Opublikowano Kategorie cyberbezpieczeństwo, IT

Technologiczne polowanie na czarownice

O pobieraniu baz danych w ramach ścigania udziału w grach hazardowych organizowanych przez internet.

19 stycznia 2015 r. Alexandre Dreyfus, dyrektor generalny Global Poker Index, wezwał za pośrednictwem Twittera polskie Ministerstwo Finansów do zaniechania „kradzieży” danych gromadzonych przez Hendon Mob, pod rygorem wytoczenia przeciwko Ministerstwu powództwa w zakresie nieuprawnionego wykorzystania bazy danych. Hendon Mob to strona internetowa, która gromadzi dane dotyczące uczestników gier hazardowych on-line. Jak oświadczył Alexandre Dreyfus, już pod koniec 2014 r. Hendon Mob wykryło skierowaną w kierunku strony i jej baz danych aktywność botów, których źródłem miał być serwer polskiego Ministerstwa Finansów posługującego się domeną mf.gov.pl.

Tłem dla tej technologicznej batalii mogła być zapowiedziana przez Ministerstwo walka z uczestnikami gier losowych i zakładów wzajemnych organizowanych poza terytorium Polski za pośrednictwem internetu. Baza danych, jaką tworzy i udostępnia Hendon Mob, może więc stanowić atrakcyjne źródło informacji na temat potencjalnych sprawców przestępstwa karnoskarbowego polegającego na uczestniczeniu w grach hazardowych organizowanych za granicą (art. 107 § 2 Kodeksu karnego skarbowego). Bazy danych podlegają tymczasem ochronie ustanowionej dyrektywą Parlamentu Europejskiego i Rady 96/6/WE z 11 marca 1996 r. w sprawie ochrony prawnej baz danych, implementowanej do polskiego porządku prawnego na mocy ustawy z 27 lipca 2001 r. o ochronie baz danych.

Oba akty tworzą ochronny reżim prawny dla zbiorów m.in. danych, gromadzonych według określonej systematyki lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagających istotnego (jakościowo lub ilościowo) nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji ich zawartości. Dyrektywa przyznaje więc twórcy bazy danych prawo do przeciwdziałania nieuprawnionemu pobieraniu lub wykorzystaniu jej części lub całości. Nadto art. 5 ust. 5 dyrektywy wskazuje, że powinno być zabronione także powtarzające się i systematyczne pobieranie i wykorzystanie nieznacznych części bazy danych, jeżeli sprzeciwia się to normalnemu korzystaniu z bazy lub godzi w słuszne interesy twórcy.

Jednocześnie dyrektywa ustanawia wyjątki od przewidzianej ochrony. Między innymi jej art. 9 lit. c dał możliwość wprowadzenia wyjątku w ochronie, gdy pobieranie i wykorzystanie w całości lub w części baz danych dostępnych publicznie ma następować dla celów bezpieczeństwa wewnętrznego lub postępowania administracyjnego lub sądowego. Polska ustawa implementuje to rozwiązanie w sposób dosłowny w art. 8 ust. 3, nie określając jednak żadnych ram postępowania w tym zakresie. Powstała próżnia proceduralna rodzi ryzyka dowolności i braku kontroli nad działaniami organów władz publicznych w zakresie pobierania i korzystania z baz danych. Kwestia ta staje się tym bardziej doniosła, że bazy danych, o jakich tu mowa, mogą także zawierać dane osobowe, a postępujący rozwój technologii poszerza wachlarz narzędzi służących kontroli społeczeństwa. Tocząca się dyskusja na temat ochrony prywatności, w tym ochrony danych osobowych, zyskuje obecnie realny kształt w formie nowych regulacji unijnych dotyczących ochrony danych osobowych [1] i to także w odniesieniu do ich przetwarzania przez organy władzy publicznej w celach m.in. ścigania przestępstw [2].

W aktualnym stanie rzeczy art. 8 ust. 3 ustawy o ochronie baz danych nie powinien stanowić podstawy dla nieograniczonego i nie podlegającego kontroli działania organów władzy publicznej. To wyjątkowe uprawnienie powinno być realizowane w granicach przepisów prawa. Należy mieć tu na względzie m.in. art. 113 § 1  k.k.s., który przyznaje urzędowi celnemu w ramach prowadzonych postępowań uprawnienia przewidziane w Kodeksie postępowania karnego, m.in. możliwość zwrócenia się do organu ścigania innego państwa o zatrzymanie i zabezpieczenie dowodu oraz jego wydanie.

W tym miejscu rodzi się pytanie, dlaczego organy władzy publicznej uciekają się do metod kamuflażu umożliwianych przez boty, które w ostatnim czasie kojarzą się w dużej mierze z praktykami dalekimi od legalnych. Ogólnie rzecz ujmując, boty to programy komputerowe, tworzone i wykorzystywane do realizacji oznaczonych czynności w zastępstwie człowieka, a niekiedy w celu udawania ludzkiego zachowania. Boty znajdują zastosowanie w szeregu dziedzin życia społecznego i ekonomicznego. Jednocześnie identyfikowane są jako jedno z najbardziej złożonych i popularnych narzędzi przestępczości internetowej, a jednym z ich zadań może być kradzież danych. Z drugiej jednak strony należy przyznać, że w ten sposób organy władzy publicznej podążają za nowoczesnością i wpisują się w kontekst społeczeństwa zinformatyzowanego, posługującego się nowymi technologiami. Nie należy jednak zapominać, że organy władzy publicznej powinny działać na podstawie prawa i w granicach prawa, a więc transparentnie i za pomocą środków, w jakie prawo je wyposaża.

Ostatecznie powstaje kwestia oceny podstawy podejmowania omawianych działań. Konkretnie chodzi tu o przepisy zakazujące na terytorium Polski udziału w grach hazardowych organizowanych za granicą i penalizujące udział w takich grach (art. 29a ustawy o grach hazardowych, art. 107 § 2 k.k.s.) w kontekście unijnych swobód przedsiębiorczości oraz świadczenia usług (49 i 56 Traktatu o Funkcjonowaniu Unii Europejskiej), którym zgodnie z orzecznictwem Trybunału Sprawiedliwości UE podlega także świadczenie drogą elektroniczną usług w zakresie gier hazardowych (sprawa C-234/01, Gambelli).

Zgodnie z art. 52 TFUE obie swobody mogą podlegać ograniczeniom, jeżeli jest to uzasadnione względami porządku publicznego, bezpieczeństwa publicznego oraz zdrowia publicznego. Nadto Trybunał Sprawiedliwości UE, z uwagi na szczególny charakter usług w zakresie gier hazardowych, dopuścił dodatkowe ograniczenia wprowadzane z uwagi na nadrzędne względy interesu ogólnego takie jak ochrona konsumentów lub zapobieganie oszustwom (sprawa Gambelli, pkt 65-67). Wprowadzane ograniczenia powinny być odpowiednie, by zagwarantować realizację zamierzonych celów ochronnych, ale nie powinny wykraczać poza to, co jest konieczne do ich osiągnięcia. W tym kontekście trudno będzie bronić tezy, że ograniczenia swobody świadczenia usług, jakie wynikają bezpośrednio dla usługobiorcy ze wspominanych powyżej zakazów, są uzasadnione i proporcjonalne. Wątpliwe jest bowiem, aby dla ochrony zdrowia obywateli, przeciwdziałania uzależnieniom oraz ochrony graczy przed oszustwami uzasadnione było grożenie dotkliwą karą (nawet do 16 128 000 zł grzywny lub 3 lat kary pozbawienia wolności).

 

1 Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)
2 Wniosek Dyrektywa Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych