در این مقاله به بررسی مفهوم حقوقی «مسئولیت مستقیم سازمانها» (Direct Liability) میپردازم؛ اصلی که بر اساس آن، شرکتها در قبال اعمال کارمندانشان، به ویژه هنگامی که در چارچوب وظایف شغلی یا با تفویض اختیار از سوی مقامات ارشد صورت میگیرد، مسئول شناخته میشوند. تمرکز اصلی بر تفکیک این نوع مسئولیت از مسئولیت غیرمستقیم (Vicarious Liability) و همچنین تأثیر آن بر جرایمی است که نیازی به اثبات سوء نیت (Mens Rea) ندارند (Strict Liability). درک این مفهوم برای مدیران ارشد امنیت اطلاعات (CISOها) و مدیران حاکمیتی جهت مدیریت ریسکهای حقوقی و سایبری حیاتی است.( بخشی از درس مدیر امنیت CISO آکادمی روزبه )
بخش ۱: مبانی مسئولیت مستقیم (Direct Liability Defined)
مسئولیت مستقیم سازمانها زمانی محقق میشود که بتوان نشان داد سازمان به صورت فعال یا منفعل در وقوع عمل غیرقانونی کارمند نقش داشته است.
تعریف مسئولیت مستقیم: این نوع مسئولیت زمانی رخ میدهد که سازمان عمداً یا سهواً اجازه وقوع عمل کارمند را میدهد. این اصل بهویژه در مورد رفتار مقامات عالی شرکت (Company Officers) که در نام شرکت عمل میکنند، صدق میکند. مسئولیت میتواند به کارمندانی که تحت اختیارات تفویض شده عمل میکنند، گسترش یابد. اگر بتوان اثبات کرد که عمل یا نظارت صریح (Express Act or Oversight) شرکت منجر به ارتکاب جرم توسط کارمند شده است، کارفرما میتواند مستقیماً مسئول شناخته شود.
این مفهوم نشاندهنده یک تعهد فعالانه یا انفعال عمدی از سوی نهاد سازمان است. به عبارت دیگر، این امر فراتر از صرف انتساب عمل کارمند به سازمان است؛ در اینجا، خود سازمان (از طریق هیئت مدیره، مدیران ارشد یا سیاستهای ناکافی) مرتکب خطا شده است.
مثالها:
فرهنگ سازمانی که نقض مقررات را تشویق میکند.
عدم اجرای سیاستهای امنیتی که به صراحت توسط مقامات ارشد وضع شدهاند اما نظارتی بر اجرای آنها وجود ندارد.
تفویض اختیارات گسترده به یک کارمند بدون بررسی سوابق یا نظارت کافی.
بخش ۲: تفکیک از مسئولیت غیرمستقیم و نقش Mens Rea
مسئولیت حقوقی سازمانها اغلب بر دو پایه استوار است: مسئولیت غیرمستقیم (Vicarious) و مسئولیت مستقیم (Direct). در حوزه حقوق کیفری، اثبات قصد مجرمانه (Mens Rea) برای محکومیت فردی ضروری است، اما در مورد سازمانها، مرزها متفاوت است.
در حالی که در پیگرد کیفری، اثبات «سوء نیت» (Mens Rea) – آگاهی از اینکه عمل منجر به وقوع جرم خواهد شد – مورد نیاز است، اما یک شرکت را نمیتوان صرفاً بر اساس مسئولیت غیرمستقیم (Vicarious Liability) در قبال عمل یک کارمند مجرم دانست. مسئولیت غیرمستقیم معمولاً در دعاوی مدنی (مانند سهلانگاری) کاربرد دارد و کارفرما را مسئول اعمال کارمند در حین خدمت میداند، حتی اگر خود سازمان مرتکب خطا نشده باشد.
با این حال، این امر مانع از آن نمیشود که شرکت در قبال نقض مجرمانه توسط کارمند مسئول شناخته شود، در دو حالت کلیدی:
جرایم بدون نیاز به Mens Rea: اگر تخلف نیازی به اثبات سوء نیت برای پیگرد نداشته باشد.
مسئولیت ناشی از قانون (Statutory Liability): زمانی که قانون صراحتاً شرکت را مسئول میداند (خواه مسئولیت صریح یا ضمنی باشد).
در مسئولیت مستقیم، تمرکز بر این است که آیا رفتار سازمان (نه لزوماً کارمند) مستقیماً متخلف بوده است، مثلاً از طریق فقدان سیستمهای کنترلی یا اتخاذ رویههای تبعیضآمیز که منجر به عمل کارمند شدهاند.
بخش ۳: جرایم با مسئولیت مطلق (Strict Liability Offenses)
جرایم با مسئولیت مطلق (Strict Liability Offenses) یک استثنای مهم در حقوق کیفری سنتی هستند، جایی که اثبات قصد مجرمانه برای محکومیت لازم نیست.
جرایم با مسئولیت مطلق، مواردی هستند که در آنها نیازی به اثبات حالت ذهنی مجرمانه (Mens Rea) نیست. در این نوع جرایم، و همچنین مواردی که از طریق قانون بر شرکتها اعمال میشوند، رفتار یا وضعیت ذهنی کارمند به شرکت نسبت داده میشود، مشروط بر اینکه کارمند در حال انجام وظایف محوله خود باشد.
در زمینه سایبری و امنیت اطلاعات، بسیاری از مقررات نظارتی (مانند برخی تخلفات مربوط به حفظ حریم خصوصی دادهها یا مقررات زیستمحیطی) به عنوان مسئولیت مطلق یا نیمه مطلق تعریف میشوند.
پیامد حقوقی: این بخش به وضوح نشان میدهد که حتی اگر کارمند قصد مجرمانه نداشته، یا حتی اگر قصد او صرفاً سهوی بوده، اگر عمل او در حوزه صلاحیتش بوده و قانون آن را ممنوع کرده باشد، شرکت به دلیل عدم رعایت مقررات مسئول است. در این حالت، شرکت باید برای دفاع از خود، اثبات کند که اقدامات پیشگیرانه (Due Diligence) کافی را انجام داده است، که این امر به طور مستقیم به مسئولیت مستقیم مرتبط میشود.
بخش ۴: اعمال و محدودیتهای مسئولیت در قانون عرفی و قانونی
تعیین اینکه آیا عمل کارمند به سازمان قابل انتساب است، نیازمند ارزیابی دقیق از رابطه کاری و ماهیت عمل است.
رفتار کارمندان و نمایندگان میتواند منجر به تحمیل مسئولیت بر سازمانها از طریق قانون عرفی (Common Law) و قوانین موضوعه (Statute) شود.
معیار اصلی برای سنجش مسئولیت کارمند (تحت مسئولیت غیرمستقیم) این است که عمل وی باید «در جریان و ظرفیت اشتغال او» (During the course and capacity of his or her employment) انجام شده باشد.
مثالها:
در جریان بودن: یک حسابدار که از سیستم مالی شرکت برای پولشویی استفاده میکند، اغلب در جریان اشتغال تلقی میشود، زیرا ابزارهای لازم (دسترسی سیستمی) در اختیارش بوده است.
خارج از ظرفیت: دسترسی غیرمجاز یا کلاهبرداری کامپیوتری توسط یک کارمند ممکن است به عنوان عملی دور از محدوده شغلی تلقی شود، اگر این عمل صرفاً برای منافع شخصی و بدون هیچ ارتباطی با اهداف شرکت انجام شده باشد.
تأثیر مسئولیت مستقیم در محدودیتها: با این حال، این تنها دلیلی برای سلب مسئولیت از کارفرما نیست. حتی اگر عمل از نظر فنی خارج از محدوده باشد، اگر نظارت ضعیف یا سهلانگاری سازمانی (که به مسئولیت مستقیم بازمیگردد) وجود داشته باشد، سازمان همچنان در معرض ریسک قرار دارد.
به عنوان مثال، اگر یک کارمند با استفاده از دسترسی مجاز خود به دادهها اقدام به سرقت کند، ممکن است شرکت تحت مسئولیت غیرمستقیم محکوم شود. اما اگر اثبات شود که سازمان پروتکلهای احراز هویت قوی نداشته و به طور مداوم دسترسیهای غیرضروری را لغو نکرده است، این عدم اقدام به عنوان مسئولیت مستقیم سازمانی به دلیل نقص در مراقبت لازم (Lack of Due Care) شناخته میشود.
نتیجهگیری:
مسئولیت مستقیم سازمانها یک مفهوم چندوجهی است که نیازمند درک دقیق از تفکیک بین قصد مجرمانه فردی و تعهدات سازمانی در چارچوب قوانین عرفی و قانونی است.
برای CISOها و مدیران حاکمیتی، این بدان معناست که باید چارچوبهای امنیتی را نه تنها برای جلوگیری از نفوذهای مستقیم، بلکه برای اثبات «مراقبت لازم» (Due Diligence) در برابر زیانهای پاییندستی و همچنین در برابر اعمال نامناسب کارمندان در حیطه اختیاراتشان، طراحی و مستندسازی کنند.
این رویکرد پیشگیرانه، که شامل نظارت قوی، آموزش مداوم و اجرای دقیق سیاستهاست، دفاعی مستحکم در برابر دعاوی ناشی از مسئولیت مستقیم فراهم میآورد و نشان میدهد که سازمان برای حفظ الزامات قانونی تلاش کافی به عمل آورده است.
دوره مدیر امنیت سایبری CISO آکادمی روزبه
