Opublikowano Kategorie cyberbezpieczeństwo, zmiany w prawie

Czy hakerzy dostaną prezent od UE

Dobiegają końca prace nad nową dyrektywą dotyczącą ochrony tajemnicy przedsiębiorstwa oraz know-how. Jedne z bardziej kontrowersyjnych postanowień nowej dyrektywy dotyczą pozyskania informacji w wyniku tzw. reverse engineering, czyli procesu badania produktu w celu ustalenia sposobów jego działania.

Reverse engineering wzbudza coraz więcej sporów na gruncie prawnym, jest bowiem praktyką często wykorzystywaną dla osiągnięcia kontrowersyjnych celów. Stosunkowo najbardziej kompleksowo zjawisko to zostało uregulowane na gruncie prawa autorskiego w odniesieniu do dekompilacji programów komputerowych. Niektóre niejasności w tym obszarze udało się też rozstrzygnąć w orzecznictwie sądowym, chociażby w sprawie SAS Institute Inc. przed Trybunałem Sprawiedliwości Unii Europejskiej.

Znacznie więcej kontrowersji praktyka reverse engineeringu wzbudza natomiast na gruncie przepisów o tajemnicy przedsiębiorstwa. Przede wszystkim nie jest do końca rozstrzygnięte, czy dotarcie w wyniku reverse engineeringu do informacji, które producent traktuje jako tajemnicę przedsiębiorstwa, w ogóle powinno być analizowane w kategoriach naruszenia tajemnicy przedsiębiorstwa. Reverse engineering jest bowiem najczęściej wykonywany w odniesieniu do produktów, które producent wprowadził do obrotu. Są one zatem jawne i ogólnie dostępne. Z drugiej jednak strony dotarcie do pewnych informacji na temat zastosowanych w produkcie rozwiązań technologicznych wymaga bardzo zaawansowanych i skomplikowanych zabiegów, niemożliwych do zrealizowania bez specjalistycznej wiedzy.

Ten dylemat spowodował, że, przykładowo, w orzecznictwie amerykańskim nadal trwa spór o to, czy reverse engineering może naruszać tajemnicę przedsiębiorstwa. Sprawa komplikuje się jeszcze bardziej w związku z rozwojem internetu rzeczy. Coraz większa ilość przedmiotów podłączonych do internetu powoduje wzrost zainteresowania lukami w systemach tych urządzeń. Wykrywanie tych luk też może być elementem reverse engineeringu. Jest to jednocześnie zagadnienie bardzo drażliwe, ponieważ producenci najczęściej unikają upubliczniania informacji o lukach. W odniesieniu do tych informacji mają więc szczególnie silną motywację do twierdzenia, że informacje o lukach stanowią tajemnicę przedsiębiorstwa.

Wydaje się, że duża część powyższych wątpliwości zostanie rozwiana z chwilą przyjęcia dyrektywy dotyczącej tajemnicy przedsiębiorstwa oraz know-how. W najbardziej aktualnej wersji projektu tej dyrektywy znajduje się bardzo ważny przepis zawarty w art. 1 ust. 3 pkt b), zgodnie z którym pozyskanie informacji poufnych w drodze czynności odpowiadających co do zasady temu, co określa się mianem reverse engineeringu, będzie traktowane jako legalne pozyskanie tajemnicy przedsiębiorstwa. Osoba, która wejdzie w posiadanie takich informacji, będzie mogła z nich legalnie korzystać, w tym rozpowszechniać. Dodatkowo, nawet jeśli informacje zostaną uznane za pozyskane w sposób nielegalny, ich ujawnienie będzie nadal możliwe, jeżeli będzie to uzasadnione interesem publicznym (art. 4 projektu dyrektywy).

Nowe regulacje mogą zwiększyć zainteresowanie reverse engineeringiem, co oczywiście nie jest dobrą wiadomością dla tych podmiotów, szczególnie z branży nowych technologii, które chciałyby jak najdłużej utrzymywać w tajemnicy swoje unikatowe rozwiązania i pomysły technologiczne. Warto pamiętać jednak, że w systemie prawa nadal pozostaną przepisy ograniczające reverse engineering w odniesieniu do programów komputerowych.