Opublikowano Kategorie cyberbezpieczeństwo, spory

Czy Apple musiałby złamać zabezpieczenia iPhone’a na wezwanie polskich śledczych?

Zgodnie z polskim Kodeksem postępowania karnego dysponent danych informatycznych ma obowiązek wydać dane, np. dotyczące użytkownika danego urządzenia, na żądanie odpowiednich organów. Ale czy dotyczy to wyłącznie danych niezaszyfrowanych, czy również danych zaszyfrowanych, czyli takich, których uzyskanie wymagałoby przełamania zabezpieczeń własnego oprogramowania? Prześledźmy to na przykładzie niedawnej głośnej sprawy Apple Inc.

Czego żądano od Apple?

Na początku grudnia 2015 r. w San Bernardino w Kalifornii doszło do ataku terrorystycznego, którego sprawcy zginęli podczas policyjnego pościgu. Służby, próbując ustalić tożsamość innych osób powiązanych z atakiem, chciały uzyskać dostęp do odnalezionego telefonu jednego z zamachowców – wyprodukowanego przez Apple iPhone’a 5C z systemem iOS 9. System telefonu był jednak zabezpieczony przez czterocyfrowy kod, a po dziesięciu nieprawidłowych próbach jego wpisania system telefonu nieodwracalnie blokował dostęp do zaszyfrowanych na nim danych.

W związku z tym rząd amerykański wystąpił do sądu z wnioskiem o nakazanie Apple udzielenia pomocy przy złamaniu zabezpieczeń telefonu. FBI oczekiwało, że Apple opracuje program (aktualizację istniejącego oprogramowania telefonu), który wyłączy ww. zabezpieczenia i umożliwi podjęcie nieograniczonej liczby prób złamania kodu. Po uzyskaniu danych przez FBI Apple mógłby usunąć nowe oprogramowanie.

Sąd pierwszej instancji nakazał Apple udzielenie takiej pomocy (reasonable technical assistance), co Apple zaskarżył. W międzyczasie jednak znalazła się firma, która była w stanie złamać zabezpieczenia, w związku z czym postępowanie w sprawie wniosku przeciwko Apple umorzono.

Gdyby takie postępowanie miało być prowadzone w Polsce

Jak wyglądałoby analogiczne postępowanie, gdyby to w naszym kraju miała miejsce podobna sytuacja? Czy w ogóle polskie przepisy dawałyby prawo do żądania takich zaszyfrowanych danych?

Od strony formalnej wydaje się, że śledczy nie potrzebowaliby postanowienia sądu – wystarczyłoby postanowienie wydane przez prokuratora prowadzącego śledztwo, skierowane do producenta oprogramowania. Po jego wydaniu prokurator zapewne musiałby zwrócić się do odpowiednich organów amerykańskich o przekazanie go Apple w ramach międzynarodowej pomocy prawnej w sprawach karnych, udzielanej na podstawie odpowiedniej umowy między Rzeczpospolitą a Stanami Zjednoczonymi.

Postanowienie prokuratora jako podstawę mogłoby wskazywać art. 217 § 1 w zw. z art. 236a Kodeksu postępowania karnego, znajdujące się w rozdziale normującym wydanie, przymusowe odebranie oraz zatrzymanie rzeczy. Omawiane przepisy stosuje się bowiem nie tylko do rzeczy, ale też m.in. do wydania, odebrania i zatrzymania danych informatycznych przechowywanych w urządzeniu, systemie lub na nośniku. Na tej podstawie organy ścigania mogą żądać od dysponenta systemu informatycznego albo od użytkownika, przykładowo, wykazu połączeń czy zapisu poszczególnych wiadomości. Dysponent w rozumieniu tych przepisów to osoba upoważniona do rozporządzania systemem według swego uznania, np. właściciel systemu czy jego administrator. System musi być w zasięgu dysponenta, natomiast nie musi się znajdować w jego fizycznym władaniu, co oznacza, że można dane uzyskać zdalnie [1].

Czy prokurator mógłby zażądać stworzenia programu?

Nie można wykluczyć, że Apple byłby uznany za takiego dysponenta w świetle polskich przepisów. Powstaje jednak pytanie, czy ten przepis uprawniałby organy do żądania od Apple napisania programu, który przełamie zabezpieczenia i pozwoli uzyskać dane zaszyfrowane. Odpowiedź nie jest niestety jednoznaczna.

Z jednej strony można by twierdzić, że producent oprogramowania ma możliwość wydania danych niezależnie od tego, czy są one „gotowe” czy też zaszyfrowane, czyli wymagają podjęcia pewnych działań w celu ich rozkodowania. Przy tym założeniu można też argumentować, że producent oprogramowania może samodzielnie wybrać sposób, w jaki dane te uzyska (np. łamiąc własne zabezpieczenia lub tworząc aktualizację oprogramowania do rozszyfrowania danych). Taki argument miałby szczególną siłę wobec producentów, którzy celowo pozostawili w swoich systemach tzw. backdoor (lukę w oprogramowaniu) lub mają techniczną możliwość zdalnej aktualizacji oprogramowania. Możliwość zdalnej ingerencji w oprogramowanie przemawia bowiem za uznaniem, że dany podmiot w zasadzie cały czas jest dysponentem danych, a ich uzyskanie i wydanie to tylko kwestia techniczna.

Z drugiej strony takie podejście jest kontrowersyjne, np. ze względu na ograniczenia prawa telekomunikacyjnego lub ograniczenia czysto faktyczne, np. znaczne koszty, które musiałby ponieść producent. Rozszyfrowanie danych, a później ich wydanie, wymagałoby podjęcia  przez adresata znacznej aktywności, co może budzić wątpliwości wobec brzmienia art. 217 § 1 w zw. z art. 236a Kodeksu postępowania karnego.

Na tytułowe pytanie trzeba więc niestety odpowiedzieć: nie wiadomo. Wątpliwości rozwieje pewnie dopiero praktyka odpowiednich organów postępowania karnego.

1 A. Lach, Gromadzenie dowodów elektronicznych po nowelizacji kodeksu postępowania karnego, Prokuratura i Prawo nr 10/2003, s. 16-25.