Uzyskanie dostępu do cudzej skrzynki mailowej, a kwestia odpowiedzialności karnej

Konsekwencje prawne z tytułu utraty statusu studenta przez cudzoziemca wykonującego pracę
28 maja 2019

Zagadnienie bezpieczeństwa informacji znajdujących się na służbowych skrzynkach mailowych, w tym w szczególności kwestie związane z problematyką stosowanych zabezpieczeń przed dostępem osób nieuprawnionych stanowią szczególne wyzwanie już nie tylko dla tych podmiotów, której z racji branży w jakiej funkcjonują posługują się informacjami o szczególnym stopniu dyskrecjonalności. W czasach, w których obieg wszelkich danych odbywa się zasadniczo drogą elektroniczną, kwestia usankcjonowania czynów noszących znamiona tzw. hackingu stała się szczególnie istotna. Reakcją na powyższe był również szereg regulacji unijnych, za których przyczyną m.in. w polskim kodeksie karnym istotnym zmianom uległy zapisy znajdujące się w rozdziale typizującym przestępstwa przeciwko ochronie informacji.

Nieuprawnione uzyskanie dostępu do informacji znajdujących się na skrzynkach mailowych stanowi stosunkowo powszechny problem, którego źródłem wcale nie musi być atak hakerski przeprowadzony przez osoby trzecie. Coraz częściej bowiem nieuprawniony dostęp do informacji pozyskują zatrudnieni w strukturach danego podmiotu pracownicy. Odpowiedzią na powyższe z punktu widzenia ochrony prawnokarnej jest regulacja art. 267 § 1 k.k. Zgodnie z jego treścią: „Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”

Aby mówić więc o możliwości przypisania sprawcy popełnienia przedmiotowego czynu zachodzi konieczność zaistnienia określonych warunków.

Po pierwsze, brak uprawnień po stronie sprawcy do uzyskania dostępu do informacji znajdujących się na danych skrzynkach mailowych

Wykazanie, że sprawca nie miał uprawnień dostępowych do informacji znajdujących się na danej skrzynce pocztowej nie jest z reguły zagadnieniem problematycznym. Okoliczność ta zazwyczaj wynika wprost z faktu przynależności danego adresu e-mail do konkretnej osoby i tym samym adresata wiadomości na niej się znajdujących.

Brak uprawnienia do dostępu do skrzynek mailowych niejednokrotnie wynika również wprost z charakteru informacji, jakie są na nich przechowywane, często chodzi bowiem chodzi o dane dotyczące m. in. kwestii prawnych czy finansowych danej firmy, bądź takich zagadnień jak zasady wynagradzania obowiązujące w firmie, czy też dane dotyczące kontrahentów, do których siłą rzeczą dostęp mają jedynie ściśle określone w strukturze danego podmiotu osoby.

Przy ocenie kwestii braku uprawnień bierze się pod uwagę szereg okoliczności faktycznych towarzyszących danemu incydentowi z udziałem sprawcy. Przy czym zasadnicze znaczenie w tym kontekście mają intencje osoby, która jest dysponentem danej informacji (np. nadawcy wiadomości e-mail) w zakresie tego komu chciała informacje udostępnić i czy chociażby w sposób dorozumiany, miała na celu zachowanie poufności informacji w stosunku do sprawcy.

Poufność informacji względem sprawcy, musi jednak zostać zamanifestowana poprzez zastosowanie określonego zabezpieczenia, które rozumiane jest stosunkowo szeroko:

  • „Zabezpieczenie w rozumieniu art. 267 § 1 to wszelkie formy utrudnienia dostępu do informacji, których usunięcie wymaga wiedzy specjalnej lub posiadania szczególnego urządzenia lub kodu [W. Wróbel (w:) Kodeks karny. Część szczególna . Komentarz, t. 2, Komentarz do art. 117-277 k.k., red. A. Zoll, Warszawa 2008, s. 1291]. Zabezpieczenie musi mieć charakter elektroniczny, magnetyczny, informatyczny lub inny szczególny. Chodzi np. o zabezpieczenie hasłem dostępu do komputera, pliku, telefonu komórkowego, elektronicznego systemu bankowości itd.” (N. Kłączyńska [w:], J. Giezek (red.), Kodeks karny. Część szczególna. Komentarz, opubl. Lex 2014);
  • „Pojęcie zabezpieczenia obejmuje wszelkie formy utrudnienia dostępu do informacji, których usunięcie wymaga wiedzy specjalnej lub posiadania szczególnego urządzenia lub kodu. (…) Z perspektywy realizacji znamion nie jest ważny charakter zabezpieczenia. Istotna jest tutaj przede wszystkim manifestacja dysponenta informacji (por. F. Radoniewicz, Odpowiedzialność karna za hacking…, s. 292).” (W. Wróbel (red.), D. Zając [w:], W. Wróbel (red.), A. Zoll (red.), Kodeks karny. Część szczególna. Tom II. Część II. Komentarz do art. 212 – 277d, opubl. WKP 2017).

Już samo więc zastosowanie haseł zabezpieczających przed dostępem do skrzynek mailowych, co do zasady uznać trzeba za wystarczające dla przyjęcia, iż dysponent informacji wprowadził zabezpieczenia, by chronić konkretne informacje przed osobami nieuprawnionymi.

Po drugie, przełamanie lub ominięcie przez sprawcę elektronicznego, magnetycznego, informatycznego lub innego szczególnego zabezpieczenia w zakresie dostępu do skrzynki mailowej

Dla bytu przestępstwa z art. 267 § 1 k.k. koniecznym jest zrealizowanie przez sprawcę również znamion w zakresie tzw. strony przedmiotowej czynu (czynności sprawczej), w tym kontekście, „uzyskaniu dostępu do informacji” musi towarzyszyć, a właściwie poprzedzać go „przełamanie” bądź „ominięcie” zabezpieczeń, jakie zostały zastosowane zazwyczaj przez dysponenta danej informacji.

Co oczywiste pod zakresem ww. pojęć znajdą się wszelkie działania prowadzące do całkowitego zniszczenia danego zabezpieczenia ale też takie jego „pokonanie”, które w ostatecznym rozrachunku nie doprowadzi do trwałego usunięcia zabezpieczeń. Co jednak w sytuacji, gdy sprawca do uzyskania dostępu do skrzynek mailowych wykorzysta nabytą wcześniej wiedzę na temat hasła (np. pozyskaną od dysponenta danej skrzynki) lub posłuży się hasłem „zapamiętanym” np. w przeglądarce?

Odpowiedź na powyższe pytania przez jakiś czas nie była jednoznaczna, niemniej jednak szereg rozstrzygnięć sądów powszechnych wskazuje, iż sytuacje tego rodzaju również należy traktować jako w zależności od kontekstu „przełamanie” lub „ominięcie” zabezpieczenia. W tym zakresie bowiem judykatura wskazuje, iż nawet uprzednia znajomość hasła dostępowego przez sprawcę nie daje mu przyzwolenia by przy jego wykorzystaniu uzyskiwać dostęp do informacji dla niego nieprzeznaczonych.

Potwierdzeniem powyższego niech będzie przykładowo Wyrok Sądu Rejonowego w Białymstoku z dnia 22 kwietnia 2015 roku, sygn. akt: VII K 922/14, który był rezultatem badania przez Sąd sprawy wielokrotnego logowania się przez sprawcę na konto założone na portalu Facebook przy użyciu hasła przekazanego przez osobę pokrzywdzoną. W efekcie w uzasadnieniu przywołanego rozstrzygnięcia Sąd Rejonowy w Białymstoku podsumował: „samo posłużenie się kodem bez zgody właściciela jak najbardziej należy uznać za ,,omijanie zapieczeń elektronicznych”. Tak samo jak w wypadku kradzieży z włamaniem dostanie się do wnętrza pomieszczenia bez zgody właściciela przy posłużeniu się oryginalnym kluczem stanowi czynność sprawczą opisaną w art. 279 § 1 kk. Powyższe rozważania pozwoliły Sądowi ustalić, że oskarżona omijając elektroniczne zabezpieczenie konta na F. należącego do A. W. poprzez użycie hasła do tego konta, które było jej znane, bez uprawnienia uzyskała dostęp do informacji dla niej nie przeznaczonych i tym samym dopuściła się występku z art. 267 § 1 kk.”

Tym samym wskazać trzeba, iż nawet znajomość hasła dostępowego do cudzej skrzynki mailowej nie będzie dla sprawcy okolicznością, która co do zasady doprowadzi do wyłączenia odpowiedzialności karnej. Sądy coraz częściej bowiem mając na względzie dobro chronione przepisem art. 267 § 1 k.k., jakim jest poufność informacji i czyniąc rozważania w oparciu o całokształt okoliczności stanu faktycznego kwalifikują w zależności od ustaleń nieuprawnione posłużenie się hasłem dostępu jako przełamanie lub ominięcie zabezpieczeń.

Po trzecie, zamiar bezpośredni sprawcy czynu

Czyn stypizowany w art. 267 § 1 k.k., można popełnić jedynie w zamiarze bezpośrednim. Tym samym zachowanie sprawcy świadczyć musi o intencjonalności podejmowanych działań zmierzających do uzyskania dostępu do informacji do niego nieprzeznaczonych.

Z reguły jednak pozyskanie określonych danych, w szczególności jeśli pochodzą one ze skrzynek mailowych, których dysponentem zasadniczo nie jest sprawca, nie jest dziełem przypadku. Niejednokrotnie również aktywność podejmowana przez sprawcę w następstwie uzyskanych informacji pokazuje faktyczny cel działania i motywy jakie nim kierowały. Wiele spraw wyrosłych na kanwie art. 267 § 1 k.k. dotyka również w efekcie kwestii ujawnienia osobom trzecim tajemnicy przedsiębiorstwa, bądź tajemnicy służbowej, prowadząc w zależności od sprawy do zmiany bądź uzupełnienia kwalifikacji prawnej.
Jednocześnie pamiętać należy, iż przestępstwo z art. 267 § 1 k.k. ma charakter wnioskowy, co oznacza, iż jego ściganie będzie miało miejsce jedynie na wyraźny wniosek złożony przez pokrzywdzonego.