Odpowiedzialność producenta za zaniechanie usuwania luk

Nurtującym pytaniem jest to, czy producent systemu zawierającego luki będzie odpowiadać za szkody wyrządzone swoim klientom? Wady nie są zamierzone, a więc wykluczone jest skuteczne dochodzenie naprawienia szkody związanej z utratą danych, czy uniemożliwieniem prawidłowego ich przetwarzania. O wiele bardziej interesująca jest pozycja producenta programu od chwili dowiedzenia się o wadzie, do chwili udostępniania na rynku stosownego patcha. Jeśli mamy do czynienia z programem zamówionym przez konkretnego klienta, luka jest wadą fizyczną programu. A to prowadzi do odpowiedzialności z tytułu nienależytego wykonania zobowiązania. Samo poinformowanie użytkowników o luce nie eliminuje takiej odpowiedzialności. Ponadto klient może żądać programu wolnego od wad, ewentualnie w ostateczności odstąpienia od umowy. Porozumienia licencyjne wykluczają z reguły dochodzenie roszczeń za szkody wyrządzone poprzez wadliwość oprogramowania. W praktyce może mieć znaczenie jednak to, że nie można wyłączyć odpowiedzialności za szkody wyrządzone umyślnie. Producent oprogramowania, świadomy wadliwości aplikacji, który świadomie (a nie np. wskutek utrudnień technicznych) nie przygotowuje odpowiednich patchy, mógłby ryzykować rozszerzenie swojej odpowiedzialności prawnej. Problemem jest tutaj bez wątpienia oprogramowanie open source, gdzie kwestia obowiązku opracowania patcha "rozmywa się". Tu nie ma jednego podmiotu realizującego przedsięwzięcie. Jednakże przy stosowaniu tzw. podwójnego licencjonowania i udostępniania licencji między innymi z pakietem dodatkowych usług (obsługa techniczna), oferujący może zobowiązać się do realizowania na bieżąco uaktualnień eliminujących błędy. Zaniechanie spełnienia tego będzie prowadzić do odpowiedzialności odszkodowawczej, ale związanej z dodatkowymi usługami, które przyjął na siebie udostępniający komercyjnie program open source. Producenci oprogramowania, którzy sami nie przygotowują łatek, z reguły nie sprzeciwiają się wprowadzaniu patchy przez inne firmy. Takie działanie leży w ich interesie. Czy można jednak posiłkować się przepisami prawa autorskiego, aby "zamrozić" opublikowanie łatki usuwającej wadliwość? Patch współpracuje z aplikacją, będąc w istocie nowym fragmentem kodu. Trzeba przyjąć, że stanowi on tzw. utwór zależny w stosunku do pierwotnej aplikacji, bez niej odgrywa marginalne znaczenie. Trzymając się ściśle przepisów prawa autorskiego, istniałaby możliwość zablokowania rozpowszechniania łatek, które nie pochodzą od producenta. Dyskusyjne jest, czy takie zabiegi rzeczywiście są w interesie twórców aplikacji.

Mylne informowanie o lukach systemów

To nie koniec praktycznych problemów. Dochodzi do tego opis luki przez osoby, które nie są związane z producentem oprogramowania. Określenie wady rozwiązania jako "luki krytycznej", gdy w istocie mamy do czynienia z błędem nieznacznie utrudniającym normalną pracę, może naruszać dobra osobiste producenta oprogramowania. Istotny jest sam wydźwięk informacji o ujawnieniu poważnej wadliwości. Na podstawie mylnego oznaczenia wady, producent programu mógłby dochodzić roszczeń związanych z naruszeniem jego dóbr osobistych. Przymiot taki jak dobre imię osoby prawnej (firmy) jest bowiem chroniony na mocy przepisów kodeksu cywilnego. Wprowadzające w błąd informowanie o błędach (bugs) w naturalny sposób zmniejsza zaufanie klientów do firmy. Jak kształtuje się odpowiedzialność podmiotów publicznych za upowszechnienie takich mylnych informacji? Dotyczy to sytuacji, w której np. przedstawiciele administracji rządowej odradzają korzystanie z rozwiązań IT, ze względu na ich stwierdzone wady. Jeśli doszło do pomówienia w ten sposób producenta aplikacji, a w istocie błędy nie zaistniały, w grę wchodzi stosowanie art. 417 kodeksu cywilnego. Pozwala on dochodzić odszkodowania od Skarbu Państwa, ewentualnie organów administracji rządowej za niezgodne z prawem działania przy wykonywaniu władzy publicznej. Nie będzie miało w tym względzie znaczenia, iż do pomyłki doszło przykładowo poprzez błąd niedoświadczonego pracownika organów państwowych.