Kiedy Spyware Jest Legalny?

Legalność Stosowania Kontroli Operacyjnej Z Wykorzystaniem Spyware

W ostatnich tygodniach w naszym kraju jednym z najbardziej rozgrzewających opinię publiczną tematów jest zagadnienie legalności wykorzystania przez polskie służby oprogramowania szpiegującego „Pegasus”. W dniu 12 stycznia 2022 roku została nawet powołana Senacka Komisja Nadzwyczajna „do spraw wyjaśnienia przypadków nielegalnej inwigilacji, ich wpływu na proces wyborczy w Rzeczypospolitej Polskiej oraz reformy służb specjalnych”.

Zmiany legislacyjne rozbudowujące formę prowadzenia kontroli operacyjnej

Na wstępie zaznaczę, że polskie służby nabyły na podstawie ustawy z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (Dz. U. z 2016 r., poz. 147), która wprowadziła do przepisów regulujących działalność służb rozbudowanie definicji kontroli operacyjnej, zwanej w mediach popularnie „podsłuchem” o nową formę, uwzględniającą:

• „uzyskiwanie i utrwalanie danych zawartych w informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych”,

możliwość prowadzenia kontroli operacyjnej z wykorzystaniem spyware, którego przykładem jest m.in. „Pegasus”, czy „RCS”. Przedmiotowe zmiany oprócz Policji dotyczyły również ustaw regulujących funkcjonowanie m.in. Straży Granicznej, ABW, CBA oraz innych służb.  Uzasadnienia dla dokonanych zmian należy doszukiwać się m.in. w zawiązku z postępującą informatyzacją życia społecznego oraz rozwojem usług komunikatorów internetowych (m.in. Signal, WhatsApp, czy Messenger), które nie generują klasycznych ruchów na sieci telekomunikacyjnej operatorów (połączenia głosowe oraz wiadomości tekstowe), poza ewentualną transmisją danych.

Ustawowe i międzynarodowe definicje kluczowych pojęć

Celem zrozumienia powyższego zapisu, nowelizującego treść przepisów dotyczących funkcjonowania poszczególnych polskich służb w zakresie kontroli operacyjnej, koniecznym jest odwołanie się do innych ustaw oraz konwencji międzynarodowych wyjaśniających znaczenie poszczególnych terminów.

Definicję systemu informatycznego oraz danych informatycznych reguluje treść rozdziału II Konwencji Rady Europy o cyberprzestępczości z dnia 23.11.2001 r.

Zgodnie z jej postanowieniami „system informatyczny” powinien być rozumiany jako każde urządzenie lub grupa wzajemnie połączonych lub związanych ze sobą urządzeń, z których jedno lub więcej, zgodnie z programem, wykonuje automatyczne przetwarzanie danych.

„Dane informatyczne” przedmiotowa konwencja definiuje natomiast jako dowolne przedstawienie faktów, informacji lub pojęć w formie właściwej do przetwarzania w systemie komputerowym, łącznie z odpowiednim programem powodującym wykonanie funkcji przez system informatyczny.

Pojęcie „systemu teleinformatycznego” definiuje ustawa z dnia z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne(Dz.U.  z 2021 r., poz. 2070). Zgodnie z jej treścią poprzez system teleinformacyjny rozumieć należy zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego.

Kluczowym jednak dla zrozumienia przytoczonych zmian legislacyjnych w kontekście użycia systemów spyware przez służby jest pojęcie „telekomunikacyjnego urządzenia końcowego”, którego definicję legalną znajdujemy w art. 2 ustawy Prawo Telekomunikacyjne z dnia 16 lipca 2004 r. (Dz. U. z 2004 r., nr 171, poz. 1800). Zgodnie z przedmiotową ustawą jest to „urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci”. W praktyce oznacza to wszystkie urządzenia przeznaczone do otrzymywania informacji (m.in. telefony, tablety, komputery).

Forma prowadzenia kontroli operacyjnej

Przytoczone powyżej definicje wskazują jednoznacznie jakiego rodzaju dane, informacje mogą być przedmiotem pozyskania przez służby poprzez zarządzenie kontroli operacyjnej w znowelizowanej formie.

Co istotne, zgodnie z obowiązującym prawem o możliwości zastosowania kontroli operacyjnej zawsze decyduje Sąd, który wypowiada się w formie postanowienia, co do zasadności jej zarządzenia na podstawie wniosku przedkładanego przez poszczególne służby.

Przedmiotowy wniosek ma zawierać w szczególności numer prowadzonej przez służby sprawy oraz jej kryptonim, opis przestępstwa wraz z jego kwalifikacją prawną, okoliczności uzasadniające potrzebę zastosowania kontroli operacyjnej, danych osoby lub inne dane pozwalające na określenie podmiotu lub przedmiotu, wobec którego będzie stosowana kontrola operacyjna, ze wskazaniem miejsca lub sposobu jej stosowania, a także cel, czas i rodzaj prowadzonej kontroli (wskazanie formy). Regulacje w tym zakresie zawiera m.in. art. 17 ust. 7 ustawy o CBA, art. 19 ust. 7 ustawy o Policji, czy art. 27 ust. 7 ustawy o ABW oraz AW.

Zgodnie z powyższym każdy wniosek o zarządzenie kontroli operacyjnej, który jest rozpatrywany przez Sąd zawiera sposób jej prowadzenia wraz ze stosownym uzasadnieniem wskazującym na konieczność jej stosowania. Przykładem takiego uzasadnienia dla formy odpowiadającej stosowaniu spyware może być wykorzystanie do popełniania przestępstw środków komunikacji, obejmującej użycie komunikatorów internetowych (oczywiście jest to uproszczenie, gdyż musi być ono dużo bardziej rozbudowane, poparte wcześniejszymi, potwierdzonymi ustaleniami).

Metody techniczne stosowania kontroli operacyjnej

Metodyka pozyskiwania danych, o których mowa powyżej jest przedmiotem niejawnej działalności służb, które są zobligowane do ochrony środków, form i metod realizowanych zadań pracy operacyjnej. W związku z tym, na próżno szukać o tym informacji w ogólnodostępnych źródłach, w szczególności w zakresie uzyskiwania i utrwalania danych zawartych w telekomunikacyjnym urządzeniu końcowym.

Proces zarządzania kontroli operacyjnej

W związku z faktem, iż to Centralne Biuro Antykorupcyjne jest w mediach wskazywane jako te, które korzysta z „Pegasusa” poniżej opiszę proces zarządzania kontroli operacyjnej przez tę instytucję.

Na wstępie należy wskazać, iż każda ze służb mogących podejmować działania operacyjno-rozpoznawcze, uwzględniające zastosowanie „podsłuchów” ma w ustawie regulującej swoją działalność wskazane, w związku z jakim typem przestępstw może ją stosować.

W przypadku CBA katalog taki zawiera art. 17 ust. 1 ustawy o Centralnym Biurze Antykorupcyjnym. Można w nim wyszczególnić m.in. przestępstwa określone w:

• art. 228 – 231 kodeksu karnego (korupcja urzędnicza);
• art. 250a kodeksu karnego (korupcja wyborcza);
• art. 258 kodeksu karnego (udział w zorganizowanej grupie przestępczej);
• art. 270a, 271a, 277a kodeksu karnego (fałszowanie faktur);
• art. 286 kodeksu karnego (oszustwo);
• art. 296, 296a kodeksu karnego (korupcja menadżerska);
• art. 297 kodeksu karnego (wyłudzenie kredytu, dotacji)
• art. 305 kodeksu karnego (udaremnienie lub utrudnienie przetargu);
• art. 311 kodeksu karnego (fałszowanie pieniędzy, środków płatniczych lub papierów wartościowych).

Pisemny wniosek o zarządzenie kontroli operacyjnej wraz z materiałami uzasadniającymi potrzebę zastosowania kontroli operacyjnej Szef Centralnego Biura Antykorupcyjnego kieruje do Prokuratora Generalnego. Następnie, po uzyskaniu akceptacji trafia on do Sądu Okręgowego w Warszawie, który w formie postanowienia zarządza lub odmawia zarządzenia kontroli operacyjnej. Okres, na który kontrola może być uruchomiona ustawowo jest określony jako nie dłuższy niż 3 miesiące.

Szczególnym przypadkiem jest tutaj tzw. „wniosek trybowy”, określony
w art. 17 ust. 3 ustawy, kiedy to w przypadkach niecierpiących zwłoki, jeżeli mogłoby to spowodować utratę informacji lub zatarcie albo zniszczenie dowodów przestępstwa, Szef CBA może zarządzić, po uzyskaniu zgody Prokuratora Generalnego, kontrolę operacyjną, zwracając się jednocześnie z wnioskiem do sądu, o którym mowa w ust. 2, o wydanie postanowienia w tej sprawie. Sąd wydaje postanowienie w przedmiocie wniosku w terminie 5 dni. W przypadku nieudzielenia przez sąd zgody, Szef CBA wstrzymuje kontrolę operacyjną oraz poleca niezwłoczne, protokolarne, komisyjne zniszczenie materiałów zgromadzonych podczas jej stosowania.

Okres zarządzenia kontroli operacyjnej może zostać w trybie art. 17 ust. 8 ustawy na pisemny wniosek Szefa CBA, po uzyskaniu zgody Prokuratora Generalnego, a następnie postanowienia Sądu Okręgowego w Warszawie, jednorazowo przedłożony na czas nie dłuższy niż 3 miesiące, jeżeli nie ustały przyczyny jej zarządzenia.

Przez termin „nieustających przyczyn zarządzenia kontroli operacyjnej” należy rozmieć okoliczności, kiedy w ramach stosowania „podsłuchu” założone w pierwotnym wniosku tezy nie straciły na aktualności, a tylko poprzez jej dalsze przedłużenie możliwe będzie ich zweryfikowanie, obejmujące w szczególności działalność przestępczą figuranta sprawy.          

W uzasadnionych przypadkach, czyli w momencie, kiedy podczas stosowania kontroli operacyjnej (po jej przedłużeniu w trybie art. 17 ust. 8 ustawy o CBA) pojawią się nowe, istotne okoliczności dla zapobieżenia lub wykrycia przestępstwa albo ustalenia sprawcy i uzyskania dowodów przestępstwa kontrolę operacyjną można przedłużać z uwzględnieniem opisanej wyżej procedury na okres nie dłuższy niż 12 miesięcy.

„Nowe, istotne okoliczności” oznaczają m.in. uzyskanie w wyniku stosowania „podsłuchu” informacji o możliwości popełnienia przez osobę, wobec której stosuje się kontrolę operacyjną nowego, innego niż objętego pierwotnymi wnioskami przestępstwa.

Mając na uwadze powyższe, maksymalny okres stosowania tej formy inwigilacji wynosi 18 miesięcy (6 miesięcy w ramach art. 17 ust. 1/ ust. 3 i ust. 8 + 12 miesięcy w ramach art. 17 ust. 9).

W przypadku uzyskania dowodów pozwalających na wszczęcie postępowania karnego lub mających znaczenie dla toczącego się postępowania karnego Szef CBA przekazuje Prokuratorowi Generalnemu wszystkie materiały zgromadzone podczas stosowania kontroli operacyjnej, natomiast materiały które nie stanowią informacji potwierdzających zaistnienie przestępstwa, podlegają niezwłocznemu, protokolarnemu, komisyjnemu zniszczeniu. Zniszczenie materiałów zarządza Szef CBA.

Materiały zawierające tajemnicę zawodową

W przypadku, kiedy materiały uzyskane w trakcie eksploatacji kontroli operacyjnej stanowią wartość dowodową pozwalającą na wszczęcie postępowania karnego lub mają znaczenie dla toczącego się już postępowania karnego, a zawierają tajemnicę zawodową związaną z wykonywaniem zawodu lub funkcji, o której mowa w art. 180 kodeksu postępowania karnego, Szef CBA przekazuje materiały Prokuratorowi Generalnemu, który przekazuje do Sądu wniosek o ich dopuszczenie do wykorzystania w postępowaniu karnym.

Tajemnica zawodowa, o której mowa powyżej w myśl obowiązującego prawa to m.in. tajemnica adwokacka, radcowska, notarialna, czy doradcy podatkowego.  

Sąd wydaje w przedmiotowej sprawie postanowienie, może wyrazić zgodę na dopuszczenie materiałów do wykorzystania w postępowaniu przygotowawczym lub odmówić i zarządzić ich zniszczenie. Na powyższe postanowienie Prokuratorowi Generalnemu przysługuje zażalenie.

Szef CBA, w sytuacji kiedy Sąd negatywnie oceni wniosek Prokuratora Generalnego oraz zarządzi zniszczenie przedmiotowych materiałów, jest zobowiązany do  jego wykonania oraz niezwłocznego, komisyjnego i protokolarnego zniszczenia materiałów, których wykorzystanie w postępowaniu karnym jest niedopuszczalne.

Jeżeli materiały uzyskane w trakcie stosowania kontroli operacyjnej zawierają informacje, o których mowa w art. 178 kodeksu postępowania karnego, czyli tzw. bezwzględne zakazy dowodowe, Szef CBA zarządza ich niezwłoczne, komisyjne i protokolarne zniszczenie.

Zgodnie z treścią przytoczonego powyżej artykułu informacje te dotyczą kontaktów adwokata, radcy prawnego z osobą zatrzymaną (tajemnica obrończa) w ramach prowadzonej sprawy lub udzielanej porady prawnej. Ponadto zakaz obejmuje również fakty, których dowiedział się duchowny przy spowiedzi. 

Podsumowanie

Reasumując, polskie służby na podstawie nowelizacji przepisów z dnia 15 stycznia 2016 r. nabyły możliwość uzyskiwania i utrwalania danych będących dotychczas dla nich niedostępnych w ramach prowadzonej kontroli operacyjnej. Ustawowe definicje pojęć takich jak „telekomunikacyjne urządzenia końcowe” jasno precyzują, co może być nowym przedmiotem tej inwigilacji.

Zrozumiałym jest natomiast, iż z uwagi na aspekty związane z ochroną niejawnych metod technicznych prowadzenia kontroli operacyjnej, takich jak np. wykorzystanie spyware, są to informacje szczególnie chronione przez państwo. Wynika to m.in. z faktu zapewnienia odpowiedniej ochrony życia publicznego. Ujawnianie takich metod utrudnia realizację ustawowych działań naszych służb, skutkując obniżeniem bezpieczeństwa nie tylko naszego, ale i również państwa. Nie możemy wszak wykluczyć, iż z systemu „Pegasus” korzystały oprócz CBA, także służby kontrwywiadowcze, takie jak ABW, czy SKW.

O Autorze

Dziękujemy autorowi za to, że zechciał podzielić się swoją wiedzą i doświadczeniem na łamach SecurityBezTabu.pl