Przestępstwa przeciwko ochronie informacji
zostały ujęte wrozdz. XXXIII Kodeksu karnego i łączy je tożsamość dobra podlegającego chronione prawnej, za jakie uważana jest informacja. Pod tym ostatnim pojęciem należy rozumieć wiadomość lub sumę wiadomości o osobie albo o stanie rzeczy dotyczącą faktów, stanowiącą logiczną całość, niezależnie od nośników, na jakich jest utrwalana, przekazywana czy przechowywana. Poszczególne przepisy zostały jednak poświęcone różnym kategoriom informacji.
Ochronie informacji niejawnych, opatrzonych klauzulą „tajne” lub „ściśle tajne”, a określanych zwyczajowo jako tajemnica państwowa, poświęcony został art. 265 k.k. Zgodnie z ustawą o ochronie informacji niejawnych (art. 5 ust. 1) klauzulą „ściśle tajne” mogą zostać opatrzone informacje, których ujawnienie albo nieupoważnione wykorzystanie może spowodować wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej, np. poprzez wprowadzenie zagrożenia dla jej integralności, bezpieczeństwa zewnętrznego lub wewnętrznego, gotowości obronnej, sojuszy międzynarodowych. W myśl tej samej ustawy (art. 5 ust. 2), termin „informacje tajne” należy utożsamiać z danymi, których nieuprawnione ujawnienie spowoduje poważną szkodę dla Rzeczpospolitej Polskiej, np. poprzez uniemożliwienie realizacji podstawowych zadań państwa i jego konstytucyjnych organów.
Naruszeniu tajemnicy zawodowej i służbowej poświęcony został art. 266 k.k. Pojęcie tajemnicy zawodowej trzeba utożsamiać zarówno z tajemnicą zawodową w wąskim znaczeniu tego słowa – związaną z zawodem, z którym łączy się określony stopień zaufania, jak i z tajemnicą zawodową w sensie szerszym – obejmującym wszelkie poufne informacje uzyskane w związku z wykonywaną działalnością gospodarczą, naukową społeczną i publiczną. Obowiązek zachowania tajemnicy może mieć przede wszystkim źródło ustawowe. Dotyczy to niektórych zawodów o istotnym znaczeniu społecznym, takich jak dziennikarz, adwokat, radca prawny, doradca podatkowy czy lekarz. Szczególną postacią ujawnienia tajemnicy zawodowej jest ujawnienie informacji o klauzuli „zastrzeżone” lub „poufne” lub informacji uzyskanej w związku z wykonywaniem czynności służbowych przez funkcjonariusza publicznego. Warunkiem odpowiedzialności funkcjonariusza za czyn, o którym mowa w art. 266 § 2 k.k., jest możliwość narażenia na szkodę prawnie chronionego interesu w związku z ujawnieniem informacji osobie nieuprawnionej.
Jeszcze szerszy katalog informacji objęty został ochroną w art. 267 k.k. dotyczącym wejścia w posiadanie każdej informacji dla sprawcy nieprzeznaczonej. Przepis ten penalizuje wszelkie działania wymierzone przeciwko wolności decyzji jednostki co do ujawniania lub zachowania w tajemnicy okoliczności dotyczących jej, niezależnie od typu danych. Za informację nieprzeznaczoną dla sprawcy należy uznać każdą, której adresatem jest ktoś inny, a sprawca nie jest natomiast uprawniony, aby się z nią zapoznać na podstawie ustawy, umowy czy innego rodzaju upoważnienia. Podobnie art. 268 k.k. dotyczy utrudniania czy udaremniania osobie uprawnionej dostępu do informacji istotnej, niezależnie od jej rodzaju, art. 268a zaś takich samych działań w odniesieniu do danych informatycznych. Dane te definiuje się jako dowolny ciąg znaków mający funkcjonalne znaczenie w ramach systemu informatycznego, a więc służący przeprowadzeniu określonej operacji w ramach tego systemu. Definicję tę wypełniają zarówno dane informatyczne funkcjonujące w ramach sieci informatycznej, jak i dane informatyczne utrwalone na nośnikach poza tym systemem. Rozróżnienie typów danych wiąże się z zastrzeżeniem surowszej kary dla działań wymierzonych w interesy podmiotu uprawnionego do korzystania z danych informatycznych.
Ochronie wybranych rodzajów danych informatycznych został poświęcony art. 269 k.k., który dotyczy tylko informacji o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego.
Katalog sposobów działania sprawców popełniających przestępstwa przeciwko ochronie informacji, ujętych w rozdz. XXXIII Kodeksu karnego, obejmuje bardzo szerokie spektrum. Ustawodawca w art. 265 k.k. i 266 k.k. posługuje się pojęciami ujawnienia lub wykorzystania informacji niejawnych. Przez pojęcie ujawnienia należy rozumieć każde zachowanie powodujące, że inna osoba zapoznaje się z treścią informacji, niezależnie od sposobu jej przekazania. Może polegać na przekazaniu dokumentu, szyfru, środków technicznych czy kodów służących do przełamania mechanicznych lub elektronicznych zabezpieczeń treści informacji. Ujawnienie może także polegać na użyciu znaku lub gestu. Ujawnienie tajemnicy zachodzi wyłącznie wówczas, gdy inna osoba zapoznała się z treścią informacji w sposób, który pozwolił jej zrozumieć jej sens. Do dokonania tego przestępstwa nie jest natomiast konieczne, by osoba taka, rozumiejąc treść informacji, która jest jej przekazywana, miała równocześnie świadomość, że informacja ta ma charakter tajemnicy. Nie stanowi natomiast ujawnienia przekazanie informacji osobie uprawnionej czy upoważnionej do jej posiadani albo tej, która już wcześniej dysponowała określonymi informacjami.
Termin „wykorzystanie” należy odnosić do wszelkich działań podejmowanych przez sprawcę, dla których znajomość informacji niejawnych była podstawowym impulsem do ich podjęcia, a które nakierowane są na uzyskanie określonej korzyści dla sprawcy lub innego podmiotu. Przykładami wykorzystania informacji może być dopuszczenie się szantażu wobec osób, których dane osobowe objęte są tajemnicą, czy opatentowanie wynalazku stworzonego na podstawie niejawnych wyników badań naukowych.
Przestępstwo, o którym mowa w art. 267 k.k., polega na nieuprawnionym uzyskaniu dostępu do informacji nieprzeznaczonej dla sprawcy, który działa w jeden ze wskazanych w tym przepisie sposobów, tj. poprzez: otwarcie zamkniętego pisma, podłączenie się do sieci telekomunikacyjnej lub przełamanie albo ominięcie elektronicznego, magnetycznego, informatycznego lub innego szczególnego zabezpieczenia.
Uzyskanie dostępu do systemu informatycznego (art. 267 § 2 k.k.) jest karane niezależnie od metod wykorzystanych przez sprawcę oraz od przyświecającego mu celu. Nie jest także istotne, czy na skutek swojego działania uzyskał on dostęp do informacji dla niego nieprzeznaczonych ani czy się z nimi zapoznał. Samo usytuowanie tego przepisu zaraz po normie regulującej uzyskanie dostępu do informacji dla sprawcy nieprzeznaczonej wskazuje, że w ocenie ustawodawcy także w ten sposób może przebiegać działanie sprawcy chcącego uzyskać dostęp do takich informacji. Pojęcie dostępu należy interpretować w ujęciu informatycznym, a nie potocznym. Do realizacji znamion typu czynu zabronionego z art. 267 § 2 nie jest konieczne, by uzyskanie dostępu do całości lub części systemu informatycznego połączone było z przełamaniem jakiegokolwiek szczególnego zabezpieczenia. Wystarczające jest, jeżeli sprawca działa wbrew woli uprawnionego podmiotu, który jest dysponentem sieci.
Zakładanie lub posługiwanie się urządzeniem podsłuchowym (zob. podsłuch), wizualnym albo innym urządzeniem lub oprogramowaniem w celu pozyskiwania informacji przez osoby nieuprawnione, w świetle art. 267 § 3 k.k. stanowi odrębne przestępstwo, niezależnie od tego, czy sprawca osiągnął zamierzone efekty. Pod pojęciem urządzenia podsłuchowego należy rozumieć każde urządzenie umożliwiające zarówno podsłuch bezpośredni, stosowany w pomieszczeniach lub w pojazdach, jak i podsłuch pośredni, pozwalający na przechwytywanie informacji przesyłanych za pomocą sieci telefonicznej czy internetowej. Urządzeniem wizualnym jest każde urządzenie pozwalające na przesyłanie lub rejestrowanie obrazu, zarówno elektroniczne, jak i optyczne. Trzeba jednak zaznaczyć, że nie stanowi przestępstwa nagranie rozmowy przez osobę osobiście w niej uczestniczącą, jest ona bowiem uprawniona do pozyskania informacji już przez samo uczestnictwo w rozmowie.
Zachowanie sprawy czynu, o którym mowa w art. 268 § 1 k.k., może natomiast polegać na: niszczeniu, uszkadzaniu, usuwaniu lub zmienianiu zapisu informacji istotnych. Należy podkreślić, że jest to wyliczenie przykładowe, a omawiane przestępstwo można popełnić także poprzez udaremnienie lub znaczne utrudnienie osobie uprawnionej zapoznania się z informacją w inny sposób. Ustawodawca przewidział (art. 268 § 2 k.k.) surowszą karę dla sprawy, który wymienionych zachowań dopuszcza się względem zapisu na informatycznym nośniku danych. Pojęcie informatycznego nośnika danych należy odnosić względem wszelkich nośników danych umożliwiających ich automatyczne przetwarzanie, gromadzenie lub przesyłanie, takich jak: dyski twarde, dyski przenośne, karty pamięci czy serwery komputerowe.
W sposób bardzo zbliżony względem ujętego w art. 268 § 1 k.k. opisane zostały zachowania sprawców czynów z art. 268a § 1 k.k. oraz z art. 269 § 1 k.k. W obu tych przepisach powielono wyliczenie znamion czasownikowych wymienionych w art. 268 § 1 k.k., ujmując dodatkowo zakłócanie, uniemożliwianie automatycznego przetwarzania, gromadzenia lub przekazywania danych. Dywersyfikacja występująca pomiędzy oboma tymi przepisami polega na tym, że przedmiotem ochrony w art. 268a § 1 k.k. jest niezakłócone przetwarzanie danych informatycznych, w ogólności zaś w art. 269 § 1 k.k. integralność danych o szczególnym, opisanym w przepisie znaczeniu. Dodatkowo w art. 269 § 2 k.k. ustawodawca ujął przypadek, gdy sprawca realizuje znamiona czynu opisane w paragrafie 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych.
Czynom wymierzonym przeciwko bezpieczeństwu systemów informatycznych, systemów i sieci teleinformatycznych poświęcony został art. 269a. Przepis kryminalizuje istotne zakłócanie pracy wskazanych systemów lub sieci przez wymienione w nim czynności: transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych.
Czyn zabroniony z art. 269b k.k. może przybrać kilka form: wytwarzania, pozyskiwania, zbywania lub udostępniania innym osobom urządzeń lub programów komputerowych przystosowanych do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4 k.k., art. 267 § 3 k.k., art. 268a § 1 i § 2 k.k., art. 269 § 1 i § 2 k.k., art. 269a k.k., a także haseł komputerowych, kodów dostępu lub innych danych umożliwiających nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej.
Spośród czynów ujętych w rozdz. XXXIII Kodeksu karnego, charakter nieumyślny ma jedynie czyn z art. 265 § 3 k.k., dotyczący ujawnienia lub wykorzystania informacji niejawnych o klauzuli „tajne” lub „ściśle tajne”, z którą sprawca zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upoważnieniem. Definicja funkcji publicznej wynika z art. 115 § 19 k.k.
Konstrukcję przestępstwa indywidualnego przyjęto za art. 266 § 2 k.k., traktującym o przypadku ujawnienia osobie nieuprawnionej przez funkcjonariusza publicznego informacji niejawnej o klauzuli „zastrzeżone” lub „poufne” lub informacji, którą uzyskał w związku z wykonywaniem czynności służbowych, a której ujawnienie może narazić na szkodę prawnie chroniony interes. Sporna pozostaje natomiast kwestia, czy przestępstwo z art. 265 ma charakter indywidualny, czy też powszechny. Za pierwszą ze wskazanych kwalifikacji przemawiać ma to, że przepisy ustawy o ochronie informacji niejawnych oraz innych ustaw nakładają na określone podmioty obowiązek nadawania określonej klauzuli tajności oraz regulują zasady ujawniania informacji. Można zatem przyjąć, że warunkiem odpowiedzialności karnej z art. 265 jest naruszenie konkretnego zakazu ujawnienia informacji niejawnych mających charakter tajemnicy państwowej zawartego w ustawach pozakodeksowych. Jeżeli w danym przypadku nie istniała norma o charakterze ustawowym, zakazująca sprawcy ujawniania tajemnicy państwowej, to takie ujawnienie nie jest bezprawne i nie może się stać podstawą przypisania odpowiedzialności karnej. Pogląd przeciwny, wskazujący na powszechny charakter omawianego przestępstwa, opiera się na wykładni językowej przepisu oraz na wskazaniu, że Kodeks karny może samodzielnie ustanawiać normy zakazu i nakazu, bez względu na to, jakie są uregulowania ustawy o ochronie informacji niejawnych czy innych aktów prawnych (pogląd wyrażony przez Sąd Najwyższy w uchwale z 26.03.2009 r., I KZP 35/08).
Typ kwalifikowany przez następstwa w postaci wyrządzenia czynem znacznej szkody majątkowej wprowadzono w stosunku do czynów, o których mowa w art. 268 § 3 k.k. i 268a § 2 k.k.
Tryb wnioskowy ścigania, uzależniający możliwość prowadzenia postępowania od złożenia wniosku o ściganie przez pokrzywdzonego przestępstwem, przewidziany został w odniesieniu do czynów z art. 266 § 1 k.k., 267 § 1–4 k.k., 268 § 1–3 k.k. oraz 268a § 1–2 k.k.
P. Kozłowska-Kalisz, Komentarz aktualizowany do art. 265–269(a) Kodeksu karnego, [w:] Kodeks karny. Komentarz aktualizowany, M. Mozgawa (red.), LEX/el., 2018; M. Leciak, Karnoprawna ochrona informacji niejawnych, Towarzystwo Naukowe Organizacji i Kierownictwa „Dom Organizatora”, Toruń 2012; Ustawa z dnia 6 czerwca 1997 r. – Kodeks karny, tekst jednolity Dz.U.2018.1600 j.t.; Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, teks jednolity: Dz.U.2018.412.