مقترح قانون مكافحة جرائم تقنية المعلومات في العراق
فهرس المقال
مقدمة
لم يعد الفضاء الرقمي في العراق مساحة جانبية أو هامشًا تقنيًا، بل أصبح جزءًا أساسيًا من حياة المواطن، وعمل المؤسسات، والخدمات المالية، والإدارية، والإعلامية، والأمنية. ومع هذا التحول، تصاعدت جرائم الابتزاز الإلكتروني، والاحتيال الرقمي، والاختراق، وانتحال الهوية، وتعطيل الأنظمة، واستغلال المنصات الإلكترونية للإضرار بالأفراد والمؤسسات.
لذلك، فإن وجود قانون حديث لمكافحة جرائم تقنية المعلومات أصبح ضرورة حقيقية للعراق. لكن أهمية القانون لا تعني تمريره بأي صياغة، فالقوانين الرقمية تحتاج إلى دقة عالية؛ لأنها تمس في الوقت نفسه الأمن السيبراني، والخصوصية، وحرية التعبير، والأدلة الرقمية، وصلاحيات الدولة في طلب البيانات من مزودي الخدمة والمنصات.
القانون ضروري… لكن الصياغة تحتاج إلى مراجعة
بعد اطلاعي الأولي على مقترح قانون مكافحة جرائم تقنية المعلومات، أرى أن هذا القانون ضروري للعراق، خصوصًا في ظل تزايد الجرائم الرقمية التي أصبحت أكثر تعقيدًا وانتشارًا وتأثيرًا على المجتمع والدولة.
لكن ضرورة القانون لا تعني إقراره بأي صياغة، فالقوانين الرقمية تحتاج إلى دقة تشريعية عالية؛ لأنها تتعامل مع جرائم تقنية معقدة، وتمس في الوقت نفسه الخصوصية، وحرية التعبير، والأدلة الرقمية، وصلاحيات طلب البيانات، ومسؤوليات مزودي الخدمة والمنصات.
ومن خلال مراجعتي الأولية للمسودة، ومقارنتها بما يقابلها في القانون الجنائي الدنماركي، والإطار التشريعي الأوروبي، واتفاقية بودابست للجرائم السيبرانية، وصلت إلى نتيجة واضحة مفادها أن الصيغة الحالية للمقترح تحتاج إلى مراجعة دقيقة مادةً مادة؛ لأن بعض المواد تتضمن ثغرات قانونية وتقنية وحقوقية قد تؤثر على سلامة تطبيق القانون مستقبلًا.
وهذا المقال يمثل تشخيصًا أوليًا للملاحظات العامة على المسودة، وليس بديلًا عن المراجعة التشريعية التفصيلية. أما العمل التحليلي الأعمق، فيتمثل في دراسة مواد القانون مادةً مادة، ومقارنة كل مادة بما يقابلها في القانون الدنماركي، والإطار التشريعي الأوروبي، واتفاقية بودابست، وصولًا إلى مقترحات تعديل عملية تساعد على صياغة قانون عراقي أكثر دقة وتوازنًا وقابلية للتطبيق.
المشكلة ليست في فكرة القانون
برأيي، المشكلة ليست في فكرة القانون نفسها، فالعراق فعلًا بحاجة إلى قانون حديث وقوي لمكافحة الجرائم الرقمية. لكن الإشكال يكمن في بعض الصياغات الواسعة والعبارات العامة، وفي عدم التمييز الكافي بين الجرائم التقنية الحقيقية، مثل الاختراق، والاحتيال، والابتزاز، وتعطيل الأنظمة، وبين قضايا النشر والتعبير والرأي والمحتوى.
وهذا التمييز مهم جدًا؛ لأن الجريمة التقنية الحقيقية تستهدف نظامًا معلوماتيًا، أو بيانات، أو حسابًا، أو خدمة رقمية، أو بنية تحتية إلكترونية. أما قضايا النشر والتعبير والرأي فهي مجال حساس يجب التعامل معه بضمانات دستورية واضحة، حتى لا يتحول قانون مكافحة الجرائم الإلكترونية إلى أداة لتقييد النقد أو الصحافة أو الرأي المشروع.
ماذا أظهرت المقارنة مع التجارب الأوروبية والدنماركية؟
من خلال المقارنة مع التشريعات الدنماركية والأوروبية، يتضح أن القوانين الحديثة تميل إلى تحديد الفعل الجرمي بدقة، واشتراط القصد الجنائي، والتمييز بين الفعل البسيط والفعل الجسيم، وتشديد العقوبة فقط عند استهداف البنية التحتية الحرجة، أو المؤسسات المالية، أو الأنظمة الحكومية، أو عند ارتكاب الجريمة بصورة منظمة.
كما أن اتفاقية بودابست للجرائم السيبرانية تركز على جرائم الأنظمة والبيانات، والأدلة الرقمية، والتعاون الدولي، مع ضرورة وجود ضمانات إجرائية واضحة في التفتيش، والضبط، وطلب البيانات، واعتراض الاتصالات، وحفظ الأدلة الرقمية.
الحاجة إلى ضبط العقوبات والضمانات
أرى أن هناك حاجة واضحة إلى ضبط العقوبات بصورة أكثر توازنًا، بحيث لا تُعامل كل الأفعال الرقمية بنفس الدرجة من الخطورة. فهناك فرق كبير بين فعل بسيط محدود الأثر، وبين هجوم منظم يستهدف مصرفًا، أو مؤسسة حكومية، أو بنية تحتية حرجة.
كما توجد حاجة إلى إدخال حماية قانونية للباحثين الأمنيين ومختبري الاختراق المصرّح لهم، وتقوية ضمانات الأدلة الرقمية، وتنظيم طلبات البيانات من مزودي الخدمة والمنصات وفق أوامر قضائية محددة وواضحة، حتى لا تُستخدم هذه الصلاحيات بصورة واسعة أو غير منضبطة.
مواد الثقة الرقمية تحتاج إلى صياغة أدق
ومن النقاط التي تحتاج إلى عناية خاصة أيضًا، المواد المتعلقة بالتوقيع الإلكتروني والرقمي، ووسائل الدفع، وشهادات التصديق، والمحررات الإلكترونية. فهذه المواد مهمة جدًا لحماية الثقة الرقمية والمعاملات الإلكترونية، لكنها تحتاج إلى صياغة فنية أدق تميّز بين التوقيع الإلكتروني البسيط، والتوقيع الرقمي القائم على المفاتيح التشفيرية، وشهادة التصديق، وبيانات إنشاء التوقيع، ووسائل الدفع الرقمية.
فليس كل ما يتعلق بالتوقيع الرقمي يُسمى “تزويرًا” بالمعنى التقني المباشر، لأن الجريمة قد تقع من خلال سرقة المفتاح الخاص، أو اختراق حساب التوقيع، أو تزوير شهادة التصديق، أو استعمال وسيلة توقيع عائدة للغير دون حق.
المطلوب: تحليل مادةً مادة
لذلك، أرى ضرورة عدم التسرع في إقرار القانون بصيغته الحالية قبل إجراء تحليل تفصيلي لكل مادة من مواده، من الناحيتين القانونية والتقنية، ومقارنتها بأفضل الممارسات التشريعية في الدنمارك والاتحاد الأوروبي واتفاقية بودابست.
والهدف من هذه المراجعة ليس تعطيل القانون أو إضعافه، بل العكس تمامًا. الهدف هو إخراج قانون قوي، عادل، قابل للتطبيق، يحمي المجتمع والدولة من الجرائم الرقمية، وفي الوقت نفسه لا يتحول إلى أداة لتقييد حرية التعبير أو الصحافة أو النقد المشروع أو البحث الأمني.
الخلاصة
نحن بحاجة إلى قانون جرائم إلكترونية في العراق، لكننا بحاجة إليه بصياغة دقيقة ومتوازنة، تجرّم الفعل الإجرامي الرقمي الحقيقي، وتحمي المواطن والمؤسسات، وتدعم السيادة الرقمية، وتنسجم مع الدستور العراقي والمعايير الدولية الحديثة في مكافحة الجرائم السيبرانية وحماية الحقوق والحريات العامة.
وقد أظهر التحليل وجود بعض الفقرات التي تحتاج إلى إعادة ضبط تشريعي واضح، خصوصًا تلك التي تخلط بين جرائم تقنية المعلومات من جهة، وحرية الرأي والتعبير والنقد والنشر على وسائل التواصل الاجتماعي من جهة أخرى. فكتابة الرأي أو النقد أو التعبير عن موقف عام لا ينبغي أن تُعامل كجريمة إلكترونية، ما لم تقترن بفعل مجرّم مستقل، مثل الاختراق، أو الابتزاز، أو الاحتيال، أو التهديد، أو نشر بيانات خاصة دون مسوغ قانوني، أو التحريض المباشر على العنف.
إن القانون الجيد لا يُقاس بشدة العقوبات فقط، بل بدقة النص، ووضوح الفعل المجرّم، وتناسب العقوبة، وقوة الضمانات، وقدرته على حماية المجتمع دون المساس بجوهر الحقوق والحريات.
المصادر المرجعية
- مقترح قانون مكافحة جرائم تقنية المعلومات العراقي، النسخة محل المراجعة.
- القانون الجنائي الدنماركي Straffeloven، منصة Retsinformation الرسمية: https://www.retsinformation.dk/eli/lta/2025/1294
- التوجيه الأوروبي Directive 2013/40/EU بشأن الهجمات ضد نظم المعلومات: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32013L0040
- اتفاقية بودابست للجرائم السيبرانية، مجلس أوروبا: https://www.coe.int/en/web/cybercrime/the-budapest-convention
- اللائحة العامة لحماية البيانات GDPR – Regulation (EU) 2016/679، عند اتصال النصوص بالبيانات الشخصية والخصوصية.
- توجيه NIS2 – Directive (EU) 2022/2555، عند اتصال النصوص بالبنية التحتية الحرجة ومزودي الخدمات الأساسية: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
- قانون الخدمات الرقمية الأوروبي Digital Services Act – Regulation (EU) 2022/2065، عند اتصال النصوص بالمنصات والمحتوى الرقمي: https://eur-lex.europa.eu/eli/reg/2022/2065
