Prawa i przepisy regulujące bezpieczeństwo cybernetyczne
5. Cyberbezpieczeństwo i jego regulacje prawne
5.3. Przepisy prawne dotyczące bezpieczeństwa cybernetycznego w Polsce
Biorąc pod uwagę polskie uwarunkowania prawne w zakresie przestępczości komputerowej, należy stwierdzić, że praktycznie wszystkie przestępstwa ujęte w rozdziale XXXIII Kodeksu karnego mogą być popełnione przy użyciu komputera. Wówczas staną się one przestępstwami komputerowymi. W niektórych przypadkach użycie komputera stanowi okoliczność zaostrzającą odpowiedzialność karną, np. art. 268 § 2 i 3 k.k., natomiast w innych sytuacjach sprawca, popełniający przestępstwo z użyciem komputera, będzie traktowany tak samo jak sprawca działający w inny sposób, np. art. 265 k.k., art. 266 k.k. Obecnie, w ramach wspomnianego rozdziału Kodeksu karnego, ustawodawca penalizuje takie zachowania jak:
- bezprawny dostęp do informacji lub systemu informatycznego oraz do informacji z nimi związanych (art. 267 Kodeksu karnego)
- działania polegające na niszczeniu, uszkadzaniu, usuwaniu, zastępowaniu istotnych informacji lub podobnych czynnościach (art. 268 Kodeksu karnego),
- działania polegające na niszczeniu, uszkadzaniu, usuwaniu, zmienianiu lub utrudnianiu dostępu do danych informatycznych albo na istotnym zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania takich danych (art. 268a Kodeksu karnego),
- czyny polegające na tzw. sabotażu informatycznym (art. 269 Kodeksu karnego), zwanym również dywersją informatyczną,
- czyny polegające na znacznym zakłóceniu działania systemu komputerowego lub sieci teleinformatycznej (art. 269a kodeksu karnego)
- czynów polegających na bezprawnym wytwarzaniu (lub podobnych działaniach) urządzeń lub programów komputerowych przystosowanych do popełniania określonych przestępstw, haseł komputerowych, kodów dostępu lub innych danych (art. 269b kodeksu karnego).
Oprócz wyżej wymienionego rozdziału ustawodawca uregulował odrębnie przestępstwo oszustwa komputerowego (art. 287 k.k.), kradzieży programu komputerowego (art. 278 § 2 k.k.) oraz posługiwania się programem komputerowym (art. 293 k.k.). Wszystkie przestępstwa zawarte w rozdziale XXXIII należą do kategorii przestępstw pospolitych, z wyjątkiem art. 269 Kodeksu karnego, art. 269a Kodeksu karnego i art. 269b Kodeksu karnego. Mają one charakter aplikacyjny.
Rozwiązania przyjęte w rozdziale XXXIII Kodeksu karnego są konsekwencją podpisania przez Polskę w dniu 23 listopada 2001 r. Konwencji nr 185 Rady Europy o cyberprzestępczości oraz Decyzji Ramowej Rady 2005/222/WSiSW w sprawie ataków na systemy informatyczne.
Artykuł 267 Kodeksu karnego stanowi prawnokarną ochronę prywatności użytkowników Internetu. W art. 267 § 1 Kodeksu karnego penalizowane są działania mające na celu uzyskanie nielegalnego dostępu do informacji nieprzeznaczonych dla sprawcy. Z punktu widzenia karalności zachowania sprawcy nie ma znaczenia, gdzie informacje są przechowywane - na dysku twardym czy na zewnętrznym serwerze w sieci. Oznacza to, że przepis ten chroni szeroko rozumiane prawo podmiotowe do dysponowania informacją. Zachowanie sprawcy przestępstwa określonego w art. 267 § 1 Kodeksu karnego może polegać na otwarciu zamkniętego listu, podłączeniu się do sieci telekomunikacyjnej lub przełamaniu albo obejściu zabezpieczeń elektronicznych, magnetycznych, informatycznych lub innych szczególnych zabezpieczeń. Treść przepisu wskazuje, że ustawodawca penalizuje działania wskazane w części dyspozytywnej, niezależnie od tego, czy sprawca zapoznał się z treścią informacji. Oznacza to, że znamiona przestępstwa z art. 267 k.k. wypełni również osoba, która uzyska dostęp do informacji dla niej nieprzeznaczonej, nawet w sytuacji, gdy nie zamierzała zapoznać się z jej treścią. Prywatność użytkowników Internetu może być również naruszana poprzez łamanie lub omijanie istniejących zabezpieczeń, a tym samym włamywanie się do komputera ofiary. Szerokie określenie w art. 267 § 1 Kodeksu karnego rodzajów zabezpieczeń, których złamanie lub ominięcie jest karalne, oznacza, że zabezpieczenie pliku hasłem będzie spełniało warunki informacji zabezpieczonej.
Działania sprawcy zmierzające do uzyskania dostępu do całości lub części systemu informatycznego stanowią przestępstwo z art. 267 § 2 k.k. Odnosząc się do strony podmiotowej czynu, należy zwrócić uwagę na użyte przez ustawodawcę pojęcie "sieć telekomunikacyjna", które nie zostało zdefiniowane w Kodeksie karnym. Konieczne wydaje się zatem odwołanie do art. 2 pkt 35 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, który definiuje sieć telekomunikacyjną jako systemy transmisyjne oraz urządzenia przełączające lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju. Z analizy powyższej definicji wynika, że siecią telekomunikacyjną może być zarówno istniejąca infrastruktura kablowa, jak i sieć bezprzewodowa.
Pojęcie systemu informatycznego nie zostało również zdefiniowane w Kodeksie karnym, jego definicję zawiera art. 7 pkt 2a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, który stanowi, że "systemem informatycznym jest zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych, służących do przetwarzania danych". Termin ten pojawia się również w art. 1 lit. 2005/222/WSiSW z 24 lutego 2005 r., w którym określono, że system informatyczny to każde urządzenie lub grupa połączonych lub powiązanych ze sobą urządzeń, z których co najmniej jedno dokonuje automatycznego przetwarzania danych komputerowych zgodnie z oprogramowaniem, a także danych przechowywanych, przetwarzanych, wyszukiwanych lub dostarczanych przez nie do celów ich działania, użytkowania, ochrony lub konserwacji. Inna definicja systemu informatycznego zawarta jest w Konwencji Rady Europy nr 185 o cyberprzestępczości. Zgodnie z art. 1 lit. i Konwencji, system informatyczny to dowolne urządzenie lub grupa połączonych lub powiązanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych. Ze względu na fakt, że pojęcie systemu informatycznego odgrywa istotną rolę w określaniu odpowiedzialności za cyberprzestępczość, w literaturze przedmiotu system informatyczny opisuje się jako zbiór współpracujących ze sobą elementów sprzętowych i programowych, które służą do wprowadzania, przetwarzania i odczytywania informacji. System informatyczny nie obejmuje zatem urządzeń do transmisji danych.
Warto zauważyć, że ustawodawca w art. 267 § 2 k.k. nie określił sposobu działania sprawcy, a jedynie jego skutek. Zgodnie z powyższym, każde zachowanie polegające na nieuprawnionym dostępie do systemu informatycznego jest karane, niezależnie od tego, czy doszło do naruszenia bezpieczeństwa komputera lub systemu.
W art. 267 § 3 Kodeksu karnego ustawodawca sankcjonuje inny czyn zabroniony, polegający na zainstalowaniu lub używaniu urządzenia podsłuchowego, wizualnego lub innego urządzenia lub oprogramowania w celu uzyskania informacji, do których nie jest się uprawnionym. Warunkiem odpowiedzialności na podstawie tego przepisu nie jest uzyskanie informacji, wystarczy, że sprawca podejmie określone działania. Działania te muszą być jednak podejmowane w określonym celu, tj. w celu uzyskania informacji, do których sprawca nie jest uprawniony.
W art. 267 § 4 Kodeksu karnego ustawodawca penalizuje ujawnienie innej osobie informacji uzyskanych w sposób określony w § 1-3.
Kolejny art. 268 Kodeksu karnego sankcjonuje zachowanie sprawcy zmierzające do naruszenia integralności danych informatycznych. Zgodnie z zapisami ustawy, naruszenie to może polegać na zniszczeniu, uszkodzeniu, usunięciu lub zmianie zapisu istotnych informacji.
W art. 268 § 2 k.k. ustawodawca uwzględnił sytuację, gdy czyn sprawcy dotyczy zapisu na informatycznym nośniku danych, np. na dysku twardym lub płycie CD. Zwraca się uwagę, że przedmiotem ochrony art. 268 k.k. jest dostępność informacji, a celem działania sprawcy jest uniemożliwienie lub znaczne utrudnienie osobie uprawnionej dostępu do odpowiedniej informacji. Konieczność wystąpienia skutku w postaci udaremnienia lub znacznego utrudnienia dostępu do informacji oznacza, że przestępstwo polegające na niszczeniu, uszkadzaniu, usuwaniu, zastępowaniu istotnych informacji lub podobnych działaniach należy do kategorii przestępstw skutkowych. Taka kwalifikacja jest zgodna z utrwalonym w literaturze przedmiotu poglądem. Ustawodawca w art. 268 Kodeksu karnego posługuje się pojęciem "informacji istotnej", nie wskazując cech, jakie musi posiadać informacja, aby była istotna w rozumieniu tego przepisu. Dlatego też ocena charakteru danej informacji musi być dokonywana indywidualnie dla każdego przypadku na podstawie zarówno obiektywnych, jak i subiektywnych kryteriów.
Przedmiot ochrony art. 268a k.k., w odróżnieniu od art. 268 k.k., został określony szeroko i jest nim bezpieczeństwo i dostępność danych informatycznych, które nie muszą spełniać cech istotności. Znamiona przestępstwa z art. 268a Kodeksu karnego to niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych. Penalizowane w art. 268a Kodeksu karnego zachowanie może również polegać na znacznym zakłóceniu lub uniemożliwieniu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Drugi zestaw zabronionych zachowań musi mieć znaczenie, które powinno być związane ze stopniem zakłócenia lub uniemożliwienia automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, a nie z zakresem danych zmodyfikowanych przez sprawcę. O ważności działań podejmowanych przez sprawcę mówimy wtedy, gdy działania te charakteryzują się odpowiednio wysokim stopniem intensywności. Przedmiotem ochrony art. 268a Kodeksu karnego jest bezpieczeństwo informacji przechowywanych, przesyłanych i przetwarzanych w systemach opartych na danych informatycznych.
Na gruncie polskiego systemu prawnego pojęcie "dane informatyczne" nie zostało zdefiniowane, a odgrywa ono istotną rolę. Dlatego konieczne jest odwołanie się do prawa międzynarodowego - zgodnie z treścią art. 1 lit. b Konwencji nr 185 Rady Europy o cyberprzestępczości. Zgodnie z cytowanym przepisem termin ten oznacza "wszelkie przedstawienie faktów, informacji lub pojęć w formie nadającej się do przetwarzania w systemie komputerowym, w tym odpowiedni program powodujący wykonanie funkcji przez system informatyczny".
Definicja danych informatycznych zawarta jest również w art. 1 lit. b decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne i oznacza "wszelkie przedstawienie faktów, informacji lub idei w formie odpowiedniej do przetwarzania w systemie informatycznym, w tym program odpowiedni do spowodowania wykonania funkcji przez system".
Przedstawione definicje wskazują, że dane informatyczne to wszelkie dane będące nośnikiem informacji, a także programy komputerowe wykorzystywane zarówno przez indywidualnie określone osoby, jak i wykorzystywane w sieciach teleinformatycznych przez nieokreśloną liczbę osób.
W art. 269 Kodeksu karnego ustawodawca penalizuje zachowanie polegające na tzw. sabotażu informatycznym. Istotą tego przestępstwa jest niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, a także zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania tych danych.
W art. 269 § 2 k.k. ustawodawca wskazał, że przestępstwo sabotażu może polegać na zniszczeniu lub wymianie informatycznego nośnika danych albo na zniszczeniu lub uszkodzeniu urządzenia służącego do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Jak wynika z treści omawianego przepisu, przedmiotem ochrony są dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządu terytorialnego oraz systemu automatycznego przetwarzania, gromadzenia lub przekazywania tych informacji. Sabotaż informatyczny jest uznawany za typ kwalifikowany w odniesieniu do przestępstw z art. 268 § 2 k.k., art. 268a k.k. i 269a k.k. Cechą kwalifikującą jest tu rodzaj chronionych danych, tj. danych o szczególnym znaczeniu dla wartości wymienionych w art. 269 Kodeksu karnego. Ustawodawca podzielił penalizowane zachowania sprawcy na dwie grupy. Pierwsze z nich to działania mające na celu niszczenie, uszkadzanie, usuwanie lub zmienianie danych komputerowych o szczególnym znaczeniu dla wartości chronionych przez rozporządzenie. Przedmiotem ochrony tej części przepisu jest integralność danych należących do określonej kategorii. Druga grupa cech to działania polegające na zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego. W tym przypadku przedmiotem ochrony jest dostępność danych określonych w wyżej wymienionym przepisie.
W art. 269 § 2 kk ustawodawca, chroniąc dobra określone w § 1, usankcjonował działania sprawcy polegające na niszczeniu lub wymianie informatycznego nośnika danych albo niszczeniu lub uszkadzaniu urządzeń służących do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Działania te mogą polegać na fizycznym niszczeniu, uszkadzaniu, wymianie np. dysków twardych, a także na utrudnianiu lub uniemożliwianiu ich przetwarzania poprzez np. uszkadzanie urządzeń sieciowych. Ze względu na materialny charakter przestępstwa sabotażu informatycznego, dla przypisania sprawcy czynu z art. 269 k.k. konieczne jest wystąpienie konkretnego skutku w postaci zniszczenia lub uszkodzenia określonych danych komputerowych albo zakłócenia lub uniemożliwienia ich automatycznego przetwarzania lub przekazywania.
Innym przepisem regulującym odpowiedzialność karną za cyberprzestępstwa jest art. 269a polskiego Kodeksu karnego. Istotą tego przepisu jest ochrona bezpieczeństwa operacyjnego systemu komputerowego lub sieci teleinformatycznej. W literaturze przedmiotu pojęcie systemu komputerowego utożsamiane jest z pojęciem systemu informacyjnego. Odpowiedzialności karnej na podstawie tego przepisu podlega osoba, która bez uprawnienia w istotny sposób zakłóca działanie systemu komputerowego lub sieci teleinformatycznej poprzez przekazywanie, niszczenie, usuwanie, uszkadzanie, utrudnianie dostępu lub zmianę danych informatycznych. Sposoby działania penalizowane przez ustawę zostały enumeratywnie wymienione w przepisie i co do zasady nie powinny budzić wątpliwości interpretacyjnych. Wyjątkiem jest termin "transmisja", który nie został zdefiniowany przez ustawodawcę. W literaturze termin ten oznacza przenoszenie informacji z jednego miejsca w systemie komputerowym do innego, np. z pamięci operacyjnej na dysk, z dysku na drukarkę, z jednego komputera w sieci do innego komputera sieciowego. Sankcjonowane przekazywanie danych informatycznych na odległość ma się odbywać w formie zakodowanej, a nie na nośnikach zewnętrznych, np. na płytach CD.
Artykuł 269b Kodeksu karnego sankcjonuje wytwarzanie, nabywanie, sprzedaż lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełniania wymienionych przestępstw. Warto zauważyć, że do znamion tego przestępstwa należy szereg czynności przygotowawczych, które mogą być związane z popełnieniem przestępstw wskazanych w części dyspozytywnej przepisu. Penalizacja obejmuje działania polegające na tworzeniu i przystosowaniu urządzeń lub programów do popełniania przestępstw z art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 lub § 2 w zw. z § 1, art. 269 § 2 lub art. 269a, ich udostępnianiu i uzyskiwaniu, a także łamaniu haseł komputerowych, kodów dostępu lub innych danych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej. Przedmiotem ochrony jest bezpieczeństwo informacji przetwarzanych elektronicznie we wszystkich aspektach, tj. poufności, integralności i dostępności danych i systemów informatycznych. Mimo że ustawodawca używa liczby mnogiej w odniesieniu do sankcjonowanych działań, karalne z mocy prawa będzie pojedyncze zachowanie, np. sprzedaż tylko jednego programu. Taki pogląd jest ugruntowany zarówno w doktrynie, jak i w orzecznictwie.
W art. 287 Kodeksu karnego ustawodawca uregulował przestępstwo oszustwa komputerowego. To przestępstwo jest ujęte w Rozdziale XXXV "Przestępstwa przeciwko mieniu". Przedmiotem ochrony tego artykułu są dane informatyczne wraz z zawartymi w nich informacjami. Dane te mogą być przechowywane zarówno w pamięci komputera, jak i na dysku CD lub serwerze. Karalne zachowanie sprawcy polega na wpływaniu bez upoważnienia na automatyczne przetwarzanie, gromadzenie lub przekazywanie informacji albo na zmianę, usunięcie lub wprowadzenie nowego zapisu na danych informatycznych. Opisane zachowanie sprawcy musi mieć na celu osiągnięcie korzyści majątkowej lub wyrządzenie szkody innej osobie. W literaturze przedmiotu wskazuje się, że działanie sprawcy mające na celu wywarcie wpływu na automatyczne przetwarzanie, gromadzenie lub przekazywanie informacji przybiera postać bezprawnej ingerencji podmiotu zewnętrznego w przebieg automatycznych procesów, co powoduje, że po ustaniu wpływu sprawcy ich przebieg, w szczególności przetwarzanie, gromadzenie lub przekazywanie, będzie inny niż gdyby nie doszło do działania sprawcy. Oszustwo komputerowe jest przestępstwem. Oznacza to, że przestępstwo z art. 287 § 1 k.k. jest dokonywane w momencie wprowadzania zmian lub innej ingerencji w urządzenie lub system gromadzenia, przetwarzania lub przekazywania informacji za pomocą techniki komputerowej, opisanych w tym przepisie. Konieczność wyrządzenia szkody nie jest jedną z jej cech charakterystycznych.
W art. 287 § 2 Kodeksu karnego ustawodawca określił typ uprzywilejowany ze względu na przypadek mniejszej wagi. Przestępstwo z art. 287 Kodeksu karnego ma z reguły charakter publicznoskargowy. Natomiast w przypadku, gdy zostało ono popełnione na szkodę osoby najbliższej, powoduje, zgodnie z postanowieniami § 3, zmianę trybu ścigania na wnioskowy.
Powyższa analiza przepisów regulujących odpowiedzialność karną za cyberprzestępstwa wskazuje, że podstawowym przedmiotem ochrony kryminalizacji przestępstw komputerowych jest tradycyjna wolność i prywatność jednostki, choć postrzegana z perspektywy komputera. Ochronie podlegają jednak również dane gromadzone w systemach, a także same systemy i ich integralność, których naruszenie może mieć często bardzo poważne konsekwencje społeczne. Jednocześnie należy wspomnieć, że prawnokarna regulacja cyberprzestępczości napotka dwa podstawowe problemy. Pierwsza z nich jest związana z zasadą jurysdykcji. Przestępstwa komputerowe popełniane w Internecie bardzo często mają charakter transgraniczny, a czasem nawet terytorialny, w tym sensie, że często popełniane są w oderwaniu od terytorium danej jurysdykcji. Drugim problemem jest bardzo szybki rozwój nowych form cyberprzestępczości, za którym ustawodawcy zazwyczaj nie nadążają.
Niemniej jednak, biorąc pod uwagę przedstawione aspekty prawnokarne, powaga zagrożenia, jakie niesie ze sobą cyberprzestępczość oraz potrzeba odpowiedniej reakcji na nie, w szczególności poprzez regulacje z zakresu prawa karnego, nie może budzić żadnych wątpliwości.