O (braku) odpowiedzialności karnej za szukanie luk w systemach i sieciach informatycznych – opinia prawna Fundacji Frank Bold i Krakowskiego Instytutu Prawa Karnego

Od wielu lat w środowisku osób zajmujących się bezpieczeństwem IT funkcjonuje mit o rzekomym ryzyku ponoszenia odpowiedzialności karnej przez osoby szukające luk w systemach informatycznych. Mit ten jest obecnie na tyle silny, że Ministerstwo Cyfryzacji zaczęło rozważać możliwość zmiany treści kodeksu karnego. Niepotrzebnie – jak przekonują w swojej opinii prawnej eksperci z Fundacji Frank Bold i Krakowskiego Instytutu Prawa Karnego polskie prawo karne nie zawiera przepisów kryminalizujących testowanie w dobrej wierze bezpieczeństwa systemów i sieci informatycznych.

Łowcy luk, czyli o programach bug bounty i własnej inicjatywie

Wspomniane we wstępie osoby szukające w dobrej wierze luk czy błędów w systemach i sieciach informatycznych mogę znaleźć się przede wszystkim w dwóch podstawowych sytuacjach:

  1. będą działać z własnej inicjatywy, bez wiedzy osoby uprawnionej, mając jednak od początku zamiar poinformowania jej o ewentualnie wykrytych błędach, bądź lukach w działaniu systemu/sieci;
  2. będą uczestniczyć w programie bug bounty.

Programy bug bounty to w dużym uproszczeniu inicjatywy właścicieli (lub innych osób uprawnionych) sieci i systemów informatycznych, w ramach których zachęcają oni do poszukiwania luk i błędów, za znalezienie których oferują odpowiednie wynagrodzenie. Programy takie prowadzą m.in. takie firmy jak Google, Facebook, Microsoft czy Yahoo.

Za osobę działającą w dobrej wierze nie uznamy co do zasady kogoś, kto poszukuje luk, a po ich znalezieniu grozi publicznym ujawnieniem błędu, żądając od właściciela systemu zapłaty odpowiedniej sumy.

Art. 269b kodeksu karnego, czyli o narodzinach mitu

art. 269b § 1 k.k.
Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Zajmującym się opisaną wyżej działalnością od dłuższego czasu spędza sen z powiek art. 269b kodeksu karnego (dalej jako: k.k.), który w ocenie wielu osób – w tym niektórych prawników – kryminalizuje poszukiwanie luk z własnej inicjatywy, a nawet udział w programach bug bounty (zob. np. niebezpiecznik.pl i linkowane tam teksty).

Przepis ten – w istocie zakazujący podejmowania czynności przygotowawczych do niektórych przestępstw komputerowych – trafił do polskiego kodeksu karnego w roku 2004, w związku z przyjęciem przez Polskę Konwencji Rady Europy o cyberprzestępczości. Podkreślić trzeba, że Konwencja ta – w pewnym uproszczeniu – nakazuje ściganie tylko tych osób, które podejmują czynności opisane w naszym art. 269b k.k. w celu popełnienia niektórych przestępstw komputerowych, a więc takich osób których zachowanie zagraża bezpieczeństwu danych czy informacji.

Nie wiedzieć jednak dlaczego – przede wszystkim w kręgach osób związanych z bezpieczeństwem IT – przepis ten zaczął żyć własnym życiem, co doprowadziło do powstania mitu, że zakazuje on działalności związanej z poszukiwaniem luk i błędów w systemach informatycznych (która w istocie służy poprawie bezpieczeństwa danych i informacji), w tym nawet uczestnictwa w programach bug bounty.

Tymczasem teza taka na gruncie art. 269b k.k. jest uprawniona równie mocno, jak absurdalne twierdzenie, że do więzienia może trafić każdy posiadacz komputera czy smartfonu, gdyż każde tego typu urządzenie jest obiektywnie przystosowane do popełnienia przestępstw przeciwko bezpieczeństwu informacji.

Dobre chęci Ministerstwa Cyfryzacji, czyli o propozycji zmian w kodeksie karnym, które nigdy nie powinny zostać wprowadzone
źródło: niebezpiecznik.pl

Niestety związek między art. 269b k.k. a Konwencją o cyberprzestępczości umknął również autorom przygotowanej wewnątrz Ministerstwa Cyfryzacji Analizy dotyczącej bug bounty (pełny tekst dostępny tutaj), w której stwierdzono m.in., że:

istnieje więc ryzyko, że osoba przygotowująca się do wzięcia udziału w programie bug bounty zostanie oskarżona o dokonanie powyższego przestępstwa.

Co gorsza autorzy Analizy zaproponowali rozwiązanie zauważonego przez siebie problemu poprzez

możliwość wprowadzenia przepisów o charakterze „kontratypów” ww. przestępstw, czyli przepisów wyłączających karalność [w istocie chodzi o bezprawność – przyp. BK] wytwarzania i posiadania ww. urządzeń lub programów komputerowych w celach prowadzenia badań naukowych związanych z cyberbezpieczeństwem (pierwszy kontratyp) oraz w celu testowania systemów komputerowych za zgodą ich właściciela (drugi kontratyp)

czyli za pomocą rozwiązania wprowadzanego do kodeksu karnego w ostateczności, jak ma to miejsce chociażby przy kontratypach obrony koniecznej czy stanu wyższej konieczności. Ostateczność taka – przy pogłębionej wykładni art. 269b k.k. – w omawianym przypadku jednak nie zachodzi, gdyż w obecnym stanie prawnym zarówno działanie w celach prowadzenia badań naukowych związanych z cyberbezpieczeństwem, jak również testowanie systemów komputerowych za zgodą ich właściciela, nie jest w Polsce zagrożone karą.

Okiem ekspertów, czyli o normatywnej analizie prawa i innych skomplikowanych konstruktach w służbie bezpieczeństwa IT

Wszystkie powyższe okoliczności skłoniły ekspertów z Fundacji Frank Bold i Krakowskiego Instytutu Prawa Karnego, związanych naukowo z Katedrą Prawa Karnego Uniwersytetu Jagiellońskiego, do przekazania Ministerstwu Cyfryzacji i Ministerstwu Sprawiedliwości Opinii w sprawie odpowiedzialności karnej uczestnika programu bug bounty (na gruncie polskiego Kodeksu karnego), z której pełnym tekstem można zapoznać się tutaj.

W opinii tej stwierdzono m.in., że:

  1. zachowanie osoby zajmującej się wyszukiwaniem nieprawidłowości i luk działania systemu informatycznego nie godzi w dobro prawne właściciela systemu, jeśli podjęte jest w celu ochrony bezpieczeństwa danego systemu, tj. ujawnienia i przekazania informacji o stwierdzonych nieprawidłowościach osobie uprawnionej;
  2. testowanie systemu za zgodą właściciela jest zachowaniem od początku legalnym i niemogącym naruszyć interesów osoby uprawnionej, która przez fakt wyrażonej zgody potwierdza dopuszczalność podjęcia określonego zachowania;
  3. nie jest zachowaniem karalnym testowanie systemu przez daną osobę z jej własnej inicjatywy, w uczciwym, niebezprawnym celu (np. osoba prowadząca badania naukowe lub czynności śledcze polegające na uzyskiwaniu dostępu do systemu komputerowego).;
  4. niemożliwa jest odpowiedzialność karna za usiłowanie przestępstwa z art. 269b k.k., gdyż polskiemu prawu karnemu obca jest konstrukcja usiłowania przygotowania;
  5. odmienna interpretacja art. 269b k.k. pozostaje w sprzeczności tak z Konstytucją RP, jak również Konwencją o cyberprzestępczości, gdyż omawiane przepisy przestałyby wówczas trafiać w swój ustawowy cel, jakim jest zapewnienie ochrony danych zgromadzonych w systemie informatycznym;
  6. w konsekwencji w aktualnym stanie prawnym stwierdzenie braku odpowiedzialności karnej osoby podejmującej opisane zachowania, w społecznie dodatnim celu, nie wymaga wprowadzania zmian w przepisach
    karnych;
  7. ewentualnie rozważyć można – w celu uniknięcia wątpliwości interpretacyjnych – wprowadzenie do art. 269b k.k. wyraźnej klauzuli wskazującej na wymóg celowego podjęcia określonych czynności mających stworzyć warunki do popełnienia określonych przestępstw wymierzonych w bezpieczeństwo informacji, np.: Kto w celu popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia takiego przestępstwa, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Warto jednak podkreślić, że cytowana tu opinia analizuje omawianą kwestię wyłącznie z perspektywy przepisów prawa karnego, co oznacza że nie można wykluczyć odpowiedzialności osoby testującej system informatyczny – w szczególności gdy podejmuje ona swoje działania bez zgody osoby uprawnionej – na podstawie regulacji zawartych w innych gałęziach prawa, np. prawa cywilnego czy administracyjnego.

Post scriptum, czyli o projekcie Ministra Sprawiedliwości

Już jutro, 13 grudnia 2016 r., Rada Ministrów będzie zajmować się przygotowanym przez Ministra Sprawiedliwości projektem ustawy o zmianie ustawy – Kodeks karny oraz niektórych innych ustaw (UC39), którego celem jest implementacja Dyrektywy Parlamentu Europejskiego i Rady 2014/42/UE z dnia 3 kwietnia 2014 r. w sprawie zabezpieczenia i konfiskaty narzędzi służących do popełnienia przestępstwa i korzyści pochodzących z przestępstwa w Unii Europejskiej (Dz. Urz. UE L 127 z 2014 r., str. 39).

Projekt ten zakłada m.in. nowelizację art. 269b k.k.:

Obecne brzmienie art. 269b k.k.:

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3.

Projektowane brzmienie art. 269b k.k.:

Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub § 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Z proponowanych zmian – które obecnie nie obejmują w żadnym stopniu omawianych wyżej zagadnień – zaskakujące wydaje się zwiększenie zagrożenia karą z obecnego “[od 1 miesiąca] do lat 3” do “od 3 miesięcy do lat 5”. Zaskakujące, gdyż uzasadnienie projektu wskazuje na to, że Ministerstwo Sprawiedliwości nie dysponuje żadnymi analizami, wskazującymi na to, że obecne zagrożenie karą jest zbyt niskie i sędziowie nie mogą w wydawanych przez siebie wyrokach odzwierciedlić stopnia winy sprawcy i społecznej szkodliwości jego czynu, lub że nagminność popełniania tego przestępstwa jest tak znaczna, że wymagana jest odpowiednia interwencja ustawodawcy – a właśnie takie informacje powinny przede wszystkim leżeć u podstaw zaostrzania odpowiedzialności karnej za konkretne typy czynów zabronionych. Projektodawca wprost bowiem wskazuje, że

zmiany te są niezbędne do pełnej implementacji dyrektywy 2014/42/UE, […], obligującego państwa członkowskie do stosowania przepadku rozszerzonego wobec przestępstwa umyślnego wytwarzania, sprzedaży dostarczania narzędzi do popełniania przestępstw komputerowych, który to czyn zabroniony został opisany w art. 269b k.k. Tym samym górna granica kary grożącej za to przestępstwo winna zostać podwyższona do wysokości odpowiadającej przesłankom zastosowania przepadku rozszerzonego przewidzianym w projektowanym art. 45 § 2 k.k.

Rozwiązanie takie należy jednoznacznie skrytykować i zaapelować do Ministra Sprawiedliwości o takie zredagowanie art. 45 § 2 k.k., które nie będzie za sobą pociągać automatycznego i merytorycznie nieuzasadnionego podwyższenia kary za przestępstwo z art. 269b k.k.