Modele rozwiązań prawnych w systemie cyberbepiczeństwa RP. Rekomendacje ebook

Publikacja powstała w ramach Grantu Badawczego MON „System cyberbezpieczeństwa RP – model rozwiązań prawnych”. Umowa MON nr GB/4/2018/208/2018/DA. Zadanie nr 62.

w systemie cyberbezpieczeństwa RP

Modele rozwiązań prawnych

WARSZAWA

2021

Rekomendacje

Redakcja naukowa:

Katarzyna Chałubińska-Jentkiewicz

Agnieszka Brzostek

Recenzenci:

Prof. dr hab. Waldemar Kitler, ASZWOJ

dr hab. Jarosław Kostrubiec, prof. UMCS

Redakcja merytoryczna:

dr Zbigniew Moszumański

Opracowanie graficzne i projekt okładki:

IDEAPRESS Sp. z o.o. Anna Skowrońska

© Copyright by Wydawnictwo Towarzystwa Wiedzy Obronnej, 2021.

© Copyright by.

ISBN 978-83-960228-1-3 (miękka oprawa)

ISBN 978-83-68170-37-5 (pdf)

ISBN 978-83-68170-38-2 (epub)

ISBN 978-83-68170-39-9 (mobi)

Wydanie I

Publikacja jest finansowana przez

Akademickie Centrum Polityki Cyberbezpieczeństwa

Akademia Sztuki Wojennej

Wydawca:

Wydawnictwo Towarzystwa Wiedzy Obronnej

ul. 11 Listopada 17/19, 03-446 Warszawa

www.two.edu.pl

e-mail: [email protected]

Wydawnictwo Towarzystwa Wiedzy Obronnej znajduje się w wykazie

wydawnictw publikujących recenzowane monografie naukowe,

sporządzonym przez MNiSzW: poz. 652, poziom I – 80 punktów.

Skład:

IDEAPRESS Sp. z o.o. Katarzyna Pogrzebska

Przygotowanie do druku:

IDEAPRESS Sp. z o.o.

ul. Konstantego Ildefonsa Gałczyńskiego 4 /901, 00-362 Warszawa

www.ideapress.pl

Spis treści | Contents

Wstęp | Introduction 5

I. Cyberbezpieczeństwo jako przedmiot prawa międzynarodowego – kierunki zmian |

Piotr Milik,

Malwina Ewa Kołodziejczak, |

Katarzyna Badźmirowska-Masłowska,

II. Propozycje rozwiązań w zakresie relacji między systemem cyberbezpieczeństwa a systemem prawa i działaniem organów władzy publicznej |

Katarzyna Chałubińska-Jentkiewicz, Monika Nowikowska, Analiza zagrożeń bezpieczeństwa w cyberprzestrzeni w działalności kontrolnej |

Filip Radoniewicz, Kradzież tożsamości w polskim kodeksie karnym |

Katarzyna Chałubińska-Jentkiewicz,

Malwina Ewa Kołodziejczak, Wprowadzenie stanów nadzwyczajnych w Rzeczypospolitej Polskiej w przypadku działań w cyberprzestrzeni |

III. Bezpieczeństwo informacyjne w systemie cyberbezpieczeństwie – referencje i modele rozwiązań prawnych | Information Security in a System of Cybersecurity– References and Models of Legal Solutions 253

Katarzyna Chałubińska-Jentkiewicz, Monika Nowikowska, Bezpieczeństwo, tożsamość, prywatność – rekomendacje |

Izabela Stańczuk, Prawne aspekty ochrony dóbr osobistych w cyberprzestrzeni – wnioski z badań |

Katarzyna Chałubińska-Jentkiewicz, Monika Nowikowska, Ochrona danych osobowych w cyberprzestrzeni – rekomendacje |Protection of Personal Data in Cyberspace – Recommendations 293

Filip Radoniewicz,

Katarzyna Chałubińska-Jentkiewicz,

Wstęp

Introduction

Cyberprzestrzeń może wydawać się bardzo oddalona od sfery obronności i bezpieczeństwa narodowego. W ciągu ostatnich 20 lat technologie cyfrowe połączyły nasze życie osobiste i zawodowe, podniosły konkurencyjność firm na niespotykany dotąd poziom, a także zbliżyły administrację do użytkowników. Każdy bowiem korzysta z połączonych sieci z zaawansowanymi programami cyberobrony. Na poziomie indywidualnym atak może być przeprowadzony wielopłaszczyznowo i przynieść rozległe szkody, tj. kradzież tożsamości, próby wyłudzenia czy utrata danych osobowych, włamania do sieci osobistych oraz kradzież rodzinnych pamiątek. Cyberprzestrzeń stała się miejscem konfrontacji, zawłaszczania danych osobowych, szpiegowania naukowego, gospodarczego i handlowego dziedzictwa firm będących ofiarami konkurencji lub obcych mocarstw czy też wstrzymywania usług niezbędnych do prawidłowego funkcjonowania gospodarki lub życia codziennego, narażenia utraty suwerenności, a nawet – w pewnych okolicznościach – pozbawienia życia ludzkiego.

Współcześnie cyberprzestrzeń nie jest już traktowana jako odrębna kategoria polityki czy działalności oddzielonej od innych elementów władzy krajowej. Cyberprzestrzeń i jej ochrona stały się bowiem stałym elementem systemu ochrony bezpieczeństwa państwa i obronności. Na poziomie ogólnopaństwowym takie ataki mogą przynieść długotrwale odczuwalne skutki finansowe, ekonomiczne i społeczne. Szczelny, ofensywny, sprawnie współpracujący z podmiotami zewnętrznymi, prowadzący ciągły monitoring i wyposażony w specjalistów w odpowiednich dziedzinach system bezpieczeństwa cybernetycznego może zmniejszać skutki tych ataków, a nawet je uniemożliwić. Dotyczy przede wszystkim najważniejszych systemów cybernetycznych, takich jak: sieci energetyczne, sieci komunikacyjne lub instytucje finansowe, które są tak ważne, że każde zakłócenie może mieć poważne konsekwencje dla bezpieczeństwa publicznego i bezpieczeństwa narodowego. Nie sposób nie docenić wysiłków organów ścigania, które mają na celu zwalczanie cyberprzestępczości przy jednoczesnej ochronie prywatności w cyberprzestrzeni. Powszechnie uznaje się, że cyberbezpieczeństwo służy ochronie danych osobowych, a co za tym idzie – prywatności. Na przykład, Kanadyjczycy wspierają wysiłki na rzecz ochrony swojej prywatności w Internecie oraz przyznają, że organy ścigania stoją przed wyzwaniami związanymi z cyberprzestępczością, i są zaniepokojeni rosnącym zagrożeniem cyberprzestępczością osób fizycznych, organizacji sektora prywatnego i publicznego oraz rządów.

Niniejsza monografia powstała w wyniku realizacji przez Akademię Sztuki Wojennej grantu badawczego na temat: „System cyberbezpieczeństwa RP – model rozwiązań prawnych” – jako projektu w zakresie obronności i bezpieczeństwa państwa, finansowanego ze środków Ministerstwa Obrony Narodowej1. Cyberbezpieczeństwo jako zjawisko interdyscyplinarne stało się przedmiotem rozważań Autorów. Badaniom poddano działalność państw jako podmiotów prawa międzynarodowego, skupiając się na wskazaniu prawnych i organizacyjnych rozwiązań przyjętych zarówno w wymiarze indywidualnym, jak i w sposób zorganizowany, aby efektywne przeciwdziałać oraz zwalczać niepożądane i przestępcze zachowania w cyberprzestrzeni. Wyodrębnieniu uległy także relacje pomiędzy systemem cyberbezpieczeństwa a systemem prawa i związanym z tym działaniem organów władzy publicznej. Odrębna kwestię stanowi analiza prawno-administracyjnych uregulowań w zakresie ochrony danych osobowych jako ochrony prawa do prywatności oraz ochrony informacji w cyberprzestrzeni, a także odpowiedzialności karnej za naruszenie dóbr podlegających ochronie.

Redaktorzy

I

Cyberbezpieczeństwo jako przedmiot prawa międzynarodowego – kierunki zmian

Cybersecurity as Subject of International Law – Directions of Changes

Piotr Milik1

Uwarunkowania globalne cyberbezpieczeństwa

Global Conditions of Cybersecurity

Streszczenie: W niniejszym opracowaniu zostały poddane analizie aktualne wysiłki państw zmierzające do ustanowienia prawnych ram współpracy w celu skutecznego przeciwdziałania oraz zwalczania niepożądanych i przestępczych zachowań w cyberprzestrzeni. Najpierw zostaną wymienione instrumenty rangi międzynarodowej o charakterze prawnie wiążącym, czyli umowy międzynarodowe wielostronne i dwustronne, których celem jest zdefiniowanie zagrożeń występujących w cyberprzestrzeni i skonstruowanie mechanizmów współpracy pozwalających na ich skuteczne zwalczanie. Następnie zostaną przeanalizowane aktualne wysiłki i inicjatywy nowych rozwiązań proponowanych na forum międzynarodowym, zwłaszcza inicjatywa Zgromadzenia Ogólnego ONZ z grudnia 2019 r. zmierzająca do przyjęcia nowej umowy międzynarodowej o globalnym, powszechnym zasięgu regulującej kwestie bezpieczeństwa w cyberprzestrzeni.

Słowa kluczowe: cyberprzestrzeń, zwalczanie przestępczości, zapobieganie przestępczości, umowy międzynarodowe wielostronne i dwustronne.

*

Summary: This study will analyze the current efforts of states to establish a legal framework for cooperation to effectively prevent and combat undesirable and criminal behavior in cyberspace. First of all, the instruments of international rank of legally binding nature will be mentioned, i.e. multilateral and bilateral international agreements, the purpose of which is to define threats occurring in cyberspace and construct cooperation mechanisms allowing for effective counteraction. Next, the current efforts and initiatives of new solutions proposed on the international forum will be analyzed, in particular the initiative of December 2019 of the UN General Assembly aimed at adopting a new international agreement of global scope regulating the issues of security in cyberspace.

Keywords: cyberspace, fighting crime, crime prevention, bilateral and multilateral international agreements.

***

Na potrzeby niniejszego opracowania możemy zdefiniować pojęcie „cyberprzestrzeń” jako globalną sieć, na którą składają się połączone systemy teleinformatyczne zbudowane z urządzeń umożliwiających tworzenie, przetwarzanie oraz wymianę informacji automatycznie między urządzeniami lub świadomie i celowo między ich użytkownikami. Tak zdefiniowana cyberprzestrzeń, stanowiąca strefę codziennej aktywności państw i ich obywateli, w której są realizowane żywotne dla tych podmiotów interesy, jest stale zagrożona głównie nielegalną działalnością osób i grup przestępczych, w tym terrorystycznych, a także na skutek błędów lub awarii poszczególnych systemów teleinformatycznych.

Pandemia wirusa COVID-19, z którą świat zmierzył się w 2020 r., spowodowała przyspieszenie procesów informatyzacji usług publicznych i prywatnych. Nabrała też tempa rewolucja informacyjna (cyfrowa), którą obserwowaliśmy w ostatnich dziesięcioleciach. Aktywność życiowa i zawodowa rozwiniętych społeczeństw jest związana w znacznej mierze z cyberprzestrzenią. Edukacja powszechna, wykłady akademickie, operacje bankowe, zakupy wszelkiego rodzaju towarów i usług, komunikacja z urzędami przeniosły się niemal z dnia na dzień do Internetu. Rozwinięte społeczeństwa przeszły przyspieszony kurs korzystania z nowych technologii informacyjnych. Niestety, gwałtowne tempo tych zmian pociągnęło za sobą wzmożoną falę nadużyć. Cyberprzestępczość rozkwitła wraz z intensyfikacją operacji cyfrowych prowadzonych w sieci. Problematyka cyberbezpieczeństwa stała się więc ważna i aktualna, jak jeszcze nigdy dotąd.

W związku z wyżej wskazanymi zagrożeniami – państwa indywidualnie, we współpracy z innymi państwami, w tym w ramach współpracy zinstytucjonalizowanej, próbują przeciwdziałać negatywnym zjawiskom w cyberprzestrzeni, tzn. przy pomocy wyspecjalizowanych narzędzi i służb zwalczać zagrożenia bezpieczeństwa obrotu informacji. Ponieważ charakterystyczną cechą cyberprzestrzeni jest jej eksterytorialność i powszechny, globalny zasięg, w celu skutecznego przeciwdziałania zagrożeniom bezpieczeństwa informatycznego konieczna jest współpraca państw i innych podmiotów działających na arenie międzynarodowej (organizacji międzynarodowych międzyrządowych i pozarządowych).

W niniejszym opracowaniu zostaną poddane analizie aktualne wysiłki państw zmierzające do ustanowienia prawnych ram współpracy mających umożliwić skuteczne przeciwdziałanie i zwalczanie niepożądanych i przestępczych zachowań w cyberprzestrzeni.

Najpierw zostaną wymienione instrumenty rangi międzynarodowej o charakterze prawnie wiążącym, czyli umowy międzynarodowe wielostronne i dwustronne, których celem jest zdefiniowanie zagrożeń występujących w cyberprzestrzeni i skonstruowanie mechanizmów współpracy pozwalających na ich skuteczne zwalczanie. Następnie zostaną przeanalizowane wysiłki i inicjatywy nowych rozwiązań proponowanych na forum międzynarodowym, zwłaszcza inicjatywa Zgromadzenia Ogólnego ONZ z grudnia 2019 r. zmierzająca do przyjęcia nowej umowy międzynarodowej o globalnym, powszechnym zasięgu, regulującej kwestie bezpieczeństwa w cyberprzestrzeni.

Istotny nacisk w niniejszym badaniu zostanie położony w szczególności na działania zmierzające do poprawy bezpieczeństwa cybernetycznego Rzeczypospolitej Polskiej. Po pierwsze – Rzeczpospolita Polska, zaliczająca się do cywilizacji zachodniej, dysponującej rozwiniętą siecią urządzeń i połączeń teleinformatycznych, za których pośrednictwem są realizowane codzienne transakcje, obsługiwane są systemy wchodzące w skład infrastruktury krytycznej państwa. Po drugie – Rzeczpospolita Polska jest pełnoprawnym członkiem wspólnoty zachodnich państw rozwiniętych i członkiem Unii Europejskiej. W związku z tym bliższe spojrzenie na europejskie regulacje regionalne w tej materii dadzą obraz bezpieczeństwa cybernetycznego z polskiej perspektywy.

Działania Unii Europejskiej w walce z cyberprzestępczością obejmują po pierwsze, aktywność regulacyjną (prawodawczą) zarówno w ramach samej Unii, jak i w sferze stosunków międzynarodowych, w relacjach z państwami spoza Unii i spoza kontynentu europejskiego. Po drugie, Unia Europejska podejmuje działalność operacyjną polegającą na realizacji konkretnych projektów mających przyczynić się do ograniczenia zjawiska przestępczości komputerowej.

Państwa członkowskie Unii Europejskiej coraz wyraźniej dostrzegają zagrożenia płynące ze strony przestępców komputerowych, którzy, jak pokazuje praktyka, coraz częściej działają w zorganizowanych grupach przestępczych. Próbując przeciwdziałać temu zjawisku na szczeblu unijnym organy Unii Europejskiej, w szczególności Komisja i Rada, angażują się w proces zmierzający do usprawnienia i ujednolicenia instrumentarium prawnego mającego przyczynić się do zwalczania cyberprzestępczości. W tym celu organizują różne projekty badawcze i informacyjne. Ponadto Komisja organizuje spotkania ekspertów, konferencje z udziałem specjalistów zajmujących się cyberprzestępczością z krajów członkowskich Unii Europejskiej, EUROPOL-u (European Police Office), CEPOL-u (European Police College), czy EJTN-u (European Judicial Training Network).

Ciekawą inicjatywą Komisji Europejskiej jest stworzona przez nią sieć kontaktowa krajowych organów odpowiedzialnych za walkę ze spamem – Contact Network of Spam Authorities (CNSA), która regularnie odbywa posiedzenia, na których dochodzi do wymiany spostrzeżeń na temat sprawdzonych rozwiązań i współpracy w zakresie egzekwowania prawa.

Problematyka bezpieczeństwa w cyberprzestrzeni stanowi głównie przedmiot zainteresowania państw wysoko rozwiniętych, państw uprzemysłowionych, posiadających wiedzę i technologie umożliwiające rozwijanie i korzystanie z narzędzi teleinformatycznych w codziennej wymianie informacji i obsłudze ważnych sektorów administracji i gospodarki państwa. Współcześnie, zinformatyzowanie działalności struktur państwa i funkcjonowania gospodarki stało się udziałem społeczeństw posiadających niezbędny kapitał pozwalający na wykształcenie kadr naukowo-technicznych i stworzenie technologii, które chociażby ze względu na swoją innowacyjność są stosunkowo drogie, a co za tym idzie dostęp do nich jest ograniczony przez czynnik finansowy. Bogate i wykształcone społeczeństwa intensywnie informatyzują się w ostatnich latach kreując tym samym nową międzynarodową rzeczywistość, w której państwa i społeczeństwa pozbawione (na skutek uwarunkowań politycznych, historycznych czy geograficznych) możliwości uczestnictwa w tym swoistym wyścigu informatycznym (rewolucji informacyjnej) pozostają w tyle globalnej rywalizacji. Na tym tle zaciera się, lub przynajmniej ma szansę zatrzeć się tradycyjny podział wschód – zachód, czy północ – południe. W związku z obserwowanym współcześnie w państwach rozwiniętych przesunięciem źródeł dobrobytu z przemysłu ciężkiego i produkcji towarowej angażującej znaczną liczbę pracowników na know-how, i gospodarkę opartą na usługach i produkcji zautomatyzowanej wymagającej dla swej obsługi wysoko wykwalifikowanych specjalistów, to wiedza i wykształcenie stają się głównymi determinantami rozwoju i pomyślności współczesnych społeczeństw.

Państwa i społeczeństwa, które pozostają w tyle międzynarodowej rywalizacji teleinformatycznej często nie zdają sobie sprawy z konieczności przewartościowania priorytetów rozwojowych i przekierowania środków publicznych w celu rozwijania edukacji, nauki i pozyskiwania wiedzy i zaawansowanych technologii. Nie zdają sobie sprawy lub, co bardziej prawdopodobne, borykają się z podstawowymi problemami rozwojowymi, takimi jak zapewnienie stabilności politycznej i bezpieczeństwa militarnego, czy wykreowanie przejrzystego systemu gospodarczego pozwalającego na aktywizację ludzkiej przedsiębiorczości oraz zbudowanie sprawnego sektora administracji publicznej wolnego od korupcji. Państwa i społeczeństwa takie pozostają w znacznej mierze niezinformatyzowane, a co za tym idzie nie interesuje ich międzynarodowa współpraca w zwalczaniu zagrożeń w cyberprzestrzeni, jako że te zagrożenia ich bezpośrednio nie dotyczą. Jest to podwójnie niebezpieczne zjawisko. Po pierwsze – tworzy się nowa oś podziału świata na państwa i społeczeństwa zinformatyzowane, korzystające z nowoczesnych technologii i pomnażające dzięki temu swój dobrobyt. Po drugie – państwa, które nie uczestniczą w międzynarodowej współpracy na rzecz bezpieczeństwa w cyberprzestrzeni stanowią tzw. czarne dziury, w których mogą pojawić się niekontrolowane patologie rzutujące na bezpieczeństwo globalnej sieci informatycznej. W szczególności mogą stanowić miejsca koncentracji organizacji przestępczych i terrorystycznych prowadzących swoje ataki cybernetyczne przeciwko państwom i społeczeństwom wysoko rozwiniętym, godząc w ich obywateli, czy wrażliwe systemy bezpieczeństwa.

Przechodząc w tym miejscu do krótkiej charakterystyki obowiązujących na arenie międzynarodowej regulacji prawnych w pierwszej kolejności należy wskazać, że najważniejszym, skupiającym największą liczbę państw, dokumentem wiążącym rangi międzynarodowej jest Konwencja Rady Europy o cyberprzestępczości uchwalona i wyłożona do podpisu 23 listopada 2001 r. na międzynarodowej konferencji w Budapeszcie. Jest to pierwsza w świecie umowa międzynarodowa poruszająca kompleksowo kwestie przestępczości komputerowej, definiująca przestępstwa przeciwko poufności, integralności i dostępności danych informatycznych i systemów, definiująca oszustwa i fałszerstwa komputerowe, przestępstwa związane z pornografią dziecięcą, przestępstwa związane z naruszaniem praw autorskich i praw pokrewnych, a także określająca formy odpowiedzialności i rodzaje sankcji.

Konwencja stanowi owoc ponad czterech lat pracy ekspertów w ramach Rady Europy z udziałem przedstawicieli takich państw jak Stany Zjednoczone Ameryki, Kanada, Japonia, czy Republika Południowej Afryki, które wprawdzie nie są członkami Rady Europy, ale wspólnie z krajami członkowskimi podjęły działania pozwalające skuteczniej walczyć ze zjawiskiem cyberprzestępczości.

Umowa ta stanowi jak do tej pory najefektywniejsze narzędzie międzynarodowej ochrony wszystkich podmiotów, które wykorzystują technologie komputerowe lub w stosunku do których technologie te umożliwiają lub ułatwiają popełnianie przestępstw. Jak pokazuje praktyka szereg państw nie będących członkami Rady Europy ani stronami Konwencji o cyberprzestępczości traktuje ją jako wzór do naśladowania i powtarza jej ustalenia w swoich wewnętrznych porządkach prawnych.

Postanowienia Konwencji można podzielić na następujące zasadnicze grupy:

Pierwsza grupa wskazanych przepisów zawiera definicje cyberprzestępstw. Przestępstwa przeciwko poufności, integralności i dostępności danych informatycznych i systemów zawierają definicje takich przestępstw jak: nielegalny dostęp (umyślny, bezprawny dostęp do całości lub części systemu informatycznego; państwo strona może wprowadzić dodatkowy wymóg, że przestępstwo musi zostać popełnione poprzez naruszenie zabezpieczeń, z zamiarem pozyskania danych informatycznych lub innym nieuczciwym zamiarem, lub w odniesieniu do systemu informatycznego, który jest połączony z innym systemem informatycznym), nielegalne przechwytywanie danych (umyślne, bezprawne przechwytywanie danych za pomocą urządzeń technicznych niepublicznych transmisji danych informatycznych do, z, lub w ramach systemu informatycznego, łącznie z emisjami elektromagnetycznymi pochodzącymi z systemu informatycznego przekazującego takie dane informatyczne; państwo strona może wprowadzić dodatkowy wymóg, że przestępstwo musi zostać popełnione z nieuczciwym zamiarem lub w związku z systemem informatycznym, który jest połączony z innym systemem informatycznym), naruszenie integralności danych (umyślne, bezprawne niszczenie, wykasowywanie, uszkadzanie, dokonywanie zmian lub usuwanie danych informatycznych; państwo strona może rozszerzyć powyższą definicję o stwierdzenie, że takie zachowanie musi skutkować poważną szkodą), naruszenie integralności systemu (umyślne, bezprawne poważne zakłócenie funkcjonowania systemu informatycznego poprzez wprowadzenie, transmisję, zniszczenie, wykasowanie, uszkodzenie, dokonanie zmian lub usunięcie danych informatycznych), niewłaściwe użycie urządzeń (umyślna i bezprawna produkcja, sprzedaż, pozyskiwanie z zamiarem wykorzystania, importowanie, dystrybucja lub inne udostępnienie urządzenia, w tym także programu komputerowego, przeznaczonego lub przystosowanego dla celów popełnienia któregokolwiek z cyberprzestępstw oraz hasła komputerowego, kodu dostępu lub podobnych danych, dzięki którym całość lub część systemu informatycznego stanie się dostępna z zamiarem wykorzystania dla celów popełnienia któregokolwiek z cyberprzestępstw; umyślne i bezprawne posiadanie urządzenia lub hasła dostępu z zamiarem wykorzystania ich w celu popełnienia cyberprzestępstwa). Przestępstwa komputerowe zostały zdefiniowane jako: fałszerstwo komputerowe (umyślne, bezprawne wprowadzenie, dokonanie zmian, wykasowanie lub usunięcie danych informatycznych, w wyniku czego powstają dane nieautentyczne, które w zamiarze sprawcy mają być uznane lub wykorzystane na potrzeby postępowania prawnego jako autentyczne, bez względu na to czy są one możliwe do bezpośredniego odczytania i zrozumiałe), oszustwo komputerowe (umyślne, bezprawne spowodowania utraty majątku przez inną osobę poprzez: wprowadzenie, dokonanie zmian, wykasowanie lub usunięcie danych informatycznych, lub każdą ingerencję w funkcjonowanie systemu komputerowego, z zamiarem oszustwa lub z nieuczciwym zamiarem uzyskania korzyści ekonomicznych dla siebie lub innej osoby). Przestępstwa ze względu na charakter zawartych informacji zawierają następujący katalog: przestępstwa związane z pornografią dziecięcą [umyślne, bezprawne: a) produkowanie pornografii dziecięcej dla celów jej rozpowszechniania za pomocą systemu informatycznego; b) oferowanie lub udostępnianie pornografii dziecięcej za pomocą systemu informatycznego; c) rozpowszechnianie lub transmitowanie pornografii dziecięcej za pomocą systemu informatycznego; d) pozyskiwanie pornografii dziecięcej za pomocą systemu informatycznego dla siebie lub innej osoby; e) posiadanie pornografii dziecięcej w ramach systemu informatycznego lub na środkach do przechowywania danych informatycznych]. Przestępstwa związane z naruszeniem praw autorskich i praw pokrewnych nie zostały precyzyjnie zdefiniowane, natomiast stwierdzono, że każde państwo strona podejmie takie środki prawne i inne, jakie okażą się niezbędne dla uznania za przestępstwa w jej prawie wewnętrznym naruszenia prawa autorskiego zdefiniowane w prawie danej strony zgodnie z podjętymi przez nią zobowiązaniami wynikającymi z Aktu Paryskiego z dnia 24 lipca 1971 roku zmieniającego Konwencję Berneńską o ochronie dzieł literackich i artystycznych, Porozumienia w sprawie handlowych aspektów praw własności intelektualnej oraz Traktatu Światowej Organizacji Własności Intelektualnej o prawach autorskich, z wyłączeniem praw osobistych przewidzianych przez te Konwencje, jeżeli popełnione są umyślnie, na skalę komercyjną i za pomocą systemu informatycznego.

Druga grupa wskazanych przepisów zawiera normy prawa karnego procesowego – określające procedury postępowania w sprawach dotyczących przestępstw określonych w Konwencji i innych przestępstw popełnionych przy wykorzystaniu systemu informatycznego oraz zbierania dowodów w formie elektronicznej odnoszących się do tych przestępstw. Już na wstępie części proceduralnej stwierdzono, że każde państwo strona powinno zapewnić, że ustanowienie, wdrożenie i stosowanie uprawnień i procedur, o jakich mowa w części proceduralnej Konwencji, powinno zagwarantować odpowiednią ochronę wolności i praw człowieka, w tym praw wynikających – zgodnie z podjętymi zobowiązaniami – z Konwencji Rady Europy z 1950 r. o ochronie praw człowieka i podstawowych wolności, Międzynarodowego paktu Narodów Zjednoczonych z 1966 r. o prawach obywatelskich i politycznych i innych mających zastosowanie międzynarodowych instrumentów z zakresu praw człowieka. Takie warunki i gwarancje powinny obejmować, stosownie do rodzaju danego uprawnienia lub procedury, m.in. sądową lub inną niezależną kontrolę, podawanie uzasadnienia dla ich stosowania, ograniczenia co do zakresu i czasu stosowania takich uprawnień i procedur. W zakresie, w jakim jest to zgodne z interesem publicznym, w szczególności z interesem wymiaru sprawiedliwości, państwo strona powinno rozważyć wpływ uprawnień i procedur, o których mowa w części proceduralnej Konwencji, na prawa, obowiązki oraz uzasadnione interesy osób trzecich. W części proceduralnej Konwencji wskazano następujące instrumenty: niezwłoczne zabezpieczenie przechowywanych danych informatycznych, niezwłoczne zabezpieczenie i częściowe ujawnienie danych dotyczących ruchu, nakaz dostarczenia danych informatycznych lub informacji odnoszących się do abonenta sieci informatycznej, przeszukanie i zajęcie przechowywanych danych informatycznych, gromadzenie w czasie rzeczywistym danych dotyczących ruchu, przechwytywanie danych dotyczących treści.

Trzecia grupa wskazanych przepisów zawiera regulacje dotyczące jurysdykcji nad przestępstwami określonymi w Konwencji. Państwa strony zostały zobowiązane do przyjęcia środków prawnych lub innych, które mogą być potrzebne dla ustanowienia swojej jurysdykcji w odniesieniu do cyberprzestępstw zdefiniowanych w Konwencji, gdy przestępstwo popełnione jest: a. na jego terytorium; lub b. na pokładzie statku pływającego pod banderą tego państwa; lub c. na pokładzie samolotu zarejestrowanego na podstawie prawa tego państwa; lub d. przez jednego z obywateli państwa, jeżeli przestępstwo jest karalne według prawa miejsca jego popełnienia lub jeśli przestępstwo popełnione zostało poza jurysdykcją terytorialną jakiegokolwiek państwa. Konstrukcja jurysdykcji została pomyślana w taki sposób, aby nie pozostawić przestępców i popełnionych przez nich czynów przestępczych poza zasięgiem odpowiedzialności karnej.

Czwarta grupa wskazanych przepisów zawiera postanowienia dotyczące współpracy międzynarodowej w zakresie ekstradycji i wzajemnej pomocy prawnej oraz wymiany informacji. Przestępstwa przeciwko bezpieczeństwu cyberprzestrzeni zostały sklasyfikowane, jako przestępstwa mogące stanowić podstawę do ekstradycji przewidzianej w dowolnym traktacie ekstradycyjnym obowiązującym między państwami stronami. Strony zobowiązały się do włączenia takich przestępstw, jako przestępstw stanowiących podstawę do ekstradycji, do wszelkich traktatów ekstradycyjnych, jakie mogą zostać zawarte przez nie lub między nimi. Jeżeli państwo strona uzależnia ekstradycję od istnienia traktatu i otrzymuje wniosek o ekstradycję od drugiego państwa strony, z którym nie ma zawartego traktatu ekstradycyjnego, może traktować Konwencję o cyberprzestępczości jako podstawę prawną do ekstradycji w odniesieniu do wszelkich przestępstw, o jakich w niej mowa. Państwa strony, które nie uzależniają ekstradycji od istnienia traktatu, zostały zobowiązane do uznania przestępstw wymienione w Konwencji, za przestępstwa mogące stanowić w ich wzajemnych stosunkach podstawę do ekstradycji. Państwa strony zobowiązały się także świadczyć sobie możliwie jak najdalej idącą pomoc wzajemną dla celów prowadzenia czynności śledczych lub postępowań odnoszących się do przestępstw związanych z systemami i danymi informatycznymi, lub w celu gromadzenia dowodów w postaci elektronicznej, odnoszących się do przestępstw.

W zamierzeniu Konwencja o cyberprzestępczości miała uzupełniać obowiązujące traktaty lub umowy wielostronne lub dwustronne zawarte między państwami, w tym postanowienia: Europejskiej Konwencji o ekstradycji otwartej do podpisu w Paryżu w dniu 13 grudnia 1957 r., Europejskiej Konwencji o wzajemnej pomocy prawnej w sprawach karnych otwartej do podpisu w Strasburgu w dniu 20 kwietnia 1959 r., Protokołu dodatkowego do Europejskiej Konwencji o wzajemnej pomocy prawnej w sprawach karnych otwartego do podpisu w Strasburgu w dniu 17 marca 1978 r.

Konwencja mimo pozytywnego przyjęcia przez oficjalne czynniki, została także skrytykowana przez licznych komentatorów, głównie reprezentujących organizacje pozarządowe ochrony praw człowieka czy dostawców internetowych, za, ich zdaniem, zbyt wiele niejasnych, nie dających się precyzyjnie zinterpretować regulacji w zakresie uprawnień odpowiednich służb uprawnionych do elektronicznej inwigilacji. Krytyka dotyczyła także braku konsultacji w trakcie projektowania konwencji z niezależnymi ekspertami. Z tych też powodów kilka krajów negocjujących tekst konwencji odmówiło jej podpisania (np. Czechy, czy Irlandia)2. Wśród krajów, które nie podpisały Konwencji, znajduje się także Rosja, w której jak wskazują międzynarodowe raporty skala cyberprzestępczości należy do najwyższych na świecie3. Prezydent Rosji W. Putin oficjalnie odmówił przystąpienia do Konwencji wskazując, iż porozumienie „uderza w suwerenność Rosji”4.

Uzupełnienie Konwencji stanowi Protokół dodatkowy w sprawie kryminalizacji czynów o naturze rasistowskiej lub ksenofobicznej popełnianych z wykorzystaniem systemów komputerowych. Został on przyjęty i otwarty do podpisu 28 stycznia 2003 r. w Strasburgu. Wszedł w życie 1 marca 2006 r. Protokół definiuje materiały o charakterze rasistowskim i ksenofobicznym w cyberprzestrzeni, wzywa państwa strony do ich kryminalizacji oraz rozszerza w stosunku do nich zakres stosowania Konwencji o cyberprzestępczości z 2001 r. Na włączenie problematyki karalności czynów rasistowskich czy ksenofobicznych do samej Konwencji nie zgodziły się niektóre państwa uczestniczące w procesie negocjacji, w szczególności Stany Zjednoczone, powołując się na obowiązujące w USA szerokie granice swobody wypowiedzi zagwarantowane przez pierwszą poprawkę do amerykańskiej konstytucji5.

Prezydent Rzeczypospolitej Polskiej dnia 29 stycznia 2015 r. ratyfikował wyżej wymieniony Protokół, związując tym samym Polskę jego postanowieniami (Protokół wszedł w życie w stosunku do Polski 1 czerwca 2015 r. W tym czasie stronami Protokołu były 24 państwa).

Według definicji zawartej w Protokole, materiały rasistowskie i ksenofobiczne oznaczają każdy materiał pisemny, każdy wizerunek lub każde inne wyrażenie myśli lub teorii, które nawołują, popierają lub podżegają do nienawiści, dyskryminacji lub przemocy przeciw jakiejkolwiek osobie lub grupie osób, ze względu na rasę, kolor, pochodzenie narodowe lub etniczne, jak również religię, jeżeli wykorzystywana jest ona jako pretekst dla któregokolwiek ze wskazanych wyżej zachowań. Państwa strony Protokołu zostały zobowiązane do uznania za przestępstwo w swoim wewnętrznym porządku prawnym czynów polegających na umyślnej i bezprawnej dystrybucji lub publicznego udostępniania w inny sposób materiałów rasistowskich i ksenofobicznych w systemie komputerowym. Protokół rozszerzył tym samym katalog cyberprzestępstw sformułowany w Konwencji Rady Europy przeciwko cyberprzestępczości.

Oba przywołane powyżej dokumenty stanowią ważne osiągnięcie w dziedzinie harmonizacji prawa i współpracy między państwami w zwalczaniu przestępstw komputerowych popełnianych w cyberprzestrzeni. Wspólnie ustanawiają katalog przestępstw komputerowych i wyznaczają standardy w ich ściganiu i karaniu. Ważnym osiągnięciem analizowanych dokumentów jest wskazanie wrażliwych na naruszenia w sieciach teleinformatycznych obszarów, takich jak: pornografia z udziałem dzieci, prawa autorskie i prawa pokrewne oraz treści rasistowskie i ksenofobiczne. Mimo, że Konwencja wraz z Protokołem dodatkowym stanowią dokumenty o zasięgu regionalnym, europejskim, to niewątpliwie stanowią i będą stanowić punkt odniesienia dla państw chcących uregulować ściganie i karanie przestępstw komputerowych w swoich wewnętrznych ustawodawstwach, nawet bez przystępowania do wskazanych umów międzynarodowych. Oddziaływanie Konwencji i jej protokołu dodatkowego niewątpliwie przyczyni się do promocji i upowszechnienia w świecie europejskich wartości, w szczególności praw człowieka takich jak poszanowanie prawa do informacji, prywatności, tajemnicy korespondencji, swobody sumienia i wyznania, czy wreszcie godności ludzkiej. Wynika to z faktu, że negocjatorzy kreujący w imieniu państw wskazane dokumenty na forum Rady Europy starali się z jednej strony wypracować skuteczne instrumenty walki z cyberprzestępczości, ale z drugiej strony przez cały proces negocjacji starano się uwzględniać konieczność poszanowania podstawowych praw człowieka.6

Podkreślenia wymaga fakt, że zarówno Konwencja Rady Europy przeciwko cyberprzestępczości, jak i Protokół dodatkowy do niej odnoszą się wyłącznie do przestępstw pospolitych popełnianych w cyberprzestrzeni. Nie zawierają natomiast żadnych regulacji dotyczących działań terrorystycznych w cyberprzestrzeni, zagrażających bezpieczeństwu infrastruktury krytycznej państw ani działań noszących znamiona cybernetycznej agresji militarnej prowokującej cyberwojnę.

Z pozostałych dokumentów rangi międzynarodowej regulujących kwestie bezpieczeństwa cyberprzestrzeni należy wymienić Konwencję Rady Europy o ochronie dzieci przed seksualnym wykorzystywaniem i niegodziwym traktowaniem w celach seksualnych, sporządzona w Lanzarote dnia 25 października 2007 r.

Państwa członkowskie Rady Europy oraz pozostałe państwa sygnatariusze Konwencji o ochronie dzieci przed seksualnym wykorzystywaniem i niegodziwym traktowaniem w celach seksualnych postawiły sobie za cel możliwie ścisłą i skuteczną ochronę dzieci (zdefiniowanych jako osoby poniżej 18 roku życia) przed wykorzystywaniem seksualnym ze strony dorosłych, co ma destruktywny wpływ na zdrowie dziecka i jego rozwój psychospołeczny. Czynnikiem determinującym państwa do podjęcia prac nad Konwencją było niepokojące nasilenie się zjawiska seksualnego wykorzystywania dzieci i ich niegodziwego traktowania w celach seksualnych, co można było zaobserwować w szczególności w sieciach teleinformatycznych. Było to niewątpliwie związane ze wzrostem korzystania z technologii informacyjnych i telekomunikacyjnych zarówno przez dzieci, jak i sprawców przestępstw przeciwko nim.

Głównymi celami Konwencji są zapobieganie i zwalczanie seksualnego wykorzystywania dzieci i niegodziwego traktowania dzieci w celach seksualnych, ochrona praw dzieci będących ofiarami seksualnego wykorzystywania oraz promowanie międzynarodowej współpracy przeciwko seksualnemu wykorzystywaniu dzieci. Tak zakreślone cele nie koncentrują się wyłącznie na przestępczości realizowanej za pośrednictwem i z wykorzystaniem sieci teleinformatycznych, ale mieszczą w sobie zwalczanie tego rodzaju rosnącej aktywności przestępczej.

W odniesieniu do zagrożeń płynących z faktu coraz powszechniejszego korzystania przez dzieci z sieci Internet państwa strony Konwencji (w tym Polska7) zobowiązały się do przyjęcia koniecznych środków ustawodawczych w celu zapewnienia, aby dzieci otrzymywały w trakcie swojej edukacji na poziomie szkoły podstawowej i ponadpodstawowej informacje o zagrożeniach związanych z seksualnym wykorzystywaniem oraz o środkach ochrony przed tym zagrożeniem. Informacje te, zgodnie z zobowiązaniem zawartym w Konwencji, mają być przekazywane w ramach ogólnej wiedzy na temat seksualności człowieka i mają kłaść nacisk na sytuacje ryzyka, szczególnie sytuacje związane z wykorzystaniem nowoczesnych technologii informacyjnych i telekomunikacyjnych.

Konwencja sygnalizuje dwa zasadnicze problemy związane z dynamicznym rozwojem sieci teleinformatycznych i wzrostem zasięgu ich oddziaływania. Po pierwsze, zauważono, że coraz powszechniejsza dostępność Internetu, w tym także dla dzieci korzystających ze stacjonarnych lub mobilnych urządzeń komunikacyjnych stwarza potencjalne zagrożenia polegające na bezpośredniej rekrutacji dzieci przez osoby i środowiska przestępcze pod pozorem niewinnych spotkań czy czynności w celach wykorzystania seksualnego, wytwarzania materiałów pornograficznych, lub nawet porwań i sprzedaży na czarnym rynku handlu ludźmi. Artykuł 23 Konwencji definiuje przestępstwo tzw. nagabywania dzieci dla celów seksualnych, polegające na umyślnym składaniu dziecku przez osobę dorosłą za pośrednictwem technologii informacyjnych i telekomunikacyjnych, propozycji spotkania w celu popełnienia przeciwko dziecku któregokolwiek z przestępstw określonych w Konwencji, w sytuacji, gdy za taką propozycją idą faktyczne działania mające doprowadzić do takiego spotkania.

Po drugie – powszechna dostępność sieci Internet i rosnąca możliwość transmisji poprzez tę sieć coraz większych ilości danych kreuje nowy rynek zbytu nielegalnych treści pornograficznych. Artykuł 20 Konwencji definiuje przestępstwa dotyczące pornografii dziecięcej jako umyślne czyny polegające na produkowaniu, oferowaniu lub udostępnianiu, dystrybucji lub przesyłaniu pornografii dziecięcej, pozyskiwaniu tejże dla siebie lub innej osoby, a także na samym posiadaniu pornografii dziecięcej oraz świadomym pozyskiwaniu dostępu do pornografii dziecięcej za pośrednictwem technologii informacyjnych i telekomunikacyjnych.

Innym wielostronnym dokumentem regulującym zagadnienia bezpieczeństwa cyberprzestrzeni jest Porozumienie Wspólnoty Niepodległych Państw w sprawie współpracy w zwalczaniu przestępczości komputerowej podpisane w Mińsku 1 czerwca 2001 r.

Porozumienie Wspólnoty Niepodległych Państw (WNP) w sprawie współpracy w zwalczaniu przestępczości komputerowej zostało podpisane w stolicy Białorusi w dniu 1 czerwca 2001 r. przez 12 ówczesnych państw członkowskich WNP (włącznie z Gruzją, która w 2008 r. wystąpiła ze Wspólnoty).

Porozumienie miało na celu zapewnienie optymalnej skuteczności w walce z przestępstwami związanymi z informacją komputerową, wewnątrz postradzieckiej Wspólnoty Niepodległych Państw. Państwa członkowskie WNP zgodnie uznały, że wzmożenie ich współpracy w zwalczaniu przestępstw odnoszących się do informacji komputerowej jest pilnie potrzebne. W tym celu ustanowiono konwencyjne ramy prawne dla współpracy między organami ścigania i organami sądowymi państw – stron mińskiego Porozumienia w zwalczaniu przestępstw związanych z informacją komputerową.

Porozumienie z Mińska definiuje cztery typy przestępstw komputerowych:

Jak wynika z powyższego katalogu czynów zabronionych Porozumienie Wspólnoty Niepodległych Państw w sprawie współpracy w zwalczaniu przestępczości komputerowej nie zakłada, podobnie jak Konwencja budapesztańska, penalizacji cyberterroryzmu, ale definiuje jedynie komputerowe przestępstwa pospolite.

Kolejną wielostronną umową międzynarodową regulującą współpracę państw w obszarze cyberbezpieczeństwa jest Umowa Szanghajskiej Organizacji Współpracy w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego podpisana w Jekaterinburgu 16 czerwca 2009 r.

Jak możemy przeczytać w preambule Umowy Szanghajskiej Organizacji Współpracy8 (SOW) w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego, rządy państw członkowskich Szanghajskiej Organizacji Współpracy, zauważyły znaczny postęp w rozwoju i wdrażaniu najnowszych technologii informacyjnych i komunikacyjnych oraz sposobów tworzenia informacji w globalnej przestrzeni. Rządy państw członkowskich SOW wyraziły swoje zaniepokojenie eskalacją zagrożeń związanych z możliwością wykorzystania takich technologii i środków do celów niezgodnych z zasadami pokojowego współistnienia państw. Nowe technologie informatyczne mogą mieć zastosowanie w sferze zarówno cywilnej, jak i wojskowej, podnosząc znaczenie międzynarodowego bezpieczeństwa informacji jako jednego z kluczowych elementów systemu bezpieczeństwa międzynarodowego. Państwa członkowskie SOW wyraziły przekonanie, że dalsze pogłębianie zaufania i rozwoju oraz współdziałania stron w kwestii zapewnienia bezpieczeństwa informacji jest międzynarodowym nakazem i potrzebą i jest korzystne dla ich interesów. Tworząc Umowę w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego państwa strony wzięły również pod uwagę ważną rolę w zapewnieniu bezpieczeństwa informacji, praw i podstawowych wolności człowieka i obywatela. W preambule Umowy SOW w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego odwołano się także do zaleceń rezolucji Zgromadzenia Ogólnego ONZ pt. „Osiągnięcia w dziedzinie informatyzacji i telekomunikacji w kontekście bezpieczeństwa międzynarodowego”, mające na celu ograniczenie zagrożeń bezpieczeństwa informacji międzynarodowej. Państwa członkowskie SOW za główny cel podpisania Umowy w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego wskazały chęć zabezpieczenia międzynarodowego obrotu i wymiany informacji i stworzenia bezpiecznego obszaru informacji, charakterystycznego dla świata, współpracy i harmonii.

Artykuł 2 Umowy w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego definiuje na potrzeby niniejszego dokumentu główne zagrożenia dla bezpieczeństwa cybernetycznego współczesnego świata. Są to:

Strony zobowiązały się współpracować na rzecz ochrony informacji w międzynarodowej przestrzeni cyfrowej mając świadomość, że tego rodzaju współpraca może niewątpliwie przyczynić się do rozwoju społecznego i gospodarczego oraz wpłynie na utrzymanie bezpieczeństwa i stabilności międzynarodowej, zgodnie z ogólnie przyjętymi zasadami i normami prawa międzynarodowego, w tym zasadami pokojowego rozstrzygania sporów i konfliktów, niestosowania siły, nieingerencji w sprawy wewnętrzne, poszanowania praw człowieka i podstawowych wolności, jak również zasady nieingerencji i współpracy regionalnej w ramach zasobów informacyjnych stron.

Analizowana Umowa w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego zawarta między państwami członkowskimi Szanghajskiej Organizacji Współpracy nie ogranicza się jedynie do zdefiniowania form pospolitej przestępczości cybernetycznej, jak czynią to konwencje dotyczące bezpieczeństwa w cyberprzestrzeni podpisane pod auspicjami Rady Europy, ale odnosi się również do zagadnień związanych z użyciem cyberbroni w wojnie informatycznej i cyberterroryzmem, odnosząc się tym samym szeroko do zagadnień bezpieczeństwa międzynarodowego.

Dwie ostatnie konwencje regionalne, które zostaną wskazane w niniejszym opracowaniu, to Konwencja Ligi Państw Arabskich w sprawie zwalczania przestępczości informatycznej podpisana w Kairze 21 grudnia 2010 r. i Konwencja Unii Afrykańskiej w sprawie bezpieczeństwa cybernetycznego oraz ochrony danych osobowych przyjęta w Malabo, 27 czerwca 2014 r.

W preambule do Konwencji w sprawie zwalczania przestępczości informatycznej możemy przeczytać, że państwa zrzeszone w Lidze Państw Arabskich zauważyły potrzebę wzmocnienia współpracy między nimi w celu zwalczania przestępstw informatycznych zagrażających ich bezpieczeństwu i żywotnym interesom oraz bezpieczeństwu swoich społeczeństw. Przystępując do zawarcia Konwencji państwa arabskie wyraziły przekonanie o konieczności przyjęcia wspólnej polityki kryminalnej w celu ochrony swoich społeczeństw przed przestępstwami informatycznymi. Odwołały się przy tym do wysokich standardów i zasad religijnych i moralnych, zwłaszcza islamskiego prawa szariatu, jak i kulturowego dziedzictwa narodu arabskiego, który odrzuca wszelkie formy przestępczości. Wreszcie pod koniec preambuły odwołano się do konieczności respektowania odpowiednich, wiążących kraje arabskie umów międzynarodowych z obszaru praw człowieka.

Głównym celem Konwencji jest zwiększenie i wzmocnienie współpracy pomiędzy państwami arabskimi w zakresie zwalczania przestępczości informatycznej, zidentyfikowanie i ograniczenie tego rodzaju zagrożeń, co ma się przysłużyć dla ochrony bezpieczeństwa i interesów państw arabskich oraz bezpieczeństwa ich obywateli.

Konwencja Ligi Państw Arabskich w sprawie zwalczania przestępczości informatycznej zawiera katalog zdefiniowanych przestępstw komputerowych, do których zaliczono: przestępstwo nielegalnego dostępu, przestępstwo nielegalnego przejęcia danych, przestępstwo przeciwko integralności danych, przestępstwo nadużycia informacji przy pomocy środków informatycznych, przestępstwo fałszowania danych, przestępstwo oszustwa, przestępstwa związane z produkcją i rozpowszechnianiem pornografii, przestępstwa przeciwko prywatności popełniane przy użyciu środków informatycznych, przestępstwo terroryzmu popełnione przy użyciu środków informatycznych, przestępstwa związane z przestępczością zorganizowaną popełniane przy użyciu środków informatycznych, przestępstwa przeciwko prawom autorskim i prawom pokrewnym, nielegalne wykorzystanie elektronicznych narzędzi płatniczych.

Z powyższego katalogu, jasno wynika, że przedmiotem zainteresowania państw sygnatariuszy Konwencji była głównie pospolita przestępczość komputerowa, szczegółowo zdefiniowana w typach poszczególnych czynów zabronionych. Niemniej jednak, zwraca uwagę fakt, że oprócz przestępstw pospolitych zdefiniowano w Konwencji także cyberterroryzm. Zaliczono do niego czyny polegające na rozpowszechnianiu i wspieraniu idei i zasad grup terrorystycznych; finansowaniu i szkoleniu dla celów przeprowadzania operacji terrorystycznych; ułatwianie komunikacji pomiędzy organizacjami terrorystycznymi; upowszechnianie metod produkcji materiałów wybuchowych, zwłaszcza w celu użycia ich w operacjach terrorystycznych; propagowanie religijnego fanatyzmu i atakowanie religii i przekonań.

Celem przyświecającym państwom zrzeszonym w Unii Afrykańskiej podejmującym wysiłek na rzecz harmonizacji przepisów i działań w obszarze bezpieczeństwa cybernetycznego było ustanowienie ram prawnych dla bezpiecznej działalności w cyberprzestrzeni, w tym zapewnienie ochrony danych osobowych obywateli państw członkowskich Unii Afrykańskiej na poziomie regionalnym, a co za tym idzie przyczynienie się do budowy na tym obszarze społeczeństwa informacyjnego. Owocem podjętych wysiłków stała się Konwencja Unii Afrykańskiej w sprawie bezpieczeństwa cybernetycznego oraz ochrony danych osobowych przyjęta w Malabo, 27 czerwca 2014 r.

Celem Konwencji jest ustanowienie w każdym państwie będącym jej stroną mechanizmów zdolnych do zwalczania naruszeń prywatności, generowanych na skutek nielegalnego gromadzenia danych osobowych, ich przetwarzania, przesyłania, przechowywania i wykorzystywania. Konwencja proponując pewne rozwiązania instytucjonalne mające zabezpieczyć poruszanie się w cyberprzestrzeni, jednocześnie konstruuje gwarancje przestrzegania podstawowych praw i wolności osób fizycznych, praw społeczności lokalnych i interesów przedsiębiorstw. Można stwierdzić, że Konwencja stara się naśladować i powielać najlepsze praktyki uznane na szczeblu międzynarodowym.

Na wstępie zdefiniowano główne przeszkody w rozwoju handlu elektronicznego w Afryce, które w pierwszej kolejności wynikają z braku bezpieczeństwa cybernetycznego. Zaliczono do nich brak regulacji zagadnień podpisu elektronicznego i wiarygodności przesyłanych danych elektronicznych, brak regulacji prawnych takich kwestii jak, ochrona konsumentów, własności intelektualnej, danych osobowych i systemów informacyjnych; brak zastosowania technik informatycznych w działalności handlowej i administracyjnej; brak regulacji podatkowych dotyczących handlu elektronicznego.

Pierwszy rozdział Konwencji poświęcony jest elektronicznemu obrotowi handlowemu. Zgodnie z celami wskazanymi w preambule Konwencja stara się wprowadzić gwarancje chroniące pewność obrotu handlowego i wyeliminować możliwości oszustw i nadużyć. Uregulowano m.in. zakres odpowiedzialności przedsiębiorców realizujących działalność w cyberprzestrzeni, zakres dozwolonej reklamy elektronicznej, formy kontraktów internetowych (formy czynności prawnych).

Drugi rozdział reguluje kwestie związane z ochroną danych osobowych, w związku z ich gromadzeniem i przetwarzaniem w zbiorach danych elektronicznych.

Rozdział trzeci zawiera podstawowe zasady cyberbezpieczeństwa, do których przestrzegania zobowiązały się państwa strony Konwencji oraz regulacje dotyczące zwalczanie przestępstw komputerowych. Rozdział ten zawiera szeroki katalog czynów stanowiących przestępstwa komputerowe.

Ostatni, czwarty rozdział zawiera przepisy końcowe.

W kategorii aktów prawnych o charakterze wiążącym jakimi są dwustronne umowy międzynarodowe dotyczące współpracy państw w walce z cyberprzestępczością i innymi zagrożeniami wynikającymi z dynamicznego rozwoju cyberprzestrzeni nie znajdziemy wielu dokumentów. Umowy takie, co do zasady, nie są zawierane w relacjach dwustronnych, gdyż jedynie wielostronna, regionalna lub optymalnie – powszechna współpraca między państwami daje możliwość efektywnego zwalczania zagrożeń wynikających z nieodpowiedzialnego i przestępczego wykorzystywania sieci Internet. Współpraca dwustronna między państwami w ściganiu przestępstw komputerowych, jak dotychczas jest realizowana w oparciu o istniejące umowy dotyczące pomocy prawnej.

Niemniej jednak możemy wskazać szereg przykładów pokazujących dwustronne inicjatywy zmierzające do poprawy bezpieczeństwa w cyberprzestrzeni.

Pierwszym z przykładów jest porozumienie między Stanami Zjednoczonymi, a Australią w ramach Paktu Bezpieczeństwa Pacyfiku (ANZUS). W 1951 r. na konferencji w San Francisco Australia, Nowa Zelandia oraz Stany Zjednoczone zawarły Układ o Bezpieczeństwie (Pakt Bezpieczeństwa Pacyfiku) dotyczący obrony wojskowej na Oceanie Spokojnym, nazywany od pierwszych liter występujących w nazwach państw – ANZUS (Australia, New Zeland, United States). Traktat był pierwotnie sojuszem trzech państw zbudowanym na porozumieniach dwustronnych – z jednej strony Stanów Zjednoczonych i Australii, z drugiej strony Australii i Nowej Zelandii oraz USA i Nowej Zelandii (do 1987 r.). Od 1985 r. Nowa Zelandia zawiesiła swoją aktywność w pakcie ANZUS, w ramach którego spotkali się przedstawiciele USA i Australii. W 2011 r. dodano nową klauzulę do Paktu Bezpieczeństwa Pacyfiku, stwierdzającą, że będzie miał on także zastosowanie do cyberprzestrzeni.

Dialog w obszarze zapewnienia bezpieczeństwa w cyberprzestrzeni prowadzą od kilku lat Stany Zjednoczone i Chiny za pośrednictwem swoich think tanków. Dwustronne rozmowy na temat współpracy w zakresie cyberbezpieczeństwa są prowadzone przez Chiński Instytutu Współczesnych Stosunków Międzynarodowych i Centrum Studiów Strategicznych i Międzynarodowych Stanów Zjednoczonych od 2009 r. Dotychczas odbyło się szereg formalnych spotkań przedstawicieli tych organizacji. Jednakże przez lata strony nie osiągnęły istotnego zbliżenia. Ustalono wprawdzie pewne wspólnie podzielane poglądy na temat zagadnień takich jak zagrożenie ze strony „podmiotów trzecich”, podmiotów niepaństwowych (np. grup terrorystycznych) oraz poglądy na temat współpracy w zwalczaniu przestępstw informatycznych, takich jak oszustwa komputerowe i pornografia dziecięca. Jednak nadal istnieją pewne obszary sporne. Na przykład, Chiny zaproponowały zawarcie umowy no-first-use (czyli umowy „nie zrobię pierwszego kroku w cyberwojnie”) między mocarstwami cybernetycznymi oraz zakazanie cyberataków (cybernapaści) na cele czysto cywilne. Tymczasem Stany Zjednoczone Ameryki wskazały, że granica między celami cywilnymi i wojskowymi jest współcześnie niewyraźna, niemniej jednak pojęcie ochrony ludności cywilnej można znaleźć w konwencjach genewskich i haskich, które zdaniem Amerykanów, powinny być przestrzegane przez wszystkie państwa w cyberprzestrzeni. Ponadto, strony podjęły próbę ustalenia, jakie zachowania można uznać za cybernapaść lub cyberwojnę. Dotychczas zgodzono się, że skala aktów cybernetycznych uzasadniających uznanie je za cybernapaść powinna być rozległa, jednak wciąż nie określono czasu trwania i skutków działań w cyberprzestrzeni, które można by uznać za cybernapaść. Trzeba także zauważyć, że mimo trwającego dialogu między oboma mocarstwami dotyczącego cyberbezpieczeństwa odnotowano w ostatnim czasie szereg ataków cybernetycznych na terytorium USA przeprowadzonych z serwerów chińskich. Oskarżenia, że jakoby ataki te były inspirowane przez chińskie władze zostały jednak zdementowane przez chińskich urzędników.

Dwustronne rozmowy na temat bezpieczeństwa w cyberprzestrzeni prowadzą także w ramach Wspólnego Komitetu Roboczego ds. Informatyzacji i Łączności przedstawiciele Chin i Francji9.

W maju 2015 r. Rosja i Chiny podpisały memorandum, które przewiduje, że oba kraje nie dokonają cyberataków przeciwko sobie i że będą również wspólnie udaremniać powstanie technologii, które mogą potencjalnie „destabilizować wewnętrzną atmosferę polityczną i społeczno-gospodarczą”, „zakłócać porządek publiczny” lub „ingerować w wewnętrzne sprawy państwa”. Dodatkowo, Pekin i Moskwa zgodziły się na ściślejszą współpracę w zwalczaniu cyberprzestępczości, oraz wzmożenie wspólnych wysiłków na rzecz poprawy ochrony informacyjnej infrastruktury krytycznej w obu krajach. Dla Chin, jest to kolejny krok w celu promowania swojej koncepcji suwerenności w Internecie – koncepcji będącej w bezpośredniej opozycji do idei Zachodu wolność Internetu. Kierownictwo Komunistycznej Partii Chin widzi zachodnią ideę wolności Internetu jako równoznaczną z zachodnią „cyberhegemonią”.10

Także Stany Zjednoczone i Unia Europejska ustanowiły Grupę Roboczą ds. Cyberbezpieczeństwa i Cyberprzestępczości w listopadzie 2010 roku w Lizbonie w celu opracowania programu współpracy oraz planu działania, w tym opracowania wspólnego podejścia do różnych problemów w zakresie przestępczości internetowej i bezpieczeństwa w Internecie. Grupa Robocza otrzymała zadanie opracowania modelu współpracy i dobrych praktyk w zwalczaniu krytycznych cyberincydentów oraz modelu partnerstwa publiczno-prywatnego, czyli współpracy między instytucjami rządowymi i przedstawicielami przemysłu w zapewnieniu bezpieczeństwa w Internecie oraz w zwalczaniu cyberprzestępczości. Zadaniem Grupy było także zbadanie oddziaływania Konwencji Rady Europy o cyberprzestępczości i zachęcanie państw członkowskich UE i Rady Europy, do jej szybkiej ratyfikacji. Chociaż Grupa Robocza do tej pory nie była w stanie przedstawić żadnych wyników swojej pracy, jej cele wydają się być konkretne i osiągalne.11

Zapewnienie bezpieczeństwa cyberprzestrzeni stanowi współcześnie kluczowe wyzwanie dla globalizującego się świata. Rozwój technik i narzędzi komunikacji: satelitów komunikacyjnych, światłowodów, telefonii komórkowej i Internetu, określany mianem rewolucji informacyjnej stwarza nowe szanse cywilizacyjne dla społeczeństw i gospodarek państwowych, ale jednocześnie kreuje nowe, nieznane dotąd pola dla potencjalnych nadużyć. W celu realizacji harmonijnego, zrównoważonego rozwoju światowej gospodarki, ale także zapewnienia pokoju i bezpieczeństwa na świecie, konieczne stało się zidentyfikowanie tych nowych zagrożeń związanych z wojną cybernetyczną, cyberterroryzmem i wreszcie pospolitą przestępczością komputerową. Nie jest to możliwe bez powszechnej, ścisłej współpracy wszystkich suwerennych podmiotów i ich organizacji na arenie międzynarodowej. Konieczne jest także zaangażowanie i uświadomienie o istnieniu cybernetycznych zagrożeń społeczeństw, w szczególności społeczeństw państw rozwiniętych, które na co dzień realizują swoje życiowe potrzeby za pośrednictwem sieci Internet i przy wykorzystaniu nowoczesnych technologii i urządzeń. Potrzebne jest uświadamianie zagrożeń na szczeblu społeczeństw i harmonizacja prawa na szczeblu międzynarodowym.

Od ponad dwóch dekad państwa podejmują wysiłki na rzecz zidentyfikowania zagrożeń cybernetyczny i harmonizacji ustawodawstwa i współpracy w ich zwalczaniu. Mimo to, do tej pory nie ma globalnego, powszechnego porozumienia definiującego podstawowe zagrożenia występujące w cyberprzestrzeni ani nie ma zgodności co do tego, które z nich powinny być opisane jako przestępstwa. Wprawdzie większość państw i szereg organizacji regionalnych, w ciągu ostatnich 20 lat, wprowadziło przepisy i ramy współpracy prawnej niezbędne w walce z cyberprzestępczością i choć można dostrzec pewne ujednolicenie norm materialnych i proceduralnych, różnice prawne pozostają znaczące. Istnieje wiele powodów, dlaczego tak jest. Po pierwsze, sam czyn przestępczy może wywoływać negatywne konsekwencje z różną intensywnością w różnych państwach. W szczególności ataki hakerskie mogą być przeprowadzane z terytoriów państw tzw. rozwijających się, państw trzeciego świata, w których ustawodawstwo karne nie nadążą za urzeczywistniającą się globalnie cywilizacją techniczną, przeciwko krajom wysokorozwiniętym, uprzemysłowionym i w znacznym stopniu zinformatyzowanym. Negatywne skutki takich ataków odczują wówczas np. bogate, stechnicyzowane społeczeństwa Zachodu. Zupełnie nie zauważą ich natomiast społeczeństwa państw, z terytoriów których takie ataki zostały przeprowadzone. W takiej sytuacji może dochodzić do braku zrozumienia ze strony państw i społeczeństw rozwijających się i uzasadnionej irytacji ze strony państw i społeczeństw uprzemysłowionych. Po drugie, sporne jest podejście do egzekwowania prawa i zakresu swobód obywatelskich w różnych państwach. Co jest niezgodne z prawem w jednym państwie, w innym jest uważane za oczywiste korzystanie z wolności. W związku z tym konieczne jest zbliżenie w podejściu do prawa i jego harmonizacja, jeśli międzynarodowe śledztwa realizowane przez prokuratorów krajowych mają być skuteczne. Postulat ten nie jest jednak łatwy do zrealizowania z uwagi na znaczące różnice rozwojowe i kulturowe współczesnych państw i ich społeczeństw. Linie podziału przebiegają wielowymiarowo. Z jednej strony mamy na arenie międzynarodowej szereg państw, które starają się nadawać ton współczesnym stosunkom międzynarodowy, narzucać swoją wizję ładu i porządku światowego, praw człowieka i swobód obywatelskich, wizję uniwersalnego ładu politycznego opartego na demokratycznych wartościach. Z drugiej strony mamy resztę świata, która mozolnie wydobywa się z dawnej zależności kolonialnej. Wprawdzie polityczne uwolnienie kolonii spod dominacji europejskich metropolii nastąpiło wraz z zakończeniem procesu dekolonizacji w drugiej połowie XX w., jednakże w dalszym ciągu szereg tych postkolonialnych państw wybija się na niezależność ekonomiczną i kulturową. Inny podział świata przebiega między mocarstwami militarnymi, dysponującymi bronią nuklearną zdolną unicestwić, w razie ewentualnego konfliktu zbrojnego z jej użyciem, całą ludzkość (kilkukrotnie, tzw. overkill), a resztą społeczności międzynarodowej, która nie posiada w swych arsenałach broni nuklearnej. Nie mniej istotny, można powiedzieć tradycyjny, historyczny podział, szczególnie wyraźnie obecnie rzutujący na sytuację bezpieczeństwa międzynarodowego wynika z różnic religijno-kulturowych między światem muzułmańskim a światem chrześcijańskim. Wartości podzielane w sferze kultury chrześcijańskiej okazują się być w konflikcie z tymi wyznawanymi w kulturze muzułmańskiej. Jeszcze inny podział przebiega w oparciu o wewnętrzne modele ustrojowe współczesnych państw. Z jednej strony mamy państwa demokratyczne lub takie, które mają aspiracje budowy stabilnego, demokratycznego systemu władzy politycznej, z drugiej strony mamy państwa rządzone autokratycznie, reżimy religijne i jawnie antydemokratyczne. Kiedy uzmysłowimy sobie złożoność i różnorodność mozaiki współczesnego świata i jakie wynikają z niej różnice postaw i interesów, łatwiej przyjdzie nam zrozumieć dotychczasowy brak powszechnej umowy międzynarodowej regulującej w skali globalnej współpracę państw w dziedzinie zwalczania zagrożeń w cyberprzestrzeni.

Mimo braku umowy międzynarodowej o powszechnym zasięgu istnieją konwencje regionalne i umowy dwustronne, w oparciu, o które realizowana jest współpraca w dziedzinie zwalczania cyberprzestępczości. Najważniejszym porozumieniem regionalnym pozostaje wciąż Konwencja Rady Europy o cyberprzestępczości z 2001 r. Pozostałe dokumenty takie jak: Porozumienie Wspólnoty Niepodległych Państw w sprawie współpracy w zwalczaniu przestępczości komputerowej z 2001 r., Umowa Szanghajskiej Organizacji Współpracy w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego z 2009 r., Konwencja Ligi Państw Arabskich w sprawie zwalczania przestępczości informatycznej z 2010 r., czy Konwencja Unii Afrykańskiej w sprawie bezpieczeństwa cybernetycznego oraz ochrony danych osobowych z 2014 r. mają mniejszy zasięg oddziaływania. Niemniej jednak stanowią ważny element harmonizacji prawa dotyczącego ścigania i karania czynów godzących w wolność i bezpieczeństwo cyberprzestrzeni.

Oprócz wskazanych wyżej regionalnych umów międzynarodowych poświęconych w całości walce z zagrożeniami w cyberprzestrzeni istnieją także dwustronne inicjatywy realizowane między państwami, także w postaci dwustronnych umów międzynarodowych poświęcone tym zagrożeniom. Niestety są to pojedyncze inicjatywy nie mogące w sposób znaczący wpłynąć na podniesienie poziomu bezpieczeństwa cybernetycznego. Współpraca organów ścigania różnych państw może być i jest realizowana w oparciu o tradycyjne instrumenty nie poświęcone wyłącznie przestępczości komputerowej tzn. w oparciu o umowy o współpracy i pomocy prawnej. Podstawowe ograniczenie tego sposobu współpracy wynika z faktu, że większość ze współcześnie obowiązujących w stosunkach dwustronnych traktatów dotyczących pomocy prawnej opiera się na zasadzie „podwójnej karalności”, tzn. tylko jeśli czyn jest nielegalny w obu krajach, pomoc prawna będzie mogła być świadczona. Do tego wymagana jest jednak powszechna harmonizacja przepisów. W tym miejscu wracamy do punktu wyjścia, czyli do konstatacji na temat różnorodności politycznej, ekonomicznej i kulturowej współczesnego świata.

Powyższe rozważania odnoszą się przede wszystkim do współpracy między państwami w zwalczaniu pospolitej przestępczości komputerowej, która w istocie stanowi najpowszechniejsze i najbardziej uciążliwe zjawisko we współczesnym, zinformatyzowanym świecie. Nie ma natomiast regulacji, w postaci umowy międzynarodowej, czy to powszechnej, regionalnej, czy chociażby dwustronnej, które kompleksowo podeszłyby do zagadnienia cyberwojny i cyberterroryzmu. Wprawdzie istnieją pewne nawiązania w analizowanych w niniejszej pracy dokumentach do problematyki zwalczania międzynarodowego cyberterroryzmu oraz wzmianka o wykorzystaniu technologii teleinformatycznej do działań wspierających agresję militarną, niemniej jednak nie można mówić o kompleksowym uregulowaniu tych problemów na szczeblu międzynarodowym.

Najszerzej kwestię nowych technologii informatycznych mogących mieć zastosowanie w sferze zarówno cywilnej, jak i wojskowej, podnoszących znaczenie międzynarodowego bezpieczeństwa informacji jako jednego z kluczowych elementów systemu bezpieczeństwa międzynarodowego potraktowano w Umowie Szanghajskiej Organizacji Współpracy w sprawie kooperacji w dziedzinie międzynarodowego bezpieczeństwa informacyjnego z 2009 r. Jest to pionierska umowa międzynarodowa odnosząca się do kwestii rozwoju i użycia broni cybernetycznej oraz przygotowywania i prowadzenia wojny informatycznej, czy wykorzystania pozycji dominującej w przestrzeni informacyjnej ze szkodą dla interesów i bezpieczeństwa innych państw.

Na uwagę zasługuje również inicjatywa wygenerowana w łonie Organizacji Narodów Zjednoczonych, a konkretnie w ramach Komisji ONZ ds. Wymiaru Sprawiedliwości i Zapobiegania Przestępczości (UNODC), mianowicie w 2010 r. została powołana międzynarodowa grupa ekspertów w zakresie przestępczości internetowej UNODC. Grupa ekspertów została obarczona zadaniem rozważenia możliwości wypracowania skutecznych metod zwalczania przestępczości internetowej. Postawiono przed ekspertami zadanie aby przeanalizowali istniejące mechanizmy sądowe, zaproponowali ewentualnie ich wzmocnienie lub aby zaproponowali nowe krajowe i międzynarodowe środki sądowe lub inne skuteczne przeciwko przestępczości internetowej. W porządku obrad pierwszego spotkania grupy rozważano następujące zagadnienia prawne: harmonizacja ustawodawstwa, prawa karnego materialnego, instrumentów proceduralnych, międzynarodowej współpracy w egzekwowaniu prawa, zabezpieczenie dowodów elektronicznych, odpowiedzialność dostawców usług internetowych. Uwzględniono również środki i strategie pozasądowe, w tym techniczne możliwości śledcze i strategie obronne w sektorze prywatnym przeciwko przestępczości internetowej. Na tym pierwszym spotkaniu sporządzono przede wszystkim wykaz zagadnień i rozważono ich zakres i poziom szczegółowości, na jakim powinny być rozpatrywane przez grupę ekspertów. Nie sformułowano natomiast żadnych konkretnych propozycji działań. Utworzenie międzynarodowego sądu do spraw cyberprzestępczości nie pojawiło się wówczas w rozległym porządku obrad.

Z inicjatywą utworzenia międzynarodowego trybunału karnego ds. cyberprzestępczości wystąpił natomiast norweski prawnik Stein Schjolberg, przewodniczący międzynarodowej organizacji pozarządowej pod nazwą The Global Think Tank on Peace and Justice in Cyberspace. Stein Schjolberg proponuje w swoim projekcie, żeby w drodze wielostronnej umowy międzynarodowej powołać do życia międzynarodowy organ sądowy, który mógłby stanowić element organizacji istniejącego od 2002 r. Międzynarodowego Trybunału Karnego (MTK). Schjolberg jest zdania, że taki organ sądowy do ścigania i karania przestępstw popełnionych w cyberprzestrzeni mógłby zostać niejako dopisany do Statutu rzymskiego MTK z 1998 r. Gdyby to okazało się niemożliwe, alternatywnie, Schjolberg proponuje, aby to Rada Bezpieczeństwa ONZ lub Zgromadzenie Ogólne ONZ ustanowiło odpowiedni sąd ad hoc na wzór trybunałów karnych dla byłej Jugosławii i dla Rwandy lub na wzór popularnych w ostatnich latach karnych trybunałów hybrydowych. Jurysdykcja tak ustanowionego trybunału obejmowałaby ściganie i karanie cyberprzestępczości i powinna koncentrować się na następujących zagadnieniach: pogwałcenia międzynarodowego traktatu lub traktatów dotyczących cyberprzestępczości, oraz rozległe i skoordynowane globalne cyberataki przeciwko krytycznej infrastrukturze teleinformatycznej.

Jedną, z ostatnich inicjatyw na forum międzynarodowym stanowi rezolucja przyjęta przez Zgromadzenie Ogólne ONZ w grudniu 2019 r. z inicjatywy Rosji w sprawie cyberprzestępczości, która może wywołać istotne konsekwencje dla sposobu, w jaki kraje radzą sobie dotychczas z cyberprzestępczością i współpracują przy jej zwalczaniu12. Chociaż rezolucja spotkała się z silnym sprzeciwem wielu państw zachodnich i organizacji wspierających prawa człowieka, udało się ją przegłosować w ostatnim głosowaniu 27 grudnia 2019 r. Za przyjęciem rezolucji głosowało 79 państw, przeciwko 60 (w tym Polska), przy 33 wstrzymujących się. Przyjęta rezolucja powołuje komitet ekspertów do rozważenia (przygotowania) nowego traktatu ONZ o cyberprzestępczości (Zgromadzenie Ogólne „Decyduje o powołaniu międzyrządowego komitetu ekspertów ad hoc, reprezentującego wszystkie regiony, w celu opracowania kompleksowej międzynarodowej konwencji w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych do celów przestępczych, z pełnym uwzględnieniem istniejących instrumentów międzynarodowych i wysiłków na szczeblu krajowym, na szczeblu regionalnym i międzynarodowym w zakresie zwalczania wykorzystywania technologii informacyjno-komunikacyjnych do celów przestępczych”).

Wskazana rezolucja wspiera wieloletni postulat prezentowany przez Rosję na forum międzynarodowym, jakim jest zastąpienie Konwencji Rady Europy z Budapesztu, która pozostaje dotychczas jedynym międzynarodowym instrumentem zajmującym się tą kwestią. Rosja, która w przeszłości proponowała alternatywny własny projekt konwencji ONZ, konsekwentnie argumentowała, że Konwencja budapeszteńska z 2001 roku jest przestarzała i narusza zasady suwerenności państwowej i nieingerencji w wewnętrzne sprawy państw.

W swojej rezolucji 74/247, przyjętej w dniu 27 grudnia 2019 r., Zgromadzenie Ogólne ONZ zapoznało się m.in. z rezolucją Komisji ds. Zapobiegania Przestępczości i Wymiaru Sprawiedliwości 26/4 z dnia 26 maja 2017 r., w której Komisja wyraziła uznanie dla pracy wykonanej przez grupę ekspertów do przeprowadzenia kompleksowego badania cyberprzestępczości i zwróciła się do grupy ekspertów o kontynuowanie jej prac w celu zbadania możliwości wzmocnienia istniejących rozwiązań i zaproponowania nowych krajowych i międzynarodowych prawnych lub innych odpowiedzi na cyberprzestępczość. Jednocześnie potwierdziła rolę Biura Narodów Zjednoczonych ds. Narkotyków i Przestępczości (UNODC) w tym zakresie. W tej samej rezolucji Zgromadzenie Ogólne powołało otwarty, ad hoc, międzyrządowy komitet ekspertów, w celu opracowania kompleksowej międzynarodowej konwencji w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych do celów przestępczych. Zgromadzenie Ogólne postanowiło również, że komitet ad hoc zwoła trzydniową sesję organizacyjną w sierpniu 2020 r. w Nowym Jorku w celu uzgodnienia zarysu i warunków dalszych działań, które zostaną przedłożone Zgromadzeniu Ogólnemu na siedemdziesiątej piątej sesji do rozpatrzenia i zatwierdzenia.

Jednakże w związku z wybuchem światowej pandemii wirusa COVID-19 termin sierpniowy spotkania komitetu ad hoc nie został dotrzymany. Pierwsze posiedzenie organizacyjne zostało przesunięte na termin, w którym sytuacja pandemiczna pozwoli na bezpośrednie obrady, ale nie później niż 1 marca 2021 r. Państwa członkowskie zostały poinformowane, że trwa planowanie oficjalnego kalendarza spotkań w Nowym Jorku na 2021 r., w tym miejsce na sesję organizacyjną komitetu ad hoc, zakładając, że siedziba ONZ powróci do normalnej działalności w 2021 r. Jeśli obecny wpływ pandemii COVID-19 się utrzyma, a środki dystansowania społecznego będą kontynuowane, Sekretariat będzie musiał dokonać całościowego przeglądu kalendarza na 2021 r., w tym terminów posiedzeń sesji organizacyjnej i potencjalnie przełożyć wstępnie zaplanowane spotkania. Państwa członkowskie zostaną o tym poinformowane w odpowiednim czasie.

Ruszyła natomiast oficjalna strona internetowa komitetu ad hoc, na której można znaleźć podstawowe dokumenty dotyczące funkcjonowania komitetu, obszerne i aktualne informacje na temat planowanych prac, stanowiska państw w związku z planowanymi przedsięwzięciami13.

Z zamieszczonych na stronie internetowej dokumentów, w pierwszej kolejności zasługuje na uwagę dokument wprowadzający przygotowany przez Sekretariat: „Proponowany zarys i warunki dalszych działań komitetu ad hoc w celu opracowania kompleksowej międzynarodowej konwencji o przeciwdziałaniu wykorzystywaniu technologii informacyjnych i komunikacyjnych do celów przestępczych”14. Możemy w nim przeczytać, że zgodnie z rezolucją 74/247 Zgromadzenia Ogólnego ONZ komitet ad hoc jest upoważniony do opracowania kompleksowej międzynarodowej konwencji w sprawie przeciwdziałania wykorzystywaniu technologii informacyjno-komunikacyjnych do celów przestępczych. W celu wypełnienia swojego mandatu komitet ad hoc odbędzie osiem posiedzeń w Wiedniu w okresie od sierpnia 2021 r. do końca czerwca 2024 r. W tym okresie opracuje i przedłoży projekt konwencji Zgromadzeniu Ogólnemu ONZ do rozpatrzenia i przyjęcia na siedemdziesiątej dziewiątej sesji, która ma się odbyć w 2024 r. Zgodnie z rezolucją 74/247, w trakcie negocjacji komitet ad hoc uwzględni w pełni istniejące instrumenty międzynarodowe i dotychczasowe wysiłki podejmowane na szczeblu krajowym, regionalnym i międzynarodowym w zakresie zwalczania używania technologii informacyjno-komunikacyjnych do celów przestępczych, w szczególności prace i wyniki otwartej międzyrządowej grupy ekspertów w celu przeprowadzenia kompleksowego badania nad cyberprzestępczością. W tym celu Sekretariat przygotuje, na wniosek komitetu ad hoc, dokument informacyjny na temat istniejących międzynarodowych instrumentów prawnych, zaleceń i innych dokumentów dotyczących wykorzystania technologii informacyjno-komunikacyjnych do celów przestępczych, w celu ułatwienia procesu opracowywania.

Z upoważnienia komitetu ad hoc Sekretariat miał przygotować na pierwszą sesję komitetu i na podstawie propozycji i uwag otrzymanych od państw członkowskich skonsolidowany dokument wprowadzający, zawierający zarys i strukturę konwencji. Podczas drugiej sesji Sekretariat miał skonsolidować projekt konwencji na podstawie propozycji i uwag wniesionych przez państwa członkowskie, które zostaną rozpatrzone i uzgodnione przez komitet ad hoc do dalszego opracowania. Na każdą z kolejnych sesji Sekretariat miał przygotować poprawiony tekst projektu konwencji na podstawie propozycji i uwag przedłożonych przez państwa członkowskie oraz wyników poprzedniej sesji. Zbieranie propozycji i uwag otrzymanych od państw członkowskich przed każdą sesją miało się odbyć bez uszczerbku dla prawa wszystkich delegacji do przedkładania propozycji, jakie uznają za uzasadnione i stosowne w trakcie procesu negocjacyjnego do rozważenia i podjęcia dalszych działań przez komitet. Zgodnie z zasadą 103 regulaminu Zgromadzenia Ogólnego ONZ (komitet jest organem pomocniczym Zgromadzenia Ogólnego), komitet wybiera swoich funkcjonariuszy, prezydium składające się z jednego przewodniczącego, 13 wiceprzewodniczących i jednego sprawozdawcy, kierując się sprawiedliwym rozmieszczeniem geograficznym, doświadczeniem i kompetencjami osobistymi. Podobnie jak w przypadku opracowywania Konwencji o przestępczości zorganizowanej i Konwencji przeciwko korupcji, komitet może rozważyć zatrzymanie funkcjonariuszy wybranych na sesję organizacyjną w celu pełnienia funkcji na jego kolejnych posiedzeniach, do czasu sfinalizowania i zatwierdzenia projektu konwencji do rozpatrzenia i przyjęcie przez Zgromadzenie Ogólne na siedemdziesiątej dziewiątej sesji w 2024 r.

Oprócz spotkań na formalnych sesjach komitetu ad hoc, państwa członkowskie mogą spotykać się i konsultować nieformalnie pod kierunkiem funkcjonariuszy komitetu w celu osiągnięcia konsensusu w kwestiach związanych z opracowaniem konwencji. Dużą wagę należy przywiązywać do zapewnienia przejrzystości procesu negocjacyjnego i maksymalnego udziału państw. W trakcie prac komitet ad hoc może rozważyć uwzględnienie wkładu organizacji międzyrządowych, pozarządowych, społeczeństwa obywatelskiego i sektora prywatnego, zgodnie z regulaminem Zgromadzenia Ogólnego ONZ i praktyką ustaloną przez komitet ad hoc ds. opracowania Konwencji przeciwko międzynarodowej przestępczości zorganizowanej oraz komitet ad hoc ds. negocjacji Konwencji przeciwko korupcji. Komitet ad hoc może rozważyć przedłożenie Zgromadzeniu Ogólnemu sprawozdań z postępów w jego pracach na jego siedemdziesiątym szóstym, siedemdziesiątym siódmym, siedemdziesiątym ósmym i siedemdziesiątym dziewiątym posiedzeniu Zgromadzenia Ogólnego, na sesjach, które odbędą się odpowiednio w 2021, 2022, 2023 i 2024 r.

Komentując powyższe propozycje szereg państw członkowskich oraz Unia Europejska (UE) przedstawiły swoje uwagi i zastrzeżenia. Unia Europejska i jej państwa członkowskie przedstawiły swoje stanowisko wobec planowanych prac komitetu ad hoc w kilku oświadczeniach (z 20 kwietnia, 7 lipca i z 3 sierpnia 2020 r.). UE i jej państwa członkowskie przedstawiły pewne sugestie dotyczące procesu prowadzącego do planowanego spotkania w sierpniu 2020 r. i zbliżających się negocjacji. Zdaniem UE w całym procesie negocjowania konwencji powinny uczestniczyć wszyscy członkowie ONZ. Ponadto, podejmowanie decyzji na posiedzeniu sierpniowym i dalsze prace komitetu ad hoc powinny opierać się na konsensusie. UE wysoko oceniła wysiłki UNODC mające na celu szerokie konsultacje z państwami członkowskimi oraz organizacjami regionalnymi posiadającymi status obserwatora. Zdaniem UE, UNODC powinien nadal odgrywać kluczową rolę organizacyjną w całym procesie negocjacji i służyć jako Sekretariat dla komitetu ad hoc. UE postulowała, aby proces negocjacyjny był maksymalnie przejrzysty i transparentny, co oznacza, że społeczeństwo obywatelskie powinno odegrać w tym procesie odpowiednią rolę, w szczególności w odniesieniu do kwestii poszanowania praw człowieka. UE zaapelowała także o zachowanie spójności prawnej: proces negocjacyjny powinien mieć na celu osiągnięcie wyniku, który będzie w pełni zgodny z istniejącymi międzynarodowymi ramami prawnymi.

Jeśli chodzi o sesję organizacyjną komitetu ad hoc, UE i jej państwa członkowskie zadeklarowały zamiar skupienia jej prac wyłącznie na określeniu formalnych warunków procesu negocjacyjnego. Na swojej sesji organizacyjnej komitet ad hoc powinien określić terminy przyszłych spotkań, plan wydarzeń, zadań, kluczowe daty, zasady podejmowania decyzji, rolę interesariuszy niepaństwowych i inne podobne kwestie związane z procesem negocjacyjnym. Komitet ad hoc nie powinien, zdaniem UE, na swojej sesji organizacyjnej podejmować żadnych kwestii merytorycznych. UE podkreśliła, że wszelkie rozważania merytoryczne na planowanym sierpniowym posiedzeniu lub przed nim odciągnęłyby uwagę od pełnego przeglądu opcji i warunków proceduralnych. Ponadto, groziłoby to przedwczesnym zdefiniowaniem parametrów merytorycznych bez wykorzystania czasu na konsultacje i wysiłki wymagane do konstruktywnej i dokładnej oceny eksperckiej, w tym pełnego uwzględnienia pracy i wyników otwartej międzyrządowej grupy ekspertów z zakresu cyberprzestępczości. UE i jej państwa członkowskie wyraziły gotowość do współpracy z UNODC w celu pomyślnej realizacji wyżej wymienionych zadań. Unia Europejska i jej państwa członkowskie stwierdziły, że przedstawione powyżej zasady mają nadrzędne znaczenie dla ustrukturyzowania procesu, który stworzyłby wartość dodaną dla wszystkich i przyniósł wyniki, które zwiększają zdolności krajowe i stymulują skuteczną współpracę między organami ścigania i organami sądowymi.

Stanowisko wobec planowanego rozpoczęcia procesu negocjacji wyraziły też USA. Chociaż Stany Zjednoczone nie zgłosiły poważnych zastrzeżeń co do propozycji UNODC zasygnalizowały jednak kilka obaw i warunków, jakich będą wymagać Stany Zjednoczone, aby uczestniczyć w sierpniu 2020 r. i później w procesie negocjacyjnym. Udział USA w negocjacjach będzie zależał od sprawiedliwego i przejrzystego procesu, w tym neutralnego przywództwa i podejmowania decyzji opartych na konsensusie. Ważne dla USA jest, aby w negocjacjach prezentowano szeroki i wyważony zakres punktów widzenia na temat cyberprzestępczości; skupiono się na praktycznym egzekwowaniu prawa i sprawach karnych; przyjęto i utrzymywano uczciwe i przejrzyste procedury podejmowania decyzji; i unikano upolityczniania tego procesu. Sekretariat powinien odgrywać istotną rolę w sporządzaniu wyważonych i obiektywnych materiałów pomocniczych.

Sekretariat UNODC w swojej propozycji zasugerował praktykę negocjacji UNCAC15 jako potencjalny model procesu negocjacyjnego. USA zauważyły pod pewnymi względami korzyści ze spojrzenia wstecz na proces UNCAC, jednakże zwróciły uwagę, że istnieją znaczące różnice i że być może udałoby się zastosować najlepsze praktyki również z innych modeli. USA zwróciły się do Sekretariatu o dostarczenie dodatkowych potencjalnych modeli dla procesu negocjacyjnego. Obawy USA dotyczące UNCAC obejmują w szczególności fakt, że horyzont czasowy w ramach procesu UNCAC był dłuższy i dawał więcej okazji do nieformalnych spotkań organizacyjnych przed negocjacjami w sierpniu 2001 r. USA zauważyły, że proces UNCAC został uruchomiony na podstawie konsensusu państw członkowskich, co nie ma miejsca w tym przypadku. Stany Zjednoczone stanęły zdecydowanie na stanowisku, że sierpniowe spotkanie komitetu ad hoc powinno ograniczać się tylko do spraw organizacyjnych. Zakres dyskusji i przygotowania dokumentów przed sierpniem i w sierpniu (2020 r.) musi być ograniczony do kwestii proceduralnych lub „zasad”. Chociaż sierpniowe posiedzenie, zdaniem USA, może być miejscem debaty na temat mechanizmu pozyskiwania opinii państw członkowskich, wszelkie dyskusje na temat projektu tekstu lub elementów nowego traktatu muszą poczekać do zakończenia prac otwartej międzyrządowej grupy ekspertów ds. przeprowadzenia kompleksowego badania nad cyberprzestępczością i sformułowania zaleceń. Byłoby to niemożliwe przed zakończeniem planu prac grupy ekspertów, który obecnie przewiduje się na 2021 r.

Federacja Rosyjska (FR) w swoim oświadczeniu również zgłosiła szereg uwag w tym zakresie. Po pierwsze, FR zasugerowała, aby celem posiedzenia organizacyjnego komitetu ad hoc było opracowanie i przyjęcie przez komitet ad hoc warunków pracy tej platformy negocjacyjnej przez cały okres jej działania. Po drugie, FR poparła propozycję UNODC, aby w swoich pracach komitet ad hoc kierował się regulaminem oraz ustaloną praktyką Zgromadzenia Ogólnego ONZ i jego Trzeciego Komitetu, chyba że komitet ad hoc postanowi inaczej. Po trzecie, FR wyraziła nadzieję, że UNODC będzie w dalszym ciągu odgrywał rolę Sekretariatu przygotowując i prowadząc posiedzenia komitetu ad hoc. Po czwarte, FR wyraziła przekonanie, że każde państwo ma suwerenne prawo do zgłaszania swojej kandydatury na stanowisko przewodniczącego, wiceprezesa przewodniczącego lub sprawozdawcy i kandydować w wyborach do prezydium komitetu ad hoc. Po piąte, zdaniem FR ważne jest, aby prace w ramach komitetu ad hoc przebiegały w sposób koncyliacyjny, niekonfrontacyjny, konstruktywny i oparty na współpracy. Należy dążyć do niepolitycznej, przejrzystej i pragmatycznej dyskusji, aby osiągnąć zadanie postawione przed komitetem ad hoc przewidziane w jego mandacie zgodnie z rezolucją Zgromadzenia Ogólnego ONZ 74/247, a mianowicie opracowanie kompleksowej konwencji o przeciwdziałaniu wykorzystywaniu technologii informacyjno-komunikacyjnych do celów przestępczych. Zdaniem FR projektowana Konwencja powinna uwzględniać istniejące instrumenty i najlepsze praktyki w walce z przestępczością informacyjną, opierać się na ścisłym poszanowaniu i ochronie praw człowieka oraz stać się dostępnym i niezawodnym narzędziem przeciwdziałania przestępczości informacyjnej dla wszystkich krajów bez wyjątku.

Rzeczpospolita Polska jak dotychczas nie przedstawiła swojego stanowiska w kwestii prac komitetu ad hoc. Wprawdzie mamy swój głos jako państwo członkowskie Unii Europejskiej, która zajęła stanowisko w imieniu swoim i państw członkowskich w kwestii nowej inicjatywy Zgromadzenia Ogólnego ONZ, ale wskazane byłoby aktywne uczestnictwo Polski w pracach przygotowawczych i negocjacjach w ramach komitetu ad hoc. Wprawdzie, początkowo Polska, podobnie jak inne kraje Zachodu zajęła negatywne stanowisko w kwestii nowej inicjatywy wysuniętej na forum Zgromadzenia Ogólnego ONZ przez Rosję16, ale wobec przyjęcia przez Zgromadzenie Ogólne ONZ rezolucji 74/247 Polska mogłaby zrewidować swoje stanowisko i jako kraj wysoko rozwinięty i zinformatyzowany mogłaby zasygnalizować swoje zainteresowanie problematyką cyberbezpieczeństwa na forum ONZ i wpłynąć na kształt proponowanych rozwiązań.

Bibliografia selektywna

Malwina Ewa Kołodziejczak1

Organizacja systemu cyberbezpieczeństwa w Stanach Zjednoczonych Ameryki i Republice Chińskiej (Tajwan)

The Framework of the Cybersecurity System in the United States of America and the Republic of China (Taiwan)

Streszczenie: Cyberbezpieczeństwo zaczyna odgrywać coraz większą rolę wśród tradycyjnych dziedzin bezpieczeństwa narodowego. Jednym z państw, które wzorcowo zorganizowały system cyberbezpieczeństwa, jest Tajwan. Na uwagę zasługuje także wzajemna relacja ze Stanami Zjednoczonymi Ameryki w tym obszarze. Współpraca ta ma szczególne znaczenie z racji nieuregulowanego statusu prawnego Tajwanu, gdyż nie jest on stroną umów wielostronnych dotyczących cyberbezpieczeństwa. Niemniej jednak Tajwan posiada nie tylko godne uwagi regulacje prawne, ale i przeorganizowany w ostatnich latach system, co powoduje, że inicjowane formy współpracy z USA przynoszą obustronne korzyści. Niniejsze opracowanie ma na celu scharakteryzowanie organizacji systemu cyberbezpieczeństwa na szczeblu rządowym w USA i na Tajwanie, a także wskazanie kluczowych dokumentów normujących wzajemną współpracę oraz wspólne działania w zakresie cyberbezpieczeństwa.

Słowa kluczowe: cyberbezpieczeństwo, strategia, USA, Tajwan, porozumienia i programy rządowe.

*

Summary: