Radoniewicz Filip, Odpowiedzialność karna za hacking i inne przestępstwa przeciwko danym komputerowym i systemom informatycznym

Od początku ubiegłego wieku mamy do czynienia z rozwojem techniki na niespotykaną wcześniej skalę. Jej gałęzią, która ostatnimi czasy rozwija się najprężniej, jest wkraczająca we wszystkie dziedziny życia szeroko rozumiana technologia informatyczna, a w szczególności teleinformatyka. Dzieje się tak przede wszystkim w związku z postępującą w ostatnich latach konwergencją informatyki i telekomunikacji, będącą następstwem rozwoju sieci komputerowych oraz Internetu, wymuszającego konieczność zapewnienia szybkiego i efektywnego przetwarzania oraz przekazywania informacji, której rola niepomiernie wzrosła. Stała się ona nie tylko towarem, zyskując ogromne znaczenie ekonomiczne, ale także istotnym instrumentem w dziedzinie polityki i sprawowania władzy. Coraz częściej w związku z tym można spotkać się ze stwierdzeniem, że żyjemy w społeczeństwie „rewolucji informacyjnej”, „informacyjnym”, a nawet „informatycznym” .

Oczywiście, proces ten, poza niewątpliwymi korzyściami, niesie za sobą także zagrożenia. Janusz Barta i Ryszard Markiewicz porównują Internet do Dzikiego Zachodu, jako terenu, „gdzie prawa nie ma lub trudno je egzekwować” . Nie ulega wątpliwości, że skonstruowanie regulacji zapewniającej bezpieczeństwo przepływu informacji stanowi nie lada wyzwanie dla tworzących prawo. Wyzwanie, co należy podkreślić, któremu ustawodawcom niełatwo podołać.

Tematem niniejszego opracowania jest odpowiedzialność karna za przestępstwo hackingu. Już na samym wstępie należy poczynić istotną uwagę natury terminologicznej, dotyczącą rozumienia tego pojęcia. Kwestia ta zostanie omówiona obszerniej w rozdziale pierwszym, stanowiącym wprowadzenie do problematyki przestępczości komputerowej. W tym miejscu zasygnalizować jedynie należy, że obecnie termin ten rozumiany jest nieco szerzej, niż pierwotnie. Początkowo pojmowany był jako uzyskiwanie nielegalnego dostępu do zasobów komputerów lub sieci komputerowych. „Współczesne” rozumienie tego terminu jest szersze, obejmuje wszelkie działania mające na celu zakłócenie funkcjonowania sieci, a więc zachowania stanowiące przestępstwa przeciwko bezpieczeństwu informacji we wszystkich jego aspektach (integralności, poufności i dostępności) .

Problematyka przestępstw komputerowych przeciwko bezpieczeństwu informacji, mimo swojego wzrastającego znaczenia, nie cieszy się należytym zainteresowaniem doktryny. Zjawisko to w zasadzie nie doczekało się również badań empirycznych , stąd jego rzeczywista skala w Polsce nie była znana. Nawet analiza danych pochodzących z oficjalnych statystyk przestępczości ujawnionej (statystyka policyjna), których przedmiotem były przestępstwa stypizowane w art. 267–269b ustawy z dnia 6 czerwca 1997 r. – Kodeks karny , okazała się mało miarodajna (zob. rozdział siódmy).

W związku z powyższym celem niniejszego opracowania była w pierwszej kolejności analiza przepisów art. 267–269b k.k., w których dokonano kryminalizacji przestępstw komputerowych przeciwko bezpieczeństwu informacji, z uwzględnieniem regulacji międzynarodowych i unijnych oraz rozwiązań obowiązujących w wybranych krajach europejskich. Jednocześnie stanowi ono próbę skonfrontowania polskich rozwiązań z wynikami badań empirycznych o zasięgu ogólnokrajowym, których przedmiotem była problematyka odpowiedzialności karnej za przestępstwo hackingu.

Niniejsza monografia składa się ze wstępu, siedmiu rozdziałów i zakończenia. Dwa pierwsze rozdziały mają charakter wprowadzający do omawianej problematyki, rozdział pierwszy jest ogólnym wprowadzeniem do tematyki hackingu, następne pięć ma charakter dogmatyczny, natomiast rozdział ostatni prezentuje wyniki badań empirycznych.

Rozdział pierwszy, poza krótkim przedstawieniem historii sieci komputerowych oraz Internetu i jego ogólnej charakterystyki, zawiera podstawowe informacje mające przybliżyć zasady funkcjonowania sieci komputerowych, jak również zwięzłe omówienie technicznej strony przestępczości komputerowej, czyli metod stosowanych przez przestępców, zwanych potocznie hackerami.

O ile celem rozdziału pierwszego jest ogólne wprowadzenie do tematyki hackingu poprzez przedstawienie podstawowych informacji na temat tego zjawiska oraz omówienie jego technicznych aspektów, o tyle rozdział drugi stanowi niejako właściwy wstęp do niniejszego opracowania. Przedstawione w nim zostały próby zdefiniowania przestępstw komputerowych i ich klasyfikacji, historia kryminalizacji tego zjawiska wraz z wiążącymi się z tym trudnościami oraz wyjaśnienie podstawowych pojęć: informacji, danych komputerowych oraz programu komputerowego.

W rozdziale trzecim omówione zostały najistotniejsze inicjatywy międzynarodowe, których przedmiotem jest przestępczość komputerowa. Ich cechą charakterystyczną jest to, że mają charakter niewiążący. Wyjątek stanowi Konwencja Rady Europy o cyberprzestępczości, sporządzona w Budapeszcie dnia 23 listopada 2001 r. , na którą został położony w związku z tym szczególny nacisk. Poza tym aktem zostały zaprezentowane inne dokumenty oraz inicjatywy podejmowane przez organizacje międzynarodowe, zarówno rządowe (Organizacja Narodów Zjednoczonych, Międzynarodowy Związek Telekomunikacyjny, Organizacja Współpracy Gospodarczej i Rozwoju, Rada Europy, Grupa G7/G8), jak i pozarządowe (Międzynarodowa Organizacja Policji Kryminalnych, Międzynarodowe Stowarzyszenie Prawa Karnego, EastWest Institute).

Działaniom Unii Europejskiej w zakresie zwalczania hackingu poświęcony został rozdział czwarty. Rozwiązanie takie było podyktowane odrębnością porządku prawnego Unii Europejskiej od prawa międzynarodowego oraz krajowego . Omówione zostały przede wszystkim decyzja ramowa Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne oraz – zastępująca ją – dyrektywa Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotycząca ataków na systemy informatyczne i uchylająca decyzję ramową Rady 2005/222/WSiSW .

Rozdział piąty poświęcony jest polskiej regulacji karnej i zawiera omówienie znamion przestępstw komputerowych zawartych w rozdziale XXXIII kodeksu karnego:

Analiza obejmuje kolejno znamiona przedmiotu ochrony, strony przedmiotowej, podmiotu, strony podmiotowej każdego z nich. Przyjęcie takiego układu treści (niejako komentarzowego) podyktowane zostało potrzebą zachowania odpowiedniej przejrzystości. Ta ostatnia uwaga odnosi się również do sposobu zaprezentowania problematyki zbiegu przepisów, zbiegu przestępstw, wymiaru kary oraz trybu ścigania omówionych w odrębnych podrozdziałach, wspólnych dla wszystkich analizowanych przestępstw.

W rozdziale szóstym zaprezentowano unormowania dotyczące przestępstw komputerowych obowiązujące w wybranych państwach europejskich. Celem opracowania było wyróżnienie pewnych modeli kryminalizacji tego zjawiska oraz przedstawienie wybranych krajowych unormowań, które z jednej strony byłyby typowe dla tychże modeli, a z drugiej – zawierałyby pewne odmienności czy oryginalne rozwiązania. Umieszczenie tego rozdziału w tym właśnie miejscu, a więc po rozdziale poświęconym polskiej regulacji, powinno dać czytelnikowi maksymalnie przejrzysty obraz omawianego tematu.

W ostatnim rozdziale zaprezentowano wyniki badań empirycznych opartych na analizie akt 1163 postępowań przygotowawczych zarejestrowanych w jednostkach organizacyjnych prokuratury całego kraju w latach 2009–2010. Celem badań było dokonanie oceny skali zjawiska hackingu w Polsce, jak również przyjmowanych kwalifikacji prawnych, sposobów zakończenia wszczętych postępowań oraz przyczyn odmowy ich wszczęcia, a także rodzaju i wysokości orzekanych kar i środków karnych.

Niniejsza monografia stanowi zmodyfikowaną i uaktualnioną wersję rozprawy doktorskiej obronionej przeze mnie w dniu 9 grudnia 2014 r. na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Wybór jej tematu podyktowany był przede wszystkim moimi zainteresowaniami. Wyzwanie stanowiła także stosunkowa nowość problematyki przestępstw komputerowych, ograniczona liczba publikacji poświęconych omawianym zagadnieniom, a wreszcie brak badań empirycznych, a nawet opracowań statystycznych .

W tym miejscu pragnę podziękować osobom, które miały niewątpliwy wpływ na ostateczny kształt pracy. Przede wszystkim Promotorowi – Panu prof. dr. hab. Markowi Mozgawie za sprawowaną opiekę merytoryczną oraz Recenzentom – Panu prof. dr. hab. Piotrowi Kardasowi oraz Panu prof. dr. hab. Jackowi Sobczakowi za cenne uwagi, a także Panu prof. dr. hab. Andrzejowi Siemaszce, wieloletniemu Dyrektorowi Instytutu Wymiaru Sprawiedliwości, który umożliwił mi przeprowadzenie badań empirycznych stanowiących niezwykle istotny element niniejszego opracowania.

Dziękuję również za przekazane uwagi i słowa zachęty autorowi recenzji wydawniczej Panu prof. dr. hab. Andrzejowi Adamskiemu.