Arkadiusz Lach Przeszukanie na odległość systemu informatycznego



Pobieranie 63.05 Kb.
Data01.05.2016
Rozmiar63.05 Kb.

Przeszukanie na odległość systemu…

Arkadiusz Lach

Przeszukanie na odległość systemu informatycznego

Streszczenie

Przedmiotem analizy jest przeszukanie na odległość systemu informatycznego. Autor przedstawia istotę tej czynności oraz jej rodzaje: rozszerzone przeszukanie i zdalne przeszukanie. Zaprezentowane zostały regulacje przyjęte lub projektowane w innych państwach. Przeanalizowano również przepisy polskiego kodeksu postępowania karnego odnoszące się do przeszukania. Krytycznie ocenił projekt nowelizacji ustawy o Policji, proponujący wprowadzenie przeszukania na odległość jako formy czynności operacyjno-rozpoznawczych.

I. Wprowadzenie

Reagowanie na nowe rodzaje przestępstw oraz nowe sposoby popełniania tradycyjnych przestępstw wymaga stosowania narzędzi opierających się na nowoczesnych technologiach oraz wprowadzenia instrumentów prawnych umożliwiających wykorzystanie takich technologii. Stosowanie tych środków może jednak kolidować z tak istotnymi prawami obywatelskimi, jak prawo do prywatności czy prawo do rzetelnego procesu. Problem ten widoczny jest w przypadku nowego sposobu przeprowadzania przeszukania systemu informatycznego, jakim jest przeszukanie tego systemu na odległość. Pojawia się pytanie, czy instrument ten w ogóle może być stosowany, a jeśli tak, to w jakiej postaci i w jakim zakresie. Zagadnienie to stało się aktualne również w Polsce w związku z podjęciem prac legislacyjnych w Ministerstwie Spraw Wewnętrznych i Administracji. Zachętę do wprowadzenia rozszerzonych przeszukiwań znajdziemy również w Strategii Rady Europejskiej z dnia 27 listopada 2008 r. w celu wzmocnienia walki z cyberprzestępczością (nr IP/08/1827).




II. Istota i rodzaje przeszukania na odległość

Istota przeszukania na odległość polega, mówiąc ogólnie, na zbadaniu zawartości systemu informatycznego z innego systemu poprzez sieć teleinformatyczną.

Przeszukanie na odległość może przybrać dwie główne formy:

  1. „rozszerzonego przeszukania”, kiedy w trakcie przeszukania systemu informatycznego okazuje się, że istotne dowodowo dane znajdują się w innym systemie, do którego dostęp jest możliwy za pomocą systemu pierwotnego, przeszukuje się również system wtórny; mamy tu więc do czynienia z przeszukiwanym w sposób „tradycyjny” systemem pierwotnym oraz systemem wtórnym, na który przeszukanie jest rozszerzane w trakcie czynności,

  2. zdalnego przeszukania, które przeprowadza się, np. korzystając z komputera znajdującego się w siedzibie jednostki policji, bez informowania jego użytkownika o tym fakcie przed przystąpieniem do czynności. Celem przeszukania jest tu od razu określony system informatyczny, nie mamy więc do czynienia z powyższym rozszerzeniem przeszukania w jego trakcie.

Od strony technicznej zdalne przeszukanie może polegać na stosowaniu tzw. zdalnego oprogramowania śledczego (Remote Forensic Software). Jest ono instalowane na nośniku komputera, który ma być przeszukany poprzez np. wysłanie spreparowanego e-maila zawierającego trojana, key-logger czy też zainfekowanie strony internetowej odwiedzanej przez użytkownika. Oprogramowanie śledcze bez wiedzy użytkownika przeszukuje zasoby komputera oraz wysyła pod wskazany adres internetowy dane z tego nośnika, które mogą mieć wartość dowodową.

Ze specyfiki przeszukania na odległość wynika, że może mieć ono charakter niejawny, co dotyczy przede wszystkim sytuacji, kiedy brak jest możliwości powiadomienia osoby uprawnionej, iż takie przeszukanie ma miejsce lub celowo nie informuje się tej osoby ze względu na dobro prowadzonego postępowania. Powiadomienia takie następują już po dokonaniu czynności. Niewykluczone, że w przypadku zdalnego przeszukania powiadomienie nie następowałoby bezpośrednio po czynności, lecz ze względu na dobro postępowania zostałoby odroczone.

Jeśli porównamy ingerencję w prawo do prywatności podczas tradycyjnego przeszukania i przeszukania na odległość, zobaczymy, że w obu sytuacjach działania bezprawne są karalne. W pierwszym przypadku będzie to naruszenie miru domowego (art. 193 k.k.), w drugim nieuprawniony dostęp do systemu informatycznego (art. 267 § 2 k.k.). W obu sytuacjach może też dojść do nielegalnego dostępu do informacji (art. 267 § 1 k.k.). Oznacza to, że dla legalności obu form przeszukania musi istnieć przepis zezwalający organom procesowym na przeprowadzenie czynności.

Argumentami przemawiającymi za wprowadzeniem zdalnego przeszukania są szeroki dostęp do informacji przechowywanych w systemach informatycznych i możliwość uzyskania dostępu do danych przed wprowadzeniem ochrony kryptograficznej, co może mieć duże znaczenie dowodowe. Narzędzia kryptograficzne mogą bowiem opóźnić zapoznanie się organów ścigania z poszukiwanymi informacjami lub nawet uniemożliwić to. Poza tym uzyskuje się dane bez świadomości osoby zainteresowanej, co zmniejsza ryzyko usunięcia przez nią dowodów przestępczej działalności lub ukrycia się. Przeciwnicy tej instytucji mogą natomiast podnosić dużą ingerencję w prywatność użytkowników systemów informatycznych, stosowanie przez państwo hakerskich metod, brak możliwości kontroli czynności przeszukania, szeroki dostęp do danych w trakcie przeszukania oraz brak odpowiedniego zabezpieczenia praw osób dotkniętych przeszukaniem1.

Konwencja Rady Europy o Cyberprzestępczości z dnia 23 listopada 2001 r.2 przewiduje, że każda strona przyjmie środki pozwalające podczas przeszukania rozszerzyć je na inny system, jeśli do danych można legalnie uzyskać dostęp z systemu pierwotnego lub są one dostępne dla tego systemu. W każdym przypadku dane te muszą być prawnie dostępne dla systemu pierwotnego (art. 19 ust. 2). Państwa mają wolną rękę w określeniu sposobu wykonania zobowiązania: nakaz sądu, decyzja organu przeszukującego, przeszukanie symultaniczne3. Konwencja nie wspomina zatem o wprowadzeniu zdalnego przeszukania, lecz jedynie rozszerzonego przeszukania.

Przeszukanie na odległość może przybrać również charakter transgraniczny. Ten aspekt ze względu na swoją specyfikę zasługuje jednak na odrębne potraktowanie.

III. Przeszukanie na odległość w innych państwach

Przeszukanie na odległość zostało wprost wprowadzone w szeregu państw europejskich i pozaeuropejskich. Warto przyjrzeć się tym regulacjom. Zacznijmy od Holandii. W myśl holenderskiego k.p.k. z 1926 r. (art. 125j) podczas przeszukania pomieszczeń można w celu odnalezienia danych o wartości dowodowej dokonać czynności także w systemie informatycznym ulokowanym gdziekolwiek i następnie zapisać dane. Zakres dostępu nie jest szerszy niż osób mieszkających lub zwykle pracujących czy przebywających w pomieszczeniu.

Przeszukanie na odległość wprowadził także ustawodawca kanadyjski. W myśl art. 487 (2.1) kanadyjskiego k.k. z 1985 r., osoba upoważniona na podstawie tego przepisu do przeszukania systemu komputerowego w budynku lub miejscu może w celu odnalezienia danych użyć lub spowodować użycie każdego systemu informatycznego w tym budynku lub miejscu do przeszukania wszelkich danych znajdujących się w tym systemie lub dostępnych dla niego. Podobnie uregulowano przeszukanie na odległość we Francji. Zgodnie z art. 57–1 francuskiego k.p.k. z 1958 r. funkcjonariusze dokonujący przeszukania na podstawie tego kodeksu mogą uzyskać dostęp do każdych danych mających znaczenie dla toczącego się postępowania, danych przechowywanych w systemie informatycznym znajdującym się w miejscu przeszukania lub w innym systemie informatycznym, jeśli dane można uzyskać z systemu pierwotnego lub są dostępne dla niego. Dane znajdujące się za granicą są uzyskiwane z zachowaniem warunków przewidzianych w umowach międzynarodowych. Również prawo rumuńskie4 pozwala na rozszerzenie przeszukania systemu informatycznego lub nośnika danych na inny system lub nośnik dostępny z systemu lub nośnika pierwotnego, jeśli okaże się, że poszukiwane dane tam się znajdują.

Rozbudowana regulacja znajduje się w prawie belgijskim. Artykuł 88ter tamtejszego k.p.k. przewiduje, że w przypadku zarządzenia przez sędziego śledczego przeszukania systemu informatycznego lub jego części, przeszukanie to może zostać rozszerzone na system informatyczny lub jego część, które znajduje się w innym miejscu niż to, w którym przeprowadza się przeszukanie, jeśli rozszerzenie to jest konieczne dla dokonania ustaleń faktycznych w sprawie o przestępstwo, w związku którym dokonuje się przeszukania i jeśli inne środki byłyby nieproporcjonalne lub jeśli istnieje ryzyko, że bez tego rozszerzenia dowody przestępstwa zostaną utracone. Rozszerzenie może dotyczyć systemu informatycznego lub jego części do których osoby upoważnione do użytkowania systemu pierwotnego mają dostęp. Sędzia śledczy informuje o przeszukaniu dysponenta systemu informatycznego, chyba, że jego nazwisko lub adres nie mogą zostać ustalone. Jeżeli okaże się, że dane znajdują się poza terytorium kraju, można je tylko skopiować, o czym informuje się za pośrednictwem Ministra Sprawiedliwości państwo obce, jeśli można je ustalić.

Nieco inaczej uregulowano przeszukanie systemu informatycznego w Anglii. Na podstawie art. 19 (4) Police and Criminal Evidence Act 1984 konstabl dokonujący przeszukania pomieszczeń ma prawo żądania wydania każdej informacji dostępnej z tych pomieszczeń, jeśli jest to informacja spełniająca określone w ustawie warunki. Jest to zatem przepis umożliwiający rozszerzone przeszukanie. Wskazuje się także, że od 1994 r., po nowelizacji Computer Misuse Act 1990, policja może przeprowadzać zdalne przeszukania5. Umożliwia to obecnie ustawa Regulation of Investigatory Powers Act 2000, która przewiduje dość liberalne stosowanie inwigilacji prowadzonej w związku z konkretnym śledztwem lub czynnościami operacyjnymi (directed surveillance)6.

Warte przybliżenia są również rozwiązania australijskie. Artykuły 3L i 3LA federalnej ustawy Crimes Act 1914 przewidują, że policjant, przeszukując pomieszczenie wymienione w nakazie, może uzyskać dostęp również do danych nie znajdujących się w przeszukiwanych pomieszczeniach, jeśli może przypuszczać, że mogą one stanowić dowód i nie zachodzi ryzyko ich uszkodzenia. Musi jednak niezwłocznie poinformować o tym osobę zajmującą inne pomieszczenia, w tym podać dane pozwalające tej osobie skontaktować się z funkcjonariuszem. Do wprowadzenia dopuszczalności zdalnego przeszukania doszło w Niemczech, początkowo w Nadrenii-Wesfalii. W uchwalonej tam 20 grudnia 2006 r. ustawie o ochronie konstytucji (Verfassungsschutzgesetz) przewidziano tajne przeszukanie na odległość7. Regulacje te zostały jednak zakwestionowane w niemieckim Trybunale Konstytucyjnym. W wyroku z dnia 27 lutego 2008 r.8 Trybunał stwierdził, że systemy informatyczne odgrywają ważną rolę w rozwoju osobowości, można w nich przechowywać dane oraz komunikować się za ich pomocą, korzystając z dużej ilości usług. Dlatego tajny dostęp do systemów informatycznych narusza prawo osobowości w postaci prawa do zagwarantowania poufności i integralności systemów informatycznych. Regulacje nie zapewniały, że środek ten będzie używany jedynie w przypadku konkretnego poważnego zagrożenia dobra prawnego i jedynie na podstawie nakazu sądowego, a przesłanki stosowania środka nie spełniały standardu, podobnie jak możliwość jego zarządzenia bez zgody sądu. Środek ten wykracza dalece poza zwykły podsłuch, ponieważ umożliwia dostęp do wszystkich danych przechowywanych w systemie, co stawia pod znakiem zapytania proporcjonalność ingerencji. Trybunał zwrócił także uwagę na brak ochrony sfery życia intymnego poprzez procedurę niezwłocznego zniszczenia danych odnoszących się do tej sfery. W konsekwencji uznano, że regulacje są niezgodne z Konstytucją i nieważne. Należy jednak wskazać, że Trybunał nie uznał zdalnego przeszukania jako niedopuszczalnego in abstracto, lecz wypowiedział się przeciwko konkretnemu uregulowaniu tej instytucji. Można też wspomnieć, że wcześniej sądy niemieckie odmówiły autoryzacji zdalnego przeszukania na podstawie przepisów o podsłuchu, argumentując, że jest to środek o innym charakterze, którego stosowanie wymaga odrębnej regulacji prawnej9. Wyrok Trybunału Konstytucyjnego nie powstrzymał niemieckiego Ministerstwa Spraw Wewnętrznych od forsowania projektu ustawy zwiększającej uprawnienia policji. Mimo dużych kontrowersji Parlament Związkowy uchwalił ustawę pozwalającą na dokonywanie przeszukania na odległość. W myśl § 20k Bundeskriminalamtgesetz (BKAG) od 1 stycznia 2009 r.10 policja może on-line uzyskać dostęp do komputerów i przeszukiwać je, jeśli zachodzi uzasadnione przypuszczenie zagrożenia życia, integralności fizycznej lub wolności czy też podstaw lub egzystencji państwa. Środek ten ma być stosowany subsydiarnie. Jest on niedopuszczalny, jeśli uzyskane mają być tylko informacje odnoszące się do życia prywatnego osoby. Podaje się11, że omawiany środek będzie umożliwiał zainstalowanie na komputerze oprogramowania szpiegowskiego, które będzie przeszukiwało dyski i wysyłało inkryminujące informacje do policji oraz np. wyszukiwało i nagrywało rozmowy Skype lub inne typu VOIP.

Interesujący punkt widzenia przyjęto w Nowej Zelandii. W swojej rekomendacji12 Komisja Kodyfikacyjna opowiedziała się generalnie za odrzuceniem przeszukania na odległość ze względu na dużą ingerencję związaną z takim „państwowym hackingiem” i niemożność zapewnienia należytej kontroli, ale wskazała na potrzebę umożliwienia zdalnego dostępu, jeśli nie można określić fizycznego obiektu (np. ktoś z różnych komputerów uzyskuje dostęp do danych przechowywanych w bliżej nieokreślonym miejscu13), rozszerzone przeszukanie oraz ograniczone przeszukanie międzynarodowe. W myśl art. 108 projektu ustawy w sprawie przeszukania i inwigilacji14 upoważnienie do przeszukania obejmuje:

  1. dostęp i skopiowanie niematerialnych rzeczy z komputerów i innych nośników danych znajdujących się lub dostępnych z miejsc, pojazdów i innych rzeczy przeszukiwanych (włączając w to kopiowanie w postaci podglądu, sklonowania lub innych metod stosowanych przed lub po zatrzymaniu do analizy), pkt j,

  2. użycie uzasadnionych środków uzyskania dostępu do każdego komputera lub innego nośnika danych znajdującego się w miejscu, pojeździe lub innej rzeczy przeszukiwanej lub do której można uzyskać dostęp z komputera lub innego nośnika danych, które znajdują się w takim miejscu w pojeździe lub innej rzeczy, pkt j (i).

Art. 101 (4) k projektu przewiduje, że jeżeli nakaz przeszukania ma na celu autoryzację zdalnego dostępu i przeszukania takich rzeczy jak internetowe nośniki danych, nie znajdujące się w określonej lokalizacji fizycznej, która może być przeszukana, nakaz taki ma zawierać informacje identyfikujące rzeczy, które mają być przeszukane zdalnie. Z takiego sformułowania można wywodzić, że zdalne przeszukanie ma być możliwe tylko w przypadku niemożności geograficznego zlokalizowania przedmiotu przeszukania15.

IV. Dopuszczalność przeszukania na odległość w Polsce

Polski kodeks postępowania karnego nie zawiera wyraźnych regulacji odnośnie do przeszukania na odległość. Przeszukanie uregulowane w rozdziale 25 kodeksu może dotyczyć miejsca, osoby lub rzeczy. Jednak w myśl art. 236a k.p.k. przepisy rozdziału 25 „stosuje się odpowiednio do dysponenta i użytkownika urządzenia zawierającego dane informatyczne lub systemu informatycznego, w zakresie danych przechowywanych w tym urządzeniu lub systemie albo na nośniku znajdującym się w jego dyspozycji lub użytkowaniu, w tym korespondencji przesyłanej pocztą elektroniczną”. Należy zatem rozważyć, czy odpowiednie stosowanie oznacza także możliwość przeprowadzania przeszukania na odległość.

Rozdział 25 k.p.k. określa obowiązki organów procesowych w związku z przeszukaniem, przewidując szereg gwarancji. Muszą one dysponować postanowieniem sądu albo prokuratora, a w przypadkach niecierpiących zwłoki nakazem kierownika jednostki lub legitymacją służbową. Dokument taki okazuje się osobie, u której dokonywane jest przeszukanie. Przed przystąpieniem do przeszukania należy osobę taką zawiadomić o jego celu i wezwać do dobrowolnego wydania rzeczy (art. 224 § 1 k.p.k.). Kodeks przewiduje także udział osób przybranych przez osobę, u której czynność jest dokonywana lub przeprowadzającego czynność (art. 224 § 2 k.p.k.). Istotną z punktu widzenia omawianego zagadnienia regulację przewiduje także art. 224 § 3 k.p.k., zgodnie z którym, jeżeli przy przeszukaniu nie ma na miejscu gospodarza lokalu, należy do czynności przywołać co najmniej jednego dorosłego domownika lub sąsiada.

W ujęciu polskiego k.p.k. przeszukanie jest czynnością przeprowadzaną w sposób jawny, o której informuje się przed jej przeprowadzeniem. Natomiast zdalne przeszukanie jest przeprowadzane w sposób tajny, ewentualnie z informacją przekazywaną post factum, co zbliża tę instytucję do podsłuchu. W związku z tym należy negatywnie ocenić możliwość przeprowadzania zdalnego przeszukania de lege lata. Niemożliwe jest bowiem przy takim przeszukaniu spełnienie podstawowych warunków wymaganych przez kodeks postępowania karnego.

W chwili obecnej organy procesowe mogą stosować przeszukanie symultaniczne, czyli prowadzenie czynności w różnych miejscach, skorelowanych ze sobą, przede wszystkim, jeśli chodzi o godzinę rozpoczęcia. Pojawia się też pytanie, czy jeśli przy prowadzonym przeszukaniu okaże się, że dane są zawarte w systemie informatycznym znajdującym się w innym miejscu, możliwe jest skorzystanie z uproszczonej procedury przewidzianej dla przypadku niecierpiącego zwłoki. Mielibyśmy wówczas do czynienia z rozszerzeniem przeszukania. Jednak rozszerzenie przeszukania musiałoby wiązać się z okazaniem nakazu lub legitymacji osobie, u której dokonuje się przeszukania. Jeśli zatem osoba, u której dokonuje się przeszukania systemu, nie jest dysponentem (użytkownikiem) systemu wtórnego, należałoby odnaleźć takiego dysponenta (użytkownika). Można byłoby co prawda zastanawiać się, czy w takiej sytuacji nie mamy do czynienia z sytuacją, kiedy gospodarz (dysponent, użytkownik) nie jest obecny na miejscu, jednak jako miejsce przeszukania należy w tym kontekście rozumieć miejsce, gdzie znajduje się system wtórny, a nie pierwotny. Po drugie, osoba taka ma prawo być obecna przy przeszukaniu, a w razie jej nieobecności należy przybrać jedną z osób wymienionych w art. 224 § 3 k.p.k. Należy zatem wypowiedzieć się negatywnie także w kwestii dopuszczalności rozszerzenia przeszukania na inny system informatyczny. Nie umożliwia tego nawet elastyczność „odpowiedniego stosowania”.

W myśl § 98 ust. 1 zarządzenia KGP nr 142616, jeżeli policjant w toku czynności przeszukania dojdzie do przekonania, że w miejscu dokonywania czynności mogą znajdować się inne rzeczy mogące stanowić dowód w sprawie lub podlegające zajęciu w postępowaniu karnym albo inne dane informatyczne, które nie zostały ujęte w postanowieniu sądu lub prokuratora, kontynuuje przeszukanie, a po ich znalezieniu wpisuje je do protokołu i zabezpiecza. Art. 220 § 3 k.p.k. stosuje się odpowiednio. Kluczowe jest tu wyjaśnienie, co oznacza „miejsce dokonywania czynności”. Należy przyjąć, że chodzi tu o wskazane w postanowieniu miejsce, gdzie znajduje się przeszukiwany system informatyczny lub sam system informatyczny. Inne dane muszą jednak znajdować się w tym samym „miejscu” (systemie). Paragraf 98 nie odnosi się zatem do rozszerzonego przeszukania.

A. Adamski17 postawił pytanie, czy przeszukania na odległość nie miał wprowadzić § 99 ust. 8 zarządzenia KGP nr 1426. Przepis ten przewiduje, że „Przystępując do przeszukania systemu informatycznego, w przypadku gdy zasoby przeszukiwanego systemu lub połączonego z nim innego komputera są zaszyfrowane i niemożliwe jest zapoznanie się z nimi bez podania hasła lub klucza prywatnego, można użyć urządzeń lub programów komputerowych umożliwiających dostęp do informacji przechowywanych w systemie komputerowym”. W istocie, lektura tego przepisu przywołuje skojarzenie z omawianym rodzajem przeszukania. Akt podustawowy rangi zarządzenia nie może jednak modyfikować przepisów o przeszukaniu, gdyż nie stanowi źródła prawa powszechnie obowiązującego. Dlatego § 99 ust. 8 należy interpretować tak, aby uniknąć sprzeczności z ustawą i przyjąć, że chodzi tu o sytuację, kiedy określony system informatyczny i inny komputer znajdują się w przeszukiwanych pomieszczeniach. Na marginesie zaś wypada wskazać, że przeciwstawianie sobie pojęcia systemu informatycznego i komputera nie jest zasadne. Jeśli spojrzymy np. na definicję ustawową systemu informatycznego zawartą w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r.18, to zobaczymy, że w myśl art. 7 pkt 2a tej ustawy systemem informatycznym jest zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Kodeks postępowania karnego nie przewiduje zatem także rozszerzonego przeszukania w postaci istniejącej w innych państwach.

Warto przy okazji zauważyć, że w myśl § 175 ust. 1 regulaminu prokuratorskiego19 w postanowieniu o przeszukaniu należy podać cel tej czynności, ze wskazaniem osoby podejrzanej, która ma być wykryta, zatrzymana lub przymusowo doprowadzona, albo rzeczy, które mają być znalezione lub zatrzymane, jak również imię, nazwisko i adres osoby (nazwę i adres instytucji), u której czynności te mają być przeprowadzone, oraz organ wykonujący czynność. Brak jest tu odniesienia do danych informatycznych, co skłania do wniosku, że w przeciwieństwie do zarządzenia KGP nr 1426, regulamin prokuratorski nie uwzględnia problemu odpowiedniego stosowania przepisów o przeszukaniu do danych informatycznych.

W 2009 r. MSWiA podjęło inicjatywę legislacyjną unormowania przeszukania na odległość. Miałoby ono zostać jednak uregulowane nie w k.p.k., lecz w ustawie o Policji. Z takiego umiejscowienia wynika, że przeszukanie nie miałoby być czynnością procesową, lecz operacyjno-rozpoznawczą, ściślej zaś mówiąc formą kontroli operacyjnej.

Projekt zmiany ustawy o Policji20 zakłada dodanie do tej ustawy art. 19 ust. 6 nowego punktu 4, stanowiącego, że kontrola operacyjna zarządzona na podstawie tego artykułu może polegać także na „stosowaniu środków elektronicznych umożliwiających niejawne i zdalne uzyskanie dostępu do zapisu na informatycznym nośniku danych, treści przekazów nadawanych i odbieranych oraz ich utrwalanie”.

Z uzasadnienia projektu wynika, że powyższa regulacja miałaby na celu „uzyskanie przez Policję i inne służby niejawnego dostępu do treści rozmów i danych będących w zainteresowaniu tych organów przed ich zaszyfrowaniem, co jest możliwe tylko na komputerze, którym posługuje się ewentualny przestępca. Dostęp taki można uzyskać dzięki instalacji na komputerze osoby będącej w zainteresowaniu służb, specjalnego oprogramowania, które w sposób niejawny będzie monitorowało wszelkie czynności wykonywane na nim, a rezultat tego monitoringu będzie przekazywany poprzez sieć Internet do zainteresowanych służb”.

Proponowana regulacja jest ogólna i nie precyzuje, jaki w istocie ma mieć charakter omawiana instytucja. Z projektu i jego uzasadnienia zdaje się wynikać, że ma to być szczególna postać kontroli i utrwalania przekazów informacji, a także postać przeszukania na odległość, na co wskazuje zwrot „zapisu na informatycznym nośniku danych” oraz zawarte w uzasadnieniu porównanie z regulacjami niemieckimi. Nie wskazano wszakże, do jakich zapisów dostęp miałby być możliwy (w jakim zakresie) i jakie czynności mogłyby zostać podjęte po uzyskaniu dostępu (zapoznanie się z zapisem, skopiowanie). Nie wiadomo także, czy uzyskanie dostępu miałoby być czynnością jednorazową (analogicznie jak przy przeszukaniu), czy też miałoby polegać na stałym dostępie w określonym w postanowieniu terminie (ewentualnie możliwości wielokrotnego dostępu w tym terminie). W tej drugiej sytuacji mielibyśmy do czynienia z formą monitoringu systemu informatycznego, gdzie ujawniane byłyby zmiany wprowadzane np. do baz danych, dokumentów itp. Już chociażby te niejasności dyskwalifikują projektowany przepis w świetle wymogu precyzyjnego uregulowania ingerencji w prawo do prywatności. Regulacje niemieckie, choć także kontrowersyjne, są o wiele bardziej szczegółowe. Poza tym dochodzi tu do powielenia regulacji. Skoro bowiem dotychczasowe przepisy o kontroli operacyjnej normują stosowanie kontroli i utrwalanie przekazów informacji, nie ma podstaw, aby powielać te regulacje wprowadzając jeszcze jedną podstawę prawną. Nie powinno budzić wątpliwości, że zezwolenie na kontrolę treści przekazów zawiera upoważnienie do stworzenia technicznych możliwości efektywnego wykonania takiej kontroli (art. 19 ust. 6 pkt 3 ustawy o Policji21). Za odrzuceniem zaproponowanej regulacji może przemawiać także stopień ingerencji w prawo do prywatności użytkowników systemów informatycznych. Projektodawca nie wykazał, że istnieje w Polsce naglącą potrzeba społeczna posiadania tego typu instytucji, co jest wymogiem formułowanym przez Europejski Trybunał Praw Człowieka dla uzasadnienia ingerencji w prawo do prywatności, zwłaszcza w odniesieniu do nowych rozwiązań prawnych22. Sama jej dostępność w innych państwach nie stanowi jeszcze przekonującego argumentu. W związku z tym należy wątpić, czy byłby tu spełniony wymóg proporcjonalności ingerencji wymagany przez art. 8 ust. 2 EKPCZ.

V. Podsumowanie

Jak pokazano, przeszukanie na odległość nie jest koncepcją jednorodną. Poszczególne uregulowania tej instytucji różnią się co do tego, czy przeszukanie ma być formą rozszerzenia przeszukania w trakcie czynności czy też niejawnym przeszukaniem on-line przeprowadzanym np. z pomieszczeń jednostki policji. Pomimo pewnych elementów wspólnych, te dwie postacie przeszukania na odległość wykazują jednak istotne różnice. Widać również, że w modelu rozszerzonego przeszukania niektóre ustawodawstwa wprowadziły wymóg działania w wypadku niecierpiącym zwłoki, inne nie przewidują takiego ograniczenia.

Zasadnym jest pytanie, czy przeszukanie w środowisku informatycznym ma być ekwiwalentem przeszukania tradycyjnego, czy też ze względu na specyfikę środowiska, w którym jest dokonywane, ma mieć postać uproszczoną lub wzbogaconą, jeśli chodzi o gwarancje procesowe23. Argumentami za pierwszą opcją mogą być: specyfika danych informatycznych, łatwość ich usunięcia i zmodyfikowania, co zmusza do szybkiego działania. Można także dowodzić, że w przypadku przeszukania komputerów nie ma takiej ingerencji w integralność fizyczną danej osoby i jej otoczenie, jak w przypadku przeszukania osoby i miejsc. Z drugiej strony nie sposób zaprzeczyć, że współcześnie komputery zawierają dane o użytkownikach na niespotykaną dotąd skalę. Są one jak gdyby dziennikiem danej osoby, który rejestruje jej aktywność i przechowuje szereg dokumentów, zdjęć, korespondencji o charakterze intymnym. Ma zatem miejsce bardzo poważna ingerencja w autonomię informacyjną.

Odpowiadając na powyższe pytanie, należy stwierdzić, że przeszukanie systemu informatycznego nie może być obwarowane mniejszymi gwarancjami niż tradycyjne. Jeśli więc tradycyjne gwarancje nie mogą być stosowane w środowisku komputerowym lub stosowane tam nie odgrywają swojej roli, powinny być zastąpione innymi, równoważnymi. Jeśli rozszerzone przeszukanie ma zostać wprowadzone jako czynność procesowa, niezbędne jest zapewnienie, że dysponent (użytkownik) systemu wtórnego zostanie o nim poinformowany i będą mu przysługiwać analogiczne środki prawne jak dysponentowi (użytkownikowi) systemu pierwotnego.

W sposób bardzo precyzyjny musiałoby także zostać uregulowane zdalne przeszukanie. Można sobie zadać pytanie, czy jest ono formą przeszukania, formą podsłuchu, czy też łączy obie te instytucje. Podobieństwo do przeszukania przejawia się w sposobie uzyskiwania danych oraz ich charakterze (dane przechowywane w systemie). Z kolei skojarzenie z podsłuchem nasuwa tajny sposób przeprowadzania czynności. Mamy tu więc do czynienia z połączeniem obu instytucji. Być może zatem wykształciła się nowa forma pracy operacyjnej (ewentualnie nowa czynność procesowa), którą można byłoby określić jako elektroniczny monitoring czy też niejawne nadzorowanie systemu informatycznego. Stanowi ona poważne narzędzie inwigilacji, którego nie można wprowadzić bez rzeczowej dyskusji nad proponowanymi rozwiązaniami.


Remote search of an IT system

Abstract

This paper addresses the possibility of performing a search of an IT system from a distance. The author hereof presents essential features of the said activity as well as types of the search, i.e. extended search and remote search. He refers to regulations either adopted or planned in other countries. Moreover, he examines the provisions of the Polish Code of Criminal Procedure applicable to the search. Critically assessed is a draft amendment to the Police Act, where the remote search is regarded as the form of operational activities.


1 Por. A. Adamski, Przestępczość w cyberprzestrzeni. Prawne środki przeciwdziałania zjawisku w Polsce na tle projektu konwencji Rady Europy, Toruń 2001, s. 86–88.

2 CETS nr 185.

3 Council of Europe, Explanatory report to the Convention on Cybercrime, http://conventions. coe.int/Treaty/en/Reports/Html/185.htm.

4 Zob. art. 56 rumuńskiej ustawy antykorupcyjnej 161/2003, która implementowała do prawa rumuńskiego postanowienia Konwencji RE o Cyberprzestępczości.

5 Zob. D. Leppard, Police set to step up hacking of home PCs, „The Sunday Times” z dnia 4 stycznia 2009 r. Policja podaje, że w latach 2007–2008 dokonano 194 takich przeszukań (133 w lokalach prywatnych, 37 w biurach i 24 w pokojach hotelowych). Por. N. Morris, New powers for police to hack your PC, „The Independent” z dnia 5 stycznia 2009 r.

6 Zob. art. 26–28 tej ustawy oraz W. Abel, Agents, Trojans and tags: The next generation of investigators, International Review of Law, Computers & Technology, vol. 23, nr 1–2, March–July 2009, s. 103.

7 Regulacja ta została w prasie określona jako „Bundestrojaner”.

8 Sygn. 1 BvR 370/07; dostępny na stronie http://www.bverfg.de/entscheidungen/rs20080227_ 1bvr037007.html.

9 Zob. W. Abel, Agents, Trojans and tags: The next generation of investigators, International Review of Law, Computers & Technology, vol. 23, nr 1–2, March–July 2009, s. 101.

10 Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt (BKATerrorG), G. v. 25.12.2008 BGBl. I S. 3083.

11 K. McGauran, Germany. Permanent state of pre–emption, http://www.statewatch.org/ analyses/no–79–germany–permanent–state–of–preemption.pdf, s. 4.

12 New Zealand Law Commission, Search and Surveillance Powers, NZLC R 97, 30 June 2007, s. 215–223.

13 Przykłądowo użytkownik serwisów YouTube czy MySpace korzystający z kawiarenek internetowych. W takim przypadku policja może uzyskać login i hasło użytkownika, np. w drodze podsłuchu, i po zalogowaniu się przeszukać konto.

14 Search and Surveillance Bill 45–1 (2009).

15 Por. Privacy Commissioner, Search and Surveillance Bill 2009: Submission by the Privacy Commissioner, 18 September 2009, pkt 3.3.

16 Zarządzenie nr 1426 Komendanta Głównego Policji z dnia 23 grudnia 2004 r. w sprawie metodyki wykonywania czynności dochodzeniowo-śledczych przez służby policyjne wyznaczone do wykrywania przestępstw i ścigania ich sprawców (Dz. Urz. KGP z 2005 r., nr 1, poz. 1).

17 A. Adamski, Prawne aspekty postępowania z dowodami cyfrowymi, referat wygłoszony na II Konferencji Informatyki Śledczej w Katowicach, niepubl.

18 Dz. U. Nr 133, poz. 883 ze zm.

19 Rozporządzenie Ministra Sprawiedliwości z dnia 24 marca 2010 r. – Regulamin wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury, Dz. U. Nr 49, poz. 296.

20 Zob. przygotowany przez MSWiA projekt ustawy o zmianie ustawy o Policji oraz niektórych innych ustaw z dnia 26 sierpnia 2009 r. Projekt i jego uzasadnienie dostępne na stronie internetowej http://bip.mswia.gov.pl/portal/bip/178/18317/Projekt_Ustawy_z_dnia__2009_r_o_zmianie_ ustawy_o_Policji_i_niektorych_innych_ust.html.

21 Ze względu na ogólne brzmienie tego przepisu można byłoby argumentować, że stosowanie „środków technicznych umożliwiających uzyskiwanie w sposób niejawny informacji i dowodów oraz ich utrwalanie” może być podstawą prawną zdalnego przeszukania de lege lata, tym bardziej, że treści przekazów informacji zostały podane jedynie przykładowo. Uważam wszakże, że przepis ten nie odnosi się do uzyskiwania danych przechowywanych, na co wskazuje wykładnia systemowa.

22 Zob. np. wyrok z dnia 4 grudnia 2008 r. w sprawie S. i Marper przeciwko Zjednoczonemu Królestwu, skargi nr 30562/04 i 30566/04, dostępny na stronie internetowej ETPCz. Ciężar udowodnienia konieczności ograniczenia wolności i praw spoczywa zaś na ustawodawcy. Zob. B. Banaszak, Konstytucja Rzeczypospolitej Polskiej. Komentarz, Warszawa 2009, s. 179.

23 New Zealand Law Commission, Search…, s. 197.


Prokuratura

i Prawo 9, 2011





©absta.pl 2019
wyślij wiadomość

    Strona główna