| Jak to jest z Policją i szyfrowaniem danych |
| 07 Października 2007 |
 Kilka dni temu jeden z czytelników serwisu napisał do mnie maila, którego cytuje poniżej. Generalnie chodziło o ewentualny zarzut utrudniania śledztwa przez osobę, która nie chce udostępnić uprawnionym organom (np. policji) klucza szyfrującego dane. Pozwolę sobie na ten mail odpowiedzieć tutaj, głównie dla tego, że w dość kontrowersyjny sposób podobny problem rozwiązano w Wielkiej Brytanii. Kilka dni temu akt prawny zatytułowany The Regulation of Investigatory Powers Act, regulujący uprawnienia organów śledczych wprowadził obowiązek pomocy w odszyfrowaniu danych, za nie wywiązanie się z niego grozi nawet do 5 lat pozbawienia wolności, jeżeli śledztwo dotyczy terroryzmu lub bezpieczeństwa narodowego - w pozostałych wypadkach, górna granica wymiaru kary wynosi dwa lata pozbawienia wolności.
Jest to swoisty precedens wiążący się ze złamaniem pewnych standardów obowiązujących w europejskim prawie karnym. Zobowiązuje bowiem do współpracy, każdego kto zostanie do tego wezwany - łącznie z podejrzanym w danej sprawie. Do tej pory przyjęte było (i dalej jest w większości, m.in. Polsce), że nikt nie ma obowiązku dostarczania obciążających się dowodów. W wypadku odmowy podania klucza szyfrującego, bądź dostarczenia już odszyfrowanych danych trzeba liczyć się z odpowiedzialnością karną. Co więcej osoba, która otrzymuje wezwanie nie może podzielić się z tą informacją z nikim, po za własnym prawnikiem. A co jeżeli zapomni się hasła, lub pliki przy pomocy których zaszyfrowano dane (można przecież szyfrować dane przy użyciu innych danych, np. zdjęć, plików mp3 - taką opcję ma m.in. TrueCrypt) zostaną uszkodzone lub usunięte? RIPA nie określa takiej sytuacji wprost, należy jednak przypuszczać, że braku możliwości odszyfrowania danych trzeba dowieść przed sądem, co może być po prostu nie możliwe. Jak bowiem udowodnić niepamięć? Ratio legis RIPA to przede wszystkim zwalczanie terroryzmu. W Wielkiej Brytanii nie pierwszy raz zobowiązuje się kogoś do współpracy z policją, aby skuteczniej przeciwdziałać zagrożeniom. O ile jednak, zobowiązanie dostawców usług elektronicznych do przekazywania przechowywanych przez nich informacji w ciągu 24 godzin od wezwania bez wątpienia jest skuteczne. O tyle założenia RIPA prawdopodobnie będą tylko martwym prawem. Jeżeli bowiem za terroryzm może komuś grozić dożywotnie pozbawienie wolności, to przecież prędzej narazi się on na skazanie za brak współpracy, niżeli odszyfruje obciążające go dowody. Wracając jednak do listu od czytelnika, oto jego treść: Witam! Ostatnio jeden z moich kolegów pochwalił mi się, że kupił do dysku przejściówkę szyfrującą (szyfrowanie sprzętowe z użyciem klucza: [tutaj link do strony producenta]). Czy jeżeli będzie na dysku przechowywał np. program na który nie ma licencji bądź filmy, do oglądania których nie ma praw (np. skopiował od kogoś, kto ściągnął z Internetu) i nie będzie możliwe udowodnienie mu przestępstwa na podstawie logów aktywności w sieci, a zawartość jego dysku będzie zaszyfrowana i nie będzie chciał udostępnić klucza (może np. powiedzieć, że właśnie wczoraj zgubił), to może mu zostać postawiony jakiś zarzut (utrudnianie śledztwa, czy coś takiego)? Czy jest możliwe odczytanie takiego dysku (czy np. organa ścigania mogą zwrócić się do producenta o udostępnienie urządzenia/klucza/pomoc w złamaniu klucza itp. itd. i czy producent miałby obowiązek zgody na takie coś)? Pozdrawiam Co do zarzutu utrudniania śledztwa, czyli popełnienia przestępstwa poplecznictwa: Kodeks Karny, Art. 239. § 1. Kto utrudnia lub udaremnia postępowanie karne, pomagając sprawcy przestępstwa, w tym i przestępstwa skarbowego uniknąć odpowiedzialności karnej, w szczególności kto sprawcę ukrywa, zaciera ślady przestępstwa, w tym i przestępstwa skarbowego albo odbywa za skazanego karę, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. nie może być on postawiony sprawcy bądź współsprawcy danego przestępstwa. Jeżeli więc X szyfruje swój dysk, a następnie w toku prowadzonego przeciwko niemu postępowania nie udostępni klucza szyfrującego policji (nawet bez podania powodu) zgodnie z polskim prawem - nie podlega każe z art. 239. § 1. KK. Sąd może też nadzwyczajnie złagodzić karę, a nawet odstąpić od jej wymierzenia jeżeli poplecznictwo dotyczy osoby najbliższej: Kodeks Karny, Art. 239. § 3. Sąd może zastosować nadzwyczajne złagodzenie kary, a nawet odstąpić od jej wymierzenia, jeżeli sprawca udzielił pomocy osobie najbliższej albo działał z obawy przed odpowiedzialnością karną grożącą jemu samemu lub jego najbliższym. Natomiast jeżeli chodzi o odczytanie dysku - o ile techniczne możliwości odszyfrowania zakodowanych w ten sposób danych nie są mi znane. O tyle policja jak najbardziej ma prawo zwrócić się do producenta o pomoc, co ten musi uczynić. Taki obowiązek pojawił się w nowelizacji KPK z czerwca tego roku: Kodeks Postępowania Karnego, Art. 15. § 1. Policja i inne organy w zakresie postępowania karnego wykonują polecenia sądu i prokuratora oraz prowadzą pod nadzorem prokuratora śledztwo lub dochodzenie w granicach określonych w ustawie. § 2. Wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania do udzielania pomocy organom prowadzącym postępowanie karne w terminie wyznaczonym przez te organy. § 3. Osoby prawne lub jednostki organizacyjne niemające osobowości prawnej inne niż określone w § 2, a także osoby fizyczne są obowiązane do udzielenia pomocy na wezwanie organów prowadzących postępowanie karne w zakresie i w terminie przez nie wyznaczonym, jeżeli bez tej pomocy przeprowadzenie czynności procesowej jest niemożliwe albo znacznie utrudnione. Z treści § 3 wynikałoby, że nie tylko producent ale też np. kolega ze szkoły, który zna hasło, itp. musi pomóc policji jeżeli ta wezwie go do tego. |
Powiązane: |
|---|