Czy Apple musiałby złamać zabezpieczenia iPhone`a na wezwanie

Czy Apple musiałby złamać zabezpieczenia iPhone`a na wezwanie

Czy Apple musiałby złamać
zabezpieczenia iPhone’a na
wezwanie polskich śledczych?
Wojciech Rzepiński
Zgodnie z polskim Kodeksem postępowania karnego
dysponent danych informatycznych ma obowiązek wydać dane, np. dotyczące użytkownika danego urządzenia,
na żądanie odpowiednich organów. Ale czy dotyczy to
wyłącznie danych niezaszyfrowanych, czy również danych zaszyfrowanych, czyli takich, których uzyskanie wymagałoby przełamania zabezpieczeń własnego oprogramowania? Prześledźmy to na przykładzie niedawnej głośnej sprawy Apple Inc.
Czego żądano od Apple?
Na początku grudnia 2015 r. w San Bernardino w Kalifornii doszło do ataku terrorystycznego, którego
sprawcy zginęli podczas policyjnego pościgu. Służby,
próbując ustalić tożsamość innych osób powiązanych
z atakiem, chciały uzyskać dostęp do odnalezionego telefonu jednego z zamachowców – wyprodukowanego
przez Apple iPhone’a 5C z systemem iOS 9. System telefonu był jednak zabezpieczony przez czterocyfrowy
kod, a po dziesięciu nieprawidłowych próbach jego wpisania system telefonu nieodwracalnie blokował dostęp
do zaszyfrowanych na nim danych.
W związku z tym rząd amerykański wystąpił do sądu
z wnioskiem o nakazanie Apple udzielenia pomocy przy
złamaniu zabezpieczeń telefonu. FBI oczekiwało, że
Apple opracuje program (aktualizację istniejącego oprogramowania telefonu), który wyłączy ww. zabezpieczenia i umożliwi podjęcie nieograniczonej liczby prób złamania kodu. Po uzyskaniu danych przez FBI Apple
mógłby usunąć nowe oprogramowanie.
Sąd pierwszej instancji nakazał Apple udzielenie takiej
pomocy (reasonable technical assistance), co Apple zaskarżył. W międzyczasie jednak znalazła się firma, która
była w stanie złamać zabezpieczenia, w związku z czym
postępowanie w sprawie wniosku przeciwko Apple
umorzono.
Gdyby takie postępowanie miało być prowadzone w Polsce
Jak wyglądałoby analogiczne postępowanie, gdyby to
w naszym kraju miała miejsce podobna sytuacja? Czy
w ogóle polskie przepisy dawałyby prawo do żądania takich zaszyfrowanych danych?
A. Lach, Gromadzenie dowodów elektronicznych po nowelizacji
kodeksu postępowania karnego, Prokuratura i Prawo
nr 10/2003, s. 16-25.
1
Od strony formalnej wydaje się, że śledczy nie potrzebowaliby postanowienia sądu – wystarczyłoby postanowienie wydane przez prokuratora prowadzącego śledztwo, skierowane do producenta oprogramowania. Po
jego wydaniu prokurator zapewne musiałby zwrócić się
do odpowiednich organów amerykańskich o przekazanie go Apple w ramach międzynarodowej pomocy prawnej w sprawach karnych, udzielanej na podstawie odpowiedniej umowy między Rzeczpospolitą a Stanami Zjednoczonymi.
Postanowienie prokuratora jako podstawę mogłoby
wskazywać art. 217 § 1 w zw. z art. 236a Kodeksu postępowania karnego, znajdujące się w rozdziale normującym wydanie, przymusowe odebranie oraz zatrzymanie rzeczy. Omawiane przepisy stosuje się bowiem nie
tylko do rzeczy, ale też m.in. do wydania, odebrania
i zatrzymania danych informatycznych przechowywanych w urządzeniu, systemie lub na nośniku. Na tej podstawie organy ścigania mogą żądać od dysponenta systemu informatycznego albo od użytkownika, przykładowo, wykazu połączeń czy zapisu poszczególnych wiadomości. Dysponent w rozumieniu tych przepisów to
osoba upoważniona do rozporządzania systemem według swego uznania, np. właściciel systemu czy jego administrator. System musi być w zasięgu dysponenta, natomiast nie musi się znajdować w jego fizycznym władaniu, co oznacza, że można dane uzyskać zdalnie1.
Czy prokurator mógłby zażądać stworzenia programu?
Nie można wykluczyć, że Apple byłby uznany za takiego
dysponenta w świetle polskich przepisów. Powstaje jednak pytanie, czy ten przepis uprawniałby organy do żądania od Apple napisania programu, który przełamie zabezpieczenia i pozwoli uzyskać dane zaszyfrowane. Odpowiedź nie jest niestety jednoznaczna.
Z jednej strony można by twierdzić, że producent oprogramowania ma możliwość wydania danych niezależnie
od tego, czy są one „gotowe” czy też zaszyfrowane, czyli
wymagają podjęcia pewnych działań w celu ich rozkodowania. Przy tym założeniu można też argumentować, że
producent oprogramowania może samodzielnie wybrać
sposób, w jaki dane te uzyska (np. łamiąc własne zabezpieczenia lub tworząc aktualizację oprogramowania do
rozszyfrowania danych). Taki argument miałby szczególną siłę wobec producentów, którzy celowo pozostawili w swoich systemach tzw. backdoor (lukę w oprogramowaniu) lub mają techniczną możliwość zdalnej aktualizacji oprogramowania. Możliwość zdalnej ingerencji
w oprogramowanie przemawia bowiem za uznaniem, że
dany podmiot w zasadzie cały czas jest dysponentem danych, a ich uzyskanie i wydanie to tylko kwestia techniczna.
Z drugiej strony takie podejście jest kontrowersyjne,
np. ze względu na ograniczenia prawa telekomunikacyjnego lub ograniczenia czysto faktyczne, np. znaczne
koszty, które musiałby ponieść producent. Rozszyfrowanie danych, a później ich wydanie, wymagałoby podjęcia
przez adresata znacznej aktywności, co może budzić
wątpliwości wobec brzmienia art. 217 § 1 w zw. z art.
236a Kodeksu postępowania karnego.
Na tytułowe pytanie trzeba więc niestety odpowiedzieć:
nie wiadomo. Wątpliwości rozwieje pewnie dopiero
praktyka odpowiednich organów postępowania karnego.