Ostatnio głośno jest o projekcie ustawy przygotowanej przez Ministerstwo Spraw Wewnętrznych i Administracji w ścisłym porozumieniu z Komendą Główną Policji, dotyczącym powołania Centralnego Biura Zwalczania Cyberprzestępczości. Na stronie MSWiA można zapoznać się z jego treścią. Jeśli konieczne jest ustanowienie specjalistycznej jednostki Policji do ścigania nowych form przestępczości, związanych z rozwojem technologii komputerowych, to już niektóre regulacje projektu nie do końca są trafione. Dotyczy to w szczególności jego art. 1 pkt 11) zgodnie z którym:
- „Art. 19c. 1. Służba zwalczania cyberprzestępczości może wytwarzać lub pozyskiwać urządzenia lub programy komputerowe, o których mowa w art. 269b Kodeksu karnego, oraz ich używać w celu rozpoznawania, zapobiegania i zwalczania przestępstw, o których mowa w art. 19 ust. 1, popełnianych przy użyciu nowoczesnych technologii teleinformatycznych oraz wspierania w niezbędnym zakresie pozostałych jednostek Policji w rozpoznawaniu, zapobieganiu i zwalczaniu tych przestępstw.
- 2. Używając urządzeń lub programów komputerowych, o których mowa w ust. 1, służba zwalczania cyberprzestępczości może uzyskać dostęp, na zasadach o których mowa w art. 19, do informacji dla niej nieprzeznaczonej, przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, lub może uzyskać dostęp do całości lub części systemu teleinformatycznego”.
Nowe formy pracy operacyjnej, czy powielenie obowiązujących przepisów?
Wprowadzenie art. 19c ust. 2 stanowiłoby daleko idącą zmianę w zakresie kształtu przepisów kształtujących instytucję kontroli operacyjnej w prawie polskim. Chodzi przy tym o uprawnienia państwa wkraczające w podstawowe prawa i wolności obywatelskie, a więc należy szczególnie uważnie baczyć na ich właściwe ukształtowanie. Obecnie bowiem kontrola operacyjna wygląda podobnie w dziewięciu ustawach „branżowych”; oprócz Policji kompetencja do jej prowadzenia przysługuje m.in. ABW, CBA i KAS.
Czytaj także: Nowe Biuro do walki z cyberprzestępczością budzi wątpliwości>>O tym, że przepis art. 19c ust. 2 dotyczy kontroli operacyjnej świadczy chociażby odwołanie się w nim wprost do art. 19 ustawy o Policji („na zasadach o których mowa w art. 19”). Wprowadzenie takiej regulacji byłoby wyłomem w dotychczasowej praktyce legislacyjnej, gdy Policja i poszczególne służby mają analogicznie skonstruowaną procedurę realizacji najwyższej formy działań operacyjno-rozpoznawczych, która różni się tylko tzw. przestępstwami katalogowymi w zależności od specyfiki danej służby. Przepis art. 19c ust. 2 zburzyłby stabilność i przejrzystość prawa, wprowadził niepotrzebne trudności z jego wykładnią, a co najważniejsze – jest on przynajmniej w części zbędny, gdyż uzyskanie dostępu „do całości lub części systemu teleinformatycznego” to nic innego, jak zapisane w art. 19 ust. 6 pkt. 4 ustawy o Policji „uzyskiwanie i utrwalanie danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych”.
Czytaj w LEX: Zasada subsydiarności w kontroli operacyjnej, wyjaśnienia zakresu oraz znaczenia ustawowego >
Legalny haking z wątpliwościami
Wiele pytań dotyczy aspektów praktycznej realizacji „legalnego hakingu” polegającego na uzyskiwaniu dostępu do informacji poprzez przełamanie albo ominięcie elektronicznych, magnetycznych, informatycznych lub innych szczególnych jej zabezpieczeń. Konstrukcja art. 19c ust. 2, odwołująca się do treści art. 267 § 1 Kodeksu karnego, nie jest trafiona. Wykładnia tego przepisu obejmuje takie działania, jak np. otwieranie zamkniętych pomieszczeń (biura, sejfu, samochodu), które coraz częściej zabezpieczone są kodem elektronicznym, kartą magnetyczną, chipem, czy innym szczególnym zabezpieczeniem np. biometrycznym. W tym przypadku „informację nieprzeznaczoną” dla Policji mogłaby stanowić treść pisemnego dokumentu prywatnego znajdującego się za zamknięciem. Czy do zwalczania cyberprzestępczości konieczne są takie uprawnienia? Czy podobne działania powinny stanowić nową formę kontroli operacyjnej? Jak dostosować do nich przepisy art. 19 ustawy o Policji w zakresie np. czasu trwania kontroli? Wydaje się, że projektodawcy chodziło o dostęp do informacji stanowiącej ślad cyfrowy zapisany na informatycznym nośniku danych, ale treść art. 19c. ust. 2 w zakresie przełamywania zabezpieczeń daje możliwość podjęcia wielu innych działań wykraczających poza granicę świata wirtualnego/cyfrowego.
Czytaj w LEX: Podstawy prawne dostępu prokuratora i sędziego do materiałów o zastosowanie kontroli operacyjnej >
Złe odwołanie do ustawy o Policji
Proponowana nowelizacja generuje jeszcze inne wątpliwości. Przykładowo, art. 19c ust. 2 odwołuje się do przestępstw „katalogowych” wymienionych w art. 19 ust. 1 ustawy o Policji. Zbiór ten nie zawiera, z wyjątkiem art. 269 k.k., kwalifikacji prawnych typowych dla cyberprzestępczości z Rozdziału XXXIII Kodeksu karnego. Co prawda, wyczerpanie znamion przestępstw teleinformatycznych często wiąże się z popełnieniem innych czynów zabronionych wymienionych we wspomnianym art. 19 ust. 1, ale nie musi tak być w każdym przypadku. Wyobraźmy sobie sytuację, kiedy sprawca wytwarza i sprzedaje w darknecie złośliwe oprogramowanie służące do popełniania poważnych przestępstw (art. 269b k.k.), a mimo to nie zostanie objęty formą pracy operacyjnej opisanej w art. 19c ust. 2.
Czytaj w LEX: Terminy kontroli operacyjnej właściwe dla trybu art. 19 ust. 1 ustawy o Policji >
Kolejna rzecz: jeśli nawet przyjąć, że formy pracy operacyjnej wymienione w art. 19c ust. 2 stanowią novum, to dlaczego uprawnić do ich stosowania tylko Centralne Biura Zwalczania Cyberprzestępczości? Takie formacje, jak ABW, CBA, a także CBŚP także zajmują się najpoważniejszymi przestępcami, których modus operandi nierzadko powiązane jest ze sferą „cyber”. Wejście w życie proponowanych zmian zburzyłoby słuszną zasadę jednolitości ustawowego katalogu form kontroli operacyjnej dedykowanych Policji i pozostałym służbom.
Czytaj w LEX: Zakres kontroli operacyjnej >
Czytaj też: Zatrzymanie przez policję bez poznania zarzutów i bez obrońcy >
Co dalej?
Konieczna jest szczegółowa analiza legislacyjna regulacji zawartej w projektowanym art. 19c szczególnie pod kątem art. 19 ust. 6 ustawy o Policji. Dopiero, jeśli okaże się, że projekt zawiera „coś więcej”, aniżeli funkcjonujące już formy pracy operacyjnej, to rozważyć należy, czy celowe i dopuszczalne jest zmodyfikowanie/poszerzenie art. 19 ust. 6 pkt 1-5 i analogicznie zapisów ośmiu pozostałych ustaw.
dr Paweł Opitek, ekspert Instytutu Kościuszki ds. cyberbezpieczeństwa