W związku z ciekawymi komentarzami zamieszczonymi przez Państawa postanowiliśmy pogłębić analizę prawno karną problemu poruszonego w poprzednim artykule.

Bardzo się cieszę, że dyskusja na poruszony przeze mnie temat rozgorzała z taką siłą. Przyznam się, że mogłem się spodziewać Państwa komentarzy w podobnym tonie, gdyż sam długo wahałem się, czy hipotezą art. 287 k.k. objęta jest również kradzież wirtualnych przedmiotów przechowywanych na kontach graczy w wirtualnym świecie. Wydaje mi się, że taka interpretacja tego przepisu jest możliwa, chociaż sam (może nieco prowokacyjnie) stanąłem na innym stanowisku. Byłbym szczęśliwy, gdyby sądy przyjęły taką linię orzecznictwa, która umożliwiałaby skazywanie osób dopuszczających się takich czynów na podstawie art. 287 k.k. w obecnym jego brzmieniu. Niestety nie mogę, jak również Państwo sądząc z Państwa komentarzy, zgodzić się, z sentencją wyroku wydanego przez Sąd Rejonowy w Sławnie, na mocy którego Patryka S. skazano za to, że „usunął dane informatyczne w postaci wirtualnych przedmiotów”. Te dane w mojej opinii nigdy nie zostały usunięte, tak jak nie zostają usunięte a jedynie przeniesione pliki umieszczone w koszu w ramach interfejsu Windowsa.

Pozostaje nam zatem rozważyć czy mamy do czynienia ze zmianą danych informatycznych. W tym miejscu posłużę się cytatem z komentarza do art.287 kodeksu karnego (Dz.U.97.88.553), [w:] A. Zoll (red.), A. Barczak-Oplustil, G. Bogdan, Z. Ćwiąkalski, M. Dąbrowska-Kardas, P. Kardas, J. Majewski, J. Raglewski, M. Rodzynkiewicz, M. Szewczyk, W. Wróbel, Kodeks karny. Część szczególna. Tom III. Komentarz do art. 278-363 k.k., Zakamycze, 2006, wyd. II.:

Przez zmianę zapisu danych informatycznych rozumieć należy ingerencję w matematyczny zapis danych zgromadzonych na tzw. twardym dysku komputera, dyskietce, CD lub innych nośnikach informacji, która prowadzi do przeszeregowania odpowiednich sekwencji znaków, przy wykorzystaniu których zakodowane są informacje, dodaniu do tej sekwencji pewnych elementów lub usunięciu innych. Konsekwencją takiego działania sprawcy jest zmiana w treści zapisu na komputerowym nośniku informacji, który po ingerencji sprawcy zawiera przynajmniej w części zmodyfikowane, w stosunku do stanu wyjściowego, informacje.

Zmiana zapisu danych informatycznych polega zatem na przekształceniu zapisu tych danych, modyfikacji treści zapisanych danych informatycznych. Zmiana wywołana przez zachowanie sprawcy może mieć charakter trwały lub czasowy, może być nieodwracalna lub też stwarzająca podstawy do przywrócenia pierwotnego zapisu danych informatycznych. Zmiana zapisu danych informatycznych polegać może na ingerencji w ich zapis, prowadzącej do całkowitego lub częściowego pozbawienia tych danych sensu, wprowadzeniu nowego kodu danych informatycznych, zaszyfrowaniu
tych danych.

Nadal nie jestem w pełni przekonany, że przesunięcie przedmiotu wirtualnego ze sfery władztwa jednego z graczy do sfery władztwa innego gracza będzie „ingerencją w matematyczny zapis danych”.

Również R. Korczyński w [w:]„Oszustwo” komputerowe. Artykuł opublikowany w Prokuratura i Prawo 2002/2/17 wskazuje, że:

„Od strony technicznej, zmianą zapisu na komputerowym nośniku informacji będzie ingerencja w cyfrowy zapis danych zgromadzonych na określonym nośniku, prowadząca do całkowitego lub choćby częściowego pozbawienia sensu określonej informacji. Charakterystyczne będzie to, że zmieniony zapis przedstawiać będzie ciągle informację czytelną i jasną do zrozumienia ale odbiegającą w swej treści i znaczeniu od tekstu pierwotnego. Dla postawienia zarzutu wystarczająca będzie przy tym już choćby częściowa modyfikacja danych w stosunku do stanu pierwotnego.”

Wydaje mi się, ze czynność sprawcza, jakiej dopuszcza się wirtualny rabuś nie polega na zmianie zapisu danych ale na ich przekazaniu/przeniesieniu (tak jak w podanym przez internautę przykładzie z przeniesieniem pliku tekstowego do kosza, z którego można ten plik jeszcze odzyskać w niezmienionej postaci). W art. 287 k.k. jest mowa o „wpływaniu na przekazywanie danych” ale jedynie w kontekście automatycznego przekazywania danych (a z takim nie mamy do czynienia, gdyż sprawca sam przekazuje wirtualne przedmioty a nie wpływa na ich automatyczne przekazanie). Gdyby więc racjonalny ustawodawca, chciał rozszerzyć zakres tego przepisu na przekazanie zapisu danych informatycznych bez uprawnienia, to musiałby to wymienić w zamkniętym katalogu opisującym stronę przedmiotową przestępstwa z 287 k.k.

Nadal pragnę, więc pozostać na stanowisku, że nadrzędną zasadą w tym przypadku będzie „Nullum crimen sine lege certa” (łac. Nie ma przestępstwa bez jasnego/zrozumiałego przepisu ustawy). Dodatkowym argumentem, na to, iż art. 287 k.k. nie obejmuje swą hipotezą zachowania polegającego na włamaniu się na cudze konto w wirtualnym świecie i przeniesieniu zgromadzonych tam przedmiotów wirtualnych na inne konto jest fakt, że przepis dotyczący przestępstwa komputerowego znajduje się w XXXV rozdziale kodeksu karnego zatytułowanym „Przestępstwa przeciwko mieniu”. Wskazuje to wyraźnie, iż przedmiotem wykonawczym przestępstwa oszustwa komputerowego jest mienie. Jak podaje cytowany wcześniej A. Zoll(red.), Komentarz…:

Rozwiązanie przyjęte w art. 287 k.k. miało na celu wypełnienie luki prawnej w zakresie kryminalizacji zachowań godzących w mienie oraz w zapisy danych informatycznych odzwierciedlające określone prawa do mienia, które ze względu na sposób zamachu związany z wykorzystaniem nowoczesnych technologii teleinformatycznych nie były
objęte ochroną przez konstrukcję klasycznego oszustwa
.

W chwili obecnej nie mogę się zgodzić, na objęcie przedmiotów wirtualnych nawet najszerzej rozumianą definicją mienia. Jest to temat na oddzielną dyskusję, który został m. in. niedawno zasygnalizowany w artykule I. Matusiaka, Do kogo może należeć awatar, w Rzeczpospolitej nr z 14 kwietnia 2011 r. (dostęp niestety płatny). Jednak w mojej opinii z uwagi na przepisy prawa polskiego a w szczególności na kategoryczne zapisy umów licencyjnych (EULA – End User License Agrement), które muszą zaakceptować wszyscy gracze, chcący uzyskać dostęp do wirtualnego świata, zgromadzone w grze wirtualne przedmioty, waluta, nieruchomości a także samo konto nie są własnością gracza i nie mogą być przedmiotem obrotu. Nie stanowią w ogóle odrębnego przedmiotu własności ani prawa i są elementem programu komputerowego stworzonego przez twórcę gry. Nie mogę powiedzieć, że uważam taki stan rzeczy za sprawiedliwy, ale wydaje mi się, że na dzień dzisiejszy jest zgodny z prawem (choć nie wykluczam próby poszukiwania praw graczy do ich postaci np. w przepisach prawa autorskiego).

 

dr Hanna Gajewska-Kraczkowska

dr Hanna Gajewska-Kraczkowska
Adwokat, Counsel

hanna.gajewska-kraczkowska@dzp.pl

Jacek Pakuła

Jacek Pakuła


jacek.pakula@dzp.pl

komentarzy 6

  1. „Wydaje mi się, ze czynność sprawcza, jakiej dopuszcza się wirtualny rabuś nie polega na zmianie zapisu danych ale na ich przekazaniu/przeniesieniu” – pytanie pomocnicze: w jaki sposób można przekazać/przenieść zapisane *cyfrowo* dane bez zmiany ich zapisu ? Nie ma tu żadnej analogii do przeniesienia teczki akt z jednej szuflady do drugiej – w przypadku przeniesienia cyfrowego każdorazowo zmieniany jest zapis! A contrario, jeśli nie ma zmiany zapisu to nie ma przeniesienia.

    Jako dowód proponuję eksperyment: nabywamy dwa dyski twarde, na jednym instalujemy wszystko co potrzebne do uruchomienia gry, następnie kopiujemy całą zawartość dysku A, bit po bicie, na dysk B, podpinamy dysk A do serwera, łączymy się z tym serwerem i przenosimy Magiczny Miecz Elfów z konta użytkownika X na konto użytkownika Y.

    Po wykonaniu powyższej operacji porównujemy bit po bicie zawartość dysków A i B. Gwarantuję że będzie różna, co chyba wypełnia znamię art. 287 KK: „Kto zmienia zapis danych informatycznych” ?

  2. mm
    Jacek Pakuła

    Dziękuję za komentarz i udział w dyskusji. Nie chcę udowadniać, że z technologicznego punktu widzenia zmiana danych jest czymś innym niż przeniesienie. Zapewne nie jest, co prawdopodobnie wykazałby zaproponowany przez Pana eksperyment. Chodzi mi jedynie o to, że nie jestem pewien jak te pojęcia (wywodzące się z języka informatycznego) należy interpretować na gruncie prawnym (tu kodeksu karnego). Jedna z zasad logiki prawniczej mówi, ze w ustawie jedno słowo oznacza jedno pojęcie a rożne słowa będą oznaczać zawsze różne pojęcia. W tym kontekście zastanawiam się, czy użyte w ustawie pojęcie „przekazywania danych” należy inaczej rozumieć niż inne użyte tam pojęcie „zmiana danych”. Jeżeli zgodzić się z Pana założeniem (skądinąd logicznym), że każde przeniesienie jest zmianą, to również usunięcie będzie zmianą a także wprowadzenie. Dlaczego więc ustawodawca rozróżnia te pojęcia? Pozostawiam to pytanie otwarte.

  3. W pełni popieram opinię przedmówcy:

    Podejrzany zmodyfikował w systemie komputerowym zapis, który przypisywał posiadanie przedmiotu poszkodowanemu, w taki sposób, że to posiadanie zostało przypisane podejrzanemu. Nie ma tu cienia wątpliwości, że doszło do modyfikacji danych informatycznych.

    Aczkolwiek ja w pierwszej kolejności rozważałbym kwalifikację z art. 267 § 1 KK, przy założeniu, że przed „przewłaszczeniem” doszło do przełamania zabezpieczeń (hasła?) i nieutoryzowanego dostępu do konta i informacji w nim zawartych.

  4. mm
    Jacek Pakuła

    Witam i dziękuję za głos w dyskusji!
    W zakresie rozróżniania pojęć zmiany danych informatycznych i ich przeniesienia/przekazywania odsyłam do rozważań w komentarzach i tekście powyżej. Ciekawa jest zaproponowana koncepcja postawienia wirtualnym rabusiom zarzutów z art. 267 k.k. (dla przypomnienia):

    „ Art. 267. [Nielegalne uzyskanie informacji]

    § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,

    podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

    § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.”

    Gdyby dostęp do konta uzyskano w sposób opisany w tym przepisie (a nie np. wymuszając go siłą od pokrzywdzonego) można by rozważyć kumulatywny zbieg przepisów.

    Nie sądzę jednak, aby przestępstwo tzw. hackingu znalazło w naszej sytuacji zastosowanie. Przepis ten znajduje się, bowiem w Rozdziale XXXIII k.k. zatytułowanym „Przestępstwa przeciwko ochronie informacji”. Już z samej treści przepisu wynika, że przedmiotem ochrony są informacje. Wirtualny rabuś przełamuje jednak zabezpieczenia w zupełnie innym celu. Być może bardziej właściwa jest kwalifikacja prawna z 2 § tego artykułu. Nie wiem jednak czy jedno konto w grze on-line można by nazwać „częścią systemu informatycznego”? Chyba bardziej adekwatnym przepisem, który mógłby w takiej sytuacji wystąpić w zbiegu z omawianym art. 287 k.k. jest art. 279 k.k. (kradzież z włamaniem) za możliwością takiego zbiegu opowiedział się Sąd Apelacyjny w Szczecinie w swoim wyroku z dnia 14 października 2008 r. syg, akt II AKa 120/08. Tu jednak pozostaje rozważyć czy wirtualny przedmiot jest „cudzą rzeczą ruchomą” w rozumieniu art. 278 k.k. – wydaje mi się, że nie.

    Pozdrawiam

  5. […]
    W zakresie rozróżniania pojęć zmiany danych informatycznych i ich przeniesienia/przekazywania odsyłam do rozważań w komentarzach i tekście powyżej.

    Ponowię: bez względu na treść komentarzy, w opisywanym przypadku niewątpliwie (dla specjalisty IT) nastąpiła zmiana danych informatycznych, możliwa do udowodnienia prostym eksperymentem (jak opisał przedmówca).

    „Ciekawa jest zaproponowana koncepcja postawienia wirtualnym rabusiom zarzutów z art. 267 k.k. (dla przypomnienia):
    […]
    Nie sądzę jednak, aby przestępstwo tzw. hackingu znalazło w naszej sytuacji zastosowanie. Przepis ten znajduje się, bowiem w Rozdziale XXXIII k.k. zatytułowanym „Przestępstwa przeciwko ochronie informacji”. Już z samej treści przepisu wynika, że przedmiotem ochrony są informacje. Wirtualny rabuś przełamuje jednak zabezpieczenia w zupełnie innym celu. ”

    W świecie IT wszystko jest informacją. Stan posiadania wirtualnych przedmiotów – informacja, zapisana na nośniku i/lub w pamięci serwera. Profil użytkownika (jego nazwa, parametry) to również zbiór informacji.

    Ktokolwiek uzyskuje dostęp do „konta” użytkownika, uzysuje dostęp do tychże zbiorów informacji. Dokonując zmian atrybutów tego konta (np. przeniesienia własności wirtualnych przedmiotów) – informacje te modyfikuje.

    Wyłącznym celem rabusia więc jest własnie modyfikacja informacji przechowywanych przez dostawcę gry.

    „Być może bardziej właściwa jest kwalifikacja prawna z 2 § tego artykułu. Nie wiem jednak czy jedno konto w grze on-line można by nazwać „częścią systemu informatycznego”? ”

    Wydaje się, że tak – bo użycie „konta” – czyli uwierzytelnienie się konkretną nazwą użytownika i hasłem daje dostęp do pewnej części systemu informatycznego – tj do „warstwy prezentacji” gry on-line. Samo konto jest tylko zapisem, rekordem bazy danych, informacją, pozwalającą na dostęp do gry(systemu).

    A konto poszkodowanego upoważniało jedynie poszkodowanego do uzyskania tego dostępu – zgaduję, ale z bardzo wysokim prawdopodobieństwem regulamin serwisu zabraniał współdzielenia czy też odstępowania danych niezbędnych do uwierzytelnienia.

    § 2 wydaje się znajdować zastosowanie tam, gdzie system informatyczny nie jest chroniony hasłem lub innym zabezpieczeniem, w opisanym stanie faktycznym bardziej odpowiedni wydaje się § 1.

    pozdrawiam

  6. mm
    Jacek Pakuła

    Zgadzam się w całej rozciągłości. Dla specjalisty IT nastąpiła zmiana danych informatycznych – co do tego nie mam wątpliwości. Poruszamy się jednak na gruncie pojęć ustawowych i w związku z powyższym moje wątpliwości w zakresie ich rozumienia (które oczywiście nie doczekały się jeszcze odpowiedzi w orzecznictwie ani doktrynie).

    Oczywiście, że przestępca włamując się na cudze konto w grze on-line uzyskuje dostęp do informacji ale idąc tym tropem również złodziej, który w poszukiwaniu pieniędzy otwierałby kopertę, w której znajdowałoby się nieprzeznaczone dla niego pismo dopuszczałby się takiego przestępstwa. Przestępstwo z 267 k.k. jest przestępstwem kierunkowym, a więc jego znamionem jest umyślność. Jeżeli więc dostęp do informacji jest jedynie dla rabusia niejako efektem ubocznym kradzieży wirtualnych przedmiotów to nie popełnia on moim zdaniem przestępstwa z 267 k.k. gdyż nie działa w zamiarze uzyskania dostępu do informacji a jedynie przywłaszczenia sobie wirtualnego mienia. Oczywiście tak jak Pan pisze wszystko w systemie informatycznym jest zapisane w postaci informacji to jednak kodeks karny nie operuje pojęciem „informacja” w tak szerokim sensie. Poza tym choć konto gry on-line zawiera wiele informacji to jednak działanie wirtualnego rabusia nie jest nakierowane na zapoznanie się z nimi, chodzi jedynie o kradzież zgormadzonego tam wirtualnego mienia. Podobnie haker włamujący się na cudze konto bankowe bedzie odpowiadał za kradzież z włamaniem albo oszustwo internetowe mimo, iż przy okazji uzyskał dostęp do informacji (np. o saldzie czy obciążeniach konta pokrzywdzonego). Przestępstwa z art. 267 par. 1 nie można popełnić w zamiarze ewentualnym.

    Pozdrawiam serdecznie

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *