piątek, 1 stycznia 2016

Nie znam się, to się wypowiem

Poniżej to, co napisałem na Facebooku (na temat nowelizacji ustawy o policji, której to nowelizacji poselski projekt jest obecnie dyskutowany). Co mnie zdziwiło przez dobę tekst miał 37 udostępnień. Takiej popularności to jeszcze nie miałem, a ja się tylko staram zrozumieć konsekwencje jednego z zapisów. I to okiem laika. Hmmm.

 ---
Myślę sobie o nowelizacji ustawy o policji, dokładniej o art 1 ust 1 lit. b punkt 4 poselskiego projektu („Kontrola operacyjna prowadzona jest niejawnie i polega na(….) uzyskiwaniu i utrwalaniu danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych”). Pytanie, jak to się ma do zapisów przepisów z rozdziału XXXIII KK, np. art 267, czyli tzw. przestępstwa hackingu

Art. 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
§ 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest
uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1–3 ujawnia innej osobie.
§ 5. Ściganie przestępstwa określonego w § 1–4 następuje na wniosek pokrzywdzonego.

W ustawowych znamionach czynu zabronionego mamy owo określenie „nieuprawnionych”, wydaje się, że nowelizacja daje właśnie policji explicite owo uprawnienie (którego do tej pory nie było). Po wtóre nowelizacja zastępuje dotychczasowe niejawne uzyskiwanie „innych informacji przekazywanych za pomocą sieci telekomunikacyjnych” (art 19(6) ust 6 pkt 3 ustawy o policji) tym, co powyżej czyli „uzyskiwaniem i utrwalaniem danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych”. Informacja (rozumiana tradycyjnie przez prawników jako treść komunikatu) została zastąpiona danymi (przez co prawnicy rozumieją zazwyczaj zapisy). Mówiąc inaczej obawiam się, że nowelizacja daje prawo nie tylko do podsłuchu transmisji sieciowej (co dotychczas było możliwe... hmmm nie widzę gdzie to prawo zostało po nowelizacji... może w "kontroli przesyłek") ale i do niejawnego „grzebania po dyskach”. Pytanie jak to mianowicie zrobić - oczywiście można wejść chyłkiem w nocy i skopiować dysk, natomiast czy można zainstalować zdalnie policyjnego trojana? (jak wiemy http://www.benchmark.pl/…/cba-wydalo-250-000-euro-na-oprogr… http://di.com.pl/wlamanie-do-hacking-teamu-potwierdza-ze-cb… CBA kupowało takie zabawki, co zresztą było mocno wątpliwe w świetle owego – zresztą bardzo źle napisanego art 269b KK). Otóż jak się zdaje, ponieważ w ustawowych znamionach czynu zabronionego w art 269b KK jest art 267§3 KK, a tamże jest znowu owo „informacji, do której nie jest uprawniony”, mamy takie rozumowanie: służby po nowelizacji kupując trojana, nie popełnią już przestępstwa z art 269b KK, bowiem zamierzają go użyć do uzyskania informacji do której będą uprawnione (no bo daje im to uprawnienie nowelizacja). Idąc dalej instalują tego trojana, co do tej pory byłoby przestępstwem z art 267 §2 KK, ale już nie będzie - bo uprawnienie do uzyskiwania danych zawartych w systemach informatycznych i teleinformatycznych jest w nowelizacji a trudno uzyskać dane nie uzyskując dostępu (jeśli wolno więcej to wolno i mniej oczywiście).
Rekapitulując, wydaje mi się (niech mnie poprawi jakiś prawnik, jeśli jest na ścianie), że nowelizacja da prawo służbom do zdalnej infekcji komputerów obywateli. Jeszcze raz zastrzegam się: nie jestem prawnikiem, chętnie przyjmę uwagi krytyczne, ucieszę się, jeśli nie mam racji.

---


UPDATE: ze strony HFPC: "[...]Projekt poszerza również zakres tzw. kontroli operacyjnej przewidując, że będzie ona obejmować, m.in. uzyskiwanie i utrwalanie „danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych”. W ocenie Helsińskiej Fundacji Praw Człowieka, takie rozwiązanie pogarsza sytuację jednostki. Obecnie dokonanie takich czynności wymaga postanowienia prokuratora, zaś osoba, której prawa zostały w ten sposób naruszone może złożyć zażalenie. W świetle projektowanych przepisów osoba, której komputer został w ten sposób przeszukany, najprawdopodobniej może się o tym nigdy nie dowiedzieć. Wynika to z kolei faktu, że projekt w dalszym ciągu nie wykonuje postanowienia sygnalizacyjnego Trybunału Konstytucyjnego, który nakazał wprowadzenie obowiązku poinformowania osoby poddanej kontroli operacyjnej o fakcie jej prowadzenia i zakończenia.[...]" http://www.hfhr.pl/uwagi-hfpc-do-projektu-zmian-w-uprawnieniach-sluzb/