2.2.3. Podsłuch procesowy
W dobie komunikacji elektronicznej należy ze szczególną uwagą rozważyć zasady i możliwości uzyskania dowodów cyfrowych w oparciu o przepisy rozdziału 26 kpk (kontrola i utrwalanie rozmów). Tryb tam opisany jest stosunkowo rygorystyczny, jednak w przypadku niektórych treści jego zastosowanie będzie jedynym dopuszczalnym środkiem procesowym ich pozyskania. Warto przy tym zaznaczyć, że w polskim systemie prawnym znane są dwie zasadnicze formy podsłuchu: procesowy, oparty właśnie na przepisach rozdziału 26 kpk, oraz pozaprocesowy, realizowany w ramach czynności operacyjno-rozpoznawczych (przez służby uprawnione do tego na podstawie odrębnych przepisów)1. Zagadnienia pracy operacyjnej nie są przedmiotem niniejszego omówienia, stąd też informacja ta ma charakter jedynie sygnalizacyjny. Podsłuch procesowy może być zaś realizowany w sposób pasywny (poprzez bierne przechwytywanie trwającej komunikacji) lub aktywny (poprzez zastosowanie technik ofensywnych – np. użycie złośliwego oprogramowania w urządzeniu osoby podsłuchiwanej). Oba te warianty należy rozważyć na gruncie procesowym w odniesieniu do dowodów cyfrowych.
Możliwość zastosowania podsłuchu procesowego obwarowana jest jednak szeregiem ograniczeń. Po pierwsze, instytucja ta może być wykorzystana wyłącznie w postępowaniach w sprawach czynów zabronionych wymienionych enumeratywnie w art. 237 § 3 kpk. Większość ze wskazanych tam typów czynów wywołuje skojarzenia z przestępczością komputerową. Mimo to w wielu z nich może występować faktyczna potrzeba utrwalenia komunikacji cyfrowej, chociażby pozostawało to bez związku z modus operandi sprawców. Dodatkowe ograniczenie stanowi też wynikający z art. 237 § 1 i 2 kpk wymóg, aby podsłuch procesowy został zarządzony przez sąd. Zarządzenie sądu powinno mieć formę postanowienia. W ujęciu historycznym podsłuch procesowy obejmował przede wszystkim treść rozmów telefonicznych. Wraz z rozwojem technik telekomunikacyjnych jego stosowanie naturalnie rozszerzyło się na wymieniane wiadomości tekstowe (SMS-y). Obecnie zaś instytucja ta może mieć zastosowanie również do telefonii cyfrowej i wszelkich innych kanałów komunikacji elektronicznej (współczesne narzędzia komunikacyjne funkcjonują na zasadzie przesyłu treści komunikatów w formie tzw. pakietów danych cyfrowych). Na gruncie prawnym rozszerzenie stosowania podsłuchu o kolejne rozwiązania technologiczne jest możliwe w świetle treści art. 241 kpk, nakazującego odpowiednie stosowanie przepisów rozdziału 26 kpk „do kontroli oraz utrwalania przy użyciu środków technicznych treści innych rozmów lub przekazów informacji, w tym korespondencji przesyłanej drogą elektroniczną”. Przepis ten odgrywa w kontekście podsłuchu procesowego podobną rolę, jak art. 236a kpk w kontekście przeszukania i zatrzymania rzeczy: pozwala objąć kontrolą komunikację inną niż telefoniczna, a więc na przykład prowadzoną przez Internet z wykorzystaniem dowolnych komunikatorów czy właśnie poczty e-mail2 . Zakres przedmiotowy zastosowania przepisów rozdziału 26 kpk obejmuje więc wszelkie dane znajdujące się w transferze pomiędzy nadawcą i odbiorcą3 . Dotyczy to w równym stopniu wszystkich treści przesyłanych w ten sposób, w tym poczty e-mail czy komunikacji głosowej z wykorzystaniem technologii VoIP4 .
Dużego znaczenia nabiera zatem rozróżnienie pomiędzy danymi przesyłanymi (w transferze) a danymi już przesłanymi i przechowywanymi na nośnikach. O podziale tym była już mowa w rozdziale pierwszym. Przepisy o kontroli procesowej mają zastosowanie jedynie do danych przechwytywanych „w locie”, natomiast dane już zapisane na nośnikach należy zabezpieczać w oparciu o przepisy dotyczące przeszukania i zatrzymania rzeczy. Łatwo jest zapomnieć, że obejmuje to także „pobrane” i zapisane na nośniku wiadomości e-mail. Wprost mówi o tym treść art. 236a in fine kpk (w zakresie, w jakim dotyczy on korespondencji elektronicznej). Jest to zresztą uzasadnione z technicznego punktu widzenia. Z wyjątkiem momentu przesyłu dane składające się na treści przesyłanych komunikatów na ogół nie znajdują się w dyspozycji podmiotów świadczących usługi telekomunikacyjne czy zarządzania siecią, a więc nie mogą być „podsłuchane” 5. Przepisy rozdziału 26 kpk mają zastosowanie np. w razie potrzeby przechwycenia wiadomości poczty elektronicznej podczas transferu danych, „na żywo” 6 . Kwestia pozyskiwania treści korespondencji elektronicznej na podstawie przepisów o zatrzymaniu rzeczy i przeszukaniu budzi niekiedy niesłuszne wątpliwości w literaturze, co zostanie jeszcze omówione w dalszej części niniejszego rozdziału w kontekście żądania wydania danych przez podmioty je przetwarzające.
Realizacja postanowienia sądu w zakresie faktycznego zastosowania „pasywnego” podsłuchu procesowego wymaga współdziałania organów ścigania z odpowiednim dostawcą usług komunikacyjnych. Obowiązek współpracy po stronie dostawców wynika m.in. z art. 237 § 5 kpk. Przedsiębiorcy telekomunikacyjni, w tym również dostawcy sieci Internet, zobowiązani są także na podstawie art. 179 ust. 3 Prawa telekomunikacyjnego7 do zapewnienia warunków technicznych i organizacyjnych dla umożliwienia dostępu i utrwalania przez uprawnione do tego podmioty (m.in. Policję) przekazów telekomunikacyjnych nadawanych lub odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenie końcowe. Stosowanie legalnego podsłuchu komunikacji internetowej napotyka współcześnie wiele problemów natury technicznej i nie jest przez to tak skuteczne, jak w przeszłości. Istnieje rozdźwięk pomiędzy zakresem prawnie dopuszczalnego dostępu do treści komunikacji a rzeczywistą możliwością jego uzyskania. Dzieje się tak, ponieważ wymieniane pomiędzy użytkownikami komunikaty (pakiety danych cyfrowych) są na ogół chronione kryptograficznie, a szyfrowanie i odczytywanie ich odbywa się na urządzeniach końcowych (nadawcy i odbiorcy). Stosując podsłuch pasywny, można zatem uzyskać informacje o fakcie przesyłu takich danych, np. w postaci danych billingowych, ale nie o ich treści. Jakiekolwiek dane składające się na wymieniane informacje (np. na inkryminującą rozmowę) nie istnieją w formie niezaszyfrowanej nigdzie poza urządzeniami końcowymi nadawcy i odbiorcy8 . Podmioty zewnętrzne, w tym dostawcy usług telekomunikacyjnych, nie są w posiadaniu kluczy kryptograficznych umożliwiających rozszyfrowanie danych – dysponują nimi jedynie odbiorca i nadawca wiadomości. Stosując więc tzw. podsłuch pasywny, coraz częściej nie można uzyskać realnego dostępu do treści komunikatów.
Dodatkowym utrudnieniem, z którym należy się liczyć, jest silne rozbicie i niezależność dostawców usług. Podmioty świadczące usługi telekomunikacyjne i podmioty świadczące rozmaite usługi drogą elektroniczną funkcjonują na ogół zupełnie niezależnie od siebie. Dostawca usługi telekomunikacyjnej (a więc usługi przesyłu danych), z którym współpracują organy ścigania stosujące podsłuch, nie musi mieć realnego dostępu do treści zaszyfrowanych komunikatów. Jeżeli jednak dane stanowiące treść komunikatu są przechowywane następnie na serwerze dostawcy usług internetowych (a może tak być np. w odniesieniu do wiadomości e-mail czy niektórych komunikatorów tekstowych), właściwym sposobem ich uzyskania będzie nie podsłuch, lecz uzyskanie danych już w fazie ich przechowywania, z wykorzystaniem pozostałych narzędzi prawnych. Powyższe problemy czynią stosowanie „klasycznego” podsłuchu procesowego w sprawach wymagających dostępu do treści komunikowanych za pośrednictwem Internetu znacznie utrudnionym, o ile nie potencjalnie bezużytecznym. Przepis art. 241 kpk działa jednak dwukierunkowo: umożliwia zarówno utrwalanie komunikacji prowadzonej z użyciem środków technicznych, jak i samo utrwalanie jej przy użyciu środków technicznych. W praktyce oznacza to ustawowe zezwolenie dla organów ścigania do stosowania wszelkiego rodzaju skutecznych urządzeń i technik podsłuchowych9 . Przekłada się to na możliwość wykorzystywania tzw. podsłuchu aktywnego, który nie musi ograniczać się do „biernego” przechwytywania komunikacji przesyłanej za pośrednictwem zewnętrznych podmiotów. Podsłuch aktywny może polegać na przykład na zainstalowaniu w urządzeniu końcowym, które ma być „podsłuchiwane”, oprogramowania przechwytującego dane. Wymaga to na ogół zainstalowania w urządzeniu końcowym złośliwego oprogramowania w drodze fizycznego dostępu do niego lub zdalnie, z wykorzystaniem odpowiednich technik hakerskich10.
Obecnie przepisów wydaje się, że w razie wydania ważnego postanowienia sądu o rozpoczęciu podsłuchu procesowego działanie takie byłoby dozwolone11. Podsłuch procesowy może być wszak realizowany z użyciem dowolnych dostępnych organom ścigania technik kryminalistycznych służących „podsłuchiwaniu rozmów” (zarówno prowadzonych „na żywo”, jak i telefonicznych czy komunikacji internetowej). W przypadku instalowania oprogramowania szpiegującego na komputerze osoby, wobec której prowadzona jest kontrola, aby było to zgodne z celem tej czynności, należałoby jednak ograniczyć jego działanie do przechwytywania treści komunikacji. Niedopuszczalne procesowo byłoby wykorzystanie takiej podstawy prawnej do przeprowadzenia pozaustawowego „zdalnego przeszukania” i zapoznania się z innymi danymi obecnymi już w systemie informatycznym. Biorąc pod uwagę, jak poważną ingerencją w sferę prywatności i bezpieczeństwa informatycznego jednostek jest stosowanie tak ofensywnych technik aktywnej kontroli procesowej, uzasadnione wydaje się podniesienie postulatu zmiany legislacyjnej dotyczącej wprowadzenia przepisów rangi ustawowej oraz wykonawczych wprost przewidujących możliwość stosowania aktywnego podsłuchu elektronicznego z wykorzystaniem wszelkich dostępnych technik temu służących, ale z uwzględnieniem dodatkowych gwarancji ochrony praw jednostek.
2.2.4. Wydanie danych
Istnieje wiele sytuacji, w jakich organy ścigania, chcąc uzyskać istotne dowodowo dane, polegają na wydaniu ich przez podmiot posiadający do nich dostęp. Taka decyzja może zostać podjęta zawsze, gdy pożądane treści w formie cyfrowej znajdują się w dyspozycji podmiotów trzecich: dostawców usług świadczonych drogą elektroniczną (zarówno z terytorium Polski, jak i zagranicznych)12, ale także indywidualnych osób fizycznych (np. świadków). Żądanie wydania treści często dotyczy tych umieszczonych w mediach społecznościowych, wewnętrznych systemach przetwarzania danych, internetowych platformach sprzedażowych czy portalach oferujących rozmaite usługi (w tym usługi poczty elektronicznej). W przypadku potrzeby uzyskania dostępu do danych przetwarzanych poza polską jurysdykcją bezpośrednie ich zabezpieczenie przez polskich funkcjonariuszy nie jest możliwe z przyczyn prawnych. Biorąc pod uwagę realia technologiczne, jak również zasady ekonomiki procesowej oraz proporcjonalności i umiaru przy przeszukaniu i zatrzymaniu rzeczy, poszukiwanie i zabezpieczanie fragmentów danych przetwarzanych na serwerach przedsiębiorców świadczących usługi drogą elektroniczną (nawet mających swoje siedziby w Polsce) nie jest celowe. Uzyskanie danych dowodowych poprzez ich wydanie możliwe jest natomiast w drodze zastosowania kilku podstaw prawnych, w zależności od konkretnych okoliczności i rodzaju podmiotu wydającego dane. Na gruncie przepisów Kodeksu postępowania karnego w szczególności warto rozważyć i rozgraniczyć zasady stosowania art. 217 oraz 218 kpk.
2.2.4.1. Wydanie danych w trybie art. 217 kpk
Oczywiste jest, że fizyczne nośniki z danymi można uzyskać na podstawie art. 217 kpk od ich dysponenta w drodze wezwania do dobrowolnego ich wydania. Po dokonaniu zatrzymania nośników danych (jako rzeczy) można następczo zbadać je pod kątem zawartych tam treści cyfrowych. Analiza przepisów wskazuje zaś, że same dane podlegać mogą zabezpieczeniu na podstawie art. 217 w zw. z art. 236a kpk. Może w takim przypadku nastąpić swoisty dysonans, wynikający z silnego związku pomiędzy nośnikiem (rzeczą) a danymi. Teoretycznie można bowiem wezwać dysponenta do wydania „samych” tylko danych na podstawie art. 217 w zw. z art. 236a kpk. Oczywiście, wydanie „samych” danych cyfrowych nie jest fizycznie możliwe – muszą zostać umieszczone na odpowiednim nośniku umożliwiającym ich faktyczne przekazanie. Niezbędne jest zatem wykonanie kopii wydawanych w ten sposób danych. Krytycznie należałoby ocenić sytuację, w której to osoba zainteresowana wynikiem postępowania, zwłaszcza jeżeli istnieje wobec niej uzasadnione podejrzenie popełnienia przestępstwa, sama wykonuje i wydaje organom ścigania kopię swoich danych. Z punktu widzenia dążenia do zachowania pełnej wiarygodności przekazywanego materiału, w razie żądania udostępnienia danych w trybie art. 217 w zw. z art. 236a kpk, należałoby skopiować dane w ramach bezpośrednich działań organów ścigania z wykorzystaniem adekwatnych narzędzi informatyki kryminalistycznej. W praktyce z takich działań rezygnuje się, zwłaszcza w odniesieniu do podmiotów trzecich, zasadniczo niezainteresowanych przebiegiem postępowania, a będących w posiadaniu danych, do których uzyskania nie jest właściwa procedura wynikająca z zastosowania art. 237 w zw. z art. 241 kpk ani też sposób wskazany w art. 218 kpk.
Warto nadmienić, że w przypadku przedsiębiorców świadczących usługi drogą elektroniczną jako odrębna lub uzupełniająca (w stosunku do art. 217 kpk) podstawa prawna żądania wydania danych bywa wskazywany art. 18 ust. 6 uśde, zobowiązujący usługodawców do nieodpłatnego udostępnienia uprawnionym organom danych, do których przetwarzania są oni upoważnieni na mocy tego przepisu. Chodzi zatem w szczególności o dane osobowe użytkowników usług (określone w art. 18 ust. 1 uśde), a także o wskazane w art. 18 ust. 5 uśde dane charakteryzujące sposób korzystania z usługi (tzw. dane eksploatacyjne, obejmujące wiele metadanych o sposobie korzystania z takich usług, które pozwalają niekiedy na identyfikację usługobiorcy).
Istotnym elementem obecnego brzmienia art. 18 ust. 6 uśde jest też nie tyle obowiązek przekazywania wskazanych tam danych (których przekazanie i tak byłoby obowiązkowe na podstawie art. 217 w zw. z art. 236a kpk), ile zobowiązanie podmiotów, o których mowa w ustawie, do przekazywania takich danych nieodpłatnie. Kwestia ta była w przeszłości sporna, choć na gruncie obecnego stanu prawnego wydaje się już rozstrzygnięta13. Podstawę prawną takiego żądania powinien zatem stanowić art. 217 w zw. z art. 236a kpk i w zw. z art. 18 ust. 6 uśde.
Dane pochodzące od przedsiębiorców świadczących usługi drogą elektroniczną są na ogół przekazywane w formie wydruków lub na nośnikach optycznych w formie plików tekstowych. Możliwość techniczno-kryminalistycznej weryfikacji ich prawdziwości jest wówczas znacznie ograniczona.
2.2.4.2. Wydanie i zabezpieczenie danych w trybie art. 218 i 218a kpk
Pozyskanie danych cyfrowych możliwe jest także na podstawie art. 218 kpk, a żądanie ich czasowego zabezpieczenia do późniejszego wykorzystania umożliwia art. 218a kpk. Oba te przepisy wprowadzono w celu dostosowania polskiego prawa do wymogów art. 16 i 17 Konwencji o cyberprzestępczości14, a ich obowiązujące brzmienie ustalono ustawą nowelizującą Kodeks postępowania karnego w 2009 r.15
Przepis art. 218 kpk umożliwia zwrócenie się do urzędów, instytucji i podmiotów prowadzących działalność w dziedzinie poczty lub działalność telekomunikacyjną, urzędów celno-skarbowych oraz instytucji i przedsiębiorstw transportowych o wydanie korespondencji, przesyłek oraz danych telekomunikacyjnych. W kontekście wyłącznie cyfrowego materiału dowodowego najistotniejsza jest możliwość pozyskiwania na tej podstawie danych telekomunikacyjnych. Zakres pojęcia „podmioty prowadzące działalność telekomunikacyjną” obejmuje przedsiębiorców telekomunikacyjnych w rozumieniu art. 2 pkt 27 Prawa telekomunikacyjnego16. Tym samym zakres podmiotowy zobowiązanych z omawianego przepisu stanowczo nie obejmuje dostarczycieli usług świadczonych drogą elektroniczną (których działalność reguluje ustawa o świadczeniu usług drogą elektroniczną). W praktyce postępowań karnych podmioty te są jednak stale mylone, a podstawy prawne żądania wydania przetwarzanych przez nie danych – powoływane w zasadzie zamiennie lub łącznie. Ta problematyczna kwestia zostanie powtórnie podniesiona i rozwinięta w dalszej części niniejszego podrozdziału.
W wymiarze formalnym żądanie wydania danych telekomunikacyjnych na podstawie art. 218 kpk musi mieć formę postanowienia sądu lub prokuratora, wskazującego zakres pożądanych danych. Uprawnienie to warunkowane jest ich „znaczeniem dla toczącego się postępowania”. Treść postanowienia należy doręczyć adresatom korespondencji oraz abonentowi, którego wykaz połączeń lub innych przekazów informacji został wydany, choć doręczenie może być odroczone na czas oznaczony niezbędny ze względu na dobro sprawy, nie dłuższy niż do momentu prawomocnego zakończenia postępowania (art. 218 § 2 kpk).
Zakres przedmiotowy żądania możliwego do sformułowania na podstawie art. 218 kpk obejmuje „korespondencję i przesyłki”, ale także niemające takiego charakteru dane określone w art. 180c oraz art. 180d Prawa telekomunikacyjnego (a więc poprzez dalsze wewnętrzne odesłanie: dane określone w art. 159 ust. 1 pkt 1 i 3–5, art. 161 oraz art. 179 ust. 9 tej samej ustawy). Co do zasady chodzi więc o dostęp do danych „technicznych” o połączeniach telekomunikacyjnych związanych z usługami Co do zasady chodzi więc o dostęp do danych „technicznych” o połączeniach telekomunikacyjnych związanych z usługami telekomunikacyjnymi. Mogą to być dane zarówno o połączeniach internetowych, jak i telefonicznych, pochodzące od dużych, ale też małych i lokalnych dostawców usług.
Możliwe do uzyskania są dane dotyczące ruchu sieciowego użytkowników, faktu nawiązywania przez nich połączeń lub prób połączeń – zarówno telefonicznych, jak i internetowych (są to właśnie tzw. dane telekomunikacyjne). Informacje te mogą pozwolić na identyfikację użytkowników bądź urządzeń końcowych podłączonych do sieci oraz ich lokalizacji geograficznej. Oczywiście, możliwe i często przydatne wykrywczo jest także sprawdzenie odwrotne – tj. określenie danych osobowych abonenta usługi na podstawie już znanych organom ścigania (np. uzyskanych od usługodawcy internetowego w omówionym trybie art. 217 w zw. z art. 236a kpk i w zw. z art. 18 ust. 6 uśde) danych o logowaniach i połączeniach pochodzących z określonego numeru IP w określonym czasie. Dane możliwe do uzyskania w trybie art. 218 kpk nie obejmują treści przesyłanych danych i komunikatów. Wyraźnie wynika to z pominięcia możliwości żądania wydania danych, o których mowa w art. 159 ust. 1 pkt 2 Prawa telekomunikacyjnego (tj. właśnie treści indywidualnych komunikatów).
Od strony technicznej czynności związane z żądaniem skierowanym na podstawie art. 218 kpk realizowane są zawsze bezpośrednio przez przedsiębiorców telekomunikacyjnych dysponujących właściwymi danymi. Sposób ich przeprowadzenia określa rozporządzenie Ministra Sprawiedliwości17 wydane na podstawie delegacji zawartej w art. 218b kpk. Rozporządzenie służy m.in. określeniu sposobu technicznego przygotowania systemów i sieci przekazu informacji do gromadzenia danych, o których mowa w art. 218 § 1 kpk, niestanowiących treści rozmowy telefonicznej lub innego przekazu informacji, a także sposobu zabezpieczania danych informatycznych w urządzeniach zawierających te dane oraz w systemach i na informatycznych nośnikach danych, mając na uwadze konieczność zabezpieczenia tych danych przed ich utratą, zniekształceniem lub nieuprawnionym ujawnieniem.
Treść przepisów wykonawczych nie jest jednak rozbudowana: nakazuje zabezpieczenie danych przez osobę upoważnioną przez podmiot zobowiązany, przy użyciu środków technicznych umożliwiających ich późniejsze odtworzenie, oraz oznaczenie sygnatury sprawy, danych personalnych osoby odpowiedzialnej za wykonanie tej czynności oraz czasu zabezpieczenia. Tak przygotowane dane telekomunikacyjne przekazywane są organom ścigania w formie wydruku bądź nośnika danych cyfrowych. Biorąc pod uwagę przyjętą definicję dowodów cyfrowych, tak przekazane dane billingowe stanowią dowód cyfrowy sensu largo – stanowią treści pochodzenia cyfrowego (z wewnętrznych systemów przetwarzania danych), jednak ocenie będzie podlegała raczej ich treść niż wiarygodność techniczna. Materiały tego typu są uznawane za wiarygodne przez sam fakt, że zostały przekazane przez podmiot zobowiązany do współpracy.
Uzyskanie danych telekomunikacyjnych będzie oczywiście możliwe wyłącznie do upływu czasu, przez jaki są przechowywane. Dane o ruchu wskazane w art. 180c Prawa telekomunikacyjnego przechowywane są wyłącznie przez 12 miesięcy (art. 180a ustawy). Taki okres retencji danych wynika wprost z implementacji dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r.18 i jest nieprzekraczalny, a dane telekomunikacyjne po jego upływie są niszczone. Należy jednak pamiętać, że istnieje wiele innych rodzajów danych przetwarzanych przez podmioty świadczące usługi telekomunikacyjne i elektroniczne, których okres retencji nie obejmuje, co może oznaczać zarówno ich dłuższe, jak i krótsze przechowywanie.
Wykazy połączeń (m.in. billingi telefoniczne czy metadadane o połączeniach internetowych) można uzyskać procesowo na podstawie art. 218 kpk lub pozaprocesowo w drodze czynności operacyjno-rozpoznawczych. Ze względu na uregulowania dotyczące ponoszenia kosztów wydania takich danych (koszt wydania danych w trybie procesowym ponosi organ prowadzący postępowanie) może być niekiedy korzystne skorzystanie z trybu pozaprocesowego, choć co do zasady nie należy nadmiernie opierać czynności w postępowaniu karnym na działaniach pozaprocesowych, gdy nie jest to konieczne19.
Jak już wspomniano, przepis art. 218 kpk umożliwia zażądanie wydania również „korespondencji i przesyłek”. W odniesieniu do fizycznych listów czy paczek jego znaczenie wydaje się oczywiste. Ich wydanie sądowi lub prokuratorowi obwarowane jest także dodatkowymi gwarancjami. Po pierwsze, tylko sąd lub prokurator mają prawo je otwierać, choć mogą również zarządzić ich otwarcie (art. 218 § 1 in fine kpk). Po drugie, w razie gdyby okazało się, że nie mają one znaczenia dla postępowania karnego, należy niezwłocznie je zwrócić właściwym podmiotom (art. 218 § 3 kpk). Zastrzeżenie to nie dotyczy danych telekomunikacyjnych, co biorąc pod uwagę związane z tym realia techniczne, jest rozwiązaniem słusznym. Istotne z punktu widzenia pozyskiwania dowodów pochodzenia cyfrowego jest jednak pytanie o możliwość uzyskania w trybie art. 218 kpk korespondencji elektronicznej. Wszak wszelkiego rodzaju „korespondencja i przesyłki” bezsprzecznie wchodzą w zakres przedmiotowy możliwych do pozyskania w tym trybie treści, a art. 236a kpk expressis verbis wskazuje na możliwość odpowiedniego stosowania przepisów całego rozdziału 25 kpk także do „korespondencji przesyłanej pocztą elektroniczną”. Faktycznie więc zasadne jest pytanie, czy na podstawie art. 218 kpk (albo art. 218 w zw. z art. 236a kpk) możliwe jest skuteczne żądanie wydania przechowywanej na serwerach pocztowych treści poczty elektronicznej?
Wyrażane jest niekiedy stanowisko, w myśl którego wydanie treści korespondencji elektronicznej w trybie art. 218 kpk, chociażby była już przechowywana „statycznie” na serwerach usługodawcy, jest niedopuszczalne ze względu na tajemnicę komunikacji, mającą swoje źródło zarówno w Konstytucji RP, jak i w Prawie telekomunikacyjnym20. W konsekwencji, aby uzyskać dane co do treści przekazywanej korespondencji elektronicznej, konieczne miałoby być zastosowanie art. 237 w zw. z art. 241 kpk (inne dane z tym związane, np. numer IP nadawcy czy adresata, nadal możliwe są, w świetle tego stanowiska, do uzyskania jako techniczne dane telekomunikacyjne na podstawie art. 218 kpk).
Powyższy pogląd jest de lege lata nietrafny21. Po pierwsze, dane związane z jakąkolwiek, mającą miejsce w czasie rzeczywistym, komunikacją (również e-mailową) można uzyskać wyłącznie w trybie art. 237 w zw. z art. 241 kpk. Przepisy rozdziału 26 kpk nie mają jednak zastosowania do treści komunikacji już przesłanej i wyłącznie przechowywanej – czy to przez ich nadawcę, odbiorcę, czy też przez podmiot zewnętrzny. Jeżeli więc treść komunikacji jest przechowywana, czy to w formie cyfrowej, czy w formie wydruków lub na jakimkolwiek innym nośniku fizycznym, może stanowić przedmiot wydania na podstawie rozdziału 25 kpk.
Po drugie, ustawowo określona tajemnica telekomunikacyjna nie obejmuje treści korespondencji prowadzonej drogą elektroniczną. Nie jest to zupełnie oczywiste, biorąc pod uwagę, że „treść indywidualnych komunikatów” oczywiście wchodzi w zakres tajemnicy komunikacyjnej na podstawie art. 159 ust. 1 pkt 2 Prawa telekomunikacyjnego22 i została wyraźnie wyłączona z zakresu danych telekomunikacyjnych możliwych do uzyskania przy zastosowaniu art. 218 kpk, co wynika a contrario z wymienionych w tam przepisów Prawa telekomunikacyjnego. Pojęcie „komunikat” zostało natomiast zdefiniowane w art. 2 pkt 17 Prawa telekomunikacyjnego jako każda informacja wymieniana lub przekazywana między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług telekomunikacyjnych (nie obejmuje jednak transmisji radiowych i telewizyjnych ze względu na ich publiczny charakter). Nie ma też żadnego ograniczenia w zakresie tego, co może być przedmiotem komunikatu, kto może być jego nadawcą czy odbiorcą ani też jaką może mieć on formę. Pojęcie chronionego tajemnicą komunikatu jest zatem bardzo szerokie, możliwe do odniesienia zarówno do transmisji głosowej, jak i do transmisji danych23. Prawdą jest też, że w warunkach postępowania karnego treść indywidualnych komunikatów, o których mowa w art. 159 ust. 1 pkt 2 Prawa telekomunikacyjnego, może być pozyskiwana w drodze podsłuchu procesowego.
W odróżnieniu jednak od telefonicznych połączeń telekomunikacyjnych szeroko rozumiana usługa poczty elektronicznej jest tzw. usługą hybrydową i w rzeczywistości składają się na nią dwie całkowicie odrębne usługi: „udostępniania poczty elektronicznej” (świadczona przez usługodawcę internetowego) oraz „przesyłania poczty” (realizowana przez przedsiębiorcę telekomunikacyjnego). O ile przesyłanie poczty elektronicznej jest usługą telekomunikacyjną, o tyle już usługa udostępniania poczty, rozumiana jako gospodarowanie zasobami poczty elektronicznej, jej przechowywanie i udostępnianie (np. prowadzenie skrzynki e-mail online), jest – zgodnie z dyrektywą 2002/21/WE24, a także dyrektywą 2002/58/WE25 – usługą społeczeństwa informacyjnego i nie wchodzi w zakres usługi telekomunikacyjnej26.
Przywoływanie obowiązku zachowania tajemnicy telekomunikacyjnej w odniesieniu do treści przechowywanej na serwerach poczty elektronicznej jest więc nietrafne27. Jest też ewidentne, że obowiązek zachowania tajemnicy określonej w art. 159 ust. 1 i 2 Prawa telekomunikacyjnego i wynikający z tej ustawy zakaz przetwarzania treści komunikatów dotyczy przedsiębiorców telekomunikacyjnych, nie zaś każdego podmiotu przetwarzającego treść korespondencji przesyłanej za pośrednictwem usług telekomunikacyjnych. Podmioty oferujące usługę udostępniania poczty elektronicznej (nie jej przesyłu) czynią to na podstawie ustawy o świadczeniu usług drogą elektroniczną, a nie Prawa telekomunikacyjnego i mogą (choć nie mają takiego obowiązku) przechowywać na swoich serwerach kopie wiadomości, których treść może być udostępniona organom ścigania. Oczywiście, co warte ponownego podkreślenia: nie dotyczy to treści komunikacji prowadzonej „na żywo”, dla przechwycenia której podstawą mogą być przepisy o kontroli procesowej.
Z powyższych rozważań wyłania się istota poruszonego problemu: katalog podmiotów zobowiązanych do przekazywania danych na podstawie art. 218 kpk nie obejmuje podmiotów świadczących usługi drogą elektroniczną. Rozszerzająca interpretacja sformułowania „podmioty prowadzące działalność w dziedzinie poczty lub działalność telekomunikacyjną” dokonywana tak, aby obejmowała podmioty świadczące usługi drogą elektroniczną (np. dostawców usług poczty elektronicznej czy podmioty udostępniające inne komunikatory internetowe), jest zaś niedopuszczalna.
Nie istnieją jednak przepisy, które ustanawiałyby „tajemnicę usług świadczonych drogą elektroniczną” w sposób analogiczny do tajemnicy telekomunikacyjnej. Zwiększa to możliwości organów ścigania, choć wydaje się zarazem sprzeczne z normami rangi konstytucyjnej. Należy więc rozważyć zmianę obecnego, niejednolitego w tym zakresie stanu prawnego. Przy okazji rozważań nad tajemnicą komunikacji i jej znaczeniem dla przekazywania danych będących w dyspozycji przedsiębiorcy telekomunikacyjnego warto zauważyć, że art. 218 kpk uchyla tajemnicę komunikacyjną na zasadzie lex specialis derogat legi generali. Nie wydaje się więc konieczne „dodatkowe” uchylanie tajemnicy, np. poprzez przywołanie art. 180 kpk w podstawach prawnych postanowień wydawanych w tym przedmiocie.
Na podstawie obowiązujących przepisów należy przyjąć, że korespondencję e-mail, jak również wszelkie inne wiadomości wysyłane za pośrednictwem komunikatorów internetowych czy treści publikowane na platformach społecznościowych można próbować uzyskać od podmiotów świadczących te usługi, występując o to na podstawie omówionego już ogólnego przepisu art. 217 w zw. z art. 236a kpk (w zakresie danych) lub samego art. 217 kpk (w zakresie nośników fizycznych) – o ile tylko takie dane są faktycznie przechowywane i o ile podmiot podlega polskiej jurysdykcji. Wówczas dane stanowią potencjalny rzeczowy materiał dowodowy.
Uzasadniony jest postulat uzupełnienia art. 218 kpk o sformułowania rozstrzygające wątpliwości w powyższym zakresie (np. poprzez dodanie podmiotów świadczących usługi drogą elektroniczną do kręgu zobowiązanych do wydania danych na podstawie tego przepisu). Trafne jest też spostrzeżenie, że choć obecne przepisy pozwalają na dość swobodny dostęp organów ścigania do treści korespondencji elektronicznej, należy krytycznie ocenić brak mającego do nich zastosowanie odpowiednika tajemnicy telekomunikacyjnej28. Jedynym wytłumaczeniem takiego stanu prawnego wydaje się celowe zaniechanie ustawodawcze, zapewniające większą skuteczność organom ścigania – kosztem jednak konstytucyjnie chronionych praw jednostek.
Prawo telekomunikacyjne, choć nie ma zastosowania do korespondencji elektronicznej, stosuje się w pełni do treści rozmów telefonicznych i SMS-ów. Ze względów praktycznych warto odnieść się w tym miejscu do ewentualnego pytania o możliwość uzyskania od operatora telekomunikacyjnego post factum treści przesłanych już SMS-ów (lub nawet rozmów telefonicznych). Kwestia ta nie jest bowiem wolna od nieporozumień i mylnych oczekiwań uczestników postępowań.
Zastanawiający jest fakt, że niektórzy zalecają, aby strona w ramach swojej inicjatywy dowodowej wnioskowała do sądu, by „zwrócił się do operatora [telekomunikacyjnego] o udostępnienie treści SMS-ów, które są zaszyfrowane na jego serwerach”29. Uwaga ta poczyniona została przez cytowanego autora w kontekście procedury cywilnej, choć mogłaby być równie adekwatna w postępowaniu karnym. Takie zalecenie należy jednak uznać za fundamentalnie niepoprawne.
Oczywiście, nietrudno wyobrazić sobie korzyści, jakie mogłyby wyniknąć z nieskrępowanego dostępu organów ścigania do treści przesyłanej w przeszłości korespondencji SMS-owej (chociażby przechowywanej przez 12-miesięczny okres retencji). Warto jednak przypomnieć, że treść SMS-ów objęta jest właśnie tajemnicą telekomunikacyjną, wynikającą wprost z brzmienia art. 159 ust. 1 pkt 2 Prawa telekomunikacyjnego. Zapoznawanie się, ale też utrwalanie, przechowywanie, przekazywanie lub inne wykorzystanie treści indywidualnych komunikatów jest zaś zakazane (art. 159 ust. 2 tej samej ustawy) – z wyjątkiem sytuacji, gdy: jest to przedmiotem usługi lub jest niezbędne do jej wykonania, nastąpi za zgodą nadawcy lub odbiorcy, których dane dotyczą, lub jest to konieczne z innych powodów przewidzianych ustawą. Przedsiębiorcy telekomunikacyjni są również zobligowani do realizacji czynności związanych z retencją danych w sposób niepowodujący ujawnienia treści przekazów telekomunikacyjnych (art. 180a ust. 6 Prawa telekomunikacyjnego).
W rzeczywistości treści komunikatów (SMS-ów czy rozmów telefonicznych) są oczywiście „przetwarzane” przez operatora w momencie ich przesyłu. Jest to koniecznym, a zatem dozwolonym elementem realizacji świadczonej usługi. Później zaś jest to co do zasady niedozwolone. Przesłane wiadomości tekstowe są w późniejszym czasie dostępne wyłącznie za pośrednictwem urządzeń końcowych (np. w telefonach) nadawcy i odbiorcy wiadomości (o ile zdecydowali się je zachować). Oczywiście, w ykazie połączeń dostępnym od operatora istnieje zapis dotyczący faktu przesłania wiadomości, jednak nie jej treść. Ta może być oczywiście zabezpieczona przez operatora w razie prowadzenia podsłuchu procesowego lub operacyjnego, jednak wyłącznie od momentu wskazanego we właściwym postanowieniu. Innymi słowy, zakładając, że przedsiębiorcy telekomunikacyjni realizują swoje obowiązki rzetelnie, nie istnieje ani prawna, ani faktyczna możliwość uzyskania dostępu do treści wiadomości tekstowych przesłanych w przeszłości w okresie nieobjętym postanowieniem o prowadzeniu kontroli i utrwalania rozmów czy treści korespondencji.
Uwagę końcową należy poświęcić kwestii „zabezpieczenia danych” w trybie art. 218a kpk, który umożliwia zobowiązanie urzędów, instytucji i podmiotów prowadzących działalność telekomunikacyjną do niezwłocznego zabezpieczenia danych informatycznych. Zabezpieczenia danych można zażądać na czas określony w postanowieniu sądu lub prokuratora, nie dłuższy niż 90 dni. W przepisie art. 218a § 1 in fine kpk występuje zarazem błąd legislacyjny w postaci odesłania do art. 218 § 2 zd. drugie kpk, wskazującego na możliwość odroczenia doręczenia postanowienia na czas oznaczony, nie dłuższy niż do czasu prawomocnego zakończenia postępowania, jednak bez wskazania osoby, której powinno być ono doręczone. Wypracowano wobec tego dość rozsądne stanowisko, że postanowienie o zabezpieczeniu poprzez analogię do art. 218 kpk podlega doręczeniu osobie, której dane dotyczą30. Wskazuje się jednak, że przepis art. 218a kpk jest w praktyce niewykorzystywany. Stosowanie opisanego trybu zabezpieczenia danych jest pozbawione walorów praktycznych, skoro istnieje możliwość wystąpienia po prostu o udostępnienie danych. Wcześniejsze kierowanie postanowienia o zabezpieczeniu ich wydaje się krokiem zbędnym, choć mogłoby mieć zastosowanie wobec dużych zbiorów danych, w których następczo dookreślano by przydatny procesowo zakres.
2.2.5. Uzyskiwanie danych przetwarzanych poza jurysdykcją Rzeczypospolitej Polskiej
W zależności od stanu faktycznego sprawy różne z dotychczas opisanych narzędzi prawnych mogą posłużyć uzyskaniu dostępu do treści pochodzenia cyfrowego, pod warunkiem że urządzenie, w którym dane są przetwarzane, znajduje się na terytorium Rzeczypospolitej Polskiej i do jego dysponenta mają bezpośrednie zastosowanie odpowiednie przepisy prawa krajowego, jednakże wiele spośród najpopularniejszych obecnie usług elektronicznych świadczonych jest przez podmioty zagraniczne. Poza jurysdykcją polskich organów ścigania są wielokrotnie zarówno ich siedziby, jak i fizyczne centra przetwarzania danych, co zmusza do korzystania z pomocy prawnej lub uzależnia wynik postępowania od dobrowolnego ich wydania, podporządkowując skuteczność działania organów ścigania wewnętrznym zasadom usługodawcy y internetowego31.
Problemy jurysdykcyjne dotykają oczywiście każdego rodzaju materiału dowodowego. W przypadku dowodów cyfrowych są one jednak szczególnie częste i wyraźnie dostrzegalne. Od wielu lat współistnieją z problemem jurysdykcji krajowej w sprawach przestępstw komputerowych w ogóle. Charakterystyczną cechą czynów zabronionych popełnianych z wykorzystaniem Internetu jest bowiem ich wielomiejscowość – występowanie ujemnych skutków działania sprawcy w wielu rejonach geograficznych w sposób, dla którego kodeksowe postrzeganie „miejsca popełnienia przestępstwa”, wynikające zwłaszcza z art. 5 i 6 kk, nie zawsze jest adekwatne i nie zawsze dostarcza stabilnych kryteriów oceny32.
Dla przykładu: sprawca oszustwa, którego pokrzywdzonym jest mieszkaniec Polski, działać może z terytorium dowolnego innego państwa, a dane cyfrowe z tym związane mogą być obecne na serwerach umieszczonych w (niekiedy wielu) państwach trzecich. Stanowi to istotę transgranicznego charakteru wielu przestępstw komputerowych, bezpośrednio wpływającą na możliwości gromadzenia dowodów cyfrowych. Z zakresie prawnomaterialnym zapobieganiu problemom jurysdykcyjnym w związku z transgranicznością przestępstw komputerowych służą omówione już akty prawa międzynarodowego. Rozwiązania mające na celu ujednolicenie zasad ścigania takich przestępstw w różnych krajach są stale udoskonalane, w szczególności w obszarze Unii Europejskiej. Dobrym tego przykładem jest przyjęta w kwietniu 2019 r. dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/713 w sprawie zwalczania fałszowania i oszustw związanych z bezgotówkowymi środkami płatniczymi (zastępująca decyzję ramową Rady 2001/413/WSiSW)33.
W szczególności problem dotyczy danych pozyskiwanych od podmiotów prowadzących popularne serwisy społecznościowe, internetowe platformy sprzedażowe i ogłoszeniowe, świadczących usługi poczty i komunikacji elektronicznej oraz dostępu do wszelkich innych danych przechowywanych na zagranicznych serwerach w ramach usług przetwarzania danych w tzw. chmurze. Ostatni z wymienionych problemów związany jest z dynamicznym rozwojem sektora takich usług. Zdalny dostęp do zasobów informatycznych, realizowany jako usługa opłacana na zasadzie bieżącego zużycia (lub darmowa34) i dostępna z dowolnego miejsca na świecie, ułatwia wykorzystanie (i znacznie obniża jego koszty) takich zasobów, jak: moc obliczeniowa, przestrzeń przechowywania danych i oprogramowanie specjalistyczne35. Udostępnianie ich za pośrednictwem chmur obliczeniowych (ang. cloud computing) bywa niekiedy przedstawiane, zwłaszcza przez potentantów branży IT wykorzystujących marketingowy potencjał tego hasła, w charakterze „motoru kolejnej, czwartej rewolucji przemysłowo-technologicznej ludzkości”36. Oznacza to jednak, że materiały cyfrowe związane z aktywnością użytkownika umieszczone są często na nośnikach położonych w dużej odległości geograficznej i ma on do nich jedynie zdalny dostęp. Brak prawnej możliwości rozszerzenia przeszukania na zasoby dostępne w taki sposób z pierwotnie badanego systemu informatycznego powoduje zaś, że konieczne staje się poszukiwanie innych rozwiązań.
Samo pojęcie chmury obliczeniowej jest w zasadzie kolejnym popularnym terminem wykorzystywanym dla lepszej promocji tego rodzaju usług i oczywiście nie ma nic wspólnego z chmurą. Warto zasygnalizować, że ten popularny polskojęzyczny odpowiednik angielskiego pojęcia cloud computing może być mylący, zwłaszcza biorąc pod uwagę jego powszechne rozumienie. Nie chodzi wszak o ofertę usług „obliczeniowych” w potocznym rozumieniu tego słowa (a przynajmniej nie wyłącznie). W drodze udostępniania usług chmur obliczeniowych umożliwia się natomiast szeroko rozumiane przetwarzanie danych cyfrowych na zdalnie dostępnych urządzeniach, „niewidzialnych” z perspektywy użytkownika końcowego i stanowiących w stosunku do jego urządzenia metaforyczną „chmurę”. Oczywiście za tym rozwiązaniami kryją się w pełni realne, fizyczne serwery i centra obliczeniowe, umiejscowione w konkretnych miejscach i podlegające określonemu władztwu organizacyjnemu i jurysdykcji.
Z omawianiem problematyki chmur obliczeniowych w kontekście procesowego pozyskiwania dowodów cyfrowych, jak też zresztą w każdym innym kontekście prawnym, wiąże się jednak trudność wynikająca z braku definicji legalnych tego typu usług w europejskich porządkach prawnych37. Poszukując definicji pojęcia chmury, można więc posłużyć się tą zaproponowaną przez amerykański Narodowy Instytut Standaryzacyjny (NIST) w 2011 r.38: chmura stanowi model przetwarzania danych umożliwiający dogodny, realizowany na żądanie dostęp do współdzielonej puli konfigurowalnych zasobów informatycznych (np. sieci, serwerów, pamięci, aplikacji i usług), które mogą zostać natychmiastowo zaalokowane i udostępnione poprzez sieć z minimalnym wysiłkiem zarządzania i na minimalnym poziomie interwencji reprezentantów usługodawcy39. Zgodnie natomiast z dyrektywą Parlamentu Europejskiego i Rady 2016/1148 z dnia 6 lipca 2016 r.40 pojęcie przetwarzania danych w chmurze obejmuje cyfrowe usługi dostępu do skalowalnego i elastycznego zbioru zasobów komputerowych do wspólnego wykorzystywania. Niezależnie od przyjmowanych definicji chodzi o działalność polegającą na udostępnianiu użytkownikom za pośrednictwem Internetu zasobów informatycznych. Istnieje wiele rodzajów usług tego typu oraz szczegółowych sposobów ich dostarczania41.
Z uzyskaniem dla potrzeb postępowania karnego danych przetwarzanych przez dostawców usług w chmurze wiąże się wiele problemów prawnych i praktycznych. Natura stosowanych rozwiązań technologicznych powoduje, że fragmenty danych mających związek z tym samym postępowaniem mogą znajdować się równocześnie w wielu różnych szerokościach geograficznich42. Wysoki stopień wirtualizacji i geograficzne rozproszenie serwerów (nawet należących do tego samego podmiotu) na obszarach wielu państw, a więc wynikający z tego brak fizycznego dostępu do miejsca przechowywania danych lub wręcz brak wiedzy o tym, gdzie są one faktycznie przechowywane, w oczywisty sposób utrudnia zabezpieczenie dowodów. Stopień skomplikowania technicznej infrastruktury przetwarzania danych przez podmioty zagraniczne czy liczba państw, na których terytorium mogą się znajdować dane istotne dla postępowania, wpływają na skalę trudności czynności dowodowych. Formalne uzyskiwanie dla celów postępowania karnego danych przetwarzanych za granicą RP wymaga, co do zasady, zastosowania instrumentów międzynarodowej pomocy prawnej. Zarazem istniejące obecnie rozwiązania w zakresie międzynarodowej pomocy prawnej są dalece niewystarczające.
2.2.5.1. Europejski nakaz dochodzeniowy
Na obszarze Unii Europejskiej możliwości prawne w zakresie uzyskania zagranicznego materiału dowodowego są relatywnie uproszczone dzięki dyrektywie Parlamentu Europejskiego i Rady 2014/41/UE w sprawie europejskiego nakazu dochodzeniowego43, zaimplementowanej do polskiego porządku prawnego ustawą z dnia 10 stycznia 2018 r.44 wprowadzającą art. 589w– 589zt kpk (rozdział 62d kpk). Dyrektywa END w znacznej mierze zastąpiła stosowanie Europejskiej Konwencji o pomocy prawnej w sprawach karnych pomiędzy państwami członkowskimi Unii Europejskiej45, ułatwiając zabezpieczenie i gromadzenie materiału dowodowego – również pochodzenia cyfrowego.
Europejski nakaz dochodzeniowy (END), zgodnie z art. 1 ust. 1 dyrektywy END, jest orzeczeniem sądowym wydanym lub zatwierdzonym przez organ wymiaru sprawiedliwości państwa członkowskiego (wydającego) w celu wezwania innego państwa członkowskiego (wykonującego) do przeprowadzenia jednej lub kilku określonych czynności dochodzeniowych w celu uzyskania materiału dowodowego. Organem wydającym nakaz może być również prokurator. Jeżeli natomiast dana czynność jest zastrzeżona do decyzji sądu, wydanie END w takim zakresie również należy do jego kompetencji (np. zarządzenie podsłuchu procesowego).
Regulacje zawarte w dyrektywie END umożliwiają podejmowanie inicjatywy w zakresie wnioskowania o wydanie dowodów osobom bezpośrednio prowadzącym dane postępowanie karne. To korzystne rozwiązanie doznaje istotnego ograniczenia w świetle przepisów krajowych – obowiązujący regulamin wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury nie przewiduje możliwości wnioskowania o udzielenie zagranicznej pomocy prawnej przez prokuratorów prokuratur rejonowych bez udziału jednostek nadrzędnych46. Uzasadniony jest postulat zmiany przepisów wewnętrznych w tym zakresie w taki sposób, aby umożliwić rzeczywiste i szybkie wykorzystywanie opisywanego narzędzia bezpośrednio przez osoby zaznajomione z realiami sprawy – bez niecelowego wydłużania obowiązującej ścieżki służbowej.
Zaletą END w porównaniu do jego „poprzednika”, europejskiego nakazu dowodowego wprowadzonego wcześniej decyzją ramową Rady 2008/978/WSiSW47, jest rozszerzenie zakresu przedmiotowego jego zastosowania. Wcześniejsze rozwiązania pozwalały jedynie na wystąpienie o materiał dowodowy znajdujący się już w posiadaniu organów państwa wykonującego. Można było więc np. wystąpić o przekazanie protokołu wykonanych oględzin, ale już nie o ich dokonanie48. Obecnie możliwe jest także określenie, jakie czynności dochodzeniowe dopiero mają być wykonane, i wezwanie organów państwa obcego do ich wykonania. Zaletą END jest też nieograniczenie jego stosowania do konkretnie wskazanych czynności – na jego podstawie można m.in. wnosić o procesowe zabezpieczenie danych cyfrowych znajdujących się w urządzeniach na terytorium państwa wykonującego.
Cała procedura może być niestety relatywnie czasochłonna: postanowienie o wykonaniu END powinno zostać wydane w państwie wykonującym w ciągu 30 dni od otrzymania go, a czas realizacji czynności może wynieść do 90 dni od wydania tego postanowienia. Łącznie więc mowa o czasie realizacji wynoszącym do 120 dni – w przypadku wielu przestępstw komputerowych może to skutkować bezpowrotną utratą materiału dowodowego lub niemożliwością efektywnego ustalenia lub ścigania sprawcy49.
W związku z dostrzeżeniem m.in. tego problemu opracowywane są dodatkowe, szczególne rozwiązania. W czasie przygotowania niniejszego tekstu trwa również procedura w sprawie wniosku legislacyjnego Komisji Europejskiej z dnia 17 kwietnia 2018 r. dotyczącego przyjęcia rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiego nakazu wydania dowodów dotyczącego elektronicznego50 materiału dowodowego w sprawach karnych i europejskiego nakazu zabezpieczenia dowodów dotyczącego elektronicznego materiału dowodowego w sprawach karnych51. Proponowane rozporządzenie ma na celu dostosowanie mechanizmów współpracy między państwami UE do realiów epoki cyfrowej, udostępnienie narzędzi sądowych i egzekwowania prawa uwzględniających nowoczesne formy zarówno komunikowania się przestępców, jak i sposoby walki z nimi. Zasadniczym elementem planowanego rozporządzenia jest wprowadzenie europejskiego nakazu wydania dowodów i europejskiego nakazu zabezpieczenia dowodów (wydawanych lub zatwierdzanych przez organ sądowy państwa członkowskiego). Nie mają one zastąpić instrumentów dostępnych na podstawie dyrektywy END, lecz dostarczyć dodatkowych narzędzi organom ścigania i są w swojej istocie podobne do obowiązujących w Polsce narzędzi z art. 218 oraz 218a kpk (wprowadzonych w celu dostosowania przepisów do wymogów Konwencji o cyberprzestępczości, z którą przepisy unijne mają być również zharmonizowane). Na podstawie takich nakazów możliwe ma być zobligowanie usługodawcy zlokalizowanego w innej jurysdykcji do wydania danych niezbędnych dowodowo lub do ich zabezpieczenia. Bardzo dużą zaletą projektowanych narzędzi jest możliwość bezpośredniego skierowania wspomnianych nakazów do usługodawców (dostawców usług łączności elektronicznej, portali społecznościowych, platform handlowych, dostawcom infrastruktury internetowej i innym podmiotom). Przyjęcie tych regulacji w formie rozporządzenia unijnego pozwoli na bezpośrednie ich stosowanie, co korzystnie wpłynie na jednolitość stosowanych rozwiązań.
2.2.5.2. Przekazywanie danych spoza obszaru Unii Europejskiej
W kontaktach z państwami spoza obszaru Unii Europejskiej, pomimo powszechnej właściwie świadomości istnienia tego problemu, nie ma dostatecznie sprawnie funkcjonującego i wydolnego systemu pozyskiwania materiału dowodowego. W odniesieniu do danych cyfrowych przetwarzanych przez globalne podmioty branży IT brak ten jest szczególnie dotkliwy.
Co do zasady zabezpieczenie cyfrowego, podobnie jak każdego innego, materiału dowodowego może opierać się na stosowaniu dwustronnych umów międzynarodowych o pomocy prawnej (ang. Mutual Legal Assistance Treaties, MLAT). Ten model współpracy zasadza się na idei wzajemnego poszanowania praw określonych w umowach zwłaszcza pomiędzy Unią Europejską a państwami trzecimi (np. ze Stanami Zjednoczonymi czy Japonią)52. Tego typu procedury w istocie polegają na pośrednim uzyskaniu prawnie skutecznego nakazu dowodowego w państwie obcym53. System taki jest w wysokim stopniu niewydajny, zwłaszcza w sprawach przestępstw komputerowych. W przypadku wniosków kierowanych do Stanów Zjednoczonych, gdzie ze względu na położenie siedzib wielu najważniejszych podmiotów przetwarzających dane trafia największa liczba wniosków, okres oczekiwania na odpowiedź trwa od 8 do 15 miesięcy – bez gwarancji, że dane zostaną przekazane54. Wnioski przygotowywane przez Biuro Współpracy Międzynarodowej w Prokuraturze Krajowej przekazywane są Departamentowi Sprawiedliwości USA za pośrednictwem polskiego Ministerstwa Sprawiedliwości i dopiero wówczas mogą być oficjalnie przekazane konkretnemu podmiotowi przetwarzającemu dane.
Konwencja o cyberprzestępczości, stanowiąca obecnie podstawową wielostronną ramę zwalczania przestępczości komputerowej55, w obecnym kształcie również nie rozwiązuje większości problemów proceduralnych związanych z występowaniem o udostępnienie danych pochodzących od podmiotów zagranicznych. Rozwiązania proponowane w Konwencji zasadniczo sprowadzają się do wymogu, aby państwa-strony wprowadziły instrumenty pomocy prawnej i procedury pozwalające na dostęp do cyfrowego materiału dowodowego. W szczególności wskazano na konieczność wprowadzenia nakazów dowodowych umożliwiających wydanie, ale także zabezpieczenie danych. Postanowienia Konwencji mają charakter zobowiązujący, a w polskiej procedurze ich implementację miały stanowić odpowiednio art. 218 i 218a kpk. Ich odzwierciedleniem na gruncie prawodawstwa unijnego są rozwiązania planowane w rozporządzeniu o dowodach elektronicznych. Z punktu widzenia stosowania Konwencji o cyberprzestępczości poważnym problemem jest jednak kierowanie nakazów dowodowych do usługodawców spoza terytorium stron Konwencji. Stopniowa zmiana takiego stanu rzeczy może nastąpić w związku z przygotowywaną obecnie propozycją przyjęcia drugiego protokołu dodatkowego do Konwencji o cyberprzestępczości56. Celem projektowanych rozwiązań jest usprawnienie transgranicznego dostępu do cyfrowego materiału dowodowego, ze szczególnym uwzględnieniem problematyki danych przetwarzanych w chmurach obliczeniowych57.
Wyniki międzynarodowego badania ankietowego przeprowadzonego wśród przedstawicieli praktyki śledczej58 wskazują na istnienie wielu dodatkowych problemów związanych z międzynarodową wymianą informacji o dowodach cyfrowych. Jednym z nich jest brak międzynarodowej standaryzacji formularzy takich wniosków – w większości wnioski o pomoc prawną są formułowane w oparciu o krajowe standardy ich sporządzania, wynikające z lokalnych przepisów, utrudniając ich priorytetyzację i realizację.
Biorąc pod uwagę wymienione okoliczności faktyczne, technologiczne i prawne, możliwości formalnego uzyskiwania danych dowodowych przetwarzanych poza obszarem jurysdykcji organów ścigania są bardzo ograniczone. Współcześnie państwa de facto nie mają żadnego nadzoru nad przetwarzanymi danymi binarnymi lub nadzór jest coraz bardziej iluzoryczny59. Utrudnienia formalne oraz długi czas realizacji wniosków o międzynarodową pomoc prawną przesądzają o nieskuteczności postępowania karnego w wielu sprawach. W niedługiej przyszłości absolutnie niezbędne staną się zatem nowe, zmodernizowane porozumienia międzynarodowe dotyczące pomocy prawnej w zakresie ścigania przestępstw komputerowych.
Działania w tym kierunku są już podejmowane na różnych forach międzynarodowych. Odnośnie do obszaru Unii Europejskiej przejawiają się one nie tylko w próbach usprawnienia istniejących już instytucji (czego przykładem jest END), lecz także w dostrzeganiu konieczności podjęcia konkretnych działań w celu rozwiązania problemów dotyczących ustalania jurysdykcji i egzekwowania przepisów w cyberprzestrzeni60. W stanowisku wyrażonym w rezolucji Parlamentu Europejskiego z 3 października 2017 r.61 słusznie podkreślono, że obecnie funkcjonujące fragmentaryczne ramy prawne mogą stwarzać trudności również dla dostawców usług, starających się wykonywać żądania organów ścigania. Można wyrazić ostrożną nadzieję, że planowane przyjęcie rozporządzenia o dowodach elektronicznych, o ile nie rozwiąże wszelkich istniejących problemów, usprawni funkcjonowanie wymiaru sprawiedliwości w zakresie transgranicznego pozyskiwania dowodów cyfrowych w Unii Europejskiej. Niezwykle ważne, także dla innych państw, mogą okazać się prace prowadzone nad drugim protokołem dodatkowym do Konwencji o cyberprzestępczości, choć obecny etap prac jest zbyt wczesny, aby móc ocenić przyszłe rozwiązania. Prawidłowym kierunkiem działań jest prowadzenie debaty na temat skuteczniejszego zwalczania cyberprzestępczości, czego istotnym elementem jest przyjęcie sprawnych i względnie uniwersalnych procedur dowodowych, także w wymiarze globalnym.
__________________________________
1 S. Waltoś, Proces karny. Zarys systemu, wyd. LexisNexis, Warszawa 2008, s. 377, 379.
2 Por. uchwała Sądu Najwyższego z 21 marca 2000 r., sygn. I KZP 60/99, Orzecznictwo Sądu Najwyższego Izba Karna i Izba Wojskowa 2000, nr 3–4, poz. 26. Por. P. Kosmaty, Podsłuch procesowy – zamierająca instytucja walki z przestępczością, „Prokurator” 2009, nr 2, s. 16
3 I. Dembowska, Wykorzystanie materiałów zgromadzonych podczas stosowania operacyjnej i procesowej kontroli rozmów (postulaty de lege lata), Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego, http://www.bibliotekacyfrowa.pl/Content/58879/02_Izabela_Dembowska.pdf, dostęp 19 czerwca 2020 r.
4 VoIP, Voice over Internet Protocol, polega na zamianie treści rozmowy na dane cyfrowe, a następnie ich transferze za pośrednictwem sieci teleinformatycznej pomiędzy rozmówcami.
5 D. Świecki (red.), Kodeks postępowania karnego, Wyd. Wolters Kluwer Polska, s. 877
6 L. Paprzycki (red.), J. Grajewski, S. Steinborn, Komentarz aktualizowany do art. 424 kodeksu postępowania karnego, LEX 2015.
7 Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2019 r. poz. 2460 ze zm.).
8 Szyfrowanie i deszyfrowanie wiadomości na urządzeniach końcowych przez programy służące komunikacji za pośrednictwem sieci staje się współcześnie standardem i stosuje je wielu popularnych dostawców (oferują je takie programy, jak WhatsApp czy Signal). Chociaż rozwiązanie to nie gwarantuje bezpieczeństwa komunikacji w każdej sytuacji, jest bardzo silnym narzędziem ochrony prywatności. Zob. L. Newman, Encrypted mesaging isn’t magic, Wired z 14 czerwca 2018 r., https://www.wired.com/story/encrypted-messaging-isnt-magic/, dostęp 19 czerwca 2020 r
9 S. Waltoś, Proces karny. Zarys systemu, Warszawa 2003, s. 368.
10 P. Konieczny, 3 sposoby na podsłuch telefonu komórkowego… i rady jak podsłuchu uniknąć, „Niebezpiecznik” z 26 października 2013 r., https://niebezpiecznik. pl/post/3-sposoby-na-podsluch-telefonu-komorkowego/, dostęp 19 czerwca 2020 r.
11 A. Kiedrowicz, Zagadnienie kontroli przekazów informacji w ramach telefonii internetowej, „Prokuratura i Prawo” 2008, nr 10, s. 130; A. Lach, Dowody elektroniczne…, s. 74; M. Szachnitowski, Dowód elektroniczny w postępowaniu karnym, w: P. Czarnecki, M. Czerwińska (red.), Katalog…, s. 200
12 A. Lach, Zwalczanie nielegalnych treści w Internecie, Toruń 2015, s. 15.
13 W poprzednim stanie prawnym do kosztów opracowania danych udostępnianych na podstawie art. 18 ust. 6 uśde należało stosować art. 619 § 1 w zw. z art. 618 § 1 kpk (por. uchwała Sądu Najwyższego z 30 września 2014 r., sygn. I KZP 18/14, Baza Orzeczeń Sądu Najwyższego).
14 L. Paprzycki (red.), J. Grajewski, S. Steinborn, Komentarz…, komentarz do art. 218 kpk.
15 Ustawa z dnia 24 kwietnia 2009 r. o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw (Dz. U. z 2009 r. Nr 85, poz. 716)
16 5 Rejestr przedsiębiorców telekomunikacyjnych prowadzony jest przez Urząd Komunikacji Elektronicznej i dostępny online: https://bip.uke.gov.pl/rpt/, dostęp 19 czerwca 2020 r.
17 Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji – do gromadzenia wykazów połączeń telefonicznych i przekazów informacji oraz sposobów zabezpieczenia danych informatycznych (Dz. U. z 2004 r. Nr 100, poz. 1023).
18 Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE
19 Por. z wypowiedzią A. Lacha przytoczoną w: G. Nauka, VI edycja seminarium z cyklu „Prawnicza informatyka korporacyjna” nt. „Dowody elektroniczne w postępowaniu karnym” (Warszawa, 12 marca 2008 r.), „Prokuratura i Prawo” 2008, nr 7–8, s. 251.
20 J. Kudła, A. Staszak, Procesowa i operacyjna kontrola korespondencji przechowywanej w tzw. chmurze, „Prokuratura i Prawo” 2017, nr 7–8, s. 37, 47–49.
21 Podobnie też: M. Rogalski, Udostępnianie danych telekomunikacyjnych sądom i prokuratorom, „Prokuratura i Prawo” 2015, nr 12, s. 65–66; T. Grzegorczyk, Kodeks postępowania karnego. Komentarz, Kraków 2005, s. 590; J. Skorupka (red.), Kodeks postępowania karnego. Komentarz, Warszawa 2016, s. 505–506; A. Lach, Uzyskiwanie dowodów w ramach kontroli korespondencji w procesie karnym, w: B. Opaliński, M. Rogalski (red.), Kontrola korespondencji. Zagadnienia wybrane, Warszawa 2018, s. 71.
22 Realizując wymogi wynikające m.in. z dyrektywy 2002/58/WE i przepisów Konstytucji RP. Zob. W. Skrzydło, Konstytucja Rzeczypospolitej Polskiej. Komentarz, Warszawa 2013, s. 145.
23 A. Krasuski, Prawo telekomunikacyjne – komentarz, Warszawa 2010, s. 601.
24 Art. 2c dyrektywy 2002/21/WE Parlamentu Europejskiego i Rady z dnia 7 marca 2002 r. w sprawie wspólnych ram regulacyjnych sieci i usług łączności elektronicznej (dyrektywa ramowa).
25 Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej).
26 Uchwała Sądu Najwyższego z 30 września 2014 r., sygn. I KZP 18/14. Por. postanowienie Sądu Okręgowego we Wrocławiu z 24 kwietnia 2014 r., sygn. III Kp 307/14, Portal Orzeczeń Sądów Powszechnych. (W związku z obecnie obowiązującym brzmieniem ustawy o świadczeniu usług drogą elektroniczną orzeczenia te są częściowo nieaktualne w zakresie rozstrzygnięcia o ponoszeniu kosztów przekazania danych organom ścigania).
27 Dodatkowo warto rozważyć, że z brzmienia art. 218 kpk wyraźnie wynika możliwość uzyskania na jego podstawie dostępu do korespondencji, a więc niejako wprost uchylałoby to obowiązującą w tym zakresie tajemnicę (w szczególności w związku z art. 236a kpk)
28 A. Lach, Uzyskiwanie dowodów w ramach kontroli korespondencji w procesie karnym, w: B. Opaliński, M. Rogalski (red.), Kontrola korespondencji. Zagadnienia wybrane, Warszawa 2018, s. 73. Por. K. Szymielewicz, M. Szumańska, Access of public authorities to the data of Internet service users – seven issues and several hypotheses, Warszawa 2013, s. 27
29 P. Telusiewicz, Treść SMS jako wątpliwy dowód w procesie cywilnym, w: J. Misztal- -Konecka, G. Tylec, Ewolucja prawa polskiego pod wpływem technologii informatycznych. Elektroniczne aspekty wymiaru sprawiedliwości, Lublin 2012, s. 178–180.
30 M. Siedlecki, Pozyskiwanie danych telekomunikacyjnych w postępowaniu przygotowawczym, w: P. Czarnecki, M. Czerwińska (red.), Katalog…,
31 Por. A. Lach, Zwalczanie…, s. 15
32 M. Siwicki, Podstawy określenia jurysdykcji cyberprzestępstw na gruncie polskiego ustawodawstwa karnego w świetle międzynarodowych standardów normatywnych, „Palestra” 2013, nr 3–4, s. 107.
33 Przyjęcie nowej dyrektywy jest bezpośrednio związane z rozwojem rynku usług cyfrowych, a jak stanowi jej preambuła, „[n]ależy zaktualizować i uzupełnić decyzję ramową Rady 2001/413/WSiSW, tak by ująć dodatkowe przepisy dotyczące przestępstw, w szczególności odnoszące się do fałszerstw komputerowych, kar, zapobiegania przestępstwom, wsparcia dla ofiar i współpracy transgranicznej”.
34 Istnieje wiele usług tego typu świadczonych nieodpłatnie: poczta elektroniczna czy zdalnie udostępniana przestrzeń dyskowa (wymienić można przykładowo: Google Drive, Dropbox). Warto pamiętać, że „darmowość” usług tego typu nierzadko wiąże się z wykorzystywaniem danych o użytkownikach i ich aktywności w celach marketingowych. Problem ten dotyczy w jeszcze większym stopniu mediów społecznościowych i wszelkich innych rozwiązań dostarczanych przez korporacje IT. Coraz bardziej uzasadniony jest pogląd, w myśl którego „rzeczywistymi” użytkownikami tych usług są reklamodawcy, a nie osoby fizyczne. Zob. m.in. R. McNamee, Zucked: Waking up to the Facebook catastrophe, Penguin Press 2019.
35 A. Pichan, M. Lazarescu, S. Teng Soh, Cloud forensics: technical challenges, solutions and comparative analysis, „Digital Investigation” 2015, nr 13, s. 39.
36 Microsoft, Chmura obliczeniowa: korzyści społeczne, szanse gospodarcze, wyzwania regulacyjne, Presscom 2018, s. 11–19; P. Giraud, How cloud is driving the next industrial revolution, Oracle, https://www.oracle.com/uk/cloud/paas/features/next-industrial-revolution.html, dostęp 19 czerwca 2020 r.
37 A. Krasuski, Chmura obliczeniowa. Prawne aspekty zastosowania, Warszawa 2018, s. 35.
38 Biorąc pod uwagę dynamiczny rozwój branży, było to już dość dawno temu. Stąd postuluje się obecnie jej zaktualizowanie. Zob. C. Miyachi, What is „cloud”? it is time to update the NIST definition?, „IEEE Cloud Computing” 2018, nr 5(3), s. 6–11.
39 P. Mell, T. Grance, The NIST definition of cloud computing, https://csrc.nist.gov/ publications/PubsSPs.html#800-145, dostęp 19 czerwca 2020 r.
40 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
41 Szczegółowy opis różnych technologicznych i organizacyjnych wariantów usług świadczonych w chmurze przedstawił m.in. A. Krasuski, Chmura…
42 P. Opitek, Wybrane…, s. 66. Por. B. Hay, K. Nance, M. Bishop, Storm Cloud Rising: security challenges for IaaS Cloud computing, Proceedings of the 2011 44th Hawaii International Conference on System Sciences (HICSS) 2011, s. 1–7.
43 Dyrektywa Parlamentu Europejskiego i Rady 2014/41/UE z dnia 3 kwietnia 2014 r. w sprawie europejskiego nakazu dochodzeniowego w sprawach karnych, dalej: dyrektywa END. Warto pamiętać, że w jej stosowaniu nie uczestniczą Dania i Irlandia.
44 Ustawa z dnia 10 stycznia 2018 r. o zmianie ustawy – Kodeks postępowania karnego oraz niektórych innych ustaw (Dz. U. z 2018 r. poz. 201).
45 Akt Rady z dnia 29 maja 2000 r. ustanawiający, zgodnie z art. 34 Traktatu o Unii Europejskiej, Konwencję o wzajemnej pomocy w sprawach karnych pomiędzy państwami członkowskimi Unii Europejskiej.
46 Rozporządzenie Ministra Sprawiedliwości z dnia 7 kwietnia 2016 r. – Regulamin wewnętrznego urzędowania powszechnych jednostek organizacyjnych prokuratury (Dz. U. z 2017 r. poz. 1206 ze zm.), dalej: rozporządzenie Ministra Sprawiedliwości z dnia 7 kwietnia 2016 r. – Regulamin. Zob. przepisy działu IV
47 Decyzja Ramowa Rady 2008/978/WSiSW z dnia 18 grudnia 2008 r. w sprawie europejskiego nakazu dowodowego dotyczącego przedmiotów, dokumentów i danych, które mają zostać wykorzystane w postępowaniach w sprawach karnych.
48 G. Krysztofiuk, Europejski nakaz dochodzeniowy, „Prokuratura i Prawo” 2015, nr 12, s. 82–83.
49 P. Opitek, Wybrane…, s. 70.
50 Terminologia stosowana w międzynarodowych dokumentach prawnych i urzędowych często stosuje, nieprawidłowe z kryminalistycznego punktu widzenia, pojęcie „dowody elektroniczne”.
51 Wniosek Komisji Europejskiej z 17 kwietnia 2018 r. dot. rozporządzenia Parlamentu Europejskiego i Rady w sprawie europejskiego nakazu wydania dowodów dotyczącego elektronicznego materiału dowodowego w sprawach karnych i europejskiego nakazu zabezpieczenia dowodów dotyczącego elektronicznego materiału dowodowego w sprawach karnych (dalej: rozporządzenie o dowodach elektronicznych, RODE), https://eurlex.europa. eu/legalcontent/PL/TXT/?uri=CELEX%3A52018PC0225, dostęp 19 czerwca 2020 r., s. 2.
52 Decyzja Rady 2009/820/WPZiB z dnia 23 października 2009 r. w sprawie zawarcia w imieniu Unii Europejskiej Umowy o ekstradycji pomiędzy Unią Europejską a Stanami Zjednoczonymi Ameryki oraz Umowy o wzajemnej pomocy prawnej między Unią Europejską a Stanami Zjednoczonymi Ameryki; decyzja Rady 2010/616/UE z dnia 7 października 2010 r. w sprawie zawarcia Umowy między Unią Europejską a Japonią o wzajemnej pomocy prawnej w sprawach karnych.
53 P. Opitek, Claryfying Lawful Overseas Use Data Act – nowy model pozyskiwania danych cyfrowych w sprawach karnych, Instytut Kościuszki, kwiecień 2018, https://ik.org. pl/wp-content/uploads/brief-programowy_clarifying-lawful-overseas-use-data-act.pdf, dostęp 19 czerwca 2020 r.
54 P. Opitek, Wybrane…, s. 71
55 Tak uznano w strategii bezpieczeństwa cybernetycznego Unii Europejskiej z 2013 r.: wspólny komunikat Komisji i Wysokiego Przedstawiciela Unii ds. Zagranicznych i Polityki Bezpieczeństwa w sprawie strategii bezpieczeństwa cybernetycznego Unii Europejskiej: otwarta, bezpieczna i chroniona cyberprzestrzeń.
56 W momencie przygotowania niniejszego tekstu udostępniona jest robocza wersja propozycji treści wspomnianego protokołu dodatkowego, https://rm.coe. int/t-cy-2018-23- provisional-text-protocol-provisions/1680a00e6e, dostęp 27 października 2020 r.
57 T. Minárik, Council of Europe ponders a new treaty on cloud evidence, https://ccdcoe.org/council-europe-ponders-new-treaty-cloud-evidence.html, dostęp 19 czerwca 2020 r.
58 I. James, P. Gladyshev, A survey of mutual legal assistance involving digital evidence, „Digital Investigation” 2016, nr 18, s. 23–32.
59 P. Opitek, Wybrane…, s. 68.
60 Konkluzje Rady Unii Europejskiej dotyczące usprawnienia wymiaru sprawiedliwości w sprawach karnych w cyberprzestrzeni, ST9579/16, http://www.consilium.europa.eu/pl/ press/pressreleases/2016/06/09/criminal-activities-cyberspace/, dostęp 19 czerwca 2020 r.
61 Rezolucja Parlamentu Europejskiego z dnia 3 października 2017 r. w sprawie walki z cyberprzestępczością, 2017/2068(INI).
Artykuł pochodzi z książki Lewulis Piotr, Dowody cyfrowe – teoria i praktyka kryminalistyczna w polskim postępowaniu karnym, Wydawnictwa Uniwersytetu Warszawskiego, 2021, s. 95-118.