Dowody pozyskane za pomocą programów szpiegujących nie mogą być brane pod uwagę w procesie karnym, a służby, które z takich narzędzi korzystają, działają bezprawnie.
Takie wnioski płyną z precedensowego wyroku Sądu Apelacyjnego we Wrocławiu. Co do tego, że jest on przełomowy, wątpliwości nie ma dr hab. Szymon Tarapata z Uniwersytetu Jagiellońskiego, współautor ekspertyzy pt. „Dopuszczalność nabycia i używania w ramach kontroli operacyjnej określonego typu programów komputerowych (casus Pegasusa)”.
– Wyrok ten potwierdza formułowane już wcześniej tezy, że tego typu programy nie mogą być używane w toku kontroli operacyjnej, gdyż nie ma do tego podstawy prawnej, a zbierane za ich pomocą dowody są pozyskiwane w sposób nielegalny i nie mogą być wykorzystywane w toku procesu karnego. Co więcej, sądy, już na etapie podejmowania decyzji o wyrażeniu zgody na inwigilację, nie powinny zgadzać się na przełamywanie przez służby zabezpieczeń w telefonie za pomocą takich urządzeń – podkreśla Szymon Tarapata.
O tym, że wyrok ten będzie mieć ogromne znaczenie zarówno systemowe, jak i dla praktyki stosowania przez służby narzędzi inwigilacyjnych, przekonany jest również Wojciech Klicki z Fundacji Panoptykon.
– To dowód na to, że potrzebna jest w tym zakresie pilna nowelizacja przepisów. Dopóki się to nie stanie, służby nie powinny, dla własnego bezpieczeństwa prawnego, korzystać z tego typu narzędzi – uważa nasz rozmówca.
Podstępne oprogramowanie
Wyrok zapadł w maju, ale dopiero teraz opublikowano jego uzasadnienie. Dotyczy on sprawy karnej, w ramach której jednemu z oskarżonych został postawiony zarzut pomocnictwa m.in. w przestępstwie nadużycia władzy przez funkcjonariusza publicznego oraz ujawnienia tajemnicy państwowej. Sąd Apelacyjny we Wrocławiu uniewinnił tę osobę, a to m.in. z tego powodu, że uznał, iż zgromadzone w ramach czynności operacyjno-rozpoznawczych dowody nie mogły zostać dopuszczone do postępowania i stanowić podstawy ustaleń faktycznych. A wszystko dlatego, że najprawdopodobniej były one zbierane za pomocą oprogramowania szpiegującego. I choć w treści niedawno opublikowanego uzasadnienia wyroku nazwa oprogramowania została zanonimizowana, wiele wskazuje na to, że chodziło o słynny program Pegasus. Sąd pisze bowiem o oprogramowaniu „do cybernetycznej inwigilacji, izraelskiej firmy”. I przypomina, że w przestrzeni publicznej pojawiły się informacje, że korzystają z niego służby specjalne różnych państw, w tym państwa polskiego.
Sąd apelacyjny stwierdza stanowczo, że taki sposób pozyskiwania materiałów mających stanowić dowód w procesie nie może zostać uznany za legalny. Najpierw jednak przybliża, w jaki sposób funkcjonuje to szpiegujące oprogramowanie. W uzasadnieniu czytamy m.in., że umożliwia ono „skuteczne monitorowanie, zbieranie i pobieranie danych z zainfekowanego nim urządzenia”. Co więcej, może zostać użyte także do modyfikowania zawartości urządzenia. Dlatego też zdaniem SA jest to oprogramowanie wysoce inwazyjne, wyrafinowane i podstępne. Jego potencjał jest potężny, a możliwości praktycznie nieograniczone. „(…) po przejęciu kontroli nad telefonem operatorzy przeprowadzający atak uzyskują uprawnienia administracyjne, co w praktyce oznacza, że mogą zrobić z zainfekowanym telefonem wszystko” – podkreśla SA. I dodaje, że autorzy ataku mają nawet większe możliwości ingerencji w urządzenie niż jego użytkownik. Wrocławski sąd zauważa również, że do zainfekowania telefonu złośliwym oprogramowaniem wykorzystywane są luki w systemie operacyjnym, a sam proces instalacji oprogramowania jest niewidoczny dla użytkownika.
Bez podstawy prawnej
Sąd apelacyjny pisze również o braku podstawy prawnej. Jak zauważa, art. 17 ust. 2 pkt 4 ustawy o CBA (t.j. Dz.U. z 2022 r. poz. 1900 ze zm.) – bo to ta służba w tej konkretnej sprawie prowadziła kontrolę operacyjną – mówi ogólnie o uzyskiwaniu i utrwalaniu danych. Program typu spyware poprzez to, że daje pełen dostęp do urządzenia mobilnego, pozwala właśnie na takie uzyskiwanie i utrwalanie danych. Problem jednak polega na tym, że do jego instalacji dochodzi za pomocą włamania na telefon. „Tymczasem obwiązujące przepisy dotyczące kontroli operacyjnej, w tym omawiany art. 17 ustawy o CBA, nie zezwalają na tego rodzaju działania, nie przewidują takiej możliwości” – zauważa wrocławski sąd. I stwierdza, że oznacza to, iż posłużenie się oprogramowaniem szpiegowskim nie może być uznane za zgodne z ustawą, za legalny sposób pozyskania dowodów. Sąd apelacyjny odwołuje się również do orzecznictwa Trybunału Konstytucyjnego (patrz: infografika), stwierdzając, że „trudno także przyjąć, że oprogramowanie pozwalające na przejęcie pełnej kontroli nad urządzeniem mobilnym odpowiada wymaganiom stawianym przez Trybunał Konstytucyjny co do właściwego sprecyzowania stosowanego środka techniki operacyjno-rozpoznawczej, takiego przy tym, który ma ograniczyć arbitralność państwa i umożliwić sprawowanie efektywnej kontroli nad niejawną działalnością operacyjno-rozpoznawczą”.
– Obecnie sądy, które wydają zgodę na przeprowadzenie czynności operacyjno-rozpoznawczych, nie są informowane o tym, z jakich narzędzi będą korzystały służby. Tak nie powinno być, ustawodawca powinien wprowadzić wymóg podawania tego typu informacji już na etapie składania wniosku o wyrażenie zgody na objęcie inwigilacją – uważa dr hab. Tarapata.
Zagrożone prywatność i integralność danych
Sąd apelacyjny zwraca również uwagę na dużą ingerencję w prywatność jednostki, do której dochodzi za pomocą wykorzystywania przez służby tak dalece inwazyjnego środka jak program Pegasus.
– Za jego pomocą służby mogą obserwować osoby objęte kontrolą przez całą dobę, nawet w najbardziej intymnych sytuacjach. Mogą przecież wykorzystywać kamerkę oraz mikrofon wbudowany w telefon figuranta – podkreśla dr hab. Tarapata.
Wrocławski sąd stwierdza również, że „o spełnieniu standardów konwencyjnych (chodzi o europejską konwencję praw człowieka – red.) i konstytucyjnych w razie posłużenia się takim środkiem nie może być mowy także, jeśli uwzględnić kwestie związane z bezpieczeństwem oraz integralnością danych pozyskanych przez tego rodzaju oprogramowanie”. Jego zasadnicze wątpliwości budzi także to, że przy wykorzystaniu takiego oprogramowania służby mogą wpływać na treści znajdujące się na zainfekowanym urządzeniu.
– Nie jestem kategorycznym przeciwnikiem wykorzystywania przez służby tego typu programów. Jestem bowiem w stanie wyobrazić sobie sytuacje, w których będzie to uzasadnione. Musi to być jednak robione w ściśle określonym reżimie prawnym i tylko wówczas, gdy istnieje uzasadnione podejrzenie popełnienia najpoważniejszych przestępstw – podkreśla Klicki.
Wcześniej zapadł już wyrok, tyle że w sprawie cywilnej, w której sąd stwierdził, że polityk ówczesnej opozycji był inwigilowany za pomocą programu Pegasus. Chodziło o publikację przez telewizję publiczną w czasie kampanii do wyborów parlamentarnych w 2019 r. pozyskanej dzięki użyciu tego narzędzia i zmanipulowanej korespondencji polityka KO Krzysztofa Brejzy.
– Orzeczenie wrocławskiego sądu karnego będzie zapewne mieć znaczenie nie tylko w tych głośnych sprawach politycznych, ale we wszystkich postępowaniach, w których dowody były zbierane za pomocą programów szpiegowskich typu Pegasus – kwituje Klicki.
W Sejmie ukonstytuowała się już komisja śledcza, która ma badać kwestie związane z użyciem i nadużyciem oprogramowania Pegasus. ©℗
orzecznictwo
Podstawa prawna
Wyrok Sądu Apelacyjnego we Wrocławiu z 11 maja 2023 r., sygn. akt II AKa 480/21 www.serwisy.gazetaprawna.pl/orzeczenia