Ministerstwo Transportu i Budownictwa Departament Telekomunikacji Akceptuję

ZAŁOŻENIA DO USTAWY O SPAM I SPYWARE

Warszawa, 31 marca 2006 r.

1

1. Cel ustawy Nadrzędnym celem ustawy jest poprawa bezpieczeństwa użytkowników w sieci Internet1 poprzez stworzenie skutecznych i szybkich metod zwalczania przypadków przesyłania spamu i malware2. Ponadto, przepisy projektowanej ustawy mają na celu ujednolicenie istniejących regulacji prawnych, dzięki czemu użytkownik sieci Internet będzie miał większą wiedzę o swoich prawach i możliwościach skutecznej ich ochrony. Mając na uwadze, że przepisy prawne dotyczące spamu nie są obecnie przestrzegane oraz są egzekwowane sporadycznie i nie określają procedur ścigania tego rodzaju wykroczenia (od momentu złożenia wniosku o ściganie do momentu egzekucji kar), jednym z zasadniczych założeń ustawy jest zmiana systemu karania zjawiska spammingu poprzez wprowadzenie odpowiedzialności administracyjnej za naruszenie prawa w miejsce dotychczas obowiązującej odpowiedzialności za wykroczenia. Ponadto proponuje się rozszerzenie regulacji na niektóre inne treści niezamówione (np. o charakterze politycznym, religijnym, tzw. łańcuszki szczęścia etc.). Stworzenie jasnych i przejrzystych procedur zwalczania zjawiska spamu, wyraźne wskazanie podmiotu odpowiedzialnego za zwalczanie tego typu działań oraz wprowadzenie dotkliwych kar pieniężnych, skutkowałoby wyższą skutecznością zwalczania przestępstw popełnianych za pomocą Internetu, jako że spam jest w większości przypadków jedynie środkiem do ich popełniania (malware, phishing etc.). Jednocześnie należy wskazać i rozróżnić przypadki spamu przesłanego umyślnie i nieumyślnie z uwagi na zjawisko tzw. botnetów. Dla celów realizacji postanowień niniejszej ustawy konieczne jest wyposażenie Prezesa UKE w uprawnienia do podejmowania odpowiednich działań lub powołanie niezależnego podmiotu właściwego ds. zwalczania naruszeń dóbr użytkowników w sieciach telekomunikacyjnych. MTiB preferuje pierwsze rozwiązanie. Koncentracja kompetencji w ramach jednego podmiotu skutkować będzie stworzeniem fundamentu dla prawidłowego i bezpiecznego rozwoju społeczeństwa informacyjnego w Polsce. Transgraniczny charakter omawianych zjawisk wymaga również sprawnej współpracy międzynarodowej, co przy obecnej dyslokacji kompetencji jest zadaniem niezwykle trudnym. W związku z tym, powołany organ miałby również za zadanie organizację i prowadzenie takiej współpracy. Niezależnie od powyższego, zaznaczyć należy, iż z uwagi na środowisko technologiczne, w jakim wspomniane wyżej naruszenia mają miejsce, niezbędne jest stworzenie warunków dla szybkiego reagowania w celu zabezpieczenia materiału dowodowego w przypadkach naruszeń. 2. Stan faktyczny: aspekty prawne, organizacyjne, techniczne (działalność portali – kodeks dobrych praktyk) Na samym wstępie należy zaznaczyć, że w polskim prawie brak jest jednolitych przepisów, które kompleksowo regulowałyby zagadnienia związane ze spamem i spyware.

1

Oczywiście opisane zjawiska mają miejsce nie tylko w sieci Internet. Dotyczy to np. zjawiska m-spamu, czyli przesyłania niezamówionych informacji handlowych za pośrednictwem mobilnych sieci telekomunikacyjnych. 2 Wyjaśnienie terminologii zawiera aneks załączony do niniejszych założeń

2

Przepisy dyrektywy 2002/58/WE3 o prywatności i łączności elektronicznej, wskazujące na konieczność regulacji spamu, zostały implementowane ustawą Prawo telekomunikacyjne4 oraz w ustawą o świadczeniu usług drogą elektroniczną5 (dalej zwaną USUDE). Przepis art. 13 dyrektywy znajduje swój odpowiednik w następujących przepisach prawa polskiego: art. 9 i 10 USUDE, art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny6 art. 165 ustawy Prawo telekomunikacyjne. Definicje zawarte w przepisach prawa europejskiego i prawa polskiego zawężają pojęcie spamu do niezamówionych informacji handlowych skierowanych do oznaczonego odbiorcy za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Należy jednak pamiętać, że zjawisko to ma dużo szerszy zakres oddziaływania. Za spam należy bowiem uznać wszelką niechcianą korespondencję przesyłaną za pośrednictwem następujących platform komunikacyjnych: - poczta elektroniczna; - telefony komórkowe (bądź w niedalekiej przyszłości również stacjonarne oraz w technologii VoIP); - komunikatory internetowe; - czaty internetowe; - fora dyskusyjne; - pop-up windows. W rozumieniu art. 24 USUDE, przesyłanie niezamówionej informacji handlowej, o której mowa w art. 10 USUDE, stanowi wykroczenie zagrożone karą grzywny (od 20 do 5000 zł) i zgodnie z art. 24 ust 2 USUDE – ściganie tego rodzaju wykroczenia następuje na wniosek pokrzywdzonego. Policja nie prowadzi tego rodzaju postępowań, gdyż rzadko kiedy pokrzywdzeni decydują się na złożenie wniosku o ściganie, natomiast w przypadku, kiedy pokrzywdzony złoży wniosek o ściganie, brak jest jasnych i przejrzystych procedur postępowania, według których działałyby organy ścigania. Taki stan rzeczy spowodowany jest m.in.: - niskim poziomem świadomości prawnej potencjalnych odbiorców tego typu korespondencji (pokrzywdzonych); - brakiem przekonania potencjalnego odbiorcy, że sprawa zakończy się skutecznym ukaraniem nadawcy; - brakiem jakichkolwiek wytycznych bądź wskazówek dla organów ścigania; - brakiem punktu kontaktowego udzielającego informacji, iż takie postępowanie stanowi wykroczenie, oraz w jaki sposób i gdzie zgłosić naruszenie prawa poprzez zjawisko spammingu . Powyższe przeszkody uniemożliwiają więc faktyczne ujęcie osób wysyłających spam. W prawie polskim brak jest również jednego aktu prawnego, w którym całościowo regulowana byłyby odpowiedzialność za tego rodzaju działania, w szczególności 3

Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dziennik Urzędowy UE L 201 , 31/07/2002 P. 0037 – 0047) 4 Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz.1800 z późn. zm.) 5 Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.) 6 Ustawa z dnia 2 marca 2000 r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny (Dz. U. Nr 22, poz. 271 z późn. zm)

3

odpowiedzialność karna za popełnienie przestępstw związanych z działalnością prowadzoną w sieciach teleinformatycznych. Normy tego rodzaju zawarte są w kilku różnych aktach prawnych, w szczególności w rozdziale XXXIII „Przestępstwa przeciwko ochronie informacji” ustawy Kodeks karny7, Ustawie o ochronie danych osobowych8 (zwana dalej u.o.d.o.), Ustawie o ochronie usług opartych lub polegających na warunkowym dostępie9 oraz Ustawie o prawie autorskim i prawach pokrewnych10. Przepisy prawa karnego dotyczące przestępczości komputerowej, w tym przestępczości w sieciach teleinformatycznych, mają na celu ochronę szeregu dóbr prawnie chronionych. Na plan pierwszy wysuwa się ochrona bezpieczeństwa sieci teleinformatycznych i przekazów w tychże sieciach, zapewniana w szczególności przez art. 267 § 2 k.k. (nielegalny podsłuch) i art. 269 k.k. (niszczenie zapisu komputerowego; niszczenie urządzeń). Dobrem chronionym przez przepisy karne jest również prawo do prywatności (art. 24 USUDE), bezpieczeństwo danych informatycznych (art. 267 § 1 k.k. nielegalne uzyskiwanie informacji), pewność i bezpieczeństwo obrotu prawnego (art. 268 k.k. niszczenie, utrudnianie zapoznania się z informacją i 268a k.k. zakłócanie dostępu do danych informatycznych, 270 § 1 k.k. fałsz materialny dokumentu, 276 k.k. niszczenie dokumentów, 310 k.k. fałszowanie pieniędzy i innych środków płatniczych oraz art. 47 Ustawy o podpisie elektronicznym11), a także ochrona zabezpieczeń technicznych blokujących dostęp do treści (art. 6 i 7 Ustawy o warunkowym dostępie, art. 118 ust. 1 Ustawy o prawie autorskim i prawach pokrewnych). Polskie przepisy karne dotyczące przestępczości w sieciach teleinformatycznych uwzględniają wymagania prawa europejskiego oraz międzynarodowego, w szczególności Decyzję ramową Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne12 oraz, zbieżną z nią co do zakresu zagadnień będących przedmiotem regulacji oraz brzmienia postanowień szczegółowych, Konwencję o cyberprzestępczości, której Polska jest sygnatariuszem, podpisaną 23 listopada 2001 r. Zgodnie z ogólnymi zasadami odpowiedzialności karnej w prawie polskim, spośród form stadialnych przestępstw komputerowych, usiłowanie przestępstwa komputerowego zagrożone jest taką samą karą, jak przestępstwo dokonane (art. 14 § 1 k.k.). Natomiast przygotowanie do przestępstwa jest karalne tylko wtedy, gdy ustawa tak stanowi (art. 16 § 2 k.k.). Ogólną zasadą jest więc bezkarność przygotowania. W przypadku przestępczości komputerowej brak jest postanowień kodeksu karnego, które wprowadzałyby karalność przygotowania do tego typu przestępstw. W przypadku przestępczości komputerowej karalne są – zgodnie z ogólnymi zasadami kodeksu karnego – wszelkie formy zjawiskowe przestępstw, takie jak współsprawstwo, sprawstwo kierownicze, podżeganie oraz pomocnictwo. W zakresie form zjawiskowych i stadialnych (dokonanie, przygotowanie i usiłowanie przestępstwa) przestępstw komputerowych, przepisy k.k. są więc zgodne z treścią art. 5 Decyzji ramowej. 7

Ustawa z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88 poz. 553, z późn zm.) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn, Dz. U. z 2002 r. Nr 101, poz. 926) 9 Ustawa z dnia 5 lipca 2002 r. o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym (Dz. U. Nr 126, poz. 1068) 10 Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jedn. Dz. U. z 2000 r. Nr 80, poz. 904) 11 Ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. nr 130, poz. 1450 z późn. zm.) 12 Dz. Urz. UE z 2005 r. seria L Nr. 69 poz. 67 8

4

Podkreślić należy, iż Decyzja ramowa nakazuje, aby odpowiedzialność za przestępstwa hackingu i sabotażu komputerowego rozciągała się także na osoby prawne, którym czyn zabroniony przysparza korzyści (art. 8 ust. 1). Tymczasem polska Ustawa o odpowiedzialności karnej podmiotów zbiorowych13 nie przewiduje odpowiedzialności tychże podmiotów za przestępstwo określone w art. 269a k.k. (zakłócanie pracy systemu komputerowego). Należy zatem wziąć pod uwagę konieczność zmiany powyższej ustawy, tak aby wspomniane postanowienia Decyzji zostały do transponowane do polskiego porządku prawnego. Karalność hackingu rozumianego jako działalność polegająca na włamaniu do systemów i sieci komputerowych wraz z pokonaniem zabezpieczeń chroniących te systemy przewiduje art. 267 § 1 k.k. Hacking w przepisach polskiego k.k. nosi cechy przestępstwa materialnego, którego znamiona wypełnia wejście sprawcy w posiadanie informacji zawartych w systemie komputerowym. Podkreślić należy, iż Decyzja ramowa nr 2005/222/WSiSW, nie przewiduje takiego rozwiązania, a za hacking uznaje „umyślny bezprawny dostęp do całości lub części systemu informatycznego”, a więc uzyskanie informacji, według przepisów Decyzji, nie jest potrzebne do wyczerpania znamion przestępstwa (art. 2 ust. 1 Decyzji). Wydaje się zatem konieczne rozpatrzenie możliwości zmiany dyspozycji normy, w taki sposób aby karalny został sam umyślny bezprawny dostęp do systemu informatycznego. Istniejący stan prawny istotnie utrudnia ściganie wszelkich form uzyskania dostępu do systemów informatycznych wbrew woli ich dysponentów. Zarówno samo przełamanie zabezpieczeń, bez zapoznawania się z chronionymi informacjami, jak i zapoznanie się z takimi informacjami w sytuacji, gdy nie były one szczególnie chronione, nie wyczerpuje znamion czynu zabronionego z art. 267 § 1 k.k. Przepisem, który najpełniej sankcjonuje naruszenie zakazu posługiwania się specjalistycznym oprogramowaniem instalowanym w systemach informatycznych bez wiedzy ich dysponentów (w szczególności oprogramowaniem typu spyware) jest art. 267 § 2 k.k. Zgodnie z tym przepisem, zabronione jest zakładanie lub posługiwanie się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym w celu nieuprawnionego uzyskania informacji. Zabroniony jest więc w szczególności tzw. sniffing (podsłuch transmisji w sieci) oraz spoofing (podszywanie się pod system, uznany przez system atakowany za godny zaufania). Art. 267 § 2 k.k. odpowiada pod względem penalizowanego zachowania art. 3 Konwencji o cyberprzestępczości. W aktualnie obowiązującym stanie prawnym, dwa przepisy kodeksu karnego, art. 268 § 2 oraz art. 268a, wprowadzają karalność zachowania polegającego na naruszeniu integralności komputerowego zapisu informacji. Zasadnicza różnica pomiędzy tymi przepisami sprowadza się do opisu przedmiotu, którego czyn dotyczy – w przypadku art. 268 § 2 k.k. jest to „informacja zapisana na komputerowym nośniku informacji”, podczas gdy art. 268a k.k. posługuje się pojęciem szerszym „danych informatycznych”. W prawie międzynarodowym, zarówno Konwencja o cyberprzestępczości, jak i Decyzja ramowa, nakazują penalizowanie zachowania polegającego na naruszeniu integralności komputerowego zapisu informacji (art. 4). Przestępstwo sabotażu komputerowego, stypizowane w art. 269 k.k., zapewnia prawnokarną ochronę tylko niektórych rodzajów informacji – przedmiotem ochrony są 13

Ustawa z dnia 28 października 2002 r. o odpowiedzialności karnej podmiotów zbiorowych (Dz. U. Nr 197, poz. 1661 z późn. zm.)

5

bowiem wyłącznie dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego. Ochrona dotyczy tylko danych gromadzonych na komputerowych nośnikach informacji lub przekazywanych, przesyłanych i przetwarzanych za pomocą urządzeń automatycznych14 (czynność sprawcza określona została jako niszczenie, uszkadzanie, usuwanie lub zmienianie albo zakłócanie lub uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania danych). Sprawca poniesie odpowiedzialność karną na podstawie art. 269 § 1 lub 2 k.k. w sytuacji, gdy m.in.: a) dojdzie do zakłóceń lub uniemożliwienia automatycznego gromadzenia lub przekazywania informacji chronionej przez te przepisy oraz b) sprawcy będzie można postawić zarzut, że wywołanie tego rodzaju następstw przewidywał i co najmniej godził się na nie15. Przepis ten jednakże nie obejmuje zachowań polegających na atakach DoS (denial of service) w sytuacji, w której kierowane są one przeciwko serwerom należącym do podmiotów prawa prywatnego. Stąd, w wyniku nowelizacji przepisów k.k. z 2004 r. ustawodawca zdecydował się na rozszerzenie katalogu zachowań uznanych za czyn zabroniony. I tak, zgodnie z art. 269a k.k., zagrożone karą pozbawienia wolności do lat 5 jest zakłócenie pracy systemu komputerowego lub sieci teleinformatycznej w istotnym stopniu przez nieuprawnioną transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych. Obecnie więc każda postać ataków DoS, posługiwanie się złośliwym oprogramowaniem typu Worm, czy ataki typu e-mail bombing, niezależnie od tego, przeciwko komu będą skierowane, stanowią przestępstwo. Przestępstwa fałszerstwa komputerowego są penalizowane w sposób ogólny poprzez regulację przestępstw przeciwko wiarygodności dokumentów. W pierwszej kolejności należy wymienić przestępstwo fałszerstwa komputerowego zapisu informacji stanowiącego dokument, tj. czyn stypizowany w art. 270 § 1 k.k. Obecnie bowiem, każda ingerencja w treść dokumentu elektronicznego polegająca na jego podrobieniu lub przerobieniu przez osobę do tego nieuprawnioną i działającą w zamiarze bezpośrednim posłużenia się tym dokumentem jako autentycznym wyczerpuje znamiona z art. 270 § 1 k.k.16. Po drugie, niszczenie, uszkadzanie, czynienie bezużytecznym, ukrywanie lub usuwanie dokumentu elektronicznego, którym sprawca nie ma prawa wyłącznie rozporządzać17, stanowi czyn zabroniony z art. 276 k.k. Po trzecie, wraz ze wzrostem znaczenia handlu elektronicznego i transakcji zawieranych w Internecie, rośnie także ryzyko dla bezpieczeństwa kart płatniczych, stanowiących główny środek płatności w tego rodzaju transakcjach. W szczególności, coraz powszechniejszym zjawiskiem staje się wyłudzanie numerów 14

Monitor Prawniczy 1998 nr 10: Przestępstwa przeciwko ochronie informacji, R. Zakrzewski, 1998 Prawo karne komputerowe, A. Adamski, 2000 16 Prawo karne komputerowe, A. Adamski, 2000 15

17

6

Brak prawa do wyłącznego rozporządzania dokumentem ma miejsce wówczas, gdy: 1) Jest to dokument cudzy; 2) Dokument stwierdza istnienie jakichkolwiek praw lub obowiązków nie tylko sprawcy, lecz także innej osoby (innych osób), z tym jednak, iż jest to jedyny egzemplarz dokumentu. W wypadku, gdy każdy z uprawnionych posiada swój egzemplarz dokumentu, zachowanie określone w przepisie nie stanowi przestępstwa; 3) Dokument został komuś powierzony na przechowanie, wyłączając prawo tej osoby do wyłącznego rozporządzania nim; 4) Dokument został złożony organowi władzy publicznej.

kart płatniczych (jedna z postaci phishingu), jak również przechwytywanie w inny sposób numerów kart kredytowych (płatniczych). Jeżeli działanie sprawcy opiera się na uzyskiwaniu tych informacji w sposób nielegalny za pomocą urządzenia, wbrew woli posiadacza karty, wówczas powinno być kwalifikowane na podstawie art. 267 § 2 k.k. Jeżeli natomiast dane karty podawane są dobrowolnie, w wyniku posłużenia się stroną internetową oznaczoną jako bezpieczna lub wiadomością elektroniczną, wówczas działanie sprawcy może wyczerpywać znamiona przestępstwa z art. 286 lub 287 k.k. Podkreślić przy tym należy, iż – niezależnie od sposobu działania sprawcy w celu zdobycia danych karty kredytowej (płatniczej) – stanowi przestępstwo z art. 310 § 1 lub § 2 k.k. wprowadzania do obiegu sfałszowanych kart płatniczych (także wtedy, gdy sprawca posługuje się kartą w sieci Internet), a także ich przyjmowanie, przechowywanie, przewożenie, przenoszenie, przesyłanie albo pomaganie do ich zbycia lub ukrycia. Wśród przestępstw przeciwko wiarygodności dokumentów wymienić również należy – stypizowane w art. 47 Ustawy o podpisie elektronicznym18 – przestępstwo składania bezpiecznego podpisu elektronicznego za pomocą danych służących do składania podpisu elektronicznego, które zostały przyporządkowane do innej osoby (posłużenie się bezpiecznym podpisem elektronicznym przyporządkowanym do innej osoby). Przestępstwo to zagrożone jest karą grzywny, pozbawienia wolności do lat 3, albo obiema karami łącznie. W prawie polskim, przestępstwa oszustwa komputerowego może dopuścić się każdy, kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych (art. 287 k.k.). W praktyce, oszustwa komputerowe przyjmują jedną z trzech postaci: • manipulowanie danymi wprowadzanymi do systemu (input manipulation); • manipulowanie programem komputerowym (program manipulation); oraz • manipulowanie rezultatami przetwarzanych danych (output manipulation)19. W pierwszym przypadku, działanie ogranicza się do wprowadzenia do systemu nieprawdziwych danych, w celu uzyskania korzyści majątkowej (np. zlecenie przez pracownika banku dokonania elektronicznego przelewu na własny rachunek bankowy). W drugim przypadku, sprawca manipuluje istniejącym programem komputerowym w ten sposób, aby wykonywał on dodatkowe operacje, umożliwiające dokonywanie nadużyć (np. zmodyfikowanie programu służącego do obliczania sald na rachunkach bankowych w ten sposób, aby zaokrąglał salda zawsze „w dół”, jednocześnie przelewając nadwyżki na ustalony rachunek bankowy sprawcy). Natomiast w trzecim przypadku, sprawca manipuluje rezultatami przetwarzania danych, co pozwala mu na osiąganie korzyści majątkowych. Narażenie abonenta20 bądź operatora telekomunikacyjnego na szkodę majątkową w wyniku włączenia się do urządzenia telekomunikacyjnego i uruchomienia impulsów telefonicznych na cudzy rachunek stanowi przestępstwo z art. 285 § 1 k.k. i zagrożone jest karą pozbawienia wolności do lat 3. Włączenie się do urządzenia telekomunikacyjnego może przybrać postać fizycznej ingerencji w integralność urządzenia (np. przecięcie przewodów i podłączenie się do .

19

Por. United Nations Manual on the Prevention and Control of Computer-Related Crime, United Nations, 1994 20 Przez pojęcie abonenta należy rozumieć podmiot będący stroną zawartej na piśmie umowy o świadczenie usług telekomunikacyjnych – por. art. 2 pkt 1 PT.

7

linii telefonicznej21), bądź ingerencji logicznej, tj. ingerencji w oprogramowanie stanowiące integralną część urządzenia. W szczególności ta druga z postaci związana jest z działalnością phreakerów, tj. osób korzystających z usług telekomunikacyjnych na cudzy rachunek. Poza zakresem zastosowania tego przepisu pozostaje natomiast praktyka posługiwania się tzw. dialerami, tj. oprogramowaniem instalowanym bez wiedzy osoby korzystającej z sieci Internet, które następnie zrywa istniejące połączenie modemowe i nawiązuje w zamian połączenie z siecią Internet charakteryzujące się znacznie większymi kosztami (np. za pośrednictwem zagranicznego operatora telekomunikacyjnego). Takie zachowanie sprawców wyczerpuje znamiona oszustwa komputerowego i może być również kwalifikowane z art. 287 § 1 k.k. Przestępczość internetowa polegająca na tzw. kradzieży tożsamości (Identity theft) nieodzownie związana jest z przetwarzaniem danych osobowych. Podstawowym założeniem sprawców jest bowiem pozyskiwanie jak największej ilości danych osobowych, które następnie wykorzystywane są w celu popełniania kolejnych czynów zabronionych. U.o.d.o. zabrania w art. 49 pod groźbą kary przetwarzania danych osobowych w zbiorze danych w sytuacji, w której takie przetwarzanie jest niedopuszczalne, albo gdy osoba, która te dane przetwarza, nie jest uprawniona do takiego postępowania. Do niedozwolonego przetwarzania danych osobowych dochodzi zwłaszcza wówczas gdy nie zachodzi żadna z przesłanek wskazanych w art. 23 ust. 1 u.o.d.o. lub – w stosunku do tzw. danych wrażliwych – w art. 27 ust. 2 u.o.d.o. Warunkiem koniecznym odpowiedzialności za czyn z art. 49 u.o.d.o. jest działanie na zbiorze danych osobowych22 - zbieranie, czy innego rodzaju posługiwanie się cudzymi danymi osobowymi nie jest wystarczające dla wyczerpania znamion przestępstwa z art. 49 ust 1 u.o.d.o. Jeżeli jednak sprawca phishingu, bądź Identity theft przechowuje zebrane informacje o charakterze danych osobowych w formie zorganizowanej (w bazie danych), wówczas można mu – w zbiegu z zarzutem z art. 267 § 1 lub § 2 – postawić zarzut przetwarzania danych osobowych bez podstawy prawnej. Jeżeli natomiast sprawca posługuje się techniką wyłudzania dobrowolnie podawanych danych osobowych, np. poprzez odpowiednio spreparowane strony internetowe, wówczas – zakładając, że podszywa się w ten sposób pod znaną pokrzywdzonemu instytucję, nie ujawniając własnej tożsamości – naraża się na zarzut popełnienia czynu zabronionego z art. 54 u.o.d.o. Przestępstwo z art. 54 u.o.d.o. dotyczy zaniechania wykonanie obowiązków informacyjnych, polegających m. in. na obowiązku ujawnienia tożsamości i adresu administratora danych osobowych już w chwili zbierania tychże danych. Odrębną grupę przestępstw związanych z sieciami teleinformatycznymi stanowią przestępstwa nieautoryzowanego korzystanie z treści (informacji), do których dostęp jest blokowany za pomocą urządzeń technicznych. Zabezpieczenia tego rodzaju są stosowane przez uprawnione podmioty z uwagi na łatwość zwielokrotniania i rozpowszechniania różnego rodzaju informacji, stanowiących dobra niematerialne, w 21

Por. Przestępstwa telekomunikacyjne, M. Rogalski, 2006 Przez pojęcie zbioru danych rozumie się każdy, posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie – por. art. 7 pkt 1 u.o.d.o. 22

8

sieciach teleinformatycznych. Zapewnienie ochrony tego rodzaju mechanizmom technicznym przewidują przepisy zawarte w dwóch odrębnych aktach prawnych: ustawie o prawie autorskim i prawach pokrewnych oraz ustawie o ochronie niektórych usług świadczonych drogą elektroniczną opartych lub polegających na dostępie warunkowym. Środki ochrony prawnokarnej wskazane zostały w szczególności w art. 6 i 7 ustawy o dostępie warunkowym, w których wprowadzono nowe typy przestępstw polegających na: wytwarzaniu lub wprowadzaniu do obrotu urządzeń niedozwolonych (art. 6) albo ich posiadaniu i używaniu (art. 7). Art. 118 ust. 1 prawa autorskiego wprowadza zakaz wytwarzania, obrotu oraz reklamy w celu sprzedaży lub najmu „urządzeń i ich komponentów”, służących do usuwania „skutecznych zabezpieczeń technicznych”, zdefiniowanych w art. 6 pkt 11 tejże ustawy. Przestępstwem z art. 118 ust. 1 jest również posiadanie, przechowywanie lub wykorzystywanie takich urządzeń lub komponentów. Jednakże poza regulacją art. 118 ust. 1 pozostają środki służące usuwaniu zabezpieczeń technicznych nie mające charakteru „fizycznego” mechanizmu, a więc nie będące „urządzeniem” lub jego „komponentem”, takie jak wyspecjalizowane programy komputerowe, fałszywe „kody seryjne” czy hasła dostępu. Omawiając kwestie naruszeń prawa w Internecie, należy wspomnieć o przesyłanych informacjach handlowych, takich jak bannery czy pop-up windows. Z uwagi na fakt, iż takie informacje handlowe kierowane są do nieoznaczonego kręgu odbiorców nie naruszają one zakazu, o którym mowa w art. 24 USUDE. Stosowanie tych form reklamy może jednak stanowić czyn nieuczciwej konkurencji na podstawie ustawy o zwalczaniu nieuczciwej konkurencji23. Niezależnie od powyższego, art. 172 Prawa telekomunikacyjnego zakazuje używania automatycznych systemów wywołujących dla celów marketingu bezpośredniego bez uzyskania uprzedniej zgody abonenta lub użytkownika końcowego. Egzekwowanie tego zakazu zapewnia art. 209 ustawy, przewidując możliwość nałożenia przez Prezesa UKE kary pieniężnej na podmiot, który takiej zgody nie uzyskał. Podobnie, kara pieniężna może zostać nałożona za przetwarzanie danych objętych tajemnicą telekomunikacyjną w zakresie niezgodnym z art. 165 Prawa telekomunikacyjnego. Również art. 6 ust. 3 ustawy o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny zakazuje posługiwania się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy bez uprzedniej zgody konsumenta. Przedstawiony powyżej stan prawny wskazuje na istnienie niejednolitej regulacji naruszeń bezpieczeństwa w sieci oraz skutkuje rozproszeniem kompetencji organów zajmujących się spamem i spyware. Przegląd instytucjonalny: Ministerstwo Transportu i Budownictwa bierze udział w kreowaniu polityki telekomunikacyjnej państwa, uwzględniając potrzeby rozwoju społeczeństwa informacyjnego. Resort opracowuje założenia i programy realizacji polityki w zakresie techniki telekomunikacyjnej oraz sprawuje nadzór merytoryczny nad całokształtem 23

Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 2003 r. Nr 153, poz.1503)

9

zagadnień z tym związanych, w tym infrastrukturą na potrzeby społeczeństwa informacyjnego. Szczególny nacisk Ministerstwo kładzie na stworzenie warunków do rozwoju dostępu do sieci Internet oraz nowoczesnych, tanich i szybkich sieci teleinformatycznych opartych na urządzeniach radiowych. Należy jednak wyraźnie zaznaczyć, że Minister Transportu i Budownictwa nie posiada w zakresie spamu żadnych kompetencji kontrolnych. Prezes Urzędu Komunikacji Elektronicznej jest centralnym organem administracji rządowej, do którego zadań należy m.in. wykonywanie, przewidzianych ustawą Prawo telekomunikacyjne i przepisami wydanymi na jej podstawie, zadań z zakresu regulacji i kontroli rynków usług telekomunikacyjnych. Ponadto, Prezes Urzędu Komunikacji Elektronicznej jest uprawniony do kontroli przestrzegania przepisów, decyzji oraz postanowień z zakresu telekomunikacji. W związku z powyższym, Prezes UKE może być uznany za organ właściwy w sprawach przestrzegania obowiązków dotyczących przetwarzania danych transmisyjnych przez operatorów publicznej sieci telekomunikacyjnej lub dostawców publicznie dostępnych usług telekomunikacyjnych, określonych w art. 165 Prawa telekomunikacyjnego oraz innych przepisach telekomunikacyjnych, stanowiących implementację Dyrektywy 2002/58/WE. Prezes Urzędu Ochrony Konkurencji i Konsumentów jest centralnym organem administracji rządowej właściwym w sprawach ochrony konkurencji i konsumentów działającym w interesie publicznym. Zakres kompetencji tego organu określa ustawa o ochronie konkurencji i konsumentów24. W trybie przepisów ustawy Prezes UOKiK działając w interesie publicznym, podejmuje stosowne działania m.in. w sytuacji praktyk naruszających zbiorowe interesy konsumentów. Ponadto, zgodnie z art. 18 ustawy o zwalczaniu nieuczciwej konkurencji, w razie dokonania przez przedsiębiorcę czynu nieuczciwej konkurencji zagrażającego lub naruszającego interesy konsumentów, Prezes UOKiK może wystąpić z następującymi roszczeniami: a) zaniechania niedozwolonych działań, b) usunięcia skutków niedozwolonych działań, c) złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i w odpowiedniej formie, d) zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny związany ze wspieraniem kultury polskiej lub ochroną dziedzictwa narodowego, jeżeli czyn nieuczciwej konkurencji był zawiniony. Prezes UOKiK może więc występować do przedsiębiorców (co powoduje, że wysyłające spam osoby fizyczne nie będące przedsiębiorcami pozostają poza katalogiem podmiotów, przeciwko którym Prezes UOKiK może wystąpić) przesyłających niezamówione informacje handlowe skierowane do konsumentów za pomocą środków komunikacji elektronicznej, z roszczeniami określonymi w art. 19 ust. 1 pkt. 3 ustawy o zwalczaniu nieuczciwej konkurencji. Regulacja ta nie daje podstaw do ochrony zagrożonego lub naruszonego interesu konkretnego konsumenta, a dotyczy tzw. zbiorowych interesów konsumentów. Ponadto, zgodnie z przepisami ustawy o ochronie konkurencji i konsumentów, Prezes UOKiK może prowadzić postępowania w sprawach praktyk naruszających zbiorowe interesy konsumentów. Adresatem regulacji ustawy o ochronie konkurencji i konsumentów są przede wszystkim przedsiębiorcy. To ich zachowania stanowią przedmiot restrykcji wynikających z ustawy, stanowiąc bądź to określoną formę 24

Ustawa z dnia 15 grudnia 2000 r. o ochronie konkurencji i konsumentów24 (Dz. U. z 2005 r., Nr 244, poz. 2080.

10

praktyki ograniczającej konkurencję, bądź też koncentrację. Na uwagę zasługuje zarazem szeroki zakres podmiotowy pojęcia "przedsiębiorca" przyjęty przez wspomnianą ustawę, obejmujący także takie podmioty, które na gruncie innych przepisów nie są przedsiębiorcami, czyli jednostkami we własnym imieniu prowadzącymi działalność gospodarczą. Adresatami obowiązków wynikających z ustawy antymonopolowej nie są natomiast konsumenci. W związku tym, powyższa ustawa nie przewiduje możliwości rozpatrywania przez Urząd Ochrony Konkurencji i Konsumentów indywidualnych skarg konsumenckich, w tym także dotyczących przesyłania niezamówionej informacji handlowej. Generalny Inspektor Ochrony Danych Osobowych jest organem właściwym do spraw ochrony danych osobowych. Zgodnie z ustawą o ochronie danych osobowych do zadań Generalnego Inspektora należy w szczególności: a) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, b) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, c) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych. Zasady przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną zostały określone w rozdziale 4 USUDE i stanowią lex specialis w stosunku do zasad ogólnych określonych w ustawie o ochronie danych osobowych. Zgodnie z nimi, w przypadku przetwarzania danych osobowych na cele reklamy, konieczne jest dysponowanie zgodą usługobiorcy (art. 19 ust. 2 pkt 2 USUDE). Przetwarzaniem danych osobowych na cele reklamy bezspornie jest przesyłanie informacji handlowej do osoby, której tożsamość może ustalić usługodawca. Oczywisty wydawałby się w związku z tym wniosek, że w przypadku przesyłania tego rodzaju komunikatów bez zgody odbiorcy przekazu (podmiotu danych osobowych), dochodzi do naruszenia przepisów dotyczących ochrony danych osobowych. Należy jednak zauważyć, że zgodnie z treścią art. 16 USUDE, przepisy rozdziału 4 stosuje się tylko w przypadku przetwarzania danych osobowych w związku ze świadczeniem usług drogą elektroniczną. Z uwagi na powyższe, przesyłanie niezamówionej informacji handlowej nie stanowi świadczenia usług drogą elektroniczną, co powoduje, iż podmiotowi przesyłającemu niezamówioną informację handlową nie można postawić zarzutu równoczesnego naruszenia przepisów o ochronie danych osobowych określonych w ustawie o świadczeniu usług drogą elektroniczną. Powyższe nie wyklucza jednak kompetencji Generalnego Inspektora Ochrony Danych Osobowych do interweniowania w sprawach, gdy dochodzi do przetwarzana adresów poczty elektronicznej osób fizycznych mających charakter danych osobowych, w sytuacji przesyłania niezamówionej informacji handlowej przy użyciu poczty elektronicznej. Pojęcie „przetwarzania danych osobowych” zdefiniowane zostało w ustawie o ochronie danych osobowych jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Z uwagi na jednoznaczne odwołanie się w art. 16 USUDE do przepisów ustawy o ochronie danych osobowych, należy przyjąć że pojecie danych osobowych na gruncie ustawy o świadczeniu usług drogą elektroniczną powinno być interpretowane zgodnie z definicją zawartą w art. 6 ustawy o ochronie danych osobowych. Przez dane osobowe należy rozumieć w szczególności wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Zgodnie z powyższą definicją, danymi osobowymi są te informacje, które daje się powiązać z konkretną osobą fizyczną, a zatem dają możliwość jej

11

identyfikacji. Adresy poczty elektronicznej mogą mieć charakter danych osobowych, jeżeli umożliwiają identyfikację danej osoby w oparciu o samą treść informacji zawartych w ich oznaczeniu. Ponadto należy uznać, że adres poczty elektronicznej będzie zawsze stanowił daną osobową dla dostawcy usług obsługującego dane konto pocztowe. Będzie również miał charakter danej osobowej dla tego, kto przetwarza go łącznie z innymi danymi, z którymi adres może być zestawiony, i w ten sposób może prowadzić do identyfikacji danej osoby fizycznej. Przepisy ustawy o ochronie danych osobowych zezwalają Generalnemu Inspektorowi Ochrony Danych Osobowych na kontrolę zgodności przetwarzania danych z przepisami o ochronie danych w odniesieniu do osób fizycznych i osób prawnych oraz jednostek organizacyjnych nie będących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową lub zawodową – które mają siedzibę albo miejsce zamieszkania w państwie nie należącym do Europejskiego Obszaru Gospodarczego. CERT Polska jest jednostką powołaną do reagowania na zdarzenia naruszające bezpieczeństwo w sieci Internet. Zespół ten działa w ramach Naukowej i Akademickiej Sieci Komputerowej, będącej jednostką badawczo-rozwojową, stanowiącą własność Skarbu Państwa. Do zadań CERT Polska należy: • alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń, • współpraca z innymi zespołami IRT (Incidents Response Team) w ramach FIRST, • prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego, • prowadzenie badań i przygotowanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu, • niezależne testowanie produktów i rozwiązań rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci, • prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk. Jak wynika z powyższego, CERT Polska nie posiada prawnych instrumentów do zwalczania naruszeń prawa w sieci. Przedstawiony powyżej katalog organów i ich kompetencji wskazuje, że nie są one uprawnione do ścigania i nakładania kar na sprawców naruszeń prawa w Internecie. Na ogólnych zasadach uprawnienia takie posiada Prokuratura i Policja. Obecnie działania organów ścigania koncentrują się na ściganiu takich przestępstw, jak włamania do systemów komputerowych, kradzież informacji, rozpowszechnianie zabronionych treści, wyłudzanie towarów na podstawie wygenerowanych numerów kart płatniczych, fałszowanie kart, nielegalna produkcja i dystrybucja chronionych utworów, kradzież impulsów telefonicznych i klonowanie kart do telefonów komórkowych. Mimo to działania te - ze względu na specyfikę tzw. „przestępczości komputerowej” wydają się niewystarczające. Naruszenia te wymagają bowiem niezwykle szybkiej reakcji polegającej na zabezpieczeniu dowodów elektronicznych, ich analizie, łączeniu postępowań dotyczących podobnych przypadków. Tymczasem brak jest obecnie jednostki, która uposażona byłaby w wyspecjalizowaną kadrę i odpowiednie środki techniczne do skutecznego ścigania tych przestępstw. Na podstawie art. 312 k.k. uprawnienia Policji w ramach śledztwa lub dochodzenia mogą zostać przyznane także innym organom na podstawie przepisów

12

szczególnych. Obecnie przysługują one m.in. Państwowej Straży Łowieckiej oraz Straży Leśnej. Istnienie takiej jednostki wykonujące zadania w zakresie spamu umożliwiłoby rozpoczęcie faktycznego zwalczania zjawiska spamu w Polsce. 3. Propozycje rozwiązań Proponowaną regulacją objęte będą następujące obszary: - doprecyzowanie definicji spamu, przy jednoczesnej potrzebie dyskusji nad rozszerzeniem zakresu przedmiotowego regulacji; - przekształcenie wykroczenia w przestępstwo lub wprowadzenie odpowiedzialności administracyjnej; - rozszerzenie zakresu podmiotowego regulacji i uwzględnienie podmiotów, na zlecenie których prowadzone są tego typu działania; - zdefiniowanie zjawiska tzw. pop-up windows i uznanie ich w świetle ustawy za czyn nieuczciwej konkurencji (reklama uciążliwa) w rozumieniu ustawy o zwalczaniu nieuczciwej konkurencji; - zlokalizowanie zadań w zakresie koordynacji zwalczania spamu przy Prezesie UKE. Dodatkowo należy podjąć próbę stworzenia procedur i instrumentów do skutecznej walki ze zjawiskami malware. W wyniku faktycznego braku wykonalności obecnie obowiązujących przepisów w zakresie ścigania i karania wykroczenia polegającego na przesyłaniu niezamówionych informacji handlowych, proponuje się przekształcenie wykroczenia w przestępstwo lub wprowadzenie kar administracyjnych oraz wprowadzenie kompetencji do prowadzenia postępowań administracyjnych zmierzających do zidentyfikowania i ukarania podmiotów naruszających przepisy ustawy. Raport opracowany przez KPMG na zlecenie MTiB dotyczący deliktów w sieci Internet potwierdza konieczność dokonania przeglądu i zmian obowiązujących przepisów. Rozwiązanie I Proponuje się powierzenie zadań zbierania i przetwarzania informacji o naruszeniach w sieci Internet Prezesowi UKE. Kompetencje tego organu będą się ograniczały wyłącznie do technicznej analizy zarówno doniesień jak i samodzielnie stwierdzonych naruszeń. W celu realizacji ww. zadań, przy Prezesie UKE utworzony zostanie tzw. spambox – punkt przyjęć doniesień drogą elektroniczną za pośrednictwem poczty elektronicznej. Dodatkowo Prezes UKE prowadził będzie na swoich witrynach internetowych aktualizowany serwis informacyjny o naruszeniach w sieci i informujący o sposobie ich zgłaszania (a zatem nie tylko spam, ale również informacje o wirusach, robakach internetowych etc.). Procedura wszczynana będzie zarówno poprzez złożenie zawiadomienia jak i z urzędu. Zgłaszający otrzyma informację zwrotną o jego przyjęciu. Ponieważ skuteczność późniejszej analizy informacji uzależniona jest od przekazania przypadku spamu w określonej formie, spambox prześle do zgłaszającego informację zwrotną o wymogach zgłoszenia. Informacje o wymogach zgłoszenia zostaną zamieszczone także na stronie internetowej. Zgłoszenie podlegać będzie analizie technicznej i prawnej. W przypadku, gdy naruszenie będzie dotyczyć danych osobowych, nowo powołana jednostka

13

przekazywać będzie zebraną dokumentację do GIODO; w przypadku gdy na podstawie zebranego materiału zajdzie podejrzenie naruszenia przepisów ustawy o ochronie konkurencji i konsumentów – dokumentacja przekazana zostanie do UOKiK. W przypadku, gdy analiza naruszenia wykaże, że wyczerpuje ono znamiona wykroczenia bądź przestępstwa – nastąpi przekazanie materiałów organom ścigania w drodze zawiadomienia o popełnieniu wykroczenia bądź przestępstwa. W przypadku stwierdzenia, iż źródło naruszeń prawa w Internecie znajduje się poza granicami kraju - zgromadzone informacje zostaną przesłane do analogicznych spamboxów w innych państwach. Na podstawie przepisów ustawowych UKE będzie mogło powierzyć techniczną realizację niektórych zadań podmiotowi zewnętrznemu w trybie zlecenia wykonania zadań publicznych. Jednocześnie w drodze ustawy należy określić zasady ścisłej współpracy pomiędzy Prezesem UKE, Prezesem UOKiK, GIODO i organami ścigania. Ponadto w ustawie należy określić zasady współpracy z dostawcami usług internetowych, a w szczególności ich obowiązki w zakresie dostarczania informacji nowo utworzonej jednostce – w tym zakresie należy rozważyć wprowadzenie dla wszystkich dostawców usług internetowych obowiązku utworzenia tzw. abuse25. Powierzenie zadań z zakresu spamu i innych naruszeń w sieci Internet jednemu organowi i wyraźne wskazanie Prezesa UKE jako organu odpowiedzialnego w tym zakresie, pozwoli na faktyczną realizację koordynacji w zakresie spamu w Polsce. Jednocześnie, prowadzone przez Prezesa UKE analizy (z wykorzystaniem zewnętrznej jednostki posiadającej kompetencje techniczne) będą mogły stanowić gotowy materiał dowodowy w poszczególnych postępowaniach. W materiale tym będzie wskazane źródło wysyłania spamu (i dookreślenie, czy nadawca jest ewentualną częścią botnetu), jak również wszystkie zidentyfikowane przypadki jego przesłania, tak by były one przedmiotem jednego postępowania. Materiał ten będzie miał moc dowodową w postępowaniu karnym, postępowaniu w sprawach o wykroczenia oraz w postępowaniu administracyjnym, tak by nie było konieczne powoływanie w toku tych postępowań dodatkowych opinii biegłych. Po przekazaniu materiałów kompetentnym organom, do zgłaszającego wysyłana będzie informacja o sposobie załatwienia sprawy. Niezależnie od powyższej procedury, utworzona jednostka będzie stale współpracować z podobnymi jednostkami w innych państwach w zakresie wymiany informacji, doświadczeń oraz wypracowania kodeksów dobrych praktyk. W chwili obecnej i w świetle obecnie obowiązujących przepisów nie ma w Polsce organu wyraźnie odpowiedzialnego za taką współpracę. Rozwiązanie II W celu skutecznego ścigania zjawiska spamu (i w konsekwencji tzw. malware) proponuje się powierzenie zadań zwalczania spamu Prezesowi UKE, który – wykorzystując posiadane przez siebie służby inspekcyjne - będzie zajmować się nie 25

Abuse (po angielsku znaczy to tyle co "nadużycie") to termin oznaczający wykorzystanie czegoś niezgodnie z prawem lub przeznaczeniem. Sformułowanie to upowszechniło się w dobie Internetu słowo "abuse" stało się zwyczajową nazwą działu funkcjonującego w strukturze podmiotów zajmujących się świadczeniem usług internetowych lub administrowaniem serwerami, odpowiedzialnego za przyjmowanie i rozpatrywanie zgłoszeń dotyczących wszelkich nadużyć, naruszania prawa (np. dystrybuowania spamu lub wirusów) czy też łamania tzw. netykiety. Przyjęło się, że z tzw. "abuse'm" danej firmy kontaktujemy się poprzez adres "abuse@domenafirmy.

14

tylko techniczną analizą zgłaszanych i stwierdzonych samodzielnie przypadków naruszeń prawa w Internecie (jak w rozwiązaniu I), ale będzie również upoważniony do prowadzenia postępowań i nakładania kar pieniężnych na podmioty wysyłające spam (i ewentualnie malware). W przypadkach innych naruszeń prawa w Internecie, materiały z gotową analizą źródeł naruszeń będą przesyłane właściwym podmiotom. Polskiemu systemowi prawnemu nie są obce tego typu rozwiązania – wskazać należy w tym miejscu np. Inspekcję Transportu Drogowego działającą na podstawie przepisów ustawy z dnia 6 września 2001 r. o transporcie drogowym. Wskazać należy, że UKE posiada lokalne oddziały, których lokalizacja zapewnia szybkie reagowanie na naruszenia. W niniejszym rozwiązaniu proponuje się potraktowanie zjawiska wysyłania spamu jako naruszenia przepisów ustawy, zagrożonego karą administracyjną w wysokości od 100 zł do 50.000 zł. Z uwagi na upoważnienie Prezesa UKE do penalizacji tego rodzaju zjawisk, konieczne jest wyposażenie pracowników UKE w odpowiednie kompetencje do prowadzenia kontroli w miejscach, w których zidentyfikowano źródło spamu (część z tych kompetencji przewiduje obecnie ustawa – Prawo telekomunikacyjne, konieczne jest natomiast uprawnienie do prowadzenia kontroli wobec osób fizycznych i prawnych nie będących przedsiębiorcami telekomunikacyjnymi). W konsekwencji funkcjonariusze UKE będą mieli prawo wstępu do pomieszczeń (w tym należących do osób fizycznych) wglądu do dokumentacji, jak i sprzętu komputerowego, sporządzania notatek, zapisów informacji, jak również zabezpieczania przedmiotów mogących stanowić dowód w postępowaniu. Kontrola będzie odbywać się w obecności osób uprawnionych, z poszanowaniem zasad prawa dotyczących ochrony prywatności i miru domowego. W celu skutecznego przeprowadzania czynności pracownicy Inspekcji będą mieli możliwość korzystania z pomocy Policji oraz innych służb mundurowych. Postępowanie prowadzone będzie na podstawie Kodeksu postępowania administracyjnego, z zastrzeżeniem wyjątków wskazanych w ustawie (czyli skrócenie terminów na załatwienie sprawy z uwagi na środowisko technologiczne, w którym zjawiska mają miejsce). Materiały zgromadzone przez UKE będą miały moc dowodową we wszelkich postępowaniach. W przypadku stwierdzenia naruszenia ustawy polegającego na świadomym wysyłaniu spamu, nakładana będzie na zidentyfikowany podmiot w drodze decyzji administracyjnej kara pieniężna. Będzie ona natychmiast wykonalna, a w przypadku jej niewykonania stosować się będzie na ogólnych zasadach przepisy o egzekucji administracyjnej. Od decyzji będzie służyło odwołanie do Sądu Ochrony Konkurencji i Konsumentów.

Aprobował:

15