Według aktu o usługach cyfrowych przedsiębiorcy będą musieli uczestniczyć w wykrywaniu i ściganiu przestępczości na terenie Unii Europejskiej - pisze Sebastian Zieliński, senior associate w CRIDO.

Akt o usługach cyfrowych, czyli rozporządzenie w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE, ma zapewnić właściwe funkcjonowanie rynku wewnętrznego usług pośrednich, ustanawiając przepisy gwarantujące bezpieczeństwo i przewidywalność środowiska internetowego, zapewniając ochronę praw podstawowych, w tym praw konsumentów. Rozporządzenie ma zastosowanie do usług pośrednich – wyszczególnionych w tym akcie usług społeczeństwa informacyjnego (usług zwykłego przekazu, coachingu i hostingu). Znajdzie zastosowanie tam, gdzie usługi pośrednie są oferowane odbiorcom mającym siedzibę lub znajdującym się w Unii, niezależnie od miejsca siedziby dostawcy.

Akt o usługach cyfrowych wprowadza stopniowalną odpowiedzialność pośredników internetowych za treści, które przekazują, buforują lub przechowują. Rozporządzenie rozszerza obecne regulacje dotyczące zwalczania nielegalnych treści (w tym zakresie zacznie obowiązywać 17 lutego 2024 r.). Przez nielegalne treści należy przy tym rozumieć informacje, które nie są zgodne z prawem Unii lub z prawem jakiegokolwiek państwa członkowskiego, niezależnie od konkretnego przedmiotu lub charakteru tego prawa. Rozporządzenie wprowadza szczególne obowiązki dostawców usług pośrednich, których prawidłowa realizacja może istotnie zwiększyć skuteczność państw członkowskich w obszarze wykrywania, zwalczania i ścigania przestępczości. W szczególności tej związanej z nielegalnymi treściami.

Obowiązek zawiadomienia

Usługa hostingu polega na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie. Szczególną kategorią usług w tym zakresie będą platformy internetowe, a zatem usługi, które – co do zasady – na żądanie odbiorcy przechowują i rozpowszechniają publicznie informacje. Spod tej definicji będą wyłączone usługi, w których wymienione działania są jedynie nieznaczną lub wyłącznie poboczną cechą, lub nieznaczną funkcją głównej usługi i ze względów obiektywnych i technicznych nie można z niej skorzystać bez takiej innej usługi.

Akt o usługach cyfrowych wprowadza nowy, szczególny prawny obowiązek poinformowania organów państwa o przestępstwie

W przypadku, gdy dostawca usług hostingu poweźmie jakiekolwiek informacje dające podstawę do podejrzenia, że popełniono, popełnia się lub może dojść do popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osoby lub osób, natychmiast informuje o tym organy ścigania lub organy sądowe zainteresowanego państwa członkowskiego i przekazuje wszystkie dostępne informacje na ten temat. Jeżeli dostawca usług hostingu nie będzie mógł z dostateczną pewnością wskazać takiego państwa, to powinien poinformować organy ścigania państwa członkowskiego, w którym znajduje się jego siedziba lub w którym jego przedstawiciel prawny ma miejsce zamieszkania lub siedzibę, a w razie braku powyższych – Europol.

Tym samym akt o usługach cyfrowych wprowadza nowy, szczególny prawny obowiązek poinformowania organów państwa o przestępstwie. Przypomnieć należy, że zasadą w Polsce jest jedynie społeczny obowiązek zawiadomienia o przestępstwie. Wyjątkiem jest m.in. karalność niezawiadomienia o najcięższych przestępstwach (np. zbrodni zabójstwa lub przestępstwach o charakterze terrorystycznym).

Przerzucenie na przedsiębiorców obowiązku zainicjowania postępowania dotyczącego potencjalnego przestępstwa nie jest zupełnie nowym pomysłem w prawie Unii. Podobnie należy przecież ocenić regulacje związane ze stosowaniem środków bezpieczeństwa finansowego w systemie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Z perspektywy państwa ma to liczne zalety – przedsiębiorcy będą zbierać informacje (i dowody) na własny koszt, na bardzo wczesnym etapie, często na bieżąco weryfikując, czy za pośrednictwem ich usług nie jest prowadzona działalność przestępcza. Z perspektywy przedsiębiorców na pierwszy plan wysuwają się wady – koszty związane z realizacją tych obowiązków i ryzyko sankcji za ich niewłaściwe wykonanie. Dlatego minimalnym wymaganiem przy wprowadzaniu tego typu instytucji powinno być precyzyjne określenie zakresu i sposobu realizacji obowiązków nakładanych przez ustawodawcę. W tym przypadku nie jest jednak jasne, jak powinna wyglądać ich prawidłowa realizacja.

Profilowanie? Monitoring?

Pierwszy problem pojawia się już przy próbie określenia, skąd powinny pochodzić wspomniane „jakiekolwiek” informacje o ewentualnym przestępstwie i czy dostawcy usług hostingu powinni próbować profilować swoich klientów i odbiorców pod kątem ryzyka popełnienia przestępstwa. W tym ostatnim zakresie w Akcie o usługach cyfrowych wprost wskazano, że nie stanowi on podstawy prawnej do profilowania odbiorców usług w celu ewentualnego identyfikowania przestępstw przez dostawców usług hostingu.

Skoro nie ma obowiązku profilowania klientów i odbiorców, to źródłem tego typu informacji mógłby być bieżący monitoring aktywności klientów. Jednakże zgodnie z aktem o usługach cyfrowych na dostawców usług pośrednich nie nakłada się ogólnego obowiązku monitorowania informacji, które dostawcy ci przekazują lub przechowują, ani aktywnego ustalania faktów lub okoliczności wskazujących na nielegalną działalność.

Jeżeli dany dostawca zdecydowałby się na wprowadzenie systemu monitorowania informacji i w ramach czynności podjętych dobrowolnie zidentyfikowałby treści dające podstawę do podejrzenia, że popełniono, popełnia się lub może dojść do popełnienia przestępstwa zagrażającego życiu lub bezpieczeństwu osoby lub osób, to będzie on obciążony obowiązkiem zawiadomienia organów ścigania. W innych sytuacjach wydaje się, że głównym źródłem wiedzy będą zgłoszenia dokonywane przez inne osoby. Akt o usługach cyfrowych zobowiązuje dostawców usług hostingu do wdrożenia mechanizmów umożliwiających dowolnej osobie lub dowolnemu podmiotowi zgłoszenie im obecności w ich usłudze określonych informacji, które dana osoba lub dany podmiot uważają za nielegalne. Mechanizmy te muszą być łatwo dostępne i przyjazne dla użytkownika oraz muszą pozwalać na dokonywanie zgłoszeń wyłącznie drogą elektroniczną.

Natychmiastowe zgłoszenie

Zgodnie z art. 18 aktu o usługach cyfrowych dostawca usług hostingu powinien natychmiast poinformować organy ścigania o swoim podejrzeniu. Obowiązek ten aktualizuje się, gdy tylko przedsiębiorca poweźmie jakiekolwiek informacje dające podstawę do podejrzenia przestępstwa (nie ma znaczenia to, skąd będzie pochodzić taka informacja, chociaż wydaje się, że należy ten obowiązek ograniczyć do wiadomości pozyskanych w związku ze świadczoną usługą hostingu).

„Natychmiastowo” może oznaczać, że przedsiębiorca nie powinien weryfikować posiadanych informacji. Jednocześnie obowiązek dotyczy tylko informacji o przestępstwach zagrażających życiu lub bezpieczeństwu osoby lub osób. Konieczne jest zatem co najmniej ustalenie tego, z jakiego rodzaju przestępstwem mogą się wiązać uzyskane informacje.

Czy przedsiębiorca powinien weryfikować wiarygodność takich informacji? Film pozornie ukazujący przestępstwo może być przecież żartem lub stanowić deep fake. Skoro jednak obowiązek należy zrealizować natychmiast, to dostawca usług hostingu nie powinien opóźniać jego wykonania z uwagi na konieczność weryfikacji informacji czy prowadzenia jakiegokolwiek rodzaju śledztwa wewnętrznego. To z kolei sprawia, że przedsiębiorcy mogą chcieć częściej przekazywać informacje niesprawdzone i niewiarygodne – na wszelki wypadek. Lepiej bowiem „zgłosić za dużo”, niż ryzykować sankcje.

Natychmiastowe zgłoszenie może być utrudnione jeszcze z innego powodu. Informację należy przekazać organom ścigania lub organom sądowym zainteresowanego państwa członkowskiego. Żeby prawidłowo zrealizować ten obowiązek, trzeba by ustalić, gdzie popełniono, popełnia się lub może dojść do popełnienia przestępstwa. To mogłoby odwlec zgłoszenie. Wydaje się, że wygodniejsze będzie skorzystanie z furtki pozostawionej w Akcie o usługach cyfrowych – możliwości powiadomienia lokalnych organów ścigania właściwych dla siedziby dostawcy usług.

Wypełnienie wymogów będzie zapewne wymagało wdrożenia nowych systemów wykrywania i reagowania na naruszenia, zatrudnienia nowych pracowników, opracowania nowych ocen ryzyka i nowych polityk bezpieczeństwa. Te koszty przedsiębiorcy zapewne będą się starali przerzucić na klientów. Koszty wynikające z nieprecyzyjnego określenia zakresu obowiązków i zgłaszania zbyt rozległych informacji poniosą organy ścigania zmuszone do weryfikacji niesprawdzonych informacji o rzekomych przestępstwach. Zostaną one z kolei przerzucone na podatników. ©℗