Prawne aspekty zwalczania cyberprzestępczości

Biorąc pod uwagę wcześniejsze rozważania z zakresu przestępczości komputerowej należy stwierdzić, iż właściwie wszystkie przestępstwa ujęte w rozdziale XXXIII  Kodeksu karnego mogą być popełnione przy użyciu komputera. Staną się one wówczas przestępstwami komputerowymi. W niektórych przypadkach użycie komputera stanowi okoliczność zaostrzającą odpowiedzialność karną, np. art. 268 § 2 i 3 k.k., natomiast w innych sytuacjach sprawca, popełniając przestępstwo z wykorzystaniem komputera, będzie traktowany tak samo, jak sprawca działający w inny sposób np. art. 265 k.k., art. 266 k.k.[1]. Aktualnie w ramach wspomnianego rozdziału Kodeksu karnego ustawodawca spenalizował takie zachowania, jak:

- nielegalne uzyskanie dostępu do informacji lub systemu informatycznego i związane z nimi (art. 267 k.k.)

- czyny, polegające na niszczeniu, uszkadzaniu, usuwaniu, zamienianiu istotnej informacji lub czynnościach zbliżonych (art. 268 k.k.),

- czyny polegające na niszczeniu, uszkadzaniu, usuwaniu zmienianiu lub utrudnianiu dostępu do danych informatycznych albo w istotnym stopniu zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania takich danych (art. 268a k.k.),

- czyny polegające na tzw. sabotażu informatycznym (art. 269 k.k.), zwanym też dywersją informatyczną,

- czyny polegające na zakłócaniu w istotnym stopniu pracy systemu komputerowego lub sieci teleinformatycznej (art. 269a k.k.)

- czyny polegające na bezprawnym wytwarzaniu (lub czynnościach zbliżonych) urządzeń lub programów komputerowych przystosowanych do popełnienia określonych przestępstw, haseł komputerowych, kodów dostępu lub innych danych (art. 269b k.k.).

Poza wymienionym rozdziałem ustawodawca odrębnie unormował przestępstwo oszustwa komputerowego (art. 287 k.k.), kradzież programu komputerowego (art. 278 § 2 k.k.) oraz paserstwo programu komputerowego (art. 293 k.k.).

Wszystkie przestępstwa zawarte w rozdziale XXXIII należą do kategorii przestępstw powszechnych z wyjątkiem art. 269 k.k., art. 269a k.k. oraz art. 269b k.k.. Mają one charakter wnioskowy. Rozwiązania przyjęte w rozdziale XXXIII Kodeksu karnego są następstwem podpisania przez Polskę dnia 23 listopada 2001 r. Konwencji Rady Europy nr 185 o cyberprzestępczości oraz decyzji ramowej Rady 2005/222/WSiSW w sprawie ataków na systemy informatyczne[2].   

Artykuł 267 k.k. stanowi prawnokarną ochronę prywatności użytkowników Internetu. W art. 267 § 1 k.k. penalizuje on działania mające na celu uzyskanie nielegalnego dostępu do informacji nieprzeznaczonej dla sprawcy. Z punktu widzenia karalności zachowania sprawcy pozostaje bez znaczenia, gdzie przechowywana jest informacja czy na dysku twardym, czy na serwerze zewnętrznym w sieci. Oznacza to, że przepis ten chroni szeroko rozumiane prawo podmiotowe do dysponowania informacją[3]. Postępowanie sprawcy przestępstwa określonego w art. 267 § 1 k.k. może polegać na otwarciu zamkniętego pisma, podłączeniu się do sieci telekomunikacyjnej lub przełamaniu albo ominięciu elektronicznego, magnetycznego, informatycznego lub innego szczególnego jej zabezpieczenia. Treść przepisu wskazuje, iż ustawodawca penalizuje czynności wskazane w części dyspozytywnej bez względu na to, czy sprawca zapoznał się z treścią informacji. Oznacza to, że znamiona przestępstwa z art. 267 k.k. wypełni także osoba, która uzyska dostęp do informacji dla niej nieprzeznaczonej nawet w sytuacji, gdy nie miała zamiaru zapoznać się z jej treścią. Prywatność użytkowników Internetu może zostać naruszona również poprzez przełamanie lub ominięcie istniejących zabezpieczeń i tym samym włamanie się do komputera ofiary. Szerokie określenie w art. 267 § 1 k.k. rodzajów zabezpieczeń, których przełamanie czy ominięcie jest karalne, powoduje, że zabezpieczenie pliku hasłem będzie spełniało warunki informacji zabezpieczonej.

Działania sprawcy mające na celu uzyskanie dostępu do całości lub części systemu informatycznego stanowią przestępstwo z art. 267 § 2 k.k. Odnosząc się do strony przedmiotowej czynu, zwraca się uwagę na użyte przez ustawodawcę pojęcie „sieć telekomunikacyjna”, które nie zostało w Kodeksie karnym zdefiniowane. Konieczne wydaje się więc odwołanie do art. 2 pkt. 35 ustawy z 16 lipca 2004 r. Prawo telekomunikacyjne[4], który określa sieć telekomunikacyjną jako systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także inne zasoby, w tym nieaktywne elementy sieci, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju. Analiza powyższej definicji wskazuje, że siecią telekomunikacyjną może być zarówno istniejąca infrastruktura kablowa, jak i sieć bezprzewodowa[5].

Również pojęcie systemu informatycznego nie zostało zdefiniowane w Kodeksie karnym, jego definicja znajduje się w art. 7 pkt 2a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych[6], który stanowi, że „system informatyczny jest to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”. Termin ten występuje także w art. 1 lit. a decyzji ramowej Rady nr 2005/222/WSiSW z dnia 24.02.2005 r., który precyzuje, że system informatyczny to każde urządzenie lub grupa połączonych lub powiązanych urządzeń, z których co najmniej jedno dokonuje zgodnie z oprogramowaniem automatycznego przetwarzania danych komputerowych, jak również danych przechowywanych, przetwarzanych, odzyskanych lub przekazanych przez nie w celach ich eksploatacji, użycia, ochrony lub utrzymania. Kolejna definicja systemu informatycznego zawarta jest w Konwencji Rady Europy nr 185 o cyberprzestępczości. W myśl art. 1 lit. a Konwencji systemem informatycznym jest każde urządzenie lub grupa wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych. Z uwagi na to, że pojęcie systemu informatycznego odgrywa istotną rolę w ustalaniu odpowiedzialności za cyberprzestępstwo, w literaturze określa się system informatyczny jako zespół współpracujących elementów sprzętowych i programowych, które służą do wprowadzania, przetwarzania i odczytywania informacji. System informatyczny nie obejmuje zatem urządzeń służących do przekazywania danych[7].

Na uwagę zasługuje fakt, że ustawodawca w art. 267 § 2 k.k. nie określił sposobu działania sprawcy, a jedynie jego skutek. Powyższe nakazuje uznać, że penalizowane jest każde zachowanie polegające na nieuprawnionym dostępie do systemu informatycznego bez względu na to, czy doszło do złamania jakiegokolwiek zabezpieczenia komputera czy systemu[8].

W art. 267 § 3 k.k. ustawodawca sankcjonuje kolejny czyn zabroniony, polegający na zakładaniu lub posługiwaniu się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem w celu uzyskania informacji, do której nie jest uprawniony. Warunkiem ponoszenia odpowiedzialności z tego przepisu nie jest uzyskanie informacji, wystarczające jest podjęcie przez sprawcę określonych działań. Działania te muszą być jednak podjęte w określonym celu, tj. w celu uzyskania informacji, do której sprawca nie jest uprawniony.

W art. 267 § 4 k.k. ustawodawca penalizuje ujawnienie innej osobie informacji uzyskanych w sposób określony w § 1–3.

Kolejny art. 268 k.k. sankcjonuje zachowania sprawcy nakierowane na naruszenie integralności danych informatycznych. Naruszenie to, jak wynika z treści przepisu, może przybrać postać niszczenia, uszkadzania, usuwania lub zmiany zapisu istotnej informacji.

W art. 268 § 2 k.k. ustawodawca ochroną prawną objął sytuację, gdy czyn sprawcy dotyczy zapisu na informatycznym nośniku danych, np. dysku twardym czy płycie CD. Zauważa się, że przedmiotem ochrony art. 268 k.k. jest dostępność informacji, a celem działania sprawcy jest udaremnienie lub znaczne utrudnienie osobie uprawnionej zapoznania się z istotną informacją. Konieczność wystąpienia skutku w postaci udaremnienia lub znacznego utrudnienia dostępu do informacji powoduje, że przestępstwo polegające na niszczeniu, uszkadzaniu, usuwaniu, zamienianiu istotnej informacji lub czynnościach zbliżonych kwalifikuje się  do kategorii przestępstw skutkowych. Taka kwalifikacja jest zgodna z ugruntowanym poglądem literatury[9]. Ustawodawca w art. 268 k.k. posługuje się pojęciem „istotna informacja”, nie wskazując przy tym cech, jakie musi posiadać informacja, żeby była istotna w rozumieniu tego przepisu. Dlatego też ocena charakteru danej informacji musi zostać dokonana na gruncie konkretnej sprawy na podstawie zarówno kryteriów obiektywnych, jak i subiektywnych.

Przedmiot ochrony art. 268a k.k., w odróżnieniu od art. 268 k.k., ujęty został szeroko i jest nim bezpieczeństwo i dostępność danych informatycznych, które to dane nie muszą spełniać cech istotności. Znamionami przestępstwa z art. 268a k.k. są niszczenie, uszkadzanie, usuwanie, zmienianie lub utrudnianie dostępu do danych informatycznych. Penalizowane w art. 268a k.k. zachowanie może polegać także na zakłócaniu w istotnym stopniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Drugi zbiór zabronionych zachowań musi charakteryzować się cechą istotności, którą to cechę należy odnosić do stopnia zakłócania lub uniemożliwiania automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych, nie zaś do stopnia modyfikowanych przez sprawcę danych[10]. O istotności podejmowanych przez sprawcę działań mówimy wtedy, gdy działania te cechują się odpowiednio wysokim stopniem intensywności[11]. Przedmiotem ochrony art. 268a k.k. jest bezpieczeństwo informacji przechowywanych, przesyłanych i przetwarzanych w systemach funkcjonujących w oparciu o dane informatyczne[12].

Na gruncie polskiego systemu prawnego nie zdefiniowano pojęcia „dane informatyczne”, a odgrywa ono ważną rolę. Konieczne jest więc sięgnięcie do prawa międzynarodowego – zgodnie z treścią art. 1 lit b. Konwencji Rady Europy nr 185 o cyberprzestępczości. Według cytowanego przepisu termin ten oznacza „dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny”.

Definicję danych informatycznych zawiera również art. 1 lit b decyzji ramowej Rady 2005/222/WSiSW z 24.02.2005 r. w sprawie ataków na systemy informatyczne i oznacza „wszelkie przedstawienie faktów, informacji lub koncepcji w formie odpowiedniej do przetwarzania w systemie informatycznym, włącznie z programem odpowiednim do spowodowania wykonywania funkcji przez system”[13].

 Przedstawione definicje wskazują, że danymi informatycznymi są wszelkie dane będące nośnikiem informacji, a także programy komputerowe używane zarówno przez indywidualnie określone osoby, jak i wykorzystywane w sieciach teleinformatycznych przez bliżej nieokreśloną liczbę osób[14].

W art. 269 k.k. ustawodawca spenalizował zachowania polegające na tzw. sabotażu informatycznym. Istotą tego przestępstwa jest niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego, zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania takich danych.

W art. 269 § 2 k.k. ustawodawca wskazał, iż przestępstwo sabotażu może polegać na niszczeniu albo wymianie informatycznego nośnika danych lub niszczeniu albo uszkodzeniu urządzenia służącego do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Jak wynika z treści omawianego przepisu, przedmiotem ochrony są dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej oraz system automatycznego przetwarzania, gromadzenia lub przekazywania takich informacji. Sabotaż informatyczny uważa się za typ kwalifikowany w stosunku do przestępstw z art. 268 § 2 k.k., art. 268a k.k. i 269a k.k. Znamieniem kwalifikującym jest tu rodzaj chronionych danych, tj. danych mających szczególne znaczenie dla wymienionych w art. 269 k.k. wartości[15]. Penalizowane zachowania sprawcy ustawodawca podzielił na dwie grupy. Pierwszą z nich stanowią działania mające na celu niszczenie, uszkadzanie, usuwanie lub zmienianie danych informatycznych o szczególnym znaczeniu dla wartości chronionych przepisem. Przedmiotem ochrony tej części przepisu jest integralność danych należących do szczególnej kategorii[16]. Drugą grupę znamion stanowią czynności polegające na zakłócaniu lub uniemożliwianiu automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego.  W tym przypadku przedmiotem ochrony jest dostępność danych wyszczególnionych we wskazanym przepisie.

W art. 269§ 2 k.k. ustawodawca, chroniąc dobra określone w § 1, usankcjonował działania sprawcy polegające na niszczeniu albo wymianie informatycznego nośnika danych lub niszczeniu albo uszkadzaniu urządzeń służących do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Działania te mogą polegać na fizycznym zniszczeniu, uszkodzeniu, wymianie np. dysków twardych, jak i utrudnianiu lub uniemożliwianiu ich przetwarzania poprzez np. uszkodzenie urządzeń sieciowych[17]. Z uwagi na materialny charakter przestępstwa sabotażu informatycznego, dla przypisania sprawcy czynu z art. 269 k.k. konieczne jest wystąpienie określonego skutku w postaci unicestwienia lub uszkodzenia wyszczególnionych danych informatycznych albo zakłócenia lub uniemożliwienia automatycznego ich przetwarzania lub przekazywania.       

Kolejnym przepisem regulującym odpowiedzialność prawnokarną cyberprzestępczości jest art. 269a k.k.. Istotą tego przepisu jest ochrona bezpieczeństwa pracy systemu komputerowego lub sieci teleinformatycznej. Pojęcie systemu komputerowego identyfikuje się w literaturze z pojęciem systemu informatycznego[18]. Odpowiedzialności karnej z przedmiotowego przepisu będzie podlegała osoba, która bez uprawnienia, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej poprzez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych. Penalizowane przez ustawę sposoby działania zostały w przepisie enumeratywnie wyliczone i co do zasady nie powinny budzić wątpliwości interpretacyjnych. Wyjątek stanowi pojęcie „transmisja”, które nie zostało zdefiniowane przez ustawodawcę. W literaturze pojęcie to oznacza przesyłanie, przekazywanie informacji z jednego miejsca w systemie komputerowym do innego, np. z pamięci operacyjnej na dysk, z dysku na drukarkę, z jednego komputera działającego w sieci do drugiego komputera sieciowego[19]. Sankcjonowane przekazywanie danych informatycznych na odległość ma odbywać się w postaci zakodowanej, a nie na nośnikach zewnętrznych takich jak płyta CD[20].

Artykuł 269b k.k. sankcjonuje wytwarzanie, pozyskiwanie, zbywanie lub udostępnianie innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia enumeratywnie wymienionych przestępstw. Na uwagę zasługuje fakt, iż znamiona tego przestępstwa obejmują szereg czynności przygotowawczych, które mogą być związane z popełnieniem przestępstw wskazanych w części dyspozytywnej przepisu. Penalizacją zostały objęte działania polegające na tworzeniu i dostosowywaniu urządzeń lub programów do popełniania przestępstw z art. 165 § 1 pkt. 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, ich udostępnianiu i pozyskiwaniu, a także łamanie haseł komputerowych, kodów dostępu lub innych danych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej. Przedmiotem ochrony jest bezpieczeństwo informacji przetwarzanych elektronicznie we wszystkich aspektach, tj. poufność, integralność i dostępność danych informatycznych i systemów[21]. Mimo iż ustawodawca posługuje się liczbą mnogą co do sankcjonowanych czynności, karalnością objęte zostanie już pojedyncze zachowanie, polegające na przykład na zbyciu tylko jednego programu. Taki pogląd jest utrwalony zarówno w doktrynie, jak i w orzecznictwie.  

W art. 287 k.k. ustawodawca unormował przestępstwo oszustwa komputerowego. Przestępstwo to zostało zawarte w rozdziale XXXV zatytułowanym „Przestępstwa przeciwko mieniu”. Przedmiotem ochrony wskazanego artykułu są dane informatyczne wraz z zawartymi w nich informacjami. Dane te mogą być zapisane zarówno w pamięci komputera, jak i na płycie CD czy serwerze. Penalizowane zachowanie sprawcy polega na wpływaniu bez upoważnienia na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji albo zmianie, usuwaniu lub wprowadzeniu nowego zapisu na danych informatycznych. Opisane zachowanie sprawcy musi mieć na celu chęć osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody. W literaturze wskazuje się, że działanie sprawcy mające na celu wpływanie na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji przybiera postać bezprawnej ingerencji podmiotu zewnętrznego w przebieg automatycznych procesów, która powoduje, że po zakończeniu oddziaływania sprawcy jego przebieg, a w szczególności przetwarzanie, gromadzenie lub przesyłanie, będzie inny niż w wypadku, gdyby czynność sprawcy nie została dokonana[22]. Oszustwo komputerowe jest przestępstwem skutkowym. Oznacza to, że przestępstwo z art. 287 § 1 k.k. dokonane jest już z chwilą wprowadzenia zmian lub innej opisanej w tym przepisie ingerencji w urządzenie lub system do gromadzenia, przetwarzania lub przesyłania informacji za pomocą techniki komputerowej. Konieczność powstania szkody nie należy zaś do jego znamion[23].

W art. 287 § 2 k.k. ustawodawca określił typ uprzywilejowany z uwagi na wypadek mniejszej wagi. Przestępstwo z art. 287 k.k., co do zasady ma charakter publicznoskargowy. W przypadku jednak, gdy zostało popełnione na szkodę osoby najbliższej, powoduje, zgodnie z regulacją § 3, zmianę trybu ścigania na wnioskowy.

Dokonana powyżej analiza przepisów regulujących odpowiedzialność prawnokarną z tytułu cyberprzestępstw wskazuje, iż zasadniczym przedmiotem ochrony penalizacji przestępstw komputerowych jest tradycyjna wolność i prywatność jednostek, choć ujmowana z perspektywy komputerowej. Ochronie podlegają jednak także dane zgromadzone w systemach, jak również same systemy i ich integralność, której naruszenie może mieć nierzadko bardzo poważne następstwa społeczne[24]. Jednocześnie należy nadmienić, że prawnokarna regulacja cyberprzestępczości napotka na dwa zasadnicze problemy. Pierwszy związany jest z zasadą jurysdykcji. Przestępstwa komputerowe popełniane w Internecie bardzo często mają charakter transgraniczny, a czasami wręcz aterytorialny w tym sensie, że często są popełniane w oderwaniu od terytorium danej jurysdykcji. Drugim problemem jest bardzo szybki rozwój nowych postaci cyberprzestępczości, za którym ustawodawcy z reguły nie nadążają.

Niemniej jednak przy uwzględnieniu przedstawionych aspektów prawnokarnych nie może budzić wątpliwości powaga zagrożenia, jakie niesie za sobą cyberprzestępczość, i konieczność właściwej reakcji na nią, w szczególności poprzez unormowania w dziedzinie prawa karnego.