Niektóre
prawne
aspekty
włamań
do systemu
komputerowego
Wyobraźmy sobie
następujący scenariusz. Firma „Edytory"
S.A. opracowuje
kolejną wersję popularnego edytora tekstu.
Haker postanawia zdobyć program wraz z dokumentacją, a
następnie wyprodukować pirackie kopie programu. Jako
pierwszy cel ataku wybiera prywatny komputer szefa firmy.
Do włamania używa specjalnego programu łączącego
się
z
komputerem ofiary
i
próbującego uzyskać dostęp do
systemu
poprzez podstawianie kolejnych haseł. Haker ma wiele
szczęścia i
po kilku godzinach poznaje hasło dostępu do kom-
putera ofiary. Inwigiluje
system
nie znajdując jednak intere-
sującego go programu. Kontynuując atak przesyła na adres e-
mail biura firmy komputerowej list zawierający konia tro-
jańskiego. Roztargniona sekretarka
„daje
się nabrać" i instaluje
ukrytego
w załączniku
konia trojańskiego na firmowym ser-
werze. Haker uzyskuje szeroki dostęp do systemu, zapoznaje
się z
dokumentacją programu, czyta firmową pocztę i stara
się
ustalić stopień
zaawansowania prac nad programem. Kiedy jest
już pewien,
że
dobiegły one końca, używa kolejnych funkcji
konia
trojańskiego i kopiuje program na dysk swojego
komputera. Następnie wprowadza do systemu komputerowego
firmy "Edytory" S.A. wirusa niszczącego dane zapisane na
serwerze. System
komputerowy firmy zostaje sparaliżowany
na wiele godzin. Żądny popularności haker zmienia firmową
stronę WWW, zamieszczając na niej informacje o włamaniu.
W
oparciu o powyższą
hipotetyczną
historię
chciałbym
przedstawić odpowiedzialność sprawcy na gruncie
przepisów
kodeksu karnego, kodeksu cywilnego oraz prawa autorskiego.
Włamanie
do systemu komputerowego,
penetracja
systemu
oraz kopiowanie
i niszczenie zgromadzonych
w nim danych stanowi naruszenie szeregu przepisów prawa.
Odpowiedzialność karna
--
>Pierwsze włamanie
Pierwszym krokiem hakera jest złamanie hasła broniącego
dostępu do prywatnego komputera szefa firmy. Mimo wnikliwej
penetracji systemu haker nie znajduje jednak interesujących go
danych.
Należy zastanowić się, czy taka działalność może zostać
uznana za tzw. przestępstwo hakingu, o
którym
mowa w art.
267 par. l k.k. Zgodnie z tym artykułem odpowiedzialność
karną będzie ponosił sprawca,
który
przełamując elektroniczne,
magnetyczne albo inne szczególne zabezpieczenia, uzyskał bez
uprawnienia informację dla
niego
nie przeznaczoną.
Warunkiem postawienia hakerowi zarzutu naruszenia art.
267 par. 1 k.k jest po pierwsze — przełamanie „szczególnych
zabezpieczeń" chroniących system komputerowy,
a
po drugie
— uzyskanie informacji dla niego
nie
przeznaczonej. System
musi posiadać zatem aktywne (a nie tylko zainstalowane) [1]
zabezpieczenia, stanowiące realną przeszkodę dla włamywacza,
których sforsowanie wymaga specjalistycznej wiedzy lub
urządzeń. Jak trafnie wskazuje się w literaturze prawniczej,
„przełamanie zabezpieczeń"
ma
miejsce zarówno wtedy, gdy
sprawca niszczy, usuwa zabezpieczenia, jak również kiedy
sprawca oddziałując bezpośrednio na zabezpieczenia chwilowo
niweluje ich funkcję zabezpieczającą 12]. Niewątpliwie w
omawianym przez
nas
przypadku doszło w drodze
„odgadnięcia"
hasła
do przełamania zabezpieczeń systemu
komputerowego.
R o m a n B i e d a
styczeń 2002
www.linux.com.pl
P r a w n e a s p e k t y w ł a m a ń
Na marginesie rozważań zauważmy, że nie będzie ponosił
odpowiedzialności karnej na gruncie omawianego przepisu
haker, który uzyskuje
dostęp do systemu w
inny sposób, niż
łamiąc
zabezpieczenia.
Nie
będziemy mogli postawić zarzutu
przestępstwa hakingu intruzowi, który wykorzystując błędy
w
oprogramowaniu omija zabezpieczenia lub używa haseł, które
wcześniej zdobył stosując tzw. social engineering (do
niektórych
ataków tego typu
znajdzie
zastosowanie art. 267 §2
k.k.).
Drugim, po przełamaniu zabezpieczeń, koniecznym
warunkiem karalności hakingu jest uzyskanie przez sprawcę
nieprzeznaczonej dla
niego
informacji. W doktrynie przedmiotu
reprezentowane są dwa stanowiska odnośnie informacji, których
uzyskanie uzasadnia postawienie zarzutu popełnienia
przestępstwa hakingu. Zdaniem A. Adamskiego,
haker
łamiąc
zabezpieczenia w postaci hasła dostępu, „zapoznaje się z nie-
przeznaczoną dla niego informacją, jaką
jest
treść hasła" [31.
Do postawienia
zarzutu
popełnienia przestępstwa z art. 267
§
l k.k. nie jest zatem konieczne, aby haker wykorzystał
„złamane" hasło, penetrował system
czy zapoznawał się z in-
nymi danymi. Karalne
jest samo
uzyskanie przez osobę
nieuprawnioną
w drodze przełamania zabezpieczenia „infor-
macji" umożliwiającej „wtargnięcie"
do
systemu komputero-
wego.
Proponowana jest
również odmienna
wykładnia przepisu,
wyraźnie rozróżniająca informację o
zabezpieczeniu od samej
„informacji" chronionej
tym zabezpieczeniem
[4].
Zgodnie
z tą koncepcją haker
ponosi odpowiedzialność
karną,
jeżeli
dokona przełamania
zabezpieczeń i uzyska dostęp
do
informacji w szerszym
zakresie, niż tylko informacja o
zabezpieczeniu (np. haker
zapozna
się z
dokumentacją
programu,
poczta
elektroniczną pracowników). W omawianym
przez
nas
przypadku haker „złamał" hasło dostępu i wtargnął
do
systemu, nie
znalazł natomiast
na
twardym dysku ofiary
informacji będącej
zasadniczym
celem ataku. Przyjmując
pierwszą
z przedstawionych
koncepcji będzie można mu
postawić zarzut popełnienia
przestępstwa
z
art.
267§
l k.k.
Przyjmując
natomiast za trafną drugą z
proponowanych
wykładni, czyn
hakera należy uznać za
usiłowanie popełnienia
przestępstwa
z art. 267§ l k.k.
Przestępstwo zagrożone
jest
karą
grzywny, ograniczenia wolności
lub pozbawienia
wolności do
lat 2.
Ściganie przestępstwa
następuje na wniosek
pokrzywdzonego.
Odpowiedzialność karna ->
Koń trojański
Kolejnym
krokiem w realizacji planu hakera jest przesłanie
ukrytego
w załączniku
do e-maila
konia trojańskiego. Haker
instaluje konia trojańskiego na komputerze ofiary, za
jego
pomocą inwigiluje system oraz przechwytuje korespondencję
przedsiębiorstwa
.
Na
straży poufności przekazu informacji stoi art.
267 § 2
k.k. wprowadzający odpowiedzialność karną sprawcy,
który
„w celu
uzyskania informacji, do której nie jest uprawniony,
zakłada lub posługuje
się
urządzeniem podsłuchowym,
wizualnym lub innym urządzeniem specjalnym". Moim
zdaniem
za
„urządzenie specjalne", o którym mowa
w
przepisie,
należy
uznać miedzy innymi komputer wypo-
sażony w specjalistyczne oprogramowanie przeznaczone
do przechwytywania informacji w sieciach komputerowych
[5J.
Do programów tego typu należą różnego rodzaju konie
trojańskie oraz sniffery. Nie ma przy tym znaczenia, czy haker
posługuje się programem zainstalowanym
na
własnym
komputerze, czy też instaluje taki program na komputerze
ofiary. Zauważmy, że odpowiedzialności karnej podlega także
sprawca, który sam nie zainstalował konia trojańskiego
czy
sniffera, ale posługuje się takim oprogramowaniem wcześniej
zainstalowanym w systemie przez innego hakera.
Należy
pod-
kreślić, że haker ponosi odpowiedzialność karną niezależnie,
czy zdążył zapoznać się z informacją, czy był w stanie ją zro-
zumieć, a nawet niezależnie, czy uzyskał jakąkolwiek infor-
mację (inaczej niż w omawianym powyżej art. 267 § T k.k.).
Karalna
jest
sama instalacja lub posługiwanie
się
specjalis-
tycznym programem w celu zdobycia takiej informacji. W ana-
lizowanym przez nas przypadku hakerowi będzie można
postawić zarzut popełnienia przestępstwa z art. 267§
2
k.k.
Odpowiedzialność karna
-» Kopiowanie programu
Po wtargnięciu do systemu haker skopiował interesujący go
program komputerowy. Program komputerowy stanowi utwór
chroniony prawem autorskim. W omawianym przypadku
zastosowanie znajdzie art. 117 ust. l pr. aut., w myśl
którego
każdy, kto „bez uprawnienia albo wbrew jego "warunkom w celu
rozpowszechnienia utrwala lub zwielokrotnia cudzy utwór (..)
podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2'' [6].
Na gruncie
tego przepisu
karane jest zatem przygotowanie do przestępstwa tzw. piractwa
komputerowego.
Ochronę programów komputerowych zapewniają również
przepisy kodeksu karnego. Zgodnie z art. 278 k. k. karze
styczeń 2002
www.linux.com.pl
pozbawienia wolności od
3 miesięcy
do 5 lat podlega sprawca,
który „bez
zgody osoby uprawnionej uzyskuje cudzy program
komputerowy
w celu
osiągnięcia korzyści majątkowej". Pojęcie
„uzyskanie programu komputerowego"
należy interpretować
szeroko, ponieważ obejmie ono zarówno utrwalenie oraz
zwielokrotnienie programu na nośniku materialnym (np. CD),
jak również ściągniecie plików przez Internet na
twardy
dysk
komputera. Uzyskanie cudzego programu musi łączyć
się z
za-
miarem uzyskania korzyści materialnych. Jak trafnie wskazuje
się w literaturze, w większości przypadków sam program
posiada znaczną wartość majątkową — sprawca nielegalnie
uzyskując program może z niego korzystać bez ponoszenia
kosztów nabycia programu [7]. W omawianym przypadku
haker
zamierzał
uzyskać poprzez produkcję pirackich kopii
programu znacznie szerszą korzyść
majątkową. Zauważmy,
że
ar
t. 278 k.k. przewiduje karę wyższą, niż omawiany powyżej art.
117 pr. aut., właściwszym zatem będzie postawienie sprawcy
zarzutu popełnienia przestępstwa z art. 278 k.k.
Odpowiedzialność karna
-> Zniszczenie danych
Kolejnym
krokiem hakera jest wprowadzenie
do systemu
wirusa
niszczącego zgromadzone na
serwerze
dane oraz modyfikacja
witryny internetowej firmy.
Ochronę integralności zapisu informacji zapewnia art. 268
k.k., zgodnie z którym odpowiedzialności karnej podlega
sprawca, który „niszczy, uszkadza, usuwa lub zmienia zapis
istotnej informacji albo
w
inny sposób udaremnia lub znacznie
utrudnia osobie uprawnionej zapoznanie się z nią". Czynem
karalnym
staje się
więc umyślne wprowadzenie do systemu
wirusa uszkadzającego lub niszczącego dane, zmiana praw
dostępu do
plików, niszczenie lub
zmiana logów systemowych,
modyfikacja stron WWW itp.
Na
marginesie rozważań
zauważmy, że przepis znajdzie zastosowanie
również
do ataków
typu DoS, które
będzie można zakwalifikować jako działanie
znacznie utrudniające zapoznanie się
z
informacją
przez
uprawnionego.
Na gruncie cytowanego przepisu ochronie podlega jedynie
„istotna" informacja. Oceniając „istotność" informacji należy kie-
rować
się przede wszystkim
kryteriami obiektywnymi, odnosząc
wartość informacji
do
pewnego standardu obowiązującego w
dziedzinie,
której dana informacja dotyczy [8].
Nie
bez znaczenia
dla oceny
„istotności" informacji pozostaje również
nakład
środków,
jakie poniósł pokrzywdzony w celu jej uzyskania.
Zauważmy, że
odpowiedzialności karnej podlega tylko
taka
ingerencja w system, która „udaremnia lub znacznie utrudnia"
zapoznanie się z
informacją, a
jak
wiadomo
nie
każda ingerencja
prowadzi do
tego typu skutków. Jak często wskazuje się w
literaturze
[9], nie
dojdzie do
popełnienia przestępstwa, gdy
ofiara
ataku posiada
dodatkową kopię danych i gdy
ich
odtwo-
rzenie
nie
stworzy
przy tym
szczególnych
trudności.
Przestęp-
stwo naruszenia integralności informacji zapisanej
na
nośniku
komputerowym zagrożone
jest karą pozbawienia
wolności
do lat
3. Jeżeli
sprawca
swoim
czynem wyrządził znaczna
szkodę
majątkową, podlega karze pozbawienia
wolności od 3 miesięcy
do 5 lat. Zgodnie ż art. 115 S
5 k.k. „znaczną szkodą" będzie
szkoda w
wysokości
przekraczającej
dwustukrotną wysokość
najniższego miesięcznego wynagrodzenia.
Odpowiedzialność cywilna
-» Włamanie
Rozpatrując odpowiedzialność sprawcy za włamanie i in-
wigilację systemu komputerowego należy wskazać na
możliwość zastosowania przepisów kodeksu cywilnego o
ochronie dóbr osobistych. Kodeks cywilny nie definiuje
pojęcia dobro osobiste. W art. 23 k.c. ustawodawca jedynie
przykładowo wymienia dobra pozostające pod ochroną
prawa cywilnego, w tym m.in. zdrowie, wolność, tajemnice
korespondencji, nietykalność mieszkania, twórczość
naukową. Zarówno doktryna przedmiotu, jak i
orzecznictwo, nieustannie „odkrywa" nowe, pozostające pod
ochroną prawa dobra osobiste. Zgodnie ze stanowiskiem
doktryny oraz orzecznictwem sfera życia prywatnego
stanowi podlegające ochronie dobro osobiste człowieka.
Zdaniem A. Kopffa [10] „dobrem osobistym w postaci życia
prywatnego jest to wszystko, co ze względu na uzasadnione
odosobnienie się jednostki od ogółu społeczeństwa służy jej
do rozwoju fizycznej i psychicznej osobowości oraz
zachowania osiągniętej pozycji społecznej". W moim
przekonaniu włamanie oraz inwigilacja systemu kompu-
terowego stanowi wkroczenie w sferę prywatności jed-
nostki, w rezultacie następuje niedopuszczalne naruszenie
spokoju psychicznego ofiary ataku. Nie ma przy tym
znaczenia sam techniczny aspekt włamania i
nie
będzie
koniecznym stwierdzenie przełamania zabezpieczeń sys-
temu. Moim zdaniem sama bezprawna inwigilacja sytemu
komputerowego stanowi naruszenie dóbr osobistych jed-
nostki. Zgodnie z art. 24 k.c. osoba, której dobro osobiste
zostało zagrożone, może żądać zaniechania bezprawnych
działań. A zatem podniesienie takiego roszczenia będzie możliwe
już
w
fazie przygotowania ataku, np. skanowania portów. Gdyby
doszło do bezprawnego naruszenia dobra, poszkodowany
może żądać zaniechania takiego działania, usunięcia
skutków naruszenia, w tym złożenia oświadczenia o odpo-
wiedniej treści
i
w odpowiedniej formie (np. przeprosin w ga-
zecie). Poszkodowany może wystąpić również o zasądzenie
odpowiedniej sumy jako zadośćuczynienia pieniężnego
za
doznaną krzywdę lub o zasądzenie takiej sumy na wskazany
cel społeczny. Jeżeli w skutek naruszenia pokrzywdzony doznał
szkody majątkowej, może dochodzić jej naprawienia na
zasadach ogólnych (art. 415 k.c. omówiony poniżej).
Odpowiedzialność cywilna
-» Koń trojański, inwigilacja poczty
Art.
49
Konstytucji Rzeczypospolitej Polskiej gwarantuje
wolność i ochronę tajemnicy komunikowania się. Natomiast
art. 23 k.c. wprost wymienia „tajemnice korespondencji"
jako chronione prawem dobro osobiste człowieka. W
doktrynie prawniczej dyskutowany jest problem, czy przekaz
w formie elektronicznej podlega ochronie w ramach
tajemnicy korespondencji, czy
raczej
właściwsze jest
stosowanie szerszego pojęcia, tj. tajemnicy komunikacji.
Bez
wdawania się w nieco teoretyczne dyskusje, należy
stwierdzić, że na gruncie przepisu art. 23 k.c. ochronie
podlegają obie formy porozumiewania. Jak zostało to ju ż
zasygnalizowane, samo zagrożenie dobra osobistego
stanowi
podstawę do wystąpienia z roszczeniem
styczeń 2002
www.linux.com.pl
o zaniechanie bezprawnych działań narusza-
jących
to
dobro. Moim zdaniem, ofiara ataku
będzie mogła podnieść roszczenie z art. 24
k.c.
ju ż w momencie przesłania na jej konto
konia
trojańskiego, wtedy bowiem następuje
zagrożenie dobra osobistego. Przechwyty-
wanie poczty elektronicznej oraz inwigilacja
systemu stanowi j u ż naruszenie dobra oso-
bistego, a zatem poszkodowany w oparciu o
art. 24 k.c. może wystąpić z roszczeniami w
szerszym zakresie (omówione powyżej).
Należy
wskazać, że zgodnie z przepisem art.
43
k.c. przepisy o
dobrach osobistych
stosuje
się odpowiednio do osób prawnych (osobą
prawną jest np. spółka
akcyjna).
Jak stwierdził Sąd
Najwyższy,
„dobra oso-
biste osób prawnych
— to wartości
niema-
jątkowe, dzięki którym osoba prawna może
funkcjonować zgodnie
ze swoim
zakresem dzia-
łań" [11]/ Niewątpliwie
wolność oraz
tajemnica
komunikowania się stanowi podstawę prawidło-
wego funkcjonowania
przedsiębiorstwa.
Odpowiedzialność cywilna
-> Odpowiedzialność za szkodę
Jeżeli haker swoim działaniem doprowadzi do
powstania szkody majątkowej, znajdą zasto-
sowanie ogólne
zasady kodeksu
cywilnego
dotyczące odpowiedzialności z
tytułu czynów
niedozwolonych. Podstawową zasadę odpowie-
dzialności z
tego tytułu wprowadza
przepis art.
415 k.c.
stanowiący, że „Kto z winy
swej
wyrządził drugiemu szkodę, obowiązany
jest do
jej
naprawienia".
Dochodząc odszkodowania
poszkodowany musi
udowodnić wystąpienie
następujących zdarzeń.
• Istnienie szkody,
rozumianej jako powstała
wbrew
woli poszkodowanego różnica
między obecnym
jego stanem majątkowym
a
tym stanem, jaki
zaistniałby, gdyby
nie
nastąpiło
zdarzenie wywołujące
szkodę.
Szkoda obejmie
zarówno straty, jakie poniósł
poszkodowany,
jak i utracone korzyści,
któ-
rych mógł się
spodziewać, gdyby mu
szkody
nie wyrządzono. W omawianym
przypadku
odszkodowanie
obejmie zarówno
wartość
straconych danych,
koszty związane z
po-
nowną instalacją
i konfiguracją
oprogramo-
wania, jak również
wartość
zleceń, które
spółka mogłaby przyjąć i wykonać, gdyby
jej system komputerowy działał poprawnie.
• Zawinione zachowanie sprawcy. Poszkodo-
wany musi więc wykazać,
że doszło do
wła-
mania, zniszczenia danych itp. oraz że haker
ponosi winę za
te działania. Analiza pojęcia
winy przekracza rozmiary niniejszego
Wybrane przepisy KK i KC
Art. 267 kodeksu karnego
5 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając
zamknięte pismo, podłączając się do przewodu służącego do przekazywania
informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej
zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
§ 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest upra-
wniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo
innym urządzeniem specjalnym.
5 3. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § l lub 2
ujawnia innej osobie.
§ 4. Ściganie przestępstwa określonego w 5 1-3 następuje na wniosek pokrzywdzo-
nego.
Arł. 268 kodeksu karnego
§ 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis
istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie
uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wol-
ności albo pozbawienia wolności do lat 2.
§ 2. Jeżeli czyn określony w § l dotyczy zapisu na komputerowym nośniku informacji,
sprawca podlega karze pozbawienia wolności do lat 3.
§ 3. Kto, dopuszczając się czynu określonego w § l lub 2, wyrządza znaczną szkodę
majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
§ 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzo-
nego.
Art. 117.1. ustawy o prawie autorskim i prawach pokrewnych
1. Kto bez uprawnienia albo wbrew jego warunkom w celu rozpowszechnienia utrwala
lub zwielokrotnia cudzy utwór w wersji oryginalnej lub w postaci opracowania,
artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca uczynił sobie z popełniania przestępstwa określonego w ust. l stałe
źródło dochodu albo działalność przestępną, określoną w ust. l, organizuje lub nią
kieruje, podlega karze pozbawienia wolności do lat 3.
Art. 23 kodeksu cywilnego
Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda
sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność
mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają
pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych
przepisach.
Art. 24 kodeksu cywilnego
§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać
zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego
naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia,
dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby
złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach
przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego
lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda mająt-
kowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyższe nie uchybiają uprawnieniom przewidzianym w innych prze-
pisach, w szczególności w prawie autorskim oraz w prawie wynalazczym.
styczeń 2002
www.linux.com.pl
artykułu.
Na marginesie
naszych rozważań warto wskazać,
że
nie można przypisać
winy osobie niepoczytalne), w
tym
małoletniemu
do lat
13. Jak
wskazuje orzecznictwo Sądu
Najwyższego, ocena poczytalności nieletnich w wielu
13-18
lat
może również w konkretnym przypadku
wyłączać
przypisanie im winy. Osoby takie
nie
będą zatem
odpowiadać
za szkodę
wyrządzoną swoim działaniem. Za
szkodę spowodowana włamaniami nastoletnich hakerów
będą najczęściej odpowiadać osoby zobowiązane do nad-
zoru nad nimi (np. rodzice, wychowawcy).
• Związek przy czy nowy pomiędzy czynem sprawcy a szkodą. W
omawianym przypadku istnieje oczywisty związek między
włamaniem
i
wprowadzeniem wirusa, a skasowaniem
danych i
paraliżem systemu komputerowego.
Odpowiedzialność cywilna
-» Kopiowanie programu
Jak zostało
to już
zasygnalizowane, większość programów
komputerowych podlega ochronie autorsko-prawnej. Haker,
kopiując program komputerowy, narusza majątkowe prawa
autorskie twórcy programu, nie ma przy
tym
znaczenia, czy
zdążył on rozpowszechnić
program lub sam
z niego korzystać.
W omawianym przypadku uprawniony
z
praw autorskich
będzie mógł żądać w oparciu
o art.
79 ust.
l pr. aut. zaniechania
naruszeń,
wydania uzyskanych korzyści lub zapłaty stosownego
wynagrodzenia
w
potrójnej wysokości oraz
naprawienia
szkody
na zasadach przedstawionych powyżej. Przez „stosowne
wynagrodzenie" należy rozumieć wynagrodzenie, jakie
otrzymałby twórca, gdyby
sprawca zawarł z
nim umowę o
korzystanie
z programu (nabył
licencję)
[121. Ponadto,
jeżeli
Przypisy
1. Zwraca na
to uwagę P.
Kardas, Prawnokarna ochrona informacji w polskim
prawie
karnym, C/.asopismo prawa karnego i nauk penalnych 2000/1.
2. W. Wróbel w: G. Bogdan, K . Buchała,
Z.
Ćwiakalski,
M.
Dąbrowska-Kar-
das,
P. Kardas, J. Majewski, M.
Rodzynkiewicz, M.
Szewczyk,
W.
Wróbel, A.
Zoli, Kodeks karny, Część szczególna. Komentarz, t.
2
str. 1007.
3.
A. Adamski,
Prawo
karne komputerowe, Warszawa 2000, str.
47; A.
Adamski,
Przestępstwa komputerowe
w nowym
kodeksie karnym str. 39
w: Nowa
Kodyfikacja Karna Krótkie
Komentarze, Warszawa 1998.
4. W.
Wróbel,
Kodeks
karny...j.w., str.
1007, a
także
P.
Kardas, Prawnokarna
ochrona informacji... j.w., str.69.
5.
Pogląd taki
reprezentuje A. Adamski. Komputer
w
paragrafach, Rzeczpo-
spolita 30.10.1997; Przestępstwa komputerowe w nowym kodeksie... j.w.
str. 56, Prawo karne komputerowe, str. 59. W doktrynie
prezentowane jest
również stanowisko odmienne
W. Wróbel , Kodeks
karny ...
j.w.
str. 1010.
6. J. Barta, M. Czajkowska-Dąbrowska, Z.
Ćwiakalski, R. Markiewicz, E.
Trapie, Komentarz do ustawy
o prawie
autorskim
i
prawach pokrewnych,
Warszawa 1995,
str. 486 i
nast.
7.
A. Adamski, Przestępstwa komputerowe w nowym kodeksie... j.w.,
str.
118
podobnie
E.
Czarny-Drożdżejko,
Ochrona
Informacji
i programów
kom-
puterowych w nowym kodeksie karnym,
str. 216
w: Prawo autorskie a postęp
techniczny, Kraków
1999.
8. Zwraca na to
uwagę także
P.
Kardas, Prawnokarna ochrona
informacji,
str.
88.
9. A.
Adamski,
Przestępstwa
komputerowe
\v
nowym kodeksie... j.w. str. 57.
10.
A. Kopff, Koncepcja prawa do intymności i do prywatności
życia osobistego,
Studia Cywilistyczne,
T XX, Kraków
1972.
11. Wyrok SN z 14.11.1986, II CR 295/86, OSNC 1988/2-3/40.
12. Barta, M. Czajkowska-Dąbrowska, Z. Ćwiakalski,
R. Markiewicz, E.
Trapie,
Komentarz do ustawy...j.w., str. 375 i nast.
sprawca narusza prawa autorskie w ramach prowadzonej dzia-
łalności gospodarczej, uprawniony może domagać
się,
aby
sprawca uiścił odpowiednią sumę na Fundusz Promocji Twór-
czości.
Odpowiedzialność cywilna ->
Zmiany na stronie
Ostatnim z destrukcyjnych kroków hakera była zmiana zawar-
tości firmowej strony WWW. Zakładamy,
że
strona WWW
ofiary charakteryzowała się twórczością i indywidualnością w
stopniu uzasadniającym uznanie jej
za
utwór chroniony prawem
autorskim.
Jednym z osobistych praw autorskich twórcy jest
prawo
do
nienaruszalności treści i formy oraz rzetelnego wykorzystania
utworu
(tzw.
prawo
cło
integralności utworu). Niedopuszczalne
jest dokonywanie
bez
zgody twórcy jakichkolwiek zmian w
projekcie i kompozycji strony. Haker będzie zatem odpowiadał
za
naruszenie osobistych praw autorskich.
Na
podstawie art. 78 ustl pr. aut. twórca
będzie mógł
wystąpić z roszczeniem
o
usunięcie skutków naruszenia, w
szczególności o złożenie stosownego oświadczenia (np.
przeprosin) oraz żądać zadośćuczynienia pieniężnego lub
przekazania odpowiedniej sumy
na
wskazany
cel
społeczny.
Ponadto zmieniając zawartość strony WWW, haker
naraził
na
szwank renomę przedsiębiorstwa. Spółka może
zatem
wystąpić
z roszczeniem
w
oparciu o przepisy o ochronie dóbr osobistych
(tj.
art.
23
i art.
24
w związku
z
art. 43 k.
c.).
Wydaje się, że szczególnie uzasadnione będą tu
żądania
zmierzające do odbudowy renomy spółki, np. zamieszczenie
przeprosin w prasie.
Zakończenie
W chwili obecnej istnieją instrumenty prawne pozwalające
na
pociągnięcie cło odpowiedzialności sprawców włamań
komputerowych. W omawianym przypadku haker naruszył
przepisy kodeksu karnego, kodeksu cywilnego
oraz
ustawy
o
prawie autorskim i prawach pokrewnych. Odpowie za to w
procesie karnym oraz
w
procesach cywilnych wytoczonym
przez spółkę „Edytory"
S.
A oraz jej prezesa. Należy ponadto
wskazać, że zgodnie z art. 62 k.p.c. pokrzywdzony może w
postępowaniu karnym dochodzić roszczeń majątkowych
wynikających bezpośrednio z przestępstwa.
Moim zdaniem konieczna jest jednak dalsza praca dok-
tryny prawniczej oraz orzecznictwa w kierunku przyjęcia
wykładni przepisów uwzględniającej wyzwania postępu tech-
nicznego.
Ponadto nieodzownym staje się podjęcie prac nad noweli-
zacja kodeksu karnego — zwłaszcza jego paragrafów dotyczą-
cych przestępstwa
hakingu
(art. 267§ l k.k).
Moim
zdaniem,
karalne powinno
być
samo wejście przez nieuprawnionego do
sytemu komputerowego w celu uzyskania zgromadzonych w
nim informacji, niezależnie,
czy
łączy się to z „przełamaniem
zabezpieczeń" oraz czy haker w wyniku ataku uzyskał infor-
mację. A
Autor jest absolwentem prawa U'niwersytetu Jagiellońskiego.
Prowadzi serwis prawniczy www.praivnik.net.pl. Kontakt
z
autorem: prawnik®prawnik.net.pl.
styczeń 2002
www.linux.com.pl