Odpowiedzialność za LiveUpdate definicji malware

"Oprogramowanie dostarczane jest "as is", a producent nie ponosi odpowiedzialności za jego działanie..." Umowy licencyjne bardzo starają się wyłączyć wszelką odpowiedzialność "producentów oprogramowania". Ale jak to z tym jest? Pojawiło się doniesienie dotyczące działań pewnego chińskiego prawnika, który postanowił dochodzić roszczeń przeciwko Symantec'owi. Nie ma zbyt wiele tego typu spaw. W sygnalizowanej chodzi o to, że chiński prawnik stara się wykazać związek pomiędzy zdalną aktualizacją oprogramowania, a tym, że w wyniku tej aktualizacji jego komputer przestał działać - wobec czego poniósł szkody.

O sprawie pisze Hacking.pl (za vnunet.com) w tekście Firma Symantec pozwana do sądu za aktualizację: "Liu Shihui, radca prawny z prowincji Guangdong pozywa Symanteca na kwotę 1644 juanów (czyli ponad 100 funtów) za straty poniesione w wyniku automatycznej aktualizacji programu Norton Anti-Virus".

Zachęcam do sięgnięcia do pracy magisterskiej p. Sebastiana Wojdyły, pt. Wadliwość oprogramowania komputerowego jako przedmiotu obrotu prawnego (2005), pracy Programy komputerowe i bazy danych jako samodzielne dobra na gruncie prawa polskiego autorstwa p. Leszka Widmańskiego (2003) oraz pracy Wirusy Komputerowe. Analiza prawnokarna autorstwa p. Marka Świtały (2001). W pierwszej z wymienionych prac (najbardziej chyba adekwatnej do poruszanego właśnie tematu) można przeczytać: "Niestety trudno doszukać się prowadzenia takich dyskusji w polskiej doktrynie, co więcej kwestia wadliwości programów (oprogramowania) komputerowych nie doczekała się jak dotąd, w polskim piśmiennictwie prawnym kompleksowego opracowania. Takie podejście, wobec oczywistych potrzeb obrotu gospodarczego jest dosyć dziwne". Myślę, że lata lecą, a kwestie (cywilnoprawnej) odpowiedzialności za działanie programów komputerowych są nadal interesującym polem badań.

W rozpoczętej właśnie sprawie przeciwko Symantec chodzi o to, że "automatyczna aktualizacja" z 18 maja "zidentyfikowała" (false positive) dwa pliki systemu Windows XP jako oprogramowanie złośliwe (malware, malicious software) i w wyniku działania algorytmu przeznaczonego do ochrony przed tego typu oprogramowaniem - pliki (netapp32.dll oraz lsasrv.dll) zostały z systemu usunięte (program atywirusowy uznał je za Haxdoor Trojan). A w wyniku usnięcia plików - system przestał działać. A w wyniku zaprzestania działania systemu operacyjnego - komputer przestał nadawać się do użytku. Wspomniany wyżej prawnik - jak się wydaje - działa w swoim własnym imieniu, ale z dostępnych źródeł wynika, że w wyniku działania automatycznej aktualizacji w Chinach tysiące innych komputerów przestało działać. Liu Shihui przed sądem (Guangzhou Intermediate People's Court) podnosi jeszcze, że zwrócił się do korporacji Symantec oczekując pomocy, ale tej pomocy nie uzyskał (polecam przy okazji Spyware i support). Wobec braku pomocy ze strony Symanteca powód musiał skorzystać z innej pomocy technicznej, w celu odzyskania utraconych plików (aby system zadziałał należało "odzyskać" dwa pliki z płyty CD zawierającej kopie bezpieczeństwa systemu).

Wiadomo jeszcze, że przedstawiciel (rzecznik) Symanteca w Chinach złożył formalne wyrazy ubolewania na zwołanej w tym celu konferencji prasowej. Nie było jednak tam mowy o ewentualnym odszkodowaniu dla prawnika. Wiemy, że zespół Symanteca wypuścił dodatkową aktualizacje oprogramowania w 4, 5 godziny od momentu, w którym pracownicy korporacji zorientowali się, że ich wcześniejsze oprogramowanie działa wadliwie i dopuszcza do fałszywej identyfikacji (nieudolne tłumaczenie false positive) komponentów systemu jako oprogramowania szkodliwego (proszę powstrzymać się przed ewentualnymi komentarzami dotyczącymi tego, że być może wcale to nie był błąd i firma zajmująca się bezpieczeństwem poprawnie zidentyfikowała komponenty systemu MS jako oprogramowanie szkodliwe; por. przy okazji Symantec vs. Microsoft na tle kultury remiksu). A trzeba by być bardziej precyzyjnym i dopisać, że ta aktualizacja automatyczna dotyczyła bibliotek z definicjami oprogramowania szkodliwego (file definition), czyli na dyski klientów trafiły wadliwe wskazówki dotyczące tego jak zainstalowane tam oprogramowanie ma rozróżniać programy pożądane od tych, które są wadliwe. To nam dodatkowo komplikuje rozważania prawne, bo tu chodzi o coś więcej niż tylko działanie algorytmu. Tu chodzi o jeden z elementów takiego algorytmu, który zmienia się w czasie, w przyjętym modelu biznesowym LiveUpdate.

Dla porządku trzeba dodać, że jest jeszcze informacja o innym pozwie, w którym ktoś domaga się 50,000 juanów w związku z utraconymi danymi w swoim laptopie, w wyniku działania oprogramowania Symantec...

Obok odpowiedzialności cywilnoprawnej można się pewnie jeszcze zastanawiać nad wpływaniem na automatyczne przetwarzanie informacji i wpływem na systemy służące do takiego przetwarzania ("w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie" z art. 268a KK), polski kodeks karny mówi też w innych przepisach o nieuprawnionym kasowaniu danych (art. 268 KK: "Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią..."). A to już kieruje nasze myśli ku regulacjom prawnokarnym. Zarówno w cywilnoprawnych jak i prawnokarnych rozważaniach warto pochylić się nad winą (jej stopniami)...

O sprawie można przeczytać również w innych źródłach:

A ja ze swojej strony jeszcze mógłbym zaproponować: Awaria w Hiszpanii - jak to jest z odpowiedzialnością za "ruch" przedsiębiorstw telekomunikacyjnych? (zwłaszcza komentarze do tego tekstu), USA: pozwy w sprawie rootkita Sony, Odpowiedzialność za oprogramowanie, felieton Nadchodzi czas wielkiej kwarantanny oraz inne w dziale wirusy (oraz spam - bo przecież trudno uznać taką "wadliwą aktualizacje" za przesłanie informacji oczekiwanej i chcianej) niniejszego serwisu (gdzieś tu miałem nawet doniesienie na temat przypadkowego zainfekowania wirusem komputerów klientów przez firmę zajmująca się właśnie ochroną antywirusową, będę musiał w wolnej chwili poszukać raz jeszcze zgromadzone zasoby; tu już jest ponad 7 tys doniesień)... A jeszcze - "z innej beczki" - Błędy systemów polskiego e-commerce i "rozsądna ocena" czegokolwiek oraz Wirtualny terror.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

Przekleństwo białkowego interfejsu

VaGla's picture

Przypomniałem sobie (jak wyżej), że na pewno było takie doniesienie, które dotyczyło przypadkowego zainfekowania abonentów usługi antywirusowej przez przedsiębiorstwo zajmujące się bezpieczeństwem. Nie mogę tego znaleźć i dręczy mnie to niezwykle (a muszę odejść od komputera, i tak jestem przez to już spóźniony). Jeśli ktoś ma akurat trochę czasu i chciałoby mu się pogrzebać w Sieci - proszę o sygnał. Nie będę mógł zasnąć teraz jeśli tego nie znajdę... Ehhh... Przekleństwo.
--
[VaGla] Vigilant Android Generated for Logical Assassination

Nie zwariowałem: rok 2004, F-Secure i NetSky.B...

VaGla's picture

Uffff! Wiedziałem, że to gdzieś odnotowałem. Rok 2004, a w serwisie krótka notatka Błąd człowieka - wirusy, którą wówczas przywołałem za Dziennikiem Internautów: "Firma F-Secure, producent popularnego oprogramowania antywirusowego, przeprosiła ostatnio za rozesłanie wirusa NetSky.B do kilku tysięcy swoich klientów i partnerów z Wielkiej Brytanii". Strasznie mnie to męczyło, ale już jestem spokojny, nie zwariowałem, to tam naprawdę było... Ufff...
--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>