Będziemy ratyfikować Konwencję o cyberprzestępczości

Już po trzynastu latach od podpisania Konwencji Rady Europy o cyberprzestępczości Polska zmierza do jej ratyfikacji. W Sejmie trwają prace nad stosowną ustawą. Wczoraj sejmowa Komisja Sprawiedliwości i Praw Człowieka oraz Komisja Spraw Zagranicznych rekomendowały jej uchwalenie. Zastanawiam się właśnie, co też zmieniło się przez te 13 lat. Co sprawia, że konwencja o "cyberprzestępczości" nie jest wcale adekwatnym narzędziem do przeciwdziałania przestępczości związanej z istnieniem systemów teleinformatycznych. Jasne, że dawno temu w polskim systemie prawnym pojawiły się przepisy nawiązujące do konwencji. Ratyfikacja to prawie "formalność". Ale. Te systemy teleinformatyczne stale się zmieniają. Dla sektora ICT nawet 3 lata to cała epoka. W tym duchy myśląc - trzynaście lat to ponad cztery epoki.

Tymczasem można zapoznać się z przebiegiem procesu legislacyjnego Rządowego projektu ustawy o ratyfikacji Konwencji Rady Europy o cyberprzestępczości, sporządzonej w Budapeszcie w dniu 23 listopada 2001 r.. Tam też sprawozdanie wspomnianych komisji, które wnioskują, by uchwalić projekt ustawy bez poprawek.

Łezka się w oku kręci na wspomnienie tego, jak lakonicznie sygnalizowałem w tym serwisie podpisanie konwencji: Konwencja o cyberprzestępczości podpisana. Potem były już nieco dłuższe teksty: Zmiany karnego: cyberprzestępczość, Senat USA ratyfikował Konwencję o cyberprzestępczości... A potem weźmy taki art. 269b Kodeksu karnego, który został wszak wprowadzony do Kodeksu wspierany Konwencją:

• Wokół artykułu 269b § 1 kodeksu karnego
• Tak, tak, nowelizują kodeks karny... wizerunki małoletnich, hacking, 269b...
• 18 grudnia 2008 - potwierdzenie delegalizacji internetu w Polsce
• Stowarzyszenie rzuca 269b KK przeciwko MSWiA i ABW

Sama ustawa pozwalająca na ratyfikację jest krótka. W artykule pierwszym "Wyraża się zgodę na dokonanie przez Prezydenta Rzeczypospolitej Polskiej ratyfikacji Konwencji Rady Europy o cyberprzestępczości, sporządzonej w Budapeszcie w dniu 23 listopada 2001 r.", artykuł drugi wskazuje, że ustawa wchodzi w życie po 14 dniach od ogłoszenia.

Fajniejsze jest uzasadnienie, którego początek (a konkretnie rozdział "Potrzeba i cel związania Rzeczypospolitej Polskiej umową międzynarodową") przywołuję poniżej:

Stały postęp techniczny powoduje modyfikację istniejących oraz powstawanie nowych zagrożeń o charterze kryminalnym. Jednym z obszarów, w którym dokonują się w ostatnim czasie największe zmiany, są technologie informatyczne. Obecnie praktycznie wszystkie przejawy życia społecznego i gospodarczego powiązane są z wykorzystaniem komputerów, dokumentów elektronicznych oraz sieci teleinformatycznych. Oznacza to nasilenie istniejących oraz pojawianie się nowych zagrożeń – przestępstw, które chociażby z uwagi na wykorzystanie sieci teleinformatycznych o globalnym zasięgu (np. Internet), narzędzi informatycznych (oprogramowania) lub samo ich umiejscowienie (przestrzeń wirtualna), nie mogą być skutecznie zwalczane przez pojedyncze państwa.

Wskazane przestępstwa – określane również terminem „cyberprzestępczość” – obejmują czyny wymierzone w dane i systemy informatyczne (gdzie przetwarzanie danych jest przedmiotem czynności wykonawczych) oraz przestępstwa, w których technologie informatyczne wykorzystywane są przy popełnianiu już stypizowanych w prawie karnym czynów zabronionych (np. oszustwo komputerowe i piractwo komputerowe).

Obszarem, w którym z uwagi na swój charakter (anonimowość i potencjalnie nieograniczony zasięg oddziaływania sprawcy) technologie komputerowe mogą w szczególny sposób ułatwiać popełnianie czynów zabronionych, jest problematyka przestępstw o charakterze rasistowskim i ksenofobicznym, jak również przestępstw związanych z seksualnym wykorzystywaniem dzieci i młodzieży – w szczególności produkcja i rozpowszechnianie pornografii dziecięcej. Czyny te również zaliczane są do cyberprzestępczości.

Z tych względów działania zmierzające do skuteczniejszego zapobiegania, ścigania i karania sprawców przestępstw popełnianych przy wykorzystaniu technologii informatycznych muszą być podejmowane na szczeblu międzynarodowym. Istotnym elementem tych działań jest wzmacnianie ram prawnych stanowiących podstawę współpracy w zakresie zwalczania tych przestępstw. Polska była i pozostaje aktywnym uczestnikiem tego procesu na arenie międzynarodowej, z czym związane jest podjęcie zobowiązań o charakterze prawnym i politycznym.

W omawianym zakresie Polska dokonała wdrożenia aktów prawa Unii Europejskiej: decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne, decyzji ramowej Rady 2008/913/WSiSW z dnia 28 listopada 2008 r. w sprawie zwalczania pewnych form i przejawów rasizmu i ksenofobii za pomocą środków prawnokarnych oraz dyrektywy Parlamentu Europejskiego i Rady 2011/93/UE z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępującej decyzję ramową Rady 2004/68/WSiSW . Polska zobowiązana jest także do wdrożenia dyrektywy Parlamentu Europejskiego i Rady 2013/40/UE z dnia 12 sierpnia 2013 r. dotyczącej ataków na systemy informatyczne i zastępującej decyzję ramową Rady 2005/222/WSiSW.

Wskazać jednak należy, iż skuteczność powyższych aktów prawnych ogranicza fakt, iż mają one zastosowanie jedynie do państw członkowskich Unii Europejskiej.
Konwencja Rady Europy o cyberprzestępczości (dalej „Konwencja”) stanowi istotny krok w kierunku przyjęcia uniwersalnych standardów w zakresie podejścia do problematyki przestępstw popełnianych przy zastosowaniu technologii informatycznych – definicji czynów zabronionych i norm dotyczących współpracy międzypaństwowej w ich ściganiu. Z uwagi na fakt, iż stronami Konwencji jest już 41 państw, a podpisało ją dalszych 11 państw, w tym Polska, Konwencja stanowić będzie w przyszłości najefektywniejsze narzędzie międzynarodowej ochrony wszystkich podmiotów, które wykorzystują technologie komputerowe lub w stosunku do których technologie te umożliwiają lub ułatwiają popełnienie przestępstw.

Ratyfikacja przez Polskę Konwencji przyczyni się do wzmocnienia już istniejących w prawie krajowym mechanizmów mających na celu zapobieganie szeroko rozumianej cyberprzestępczości, a tym samym do zwiększenia skuteczności przeciwdziałania i zwalczania tego zjawiska.