O niektórych kwestiach spornych na tle ujęcia przestępstwa hakingu w Kodeksie karnym z 1997 r. – Mgr Robert Koszut

 

Coraz więcej dziedzin życia
uzależnionych zostaje od przesyłania danych sieciami teleinformatycznymi. Wbrew
powszechnie spotykanym opiniom, sieci te mogą być kanałem do bezpiecznego
przesyłania i gromadzenia informacji, pewniejszym nawet od tradycyjnie w tej
mierze stosowanych rozwiązań.

Pamiętać jednak
trzeba, że ciągle trwać będzie także wyścig pomiędzy tymi, którzy zabezpieczają
i tymi, którzy te zabezpieczenia łamią. Dlatego ostatecznym gwarantem
bezpieczeństwa chronionych informacji musi być państwo, wymuszając odpowiednimi
uregulowaniami pożądane zachowania.

Fundamentalne znaczenie mają tutaj przepisy rozdziału XXXIII KK, a w
szczególności art. 267 §1 KK penalizujący przestępstwo hakingu. To właśnie od
włamania komputerowego początek bierze większość naruszeń, określanych wspólną
nazwą przestępstw komputerowych. Wcześniejsza polska ustawa karna z 1969 r. nie
znała tego typu czynu zabronionego, pod rządami nowego kodeksu karnego dawne
ujęcie art. 172 KK z 1969 r. zostało rozwinięte i przesunięte z rozdziału
Przestępstwa przeciwko wolności do nowego rozdziału
Przestępstwa przeciwko ochronie informacji. Niestety ustawodawca
nie zdecydował się na rozdzielenie przestępstwa hakingu od naruszenia tajemnicy
korespondencji i jego zamieszczenie w osobnym artykule.[1]

Klasyczne
przestępstwo hakingu, o którym będzie mowa w niniejszym opracowaniu, stanowi
ostatnie z wymienionych w art. 267 §1 KK zachowań sprawcy i polega na uzyskaniu
informacji, które poprzedzone zostało przełamaniem elektronicznego,
magnetycznego lub innego szczególnego jej zabezpieczenia. Inne postaci hakingu
wymienione w kodeksie karnym odnaleźć możemy w art. 267 §2 KK (haking z zastosowaniem
podsłuchu) oraz w art. 285 KK (phreaking).[2]

Choć czas
obowiązywania przepisów nowego kodeksu karnego nie zaowocował jeszcze
spektakularnymi procesami hakerów naruszających dyspozycję art. 267 §1 KK, to
jednak na jego gruncie pojawiły się liczne doktrynalne problemy
interpretacyjne, nieraz w poważnej mierze różnicujące zakres przewidzianej tym
przepisem ochrony.

1. Pojęcie informacji

Wątpliwości powstają już w kwestii sposobu zdefiniowania informacji, jako
rodzajowego przedmiotu ochrony omawianego przepisu. Rozwój nowoczesnych
technologii informatycznych, nadaje temu pojęciu zasadniczo odmienne znaczenie
od tradycyjnego, czasownikowego jej rozumienia, jako czynności związanej z
procesem komunikowania się, przekazywania określonych wiadomości.[3]

We
współczesnej literaturze prawniczej zaznaczają się co najmniej dwie koncepcje.
Pierwsza, w punkcie wyjścia wspiera się na rozróżnieniu pojęcia
informacji i danych. Informacja nie ma charakteru
materialnego i nie jest rzeczą lecz procesem zachodzącym pomiędzy umysłem
człowieka i działającym na niego bodźcem. Rolę owego bodźca spełniać mogą dane,
które są zapisem określonej informacji i przybierać mogą różną postać (np.
literową, cyfrową, dźwiękową lub rysunkową). Dane są więc nośnikiem informacji,
informacja natomiast oznacza rezultat procesu interpretacji danych.[4]
Nie ulega przy tym wątpliwości, że z tych samych danych w zależności od sposobu
interpretacji, można wyprowadzić różne, nieraz krańcowo odmienne informacje.[5]

Druga natomiast
przeciwnie, utożsamia informację z danymi.[6]
W ten sposób informacji nadany zostaje jednoznacznie substancjonalny,
materialny charakter. W rezultacie nabiera ona podwójnego znaczenia i określa
zarówno pewien znak kulturowy kryjący określoną treść jak i wynik odczytania
owego znaku.

Pierwsza z
koncepcji wydaje się być trafniejsza. Odróżniając ściśle
informacje od danych uwzględnia bowiem, że
posiadanie dostępu do danych nie zawsze oznacza możliwość zapoznania się z
treścią zawartych w nich informacji. Lepiej służy ona także zaznaczeniu różnic
między informacją jako przedmiotem ochrony, a
danymi jako przedmiotem czynności wykonawczej przestępstw
komputerowych. Być może i z tych właśnie względów koncepcja ta zyskuje coraz
większe uznanie.[7]
Do jej ujęcia nawiązuje także Organizacja Rozwoju i Współpracy Gospodarczej
(OECD), która w aneksie do Zalecenia Rady z 26.11.1992 roku tak właśnie
zdefiniowała jej pojęcie.[8]
Odpowiada ona także przyjętej w polskim ustawodawstwie metodzie regulacji, często
chroniącej nie tyle informacje co same dane (np. art. 268 §2 KK).

2. Zakres kryminalizacji

Najpoważniejsze wątpliwości powstają wszakże co do zakresu kryminalizacji
hakingu. We współczesnym prawie karnym ukształtowały się generalnie dwa podejścia
do tego problemu.[9]
Restrykcyjne, przedmiotem prawnokarnej ochrony obejmuje nienaruszalność systemu
komputerowego i przewiduje odpowiedzialność już za samo uzyskanie dostępu do
systemu komputerowego przez osobę do tego nie uprawnioną, niezależnie od
tego czy wiązało się to z naruszeniem przez sprawcę zabezpieczeń i uzyskaniem
informacji (szeroki system ochrony). Nie ma tu znaczenia cel działania
sprawcy, taki sposób kryminalizacji hakingu ma charakter przestępstwa
formalnego i oparty został na konstrukcji przestępstwa narażenia na
niebezpieczeństwo informacji zgromadzonych w systemie. Rozwiązanie takie
znajdujemy m.in. w niektórych ustawodawstwach stanowych USA (Floryda, Arkansas)
i Australii (Wiktoria).[10]


[1]
Rozwiązanie takie odnajdujemy natomiast w niemieckim kodeksie karnym (StGB); §
202 Verletzung des Briefgeheimnisses (naruszenie tajemnicy
korespondencji); § 202a Ausspähen von Daten (bezprawne uzyskanie
informacji zapisanej na nośniku elektronicznym) w brzmieniu nadanym nowelizacją
z 1986 r.

[2]
Termin phreaking odnosić można także do procesu zgłębiania
tajników telekomunikacji, a nie jej oszukiwania, dlatego często używa się słowa
boxing, pochodzącego od nazwy narzędzia jakie służy do oszustw
telekomunikacyjnych.

[3]
M. Szymczak, Słownik języka polskiego. Tom I, Warszawa 1983, s. 788.

[4]
A. Adamski, Prawo karne komputerowe, Warszawa 2000, s. 38-39. W
tym kontekście mówienie o art. 267 §1 KK jako o przepisie penalizującym
,,kradzież informacji, wydaje się błędne z racji tego, że informacji nie
mającej charakteru materialnego ukraść nie można, A. Adamski, j.w. , s.
47.

[5]
Przykładowo, ten sam wyraz składający się z tych samych liter, może mieć
językowo kilka różnych znaczeń.

[6]
Tak, K. Napierała, Prawne aspekty ochrony danych osobowych, przetwarzanych w
systemach informatycznych, Warszawa 1997, s. 13, (w:) A. Adamski, Prawo
karne…, s. 37.

[7]
Tak, A. Adamski, Prawo karne…, s. 37-40; także P. Kardas, Prawnokarna
ochrona informacji w polskim prawie karnym z perspektywy przestępstw
komputerowych. Analiza dogmatyczna i strukturalna w świetle aktualnie
obowiązującego stanu prawnego, Czasopismo Prawa Karnego i Nauk Penalnych
1/2000, s. 56-60.

[8] Recommendation of the Council of the OECD concerning Guidelines for
the Security of Information Systems OECD/GD (92) 10 Paris, 1992.

[9]
Podział zaproponowany przez M. Möhrenschlagera, Hacking: to
criminalise or not ? Suggestions for the legislator, (w:) A.
Adamski (red.), Prawne aspekty nadużyć popełnianych z wykorzystaniem
nowoczesnych technologii przetwarzania informacji: materiały z międzynarodowej
konferencji naukowej

Poznań 20-22.04.1994 r., Toruń 1994, s.169 i n.

[10]
M. Möhrenschlager, j.w., s.170 – 171.

Kwestie sporne na tle wykładni przestępstwa hakingu

Drugie,
zdecydowanie bardziej liberalne podejście, za przedmiot ochrony uznaje wyłączny
dostęp osób uprawnionych do danych komputerowych. Odpowiedzialność karna
wystąpi jedynie pod warunkiem przełamania przez sprawcę zabezpieczeń i
uzyskania zawartych w systemie informacji (wąski system ochrony). Takie
ujęcie nawiązuje do typu przestępstwa materialnego, którego karalny skutek
wymaga wejścia sprawcy w posiadanie informacji. Przepisy takie odnajdziemy
m.in. w kodeksach karnych Danii (art. 263 ust. 2), Włoch (art. 615b) i Niemiec
(§ 202a).[11]

Szczególnym,
mieszanym typem unormowania, jest przykład obowiązującego od sierpnia 1990
roku uregulowania brytyjskiego (The Computer Misuse Act). Karalne jest uzyskanie
dostępu do systemu komputerowego w celu uzyskania zgromadzonych w nim
informacji. Krąg zachowań karalnych ograniczony więc został przez
charakterystyczne ujęcie strony podmiotowej, wymagającej kierunkowego
nastawienia działania sprawcy ze szczególną postacią zamiaru bezpośredniego.[12]

Artykuł
267 §1 polskiego kodeksu karnego, jest przykładem wąskiego systemu ochrony i
przewiduje odpowiedzialność karną za bezprawne uzyskanie informacji w wyniku
przełamania zabezpieczeń: kto bez uprawnienia uzyskuje informację dla
niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu
służącego do przekazywania informacji lub przełamując elektroniczne,
magnetyczne albo inne szczególne jej zabezpieczenie (…)

Przestępstwo z art. 267 §1 KK ma charakter przestępstwa powszechnego, jego
sprawcą może być każdy kto nie jest uprawniony do uzyskania informacji, a w
szczególności nie jest jej dysponentem. Najistotniejszy będzie brak uprawnienia
sprawcy do uzyskania określonych informacji, ponieważ zgodnie z wolą i
kompetencją podmiotu uprawnionego do dysponowania informacją, w chwili czynu
nie była ona adresowana do sprawcy, co wynikać może właśnie ze sposobu jej
zabezpieczenia. Co istotne adresat takiej wiadomości nie musi być w ogóle
wskazany, ważne, że nie jest nim sprawca.

Przepis nie zawiera zwrotu
który ograniczałby w stronie podmiotowej umyślność do zamiaru bezpośredniego.
Ze względu jednak na istotę czynności wykonawczych, przestępstwo to w praktyce
możliwe jest do popełnienia wyłącznie z zamiarem bezpośrednim, trudno bowiem
przypuszczać by sprawca nie miał pełnej świadomości faktu, iż uzyskuje
informację dla niego nie przeznaczoną.[13]

Przedmiotem ochrony omawianego przepisu jest szeroko rozumiane prawo do
poufności, którego zakres obejmuje również prawo do dysponowania
informacją. Mają one charakter prawa podmiotowego, gwarantowanego w
konstytucyjnym prawie do ochrony życia prywatnego i rodzinnego (art. 47
Konstytucji RP) oraz ochrony tajemnicy komunikowania się (art. 49 Konstytucji
RP).[14]
Wzmocnieniem podmiotowego prawa do informacji jest również ochrona przewidziana
przepisami prawa autorskiego, wynalazczego, patentowego i prasowego. O tym komu
przysługuje prawo do dysponowania informacją decydować będą przede wszystkim
regulacje prawa konstytucyjnego, cywilnego i innych ustaw szczególnych, a prawo
karne będzie miało w tym względzie wyłącznie subsydiarny charakter.[15]

Należy
podkreślić, że pokrzywdzonym przestępstwem hakingu może być nie tylko osoba
fizyczna ale również osoba prawna, instytucja lub organizacja.[16]


[11]
Ustawodawstwa karne większości krajów europejskich, najczęściej definiują
haking jako uzyskanie nieuprawnionego dostępu do danych lub
programów komputerowych w wyniku naruszenia zabezpieczeń. Takie ujęcie
wykazuje pewne podobieństwa do przestępstwa naruszenia miru domowego, co
zresztą niektóre zachodnioeuropejskie kodeksy karne wprost podkreślają. Terminy
breach of computer peace oraz data trespass którymi
posługują się w odniesieniu do hakingu kodeksy karne Holandii (art. 138a) i
Finlandii (roz. 38, art. 8) można przetłumaczyć właśnie jako naruszenie
miru komputerowego, (w:) A. Adamski, Prawo karne…, s. 49.

[12] M. Möhrenschlager, Hacking: to criminalise or not…, s.
180-182.

[13]
Por. O. Górniok, teza 2, (w:) A. Wąsek (red.), Kodeks karny. Komentarz. Tom
III, Gdańsk 2000, s. 322; także A. Marek, Komentarz do kodeksu karnego.
Część szczególna, Warszawa 2000 , teza 3, s. 275; W. Wróbel,
teza 22, (w:) A. Zoll (red.), Kodeks karny. Komentarz, Kraków 1999, s.
1008.

[14]
Konstytucja Rzeczypospolitej Polskiej z dnia 2.04.1997 r. (Dz.U. nr 78, poz.
483).

R. Góral podkreśla, że jest to również przestępstwo
przeciwko wolności; (w:) Kodeks karny. Praktyczny komentarz, Warszawa
1998, teza 1, s. 349.

[15]
Por. W. Wróbel, teza 2 i 3, (w:) A. Zoll (red.), Kodeks karny…, s.
1038.

[16]
R. Góral, Kodeks karny…, teza 3, s. 349; także: A. Marek, Komentarz…,
teza 3, s. 275; R. Zakrzewski, Ochrona informacji w nowym kodeksie
karnym, Przegląd Ustawodawstwa Gospodarczego 10/98, s. 13.

Kwestie sporne na tle wykładni przestępstwa hakingu

3. Uzyskanie informacji

Art. 267
§1 KK stanowi uwspółcześnioną wersję art. 172 KK z 1969 roku chroniącego
tajemnicę korespondencji, niestety w porównaniu ze swoim poprzednikiem zapewnia
o wiele słabszą ochronę. Art. 172 KK posługiwał się obiektywnymi kryteriami
karalności i za naruszenie tajemnicy korespondencji uznawał już samo otwarcie
zamkniętego pisma lub przyłączenie się do przewodu służącego do przekazywania
wiadomości. Zapoznanie się z jej treścią nie było warunkiem koniecznym dla
popełnienia przestępstwa naruszenia tajemnicy korespondencji.[17]
O przyjęciu takiego rozwiązania (również przez art. 253 §1 kodeksu karnego z
1932 roku) decydowały niewątpliwie praktyczne możliwości udowodnienia sprawcy
dokonania tego typu przestępstwa.

Dyspozycja
art. 267 §1 KK nie daje już takiej jasności, czego przyczyną jest uzależnienie
karalności od uzyskania informacji. Pomijając fakt, że taka
redakcja przepisu nie obejmuje sprawców, którzy nie poszukują samych informacji
i włamują się w celu wykazania nieskuteczności zabezpieczeń lub dokonania
kradzieży czasu pracy komputera,[18]
to w literaturze panują dość odmienne poglądy co do samego sposobu
interpretacji znamienia czynnościowego uzyskuje informacje.

Według
szeroko przyjętej wykładni językowej będzie to oznaczało przejęcie władztwa
nad informacją, czyli zdobycie możliwości jej swobodnego wykorzystywania i
decydowania o jej przeznaczeniu.[19]
Zaliczymy tu faktyczne objęcie we władanie samego nośnika nawet bez
zapoznawania się z samą informacją, skopiowanie jej zapisu jak i zapoznanie
się z treścią informacji bez jej kopiowania lub przejmowania władztwa nad samym
nośnikiem.[20]
Uzyskanie informacji w tym znaczeniu oznaczać więc będzie każdą formę przejętego
przez sprawcę władztwa. Pojęcie zapoznanie się z treścią
informacji nie będzie synonimem terminu uzyskanie
informacji lecz tylko jedną z możliwych form realizacji przestępstwa
hakingu. Należy podkreślić, że sam fakt objęcia przez sprawcę we władanie
nośnika będzie obiektywnie przesądzał o uzyskaniu samej informacji, dla
postawienia zarzutu z art. 267 §1 KK nie będzie więc w takim przypadku
konieczne rzeczywiste zapoznanie się z jej treścią, a nawet obiektywna
możliwość jej zrozumienia.[21]

Tak szerokie rozumienie
formuły uzyskania informacji uznać trzeba za błędne. Ustawodawca
wyraźnie w kodeksie karnym odróżnia pojęcie informacji od
komputerowego nośnika informacji i zapisu
informacji (np. art. 269 KK). Nieuprawnione wydaje się więc utożsamianie
przypadku przejęcia władztwa nad nośnikiem bez zapoznawania się z treścią
informacji lub samego skopiowania jej zapisu, z faktem uzyskania
informacji, bowiem takiej możliwości dyspozycja art. 267 §1 KK nie
przewiduje.

Należy
opowiedzieć się za tradycyjnym rozumieniem tego pojęcia, które ogranicza je do
faktycznego zapoznania się z jej treścią.[22]
Niestety taka wykładnia art. 267 §1 KK w praktyce może uniemożliwić
kryminalizację hakingu. Konkretnemu sprawcy trudno bowiem udowodnić, że
zapoznał się z treścią takiej informacji. Pomimo, że większość serwerów
sieciowych automatycznie rejestruje wszystkie polecenia wydawane przez ich
użytkowników i pozwala na ustalenie jakie pliki czytali, to wyłączenie
rejestracji tych poleceń i usunięcie logów wskazujących na korzystanie z
uprawnień dostępu do poszczególnych katalogów i plików, nie przedstawia dla wprawnego
użytkownika szczególnej trudności.

Zgodnie z tak
pojmowaną interpretacją art. 267 §1 KK także skopiowanie przez sprawcę plików
danych zawierających informacje, z którymi nie zdążył się on jeszcze zapoznać
nie wyczerpuje znamion ustawowych omawianego przestępstwa.[23]
Tym samym, szczególnie groźna forma hakingu, polegająca na kradzieży informacji
na cudze zlecenie, pozostaje praktycznie poza zakresem penalizacji art. 267 §1
KK.

Próbą
ratowania tak zredagowanego przepisu jest jego alternatywna interpretacja
zaproponowana przez A. Adamskiego. Dostęp do większości systemów
informatycznych jest zazwyczaj zabezpieczony hasłem, łamiąc takie
zabezpieczenie haker zapoznaje się z nie przeznaczoną dla niego informacją jaką
jest jego treść, takie zachowanie wyczerpuje natomiast ustawowe znamiona
przestępstwa z art. 267 §1 KK. Przyjęcie
takiej interpretacji oznacza, że nie musi wcale dojść do użycia złamanego hasła
i penetracji systemu komputerowego, aby hakerowi można było postawić zarzut
popełnienia przestępstwa. Karalna staje się bowiem już czynność de facto
przygotowawcza, jaką jest uzyskanie informacji warunkującej wejście do cudzego
systemu komputerowego, nie zaś uzyskanie dzięki tej informacji nieuprawnionego
dostępu do znajdujących się tam danych i programów komputerowych.

Techniczną wadą takiego
rozwiązania jest jednak fakt, że w praktyce złamanie hasła odbywa się często w
sposób automatyczny, a haker jest jedynie powiadamiany przez system nie o
treści złamanego hasła lecz o przełamaniu zabezpieczeń i uzyskaniu dostępu do
atakowanego systemu. Może to w rzeczywistości utrudniać kwalifikację danego
czynu w zaproponowanej alternatywnej interpretacji.

Krytykę
wywołać może również utożsamianie podlegającej ochronie informacji z jej
zabezpieczeniem, zwraca się bowiem uwagę, że przyjęcie takiego rozwiązania w
rzeczywistości przekształca art. 267 §1 KK w typ przestępstwa, którego istotą
staje się karalność już samego nieuprawnionego dostępu do systemu komputerowego
w wyniku przełamania zabezpieczeń. Także sama redakcja art. 267 §1 KK, zdaje
się wyraźnie przesądzać, że zabezpieczenie jest czymś kategorialnie różnym od
samej informacji podlegającej takiemu zabezpieczeniu.[24]

Powstają też nieuniknione
wątpliwości w przypadku zastosowania innych niż cyfrowe,
szczególnych zabezpieczeń samej informacji. Hasło dostępu, typowe
dla zabezpieczeń cyfrowych możemy z pewnością uznać za formę informacji, w
przypadku jednak mechanicznych zabezpieczeń nośników informacji, kwalifikacja
taka może budzić poważne trudności.

Reasumując, dla realizacji znamion typu czynu zabronionego konieczne będzie
najpierw przełamanie przez sprawcę zabezpieczeń informacji, a po drugie,
uzyskanie tak zabezpieczonej informacji. Kwestia rozumienia terminu
uzyskanie informacji oraz zdefiniowanie samego pojęcia
informacji, będzie niewątpliwie również przesądzać o
zakwalifikowaniu przestępstwa hakingu jako typu formalnego lub materialnego.
Przyjęcie formuły, że karalnym skutkiem jest dopiero zapoznanie się z treścią
zastrzeżonej informacji oznaczać będzie niewątpliwie, że mamy do czynienia z
typem przestępstwa materialnego.[25]

Samo
przełamanie zabezpieczeń, nie powiązane z uzyskaniem informacji
(w zależności od przyjętej koncepcji interpretowanym bądź jako przejęcie
władztwa, bądź zapoznanie się z jej treścią), uznać można jedynie za
usiłowanie popełnienia przestępstwa z art. 267 §1 KK, o ile sprawcy takiemu
można przypisać zamiar uzyskania informacji.[26]

Nie będzie
natomiast miało znaczenia, czy sprawca uzyskał i wykorzystał wiadomość której
poszukiwał, ani czy działał w celu uzyskania jakiejś konkretnej informacji,
dla postawienia zarzutu wystarczające będzie uzyskanie jakiejkolwiek wiadomości
po przełamaniu zabezpieczeń.[27]


[17]
I. Andrejew, W. Świda, W. Wolter, Kodeks karny z komentarzem, Warszawa
1973, teza 4, s. 504; także J. Bafia, K. Mioduski, M. Siewierski, Kodeks
karny. Komentarz, Warszawa 1977, teza 4, s. 440.

[18]
Przykładem mogą być notowane w USA przypadki ,,kradzieży czasu pracy
superkomputerów Cray przez hakerów, którzy po uzyskaniu nieuprawnionego dostępu
do tych maszyn uruchamiali na nich programy do łamania haseł. Zdaniem brytyjskich
ekspertów ds. bezpieczeństwa sieciowego, 95% przypadków włamań ma na celu
wykazanie nieskuteczności zabezpieczeń systemów, a tylko pozostałe 5% stanowią
złośliwe ataki, których celem jest przechowywana informacja. Security Return of the Hack, Computing z
30.04.1998 r., s. 56, (w:) A. Adamski, Prawo karne…, s. 48.

[19]
M. Szymczak, Słownik języka polskiego. Tom III, Warszawa 1984, s. 643.

[20]
Za takim rozumieniem terminu uzyskanie informacji opowiada się m.
in. W. Wróbel, teza 6, (w:) A. Zoll (red.), Kodeks karny…, s. 1004.
Również dla R. Górala, do dokonania przestępstwa nie jest konieczne by sprawca
zapoznał się z treścią nie przeznaczonej dla niego informacji (w:) Kodeks
karny…, teza 6, s. 349. Podobnie R. Zakrzewski: przestępstwa z
art. 267 i art. 268 uważać należy za dokonane z chwilą dopuszczenia się jednego
z zakazanych działań bez względu na to, czy sprawca zapoznał się z treścią nie
przeznaczonej dla niego informacji, Ochrona informacji…, s.
13. Zob. także P. Kardas, Prawnokarna ochrona informacji…, s. 67.
Stanowisko ostatniego autora wydaje się jednak niekonsekwentne, najpierw
opowiada on się bowiem za koncepcją rozróżniającą pojęcie
informacji i danych (tamże s. 59), by później
sprowadzać termin uzyskanie informacji również do przejęcia
władztwa nad nośnikiem lub zapisem informacji (tamże s. 66-67).

[21]
Por. P. Kardas, Prawnokarna ochrona informacji…, s. 67; także W.
Wróbel, teza 6 i 7, (w:) A. Zoll (red.), Kodeks karny…, s. 1004.
Inaczej natomiast w niemieckiej doktrynie karnej, gdzie na gruncie § 202a StGB
wymagana jest, nawet w przypadku przejęcia nośnika we władanie, realna
możliwość odczytania informacji np. dzięki dysponowaniu odpowiednim kodem; zob.
T. Lenckner (w:) Schönke/Schröder, Strafgesetzbuch. Kommentar, München
1998, s. 1353.

[22]
Zob. S. Glaser, A. Mogilnicki, Kodeks karny. Komentarz, Kraków 1934, s.
831. Autorzy interpretując znamiona ustawowe przestępstwa naruszenia tajemnicy
korespondencji (art. 253 §1 KK z 1932 r.) stwierdzają, że przez podstępne
uzyskanie wiadomości telefonicznej lub telegraficznej nie przeznaczonej dla
sprawcy rozumie się zapoznanie z treścią danej informacji.
Obecnie taką interpretację w szeregu swych prac przyjmuje A. Adamski; por. m.
in. Prawo karne…, s. 46; oraz Karalność hackingu na podstawie
przepisów kodeksu karnego z 1997 r., Przegląd Sądowy 11-12/98, s. 150.
Podobnie J. Wojciechowski, Kodeks karny. Komentarz. Orzecznictwo,
Warszawa 2000, teza 1, s. 504. Wydaje się również, że stanowisko takie
prezentuje O. Górniok, teza 4, (w:) A. Wąsek (red.), Kodeks karny…, s.
323.

[23]
Podobne stanowisko zajął amerykański Apelacyjny Sąd Federalny 10 Okręgu, w
sprawie US v. Brown (925 F.2d 1301, 1308, 10th Cir. 1991), który interpretując
zwrot uzyskanie informacji jakim posługuje się przepis §1030(a)(2)
US Code stwierdził, że sformułowanie to jest równoznaczne z przeczytaniem
informacji i nie obejmuje jej skopiowania lub przesłania, (w:) A. Adamski, Prawo
karne…, s. 49.

[24]
Przepis ten z jednej strony wprowadza karalność nie uprawnionego uzyskania
informacji nie przeznaczonej dla sprawcy, z drugiej określa normatywne warunki
karalności, wymagając, aby uzyskanie takiej informacji następowało w wyniku
przełamania zabezpieczenia (w:) P. Kardas, Prawnokarna
ochrona informacji…, s. 69-70. Podobnie w literaturze niemieckiej;
zob. T. Lenckner (w:) Schönke/Schröder, Strafgesetzbuch…, s.
1351-1353.

[25]
Tak, A. Adamski, Prawo karne…, s. 48. Wydaje się również, że O.
Górniok, teza 4 i 5, (w:) A. Wąsek (red.), Kodeks karny…, s. 322;
także J. Wojciechowski, Kodeks karny…, teza 1 i 2, s. 503-504.
Odmiennie natomiast A. Marek: jest to przestępstwo formalne, polegające
na narażeniu (abstrakcyjnym) na niebezpieczeństwo sfery prywatności człowieka
oraz tajemnicy korespondencji i innych form komunikowania się, (w:) Komentarz
do kodeksu karnego…, teza 3, s. 275. O ile jednak za sporne uznać można
kwalifikowanie omawianego przestępstwa do typu formalnego bądź materialnego, to
jego ujęcie w ramy abstrakcyjnego narażenia na niebezpieczeństwo nasuwać
musi już poważne wątpliwości. Jednoznacznego stanowiska nie zajmuje natomiast
P. Kardas, Prawnokarna ochrona informacji…, uznając najpierw art. 267
§1 KK za przestępstwo materialne (s. 66), by później charakteryzować go raczej
w typie formalnym (s. 67 i n.).

[26]
Tak m.in., W. Wróbel, teza 21, (w:) A. Zoll (red.), Kodeks karny…, s.
1007; także P. Kardas, Prawnokarna
ochrona informacji…, s. 70-71.

[27]
O. Górniok, teza 5, (w:) A. Wąsek (red.), Kodeks karny…, s. 323.
Podobnie J. Wojciechowski, Kodeks karny…, teza 4, s. 504.

Kwestie sporne na tle wykładni przestępstwa hakingu

4. Przełamywanie zabezpieczeń

Prawo do
poufności informacji wyrażone w art. 267 §1 KK, ograniczone jest wymogiem
wcześniejszego jej zabezpieczenia. Nie skorzysta zatem z niego użytkownik który
pozostawia informacje nie zabezpieczone choćby hasłem. Zabezpieczenia nie
powinny przy tym stanowić jedynie symbolicznej przeszkody, mają one realnie
uniemożliwiać osobom nieuprawnionym zapoznanie się z chronionymi informacjami.
Pojęcie samego zabezpieczenia należy rozumieć jako wszelkiego rodzaju
konstrukcje uniemożliwiające lub znacznie utrudniające dostęp do
informacji, których usunięcie wymaga od sprawcy posiadania specjalistycznej
wiedzy lub dysponowania specjalnymi urządzeniami.[28]

Przepis
mówi wyraźnie o przełamywaniu, co oznacza bezpośrednie nań
oddziaływanie w celu ich usunięcia. Wymienia też ich rodzaje
(elektroniczne, magnetyczne albo inne szczególne), z tego punktu
widzenia przyjąć można, że nie jest istotna technologiczna strona zabezpieczeń.
Techniczne sprecyzowanie dwóch pierwszych rodzajów zabezpieczeń pozwala
zinterpretować pojęcie innego szczególnego zabezpieczenia
jako wymóg co najmniej tego, by jego przełamanie sprawiało sprawcy co najmniej
taka samą trudność jak powszechnie stosowane w tym celu zabezpieczenia
elektroniczne lub magnetyczne.[29]

Przez pojęcie
szczególnego zabezpieczenia rozumieć więc można także zabezpieczenia
mechaniczne samego nośnika informacji np. zamknięcie dyskietki komputerowej w
sejfie lub kasecie chronionej zamkiem, byle miało ono wspomniany już szczególny
charakter.

Nie pozostawia to tym samym
wątpliwości, że umieszczanie wyłącznie napisów typu nieuprawnionym wstęp
wzbroniony, nie spełnia kryterium takiego szczególnego zabezpieczenia.[30]

Ustawodawca wskazuje też wyraźnie, że chodzi o szczególne zabezpieczenie samej
informacji, którego podstawową funkcją będzie właśnie ochrona informacji.
Warunek ten nie będzie spełniony gdy sprawca włamując się do mieszkania lub
samochodu niejako przy okazji uzyska nie przeznaczoną dla niego informację.
Wprawdzie zachodzi przełamanie zabezpieczenia w ogólności, ale podstawową
funkcją tego zabezpieczenia nie była ochrona samej informacji. Ze względu na
charakter urządzeń informatycznych można jednak przy #REF!

Komentarze