| Security quiz |
Wetgeving: Virussen
[ Inleiding ] [ Strafrechtelijke aansprakelijkheid ] [ Burgerrechtelijke aansprakelijkheid ] [ Aansprakelijkheid van Internet Service Providers ]
Bij het opzettelijk vernielen of
beschadigen van andermans goed stelt zich geen probleem: dit wordt bestraft in België en
in de meeste landen.
De toepassing van bestaande
strafrechtelijke kwalificaties op de vernietiging of beschadiging van computergegevens is
echter problematisch. Ze vinden immers geen toepassing op immateriële zaken
(computerprogramma's en andere elektronische gegevens).
Hieraan is een oplossing geboden door de Wet van 28 november 2000 inzake informaticacriminaliteit (B.S. 3 februari 2001). Door deze wet wordt een artikel 550ter ingevoerd in het Strafwetboek.
Naast het strafrechtelijke aspect
van computervirussen, wordt ook de burgerrechtelijke aansprakelijkheid van de dader
besproken. Ook wordt de situatie geanalyseerd waarin de dader niet kan worden
geïdentificeerd.
Strafrechtelijke aansprakelijkheid
[ Inleiding
] [ Strafbare gedragingen ]
Het creëren van een
virus kan juridisch worden omschreven als "datamanipulatie, het wijzigen, aanpassen
of verwijderen van data of gegevens uit computers".
Voor de Wet inzake Informaticacriminaliteit kende ons strafrecht geen bepalingen die het verspreiden van virussen strafbaar stelden. Bestaande strafbepalingen konden ook niet naar analogie toegepast op deze nieuwe gedraging, aangezien zulke "analoge interpretatie" in ons strafrecht niet toelaatbaar is.
Het aanmaken en verspreiden van virussen valt wel onder artikel 6 van de Wet inzake informaticacriminaliteit, dat een artikel 550ter in het Strafwetboek invoert.
De tekst van artikel 505ter
Sw luidt:
"§1. Hij die, met het oogmerk om te schaden, rechtstreeks of onrechtstreeks, gegevens in een informaticasysteem invoert, wijzigt, wist, of met enige ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem verandert, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen.
§2. Hij die, tengevolge van het plegen van het misdrijf bedoeld in §1, schade
berokkent aan gegevens in dit of enig ander informaticasysteem, wordt gestraft met
gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig frank tot
vijfenzeventigduizend frank of met een van die straffen alleen.
§3. Hij die, tengevolge van het plegen van een van de misdrijven bedoeld in §1, de
correcte werking van dit of enig ander informaticasysteem geheel of gedeeltelijk
belemmert, wordt gestraft met gevangenisstraf van een jaar tot vijf jaar en met geldboete
van zesentwintig frank tot honderdduizend frank of met een van die straffen alleen.
§4. Hij die, met bedrieglijk opzet, of met het oogmerk om te schaden, gegevens, die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, ontwerpt, ter beschikking stelt, verspreidt of verhandelt, terwijl hij weet dat deze gegevens aangewend kunnen worden om schade te berokkenen aan gegevens of, geheel of gedeeltelijk, de correcte werking van een informaticasysteem te belemmeren, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar, en met geldboete van zesentwintig frank tot honderdduizend frank, of met een van die straffen alleen.
§5. De straffen bepaald in de §§ 1 tot 4 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 210bis, 259bis, 314bis, 504quater of 550bis.."
Welke gedragingen worden door de wet strafbaar
gesteld?
Het antwoord op deze vraag moet
worden uitgesplitst naar de materialiteit van de gedraging en het morele aspect van de gedraging.
Het basismisdrijf wordt omschreven
in §1, nl. het, rechtstreeks of onrechtstreeks, invoeren, wijzigen of wissen van gegevens
in een informaticasysteem of met enig ander technologisch middel de mogelijke aanwending
van gegevens in een informaticasysteem verandert.
Het gaat dus om het invoeren,
wijzigen, wissen of, meer algemeen, "de aanwending veranderen" van gegevens in
een systeem.
De bestraffing wordt zwaarder indien
(een van) deze gedragingen tot gevolg heeft:
Tenslotte wordt in §4 ook strafbaar
gesteld het ontwerpen, ter beschikking stellen, verspreiden of verhandelen van gegevens
die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem,
die kunnen aangewend worden om:
Deze paragraaf vormt de basis voor
het bestraffen van het ontwerpen en ter beschikking stellen van programma's die
computersabotage vereenvoudigen of veroorzaken. De wetgever dacht
hierbij vooral aan de ontwikkeling en verspreiding van computervirussen en virusgenerators
(programma's die computersabotage vereenvoudigen of veroorzaken, "genereren").
Om strafbaar te zijn, is het niet
voldoende dat voornoemde gedragingen werden gesteld. Vereist is dat (een van) de
gedragingen werden gesteld met een bepaalde intentie. Ook de vereiste intentie wordt in
de wet omschreven.
Voor het basismisdrijf uit §1 is
vereist dat het werd gepleegd met de bedoeling om te schaden. Er wordt dus niet
vereist dat er effectief schade werd toegebracht. Het volstaat dat de intentie daartoe
aanwezig was om strafbaar te zijn. Schade wordt in §1 niet omschreven. Derhalve wordt
niet enkel schade aan een informaticasysteem, maar om het even welke schade wordt bedoeld.
De misdrijven van §2 en §3 voeren
geen nieuw moreel element aan dat van §1 toe.
Het misdrijf van §4 vereist dat de
dader weet dat de gegevens aangewend kunnen worden om schade te berokkenen aan gegevens
of, geheel of gedeeltelijk, de correcte werking van een informaticasysteem te belemmeren
en ze ofwel met bedrieglijk opzet, ofwel met het oogmerk om te schaden
ontwerpt, ter beschikking stelt, verspreidt of verhandelt.
Door de noodzaak van een bedrieglijk
opzet of een oogmerk op te schaden, wil de wetgever vermijden dat "onschuldige"
programma's, die echter ook voor minder legale doeleinden, zoals het creëren van
computervirussen, kunnen gebruikt worden, verboden worden. We denken bijvoorbeeld aan
computerprogramma's die netwerkbeheerders toelaten om fouten op het netwerk op te sporen
en te herstellen, maar die ook voor sabotage kunnen gebruikt worden.
Burgerrechtelijke aansprakelijkheid
[ Inleiding
] [ Algemene beginselen ] [ Bewust
aanmaken/verspreiden van een virus ] [ Onbewust verspreiden van
een virus ]
Wanneer we de burgerrechtelijke
aansprakelijkheid behandelen bij de creatie/verspreiding van virussen, gaat het vooral
over de aansprakelijkheid buiten een contractuele relatie. De basis van deze
buitencontractuele aansprakelijkheid ligt vervat in artikel 1382 van het Burgerlijk
Wetboek: wie door zijn fout schade berokkent aan een ander, dient deze schade te
vergoeden.
De algemene beginselen van de buitencontractuele aansprakelijkheid
De buitencontractuele
aansprakelijkheid vereist 3 elementen:
Iemand begaat een fout, indien hij een
rechtsregel overtreedt of indien hij niet handelt zoals een normaal huisvader zou hebben
gehandeld in dezelfde situatie. Een normaal huisvader handelt vooruitziend (d.i. hij
probeert de gevolgen van zijn handelen te voorzien) en voorzichtig (hij probeert de
voorzienbare kwalijke gevolgen van zijn handelen te vermijden).
Het bewust aanmaken en/of verspreiden van een virus
Een foutieve gedraging?
Een onrechtmatige daad kan bestaan
in de schending van een specifieke regel of in een inbreuk op de algemene
zorgvuldigheidsnorm.
Gaat de creatie of verspreiding van
een virus in tegen een specifieke regel? Zoals reeds besproken onder het strafrechtelijk
luik, is in de Belgische wetgeving nog geen specifieke regel voorhanden die de creatie of
verspreiding van een virus verbiedt, bestraft, of aan banden legt. Eens de Wet inzake
informaticacriminaliteit in werking zal treden, zal een specifieke regel wel voorhanden
zijn en zal het slachtoffer van het virus op die basis schadevergoeding van de dader
kunnen eisen.
Schendt de creatie of verspreiding van een virus de algemene zorgvuldigheidsnorm? De maker of verspreider van een virus gedraagt zich geenszins als een normaal vooruitziend en voorzichtig persoon. Op deze basis kan steeds schadevergoeding worden gevorderd.
Een schade en een oorzakelijk
verband?
De dader moet het slachtoffer volledig schadeloos stellen, indien er een oorzakelijk
verband kan bewezen worden tussen het virus en de schade aan een computer of een ander
informaticasysteem of één van hun onderdelen. Dit betekent dat elke schade (ook de
onrechtstreekse en morele schade) moet worden vergoed.
Het slachtoffer zal dus moeten
bewijzen (1) de identiteit van de dader, (2) de schade, die vastgesteld moet kunnen worden
en (3) het oorzakelijk verband tussen de aanwezigheid van het virus en de schade.
Het onbewust verspreiden van een virus
Inleiding
De mogelijke aansprakelijkheid van
professionele tussenpersonen ("derden" of de zogenaamde "providers")
tussen de maker van het virus en de ongelukkige ontvanger van het virus wordt verder
behandeld. Hier bespreken we enkel de aansprakelijkheid van privé-gebruikers van een
computernetwerk, zowel een reëel netwerk (het echte netwerk, zoals internet), als het
virtueel netwerk (het pseudo-netwerk dat ontstaat bij het gemeenschappelijk gebruik van
externe elementen, zoals cd-rom's, diskettes, zip-drives …).
Het onbewust verspreiden van een
virus is vandaag niet strafbaar en zal ook in de toekomstige Wet inzake
informaticacriminaliteit geen strafbare gedraging uitmaken. Het onbewust verpreiden
schendt aldus geen specifieke regel.
De vraag stelt zich of de onbewuste
verspreiding van een virus een inbreuk op de algemene zorgvuldigheidsnorm kan uitmaken.
Verspreiding via het
De meeste virussen worden verspreid
via het internet, en dan vooral via attachments (bijgevoegde bestanden) bij e-mail
(elektronic mail - elektronische post). Er zijn virussen die zichzelf verspreiden via jouw
e-mail-software zonder dat jij er iets voor moet doen. Ben je aansprakelijk voor de schade
die zulk virus aan anderen aanricht?
Elkeen moet zich ten allen tijde gedragen als normaal
vooruitziend en voorzichtig persoon. De zorgvuldigheidsnorm eist van de doorsnee
internet-gebruiker dat hij de mogelijk nadelige gevolgen van zijn handelen probeert te
voorzien én te voorkomen.
Als internetgebruiker moet je dus rekening houden met de
waarschuwingen die je tegenkomt (van providers, van sites, van mede-gebruikers en zelfs
van je eigen computer).
Attachments bij e-mail van onbekenden laat je beter
ongeopend of stuur je via een virusscanner.
De aanwezigheid van software ter preventie en behandeling
van virussen is trouwens, gezien de huidige algemene kennis over internet, geen
luxeproduct, maar een onmisbaar instrument voor élke zorgvuldige en vooruitziende
computergebruiker.
De plichten van een privé-persoon moeten daarom inhouden
dat hij zich er grondig van vergewist of de informatie die hij binnenhaalt op zijn
computer en eventueel verder rondstuurt, veilig is. Het gebruik van een goede én recente
virusscanner behoort hier ook toe. Slechts indien hij zich hieraan houdt, kan het hem niet
kwalijk worden genomen dat er virussen door het net glippen.
Verspreiding via andere media
Hier gelden dezelfde principes als
voor het internet: een normaal vooruitziend en zorgvuldig computergebruiker vormt de norm
aan de welke we ons spiegelen voor de beoordeling van de aansprakelijkheid. Dit betekent
dat er geen verwijten gemaakt kunnen worden aan het adres
van de computergebruiker die elke keer externe dragers op zijn systeem worden aangesloten,
ze eerst langs een virusscanner laat passeren alvorens verder te werken, of die alvorens
informatie over te brengen naar zulk een externe drager zich er eerst van overtuigd dat
zijn informatie veilig is.
Aansprakelijkheid van Internet Service Providers
Een belangrijke vraag die moet
onderzocht worden is in welke mate de internet service providers aansprakelijk kunnen
worden gesteld voor de informatie die via hun diensten verspreid worden.
De auteur of aanbieder van
computervirussen zal gebruik maken van een service provider om zijn informatie op het
internet te brengen. Ook de consument krijgt via zijn service provider toegang tot het
netwerk en dus tot de virussen.
Voor een omschrijving en grondige
analyse van de aansprakelijkheid van de Service Providers verwijzen we naar het deel over
de Internet Service Providers.
Mutatis mutandis moeten de daar omschreven regels worden toegepast op het verspreiden van virussen via Internet.
Bovendien moet rekening worden gehouden met de Wet inzake informaticacriminaliteit, die het ontwerpen, ter beschikking stellen, verspreiden en verhandelen van virussen strafbaar stelt.
 |
The PISA-project is financed by the OSTC, Belgian Federal Office for Scientific,
Technical and Cultural Affairs (DWTC - SSTC). Project description of PISA |
URL: http://pisa.belnet.be/pisa/pisa.htm |