Czy prawo chroni elektroniczne dane?

Wspólnym mianownikiem dla większości przestępstw popełnianych w Internecie jest godzenie w szeroko pojęte bezpieczeństwo gromadzenia, przechowywania i przetwarzania informacji. Nie ma w tym nic dziwnego, biorąc pod uwagę tendencję do utożsamiania informacji z dobrami o wymiernej wartości rynkowej.

Wspólnym mianownikiem dla większości przestępstw popełnianych w Internecie jest godzenie w szeroko pojęte bezpieczeństwo gromadzenia, przechowywania i przetwarzania informacji. Nie ma w tym nic dziwnego, biorąc pod uwagę tendencję do utożsamiania informacji z dobrami o wymiernej wartości rynkowej.

Konieczność zabezpieczenia prawidłowego obrotu danymi w środowisku elektronicznym jest powszechnie dostrzegana. Na gruncie europejskim dobitnie świadczy o tym Decyzja ramowa z 24 lutego 2005 r. w sprawie ataków na systemy informatyczne, a także Konwencja Rady Europy z 2001 r. dotycząca cyberprzestępczości. Z kolei polskie prawo, w wielu przypadkach, nadal nie zostało w całości dostosowane do standardów przeciwdziałania cyberprzestępczości.

Specyfika przestępstw w Internecie

Nikogo nie trzeba chyba przekonywać, że regulacjom prawnym nie można przyznawać waloru podstawowego środka przeciwdziałającego zachowaniom przestępczym w Internecie. Punkt ciężkości ciąży bowiem na mechanizmach technologicznych, eliminujących ingerencje w systemy komputerowe. Przesadzone byłoby więc oczekiwanie, że organa ścigania będą wieść prymat w eliminacji zagrożeń dla nich. Co istotne, formy działania cyberprzestępców zmieniają się dynamicznie. Przykładem może być posiłkowanie się wymuszaniem haraczy w zamian za udostępnienie pokrzywdzonemu dostępu do własnych danych, które sprawca wcześniej zaszyfrował, bądź żądanie środków finansowych za nieujawnianie danych zdobytych w ramach włamania hakerskiego. Nie wolno zapominać też o transgranicznym charakterze cyberprzestępstw. Ma to swoje znaczenie praktyczne, nie tylko na kanwie gromadzenia dowodów. Według jednej z zasad procedury karnej nie jest dopuszczalne powtórne karanie za ten sam czyn. Oznacza to, że skazanie za włamanie hakerskie czy rozpowszechnienie wirusa może stanąć na przeszkodzie ponownemu pociągnięciu do odpowiedzialności karnej sprawcy w innym państwie. Jest to istotne głównie ze względu na to, że w ramach prowadzonego postępowania organa ścigania nie zawsze mają wiedzę o pokrzywdzonych znajdujących się w innych państwach. Rzecz jasna, wiąże się to z faktem, iż skala cyberprzestępczości nie jest obecnie precyzyjnie oszacowana. Powodów takiego stanu rzeczy jest mnóstwo. Począwszy od prozaicznych powodów, takich jak brak świadomości ofiar o popełnieniu przestępstwa, aż po niechęć do ujawniania skutecznych ingerencji.

Ataki denial of service

Konieczność dostosowania kodeksu karnego do Konwencji Rady Europy z 2001 r. dotyczącej cyberprzestępczości doprowadziła co prawda trzy lata temu do zmiany prawa. Jednakże już na samym wstępie było oczywiste, że nie wyeliminują one wszystkich wątpliwości. Zresztą niedostosowanie regulacji prawnych do realiów obrotu elektronicznego nie jest tylko rodzimym problemem. Dotyczy to choćby ataków przeciążających systemy informatyczne. W Wlk. Brytanii dopiero niedawno doszło do nowelizacji przepisów, pozwalającej na efektywne ściganie sprawców ataków denial of service. Warto dodać jednak, że raport przygotowywany w 2004 r., w związku z nowelizacją angielskich przepisów, wskazuje na możliwość zaistnienia trudności w rozgraniczeniu legalnych działań od typowych ataków DOS. Dla uzyskania dowodów nie wystarczy przeświadczenie pokrzywdzonego, iż zmasowany ruch na jego serwerach był zamierzonym przestępczym działaniem. Z drugiej strony, w przypadku kryminalizacji ataków denial of service nie ma znaczenia cel, w jakim doprowadzono do przeciążenia systemu. Oznacza to, że wyrażanie w ten sposób "obywatelskiego nieposłuszeństwa" będzie także kwalifikowane jako przestępstwo. Jest to o tyle istotne, iż w ostatnim czasie zdarza się, że organizacje aktywistów uciekają się do tego rodzaju działań. W październiku 2000 r. francuska grupa "Federation of Random Action" doprowadziła do zablokowania serwerów Banku Światowego. Analogiczny los spotkał niedawno strony internetowe Lufthansy w wyniku działań niemieckich organizacji walczących o prawa człowieka. Dla popełnienia przestępstwa wystarczające będzie jednak działanie sprawcy bez stosownego uprawnienia. Nie powinno mieć przy tym znaczenia, czy źródłem ataku jest jedna maszyna, czy też grono komputerów "przejętych" uprzednio przez sprawcę.

UE wobec cyberprzestępczości

Znaczenie ochrony elektronicznie przetwarzanych informacji doprowadziło do przyjęcia przez UE Decyzji ramowej z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne. Jej zadaniem pozostaje ujednolicenie regulacji europejskich, związanych z ochroną systemów komputerowych oraz przetwarzanych za ich pośrednictwem danych. Wśród przestępstw wymagających harmonizacji w prawie państw członkowskich wymienia ona: nielegalny dostęp do systemów komputerowych, nielegalną ingerencję w system (a więc także ataki DOS) oraz w dane. Wskazuje też na potrzebę wprowadzenia odpowiedzialności osób prawnych - czyli faktycznie firm - za tego typu naruszenia porządku prawnego. Swoistym "wentylem bezpieczeństwa" jest to, że decyzja umożliwia ustawodawcom pominięcie przypadków mniejszej wagi w ramach karalności przestępstw. Dzięki temu odsunięte ma być zagrożenie nadmiernej kryminalizacji życia społecznego. Tyle że nie zdołano precyzować okoliczności świadczących o takich sytuacjach. Bez wątpienia w przypadku hackingu, może być to funkcjonowanie systemu pozbawionego jakichkolwiek zabezpieczeń. Trudno wymagać, by prawo chroniło w tym zakresie użytkownika, który sam nie chce chronić przechowywanych danych. W odniesieniu do ingerencji w system bądź dane to od ustawodawców będzie zależało, czy ograniczą zakres karalności tych czynów. Mimo to każda próba ustanowienia sztywnych ram rozgraniczających legalne i nielegalne poczynania w odniesieniu do bezpieczeństwa elektronicznie przetwarzanych informacji będzie skazana na niepowodzenie.

Luki w prawie

Przypatrując się rodzimym regulacjom, na pozór mamy do czynienia z wysokim stopniem poufności i integralności danych przechowywanych w systemach komputerowych. Karalne są bowiem najbardziej tradycyjne nadużycia przestępcze. Niestety faktycznie, nie jest tak do końca. Przykładowo, kłopot w tym, że obecna regulacja hackingu w polskim prawie jest co najmniej anachroniczna. Włamania do systemów komputerowych powiązano ściśle z klasycznym naruszeniem tajemnicy korespondencji, co nie oddaje rzeczywistych trendów w tego rodzaju przestępczości. Wbrew europejskim standardom rodzime przepisy wymagają, aby zabezpieczenia były przełamywane przez sprawcę, nie zaś obchodzone. W rezultacie słabości techniczne bądź błędy administratora osłabiają znacznie poufność danych gromadzonych w systemie komputerowym. Sam nieuprawniony dostęp nie wystarczy dla uznania, iż doszło do przestępstwa hackingu. Z kolei naruszenie integralności informacji musi dotyczyć zapisów "istotnych" (art. 268 kodeksu karnego). Nie ma przy tym jasnych kryteriów, dotyczących chociażby tego, czy w przepisie chodzi o informacje istotne z punktu widzenia przeciętnego użytkownika, czy też jedynie dysponenta danych. Zważywszy na fakt, iż odbiór informacji jest zawsze subiektywny, ingerencja w zawartość systemu komputerowego może wiązać się z różnorakimi interpretacjami. Co prawda, inny z przepisów przewiduje karę za samo usuwanie bądź niszczenie danych informatycznych (art. 268a kodeksu karnego). Jednakże chodzi o sytuacje, w których konsekwencją działania - przykładowo wprowadzenia wirusa komputerowego - pozostaje utrudnianie lub udaremnianie dostępu do danych ich dysponentowi. Regulacja skupia się na konieczności ochrony nie tyle struktury zasobów elektronicznych, ile możliwości swobodnego dostępu do nich osób uprawnionych. Sytuacja taka rodzi wątpliwości zwłaszcza wtedy, gdy pokrzywdzony będzie dysponować dodatkowymi kopiami danych, a więc nieuprawniona ingerencja w zawartość systemu nie doprowadzi do utrudnień w zapoznaniu się z nimi. W przypadku ataków denial of service z pomocą może przyjść art. 269a kodeksu karnego. Przewiduje on karalność zakłócania w istotnym stopniu pracy systemu komputerowego poprzez transmisję, usunięcie, uszkodzenie lub zmianę danych. Tyle że kilkuminutowe przeciążenie systemu nie zawsze musi być istotnym zakłóceniem jego pracy. Za ewidentnego "konia trojańskiego" obecnych regulacji można uznać z pewnością art. 269b kodeksu karnego. Uznaje on bowiem za przestępstwo tworzenie i obrót rozwiązaniami informatycznymi, które przystosowano do popełniania przestępstw, takich jak włamania do systemów komputerowych, zakłócenie ich pracy bądź ingerowanie w dane przybierające postać elektroniczną. Jednocześnie wprowadza odpowiedzialność karną za udostępnianie haseł dostępu do systemów informatycznych (a więc także do poczty elektronicznej, serwerów ftp). Nie podważając przyczyniania się tej regulacji do prewencji w zakresie cyberprzestępczości, wynikającej z ograniczania obecności narzędzi stosowanych do ataków przeciwko bezpieczeństwu systemów komputerowych, traktuje ona na równi przestępców i administratorów systemów. Zabrakło bowiem wyznaczenia granicy pomiędzy zakazanym a dozwolonym stosowaniem oprogramowania służącego ocenie "wytrzymałości systemu". W rezultacie przepis może przynieść wiele dobrego i złego, zwłaszcza dla zajmujących się zawodowo testowaniem systemów komputerowych.

Planowane zmiany

Począwszy od 2004 r., w polskim prawie nie wprowadzono nic znaczącego z perspektywy karnej ochrony obrotu w ramach e-commerce. Dopiero niedawno na horyzoncie pojawił się projekt nowelizacji kodeksu karnego. Wśród zamierzonych zmian znalazły się i te, które poprawić mają ochronę elektronicznie przetwarzanych informacji. Niestety, także w tym wypadku zamierzenia ustawodawcy są tylko wycinkowe. W istocie chodzi jedynie o zmiany w odniesieniu do hackingu, który obejmie także przypadki obchodzenia zabezpieczeń systemu. W pozostałym zakresie zmiany są raczej kosmetyczne, a więc nie przyczynią się do realnego wzmocnienia ochrony informacji przetwarzanych za pośrednictwem systemów komputerowych.


TOP 200