Kodeks karny przewiduje odpowiedzialność karną za popełnienie przestępstw związanych z cyberprzestrzenią. Odpowiedzialność karna za cyberprzestępstwa jest szczególnie istotna w kontekście ochrony danych i bezpieczeństwa online. Sprawdź poniższy artykuł i dowiedz się, jakie działania uznaje on za nielegalne i jaką karę przewiduje za ich popełnienie.
Nielegalne uzyskanie dostępu do informacji w cyberprzestrzeni
Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Tej samej karze podlega, kto:
- bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego;
- w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem;
- informację uzyskaną w sposób określony w powyżej ujawnia innej osobie.
Ściganie przestępstwa określonego wyżej następuje na wniosek pokrzywdzonego.
Przykład 1.
Pan Jan, omijając informatyczne zabezpieczenia, uzyskał „klucz parujący” (boxkey). Czy takie działanie stanowi przestępstwo polegające na nielegalnym uzyskaniu dostępu do informacji?
Klucz parujący nie jest informacją w znaczeniu prawno-karnym. Klucz parujący nie jest tym samym co kod dostępu. Kod dostępu chroni informację, podczas gdy klucz parujący łączy określone segmenty systemu informatycznego. Sam klucz parujący nie jest zatem informacją, do której uzyskanie dostępu stanowi ww. przestępstwo.
Niszczenie informacji w cyberprzestrzeni
Kto, nie będąc do tego uprawnionym:
- niszczy zapis istotnej informacji lub
- uszkadza zapis istotnej informacji, lub
- usuwa zapis istotnej informacji, lub
- zmienia zapis istotnej informacji, lub
- w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z istotną informacją
– podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Przykład 2.
Pan Jan, nie będąc do tego uprawnionym, zmienił hasło dostępowe do logowań do portali Facebook oraz Allegro. Czy takie działanie stanowi przestępstwo?
Tak, tego rodzaju działanie stanowi zmianę zapisu istotnej informacji bez uprawnienia i stanowi przestępstwo na gruncie Kodeksu karnego, za którego popełnienie grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
Wyrządzenie szkód w bazach danych
Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. Kto, dopuszczając się ww. czynu, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Ściganie przestępstw określonych wyżej następuje na wniosek pokrzywdzonego.
Sabotaż komputerowy
Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla:
- obronności kraju,
- bezpieczeństwa w komunikacji,
- funkcjonowania administracji rządowej,
- funkcjonowania innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego
– podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
Tej samej karze podlega, kto dopuszcza się czynu określonego wyżej:
- niszcząc informatyczny nośnik danych lub
- wymieniając informatyczny nośnik danych, lub
- niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Kto, nie będąc do tego uprawnionym, przez:
transmisję,
- zniszczenie,
- usunięcie,
- uszkodzenie,
- utrudnienie dostępu lub
- zmianę danych informatycznych
– w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Bezprawne wykorzystanie programów i danych
Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego we wskazanych w Kodeksie karnym przepisach, a także:
- hasła komputerowe,
- kody dostępu lub
- inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej
– podlega karze pozbawienia wolności od 3 miesięcy do lat 5.
Przykładem działania penalizowanego zgodnie z powyższym opisem jest postępowanie oskarżonego objęte wyrokiem Sądu Rejonowego w Legionowie – II Wydział Karny z 6 października 2020 roku (II K 1222/19), zgodnie z uzasadnieniem do którego: „Oskarżony w czasie wykonywania obowiązków służbowych w firmie oskarżyciela posiłkowego korzystał z adresu mailowego i nadanego mu hasła, dzięki temu uzyskiwał dostęp do informatycznych baz danych. Po ustaniu zatrudnienia nie powinien korzystać z dostępu do tych baz, gdyż przestał być osobą do tego uprawnioną. Mimo tego oskarżony uzyskał dostęp do bazy danych zawartych na internetowej platformie […]. Oskarżony nie miał uprawnienia, by uzyskiwać dostęp do tej platformy po ustaniu zatrudnienia, a uzyskał ten dostęp po przełamaniu informatycznego zabezpieczenia przedmiotowej bazy. Prowadzi to do uznania, że oskarżony dopuścił się popełnienia przestępstwa określonego w art. 267 § 1 kk”.
Odpowiedzialność karna za cyberprzestępstwa – wyjątki
Nie popełnia przestępstwa ten, kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa, jednakże działa wyłącznie w celu:
- zabezpieczenia systemu informatycznego,
- systemu teleinformatycznego lub
- sieci teleinformatycznej przed popełnieniem przestępstwa wymienionego w tym przepisie albo opracowania metody takiego zabezpieczenia.
Nie podlega karze, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego bądź przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych w istotnym stopniu zakłóca pracę systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej, ale działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.