Odpowiedzialność za LiveUpdate definicji malware

"Oprogramowanie dostarczane jest "as is", a producent nie ponosi odpowiedzialności za jego działanie..." Umowy licencyjne bardzo starają się wyłączyć wszelką odpowiedzialność "producentów oprogramowania". Ale jak to z tym jest? Pojawiło się doniesienie dotyczące działań pewnego chińskiego prawnika, który postanowił dochodzić roszczeń przeciwko Symantec'owi. Nie ma zbyt wiele tego typu spaw. W sygnalizowanej chodzi o to, że chiński prawnik stara się wykazać związek pomiędzy zdalną aktualizacją oprogramowania, a tym, że w wyniku tej aktualizacji jego komputer przestał działać - wobec czego poniósł szkody.

O sprawie pisze Hacking.pl (za vnunet.com) w tekście Firma Symantec pozwana do sądu za aktualizację: "Liu Shihui, radca prawny z prowincji Guangdong pozywa Symanteca na kwotę 1644 juanów (czyli ponad 100 funtów) za straty poniesione w wyniku automatycznej aktualizacji programu Norton Anti-Virus".

Zachęcam do sięgnięcia do pracy magisterskiej p. Sebastiana Wojdyły, pt. Wadliwość oprogramowania komputerowego jako przedmiotu obrotu prawnego (2005), pracy Programy komputerowe i bazy danych jako samodzielne dobra na gruncie prawa polskiego autorstwa p. Leszka Widmańskiego (2003) oraz pracy Wirusy Komputerowe. Analiza prawnokarna autorstwa p. Marka Świtały (2001). W pierwszej z wymienionych prac (najbardziej chyba adekwatnej do poruszanego właśnie tematu) można przeczytać: "Niestety trudno doszukać się prowadzenia takich dyskusji w polskiej doktrynie, co więcej kwestia wadliwości programów (oprogramowania) komputerowych nie doczekała się jak dotąd, w polskim piśmiennictwie prawnym kompleksowego opracowania. Takie podejście, wobec oczywistych potrzeb obrotu gospodarczego jest dosyć dziwne". Myślę, że lata lecą, a kwestie (cywilnoprawnej) odpowiedzialności za działanie programów komputerowych są nadal interesującym polem badań.

W rozpoczętej właśnie sprawie przeciwko Symantec chodzi o to, że "automatyczna aktualizacja" z 18 maja "zidentyfikowała" (false positive) dwa pliki systemu Windows XP jako oprogramowanie złośliwe (malware, malicious software) i w wyniku działania algorytmu przeznaczonego do ochrony przed tego typu oprogramowaniem - pliki (netapp32.dll oraz lsasrv.dll) zostały z systemu usunięte (program atywirusowy uznał je za Haxdoor Trojan). A w wyniku usnięcia plików - system przestał działać. A w wyniku zaprzestania działania systemu operacyjnego - komputer przestał nadawać się do użytku. Wspomniany wyżej prawnik - jak się wydaje - działa w swoim własnym imieniu, ale z dostępnych źródeł wynika, że w wyniku działania automatycznej aktualizacji w Chinach tysiące innych komputerów przestało działać. Liu Shihui przed sądem (Guangzhou Intermediate People's Court) podnosi jeszcze, że zwrócił się do korporacji Symantec oczekując pomocy, ale tej pomocy nie uzyskał (polecam przy okazji Spyware i support). Wobec braku pomocy ze strony Symanteca powód musiał skorzystać z innej pomocy technicznej, w celu odzyskania utraconych plików (aby system zadziałał należało "odzyskać" dwa pliki z płyty CD zawierającej kopie bezpieczeństwa systemu).

Wiadomo jeszcze, że przedstawiciel (rzecznik) Symanteca w Chinach złożył formalne wyrazy ubolewania na zwołanej w tym celu konferencji prasowej. Nie było jednak tam mowy o ewentualnym odszkodowaniu dla prawnika. Wiemy, że zespół Symanteca wypuścił dodatkową aktualizacje oprogramowania w 4, 5 godziny od momentu, w którym pracownicy korporacji zorientowali się, że ich wcześniejsze oprogramowanie działa wadliwie i dopuszcza do fałszywej identyfikacji (nieudolne tłumaczenie false positive) komponentów systemu jako oprogramowania szkodliwego (proszę powstrzymać się przed ewentualnymi komentarzami dotyczącymi tego, że być może wcale to nie był błąd i firma zajmująca się bezpieczeństwem poprawnie zidentyfikowała komponenty systemu MS jako oprogramowanie szkodliwe; por. przy okazji Symantec vs. Microsoft na tle kultury remiksu). A trzeba by być bardziej precyzyjnym i dopisać, że ta aktualizacja automatyczna dotyczyła bibliotek z definicjami oprogramowania szkodliwego (file definition), czyli na dyski klientów trafiły wadliwe wskazówki dotyczące tego jak zainstalowane tam oprogramowanie ma rozróżniać programy pożądane od tych, które są wadliwe. To nam dodatkowo komplikuje rozważania prawne, bo tu chodzi o coś więcej niż tylko działanie algorytmu. Tu chodzi o jeden z elementów takiego algorytmu, który zmienia się w czasie, w przyjętym modelu biznesowym LiveUpdate.

Dla porządku trzeba dodać, że jest jeszcze informacja o innym pozwie, w którym ktoś domaga się 50,000 juanów w związku z utraconymi danymi w swoim laptopie, w wyniku działania oprogramowania Symantec...

Obok odpowiedzialności cywilnoprawnej można się pewnie jeszcze zastanawiać nad wpływaniem na automatyczne przetwarzanie informacji i wpływem na systemy służące do takiego przetwarzania ("w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie" z art. 268a KK), polski kodeks karny mówi też w innych przepisach o nieuprawnionym kasowaniu danych (art. 268 KK: "Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią..."). A to już kieruje nasze myśli ku regulacjom prawnokarnym. Zarówno w cywilnoprawnych jak i prawnokarnych rozważaniach warto pochylić się nad winą (jej stopniami)...

O sprawie można przeczytać również w innych źródłach:

• Man sues Symantec for computer crash
• Chinese lawyer to take Symantec to court over XP file deletion
• Chinese lawyer sues Symantec for computer collapse caused by Norton update
• Chinese user sues Symantec over dodgy updates
• Symantec sued over computer collapse

A ja ze swojej strony jeszcze mógłbym zaproponować: Awaria w Hiszpanii - jak to jest z odpowiedzialnością za "ruch" przedsiębiorstw telekomunikacyjnych? (zwłaszcza komentarze do tego tekstu), USA: pozwy w sprawie rootkita Sony, Odpowiedzialność za oprogramowanie, felieton Nadchodzi czas wielkiej kwarantanny oraz inne w dziale wirusy (oraz spam - bo przecież trudno uznać taką "wadliwą aktualizacje" za przesłanie informacji oczekiwanej i chcianej) niniejszego serwisu (gdzieś tu miałem nawet doniesienie na temat przypadkowego zainfekowania wirusem komputerów klientów przez firmę zajmująca się właśnie ochroną antywirusową, będę musiał w wolnej chwili poszukać raz jeszcze zgromadzone zasoby; tu już jest ponad 7 tys doniesień)... A jeszcze - "z innej beczki" - Błędy systemów polskiego e-commerce i "rozsądna ocena" czegokolwiek oraz Wirtualny terror.