Konwencjia o Cyberprzestępczości

Internet jest medium,
które stwarza ogromne możliwości dla przestępczości komputerowej. Istnieją tu 2
zakresy możliwych nadużyć:

1.      Nadużycia na skutek działań (
Handlungen )

–        
bezprawny dostęp
oraz włamania do systemów informacyjnych,

–        
manipulacja,
sabotaż dotyczący komputerów i sieci, wywiad i ujawnianie danych objętych
tajemnicą,

–        
naruszanie sfery
prywatności jak również bezprawne gromadzenie, wykorzystywanie i ujawnianie
danych osobowych,

–        
naruszanie praw
autorskich, jak również innych praw chroniących własność intelektualną,

–        
oszustwa
konsumentów,

–        
pranie brudnych
pieniędzy,

–        
handel
narkotykami, nielegalny handel bronią terroryzm.

2.      Nadużycia będące wynikiem
prezentowanych w Internecie treści:

–        
pornografia
dziecięca,

–        
podżeganie do
nienawiści na tle różnic narodowościowych,

–        
oszczerstwa.

Na mocy Konwencji
państwa-strony zobowiązały się do:

–        
wiążącego
ustalenia pojęcia nielegalnego dostępu, nielegalnego podsłuchu, czy też
zakłócania systemu komputerowego lub komunikacji,

–        
wprowadzenia
zakazu produkcji, sprzedaży, i rozpowszechniania ( lub innego rodzaju dostępu )
urządzeń umożliwiających nielegalny dostęp, podsłuch, zakłócanie systemu
komputerowego lub komunikacji,

–        
określenia jako
karalne działań zmierzających , przy wykorzystaniu komputera, do fałszowania
danych lub oszustwa, jak również naruszających prawa autorskie,

–        
 wprowadzenia
odpowiedzialności przedsiębiorstw za przestępstwa,

–        
zezwolenia
gromadzenia danych osobowych klientów właściwym podmiotom, jeśli zażądają tego
właściwe urzędy,

–        
współpracy z
innymi urzędami celem zabezpieczenia materiałów dowodowych oraz w celu
ekstradycji osób podejrzanych o przestępstwa komputerowe. 

Czyniąc zadość powyższym uwagom
konwencja przewiduje 4 kategorie czynów karalnych:

1.      Przestępstwa przeciwko poufności,
nienaruszalności i możliwości dysponowania danymi komputerowymi a także
systemami komputerowymi. Do tego typu czynów konwencja zalicza:

–        
nielegalny
dostęp,

–        
nielegalny
podsłuch,

–        
zmiana danych,

–        
zakłócanie
systemów komputerowych,

–        
produkcja oraz
umożliwianie dostępu do tzw. Hackertools.

2.      Przestępstwa komputerowe (
Computerstraftaten ):

–        
fałszerstwo
komputerowe ( Computerfälschung ),

–        
oszustwo
komputerowe ( Computerbetrug )

3.      Przestępstwa dotyczące prezentowanych
w Internecie treści:

–        
pornografia
dziecięca,

4.      Przestępstwa przeciwko prawom
autorskim i prawom pokrewnym.

 

Art.2 CCC ( nielegalny
dostęp ) zobowiązuje państwa strony konwencji do wprowadzenia do krajowego
porządku prawnego klauzuli definiującej jako przestępstwo bezprawne włamanie do
systemu komputerowego obejmujące zamiar jego zniszczenia lub pozyskania danych.
Zgodnie z art.4 ust.1 ( zmiana danych ) i art. 5 CCC (zakłócanie systemu
komputerowego ) do kategorii przestępstw zalicza się zmianę, usunięcie,
uszkodzenie zniszczenie oraz skasowanie danych komputerowych użytkownika
prywatnego lub systemu komputerowego uniemożliwiających użytkownikowi dostęp do
danych lub uniemożliwiających prawidłowe funkcjonowanie systemu.

Art. 6 CCC wprowadza
zakaz produkcji, sprzedaży lub rozpowszechniania programów komputerowych, które
można wykorzystywać do nielegalnego dostępu do danych, nielegalnego podsłuchu,
zmiany danych czy też zakłóceń systemu komputerowego. Zakaz ten obejmuje także
inne środki jak sprzedaż haseł czy kodów dostępu ( acces code ) umożliwiających
nielegalny dostęp do komputera.

Z powyższego wynika, iż
konwencja uznała za przestępstwa tzw. ,,klasyczne” delikty „hakerskie i
krakerskie” jak nielegalny dostęp ( nieuprawnione wejście w posiadanie
zabezpieczonych danych komputerowych dla siebie lub kogoś innego ), zmianę
danych, sabotaż komputerowy oraz zakłócanie systemu komputerowego.

 

Przestępstwo obejmujące zmianę danych
lub nieuprawnione wejście w posiadanie zabezpieczonych danych komputerowych dla
siebie lub kogoś innego ( Ausspähen von Daten ) zostało uregulowane w
niemieckim kodeksie karnym ( § 202 a StGB ). Nie musi tu chodzić koniecznie o dane objęte tajemnicą.
Ochroną objęte zostały dane, które zostały zabezpieczone przed nieuprawnionym
dostępem i nie są przeznaczone dla sprawcy, przy czym chodzi tu o
zabezpieczenia typowe ( standardowe ) tzn. mające na celu zapobiec lub utrudnić
nieuprawnionym dostęp do danych.

Nieuprawnione włamanie do
komputera wg. art. 2 CCC, które wypełnia znamiona czynu karalnego z § 202 a StGB, zagrożone jest w
Niemczech karą pozbawienia wolności do lat 3 lub karą pieniężną. Nie są to
jednak przestępstwa ścigane z urzędu. Do wszczęcia postępowania wymagany jest
wniosek pokrzywdzonego ( §
205 ust.1 StGB ). Oznacza to, że jeśli pokrzywdzony nie wystąpi z takim
wnioskiem w ciągu 3 miesięcy od dnia powzięcia wiadomości o czynie i osobie
sprawcy, prokuratura nie będzie mogła wnieść oskarżenia,

Nieuprawnione wejście w posiadanie
zabezpieczonych danych komputerowych dla siebie lub kogoś innego wymaga
włamania do komputera. W §
202 a StGB jest mowa jedynie o nieuprawnionym pozyskiwaniu danych poprzez
złamanie środków ( kodów ) zabezpieczających, można jednak przyjąć, że  oba
pojęcia są identyczne w tym sensie, że jedno wynika z drugiego. Należy jednak
zwrócić uwagę na to, że treść § 202 a StGB nie obejmuje tzw. „naruszenia ( zniszczenia ) integralności
komputera” ( Zersturöng der Integrität von Computer ), co wiąże się z ściśle z
hackingiem. Ta dyferencja jest o tyle istotna, jeśli się weźmie pod uwagę
rodzaje hackingu. W tradycyjnym ujęciu hacking określa się jako włamanie do systemu
komputerowego, którego celem nie jest manipulacja lub sabotaż, lecz jedynie
chęć złamania technicznych zabezpieczeń. Takie działanie podciąga zróżnicowanie
w zakresie szkód, z jednej bowiem strony ogranicza się tylko do narażenia
zaatakowanej firmy na niebezpieczeństwo ujawnienia zabezpieczonych danych, z
drugiej jednak strony szkody mogą być znacznie większe np. w razie
wykorzystania zdobytych tą drogą informacji do działań wywiadowczych lub
sabotażowych. Dlatego też określenie hackingu jako nieuprawnionego wejścia w
posiadanie zabezpieczonych danych komputerowych dla siebie lub kogoś innego
jest niewystarczające i wymaga uzupełnienia o pojęcie „naruszenia ( zniszczenia
) integralności komputera” ( Zersturöng der Integrität von Computer ).

Powyższa definicja jest również
nietrafna w odniesieniu do tzw. ,,hackingu sportowego” ( sportliches Hacken ),
który – ujmując rzecz obrazowo – sprowadza się do złamania istniejących
zabezpieczeń celem ujawnienia występujących w systemie luk.

§ 202 a StGB określa nieuprawnione
wejście w posiadanie zabezpieczonych danych komputerowych jako hacking, podczas
gdy art.2 CCC kładzie nacisk na włamanie do obcego systemu komputerowego
traktując to jako znamię czynu karalnego. Skutkiem tego jest uznanie hackingu (
we wszystkich jego rodzajach ) za czyn karalny, czego brak w niemieckich
regulacjach prawnych. A zatem również tzw. „hacking sportowy”  objęty jest
karalnością. Zgodnie bowiem z § 202 a StGB jeślibym włamał się do obcego systemu komputerowego bez
zamiaru pozyskania danych, ich zniszczenia lub zmiany, lecz jedynie w celu
ujawnienia występujących w systemie luk, czyn mój nie stanowiłby czyny
karalnego.

Nieuprawnione wejście w posiadanie
zabezpieczonych danych komputerowych jest wprawdzie tożsame z włamaniem do
obcego systemu komputerowego, ponieważ bez włamania do systemu nie byłoby
możliwym uzyskanie danych, jednakże włamanie do systemu komputerowego, a co za
tym idzie naruszenie integralności komputera, zostało uznane w konwencji ( art.
2 CCC ) za samodzielne znamię czynu karalnego, co umożliwia objęciem
karalnością tzw. „hackingu sportowego”, który mimo wszystko niesie ze sobą
poważne szkody dla gospodarki. § 202 a StGB zbyt wąsko interpretuje pojęcie Hackingu i dlatego też,
biorąc pod uwagę regulacje konwencji, powinien zdaniem autora zostać zmieniony.

Sabotaż komputerowy a
także zmiana danych komputerowych została uregulowana w niemieckim kodeksie
karnym ( §§ 303 a i 303 b
StGB ). Regulacje konwencji i kodeksu są zbieżne. Chodzi tu o zamierzone i
bezprawne działanie polegające na skasowaniu, ukryciu, zmianie lub
uniemożliwieniu korzystania z danych komputerowych na skutek włamania do obcego
komputera lub podczas komunikacji w sieciach komputerowych. Różnica pomiędzy
art. 5 CCC i § 303 b StGB
polega na tym, że w § 303
b StGB mowa jest o zakładach, przedsiębiorstwach i urzędach jako celach ataków.
W obu jednak przypadkach sabotaż komputerowy następuje albo za pomocą zmiany
danych komputerowych lub za pomocą zakłócenia systemu komputerowego (
Computersystemstörung ).

Określone przez konwencję
jako tzw. przestępstwa komputerowe fałszerstwo i oszustwo komputerowe są
również przedmiotem regulacji prawnych w niemieckim porządku prawnym.( §§ 269, 270, 263 a StGB ). Przestępstwo
oszustwa komputerowego zostało wprowadzone do niemieckiego kodeksu karnego już
w roku 1986. Określone w art. 8 CCC oraz w § 263 a StGB znamiona czynu karalnego są tożsame.

Art. 7 CCC zobowiązuje
każde państwo-stronę do wprowadzenia do krajowego porządku prawnego klauzuli
definiującej jako przestępstwo działanie polegające na zamierzonym i
nieuprawnionym wprowadzeniu do systemu danych komputerowych, ich zmianie lub
usunięciu powodujące , iż dane te zostaną sfałszowane, bez względu na to, czy
zbiór danych ( Datei ) jest czytelny lub zrozumiały.

W odróżnieniu do art. 7 CCC mającego
charakter ogólny, ustawodawca niemiecki kładzie nacisk na pojęcie znaczenia
dowodowego ( doniosłości dowodowej ) danych ( Beweiserheblichkeit der Daten ).
Innymi słowy chronionym dobrem prawnym jest pewność i niezawodność obrotu prawnego
oraz dowodowego w zakresie postępowania z danymi mającymi znaczenie dowodowe,
podczas gdy dobrem prawnym objętym ochroną art. 7 CCC jest pewność i
niezawodność obrotu prawnego w ogólności, co oznacza, że pojęcie fałszerstwa
komputerowego z art. 7 CCC obejmuje nie tylko fałszowanie danych mających
znaczenie dowodowe, lecz fałszowanie wszelkich danych.

            Prezentowanie w sieci
internetowej pornografii dziecięcej zostało uznane przez konwencję za
przestępstwo ( art. 9 CCC ). Ustawodawca niemiecki kwestię tę uregulował w § 184 StGB. Według prawa niemieckiego
produkcja, rozpowszechnianie oraz posiadanie materiałów pornografii dziecięcej
jest karalne i zagrożone karą pozbawienia wolności do 5 lat. Nie ma przy tym
znaczenia czy tego rodzaju materiały mają postać drukowaną, czy są zapisane np.
na dyskietce, czy też są rozpowszechniane w sposób elektroniczny.

Zagadnieniem o wielkiej doniosłości
jest kwestia odpowiedzialności podmiotów  zaangażowanych w proces udostępniania
rozmaitych materiałów poprzez sieć komputerową, dotyczy to w szczególności
dostawcy zawartości sieci ( content provider ), dostawcy usług w sieci (
service provider ). Content Provider to podmiot, który udostępnia innym osobom
poprzez sieci komputerowe własne materiały ponosząc za ten czyn i za te
materiały odpowiedzialność. Chodzi tu zarówno o materiały stworzone przez
siebie jaki i materiały cudze ale upublicznione przez dostawcę zawartości sieci
bądź poprzez zapewnienie do nich dostępu, bądź poprzez rozsyłanie ich do
użytkowników. Do tej grupy należą w dużej mierze ci, którzy w Internecie
otwierają własne strony. Powyższą zasadę ustawodawca niemiecki potwierdził w § 5 ust. 1 Teledienstgesetz – TDG,
zgodnie z którym za własne treści, które udostępniają do korzystania, dostawcy
odpowiadają na ogólnych zasadach. Ich działaniem jest zatem publiczne
umożliwianie dostępu np. do czasopism zawierających treści pornografii
dziecięcej, które zostało objęte znamionami czynu karalnego z § 184 ust.3 nr.2 StGB i art.9 ust.1
pkt. B CCC. W odniesieniu do § 184 ust.3 i 4 StGB obowiązuje tzw. Weltrechtsprinzip, zgodnie z którą
czyny karalne mogą być ścigane w Niemczech, niezależnie od miejsca, w którym
zostały popełnione.

Dostawcy usług w sieciach są to
podmioty, które posiadają pewien wpływ na przepływ treści w sieciach, poza tym,
oferują oni swoim klientom różnorakie usługi jak np. oferty dotyczące
komunikacji indywidualnej, korzystania z banków danych z interaktywnym
dostępem. Ciąży na nich również obowiązek ograniczania dostępu do stron
zawierających nielegalne materiały. Zgodnie z § 5 ust.2 TDG odpowiedzialność dostawcy usług on-line w
przypadku gdy chodzi o cudze materiały zachodzi wówczas, gdy treści te były mu
znane i wyeliminowanie korzystania z nich było od strony technicznej możliwe i
można tego było oczekiwać. Ustawodawca niemiecki wyłącza natomiast w sposób
wyraźny odpowiedzialność za samo otwarcie dostępu ( hyperlink ) do stron, na
których są bezprawnie rozpowszechniane materiały ( § 5 ust.3 TDG ).

             Jak z powyższego wynika
takie przestępstwa jak fałszerstwo i oszustwo komputerowe oraz pornografia
dziecięca znalazły już swoje odzwierciedlenie w niemieckim porządku prawnym.
Uzupełnienia wymaga, jak się zdaje, § 202 a StGB dotyczący nieuprawnionego wejścia w posiadanie
zabezpieczonych danych komputerowych, który zbyt wąsko definiuje pojęcie
hackingu i obejmować powinien także włamanie do obcego komputera i zniszczenia
integralności komputera, jako samodzielne znamiona czynu karalnego wejścia w
posiadanie zabezpieczonych danych komputerowych. Aby móc zapobiegać
przestępczości komputerowej i skuteczni ją zwalczać, powinny być spełnione
następujące warunki :

–        
lepsza współpraca
pomiędzy wszystkimi uczestnikami ( użytkownicy, konsumenci, przedsiębiorstwa,
organy ścigania karnego, urzędy ochrony danych osobowych ),

–        
właściwe przepisy
prawa materialnego i procesowego, których celem jest zwalczanie przestępczości
komputerowej zarówno krajowej, jak i międzynarodowej. Nie mogą one przy tym
naruszać określonych w prawie wspólnotowym zasad, a także nie mogą być sprzeczne
Międzynarodową Konwencją Praw Człowieka.

Brak uwzględnienia zakazu
rasistowskiej propagandy pokazuje, iż nie wszystkim zagadnieniom poświęcona
została należyta uwaga. Ogromny wpływ na ostateczną wersję CCC miały Stany
Zjednoczone, dzięki którym takie zachowania jak podżeganie do nienawiści na tle
różnic narodowościowych nie zostały włączone w orbitę rozwiązań prawnych
konwencji.