الإذن الرقمي المقيد

مقال بقلم د. أشرف نجيب الدريني

دعني أُعرب لك أيها القارئ الكريم عن سبب كتابة هذا المقال واقعة بسيطة جدا في ظاهرها لكنها كانت كافية لتفتح في داخلي بابا من التساؤلات لم يغلق بعد، جهاز الحاسب الآلي لدي أعلن عن عطل مفاجئ وهو أمر مألوف في الحياة اليومية فبادرت على الفور إلى التواصل مع فني أعرفه منذ أكثر من ربع قرن علاقة بيننا لم تكن يوما علاقة مهنية مجردة بل صداقة حقيقية جمعتني به عبر السنوات لم يتأخر فيها عني يوما ولم أتصور أن يتأخر في هذه المرة غير أن ظرفا طارئا حال دون حضوره فاقترح حلا بديلا يقوم على فكرة التحكم عن بُعد بأن أقوم بتحميل تطبيق معين ثم أفتح الاتصال وأرسل له الرقم السري الذي يظهر على الشاشة ليتمكن من الدخول إلى الجهاز ومعالجة العطل من مكانه
تم تنفيذ هذا الإجراء في إطار من (الثقة) التي لم تتوقف عند حدودها التقنية دون إدراك تفصيلي لطبيعة ما يمنحه هذا (الإذن الرقمي) من صلاحيات فعلية وما إن تم تفعيل الاتصال حتى تبدلت طبيعة العلاقة بين المستخدم والجهاز بصورة كاملة إذ لم يعد الجهاز خاضعا لإرادة صاحبه الفعلية بل أصبح محكوما بجلسة (تحكم عن بُعد) تظهر آثارها مباشرة في حركة المؤشر وإدارة الملفات وتثبيت البرامج وإزالتها بما يعكس انتقالا فعليا ومؤقتا لسلطة التشغيل إلى (طرف ثان) غير حاضر ماديا.

وهنا يثور الإشكال القانوني الجوهري هل نحن بصدد مجرد إجراء فني مشروع تم (برضا) المستخدم أم أننا أمام نموذج قانوني مركب تتداخل فيه مشروعية الإذن مع قابلية انحرافه عن الغاية المحددة له إن الإذن في المفهوم الجنائي الحديث لا يعد تفويضا مطلقا وإنما هو ترخيص (مقيد بالغاية) التي صدر من أجلها بحيث يظل الفعل في دائرة المشروعية ما التزم حدود تلك الغاية ويخرج عنها متى انحرف إلى غرض آخر غير مشروع أو غير لازم لتحقيقها. وعلى هذا الأساس فإن الدخول إلى النظام المعلوماتي في ذاته لا يشكل بذاته سلوكا مجرما إذا صدر بإذن صحيح إلا أن هذا الدخول يتحول في التكييف الجنائي إلى فعل غير مشروع متى تجاوز نطاقه الموضوعي سواء من حيث الاطلاع غير اللازم لعملية الإصلاح أو نسخ البيانات أو استخدامها خارج إطار المهمة الفنية وهو ما يمكن توصيفه فقها في إطار الانحراف في استعمال الإذن باعتباره صورة من صور (إساءة استعمال السلطة التقنية) الممنوحة بما يترتب عليه انحسار مظلة الإباحة وقيام المسؤولية الجنائية متى توافرت أركانها.

ومن زاوية التكييف الجنائي فإن ضبط هذه الصورة لا يكتمل إلا بتفكيكها إلى أركانها على نحو منهجي ينسجم مع البناء التقليدي للجريمة في القانون الجنائي فعلى مستوى (الركن المادي) يتمثل السلوك الإجرامي في فعل الدخول إلى النظام المعلوماتي أو الاستمرار في التحكم فيه أو تجاوز حدود الصلاحيات الممنوحة أثناء جلسة التحكم عن بُعد بما يشمل الاطلاع غير اللازم لعملية الصيانة أو نسخ البيانات أو تعديلها أو نقلها دون سند من الغرض المحدد للإذن ويعد هذا السلوك في ذاته نشاطا إيجابيا قائما على استخدام وسيلة تقنية للدخول إلى (بيئة رقمية) محمية بما يحقق عنصر الاعتداء الفعلي على نطاق الحماية القانونية للبيانات.

أما ا(لركن المعنوي) فيتخذ في هذه الصورة طابع القصد الجنائي (العام) المتمثل في العلم بطبيعة الدخول وحدوده مع اتجاه الإرادة إلى استخدام صلاحيات النفاذ في غير الغرض الذي مُنح من أجله الإذن ولا يشترط في هذا السياق قصد خاص يتجاوز ذلك متى ثبت أن الفاعل كان على دراية بأن نطاق الإذن مقيد بالإصلاح أو الصيانة ثم انصرف بفعله إلى ما يتجاوز هذا النطاق ويستدل على هذا القصد من خلال طبيعة الأفعال التقنية ذاتها أو تكرارها أو اتساع نطاق البيانات التي تم الوصول إليها دون مقتضى فني. ويضاف إلى ذلك (الركن المفترض) أو محل الحماية الجنائية والمتمثل في البيانات والنظام المعلوماتي ذاته باعتبارهما محلا قانونيا مستقلا للحماية وهو ما استقر عليه الاتجاه التشريعي الحديث في جرائم تقنية المعلومات حيث لم يعد الاعتداء مقصورا على المساس المادي التقليدي بل امتد إلى المساس بسلامة وسرية البيانات الرقمية بوصفها قيمة قانونية قائمة بذاتها تستوجب الحماية الجنائية.

غير أن الإشكال لا يقف عند حدود التكييف النظري بل يمتد إلى إشكالية (الإثبات) وهي من أدق إشكاليات الجرائم المعلوماتية فالفعل هنا لا يقع في مواجهة مادية مباشرة ولا يترك بالضرورة أثرا محسوسا للمستخدم غير المتخصص بل يتم داخل بيئة رقمية مغلقة نسبيا قد لا تتيح لصاحب الجهاز القدرة على تتبع ما تم فعليا أثناء جلسة التحكم وهو ما يخلق فجوة واضحة بين التصور القانوني القائم على إمكانية الضبط والواقع التقني القائم على قابلية الإخفاء أو عدم الظهور.

وتزداد هذه الإشكالية تعقيدا إذا ما وضعناها في سياق أوسع يتعلق بحماية البيانات الشخصية باعتبارها أصبحت في التشريعات الحديثة محل حماية جنائية مستقلة ففي القانون المصري مثلا جاء (قانون مكافحة جرائم تقنية المعلومات المصري رقم ١٧٥ لسنة ٢٠١٨) ليقرر حماية جنائية صريحة للبيانات والنظم المعلوماتية مؤسسا لمبدأ مفاده أن الاعتداء لا يقتصر على الدخول غير المشروع فحسب بل يمتد إلى صور إساءة الاستخدام أو تجاوز حدود الإذن الممنوح. وعلى الصعيد المقارن فإن اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) كرست مبدأ جوهريا مؤداه أن الموافقة (Consent) لا تُفسر على إطلاقها بل يجب أن تكون محددة وصريحة (ومقيدة بالغرض) الذي مُنحت من أجله وهو ذات الاتجاه الذي يعزز الفهم الجنائي الحديث لمفهوم الإذن المقيد.

ومن ثم فإننا أمام معادلة دقيقة في السياسة الجنائية المعاصرة من جهة هناك ضرورة تقنية واقعية تفرض استخدام أدوات التحكم عن بُعد كوسيلة فعالة للصيانة والدعم ومن جهة أخرى هناك خطر بنيوي يتمثل في اتساع نطاق الوصول إلى البيانات بصورة قد تتجاوز إدراك المستخدم وحدود توقعه وهنا يظهر التوتر بين المشروعية الشكلية للدخول والمشروعية الموضوعية للاستخدام
ولا يمكن إغفال أن هذه الإشكالية لا تتعلق بالحاسب الآلي وحده بل تمتد إلى (منظومة الأجهزة الذكية) كافة وفي مقدمتها الهواتف المحمولة التي باتت تمثل وعاء شاملا للبيانات الشخصية بما يجعل أي نفاذ غير منضبط إليها ولو في إطار فني مشروع مساسا محتملا بجوهر الحق في الخصوصية الرقمية.

وفي ضوء ذلك فإن الحماية الجنائية للبيانات تظل رغم أهميتها حلا لاحقا بطبيعته إذ تتدخل بعد تحقق الانتهاك أو انكشافه دون أن تمتلك في الغالب أدوات وقائية تمنع لحظة تجاوز الإذن أو إساءة استخدامه وهو ما يعيد طرح السؤال الجوهري حول كفاية الحماية القانونية وحدها في ظل بيئة تقنية تتسم بالسرعة واللامرئية وصعوبة التتبع. ومن زاوية تعزيز الحماية الفعلية التي يثيرها هذا المقال فإن الأمر لا ينبغي أن يظل محصورا في الإطار النظري أو في ثقة المستخدم وحدها بل يمتد إلى حلول عملية يمكن أن تحدث توازنا بين الضرورة التقنية ومخاطر الانكشاف ومن أهم هذه الحلول أن يتم كلما أمكن استخدام تطبيقات تتيح خاصية تسجيل الجلسة (Session Recording) بحيث يتم توثيق كل ما يجري داخل جلسة التحكم عن بُعد لحظة بلحظة بما يضمن وجود (سجل رقمي) يمكن الرجوع إليه عند النزاع أو الاشتباه في تجاوز حدود الإذن.

كما يمكن في مستوى أكثر دقة تقييد صلاحيات الطرف الفني على ملفات أو نطاقات محددة داخل الجهاز بحيث لا يكون الدخول مطلقا إلى كامل المحتوى وإنما في حدود ما تقتضيه عملية الصيانة فقط وهو ما يعيد ضبط العلاقة بين الحاجة الفنية والخصوصية الشخصية في إطار أكثر توازنا فوجود هذا (الأثر الرقمي الموثق) لا يمثل مجرد إجراء تقني احترازي بل يشكل ضمانة قانونية جوهرية إذ يخفف من إشكالية الإثبات التي أشرنا إليها سابقا ويجعل من الممكن الاحتجاج بما تم فعليا في حال حدوث أي انحراف عن حدود الإذن
وهكذا يكتمل التصور القانوني للمسألة بين الإذن من جهة وضبط آثاره من جهة أخرى في إطار يوازن بين متطلبات العمل عن بُعد وبين ضرورة صون الخصوصية وحماية البيانات من أي انحراف محتمل.

ما بدأ كعطلٍ تقني بسيط انتهى إلى إدراك أعمق لطبيعة التحول الذي أصاب مفهوم (السيطرة على البيانات) لم يعد الجهاز مجرد أداة تحت يد المستخدم وحده بل أصبح مساحة يمكن مشاركتها مؤقتا بإذن واحد قد يبدو بسيطا في ظاهره لكنه يحمل في داخله أثرا قانونيا بالغ الدقة ومن ثم فإن خط الدفاع الأول لم يعد النص الجنائي وحده بل وعي المستخدم بحدود ما يمنحه من صلاحيات وإدراكه أن الإذن الرقمي ليس إجراء شكليا بل تصرف قانوني قد يعيد رسم حدود الخصوصية ذاتها في لحظة واحدة. والله من وراء القصد.