O MNIE

KONTAKT

Nowa podstawa dekompilacji w ustawie o krajowym systemie cyberbezpieczeństwa

W naszym prawie szykuje się nowa postać dozwolonego użytku programów komputerowych. Nie, nie chodzi o przepisy, jakie powinny zostać dodane w związku z implementacją dyrektywy 2019/790 o prawie autorskim w społeczeństwie informacyjnym. I nie, nie chodzi o nowelizację prawa autorskiego, a nowelizację ustawy o krajowym systemie cyberbezpieczeństwa.

Co się zmienia?

W nowelizacji proponuje się zmianę art. 33 ust. 1 ustawy i dodanie ust. 1a do 1e. Zgodnie z tymi przepisami:

  • CSIRT MON, CSIRT NASK lub CSIRT GOV może przeprowadzić badanie produktu ICT, usługi ICT lub procesu ICT w celu identyfikacji podatności, której wykorzystanie może zagrozić w szczególności integralności, poufności, rozliczalności, autentyczności lub dostępności przetwarzanych danych, które może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa.
  • W ramach tego badania wskazane jednostki mogą dokonywać czynności mających na celu 1/ obserwację i analizę pracy urządzenia lub oprogramowania, 2/ uzyskanie dostępu do przetwarzanych danych, 3/ odtworzenie postaci źródłowej oprogramowania, 4/ zwielokrotnienie (powielenie) kodu programowego oraz tłumaczenie (translacja) jego formy, 5/ odtworzenie algorytmu przetwarzania danych, 6/ identyfikację realizowanych funkcji, 7/ usunięcie lub przełamanie zabezpieczeń przed badaniem, 7/ identyfikację podatności lub identyfikację nieudokumentowanych funkcji realizowanych przez produkt ICT, usługi ICT lub procesu ICT.
  • Nie są skuteczne kontraktowe ograniczenia dokonywania wskazanych czynności, ani nie jest potrzebna umowna podstawa do ich podjęcia. CSIRT MON, CSIRT NASK lub CSIRT GOV prowadząc badanie nie są związane postanowieniami umów, w szczególności umów licencyjnych, badanych produktów, usług lub procesów, niezbędne czynności mogą być podjęte bez zgody uprawnionego, a postanowienia umów sprzeczne z powołanymi postanowieniami ustawy są nieważne.
  • Badanie „nie narusza autorskich praw osobistych”.

Tak naprawdę zezwolenie na prowadzenie badań bezpieczeństwa dla CSIRT-ów nie jest taką nowością. Ustawa o KSC w obowiązującym brzmieniu w art. 33 ust. 1 zezwalała już na podejmowanie badania „sprzętu i oprogramowania w celu identyfikacji podatności”. Nowością jest rozpisanie działań, jakie mogą być podejmowane w tym celu i ukształtowanie tego przepisu dość wyraźnie jako ograniczenia autorskich praw majątkowych, w dodatku zabezpieczonego przed kontraktowym obchodzeniem.

Czy to jest zgodne z prawem UE?

Wskazane ograniczenie odwołuje się do czynności, które zasadniczo albo wymagają podjęcia czynności wkraczających w zakres autorskich praw majątkowych, albo wprost stanowią ingerencję w te prawa. W związku z tym pojawia się pytanie, czy wprowadzenie do prawa krajowego takiego przepisu jest zgodne z dyrektywą 2009/24/WE w sprawie prawnej ochrony programów komputerowych. I tu nie mogę się powstrzymać od zajęcia stanowiska.

Otóż moim zdaniem dyrektywa nie stanowi ku temu przeszkody. Do kwestii tej odnosi się wyłącznie motyw 19 dyrektywy, zgodnie z którym „dyrektywa nie narusza odstępstw przewidzianych w ustawodawstwie krajowym zgodnie z konwencją berneńską, w kwestii spraw nieobjętych niniejszą dyrektywą”. Zakres spraw objętych dyrektywą, a więc takich, w których nie jest dopuszczalne tworzenie dodatkowych wyjątków przez państwa członkowskie, wyznaczają art. 5 i 6 dyrektywy. Oznacza to, że w krajowych ustawach autorskich nie jest dopuszczalne uregulowanie np. zezwolenia na analizę w celu poznania idei i zasad programu czy dekompilację w celu uzyskania informacji niezbędnych do uzyskania interoperacyjności programów w sposób szerszy, niż odpowiednio art. 5 ust. 2 i art. 6 dyrektywy, nawet jeżeli uregulowanie takie byłoby zgodne z konwencją berneńską. Nie jest również dopuszczalne pozostawienie w prawie państwa członkowskiego dozwolonego użytku prywatnego programów komputerowych, ponieważ ten obszar należy do spraw objętych dyrektywą z uwagi na regulację art. 5 ust. 1.

Państwa członkowskie mają jednak pewien zakres swobody w kształtowaniu innych wyjątków i ograniczeń znajdujących zastosowanie do programów komputerowych, pod warunkiem zachowania zgodności z konwencją berneńską. Wśród takich wyjątków, które pozostają poza zakresem spraw uregulowanych w art. 5 i 6 dyrektywy, a więc które mogą być wprowadzone do prawa krajowego, wymienia się między innymi te dotyczące potrzeb zilustrowania nauczania, badań naukowych, demonstracji i naprawy sprzętu, a także – tak jak w naszym przypadku – bezpieczeństwa publicznego.1

Czyli dyrektywa 2009/24/WE nie stanowi przeszkody w tworzeniu nowych wyjątków, nie przewidzianych w art. 5 i 6 dyrektywy, pod warunkiem, że są zgodne z Konwencją berneńską.

Czy to jest zgodne z Konwencją berneńską?

Na mniej zbadany grunt wchodzimy na gruncie Konwencji berneńskiej, przede wszystkim ze względu na subtelne różnice co do zakresu praw wyłącznych w dyrektywie 2009/24/WE i Konwencji. Generalnie zakres praw minimalnych przyznanych Konwencją jest nieco węższy niż w dyrektywie. Po pierwsze Konwencja nie obejmuje wszystkich form zwielokrotniania (nawet jeżeli zwielokrotnianie, zgodnie z uzgodnionymi deklaracjami do Traktatu WIPO o prawie autorskim, rozumieć szeroko). Po drugie tłumaczenie (translacja) formy wyrażenia programu komputerowego, przynajmniej w sensie, w jakim zdaje się używać tego pojęcia projekt nowelizacji ustawy o KSC, to nie tłumaczenie w rozumieniu art. 8 Konwencji. Pewna część czynności podejmowanych w związku z badaniem oprogramowania pozostawać więc będzie poza zakresem konwencyjnego minimum ochrony.

W pozostałym zakresie podstawą jest art. 9 ust. 2 konwencji, zgodnie z którym państwa-strony Konwencji mogą wprowadzać wyjątki od prawa reprodukcji, „w pewnych szczególnych wypadkach”, i pod warunkiem, że „reprodukcja ta nie wyrządzi szkody normalnemu korzystaniu z dzieła ani nie przyniesie nieuzasadnionego uszczerbku prawowitym interesom autora”.

Nieco spłycając interpretację tego postanowienia Konwencji nie chodzi tu o to, że reprodukcja jest w jakiś sposób niekorzystna dla autora. Taka interpretacja oznaczałaby bowiem, że w istocie żadne ograniczenie praw autorskich nie byłoby zgodne z Konwencją berneńską, bo każde jest w jakiś sposób niekorzystne dla autora. Zwracam uwagę, że test z art. 9 ust. 2 przechodzi np. dozwolony użytek prywatny, który dość mocno ingeruje w ekonomiczną eksploatację utworu. Zgodne z testem jest przewidziane w prawie wielu krajów korzystanie z utworów dla potrzeb postępowań sądowych, administracyjnych, czy bezpieczeństwa publicznego. Nie kwestionuje się też zgodności z art. 9 ust. 2 zezwolenia na dekompilację z art. 6 dyrektywy 2009/24/WE, które pozwala „dobrać się” do cudzego programu między innymi po to, żeby napisać jego substytut i wprowadzić na rynek. W porównaniu z tymi ograniczeniami te przewidziane w nowelizacji ustawy o KSC mają w istocie bardzo skromny zakres. Można więc rozsądnie zakładać, że mieszczą się w granicach wyznaczonych przez Konwencję.

Jakie zabezpieczenie interesów producentów oprogramowania?

Oczywiście trzeba pamiętać, że interpretacja art. 33 ust. 1 do ust. 1d powinna być dokonywana w taki sposób, w jaki interpretuje się wyjątki i ograniczenia praw autorskich. Po pierwsze więc czynności te mogą być dokonywane tylko w celu identyfikacji podatności, a nie np. zaoszczędzenia na licencjach przez CSIRT-y albo zaspokojenie ciekawości badaczy. Po drugie podatność musi rzeczywiście zagrażać procesom przetwarzania danych, która może mieć wpływ na bezpieczeństwo publiczne lub istotny interes bezpieczeństwa państwa. Nie wchodzi więc w grę badanie podatności istotnej ze względu na interes prywatny (w tym interes spółek Skarbu Państwa). Po trzecie na podstawie tego przepisu zdekompilowane fragmenty kodu lub kopie całości oprogramowania nie mogą być przekazywane innym podmiotom niż CSIRT-y (nie dotyczy to jednak informacji uzyskanych w wyniku wskazanych procesów).

Czyli można i dobrze, że ktoś o takim przepisie pomyślał.

Można więcej…

A na koniec tylko przypomnę, że nie wykorzystujemy pełni możliwości, jakie daje nam dyrektywa 2009/24/WE. Niezrozumiałe i nieznajdujące oparcia w dyrektywie jest szczególnie wykluczenie możliwości korzystania z programu dla celów postępowania administracyjnego, sądowego oraz bezpieczeństwa publicznego (art. 33[2] pr.aut.).

Skutkiem wyłączenia zastosowania tego przepisu w odniesieniu do programów komputerowych jest sytuacja, w której w wielu postępowaniach sądowych, dotyczących programów komputerowych, dochodzi formalnie do naruszenia autorskich praw majątkowych np. w związku z opiniami sporządzanymi przez biegłych.

Ponadto, gdybyśmy mieli możliwość odwołania się do art. 33[2] pr.aut., to nie trzeba byłoby wprowadzać wyjątków w ustawie o KSC, bo art. 33[2] zezwala na ingerencję w cudze prawo autorskie ze względu na bezpieczeństwo publiczne, a wyjątek ten ma generalnie szerszy zakres, niż projektowana nowelizacja ustawy o KSC.

Może warto byłoby więc wreszcie skończyć z absurdalnym wyłączeniem i po prostu zmienić prawo autorskie?

  1. M. Janssens [w:] Stamatoudi, I., Torremans, P., EU Copyright Law, Edward Elgar Publishing 2021, s. 89, B. Hugenholtz, M. van Eechoud, S. van Gompel, L. Guibault, N. Helberger, M. Rossini, L. Steijger, N. Dufft, P. Bohn, The Recasting of Copyright & Related Rights for the Knowledge Economy, Institute for Information Law University of Amsterdam 2006, s. 65. ↩︎

ilustracja: pixabay

Tagi

Podobne wpisy