهم اطلاع على ثغرة أمنية تتعلق بنظام معالجة آلية للمعطيات إبلاغ الوكالة الوطنية بها. فكيف يمكن من الناحية القانونية إذا تشجيع مستخدم الإنترنت من هذا النوع ليكون إنسانا فاضلا ويخبر صاحب النظام المعلوماتي أو السلطات المعنية بما اكتشفه دون أن تتم معاقبته؟. هذا هو السبب الذي دفع بالمشرع الفرنسي إلى تعديل القانون من أجل حماية هذا النوع من الهاكر، وإن بشروط معينة. أولا اعتبارات أولية بعد أن نقوم بعرض بعض القضايا التي كانت وراء تعديل القانون في فرنسا، سنتطرق إلى هذا التعديل وأهميته. أ- بعض القضايا التي كانت وراء التعديل في فرنسا، كانت قضيتان مشهورتان وراء التعديل الذي قام به المشرع الفرنسي في هذا الشأن: قضية كيتيتوا وقضية بلوتوف. 1- قضية كيتيتوا في هذه القضية تمت متابعة مستخدم إنترنت كان قد اكتشف عن طريق الصدفة ثغرة أمنية في موقع ويب وقام بإبلاغ مالكه بذلك، فتمت متابعته قضائيا من قبل هذا الأخير من أجل النفاذ عن طريق الاحتيال إلى النظام. وتمت إدانة مستخدم الإنترنت هذا ابتدائيا، قبل أن يتم إطلاق سراحه استئنافيا. 2- قضية بلوتوف في هذه القضية تم تجريم شخص أبلغ عن وجود ثغرة أمنية باعتبار دخوله غير مرخص به، حتى وإن كان هذا الأمر من شأنه أن يسمح لصاحب النظام بتجنب المس في المستقبل بعمل نظام المعلومات المسؤول عنه أو بالمعطيات التي يحويها. وتم تجريم المعني من محكمة الاستئناف بباريس بتاريخ 5 فبراير 2014، ثم قامت محكمة النقض بتأكيد هذا الحكم بتاريخ 20 ماي 2015 . هذه السوابق لم تكن لتشجع مستخدمي الإنترنت بالإبلاغ عن الثغرات الأمنية المتعلقة بنظم المعلومات التي يمكن أن يكتشفوها عن طريق الصدفة. ب-النص القانوني والأهمية سنقوم في ما يلي بعرض النص القانوني الذي يمنح الحصانة القانونية للهاكر الذين يبلغون عن الثغرات الأمنية التي تتعلق بنظم المعلومات، ثم نستعرض أهمية هذا المقتضى القانوني. 1- النص القانوني يحمي القانون الفرنسي من أجل الجمهورية الرقمية الصادر بتاريخ 7 أكتوبر 2016 القراصنة الأخلاقيين أو على كل حال أولائك الذين يقومون منهم بالإبلاغ عن الثغرات المعلومياتية التي يتمكنون من اكتشافها بأنفسهم إلى صاحب النظام أو إلى الوكالة الوطنية لأمن نظم المعلومات. ذلك أن المادة 47 من هذا القانون الرقمي أضافت إلى مدونة الدفاع الفرنسية المادة L. 2321-4 التي تنص على أنه »لأغراض تحقيق أمن نظم المعلومات فإن الإلتزام المنصوص عليه في المادة 40 من قانون الإجراءات الجنائية لا يطبق في مواجهة شخص حسن النية ينقل حصرا إلى السلطة الوطنية المكلفة بأمن نظم المعلومات معلومات عن وجود ثغرة تتعلق بأمن نظام للمعالجة الآلية للمعطيات«. وقد أراد المشرع الفرنسي من خلال هذه المادة حماية الأشخاص الذين يكتشفون الثغرات المعلومياتية لغاية حثهم على كشفها إلى الوكالة الوطنية لأمن نظم المعلومات دون خطر المتابعة الجنائية. نفهم أن المشرع الفرنسي كلف الوكالة الوطنية لأمن نظم المعلومات بتلقي المعلومات التي تهم الثغرات المعلومياتية وتحذير الأطراف المعنية بالأمر للقيام بما يلزم من أجل تصحيح الوضع. ذلك أن الفقرة الثالثة من المادة ذاتها تنص على أنه»يمكن للسلطة المعنية القيام بالإجراءات التقنية الضرورية لتوصيف الخطر أو التهديد المشار إليهما في الفقرة السابقة لغرض تحذير مقدم خدمة الاستضافة (استضافة نظام المعلومات المعني) أو مشغل الاتصالات أو الشخص المسؤول عن نظام المعلومات«. هكذا إذا أكد المشرع الفرنسي الدور المركزي لهاته الوكالة في الإبلاغ عن نقاط الضعف التي قد تعتري نظم المعلومات الخاصة والعامة، وخاصة منها ذات الأهمية الحيوية. 2- الأهمية تنص المادة L .2341-4 من مدونة الدفاع على أن هوية الهاكر الأخلاقي المبلغ يتم الحفاظ على سريتها من قبل الوكالة الوطنية لأمن نظم المعلومات، كما أنها تحتفظ بسرية الوسيلة التي تم بها الحصول على المعلومات المقدمة من قبله. وتنص المادة المذكورة على أنه »تلتزم السلطة المذكورة بالمحافظة على سرية هوية الشخص الذي كان وراء نقل المعلومات وكذلك الظروف التي تمت فيها عملية النقل«. ومن المنطقي أن الغاية من هكذا مقتضى قانوني هو تجنيب الهاكر الأخلاقي أي متابعة قضائية. تانيا: شروط الحصانة القانونية لا بد من توافر عدة شروط نستنبطها من المادة L .2341-4 من أجل استفادة الهاكر مكتشفي الثغرات المعلوماتية من الحصانة القانونية. أ- الجريمة المعلوماتية المعنية (النفاذ إلى نظام المعلومات) من أجل معرفة نوع الجريمة المعلومياتية التي يستفيد الهاكر الأخلاقيون عند ارتكابها من الحصانة القانونية لا بد من التمييز بين جريمة النفاذ إلى نظام المعلومات من جهة وباقي الجرائم المعلومياتية من جهة أخرى. 1- النفاذ إلى نظام للمعلومات يعتبر النفاذ إلى نظام المعلومات جريمة يعاقب عليها القانون الجنائي المغربي من خلال الفقرة الأولى من الفصل 3– 607 من القانون 03-07، التي تنص على أنه »يعاقب بالحبس من شهر إلى ثلاثة أشهر وبغرامة من 2.000 إلى 10.000 درهم أو بإحدى هاتين العقوبتين فقط كل من دخل إلى مجموع أو بعض نظم للمعالجة الآلية للمعطيات عن طريق الاحتيال«. 2- الجرائم المعلومياتية الأخرى إضافة إلى جريمة النفاذ إلى نظام المعلومات (المادة 607-3) يجرم القانون 03-07 سالف الذكر كذلك جرائم معلومياتية أخرى، مثل جريمة إعاقة أو إفساد السير العادي لنظم المعلومات (المادة 5-607 ) وجريمة الإضرار بالمعطيات المخزنة في نظم المعلومات (المادة 4-607) وجريمة تزوير أو تزييف وثائق المعلوميات (المادة 7-607)... . إذا، الاستثناء الذي جاءت به المادة L. 2321-4 والتي تهدف إلى منح الحصانة القانونية إلى الهاكر الأخلاقيين الذين يبلغون عن الثغرات الأمنية التي تتعلق بنظم المعلومات التي يقومون باكتشافها يستهدف فقط جريمة النفاذ إلى نظام المعلومات وليس البتة الجرائم المعلومياتية الأخرى. ويعود ذلك إلى كون الأفعال الأخيرة (عرقلة سير النظم المعلوماتية، الإضرار بالبيانات التي تحويها هذه الأخيرة، تزوير وثائق المعلوميات....) قد تسبب أضرارا كبيرة للمسؤولين عن هذه النظم. ب- الجهة التي يتم الإبلاغ لديها إضافة إلى المسؤول عن نظام المعلومات المعني بالأمر، يمكن للهاكر الأخلاقي كذلك القيام بالإبلاغ لدى الوكالة الوطنية لأمن نظم المعلومات. 1- الإبلاغ لدى المسؤول عن النظام المعلوماتي المعني بالأمر منع المشرع الفرنسي الهاكر الذي يكتشف ثغرة أمنية في نظام للمعلومات من إبلاغ صاحب النظام مباشرة. هذا يعني أنه إذا قام الهاكر بالتبليغ عن الثغرات الأمنية مباشرة لدى صاحب نظام المعلومات وليس لدى السلطة الوطنية لحماية نظم المعلومات فإنه يكون مرتكبا لجريمة النفاذ إلى نظام المعالجة الآلية للمعطيات. لكن السؤال الذي يطرح في هذا الصدد هو ما شأن مستخدم الإنترنت الذي يكتشف ثغرة أمنية وليس له علم لا بمدونة الدفاع ولا حتى بوجود الوكالة الوطنية لحماية نظم المعلومات؟. 2- الإبلاغ لدى الوكالة الوطنية لأمن نظم المعلومات لقد أشار المشرع الفرنسي في المادة ذاتها إلى الجهة التي يتم الإبلاغ لديها عن الثغرات المعلوماتية، وهي الوكالة الوطنية لأمن نظم المعلومات. هذا يعني أنه يجب أن يقوم الهاكر الأخلاقي بالاتصال بالوكالة الوطنية لأمن نظم المعلومات التي تتولى ربط الاتصال بالمسؤول عن نظام المعلومات المعني بالأمر لإبلاغه بالثغرات التي تعتري النظام. ويعتبر الاتصال المباشر بالوكالة الوطنية مهما في الحالات التي يعتقد فيها الهاكر الأخلاقي أن ليس بإمكانه الاتصال المباشر بالجهة صاحبة نظام المعلومات المعني بالأمر، وذلك كيفما كان السبب مسؤول غير مرحب أو مسؤول تم الاتصال به دون جدوى، إلى غير ذلك. ج- شرط حسن النية من بين الشروط التي فرضها المشرع الفرنسي من أجل الاستفادة من هذا الاستثناء نجد ضرورة توافر عنصر حسن النية لدى الهاكر الأخلاقي. ويمكن استنتاج حسن النية مثلا إذا ما كان الهاكر قد قام بالنفاذ إلى نظام معلومات لكنه خرج منه مباشرة بعد أن اكتشف ذلك. تجدر الإشارة في هذا الشأن إلى أنه من الصعوبة إثبات حسن النية عند الإبلاغ لدى الهاكر الذي كان وراء اكتشاف الثغرة المعلومياتية. وبالتالي من الأفضل في رأينا أن يستبدله المشرع المغربي إذا ما أراد أن يحذو حذو المشرع الفرنسي بعنصر غياب إرادة الإضرار لدى هذا الأخير الذي يمكن نسبيا إثباته. ثالثا: إمكانية المتابعة القضائية يسمح هذا النص القانوني للقراصنة الأخلاقيين بتجنب العقوبة الجنائية شريطة أن يتم مباشرة إعلام الوكالة الوطنية بالثغرة التي تم اكتشافها دون أن يتم الكشف عن ذلك للعامة مسبقا. لكن، لا شيء يمنع الوكالة الوطنية من الإبلاغ عن الهاكر إلى النيابة العامة إذا ما لم يلتزم بالشروط التي عرضناها سابقا. في الحقيقة، يسمح هذا الاستثناء للوكالة الوطنية بعدم الإبلاغ عن الهاكر الذي يقوم بإبلاغها بالثغرات المعلوماتية، ولكنه لا يسمح لهذا الأخير (أي الهاكر) بالاستفادة من البراءة إذا ما تمت متابعته من قبل المسؤول عن نظام المعلومات المعني بالأمر الذي اكتشف عن طريق بحث قام به في هذا الشان المخالفة التي تم اقترافها من أجل النفاذ عن طريق الغش إلى نظامه المعلوماتي. غير أن هذا الإعفاء لا يلغي بالضرورة إمكانية أن تقوم الوكالة بإبلاغ العدالة عن أي سلوك: - أضر عمدا بأمن نظام للمعالجة الآلية للمعطيات محمي أو غير محمي كان قد تم دخوله عن طرق الغش. - لا يدخل في نطاق حسن النية. - الذي قام بالإبلاغ عن ثغرة أمنية لغاية الحصول على مصلحة مادية أو معنوية. ذلك أن الشخص الذي يتصل بالوكالة الوطنية ويربط المعلومة بتعويض قد يتم رفض اعتباره كهاكر أخلاقي، وتتم متابعته قضائيا من أجل النفاذ إلى نظام معلومات، وهي الجريمة المنصوص عليها وعلى عقوبتها في المادة 607-3 من القانون 07-03. - الذي قام بنشر الثغرة الأمنية على العموم. يتعلق الأمر إذا بحماية في حدها الأدنى، لأن المسؤول عن النظام المعني بالأمر بإمكانه التمسك بمتابعة الهاكر من أجل مخالفة النفاذ غير المشروع إلى نظامه المعلوماتي. غير أننا نأسف أن المشرع الفرنسي لم يذهب بعيدا إلى حد إعفاء الهاكر الأخلاقي من المتابعة، لأن وضع هذا الأخير لا يمنحه إلا إخفاء هويته الذي تقرره الوكالة الوطنية لأمن نظم المعلومات. خاتمة: في الختام نقول للمشرع المغربي إن الوقت حان لتعديل القانون من أجل حماية المبلغين عن المخالفات التي تطال نظم المعلومات، خاصة منها نظم المعلومات ذات الطابع الإستراتيجي. لذلك ندعو اللجنة الوطنية لحماية نظم المعلومات التابعة للوزارة المنتدبة لدى الوزير الأول المكلفة بالدفاع الوطني بالضغط في اتجاه أخذ هذا الأمر بعين الاعتبار في التعديل المقبل الذي سيعرفه القانون الجنائي المغربي من أجل حماية أفضل لنظم المعلومات، وخاصة منها نظم المعلومات الإستراتيجية. غير أنه إذا كان المشرع الفرنسي أضاف هذا المقتضى القانوني إلى مدونة الدفاع فإننا نهيب بالمشرع المغربي أن يفعل ذلك في القانون الجنائي في الباب المتعلق ب''المس بنظم المعالجة الآلية للمعطيات''، وبالتحديد على مستوى المادة 3-607 التي تجرم النفاذ بدون وجه حق إلى نظم المعلومات، وذلك للحفاظ على وحدة القانون. *أستاذ جامعي.خبير/ مكون في القانون الإلكتروني.