Sfera prawna

W kwestii wniosków i postulatów odnoszących się do aspektów prawnych Internetu Rzeczy i możliwości wykorzystania jego funkcjonalności lub podatności do popełniania przestępstw to część była przedstawiana w poszczególnych rozdziałach, ponieważ dotyczyła konkretnych przykładów i sytuacji. Z tego powodu zasadnym było

114 omówienie obok wspomnianych obserwacji. W ramach podsumowania należy zwrócić raczej uwagę na bardziej ogólne rekomendacje. Zwięzła synteza aktualnych przepisów dotyczących postepowania dowodowego pozwala na sformułowanie wniosków odnośnie tego aspektu postępowania karnego. Szczególnie w odniesieniu do kwestii dowodów cyfrowych i sieciowych, a więc ich specyfiki w stosunku do innego typu dowodów.

Dotyczy to głównie ich gromadzenia i zabezpieczania na poczet postępowania przygotowawczego oraz sądowego, w sposób zapewniający ich poufność, integralność oraz autentyczność. W ten sposób nie powinno być wątpliwości, co do ich wartości dowodowej. Wnioski płynące z tej analizy pozwalają stwierdzić, że w obecnym stanie prawnym byłyby ogromne problemy w zakresie odpowiedniej interpretacji dowodów sieciowych. To one mają największe znaczenie odnośnie cyberprzestępczości związanej z rozwojem Internetu Rzeczy.

Na uwagę ponadto zasługuje ustawa o krajowym systemie cyberbezpieczeństwa²⁰⁵ mający implementować założenia dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/1148 z 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii²⁰⁶ do polskiego porządku prawnego. Nakłada ona konkretne obowiązki na podmioty: operatorów usług kluczowych oraz dostawców usług cyfrowych, wskazanych przez uprawnione do tego organy. Ponadto tworzy kręgosłup systemu zarządzania i monitorowania zagrożeń dla cyberbezpieczeństwa państwa w formie zespołów reagowania na incydenty bezpieczeństwa komputerowego. Wprowadza procedury dotyczące obsługi incydentów, współdziałania podmiotów i koordynacji całości tychże procesów. Na pełną ocenę w warstwie językowej oraz spodziewanej funkcjonalnej naturalnie trzeba będzie jeszcze poczekać do ostatecznego ukształtowania się treści projektu ustawy oraz finalnej wersji, która wejdzie w życie po jej uchwaleniu i opublikowaniu. Na podsumowanie i ocenę realizacji zadań oraz obowiązków z niej wynikających pod kątem stricte funkcjonalnym i z punktu widzenia bezpieczeństwa państwa poczekać trzeba będzie jeszcze dłużej.

Na gruncie przepisów UKSC w kontekście niebezpieczeństw wynikających z przestępczości wykorzystującej funkcjonalności lub podatności Internetu Rzeczy należy zwrócić uwagę na potencjalne problemy w sferze funkcjonalnej oraz w kwestii efektywności działań. Rzeczona ustawa wprowadza, jak to zostało wspomniane, podział

205 T.j. Dz. U. z 2020 r., poz. 1369.

206 Dz. Urz. UE L 194.

115 kompetencji w zakresie reagowania na incydenty bezpieczeństwa komputerowego pomiędzy trzy zespoły. Ich poszczególne zakresy odpowiedzialności są rozdzielone, więc w warstwie kompetencyjnej nie należy się spodziewać problemów. Przyjęto podejście zdekoncentrowane i podział kompetencji oraz zadań w warstwie operacyjno-technicznej pomiędzy trzy Zespoły Reagowania na Incydenty Bezpieczeństwa Komputerowego, czyli tak zwane CSIRTy: CSIRT, GOV, CSIRT NASK i CSIRT MON²⁰⁷. Zespoły te zajmują się koordynacją obsługi incydentów na poziomie krajowym i mają równorzędny status.

UKSC nie jest jednak dokumentem idealnym i wymagać będzie zmian w przyszłości. Niektóre przepisy oraz nakładane obowiązki mogą nie wytrzymać tak zwanej próby czasu lub mogą nie być możliwe do praktycznego wdrożenia. Jednak już w warstwie tekstowej można dostrzec pewne elementy, które mogłyby ulec poprawie już w tym momencie. Szczególnie rzucające się w oczy są aspekty lingwistyczne, zarówno w tłumaczeniu tytułu dokumentu, który jest implementowany przez UKSC oraz w treści samej ustawy. Jak zauważa się w doktrynie oryginalny zapis „information systems” został przetłumaczony na język polski jako „systemy informatyczny”, zamiast istniejącego w polskim języku prawnym pojęcia „systemy informacyjne”. To drugie określenie jest szersze znaczeniowo aniżeli pierwsze, co powoduje, że powstaje wątpliwość co do zasadności takiego, a nie innego tłumaczenia²⁰⁸. Podobne, wobec braku innego bardziej adekwatnego określenia, rozbieżności w przekładzie dostrzec można w tłumaczeniach na inne języki. W ich przypadku również, tak jak w polskim tłumaczeniu, wymienne są słowa

„informacja” i „informatyka”²⁰⁹. W kwestii warstwy językowej samej ustawy należy się zastanowić nad zasadnością mieszania nazewnictwa polskiego i angielskiego, jak na przykład ma to miejsce w przypadku Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego. Wobec nich użyto skrót z języka angielskiego: CSIRT. Podkreślić należy, że oba pojęcia, zarówno długie (po polsku), jak i krótkie (po angielsku) występują w ustawie. Jest to pewna niekonsekwencja, choć na pewno nie w stopniu uniemożliwiającym lub wpływającym na stosowanie przepisów w praktyce. W tym wymiarze należy też wspomnieć, że skoro już przyjęta została koncepcja stosowania angielskojęzycznego skrótu, to powinno się stosować dany język konsekwentnie.

Natomiast na gruncie przepisów UKSC łączy się angielski skrót CSIRT z polskimi

207 K. Prusak-Górniak, K. Silicki, Art. 26, w: G. Szpor, A. Gryszczyńska, K. Czaplicki (red.), Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, Wolters Kluwer, Warszawa 2019.

208 G. Szpor, Wprowadzenie, w: G. Szpor, A. Gryszczyńska, K. Czaplicki (red.), op. cit.

209 Por. ibidem, przypis nr 12.

116 skrótami jak NASK (Naukowa Akademicka Sieć Komputerowa) czy MON (Ministerstwo Obrony Narodowej). Wskazane rozbieżności nie wpływają w sposób znaczący na praktyczne stosowanie ustawy, jednak mogą wpływać na odbiór tekstu.

Niewątpliwie wartym odnotowania aspektem problematycznym pozostającym na styku prawa karnego i innych gałęzi prawa jest problematyka związaną z danymi osobowymi. W tym w szczególności z obecnie implementowanym i wdrażanym Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli tzw. ogólne rozporządzenie o ochronie danych, RODO (ang. General Data Protection Regulation, GDPR). Stale poszerzana ochrona danych osobowych i prawa do prywatności niesie ze sobą kolejne wyzwania dla badaczy i producentów urządzeń wykorzystujących funkcjonalności zjawiska Internetu Rzeczy. Implikuje to nie tylko poszerzanie horyzontów w kwestii zabezpieczeń systemów informatycznych przed atakiem, wtargnięciem, zmienianiem lub zakłócaniem działania, ale także dbałość o uniemożliwianie dostępu do informacji noszących cechy danych osobowych. Należy zwrócić uwagę na bezpieczeństwo systemów i sieci przetwarzających tego rodzaju informacje i podjęcie starań mających na celu zapewnienie przestrzegania zasad ścisłego bezpieczeństwa. Przykładowo poprzez niepodłączanie zbędnych urządzeń (z punktu widzenia prawidłowego funkcjonowania systemów i sieci) mających jednocześnie funkcjonalności komunikacji bezprzewodowej z innymi urządzeniami. Im mniej urządzeń połączonych dodatkowo, a niepotrzebnych z punktu widzenia prawidłowości funkcjonowania, tym mniejsza szansa na wykorzystanie podatności, ponieważ każde dodatkowe urządzenie dodaje potencjalnie kolejne wady i niedostatki w kwestii zabezpieczeń.

W odniesieniu do przestępczości wykorzystującej funkcjonalności lub podatności Internetu Rzeczy występują i będą dalej występować problemy natury prawnej na styku cyberbezpieczeństwa, prawa ochrony danych osobowych i bezpieczeństwa informacji oraz prawa karnego i kryminalistyki. Wraz z implementacją coraz większej liczby systemów informatycznych i informacyjnych do codziennego funkcjonowania, choćby administracji państwowej lub służby zdrowia, należy się spodziewać pogłębienia interdyscyplinarnych problemów. Wyzwaniem dla organów ścigania, wymiaru sprawiedliwości oraz państwowych, w tym władzy ustawodawczej i wykonawczej, będzie adekwatne

117 reagowanie na występujące nowe problemy wynikające z rozwoju nowych technik oraz technologii informatycznych.