تاريخ الاستلام 1/12/2022 تاريخ القبول 20/3/2023

حقوق الطباعة محفوظة لدى مجلة كلية القانون والعلوم السياسية في الجامعة العراقية

حقوق الملكية الفكرية محفوظة للمؤلف

حقوق النشر محفوظة للناشر (كلية القانون والعلوم السياسية - الجامعة العراقية)

CC BY-NC-ND 4.0 DEED

Printing rights are reserved to the Journal of the College of Law and Political Science at Aliraqia University

Intellectual property rights are reserved to the author

Attribution – Non-Commercial – No Derives 4.0 International

For more information, please review the rights and license

DOI /10.61279/s644g985

مدى كفاية قواعد السرية المصرفية

لحماية معلومات وبيانات العميل الالكترونية

بين القانونين العراقي والانكليزي

Banking databases for the protection of

electronic customer information and data between Iraqi and British laws

أ.م.د. زمن غازي جعفر

كلية الحقوق \جامعة النهرين

Assistant Professor Dr. Zaman Ghazi Jaafar

college of Law/ Al-Nahrain University

المستخلص:

يتبين لنا من خلال هذا البحث ان قواعد حماية السرية المصرفية الواردة في التشريعات وعلى وجه الخصوص التشريع العراقي غير كافية لوحدها لحماية معلومات وبيانات العميل الالكترونية في المصارف ،نظرا للتطور الكبير الذي شهدته التجارة عموما والتجارة الالكترونية خصوصا ، وبغية جذب المستثمر فلابد من تحسين جودة الخدمات المصرفية المقدمة من المصارف لاسيما الالكترونية لمواكبة التغيرات السريعة في عالم التجارة والاقتصاد .

ولذلك سعت التشريعات في معظم الدول الى تنظيم ووضع منظومة معينة لحماية هذه المعلومات وهو ما يصطلح على تسميته بأمن المعلومات الذي يجب ان يعمل جنبا الى جنب مع قواعد السرية المصرفية لجذب المستثمرين نتيجة لهذه الحماية التي كفلتها التشريعات ونتيجة اطمئنانه على معلوماته وبياناته التي تمثل حساباته وعملياته المصرفية ،فكلما زادت الثقة بالقطاع المصرفي كلما ادى ذلك الى تفعيل حركة الحياة التجارية والاقتصادية للدول .

وقدر تعلق الامر بالمشرع العراقي فقد ورد النص على قواعد السرية المصرفية في العديد من التشريعات وعلى راسها الدستور اضافة الى قانون العمل والضمان الاجتماعي وقانون العقوبات والمصارف والبنك المركزي ،كما انه نظم المحور الثاني المكمل لهذه الحماية والتي تتمثل بامن المعلومات في قانون التوقيع الالكتروني والمعاملات الالكترونية رقم 27 لسنة 2012 وكذلك نظام خدمات الدفع الالكتروني رقم 3 لسنة 2014 .

وهذا ان دل على شيء فهو يدل على ادراك المشرع لأهمية المعلومات ودورها في تنمية القطاع المصرفي والاقتصاد عموما اذا ما حميت واحيطت بقواعد قانونية سليمة تضمن بيئة مصرفية امنه للمستثمر.

Abstract

Through this research, it becomes clear to us that the rules of banking secrecy contained in legislation, in particular the Iraqi legislation, are insufficient alone to protect the information and electronic customer data in banks due to the great development witnessed by trade in general and e-commerce in particular, and in order to attract the investor, the quality of banking services provided by banks, especially electronic to keep pace with the rapid changes in the world of trade and economy, must be improved.

Therefore, legislation in most countries sought to organize and develop a certain system to protect this information, which is called information security, which must work in tandem with the rules of banking secrecy to attract investors as a result of this protection guaranteed by legislation and as a result of its reassurance on its information and data that represent its accounts and banking operations, the greater the confidence in the banking sector, the more this leads to activating the movement of commercial and economic life of countries.

As far as the Iraqi legislator is concerned, the text on the rules of banking secrecy has been contained in many legislations, foremost of which is the constitution, in addition to the laws of Labour, Penalties and Banks, and the Iraqi legislator stipulated the second axis complementary to this protection, which is the security of information in the law of Electronic Signatures and Transactions No. 78 of 2012, as well as the electronic payment services system No. 3 of 2014, and this indicates something, it indicates the legislator’s awareness of the importance of this information and its role in the development of The banking and economic sector in general, If protected and surrounded by sound legal rules that ensure a safe banking environment for the investor.

المقدمة :

نتيجة لانتشار التجارة الالكترونية وتطورها برزت الحاجة الى ان يصاحب هذا التطور تحسين وتحديث للخدمات المصرفية امام تقنية المعلومات والاتصال بشكل يواكب المتغيرات السريعة في عالم التعاملات التجارية لذلك نشأت المصارف الالكترونية التي تعد تقنيات متقدمة لأجل تنفيذ عمليات الدفع في العمليات التجارية فاصبح من الممكن ان يوجد مصرف دون مكاتب او موظفين ومباني واصبح من الممكن ان يسحب العميل أمواله ويودعها في لحظة وفي أي مكان بعيدا عن التعقيد وهذا بالتأكيد ينسجم مع سمة اقتصاد وتجارة العصر التي تقوم على التقنيات إضافة الى قيام التجارة أصلا على عاملي السرعة والائتمان ، لذلك تمثل المصارف الالكترونية عامل جذب امام المستثمرين لجذب ودائعهم ودعم الاقتصاد وهو ما تسعى اليه جميع الدول فهي تتبارى في جذب المستثمرين بما تكفله من حماية لهم في قوانينها ، ولعل اهم ما يجذب المستثمرين في قطاع المصارف هو حماية المعلومات الخاصة بهم وهذا يمثل العائق الأكبر والشغل الشاغل امام المصارف سواء كانت التقليدية ام الالكترونية للعمل على تطمين المستثمر على بيانته التي تمثل حساباته وعملياته المصرفية ، لذلك كلما كانت نظم الحماية اكثر رصانة كلما زاد الاستثمار وانعكس ذلك على الاقتصاد ككل ، فكلما زادت الثقة بالنشاط المصرفي كلما زاد اقبال رجال الاعمال وصغار المدخرين على المصارف وهو ما يؤدي الى تفعيل حركة الحياة التجارية والاقتصادية للدولة .

أهمية البحث :

تظهر أهمية البحث في هذا الموضوع لمحاولة الوصول الى بيئة مصرفية الكترونية امنة تعمل على جذب المستثمر وبالتالي تنمية الاقتصاد الوطني ومحاولة الكشف عن مواطن الخلل والقصور في التشريعات المصرفية في العراق والتي من شانها اضعاف الثقة بهذا القطاع ومعالجتها ونشر ثقافة التعامل الالكتروني ببيان ما يمكن ان يحققه من مزايا للعميل وانعكاسات ذلك على الاقتصاد .

مشكلة البحث :

سنسلط الضوء في هذا البحث على حماية بيانات العميل الالكترونية التي تعد العقبة الأخطر امام تسويق منتجات المصارف الالكترونية وسنحاول الإجابة عن التساؤلات التالية :

ما هي مخاطر المصارف في البيئة الالكترونية وكيف تؤثر على الزبون ؟ وهل المخاطر التي يتعرض لها الزبون تتمثل فقط بالإفصاح غير المشروع عنها ؟

هل تعد قواعد السرية المصرفية الواردة في قانون البنك المركزي العراقي وقانون المصارف والتشريعات ذات الصلة كافية لحماية ومعالجة أي خطر يمكن ان يتعرض له معلومات العميل السرية ؟

هل نصت التشريعات العراقية على مقومات نظام امن المعلومات ؟

المبحث الأول

المخاطر التي يتعرض لها العميل في البيئة الالكترونية المصرفية

وحمايته وفقا لقواعد السرية المصرفية

هنالك العديد من المخاطر التي يمكن ان تعترض الاستثمار في القطاع المصرفي وعلى وجه الخصوص الالكتروني لا بد من التطرق اليها وبيان مدى تأثيرها على جذب العملاء بصورة عامة وعلى سرية معلومات الزبون بصورة خاصة وهذا ما سنبحثه في مطلبين وعلى الوجه التالي :

المطلب الأول: المخاطر الواردة في البيئة الالكترونية المصرفية

تعرف المخاطر بانها « التقلب في العائد المستقبلي «^{^[1]} وهناك من عرفها «الخسارة المادية المحتملة نتيجة لوقوع حادث معين «^{^[2]} ،بينما عرفها اخرون بانها» حالة معياريه واقعية تفرض نفسها بالطرق الاستنتاجية للسبب والاثر والبناء الاجتماعي وتتطلب دراسة عميقة ^{^[3]}،او انها «إمكانية حدوث انحراف في المستقبل بحيث تختلف الأهداف المرغوب في تحقيقها عما هو متوقع ^{^[4]} او انها احتمالات قابلة للقياس لتحقيق خسائر او عدم الحصول على القيمة مشيرا الى ان المخاطرة تختلف عن عدم التأكد حيث ان الأخيرة غير قابلة للقياس^{^[5]} او انها «الاثار غير المواتية على الربحية الناتجة عن العديد من عوامل عدم التأكد وان قياس المخاطرة يتطلب الوقوف على تأثير الأمور غير المواتية التي تتم في ظل ظروف عدم التأكد على الربحية^{^[6]}، وبناءا على ذلك فهناك العديد من المخاطر التي تتعرض لها المصارف عموما من هذا المنظور طالما ان اعمالها تقوم على أساس المضاربة بقصد تحقيق الأرباح وما يهمنا منها هي تلك المتعلقة بالمصارف الالكترونية ومدى تأثيرها على العميل وتتلخص هذه المخاطر بالاتي :

1- المخاطر الاستراتيجيةStrategic Risks :

هي تلك المخاطر الحالية او المستقبلية التي تنشا نتيجة اتخاذ القرارات غير الصائبة او بتنفيذها بشكل خاطئ او عدم التجاوب مع المتغيرات الحاصلة في القطاع المصرفي الالكتروني^{^[7]} وهو بالنتيجة ما ينعكس على العميل ويعرضه للضرر والخسائر ويؤثر على رغبته بالاستمرار مع هذا المصرف او ذاك ولذلك لابد لهذه المصارف ان تتأنى في دراسة قراراتها وسياسة تنفيذ هذه القرارات للمحافظة على ربحية المؤسسة.

2-المخاطر التشغيلية business Risks :

عرفت لجنة بازل المخاطر التشغيلية انها تلك الناجمة عن عدم كفاية او انخفاض العمليات الداخلية او الأشخاص او الأنظمة او التي تنجم عن احداث خارجية ^{^[8]} وطالما ان المصارف الالكترونية في اغلبها تعتمد على طرف ثالث لتسيير عملياتها وادارتها وتربط عادة أنظمتها به ،على هذا الأساس يمكن ان تحدث أخطاء في تشغيل الأنظمة بما يتطلب المراقبة وفي حالة عدم ملائمة تصميم النظم وعدم صيانتها وعدم السرعة في إنجازها تتحقق هذه المخاطر ، كما ان بيانات العملاء يمكن ان تتعرض للاختراق طالما انها متداولة الكترونيا ويمكن ان يكون عرضة للسرقة والنصب والاحتيال بما يتعين على البنوك اتخاذ الإجراءات المناسبة لحمايتها بما ينسجم والمعايير الدولية والتأكد من هوية العملاء وشرعيتهم بالنسبة للحسابات المصرفية مع ازدياد حالات الاختراق غير الشرعي لشبكة الانترنت العالمية، وفي هذا الصدد من المناسب ان نذكر واقعة معينة حصلت عندما قام شخص الماني بالدخول غير المشروع الى مركز المعلومات الخاص بأحد المصارف الالكترونية واستولى على ارقام البطاقات الائتمانية الخاصة بالعملاء ومن ثم بدا بابتزاز صاحب الخدمة بنشر تلك الأرقام اذا لم يقم بسداد فدية ماليه ^{^[9]} او القيام بتهكير بيانات العميل واختراقها من خلال اختراق نظام حماية المصرف الالكتروني فيترتب عليه انتهاك نظام حماية وسرية معلومات العميل ويصبح من السهل العبث بها او افشاءها او تغييرها او ارسالها لجهات أخرى^{^[10]} لذلك لابد من حماية حسابات العملاء لانهم قد يكونوا معرضين للنصب والاحتيال لعدم إمكانية التأكد من هوية العملاء كذلك يمكن ان يكون العميل معرضا لسرقة بطاقته الائتمانية او رمزه السري او فقدان بطاقته وهذه تعد صيدا سهلا للمتسللين حيث تعد هذه البطاقات نقودا الكترونية ^{^[11]}وليس من الصعب الاستيلاء عليها لمن يحترف ذلك ،الا ان هذه المخاطر لا تكون خارجية فقط بل قد تكون من العاملين في المصرف نفسه حيث يمكن التلاعب ببيانات العملاء سواء بإلغائها او إضافة بيانات لم تكن موجودة ومن دون ان يعلم إضافة الى مخاطر اتلاف المواقع وتدميرها بالفايروس المعلوماتي ^{^[12]}.وكذلك قد تكون هناك إساءة للاستخدام من قبل العملاء انفسهم نتيجة عدم احاطتهم بإجراءات الأمان الوقائية ^{^[13]}.

3- مخاطر السمعة Reputation Risks:

لا شك ان السمعة التجارية تعد من اهم عناصر المحل التجاري وتعد مكملا لعنصر الاتصال بالزبائن وكلاهما يسعيان الى اجتذاب العملاء والمحافظة عليهم ^{^[14]}لذلك كان حريا بالمصارف ان تسعى اداراتها جاهدة للمحافظة عليها للحفاظ على ربحيتها وتنافسيتها بين المصارف الأخرى وتنشا هذه المخاطر نتيجة لتوفر راي عام سلبي تجاه المصرف نتيجة عدم التزامه مثلا بمعايير الامن والمحافظة على سرية معلومات العملاء او الاستجابة الفورية، لاحتياجاتهم فهذه المخاطر تنشا نتيجة لعدم إدارة بقية المخاطر ومعالجتها بصورة سريعة وكل هذا من شانه خلق صورة سيئة عن المصرف ويؤدي لعزوف المستهلكين عنه^{^[15]}

4- المخاطر القانونية Legal Risks:

هي تلك المخاطر الناشئة عن عدم احترام المصارف للتشريعات النافذة او عندما لا يكون هناك معالم واضحة ودقيقة للأنظمة القانونية التي تحكم هذه العمليات وخاصة ما يتعلق بالتوقيع الالكتروني وقواعد السرية المصرفية ومكافحة غسيل الأموال وتمويل الإرهاب ^{^[16]}.

5- المخاطر الصادمة او الفجائية Shocking Risks:

وهي تلك المخاطر التي تحصل نتيجة عدم تنفيذ احد الزبائن لالتزامه بالتسديد مما يؤثر على قدرة زبون اخر ليقوم بدوره في تنفيذ الالتزام في الموعد المحدد وهو ما يؤدي الى زعزعة الاستقرار في السوق .

وعلى هذا الأساس اذا لم تضع المصارف الية مناسبة لمواجهة هذه المخاطر فهذا سيعرض العميل للضرر وسيعزف عن التعامل مع هذه المصارف وهو ما ينعكس على قطاع المصارف بصورة خاصة والاقتصاد بصورة عامة .

المطلب الثاني: حماية العميل وفقا لقواعد السرية المصرفية في التشريع العراقي والإنكليزي

تعرف السرية المصرفية بانها «التزام المصارف بالمحافظة على اسرار العملاء وعدم الإفصاح عنها للغير باعتبار ان المصرف يعد مؤتمنا عليها بحكم مهنته الخاصة وتقوم العلاقة بين المصرف والعميل على أساس الثقة التي يكون عمادها محافظة المصرف على اسرار عملائه ^{^[17]} او انها « المسؤولية الملقاة على المصارف بأجهزتها وموظفيها أيضا ممن لهم علاقة معها بلزوم التكتم على الاعمال الاقتصادية والشخصية المتعلقة بزبائنهم وبالأشخاص الاخرين الذين قد تكون الت الى علمهم اثناء ممارستهم لمهنتهم ^{^[18]} او انها» امتياز يحمي معلومات العميل من الاطلاع عليها من الغير ويحمي البنوك والمؤسسات المالية في البيئة التجارية التي تتصف بالتقلبات وضغط السوق فتضمن السرية المصرفية سلامة النظام المصرفي من خلال منع الإفصاح عن المعلومات التي من شانها اضعاف ثقة الجمهور في البنوك «^{^[19]}.

ويشمل السر المصرفي كل امر او معلومة او وقائع تتصل بعلم المصرف عن عميله بمناسبة نشاطه او بسببه ^{^[20]}.

والسؤال الذي يطرح هنا :من هو الزبون الذي يستحق الحماية بموجب قواعد السرية المصرفية؟

اجتهد الفقه في ذلك وحدد ثلاثة اتجاهات :

الاتجاه الضيق: بموجب هذا الاتجاه فان العميل هو فقط من تعامل مع المصرف في تعاملات سابقة ودائمة ولذلك يسمى عميل ولا يمكن ان يكتسب صفة العميل متعامل عابر، ولذلك فان المصرف لا يلتزم بالمحافظة على اسرار السائح الذي يتعامل مع المصرف لصرف شيك او لأغراض الصيرفة وكذلك حامل الشيك لان ارادته لم تتجه للدحول بعلاقة مع المصرف ^{^[21]} ولهذا فان هذا الاتجاه منتقد .

الاتجاه الواسع : هو الذي يضفي صفة العميل على كل من تعامل مع المصرف ولو بصورة غير مباشرة وأيا كان التعامل وعلى هذا الأساس فوصف الزبون لا يقتصر على الشخص الذي يربطه بالمصرف علاقة تعاقدية فحسب بل يشمل كل من يتعامل مع المصرف فيعتبر المودع زبونا منذ اول عملية إيداع وكذلك السائح عندما يجري عملية الصيرفة ^{^[22]}.

وحقيقة الامر ان كلا الاتجاهين لا يمكن الاخذ بهما بشكل مطلق فلا يمكن الاخذ بالاتجاه الضيق والتنصل من مسؤولية حماية بيانات من تعامل مع المصرف لأول مرة بمجرد عدم وجود تعامل سابق وبنقس الوقت لا يمكن المغالاة في الاخذ بالاتجاه الموسع ولذلك حتى يكتسب الشخص صفة الزبون لا بد ان يكون المصرف قد وافق على العملية المصرفية فلا يمكن اطلاق صفة الزبون على من تعامل مع المصرف دون موافقته وان تتجه إرادة الزبون الى ذلك .

بعد التعرف على ماهية السرية المصرفية ومن هو الشخص الذي يتمتع بحماية قواعدها نتطرق الان الى موقف المشرع العراقي من حماية العميل وفقا لقواعد السرية المصرفية بالمقارنة مع موقف المشرع الإنكليزي وعلى التفصيل التالي:

حماية سرية المعلومات وفقا للدستور:

تعد القواعد الدستورية اسمى القواعد القانونية ولا يمكن لأي تشريع ان يخالفها والا يعد معيبا لعدم الدستورية ، وهذا ما يسمى بمبدأ السمو الدستوري ،وقد نص المشرع العراقي في المادة 17 من دستور العراق لعام 2005 على ان لكل الفرد الحق في الخصوصية حيث نصت المادة سابقة الذكر على ما يأتي «أولا :لكل فرد الحق في الخصوصية الشخصية بما لا يتنافى مع حقوق الاخرين والآداب العامة ....» ومن جانب اخر لو امعنا النظر في نص المادة 40 من الدستور العراقي لوجدنا ان المشرع العراقي قد كفل حرية الاتصالات والمراسلات ومنها الالكترونية وكفل حمايتها وعدم الكشف عنها الا لضرورة قانونية ،أي اذا نصت التشريعات على استثناءات معينة تبيح الإفصاح عن هذه البينات او لضرورة امنية ويشترط في الحالتين صدور قرار قضائي بذلك ^{^[23]}وهذا يعني ان الدستور العراقي قد وضع حماية لبينات الأشخاص بصورة عامة ومنها بيانات العملاء في المصارف لأنها تعتبر صورة من صور الخصوصية كما انه وضع مبدءا عاما مفاده ان هذه الحماية لا تكون مطلقة بل تحدها استثناءات تتمثل بان لا تتعارض هذه الحماية مع حقوق الاخرين والآداب العامة ،كما انه وضع حماية لجميع المراسلات والاتصالات ومنها مراسلات العميل مع المصارف واتصالاته وهنا يأتي دور التشريعات المنظمة لكيفية حماية هذه البيانات بما يتفق مع هذا المبدأ ^{^[24]}. لذلك فان السرية المصرفية تجد أساسا لها في الدستور العراقي من هذا المنطلق .

اما بالنسبة للمشرع الإنكليزي فليس هناك دستورا مقننا واحدا في المملكة المتحدة بل توجد عدد من الوثائق المختلفة ^{^[25]} وهناك الكثير من المبادئ التي تتجسد بشكل مكتوب ولها قوة المبادئ الدستورية كالسيادة البرلمانية والأعراف الدستورية والسلطات الملكية والامتيازات البرلمانية^{^[26]} وقدر تعلق الامر بحماية السرية المصرفية فهناك الاتفاقية الاوربية لحقوق الانسان التي يمكن القول انها تشكل الأساس الدستوري لحماية السرية المصرفية وبالتحديد نص المادة 8 منها حيث نصت على انه «1- لكل انسان حق احترام حياته الخاصة والعائلية ومسكنه ومراسلاته 2- لا يجوز للسلطة العامة ان تتعرض لممارسة هذا الحق ،الا وفقا للقانون وبما تمليه الضرورة في مجتمع ديمقراطي لصالح الامن القومي وسلامة الجمهور او الرخاء الاقتصادي للمجتمع ،او حفظ النظام ومنع الجريمة ،او حماية الصحة العامة والآداب ،او حماية حقوق الاخرين وحرياتهم « ونلاحظ هنا ان مصطلح الحياة الخاصة قد ورد هنا أيضا كما هو الحال بالنسبة للمشرع العراقي إضافة الى حماية الحياة العائلية وحرمة السكن والمراسلات وقد ذهب الشراح الى ان حماية الحياة الخاصة يمكن ان يعني حماية حرمة الفرد الجسدية وسمعته وشرفه وكذلك الاستخدام غير المصرح لبيناته الشخصية وعلى هذا الأساس فان الحماية من افشاء معلوماته تندرج تحت بند حماية الحياة الخاصة حيث يلتزم المصرف بحماية بينات عملاءه باعتباره محترف وتحت واجب السرية المهنية ،^{^[27]} وقد كان لقضية Gaskin ضد المملكة المتحدة اثر كبير في تقرير حماية بيانات الأشخاص الالكترونية فيما بعد في قانون حماية البيانات لعام1998حيث كان Gaskin مع الوالدين بالتبني الى حين بلوغه سن الرشد وقد ادعى انه تعرض لسوء معاملة خلال فترة رعايته واقام دعواه وطلب الوصول الى سجلاته الخاصة التي تحتفظ بها خدمات ليفر بول الاجتماعية وقد منح المجلس المذكور حق الوصول الجزئي لهذه السجلات بحجة واجب السرية تجاه الأشخاص الذين يتم الاعتماد عليهم لتقديم المعلومات الى الرعاية الاجتماعية وقد استأنف Gaskin القضية امام محكمة الاستئناف التي ايدت الرفض واسست حكمها انه ليس من المصلحة العامة منح حق الوصول لهذه المعلومات لان القيام بذلك سيمنع المخبرين من تقديم المعلومات ويكشف عن هوياتهم ويعد ذلك انتهاكا لواجب السرية تجاههم ، ثم قام Gaskin بعدها بالاستئناف امام المحكمة الاوربية لحقوق الانسان التي تشكلت بموجب الاتفاقية الاوربية لحقوق الانسان في ستراسبورغ باعتبار ان ذلك يمثل انتهاكا لنص المادة 8 من الاتفاقية الاوربية لحقوق الانسان وتم الفصل في قضيته عام 1989 وقررت المحكمة ان الدولة لا بد ان تحترم الحياة الخاصة والعائلية وقد انتهكت هذه الأخيرة من قبل الحكومة البريطانية وهذا يعد انتهاكا لنص المادة 8 من الاتفاقية الاوربية لحقوق الانسان وقررت أيضا انه لا يمكن منع الأشخاص ممن هم في نفس حالة Gaskin من حيث المبدأ من الوصول لسجلاتهم لأنها بمثابة ذكريات الوالدين^{^[28]} لذلك يتضح ان المفهوم الواسع لنص المادة 8 يمكن ان يشمل حماية بينات الشخص المالية حيث ان جمع المعلومات عن الشخص ولأي غرض يجب ان يكون تحت اطار الفقرة الاولى من المادة الثامنة ويجب ان يكون مبررا وفقا للضرورات المنصوص عليها في الفقرة الثانية منها وعلى هذا الأساس يمكن حماية معلومات العميل ضمن حماية حقوق الانسان والحق في الحياة الخاصة المنصوص عليه في المادة الثامنة .

حماية سرية المعلومات وفقا للقانون الجنائي:

أورد المشرع العراقي في قانون العقوبات ثلاثة نصوص يمكن الاستدلال بها على حماية بيانات العميل حيث أورد المشرع عقوبة الحبس والغرامة او بإحدى هاتين العقوبتين كل موظف او مكلف بخدمة عامة افشى معلومات وصلت اليه بحكم وظيفته لشخص يعلم عدم وجوب اخباره بها وتشدد العقوبة في حال كان هذا الافشاء مضرا بمصلحة الدولة ^{^[29]} كما انه قرر عقوبة السجن مدة لا تزيد عن سبع سنوات او الحبس لكل موظف او مكلف بخدمة عامة ...........فتح او اتلف او اخفى رسالة او برقية ....او سهل لغيره ذلك او افشى سرا تضمنته الرسالة او البرقية ويعاقب بنفس العقوبة من افشى مكالمة هاتفية او سهل لغيره ذلك^{^[30]}وهذين النصين يمكن ان ينطبقا على العاملين في المصارف الحكومية والمختلطة لأنه يخاطب الموظفين والمكلفين بخدمة عامة .

وكذلك قد افرد المشرع العراقي احكاما خاصة لإفشاء السر المهني وعاقب بالحبس مدة لا تزيد عن سنتين وبالغرامة او بإحدى هاتين العقوبتين كل من علم بحكم وظيفته او صناعته او فئة او طبيعة عمله بسر فأفشاه في غير الأحوال التي تبيح ذلك او استعمله لمنفعته الشخصية او منفعة شخص اخر واستثنى من ذلك من افشى هذه الاسرار بقصد تحقيق المصلحة العامة بالأخبار عن جناية او جنحة او منع ارتكابها ^{^[31]} وهذا ما يمكن ان ينطبق على العاملين في المصارف الخاصة فهم ملتزمون بواجب السرية المهنية طبقا لهذا النص وهو ما يمثل بنفس الوقت حماية للمتعاملين مع المصارف .

اما ما يتعلق بالمشرع الإنكليزي فهو الاخر أورد نصوصا بنفس الاتجاه في قانون عائدات الجريمة الإنكليزي لعام 2002 حيث نص على جريمة عدم الإفصاح التي يمكن ان يرتكبها الشخص وذلك في المادة 330 حيث نصت على انه «يرتكب الشخص جريمة عدم الإفصاح اذا توافرت الشروط التالية :1- ا- يعرف او يشتبه في امره ب- لديه أسباب معقولة للمعرفة او الشك ان شخصا اخر متورط في غسيل الأموال 2- ان تكون المعلومات التي ا- استند اليها في معرفته او شكوكه ب- واعطته اسبابا معقولة لمثل هذه المعرفة او الشك قد وصلت اليه في سياق عمله في هذا القطاع 3- ا- انه يمكنه تحديد هوية الشخص المتورط في غسيل الأموال او مكان وجود أي من الممتلكات المغسولة ب- ان يعتقد او لديه ما يدعو الى الاعتقاد ان المعلومات التي أدت الى معرفته او دعته للشك ستساعد او قد تساعد في تحديد ذلك الشخص او مكان وجود الممتلكات المغسولة 4- ان لا يقوم بالإفصاح المطلوب ل ا- موظف معين ب- الشخص المخول وهو مدير عام وكالة الجريمة الوطنية في اقرب وقت ممكن بعد وصول المعلومات اليه .5- الإفصاح المطلوب منه هو يمثل افشاءا لما يلي : ا- هوية الشخص المتورط بغسيل الأموال ان كان يعرفها ب- مكان وجود الممتلكات المغسولة على حد علمه ج- المعلومات التي وصلت لعلمه او دعته للشك د- الممتلكات التي تم غسلها وهي الممتلكات التي تشكل موضوع غسيل الأموال الذي يعرفه او يشتبه فيه او لديه أسباب معقوله لمعرفة ذلك الشخص او الاشتباه فيه .ولا يعتبر مرتكبا لهذه الجريمة اذا كان لديه عذر لعدم تقديم الإفصاح المطلوب او كان محامي او مستشار قانوني او وصلت الية المعلومة بمناسبة ظروف عمله الخاصة كان يكون محاسب او وكيل او طبيب وكل شخص ملتزم في اطار السرية المهنية ^{^[32]}وهذا يعني ان المشرع الإنكليزي جعل الإفصاح عن المعلومات والبيانات واجبا والتنصل عنه جريمة في حالة غسيل الأموال وهذا يعد استثناءا على الأصل العام وهو حماية بينات ومعلومات الأشخاص وقد اكدت ذلك المعنى المادة 337 من نفس القانون حيث نصت على» انه لا يعتبر الإفصاح الذي تتوفر به الشروط الثلاثة التالية خرقا لأي قيد على الإفصاح عن المعلومات : 1- المعلومات والبيانات التي تم الإفصاح عنها جاءت الى الشخص المفصح في سياق تجارته او مهنته او عمله او وظيفته 2- ان المعلومات والبيانات تسببت في ان يعرف المفصح او يشتبه او تكون لديه أسباب معقولة للعلم او الشك ان شخصا متورطا في غسيل الأموال 3- ان يكون الكشف لشرطي او ضابط جمارك او موظف معين في اقرب وقت ممكن عمليا بعد وصول المعلومات الى الشخص المفصح ...... ^{^[33]}وبنفس المعنى جاءت المادة 338 من نفس القانون ونصت على ان الإفصاحات المصرح بها هي تلك الافصاحات التي تكون لرجل الشرطة او موظف الجمارك اذا توافرت الظروف التالية : 1- اذا تم الكشف قبل ان يرتكب الجاني المزعوم الفعل المحظور 2- ان يتم الكشف اثناء قيام الجاني المزعوم بالفعل المحظور او انه بدا في ارتكاب الفعل في وقت لم يكن يعلم او يشتبه في ان الممتلكات تشكل او تمثل منفعة للشخص من السلوك الاجرامي تعد فعلا محظورا وعلى ان يتم الإفصاح بمبادرة منه وبمجرد ان يكون ذلك عمليا بعد ان يعلم او يشتبه في ان الممتلكات تشكل او تمثل فائدة للشخص من السلوك الاجرامي 3- اذا تم الكشف بعد ارتكاب الجاني للفعل المحظور ان يكون لديه عذر مقبول لعدم قيامه بالإفصاح وتم الإفصاح بمبادرة منه بمجرد ان امكنه ذلك .......^{^[34]}

حماية سرية المعلومات وفقا لقانون العمل :

يعرف العامل وفقا لنص المادة (1\6) من قانون العمل العراقي رقم 37 لسنة 2015 بانه «كل شخص طبيعي سواء كان ذكرا او انثى يعمل بتوجيه واشراف صاحب عمل وتحت ادارته سواء اكان يعمل بعقد مكتوب ام شفوي ،صريح ام ضمني ،او على سبيل التدريب او الاختبار او يقوم بعمل فكري او بدني لقاء اجر أيا كان نوعه بموجب هذا القانون « وعلى هذا الأساس يخضع موظفو المصارف الخاصة لقانون العمل العراقي لانهم يؤدون عملهم تحت اشراف ورقابة وإدارة أصحاب العمل كما انهم ملتزمون بموجب المادة (42\2\ب\ج) من نفس القانون بعدم الاحتفاظ باي سجلات او سندات او أوراق تخص العمل وكذلك عدم افشاء أي اسرار يطلعون عليها بحكم عملهم وحتى يتمكن موظفو البنوك من أداء وظائفهم لابد ان يكونوا على دراية بأسرار صاحب العمل (المصرف ) فيما يتعلق ببيانات العملاء وهذه الأخيرة تعتبر من اسرار العمل ولابد من المحافظة على سريتها وعلى هذا الأساس اعطى المشرع الحق لصاحب العمل ان ينهي عقد عمل العامل اذا ارتكب سلوكا مخلا بواجباته بموجب عقد العمل او ارتكب خطئا جسيما نشأت عنه خسارة فادحة اضرت بالعمل او العمال الاخرين او بالإنتاج بقرار قضائي بات^{^[35]}

ومن المعلوم ان الالتزام بالسرية اما ان يكون منظما صراحة في العقد او ان يكون العقد لم ينص عليه صراحة الا انه منظم تشريعيا كما هو الحال في نص المادة 909 من القانون المدني العراقي بخصوص عقد العمل إضافة لكون الالتزام بالسرية مفترض على أساس مبدا حسن النية طبقا لنص المادة 150 من نفس القانون^{^[36]}

ورغم ان المشرع العراقي لم ينص على النطاق الزمني لهذا الالتزام في قانون العمل فانه وبالرجوع الى قواعد القانون المدني فقد الزم المشرع ان يلتزم العامل بالمحافظة على اسرار صاحب العمل حتى بعد انتهاء عقد العمل^{^[37]}

اما بالنسبة للمشرع الإنكليزي فقد عرف العامل في قانون حقوق العمل في المملكة المتحدة لسنة 1996 بانه الفرد الذي يعمل بموجب عقد عمل او أي عقد اخر سواء كان صريحا او ضمنيا واذا كان صريحا سواء كان شفويا او كتابيا حيث يتعهد الشخص بالقيام او الأداء بشكل شخصي باي عمل او خدمات لطرف اخر في العقد لا يكون طالبا للمساعدة او زبونا لشخص محترف يتعهد بالقيام بشئ ^{^[38]} وقد الزم المشرع الإنكليزي العامل بان يحافظ على اسرار العمل اثناء فترة العقد من منطلق واجب الإخلاص وتأدية العمل بحسن نية وهذا التزام يقع على عاتق جميع العاملين تجاه أصحاب العمل بما في ذلك اوقاتهم خارج اطار العمل ^{^[39]} اما بعد انتهاء العقد فمن المعلوم ان العقود تكون ملزمة لأطرافها خلال مدة العقد فقط الا انه في عقود العمل يلتزم العاملين بعدم الإفصاح عن المعلومات السرية حتى بعد انتهاء العقد^{^[40]}وقد ميز القضاء الإنكليزي بين عدة أنواع من المعلومات التي يمكن ان يتوصل اليها العامل اثناء وبمناسبة عمله وذلك في قضية Faccenda Chchen Ltd v Fowler حيث كان الأخير يعمل مدير مبيعات لديهم وقد استخدمت الشركة نظاما اقترحه هو ثم استقال من منصبه واسس شركة جديدة تنافس Faccenda ووظف بعض موظفيها ولم يتضمن عقده السابق مع الشركة المذكورة انفا أي نص يمنعه من ذلك او يمنعه من استخدام المعلومات التي توصل اليها وقد طلبت الشركة المذكورة اصدار حكم يمنعه من استخدام معلومات المبيعات السرية وقد رفض طلبهم، وعند استئناف الدعوى ميزت المحكمة بين أربعة أنواع من المعلومات 1- المعلومات السرية جدا والتي تصل الى حد الاسرار التجارية 2- معلومات سرية عادية 3- المهارات العامة التي توصل اليها العامل 4- المعلومات البسيطة التي يمكن الوصول اليها من المصادر العامة.

وقضت المحكمة ان المعلومات التي تكون ضمن الفئتين الأولى والثانية هي فقط من تستحق الحماية ولذلك لم تكن معلومات المبيعات ضمن هاتين الفئتين بعد انتهاء عقد العمل ^{^[41]} وفي حالة عدم وجود شرط صريح في العقد فيجب الاستناد الى الشروط الضمنية للعقد والتي تكون مبينة على واجب الإخلاص الضمني وذهبت المحكمة الى انه لتحديد ما اذا كان الالتزام الضمني يمنع الإفصاح بعد انتهاء عقد العمل يجب مراعاة عدد من العوامل كطبيعة العمل وهل قام صاحب العمل بالتأثير على الموظف بسرية المعلومات وهل يمكن عزل المعلومات السرية بسهولة عن المعلومات التي يحق للعامل كشفها وعلى هذا الأساس توصلت المحكمة الى انه لا تندرج معلومات المبيعات أي أسماء وعناوين العملاء وطرق التعامل معهم وتحديد الأسعار ضمن فئة المعلومات السرية التي يجب حمايتها بعد انتهاء عقد العمل .

حماية السرية المصرفية وفقا لقوانين المصارف:

تناول المشرع العراقي موضوع السرية المصرفية من خلال قانون البنك المركزي العراقي رقم 56 لسنة 2004 والذي يمثل الجهة الرقابية على جميع المصارف في العراق حيث بينت المادة 22 منه وتحت عنوان السرية وتبادل المعلومات انه يحظر على محافظ البنك او نائبه او أي عضو فيه او موظف ان يكشف معلومات خاصة كان قد توصل اليها اثناء عمله او استخدام هذه المعلومات او السماح باستخدامها لأغراض شخصية الا في الحالات التي تحددها قوانين المصارف او أي تشريعات أخرى ذات علاقة ^{^[42]} وكذلك نظم المشرع العراقي موضوع السرية المصرفية في قانون المصارف العراقي وتحت عنوان السرية المصرفية التزام المصارف بالمحافظة على السرية لجميع حسابات العملاء وودائعهم وحظر المشرع إعطاء أي معلومات عنهم سواء بشكل مباشر او غير مباشر الا بموافقة خطية من العميل او من ممثله القانوني او احد ورثته او الموصى لهم في حالة وفاته كما ان المشرع نص على ان هذا الالتزام يبقى قائما حتى بعد انتهاء العلاقة بين العميل والمصرف لأي سبب من الأسباب ^{^[43]} من جانب اخر حدد المشرع العراقي النطاق الشخصي لهذا الالتزام ولم يحصره بالموظفين فقط بل شمل أيضا مسؤولو البنك المركزي ومراجعي الحسابات بل وجعل التزامهم ساريا تجاه العملاء حتى في حالة انتهاء عملهم مع المصرف الا انهم غير مسؤولين عن خرق قواعد السرية في حالة تحقق الاستثناءات المنصوص عليها في هذا القانون ^{^[44]} .

ولا يعد الأشخاص العاملون في المصارف قد اخلو بالتزامهم بالمحافظة على سرية البيانات في حالة تحقق واحد من الاستثناءات التي نصت عليها المادة 51 من قانون المصارف وهذه الاستثناءات تتعلق بحالة ان يكون الافشاء لتنفيذ التزام مفروض عليهم بموجب القانون كتقديم المعلومات اللازمة لمراجع الحسابات ليعد تقريره السنوي او في حالة طلب البنك المركزي لهذه المعلومات باعتباره جهة رقابية على جميع المصارف او في حالة مسؤولية المصرف في مكافحة غسيل الأموال وتمويل الإرهاب حفاظا على الصالح العام او بناءاً على مصلحة العميل وطلبه الخاص او للمحافظة على مصلحة المصرف والنشاط المصرفي عموما او فيما يتعلق بتبادل المعلومات مع سلطات رقابية في بلدان أخرى يقدمها البنك المركزي ^{^[45]} وفي ذات السياق نص المشرع على اعفاء من افشى معلومات من المسؤولية القانونية وحمايتهم باعتبار ان ذلك من سبل مكافحة غسيل الأموال ^{^[46]}كما اكد المشرع العراقي على طبيعة هذا الالتزام واكده في المادة 52 من القانون نفسه بوصفه لبينات العملاء بكونها سرية ولا يمكن الإفصاح عنها الا بموافقة المصرف وبشرط تحقق الاستثناءات السالفة الذكر كما اعطى المشرع للبنك المركزي الحق في نشر معلومات تخص الأنشطة المصرفية للمصارف في دورياته الخاصة شرط ان لا يؤدي النشر الى افشاء معلومات سرية ^{^[47]} من جانب اخر فان المشرع العراقي منح لاذن للبنك المركزي العراقي بان يتبادل المعلومات حول المواضيع الرقابية بالاستناد الى مذكرة تفاهم مع السلطات الرقابية لبلد اخر كأحد الاستثناءات التي تبيح حالة الافشاء بالمعلومات شرط قناعة البنك المركزي باتخاذ الإجراءات اللازمة لضمان سرية هذه المعلومات ^{^[48]} وعلى هذا الأساس فقد عالج المشرع العراقي موضوع السرية المصرفية في اكثر من مادة وشدد عليها الا انه من جانب اخر اباح الافشاء في ظروف معينه نصت عليها القوانين المصرفية ولا سيما ما يتعلق بغسيل الأموال ومكافحة الإرهاب .

اما المشرع الإنكليزي فقد كانت قضية Tournier v National Provincial and Union Bank of England عام 1924 محورا جوهريا وتحولا في انتقال الالتزام بالسرية المصرفية من مجرد التزام أخلاقي الى التزام قانوني وملخص هذه القضية ان السيد Tournier كان لديه حساب مكشوف لدى احد فروع National Provincial and Union Bank of England وكان ملتزما بالدفع في أقساط أسبوعية للمصرف المدعى عليه الا انه توقف عن السداد لفترة من الزمن وترك له المصرف رسائل الا انه لم يجب عنها ولم يفي بدينه كما انه لم يترك عنوانا له بل ترك عنوان صاحب العمل مما اضطر مدير فرع المصرف المدعى عليه الى الاتصال شخصيا بمدير عمله والاستفسار عنه واخبره ان على المدعي ان يسدد ديونه وان يحصل على المال من مصدر او اخر واخبره انه تتبع حساب المدعي وقد تم تحصيل شيك لحسابه وقام المدعي بتظهيره لحساب شركة مراهنات ونخشى ان موظفكم يعمل مع وكيل مراهنات واذا كان الامر كذلك فلا بد ان يسدد بعض ديونه ونتيجة لهذا الاتصال رفض صاحب العمل تجديد عمل المدعي عند انتهاء عقد الاختبار معهم ، فأقام Tournier دعوى على المصرف باعتباره قد خرق واجب السرية المصرفية الذي وان لم ينص عليه في العقد المبرم بينهما الا انه يعد التزاما ضمنيا نتيجة لذلك حددت المحكمة ان هناك أربعة حالات لا بمكن ان تعتبر خرقا للسرية المصرفية وتتمثل هذه الحالات بالاتي :

عندما يكون الافشاء مفروضا بحكم القانون

عندما يكون الافشاء لحماية المصلحة العامة

عندما تتطلب مصالح المصرف ذلك

عندما يكون الإفصاح قد تم بموافقة صريحة او ضمنية من العميل

الا ان المحكمة لم توضح المبدأ الأساسي لالتزام السرية الا ان هذا القرار الرائد حول هذا الواجب الى التزام قانوني^{^[49]} الا انه لا يغطي جميع انتهاكات السرية في المصارف وبدات البنوك تضمين عقودها مع العملاء شروطا تتناول السرية بعناوين مختلفة كما ان مبادئ قضية تيرنر التي وصلت اليها المحكمة طبقت في كندا والولايات المتحدة في قضية Milohnich v First وبالتحديد في ولاية فلوريدا حيث طبقتها في احدى القضايا حيث ان البنك عليه التزام تعاقدي ضمني للحفاظ على سرية المعلومات الخاصة بعملائها الا ان هذا الحكم سيترك للبنوك تقدير ما يقع ضمن المصلحة العامة او لا تقع ضمن مصلحة البنك وهذا هو ما دعا البعض لانتقاده ^{^[50]}

ومع ذلك اوصت لجنة جاك في تقريرها ^{^[51]}ان مبادئ قضية تيرنر ليست كافية واوصت بوجوب تقنين واجب السرية لحماية عملاء المصارف من انتهاكات السرية ورفضت الحكومة البريطانية ذلك لان هذا قد يسبب الارباك في عمل المصارف ,ومع ذلك نصت الفقرة (11|1) من قانون البنوك على ان البنوك ستتعامل مع كل البيانات الخاصة بالزبائن بسرية حتى لو انتهت العلاقة مع العميل فلن نكشف عن اسمك او عنوانك او اي تفاصيل أخرى عن حسابك لأي شخص بما في ذلك فروعنا الأخرى عدا الحالات التي نصت عليها قضية Tournier ^{^[52]} وقد انتقد بعض الشراح^{^[53]} القسم 12 من قانون البنوك الإنكليزي لكونه يسمج بتبادل المعلومات السرية الخاصة بالعملاء بين البنوك وبعض الجهات وهذا يمثل مخالفة صريحة لواجب السرية .

المبحث الثاني

تأمين المعلومات المصرفية

يمثل تامين المعلومات الشغل الشاغل للقائمين على المصارف نظرا لما يترتب على عدم الحفاظ على امن معلومات عملائها سواء كان بإفشائها او سرقتها او تهكيرها من الخسائر الكبيرة للعميل وبالتالي للمصرف لأنه سيفقد عملائه نتيجة لزعزعة الثقة لذلك تبذل المصارف جهودا كبيرة لوضع نظام لتامين المعلومات وهذا ما سنبحثه على مطلبين ,نتناول في الأول التعريف بأمن المعلومات ونتناول في الثاني موقف المشرع العراقي من امن المعلومات

المطلب الأول: تعريف امن المعلومات

ابتداءا تعرف المعلومات بعدة تعريفات فيقصد بها انها « مجموعة بيانات تم تصنيفها وتنظيمها بشكل يسمح باستخدامها والاستفادة منها ،اي انها بيانات معالجة« ^{^[54]} او انها « البيانات التي يتم اعدادها لتصبح في شكل اكثر نفعا للفرد ولمستخدميها ،والتي لها قيمة محركة في الاستخدام الحالي او المتوقع او في القرارات التي يتم اتخاذها «^{^[55]} ، وهذا يعني ان المعلومات تكون اسهل واوضح من البيانات لأنها تكون نتيجة المعالجة فتعتبر مادة اولية لصناعة القرار ومن الممكن ايضا اعادة معالجة هذه المعلومات فتكون بمثابة بيانات يتم الحصول مره اخرى منها على معلومات .

ولابد من الاشارة ان كلا من المعلومات والبيانات تستحق الحماية القانونية سواء فيما يتعلق بقواعد حماية السرية او في اطار امن المعلومات ،لان المعلومات وان كانت اوضح واسهل الا ان البيانات هي المادة الخام التي تستخرج منها هذه المعلومات ،ولذلك نجد ان المشرع العراقي استخدم مصطلح المعلومات في قانون البنك المركزي العراقي وقانون مكافحة غسيل الاموال وكذلك استخدم المصطلحين بشكل مترادف في قانون المصارف ^{^[56]} اما المشرع الانكليزي فقد استخدم مصطلح المعلومات (Information) في قانون عائدات الجريمة الانكليزي ^{^[57]} في حين انه استخدم مصطلح البيانات باعتبارها المعلومات التي تمت معالجتها ونص على عدم امكانية الافصاح عن المعلومات او البيانات ( Information or Data) ^{^[58]} .

وما تجدر اليه الإشارة ان امن المعلومات لا يمثل مجرد مهمة مؤقتة على الشركات او المؤسسات بما فيها البنوك ان تنجزها وينتهي الامر بل هي عملية مستمرة في كل ثانية من كل يوم حيث ان الهجمات بأدوات السطو والتي يتوفر منها العديد مجانا توظف يوميا ملايين المرات للحصول على ثغرة معينة في نظام امن شركة ما وحالما تجدها تقوم باستغلالها للحصول على معلومات قيمة تتعلق بالتعاملات او البيانات الشخصية او بطاقات الائتمان او غير ذلك من البيانات ومن هنا تستمد هذه البيانات قيمتها حيث ان هذه البيانات تمثل قيمة كبيرة لأصحابها ولمستخدميها وللمؤسسات التي تستطيع النفاذ اليها والتحكم بها فالمؤسسات المالية الكبيرة لن تستطيع الصمود في سوق المنافسة اذا لم تكن لها الثقة بدقة المعلومات الموثقة لديها سواء فيما يتعلق بإدارة المؤسسة او معرفة قيمتها وتقدير الأرباح العائدة منها حيث ان هذه البيانات الدقيقة والموثوقة هي أساس شفافية السوق وتدعيم ثقة المستثمر ^{^[59]}.

ومن جانب اخر تستمد المعلومات قيمتها من كون تلك المؤسسات قادرة على الاستفادة منها من اجل تحقيق المكاسب المادية بالإضافة الى الفوائد التحليلية والإدارية والاجتماعية والتشغيلية ،وتزداد قيمة هذه المعلومات عندما تجمع وتثبت كمعلومة دقيقة في كل مرة تحدث فيها عملية تجارية ناجحة تؤدي الى سلسلة من العمليات لتجارية المربحة فعلى سبيل المثال صفقة شراء اسهم معينة يمكن ان تسبب بصفقات شراء اسهم أخرى نتيجة لتبلور المعلومات عنها من حيث الربحية مثلا مع بقية البيانات وتؤدي الى صفقات بضائع رأسماليه كالسيارات او الشاحنات او الطائرات وبمرور الوقت ستطلق صفقات لموجودات أخرى لصيانة وحفظ المركبات والممتلكات ولتوظيف كوادر بشرية ،وعلى هذا الأساس تفيد المعلومات الدقيقة والموثوقة في الحصول على الكسب المالي القائم على التعاملات والصفقات والاستفادة من التسويق واتصالات الزبون المباشرة والشراكات التعاونية التي تكون معقدة او مكلفة بدون هذه المعلومات فقيمة هذه المعلومات لا تتأتى من تكلفة جمعها وصونها وادارتها بل من القيمة المتوقعة التي ستكسبها المؤسسة من خلال هذه المعلومات لتحقيق أهدافها وتوفير متطلبات زبائنها بطرق غير مخطط لها سابقا .

وعلى هذا الأساس فليس المهم تحديد قيمة هذه المعلومات بل اداراك المدراء ان هناك قيمة حقيقية لهذه المعلومات سواء ارتفعت ام انخفضت وهذا هو المبرر لانفاق الأموال من اجل حمايتها من الفقدان او سوء الاستخدام او الافساد وهو بذات الوقت يعرض هذه المؤسسة الى خسارة كبيرة ^{^[60]} فمن جانب الزبائن لا بد من حماية بيانتهم الخاصة فلا بد من وجود استراتيجية لأمن المعلومات التي تخص الزبون للحفاظ عليه إضافة الى كسب زبائن جدد فالشركة التي تعطي قيمة مضافة للزبون وتؤمن افضل الوسائل نفعا لفعل ذلك تصمد في السوق التنافسي رغم صعوبة هذه المهمة في المحيط التقني المتنامي وتغيراته المستمرة حيث ان إدارة المؤسسة تتحمل مسؤولية ائتمانية تجاه حاملي الأسهم فيها لزيادة قيمة الشركة في السوق وتزداد هذه الأخيرة بزيادة عدد الزبائن الا في حالة حصول إخفاقات في حماية نظام امن المعلومات حيث يعرض الشركة لخسارة كبيرة ولذلك تتطلب إدارة مسؤولية امن المعلومات قيام المصارف والمؤسسات الأخرى بتصميم خطط استراتيجية لتامين المعلومات على ان تتصف بالديناميكية في طبيعتها لتتناسب مع التطور التقني المستمر وتربط هذه الخطط الاستراتيجية بالإجراءات الوقائية الفاعلة التي يجب ان تكون مرنة لمجاراة البيئة الالكترونية ^{^[61]}

وعلى هذا الأساس يعرف امن المعلومات انه» ذلك النظام الذي يهدف الى حماية المعلومات من التهديدات او اية اضرار يمكن ان تصيب هذه المعلومات وتؤثر في استمرارية العمل في المنظمة «، كما يعرف على انه «مجموعة الإجراءات والتدابير الوقائية التي تستخدمها المنظمة للمحافظة على المعلومات وسريتها سواء من الاخطار الداخلية او الخارجية كالحفاظ عليها من السرقة والتلاعب والاختراق او الاتلاف غير المشروع سواء قبل او خلال او بعد ادخال المعلومات الى الحاسب من خلال تدقيق المدخلات وحفظها في مكان امين وتسمية الأشخاص المخولين لهم التعامل مع هذه البيانات» ، لذا فان امن المعلومات وانتقالها داخل المنظمة وتخزينها واستخدامها ^{^[62]} ويتحقق امن المعلومات عن طريق تطبيق وتنفيذ سلسلة من الإجراءات والضوابط والسياسات لحماية هذه المعلومات ^{^[63]} ,ويقوم هذا العلم على عدد من المفاهيم تأتي في مقدمتها السرية ثم التكامل والتوفر النزاهة إضافة الى المسائلة ^{^[64]} :.

وتعني السرية(Secrecy: التأكد من ان المعلومات لا تكشف ولا يطلع عليها من قبل اشخاص غير مخولين بذلك ،

اما التكامل والتوفر(Integrity and Availability ): فيقصد بالأول الحفاظ على البيانات من التغيير او التعديل من الأشخاص غير المخولين بالوصول اليها عندما يقوم شخص بقصد او بدونه بحذف او انتهاك سلامة ملفات البيانات الهامة او الاضرار بها وهو غير مخول بذلك .مع ضمان القدرة على الوصول الى المعلومات لمن له الحق بالوصول اليها في موقع محدد وفي التنسيق الصحيح

الاستمرارية ( Continuation:تعني استمرار النظام في العمل والقيام بالخدمات للعملاء دون التأثر باي ظرف .

المسائلة (Non repudiation): وتعني إمكانية اثبات التصرفات للقائمين بها أي بمعنى قدرة المصرف الالكتروني على اثبات التصرفات التي تتم الى من قام بها دون ان تتاح قدرة انكار ما قاموا به من تصرفات^{^[65]}.

وعليه فان اختراق نظام امن المعلومات لأي مؤسسة يعتمد عبى وجود ثغره تتمثل بضعف في التصميم او تهيئة البرمجيات او في قواعد تخزين المعلومات او الأجهزة التي تحفظ فيها هذه المعلومات وهذه الثغرات تستغل من قبل المهاجمين لإحداث الدمار الذي يريده ولذلك ينبغي على إدارة المؤسسة ان تفحص الشبكات باستمرار والأجهزة والبرمجيات لتحديد واكتشاف نقاط الضعف ومعالجتها ،وقد يكون اكتشاف هذه الثغرة من قبل باحث لا يعمل في هذه المؤسسة ويعلن عن ذلك في المجلات المتخصصة او مواقع معينه كما حصل في نظام التشغيل ويندوز بعد ذلك سعت الشركة مايكروسوفت لعلاج هذه الثغرة من خلال اصدار برنامج علاجي لقطع الطريق على المهاجمين يقوم بتحميله المستخدمون فيمكن للمهاجمين تطوير برامج خبيثة لاختراق نظام وندوز بالنسبة للمستخدم الذي لم يحدثه باستخدام البرنامج الوقائي ،وفي أحيان أخرى تكتشف هذه الثغرات من قبل العاملين في المؤسسة وهنا تطور المؤسسة برنامجا ثم تحمله في مواقع الشركة وبعد ذلك يتم الإعلان عن وجود ثغرة وحث المستخدمين على تحميل البرنامج الوقائي من مواقع الشركة ، وكذلك قد يتم اكتشاف الثغرات من قبل المهاجمين فلا تعرف الثغرة الا بعد ان ينفذ المهاجم هجومه من خلالها ليكتشف بعدها حدوث الاختراق ^{^[66]}

ولعل السؤال الذي يثور هنا : من هم مصادر التهديد لنظام امن المعلومات ؟

يكون نظام امن المعلومات مهددا من العاملين في داخل المؤسسة اكثر من المهاجمين الخارجيين ولكن بسبب الضجة الإعلامية التي تحدثها الاختراقات الخارجية للمؤسسات الكبيرة تولي الأخيرة جل اهتمامها لصيانة أنظمتها من هذه الهجمات وهذا غالبا يكون على حساب الاستعداد لصد الاخطار الداخلية وتختلف الدوافع لدى المهاجم الداخلي فقد يكون ذلك انتقاميا بسبب عدم رضاه عن سياسة المؤسسة او يكون ذلك لإثبات مهاراته الفنية وقدرته على تنفيذ هجوم الكتروني او لتحقيق مكاسب مادية عن طريق سرقة معلومات مهمه وابتزاز المؤسسة فيما بعد لذلك فان الهجوم من الداخل يمكن ان يخل باي مكون من مكونات امن المعلومات التي اوجزناها سابقا^{^[67]} فيمكن ان يلحق الضرر بسرية المعلومات او يعيق الوصول اليها او يمنعه وكذلك هو يمكن ان لا يترك اثرا يدل على تنفيذه للهجوم فيهاجم الشبكة الداخلية للمؤسسة التي يعمل بها او يهاجم المعلومات فبقوم بسرقتها او تغييرها او حذفها او يفتح ثغرات في أنظمة الحماية الموضوعة لتحصين امن المعلومات مستفيدا من مزية عدم خضوعه لكثير من الإجراءات الاحترازية التي قد تعترض المهاجم الخارجي ^{^[68]}

وهذا ما يلقي على عاتق الإدارة مسؤولية كبيرة في وضع نظام رصين لأمن المعلومات باستخدام عدة وسائل وقائية تمنع الاختراق وتقطع الطريق امام المهاجمين كجدران النار والتشفير وبرامج طمس المعلومات وتحديد والتحكم بصلاحيات مشاركة الملفات^{^[69]} وغير ذلك من الوسائل التي يمكن لمهندسي المعلومات العاملين في المؤسسة وضعها وتطويرها لحماية امن المعلومات

المطلب الثاني: موقف المشرع العراقي والإنكليزي من امن المعلومات

اسلفنا سابقا ان بيانات ومعلومات العميل الالكترونية قد تتعرض للسرقة او التهكير او التعطيل او التلاعب بها وعلى هذا الأساس فقواعد السرية المصرفية غير كافية لوحدها لحماية بيانات العميل الالكترونية ، ولا يوجد لدينا تشريع خاص لحماية امن المعلومات الا ان و المشرع العراقي قد عرف المعلومات في المادة أولا\ ثالثا من قانون التوقيع الالكتروني والمعاملات الالكترونية رقم78 لسنة 2012 بالنص على انها «البيانات والنصوص والصور والاشكال والاصوات والرموز وما شابه ذلك التي تنشا او تدمج او تخزن او تعالج او ترسل او تستلم بوسائل الكترونية « ومن ناحية اخرى تطرق المشرع الى كل ماله علاقة بأمن المعلومات ،حيث تطرق لتعريف نظام معالجة المعلومات بانه ذلك النظام الالكتروني او برامج الحاسوب المستخدمة لأنشاء المعلومات او ارسالها او تسالمها او معالجتها او تخزينها الكترونيا ^{^[70]}كما تطرق المشرع أيضا لتعريف جهة التصديق بانها الشخص المعنوي المرخص له اصدار شهادات تصديق التوقيع الالكتروني ^{^[71]}،وعرف أيضا شهادة التصديق بانها الوثيقة التي تصدرها جهة التصديق وفق احكام هذا القانون لإثبات نسبة التوقيع الالكتروني الى الموقع ^{^[72]} وهذا يعني ان جهة التصديق اذا كانت قد اعتمدت التوقيع الالكتروني للعميل في حال توفرت شروطه^{^[73]} فلا يستطيع انكاره .

من جانب اخر أشار المشرع العراقي ان المؤسسة المالية المشار اليها في هذا القانون يقصد بها المصرف المخول او اية مؤسسة مخولة بالتحويلات المالية وفق احكام هذا القانون ^{^[74]} وقد الزمها المشرع اتخاذ كافة الإجراءات الكفيلة بتقديم خدمات مأمونة للزبون والحفاظ على سرية معلوماتهم ^{^[75]} وبذلك فقد نص المشرع صراحة على ان السرية المصرفية ليست كافية بل لا بد من تامين المعلومات الخاصة بالزبون بوسائل تقنية تتناسب مع التطور المستمر في البيئة الرقمية حتى يطمئن الزبون وكذلك أشار الى مسؤولية المؤسسة على القيود غير المشروعة ويقصد بالأخيرة تلك القيود الذي يضاف على حساب الزبون دون علمه او موافقته او تفويض منه ^{^[76]}مالم يثبت ان ذلك القيد كان قد حصل بخطأ الزبون او اهماله ^{^[77]}

ورغم ان المشرع قد ضمن حماية للبيانات والمعلومات الالكترونية في هذا القانون لتعزيز الثقة بها والتشجيع عليها الا انه مع ذلك نص على ان مسائل حماية معلومات العميل فيما يتعلق بالتحويل الالكتروني واعتماد وسائل الدفع الالكتروني والقيود غير المشروعة وتصحيح الأخطاء وحالات الافشاء بالمعلومات واية متعلقات بالأعمال المصرفية الالكترونية تنظم بنظام يقترح من البنك المركزي ^{^[78]}وقد صدر هذا النظام فعلا وهو نظام خدمات الدفع الالكتروني للأموال رقم 3 لسنة 2014 وقد أورد المشرع العراقي فيه عددا من النصوص التي تدعم نظام امن المعلومات والتشجيع على الاستثمار فيه، حيث اشترط أولا في مزود خدمة الدفع الالكتروني لكي يمنح الترخيص ان يكون شخصا معنويا ولديه المهارة التقنية الكافية الفنية والتنظيمية لتشغيل النظام وتطبيق ضوابط التدقيق الداخلي وإدارة المخاطر المتعلقة به ^{^[79]} كما اردف المشرع ذلك بالنص على متطلبات ومكونات نظام امن المعلومات التي سبق الكلام عنها والتي تتمثل بالسرية والتكاملية والتوفرية والاستمرارية والمسائلة فأوجب ان تكون معايير النفاذ للنظام مأمونه ولا تميز بين مستخدميها فتكون متاحة للجميع بنفس الفاعلية وعلى ان تكون هناك استمرارية في الخدمة و توافرية ^{^[80]} كما نص المشرع ايضا على ضرورة تعيين من له القدرة ويكون مؤهل فنيا لإدارة مخاطر هذا النظام والسيطرة عليه ومراقبته باستمرار لسد الطريق امام المهاجمين كما اسلفنا وضرورة اتخاذ التدابير الكافية لتامين وحماية العمليات الالكترونية وحفظها وتخزينها والمحافظة عليها من الإفصاح غير المبرر او سوء الاستخدام او التلف او الفقدان او السرقة ^{^[81]} من جانب اخر ضمن البنك المركزي العراقي رقابته على مزود الخدمة من خلال اشتراط ضمان دخوله للنظام الالكتروني للمستخدم من مزود خدمات الدفع الالكتروني بشكل مباشر لغرض الاشراف ^{^[82]} .

وعلى صعيد اخر وبصورة اكثر وضوحا الزم المشرع العراقي مزود خدمات الدفع الالكتروني باتخاذ التدابير المناسبة لمكافحة غسيل الأموال^{^[83]} التي يمكن ان تشكل استثناءا على الالتزام بالمحافظة على السرية التي سبق الكلام عنها في المطلب الثاني من المبحث الأول ^{^[84]} والزمة أيضا باتخاذ التدابير اللازمة لحماية امنية وسرية المعلومات من الاختراق وحماية سجلات ومعلومات الزبائن وفقا لما نصت عليه القوانين والممارسات الدولية المعترف بها في هذا الخصوص ^{^[85]} .

من جانب اخر لا بد من القول ان على المؤسسة المالية تبصير العميل بضرورة المحافظة على بيانته ومعلوماته باعتبار ان ذلك يدخل ضمن مفهوم واجبها بحماية الزبون فهي ملزمة بتبصيره على اعتبار ان العميل بالنهاية هو مستهلك حيث ان المستهلك حسب نص المادة (1\5) من قانون حماية المستهلك العراقي رقم 1 لسنة 2010 هو « الشخص الطبيعي او المعنوي الذي يتزود بسلعة او خدمة بقصد الإفادة منها « وبالتالي فمن حقه الحصول على جميع المعلومات المتعلقة بالمحافظة على حقوقه ومصالحه العامة ^{^[86]} وقد أشار المشرع العراقي الى ذلك في نظام خدمات الدفع الالكتروني ونص على واجب مقدم خدمة الدفع الالكتروني بتبصير العميل بكل المعلومات المتعلقة بخدمة الدفع الالكتروني حيث نصت المادة 26\1 من هذا النظام على انه « يلتزم مزود خدمة الدفع الالكتروني بما يأتي :

أولا : اطلاع الزبون على حقوقه والتزاماته بما في ذلك وضع لوحة إعلان في مدخل الشركة «

اما على صعيد التشريع الانكليزي فقد صدر قانون حماية البيانات الإنكليزي عام 1998 والذي ينطوي على حماية لبيانات الأشخاص حيث عرف الجزء الأول من الجدول الأول البيانات بصورة عامة بانها المعلومات التي تتم معالجتها بوسائل ومعدات تعمل تلقائيا بالاستجابة للأوامر لتحقيق هذا الهدف ،او سجلت لغرض المعالجة بهذه المعدات ، او سجلت كجزء من نظام حفظ معين لملفات ذي صلة او بقصد انه يجب ان يشكل جزءا من نظام حفظ ملفات ذات صلة ،او لا يندرج تحت ما قيل في الفروض الثلاث الماضية ولكنه يشكل جزءا من سجل يمكن الوصول اليه على النحو المذكور في القانون ، كما ان القانون قد عرف مراقب البيانات وهو الشخص المسؤول لوحدة او مشتركا مع غيره بتحديد الاغراض والطريقة التي يتم بها معالجة البيانات ، اما البيانات الشخصية فلقد عرفها بانها البيانات التي تتعلق بفرد ما على قيد الحياة بحيث يمكن التعرف عليه من هذه البيانات او من البيانات والمعلومات الأخرى التي تكون في حيازة او من المحتمل ان تدخل في حيازة مراقب البيانات وتتضمن ابداء راي حول الفرد او أي شيء يثير اهتمامه يتعلق بالفرد ,اما المعالجة فلها معنى واسع وتشمل الحصول على المعلومات او البيانات او تسجيلها او الاحتفاظ بها او القيام باي عملية او مجموعة من العمليات على المعلومات او البيانات بما في ذلك1- التنظيم او التكييف او تعديل المعلومات 2- او استرجاعها او الاستشارة او استخدام المعلومات او البيانات 3- الافصاح عن المعلومات او البيانات عن طريق الارسال او النشر او الاتاحة بطريقة أخرى 4- المحاذاة او الدمج او الحجب او المحو او تدمير المعلومات او البيانات او اتلافها ^{^[87]}وقد حمى الجدول الثاني من القانون في فقرته السادسة أولا منه الافراد من أي استخدام غير قانوني لبياناتهم الشخصية والتحكم في معالجة وحركة هذه البيانات كما انه يجب استخدام البيانات الشخصية بشكل عادل وقانوني ويجب الحصول على هذه المعلومات لأغراض محددة على ان تؤخذ جميع التدابير المناسبة اثناء تخزين هذه المعلومات لحمايتها من أي سوء استخدام غير مصرح به ^{^[88]}

النتائج والتوصيات :

ان مدى حماية بيانات ومعلومات العميل وتأمينها تشكل العامل الأكبر للتشجيع على الاستثمار في القطاع المصرفي فكلما تعززت هذه الحماية كلما زاد الاستثمار بما ينعكس على الاقتصاد ككل.

ان المخاطر التي يتعرض لها العميل في المصارف الالكترونية لا تتمثل فقط بالإفصاح غير المشروع عنها بل يمكن ان يتعرض العميل الى سرقة بياناته او تعطيلها او تلفها وغير ذلك من الاخطار

ان قواعد السرية المصرفية الواردة في التشريعات المصرفية العراقية غير كافية لوحدها لحماية بيانات ومعلومات العميل لتعدد المخاطر في البيئة الالكترونية واتساعها

التزام مزود الخدمة الالكتروني بتبصير العميل بحقوقه باعتباره مستهلك يمكن ان يساهم في حماية بيانات ومعلومات العميل

ان الوصول الى حماية امنية فعاله لبيانات ومعلومات العميل يكون باتباع نظام امني للمعلومات تتخذه المصارف تنفيذا لمتطلبات البنك المركزي العراقي مراعية بهذا الخصوص المعايير الدولية المقبولة عالميا .

تعتبر الاتفاقية الاوربية لحقوق الانسان الاساس الدستوري لحماية السرية المصرفية في القانون الانكليزي وبالذات نص المادة 8 منها ،وتواردت بعد ذلك النصوص في مختلف التشريعات الانكليزية لحماية بيانات ومعلومات العملاء ومنها قانون عائدات الجريمة الانكليزي لسنة 2002 وقانون حقوق العمل لسنة 1996 وقانون حماية البيانات لسنة 1998 .

ميز القضاء الانكليزي وفي اطار حماية اسرار العمل بين ثلاثة انواع من المعلومات وهي المعلومات السرية جدا وتصل الى حد الاسرار التجارية ،والمعلومات السرية العادية ،والمهارات العامة التي يتوصل اليها العامل من خلال عمله ،والمعلومات البسيطة ، واعتبر ان المعلومات من الصنفين الاول والثاني هي فقط من تستحق الحماية بعد انتهاء عقد العمل.

حدد القضاء الانكليزي اربعة حالات لا يمكن ان تعتبر خرقا للسرية وضمنها بعد ذلك في قوانينها وهي عندما يكون الافشاء بحكم القانون او للمصلحة العامة او عند طلب المصرف او عند موافقة العميل الصريحة او الضمنية ومن هنا تحول الالتزام الاخلاقي الى التزام قانوني .

نوصي بضرورة عقد الندوات وورش العمل للتثقيف بخدمات المصارف الالكترونية وزيادة ونشر الوعي به لإسهام ذلك في تطوير التعامل التجاري وانعاش الاقتصاد

نوصي بضرورة تدريب الكوادر العاملة في المصارف على تقديم الخدمات الالكترونية ومعالجة الخطأ عند وقوعه وإدارة المخاطر المتعلقة بها .

تشجيع العاملين في المصارف وتوفير بيئة العمل المريحة ليتشكل لديهم دافع إيجابي بالمحافظة على نظام العمل وعدم تأجيج دوافع الانتقام .

نوصي المشرع العراقي بتشريع قانون خاص لحماية بيانات الاشخاص سواء في المصارف التقليدية او الالكترونية مع التركيز على امنية هذه البيانات والمعلوم

^{^[1]} منير إبراهيم هندي ، الفكر الحديث في إدارة المخاطر : الهندسة المالية باستخدام التوريق والمشتقات المالية ، مكتبة الإسكندرية ، بدون سنة طبع ، ص 5 .محمد مطر ،إدارة الاستثمارات (الاطار النظري والتطبيقات العملية) الطبعة 3، دار وائل ،عمان ، 2004، ص22

^{^[2]} أسامة عزمي سلام شقيري ،إدارة المخاطر والتامين ،دار الجامعية ،عمان ، الطبعة الأولى ،2007، ص20

^{^[3]}Susan V. Scott and Geoff Walsham, The Broadening Spectrum of Reputation Risk in Organization ;Banking on Risk and Trust Relationships”2004 ,p 4.

^{^[4]}Emett J .Vaughan, Risk Management,(John, Wiley and Sons .Ink,U.S.A.1997.

^{^[5]} Goohman John Downes a Jordan Elliott, Dictionary of Finance and Investment Terms ,(Barrans Ink.U.S.A.1995) ,P491.

^{^[6]}Joel Bessis, Risk Management in Banking ,(John Wiely a Sons Ltd ,1998,p5.

^{^[7]} إبراهيم الكراسنة ،اطر أساسية ومعاصرة في الرقابة على البنوك وإدارة المخاطر ،صندوق النقد العربي ،أبو ظبي ،2006،ص36

^{^[8]} جاسم المناعي ،إدارة المخاطر التشغيلية وكيفية احتساب المتطلبات الرأسمالية لها ،صندوق النقد العربي ،أبو ظبي ،2004،ص8

^{^[9]} منير محمد الجنبيهي ممدوح محمد الجنبيهي ،البنوك الالكترونية ،دار الفكر الجامعي ،2006 ،ص33. د. ممدوح خليل بحر ،المشكلات القانونية الناتجة عن استخدام البطاقة المصرفية ،دراسة مقارنه ، بدون مكان نشر ،2006 ،ص32

^{^[10]} د. يوسف حسن يوسف ،الاقتصاد الالكتروني ،الطبعة الأولى ،المركز القومي للإصدارات القانونية ،2012،ص182

^{^[11]} تعرف النقود الالكترونية بانها ( النقد المخزون على دعامة الكترونية ولا يتطلب معالجة منفصلة ) وقد عرفت في مؤتمر basel )) لسنة 1998 بانها (القيمة المخزونة او اليات الدفع المدفوعة مسبقا لتنفيذ الدفعات عن طريق اجهزة بيع خاصة وانشاء النقل بين اداتين او شبكات الحاسوب المفتوحة كالانترنيت ) وللتفصيل اكثر ينظر د.باسم علوان العقابي ،علاء عزيز حميد الجبوري، نعيم كاظم جبر ، النقود الالكترونية ودورها في الوفاء بالالتزامات التعاقدية ، بحث منشور في مجلة جامعة اهل البيت عليهم السلام ،العدد 6 ،ص 80 الى 111 وكذلك لا يختلف الفقه على ان مصطلح النقود الالكترونية يشمل صورتين : الاولى هي البطاقات ذات الدفع المسبق وهي البطاقة الذكية وتسمى بمحفظة النقود الالكترونية او البطاقة المختزنة القيمة ،والصورة الثانية تتمثل بكونها الية دفع والتي تمكن المستهلك من اجراء مدفوعاته من خلال استخدام شبكة الانترنيت وتسمى هذه الصورة بالنقود السائلة او نقود الشبكة ،للتفصيل اكثر ينظر د.احمد جمال الدين موسى ،النقود الالكترونية وتاثيرها على المصارف المركزية في ادارة السياسة النقدية ، مؤتمر الجديد في اعمال المصارف من الوجهتين القانونية والاقتصادية ،الجزء الاول ، كلية الحقوق ،جامعة بيروت العربية ، منشورات الحلبي الحقوقية ،بيروت لبنان ،2007 ، ص121

^{^[12]} احمد محمد امين ،الاحكام الشرعية لاستخدام النظم المعلوماتية ،بحث منشور في مجلة دراسات قانونية ،العدد28،2011 ،ص62

^{^[13]} د .نصر حمود مزنان فهد ،إمكانية التحول نحو الصيرفة الالكترونية في البلدان العربية ،بحث منشور في مجلة كلية الإدارة والاقتصاد ،العدد 4 ،2011،ص12

^{^[14]} عصام حنفي محمود ،القانون التجاري ،الجزء الأول ،ص296

^{^[15]} د. نصير حمود مزنان فهد ،المصدر السابق ،ص12

^{^[16]} منير الجنبيهي ،ممدوح الجنبيهي ،المصدر السابق ،ص163

^{^[17]} د. علي جمال الدين عوض ،عمليات البنوك من الوجهة القانونية ،1989،ص 1181

^{^[18]} عبد الرحمن السيد قرمان، نظام الالتزام بالسر المصرفي ،القاهرة، دار النهضة العربية، 1999،ص23

^{^[19]}Jawahitha,S. “Banking confidentiality-a comparative analysis of Malaysian banking statutes “Arab Law Quarterly.2002.Vol.17.No3,p255.

^{^[20]}جلال وفاء محمدين ،دور البنوك في مكافحة غسيل الأموال ،دار الجامعة الجديدة للنشر ،الإسكندرية ،2004 ،ص 78،79

^{^[21]} محمد عبد الودود أبو عمر ، المسؤولية الجزائية عن افشاء السر المصرفي ،دار وائل للطباعة والنشر والتوزيع ،1999،ص 62.

^{^[22]} د. الياس ناصيف ، المصدر السابق ، ص 284

^{^[23]} نصت المادة 40 من الدستور العراقي على ما يلي «حرية الاتصالات والمراسلات البريدية والبرقية والهاتفية والالكترونية وغيرها مكفولة ،ولا يجوز مراقبتها او التنصت عليها او الكشف عنها ،الا لضرورة قانونية وامنية ،وبقرار قضائي «

^{^[24]} عبد الغني بسيوني ،الوسيط في النظم السياسية والقانون الدستوري ،مطابع السعدني ،2004 ،ص20

^{^[25]} D.G.Cracknell, Constitutional and Administrative Law,London,Routledge-Cavendysh,2007p43

^{^[26]} I.Loveland, “Constitutional Law a Critical Introduction”,2nd edn,London,Butterworths,2000,p19.p57.212.p246.

^{^[27]} J.G.Merrills and A.H .Robertson ,Human Rights in Europe: a study of the European Convention on Human Rights, 4th edition ,Manchester, Manchester University press,2001,p138

^{^[28]} www.bailii.org|eu|cases|ECHR|1989|13.html

^{^[29]} ينظر نص المادة 327 من قانون العقوبات العراقي رقم 111 لسنة 1969

^{^[30]} ينظر نص المادة 328 من قانون العقوبات العراقي رقم 111 لسنة 1969

^{^[31]} ينظر نص المادة 437 من قانون العقوبات العراقي رقم 111 لسنة 1969

^{^[32]}Failure to disclose: regulated sector

(1)A person commits an offence if [F1the conditions in subsections (2) to (4) are satisfied].

(2)The first condition is that he-

(a)knows or suspects, or

(b)has reasonable grounds for knowing or suspecting,

that another person is engaged in money laundering.

(3)The second condition is that the information or other matter—

(a)on which his knowledge or suspicion is based, or

(b)which gives reasonable grounds for such knowledge or suspicion,

came to him in the course of a business in the regulated sector.

[F2(3A)The third condition is—

(a)that he can identify the other person mentioned in subsection (2) or the whereabouts of any of the laundered property, or

(b)that he believes, or it is reasonable to expect him to believe, that the information or other matter mentioned in subsection (3) will or may assist in identifying that other person or the whereabouts of any of the laundered property.

(4)The fourth condition is that he does not make the required disclosure to—

(a)a nominated officer, or

(b)a person authorised for the purposes of this Part by [F3the Director General of the National Crime Agency],

as soon as is practicable after the information or other matter mentioned in subsection (3) comes to him.

(5)The required disclosure is a disclosure of—

(a)the identity of the other person mentioned in subsection (2), if he knows it,

(b)the whereabouts of the laundered property, so far as he knows it, and

(c)the information or other matter mentioned in subsection (3).

(5A)The laundered property is the property forming the subject-matter of the money= =laundering that he knows or suspects, or has reasonable grounds for knowing or suspecting, that other person to be engaged in.

(6)But he does not commit an offence under this section if—

(a)he has a reasonable excuse for not making the required disclosure,

(b)he is a professional legal adviser [F4or F5... relevant professional adviser] and—

(i)if he knows either of the things mentioned in subsection (5)(a) and (b), he knows the thing because of information or other matter that came to him in privileged circumstances, or

(ii)the information or other matter mentioned in subsection (3) came to him in privileged circumstances, or

(c)subsection (7) [F6or (7B)] applies to him.]

^{^[33]}Protected disclosures

(1)A disclosure which satisfies the following three conditions is not to be taken to breach any restriction on the disclosure of information (however imposed).

(2)The first condition is that the information or other matter disclosed came to the person making the disclosure (the discloser) in the course of his trade, profession, business or employment.

(3)The second condition is that the information or other matter—

(a)causes the discloser to know or suspect, or

(b)gives him reasonable grounds for knowing or suspecting,

that another person is engaged in money laundering.

(4)The third condition is that the disclosure is made to a constable, a customs officer or a nominated officer as soon as is practicable after the information or other matter comes to the discloser.

[F1(4A)Where a disclosure consists of a disclosure protected under subsection (1) and a disclosure of either or both of—

(a)the identity of the other person mentioned in subsection (3), and

(b)the whereabouts of property forming the subject-matter of the money laundering that the discloser knows or suspects, or has reasonable grounds for knowing or suspecting, that other person to be engaged in,

the disclosure of the thing mentioned in paragraph (a) or (b) (as well as the disclosure protected under subsection (1)) is not to be taken to breach any restriction on the disclosure of information (however imposed).]

(5)A disclosure to a nominated officer is a disclosure which—

(a)is made to a person nominated by the discloser’s employer to receive disclosures under[F2section 330 or ] this section, and

(b)is made in the course of the discloser’s employment F3....

^{^[34]}(1)For the purposes of this Part a disclosure is authorized if—

(a)it is a disclosure to a constable, a customs officer or a nominated officer by the alleged offender that property is criminal property,

(b)F1... and

(c)the first [F2, second or third] condition set out below is satisfied.

(2)The first condition is that the disclosure is made before the alleged offender does the prohibited act.

[F3(2A)The second condition is that—

(a)the disclosure is made while the alleged offender is doing the prohibited act,

(b)he began to do the act at a time when, because he did not then know or suspect that the property constituted or represented a person›s benefit from criminal conduct, the act was not a prohibited act, and

(c)the disclosure is made on his own initiative and as soon as is practicable after he first knows or suspects that the property constitutes or represents a person›s benefit from criminal conduct.]

(3)The [F4 third ] condition is that—

(a)the disclosure is made after the alleged offender does the prohibited act,

(b)[F5he has a reasonable excuse] for his failure to make the disclosure before he did the act, and

(c)the disclosure is made on his own initiative and as soon as it is practicable for him to make it.

(4)An authorised disclosure is not to be taken to breach any restriction on the disclosure of information (however imposed).

[F6(4A)Where an authorised disclosure is made in good faith, no civil liability arises in respect of the disclosure on the part of the person by or on whose behalf it is made.]

(5)A disclosure to a nominated officer is a disclosure which—

(a)is made to a person nominated by the alleged offender’s employer to receive authorised disclosures, and

(b)is made in the course of the alleged offender’s employment F7....

(6)References to the prohibited act are to an act mentioned in section 327(1), 328(1) or 329(1) (as the case.

^{^[35]} ينظر نص المادة (43\2) من قانون العمل العراقي رقم 37 لسنة 2015

^{^[36]} نصت المادة 150 من القانون المدني العراقي على انه «1- يجب تنفيذ العقد طبقا لما اشتمل عليه وبطريقة تتفق مع ما يوجبه حسن النية 2- ولا يقتصر العقد على الزام المتعاقد بما ورد فيه ولكن يتناول أيضا ما هو من مستلزماته وفقا للقانون والعرف والعدالة بحسب طبيعة الالتزام «

^{^[37]} نصت المادة (909\ه) من القانون المدني العراقي رقم 40 لسنة 1951 على انه «يجب على العامل :ه- ان يحتفظ بأسرار رب العمل الصناعية والتجارية حتى بعد انقضاء العقد «

^{^[38]} نصت المادة (230\3) من قانون حقوق العمل الإنكليزي لسنة 1996 على انه

(3)In this Act “worker” (except in the phrases “shop worker” and “betting worker”) means an individual who has entered into or works under (or, where the employment has ceased, worked under)

(a)a contract of employment, or

(b)any other contract, whether express or implied and (if it is express) whether oral or in writing,= =whereby the individual undertakes to do or perform personally any work or services for another party to the contract whose status is not by virtue of the contract that of a client or customer of any profession or business undertaking carried on by the individual;

and any reference to a worker’s contract shall be construed accordingly.»

^{^[39]} K.Brealey and S.Bloch,Employment Covenants and Confidential information ;Law Practice and Technique, London Butterworths1999,p22; S.Deakin and G.S Morris ‘Labor Law’ 2nd edn, London ,Butterworths,1998,p339.

^{^[40]} H.Collins,K.D Ewing and A.McColgan,’Labor Law; Text and Materials ‘Oxford, Hart,2005,p150-155.

^{^[41]}https://app.croneri.co.uk/law-and-guidanse/case-reports/faccenda-chicken-ltd-v-fowler-and-others-1986-irlr-69-ca

^{^[42]} نصت المادة 22 من قانون البنك المركزي العراقي رقم 56 لسنة 2004 على انه «
1- لا يسمح للشخص الذي يعمل بصفة محافظ ونائب محافظ , وعضو اخر في المجلس او موظف , عميل او مراسل للبنك المركزي العراقي :
ا – التعرف وكشف او نشر معلومات خاصة تم الحصول عليها اثناء تأدية واجبات رسمية , باستثناء ما يتم الطلب منه واستنادا للفقرة 2 من هذه المادة وكما تقتضيه الضرورة لإنجاز اي عمل او مسؤولية يفرضها هذا القانون و قانون المصارف او اي تشريعات اخرى ذات العلاقة ,او
ب -استخدام هذه المعلومات , او السماح باستخدامها لتحقيق مكاسب شخصية.
2 – يجوز للبنك المركزي العراقي تبادل المعلومات حول المواضيع الرقابية ويفضل ان يستند ذلك على مذكرة التفاهم مع البنوك المركزية ومع السلطات الرقابية المالية وقد يشمل تبادل مثل هذه المعلومات معلومات سرية ، شرط ان يقتنع البنك المركزي العراقي باتخاذ الخطوات اللازمة لضمان سرية مثل تلك المعلومات المقدمة.
3 – قـد يقوم البنك المركزي العراقي بالدخول في مذكرة تفاهم مع البنوك المركزية او مع السلطات الرقابية المالية لوضع نطاقا للإجراءات والتفاصيل الاخرى لتبادل المعلومات.

^{^[43]} نصت المادة (49)من قانون المصارف العراقي رقم 94 لسنة 2004 على انه «السرية المصرفية
يحافظ المصرف على السرية فيما يتعلق بجميع حسابات العملات وودائعهم واماناتهم وخزائنهم لديه . ويكون محظوراً اعطاء أي بيانات عنها بطريق مباشر او غير مباشر الا بموافقة خطية من العميل المعني . او في حالة وفاة العميل الا بموافقة ممثله القانوني او احد ورثة العميل او احد الموصى لهم او الا بقرار جهة قضائية مختصة او من المدعي العام في خصومة قضائية قائمة او بسبب احدى الحالات المسموح بها بمقتضى احكام هذا القانون . ويظل هذا الحظر قائماً حتى لو انتهت العلاقة بين العميل والمصرف لأي سبب من الاسباب .

^{^[44]} نصت المادة (50)من نفس القانون على انه «السري الفردية يكون محظوراً على أي اداري او مسؤول او موظف او وكيل حالي او سابق للمصرف تزويد أي معلومات او بيانات عن العملاء او حساباتهم او ودائعهم او الامانات او الخزائن الخاصة بهم او أي من معاملاتهم او كشفها او تمكين طرف ثالث من الاطلاع على هذه المعلومات والبيانات في غير الحالات المسموح بها بمقتضى احكام هذا القانون وينطبق هذا الحظر على أي شخص بما في ذلك مسئولو البنك المركزي العراقي وموظفو ومراجعو الحسابات فيه الذين يطلعون على هذه البيانات والمعلومات بطريق مباشر او غير مباشر بحكم مهنتهم او مركزهم او عملهم .»

^{^[45]} نصت المادة (51) من قانون المصارف العراقي على انه الاستثناءات”
لا تنطبق احكام المادة ( 49 ) والمادة ( 50 ) من هذا القانون على افشاء المعلومات في الحالات التالية: –

أ – اداء الواجبات المسندة قانوناً الى مراجعي الحسابات الذين يعينون من قبل المصرف او من قبل البنك المركزي العراقي وفقاً لأحكام هذا القانون.

ب – المعلومات والمستندات التي يطلبها البنك المركزي العراقي بخصوص أداءه لواجباته بمقتضى احكام هذا القانون او بمقتضى احكام قانون البنك المركزي العراقي .

ج – الاجراءات المتخذة بحسن نية في سياق اداء الواجبات او المسؤوليات التي يفرضها هذا القانون او تنفيذ اجراءات لمكافحة غسيل الاموال وتمويل الارهاب بموجب انظمة البنك المركزي العراقي .

د – اصدار شهادة او بيان بأسباب رفض صرف أي شيك بناء على طلب صاحب الحق .

هـ – تزويد معلومات حول ( 1 ) مديونية العملاء لتوفير البيانات اللازمة للبت في سلامة منح الائتمان ( 2 ) الشيكات المرتجعة دون تسديد او ( 3 ) أي معادلة اخرى يراها البنك المركزي العراقي ضرورية بسبب اهميتها لسلامة النشاط المصرفي بين المصارف وذلك مع البنك المركزي العراقي او أي جهات اخرى يوافق عليها البنك المركزي العراقي لتسهيل تبادل هذه المعلومات بموجب القواعد والاجراءات المحددة في انظمة البنك المركزي العراقي .

و – انشاء مصرف لكل او بعض المعلومات الخاصة بمعاملات العميل لا ثبات مطالبته في نزاع قضائي بينه وبين عميله بشأن هذه المعاملات .

ز – المعلومات التي يقدمها البنك المركزي العراقي الى سلطات رقابية في بلدان اخرى بمقتضى المادة ( 54 ) من هذا القانون .”

^{^[46]} نصت على ذلك المادة (23) من قانون مكافحة غسيل الأموال العراقي رقم 93 لسنة 2004

^{^[47]} نصت المادة (52) من قانون المصارف العراقي على انه «المعلومات التي تقدمها المصارف
1 – تعد المعلومات التي يتم الحصول عليها من المصرف والتي تكشف عملائه ومعاملاتهم او أي امور خاصة اخرى تتعلق بعلاقة المصرف مع عملائه , سرية ولا يتم الافصاح عنها الا بعد موافقة المصرف او حسبما يخوله هذا القانون . ويقوم البنك المركزي العراقي بحصر الحصول على مثل تلك المعلومات عن كل عميل لموظفين مخولين في البنك المركزي العراقي .
2 – للبنك المركزي العراقي ان ينشر معلومات يحصل عليها من المصارف بشكل كلي او جزئي شرط ان لا يفصح مثل هذا النشر عن معلومات سرية . ولا يقوم البنك المركزي العراقي بإفشاء الامور الخاصة بشأن عمليات المصرف الا بعد حصول موافقة المصرف على ذلك عدا تلك المعلومات الواردة في البيانات المالية والتي وافق عليها مجلس ادارة المصرف او المعلومات المتاحة اصلاً للجمهور .»

^{^[48]} نصت المادة (54) من قانون المصارف العراقي على انه «تبادل المعلومات
1 – يجوز للبنك المركزي العراقي ان يقوم بتبادل المعلومات حول المواضيع الرقابية ويفضل ان يستند ذلك الى مذكرة تفاهم مع سلطات الرقابة المالية في العراق وسلطات الرقابة المصرفية في دول اخرى . وقد يشمل تبادل المعلومات من هذا القبيل معلومات سرية شرط ان يقتنع البنك المركزي العراقي بان يتم اتخاذ خطوات معقولة لضمان سرية تلك المعلومات المقدمة .
2 – يجوز للبنك المركزي العراقي الدخول في مذكرة تفاهم مع سلطات الرقابة المالية في العراق او مع سلطات الرقابة المصرفية في دول اخرى لتحديد نطاق واجراءات وتفاصيل اكثر لتبادل المعلومات” .

^{^[49]} http://www.uniset.ca/other/css/19241KB461.html.

^{^[50]} Student number :1044265,Confict between anti-money laundering and anti-terrorism finance laws requirements and bank secrecy and confidentiality laws, LLM in international corporate ,financial Regulation and Economic law (ICGFREL) ,Institute of Advanced legalStudies ,School of Advanced Study <University of London ,2014,p 16-17.

^{^[51]} Banking Services : Law and Practice ;Jack Committee Report 1989,Cm,622.

^{^[52]}Banking Code :A voluntary code of best practice for bank ,building societies and other banking services .

^{^[53]}Alan L.Tyree,Does Tournier apply to building societies ? Journal of banking and Finance Law and Practice 6 ,1995,p206-208.

^{^[54]} نجم عبد الله الحميدي ،نظم المعلومات الادارية –مدخل معاصر ، دار وائل للنشر ،عمان، الاردن ،الطبعة الثانية ،ص 35

^{^[55]} اسماعيل محمد السيد ، نظم المعلومات لاتخاذ القرارات الادارية ، المكتب العربي الحديث ،الاسكندرية ،مصر،1989،ص97

^{^[56]} ينظر نص المادة (49- 50) من قانون المصارف العراقي

^{^[57]} تنظر المواد (330-337-338) من القانون

^{^[58]} ينظر الجزء الاول من الجدول الاول من القانون ،سيتم تفصيله لاحقا .

^{^[59]} تجدر الاشارة الى وجود دائرة تقنية المعلومات والاتصالات في البنك المركزي وهي من الدوائر الرئيسية التي تتولى عدة مهام في مقدمتها امن المعلومات والاتصالات واعداد وتطوير وادامة مراكز البيانات (Data Centers) ،واعداد خطط الاستجابة السريعة في حال تعرض الخوادم للحوادث والاختراقات وانشاء مواقع بديلة امنه ،واعتماد بنية امن المعلومات والاتصالات بعناصرها الرئيسة (السرية والسلامة وتوافر البيانات ) والعديد من المهام الاخرى .. بالإضافة الى وجود قسم تكنلوجيا المعلومات في كل مصرف من المصارف المجازة الذي يؤدي نفس المهام تقريبا .

^{^[60]} لورنس م. اوليفا ،امن تقنية المعلومات ،نصائح من خبراء ،ترجمة د.محمد مراياتي ،المنظمة العربية للترجمة ، مدينة الملك عبد العزيز للعلوم والتقنية ،2011،ص 21

^{^[61]} المصدر نفسه ،ص 60

^{^[62]} فايز جمعة النجار ،نظم المعلومات الادارية مدخل معاصر من منظور اداري ،دار الحامد للنشر والتوزيع ،عمان ،الاردن ، 2013،ص 261

^{^[63]} نزار كاظم الخيكاني ,حماية امن المعلومات المصرفية وفق المواصفات العالمية (iso 17799) , بحث منشور في المجلة العراقية للعلوم الإدارية ,المجلد 13,العدد (54), ص 134-

Albert Caballero,Information Security Essential For IT ,Managers :Protecting Mission –Critical System ,p35 ,www.syngress.com

^{^[64]} Mohammed Mahfouz Alhassan , Information Security in an Organization ,International Journal of Computer (IJC) (2017)Volume 24,No 1,p 107

^{^[65]} د. خالد بن سليمان الغثبر –د. محمد بن عبد الله القحطاني ، امن المعلومات بلغة ميسرة ، الطبعة الأولى ، مكتبة الملك فهد الوطنية ، 2009، ص 22.

^{^[66]} المصدر نفسه ،ص 25

^{^[67]} د.يوسف حسن يوسف ، البنوك الالكترونية ، الطبعة الاولى ،المركز القومي للإصدارات القانونية ،2012، ص77

^{^[68]} هنالك العديد من البرامج الخبيثة التي يمكن ان يستخدمها المهاجمون كالفايروسات – الديدان –الخدع والبلاغات الكاذبة –الاحصنة الطروادية رسائل الاصطياد الخادعة –البرامج التجسسية –البرامج الاعلانية –الصفحات الفقاعية او الانبثاقية –وبرامج تسجيل نقرات لوحات المفاتيح للمزيد ينظر محمد سعيد سلطان ، قضايا قانونية في امن المعلومات وحماية البيئة الالكترونية ،دار ناشري للنشر الالكتروني ، 2012 ص 20 -

^{^[69]} احمد المشد ، القرصنة الالكترونية وامن المعلومات ، الطبعة الأولى ،مؤسسة الامة العربية للنشر والتوزيع ،جمهورية مصر العربية ،2017،ص 340- للتفصيل اكثر في هذا الموضوع ويليام ستولنغ ،مدخل في امنية البيانات والمعلومات ،ترجمة فهد ال قاسم ص 6 وما بعدها .

^{^[70]} ينظر نص المادة أولا \14 من قانون التوقيع الالكتروني والمعاملات الالكتروني.

^{^[71]} ينظر نص المادة أولا \15 من نفس القانون.

^{^[72]} ينظر نص المادة أولا \12 من نفس القانون.

^{^[73]} ينظر نص المادة 4-5 من نفس القانون.

^{^[74]} ينظر نص المادة أولا \19 من نفس القانون .

^{^[75]} ينظر نص المادة 25 من نفس القانون .

^{^[76]} ينظر نص المادة أولا \20 من نفس القانون.

^{^[77]} ينظر نص المادة 26\2 من نفس القانون .

^{^[78]} ينظر نص المادة 27 من قانون التوقيع الالكتروني والمعاملات الالكترونية رقم 78 لسنة 2012.

^{^[79]} ينظر نص المادة 4\اولا وثانيا من نظام خدمات الدفع الالكتروني.

^{^[80]} ينظر نص الفقرة 4-5 من المادة المشار اليها أعلاه .

^{^[81]} ينظر نص الفقرة 9-10 من نفس المادة .

^{^[82]} ينظر نص الفقرة 11 من نفس المادة .

^{^[83]} ينظر نص المادة 16\ج من نظام خدمات الدفع الالكتروني.

^{^[84]} تنظر ص 20 الى ص 23 .

^{^[85]} ينظر نص المادة 16\د من نظام خدمات الدفع الالكتروني رقم 3 لسنة 2014.

^{^[86]} ينظر نص المادة (6\اولا \ا) من قانون حماية المستهلك العراقي رقم 1 لسنة 2010.

^{^[87]}Basic interpretative provisions

(1)In this Act, unless the context otherwise requires—

“data” means information which—

(a) is being processed by means of equipment operating automatically in response to instructions given for that purpose,

(b) is recorded with the intention that it should be processed by means of such equipment,

(c) is recorded as part of a relevant filing system or with the intention that it should form part of a relevant filing system, or

(d) does not fall within paragraph (a), (b) or (c) but forms part of an accessible record as defined by section 68;

“data controller” means, subject to subsection (4), a person who (either alone or jointly or in common with other persons) determines the purposes for which and the manner in which any personal data are, or are to be, processed;

“data processor”, in relation to personal data, means any person (other than an employee of the data controller) who processes the data on behalf of the data controller;

“data subject” means an individual who is the subject of personal data;

“personal data” means data which relate to a living individual who can be identified—

(a) from those data, or

(b) from those data and other information which is in the possession of, or is likely to come into the possession of, the data controller,

and includes any expression of opinion about the individual and any indication of the intentions of the data controller or any other person in respect of the individual;

“processing”, in relation to information or data, means obtaining, recording or holding the information or data or carrying out any operation or set of operations on the information or data, including—

(a) organisation, adaptation or alteration of the information or data,

(b) retrieval, consultation or use of the information or data,

(d) alignment, combination, blocking, erasure or destruction of the information or data;

“relevant filing system” means any set of information relating to individuals to the extent that, although the information is not processed by means of equipment operating automatically in response to instructions given for that purpose, the set is structured, either by reference to individuals or by reference to criteria relating to individuals, in such a way that specific= =information relating to a particular individual is readily accessible.

(2)In this Act, unless the context otherwise requires—

(a)“obtaining” or “recording”, in relation to personal data, includes obtaining or recording the information to be contained in the data, and

(b)“using” or “disclosing”, in relation to personal data, includes using or disclosing the information contained in the data.

(3)In determining for the purposes of this Act whether any information is recorded with the intention—

(a)that it should be processed by means of equipment operating automatically in response to instructions given for that purpose, or

(b)that it should form part of a relevant filing system,

it is immaterial that it is intended to be so processed or to form part of such a system only after being transferred to a country or territory outside the European Economic Area.

(4)Where personal data are processed only for purposes for which they are required by or under any enactment to be processed, the person on whom the obligation to process the data is imposed by or under that enactment is for the purposes of this Act the data controller.

^{^[88]} SCHEDULE 2

Conditions relevant for purposes of the first principle: processing of any personal data

(1) The processing is necessary for the purposes of legitimate interests pursued by the data controller or by the third party or parties to whom the data are disclosed, except where the processing is unwarranted in any particular case by reason of prejudice to the rights and freedoms or legitimate interests of the data subject.

(2)The Secretary of State may by order specify particular circumstances in which this condition is, or is not, to be taken to be satisfied.