The saddest aspect of life right now is that science gathers knowledge faster than society gathers wisdom. - Isaac Asimov, scientist and writer (1920-1992)

29 mai 2010

Romania: Legislatie cybercrime (1) Definitii

Juristi europeni din domeniul criminalitatii informatice afirmau nu de mult despre Romania ca a prevazut in legislatia proprie toate infractiunile informatice recomandate de Conventia privind Criminalitatea Informatica a fi incriminate, spunand ca aceasta tara a adoptat aproape cuvant cu cuvant prevederile Conventiei. (Definirile faptelor ce trebuiesc incriminate de statele semnatare le-am enumerat intr-un articol anterior intitulat Tipuri de infractiuni informatice.)



Afirmatia venea intr-un context comparativ in care tari asa-zis mult mai avansate decat Romania precum Belgia, Irlanda, Spania, Suedia etc., au semnat dar nu au si ratificat Conventia. (O lista adusa la zi a tarilor o gasiti aici...)

Cazul Spaniei in special este de notorietate printr-un caz recent, aceasta neavand definite in legislatie infractiuni precum detinerea, producerea, vinderea sau utilizarea de programe informatice ce permit accesul fara drept la un sistem informatic si neputandu-i incrimina direct spre exemplu pe detinatorii botnetului Mariposa care a infectat se pare peste 13 milioane de calculatoare cu scopul de a fura numere de carti de credit.

Legislatia romaneasca
Incepem astazi o serie de articole de analiza a legislatiei romanesti din domeniul infractionalitatii informatice pornind cu cele prevazute in Titlul III - Prevenirea si combaterea criminalitatii informatice - din Legea 161/2003.

Definitiile:
Pentru o corecta intelegere si interpretare, se cuvine sa acordam mai intai atentie definitiilor date de lege notiunilor cu care opereaza acest domeniu. Acestea sunt redate in Art.35. din lege:
Art. 35.
alin. (1) În prezentul titlu, termenii şi expresiile de mai jos au următorul înţeles:
  • a) prin sistem informatic se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
  • b) prin prelucrare automată a datelor se înţelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
  • c) prin program informatic se înţelege un ansamblu de instrucţiuni care pot fi executate de un sistem informatic în vederea obţinerii unui rezultat determinat;
  • d) prin date informatice se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi orice program informatic care poate determina realizarea unei funcţii de către un sistem informatic;
  • e) prin furnizor de servicii se înţelege:
      1. orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
      2. orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice pentru persoanele prevăzute la pct. 1 şi pentru utilizatorii serviciilor oferite de acestea;
  • f) prin date referitoare la traficul informaţional se înţelege orice date informatice referitoare la o comunicare realizată printr-un sistem informatic şi produse de acesta, care reprezintă o parte din lanţul de comunicare, indicând originea, destinaţia, ruta, ora, data, mărimea, volumul şi durata comunicării, precum şi tipul serviciului utilizat pentru comunicare;
  • g) prin date referitoare la utilizatori se înţelege orice informaţie care poate conduce la identificarea unui utilizator, incluzând tipul de comunicaţie şi serviciul folosit, adresa poştală, adresa geografică, numere de telefon sau alte numere de acces şi modalitatea de plată a serviciului respectiv, precum şi orice alte date care pot conduce la identificarea utilizatorului;
  • h) prin măsuri de securitate se înţelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de utilizatori;
  • i) prin materiale pornografice cu minori se înţelege orice material care prezintă un minor având un comportament sexual explicit sau o persoană majoră care este prezentată ca un minor având un comportament sexual explicit ori imagini care, deşi nu prezintă o persoană reală, simulează, în mod credibil, un minor având un comportament sexual explicit.
Definitiile au o importanta maxima in contextul incadrarii faptelor si al analizarii acestora din punct de vedere al sferei pe care infractiunea o acopera.
Astfel:

Sistemul Informatic 
Asa cum este el definit, are o sfera de cuprindere larga, dictata de multitudinea de dispozitive existente astazi dar si de necesitatea ca legea sa fie aplicabila si la dispozitive ce pot aparea in viitor, esenta acestuia fiind "prelucrarea automata a datelor" cu ajutorul unui program informatic.

[EDITAT]
In aceasta categorie nu intra numai computerele in sine, dar si dispozitive digitale precum telefoanele mobile, camerele web spre exemplu, dar in aceeasi masura copiatoarele, aparatele fax, aparatele foto digitale, reportofoanele digitale, etc., putandu-se argumenta gratie miniaturizarii continue ca si la nivel de componente, acestea asigura o prelucrare automata de date daca au la baza, chiar si implementat direct in componentele electronice, un program informatic.

In aceasta categorie, in afara de computerele clasice se poate argumenta de la caz la caz si includerea unei serii de dispozitive cu functiune dedicata precum telefoanele mobile si smartphone, PDA, etc., dar si variante mai avansate ale unor dispozitive precum copiatoarele ce au incorporata putere de calcul ce utilizeaza programe informatice, etc. - gratie tendintei moderne de miniaturizare si de a se oferi in cadrul unui dispozitiv aparent specializat putere de calcul pentru o mai mare operabilitate si interoperabilitate, incluzand elemente cheie ale unui sistem informatic clasic.  [Multumiri Max pentru comentariu si semnalarea confuziei strecurate in enumerare.]
[/EDITAT]

Legiuitorul merge si mai departe in largirea sferei de cuprindere a termenului, definind tot ca sistem informatic si ansamblul de dispozitive interconectate - care indeplinesc aceeasi functie de prelucrare automata a datelor, fie ca ansamblu fie doar de catre una din componente. Putem avea aici atat retelele de computere care functioneaza ca un tot unitar avand o anumita destinatie, cat si computerul singur conectat la o serie de alte dispozitive impreuna cu care indeplineste prelucrarea automata a datelor.

In Conventia privind Criminalitatea Informatica - definitia este practic aceeasi - ramanand totdeauna loc de interpretare a traducerii:

Article 1 – Definitions
For the purposes of this Convention:
a    "computer system" means any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data;

Singura discutie la acest paragraf putandu-se purta asupra expresiei "related devices" din perspectiva traducerii, termenul de related putand avea si sensuri ca: legat (de); asociat (cu); raportat (la); înrudit (cu) - avand deci si sensuri ca "precum si orice alte dispozitive asimilate cu" sau "alte dispozitive inrudite cu". Evident, diferentele sunt minimale si sensul traducerii realizate de legislativul roman fiind practic acelasi cu cel din Conventie.

Prelucrarea automata a datelor - defineste procesul in sine de transformare a datelor ca urmare a actiunii unui program informatic, prelucrarea desfasuranduse in interiorul unui sistem informatic. Definirea are sens in conditiile in care in practica, in cadrul infractiunilor informatice, prelucrarea poate fi spre exemplu alterata, ducand la rezultate eronate sau diferite de cele proiectate.

Program informatic - definit ca setul de instructiuni prin care un sistem informatic realizeaza prelucrarea datelor pentru obtinerea unui rezultat determinat. La fel ca si in cazul prelucrarii definite mai sus, practica cunoaste situatii incriminate de lege in care setul de instructiuni este alterat in mod voit pentru obtinerea unor alte rezultate ale prelucrarii, dupa cum acelasi termen de program informatic defineste si virusii spre exemplu, deci programe informatice utilizate in scopuri nelegitime. Esential in aceasta definire este "setul de instructiuni" si "rezultatul determinat" care sunt analizate in aplicarea practica.

Date informatice - acestea sunt la esenta informatii de orice fel, in sfera carora legiuitorul include si reprezentarea unor fapte, sau concepte, precum si programele informatice prin care un sistem informatic devine capabil sa indeplineasca o functie - toate avand trasatura comuna de a se gasi intr-o forma care poate fi prelucrata de un sistem informatic.
Definirea corecta si completa are un rol esential in incriminarea oricarei interventii nelegale asupra datelor si este completata prin includerea in aceeasi sfera a programelor informatice sau a seturilor de instructiuni ce determina o anumita prelucrare de catre sistemul informatic. Completarea este binevenita deoarece in limbajul comun tendinta este de a include in sfera datelor informatice doar datele pasive, informatiile, care sunt stocate sau prelucrate de sistemul informatic cu ajutorul unui program.

Evident, definirea se regaseste intocmai in Conventie:
b    "computer data" means any representation of facts, information or concepts in a form suitable for processing in a computer system, including a program suitable to cause a computer system to perform a function;
Furnizorul de servicii - este definit intocmai dupa Conventie, in aceasta categorie intrand atat furnizorii de servicii ce permit comunicarea utilizatorilor prin intermediul sistemelor informatice, cat si cei care stocheaza sau prelucreaza date fie pentru furnizori amintiti fie direct pentru utilizatorii serviciilor acestora.
c    "service provider" means:
i    any public or private entity that provides to users of its service the ability to communicate by means of a computer system, and
ii     any other entity that processes or stores computer data on behalf of such communication service or users of such service.
Definirea este necesara intrucat un numar mare de fapte incadrate la infractiuni informatice se petrec avand ca mediu de propagare interconectarea si serviciile oferite de furnizori, iar strangerea dovezilor electronice se poate face numai prin reglementarea serviciilor furnizorilor si cooperarea cu acestia.

Datele referitoare la traficul informational - enumerate de catre legiuitor dar si de catre Conventie sunt acele date informatice generate de o veriga in lantul comunicarii dintr-un sistem informatic care permit identificarea: originii, destinaţiei, rutei, orei, datei, mărimii, volumului şi duratei comunicării, precum şi tipului de serviciu utilizat pentru comunicare.

De regula acestea se constituie in principalele dovezi electronice care permit "plasarea faptuitorului" in contextul comunicatiilor digitale "la locul faptei", fapta care se produce de cele mai multe ori cu ajutorul a astfel de fluxuri de informatie intre doua sau mai multe verigi ale lantului informatic dintr-un sistem.

In practica este vorba de asa numitele jurnale sau "log"-uri ale serverelor furnizorilor in care sunt stocati acesti parametri ai comunicatiilor, stabilirea rutei fiind necesara intrucat de cele mai multe ori pentru ca un flux informational sa ajunga la destinatie este nevoit sa strabata mai multe verigi intermediare in sistem, legatura intre origine si destinatie putandu-se face dupa punerea cap la cap a acestor parametri generati de sistemele intermediare de pe traseu.

Datele referitoare la utilizatori - in mod simplificat acestea sunt definite prin "orice informaţie care poate conduce la identificarea unui utilizator" dupa car legiuitorul enumera date ce pot fi incluse in aceasta categorie. Acestea au importanta atat sub aspectul legislatiei care reglementeaza protectia datelor personale cat si sub aspectul identificarii faptuitorilor infractiunilor cibernetice - sarcina cea mai dificila de multe ori a anchetei fiind realizarea legaturii directe dintre fluxul de informatii aferent faptei si persoana.

Masurile de securitate - includ atat dispozitivele cat si procedurile si programele informatice menite sa restrictioneze sau sa interzica accesul la un sistem informatic.
Noi am adauga si "sau la un anumit set de date sau la utilizarea unui anumit program informatic" - intrucat daca ne limitam doar la definitia sistemului informatic asa cum este ea data de lege am omite situatiile in care sunt doi sau mai multi utilizatori pe acelasi sistem, fiecare avand restrictionat accesul numai la datele proprii prin masuri de securitate de genul parolelor. Tot in aceasta categorie ar intra si encriptarea datelor informatice prin procedee sau programe specifice, mai ales in situatia in care sunt stocate de un utilizator pe acelasi sistem informatic la care au acces si alti utilizatori in mod normal.

Materialele pornografice cu minori - definite in litera i) a aceluiasi articol incearca sa dea o sfera cat mai larga acestui tip de date din dorinta expresa de a apara aceasta categorie sociala atat de vulnerabila, incluzandu-se in categorie si reprezentarile credibile (gen animatii, desene, etc) ale comportamentului sexual explicit cu un minor.


Remarcam ca o concluzie faptul ca legiuitorul a simtit nevoia in paragraful (1) al Art. 35 sa defineasca intr-un grad mai mare de detaliere elementele componente tehnic ale sistemului si proceselor informatice decat o face Conventia.



"Fara drept"
Paragraful al doilea al acestui articol defineste notiunea de actiune fara drept in contextul sistemelor informatice si al mediului digital:

Art. 35.
alin. (2) În sensul prezentului titlu, acţionează fără drept persoana care se află în una dintre următoarele situaţii:
  • a) nu este autorizată, în temeiul legii sau al unui contract;
  • b) depăşeşte limitele autorizării;
  • c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfăşura cercetări ştiinţifice sau de a efectua orice altă operaţiune într-un sistem informatic.
Autorizarea in temeiul legii sau al unui contract - subiect al acestei situatii in contextul spre exemplu al accesului la un sistem informatic, poate fi interventia persoanei asupra sistemului informatic fara a fi autorizata de catre lege - cum este cazul fortelor de ordine autorizate prin mandat obtinut conform legislatiei in vigoare, dar si operarea sistemului apartinand unei alte entitati fara a avea un contract cu aceasta.

Depasirea limitelor autorizarii - include in categoria "fara drept" orice actiune a unei persoane care isi depaseste atributiile stabilite prin contract sau fisa postului in a interveni sau actiona.

Lipsa permisiunii - este o definire problematica in multe cazuri practice in special prin posibilitatea sau imposibilitatea de a dovedi faptul ca intr-o interventie asupra unui sistem informatic persoana in cauza a avut acordul persoanei juridice sau fizice indrituite sa permita interventia.

Remarcam in acest aliniat (2) incercarea, dupa parerea noastra riscanta, de a acoperi o plaja destul de larga de situatii ale expresiei "fara drept" in contextul informatic - plaja care poate duce in unele situatii la abuz de drept prin incadrarea fortata a unei fapte legitime in categoria accesului fara drept.

Mentionam ca in contextul acordului privind interventia este util justitiabilului sa solicite si pastreze orice urma de dovada a acestuia (martori, email, etc.).


In loc de concluzii:
Dupa cum am mentionat in inceputul demersului nostru, consideram esentiala intelegerea si analiza definitiilor date de legiuitor mai ales in contextul practic, de exemple, pentru a putea face o incadrare corecta a faptelor ce intra sub incidenta acestei legi ca infractiuni informatice.
Intelegerea orientata practic are importanta deosebita si datorita faptului ca acest domeniu al dreptului abunda in tehnologii si termeni tehnici - explicitarea intr-un limbaj adecvat fiind esentiala in demersul juridic.

In urmatorul articol din serie vom trece in revista infractiunile definite de Legea 161/2003 incercand sa le analizam.

Pana atunci, asteptam cu interes comentariile si completarile dumneavoastra!

2 comentarii:

  1. Cristi,

    Te rog sa mai reflectezi putin asupra definitiei SISTEMULUI INFORMATIC. Chiar o camera web ori un fax sau un reportofon ar putea fi considerate vreodata sisteme informatice? Eu cred (ca inginer) ca NU!

    Le lipseste sistemul de operare. Iar Firmware-ul pe care-l au (daca), trebuie sa faca ceva mai mult decat face un simplu chip... Chiar trebuie sa prelucreze date informatice cu ajutorul unui program informatic...

    Ca tema de reflectie, iti propun sa lansezi in dezbaterea forumistilor urmatoarea problema: Un CLIENT DE EMAIL (Microsoft Outlook, Mozilla Thunderbird, Eudora etc.) este SISTEM INFORMATIC sau PROGRAM INFORMATIC ????

    Eu, unul, am auzit din partea reoprezentantilor MJ (cu ocazia unui seminar) niste gogomanii.... cat casa!

    RăspundețiȘtergere
  2. @Max: multumesc pentru observatii. Intr-adevar sunt necesare clarificari pentru ca enumerarea initiala a dispozitivelor poate duce la confuzii si recunosc ca subiectul poate genera dezbateri lungi dar interesante.

    In primul rand, camera web este periferic pana la proba contrarie a unei evolutii fulminante. Reportofonul digital este si el intr-adevar un exemplu prost ales daca il privim ca dispozitiv dedicat si care inca nu a "invatat" sa faca si alte operatii si mai ales sa comunice. Faxurile sunt si ele relativ apropiate. Insa multe din aceste dispozitive disponibile astazi pe piata au deja diverse grade de evolutie si de complexitate putand regasi in functiile lor tot mai multe elemente de sistem informatic evaluabile, evident, de la caz la caz.

    Scotandu-le pe moment din categoria clara sistem informatic - si lasandu-le pe moment doar in cea de obiecte de interes in investigatia criminalistica, putand furniza date si elemente utile sub forma dovezilor electronice - nu trebuie totusi sa le scapam din vedere si sa nu le analizam complexitatea de la caz la caz si prin prisma definitiei sistemului informatic. Tehnologiile evolueaza prea rapid.

    Am facut rectificarile de rigoare dar am totusi cateva precizari pe care le-am pus in articolul Sistem informatic sau nu inca? - inspirat de comentariul tau.

    Voi reveni si la tema enuntata de tine referitor la email. Multumiri inca o data.

    RăspundețiȘtergere