Teisiniai aspektai

Tapatybės vagystės buvo ir yra opi ir rimta problema. Jų kasmet daugėja. Tai yra greičiausiai plintanti XXI amžiaus nusikalstamumo sritis. O nusikaltėliai tampa vis išradingesni, randa naujų informacijos gavimo būdų, jų nusikaltimai nepaliaujamai tobulėja. Lietuvoje teisės aktuose nėra įtvirtintos tapatybės vagystės sąvokos, nėra sankcijų už šią konkrečią veiką. Tapatybės vagystė paprastai suprantama kaip pasinaudojimas kito asmens tapatybę identifikuojančiais duomenimis nusikaltimų tikslais. Ne visus neteisėto ar netinkamo duomenų tvarkymo, teikimo, gavimo ir pan. atvejus būtų galima įvardyti kaip tapatybės vagystę. Neretai tai gali būti net ne nusikaltimo, o  administracinio teisės pažeidimo požymių turintys nusižengimai, tačiau ir šiems pažeidimams yra būtina užkirsti kelią.

Tenka pripažinti, kad norint sumažinti šios sparčiai augančios nusikalstamumo srities nusikaltimų riziką, reikia padaryti taip, kad asmens duomenis būtų kuo sunkiau panaudoti, o ne sunkiau pavogti. Tačiau tai dar sunkesnis uždavinys, kurį tikrai turėsime spręsti.

Trumpai aptarkime tapatybės vagystės teisinius aspektus Lietuvoje:

  • Lietuvos Respublikos civilinio kodekso 2.20 straipsnio 1 dalis numato, kad neleidžiama įgyti teisių ir pareigų prisidengiant kito asmens vardu. Civilinio kodekso 2.23 straipsnio 3 dalyje numatyta, kad draudžiama rinkti informaciją apie privatų asmens gyvenimą pažeidžiant įstatymus. Privataus asmens gyvenimo duomenų, nors ir atitinkančių tikrovę, paskelbimas, pažeidžiant įstatymą bei kiti neteisėti veiksmai, kuriais pažeidžiama teisė į privatų gyvenimą, yra pagrindas pareikšti ieškinį teismui dėl tokiais veiksmais padarytos turtinės ir neturtinės žalos atlyginimo.
  • Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo (toliau – ADTAĮ) 1 straipsnio 1 dalyje įtvirtinta, kad šio įstatymo tikslas – ginti žmogaus privataus gyvenimo neliečiamumo teisę tvarkant asmens duomenis. Pažymėtina, kad asmens duomenų tvarkymas laikomas teisėtu tik tuo atveju, jeigu jis atitinka ADTAĮ 3, 5, o dėl asmens kodo ir 7 straipsnių reikalavimus, t. y. asmens duomenys teikiami esant iš anksto apibrėžtam ir teisėtam tikslui, tik tokios apimties, kurios reikia nustatytam tikslui pasiekti, ir tik esant nors vienam iš ADTAĮ 5 straipsnio 1 ir (ar) 2 dalyse numatytų teisėto tvarkymo kriterijų. Asmenys, pažeidę ADTAĮ, atsako įstatymų nustatyta tvarka (administracinė atsakomybė).
  • Lietuvos Respublikos elektroninių ryšių įstatymas (toliau – ERĮ) 69 straipsnio 1 dalyje nustatyta, kad naudoti elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Ši ERĮ nuostata yra taikoma ne tik tuo atveju, kai tiesioginės rinkodaros pasiūlymai ar kitokio pobūdžio nepageidaujami el. laiškai (spam) yra siunčiami elektroniniu paštu, bet ir telefonu trumposiomis (SMS) žinutėmis. Pažymėtina, kad vadovaudamiesi ADTAĮ 23 straipsnio 1 dalies 1 punktu, Jūs turite teisę iš duomenų valdytojo gauti informaciją, iš kokių šaltinių ir kokie Jūsų asmens duomenys surinkti.

Pagal ERĮ 69 straipsnio 3 dalį draudžiama tiesioginės rinkodaros tikslu siųsti elektroninio pašto pranešimus slepiant siuntėjo, kurio vardu informacija siunčiama, tapatybę arba nenurodant galiojančio adreso, kuriuo gavėjas galėtų pareikalauti nutraukti tokios informacijos siuntimą. Nebenorėdami daugiau gauti tiesioginės rinkodaros pasiūlymų, Jūs turėtumėte apie tai pranešti siuntėjui. Pagal ADTAĮ 27 straipsnio 3 dalį, turite teisę nesutikti, kad būtų tvarkomi Jūsų asmens duomenys tiesioginės rinkodaros tikslais nenurodydami motyvų. Tokiu atveju tiesioginės rinkodaros siuntėjas privalo nedelsdamas ir nemokamai nutraukti asmens duomenų tvarkymo veiksmus bei informuoti duomenų gavėjus.

ERĮ taip pat numato pareigą viešųjų ryšių tinklų ir (arba) viešųjų elektroninių ryšių paslaugų teikėjams įgyvendinti tinkamas techninių ir organizacinių priemones savo teikiamų paslaugų saugumui ir vientisumui užtikrinti.

  • 2015 m. sausio 1 d. įsigaliojo Lietuvos Respublikos kibernetinio saugumo įstatymas. Jį galima rasti www.lrs.lt. Šis įstatymas nustatė kibernetinio saugumo užtikrinimo sistemą Lietuvoje. Jo pagrindu kuriamas Kibernetinio saugumo informacinis tinklas, t. y. saugi informacijos mainų platforma, kurios paskirtis yra dalytis informacija apie galimus ir įvykusius kibernetinio saugumo incidentus, taip pat rekomendacijomis, nurodymais, techniniais sprendimais ir kitomis priemonėmis, užtikrinančiomis kibernetinį saugumą ir bendradarbiavimą tarp tinklo narių kibernetinio saugumo srityje. Neabejotinai įstatymas sukūrė palankesnes sąlygas Lietuvoje kibernetiniam saugumui užtikrinti.
  • Lietuvos Respublikos administracinių teisės pažeidimų kodekse (toliau – ATPK) nemažai straipsnių, numatančių atsakomybę už administracinius nusižengimus, kurie glaudžiai susiję su tapatybės vagystėmis, pavyzdžiui: 154 straipsnis „Elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimas“, 214(14) straipsnis „Neteisėtas asmens duomenų tvarkymas“, 214(15) straipsnis  „Neteisėtas valstybės informacinių sistemų duomenų tvarkymas“, 214(23) straipsnis „Neteisėtas asmens duomenų tvarkymas ir privatumo apsaugos pažeidimas elektroninių ryšių srityje“, 214(24) straipsnis „Teisės aktų, reglamentuojančių kvalifikuotus sertifikatus sudarančių sertifikavimo paslaugų teikėjų veiklą, pažeidimas“ ir kt.
  • Lietuvos Respublikos baudžiamajame kodekse (toliau – BK) nėra sankcijų už tapatybės vagystę tiek elektroninėje, tiek neelektroninėje erdvėje. Ši veika Lietuvoje iš viso nėra kriminalizuota. Paprastai tapatybės vagystė yra sudedamoji kitų pavojingų veikų dalis. Lietuvoje vyraujanti nuomonė – tapatybės vagystė kaip tokia nėra atskiras pažeidimas, o kai kuriuos tapatybės vagystės epizodus galima traktuoti kaip privatumo, saugumo ar finansinius pažeidimus arba kaip rengimąsi ar pasikėsinimą padaryti tokius pažeidimus. BK numato atsakomybę už: 167 straipsnis „Neteisėtas informacijos apie privatų asmens gyvenimą rinkimas“, 168 straipsnis „Neteisėtas informacijos apie asmens privatų gyvenimą atskleidimas ar panaudojimas“, 182 straipsnis „Sukčiavimas“, 196 straipsnis „Neteisėtas poveikis elektroniniams duomenims“, 197 straipsnis „Neteisėtas poveikis informacinei sistemai“, 198 straipsnis „Neteisėtas elektroninių duomenų perėmimas ir panaudojimas“, 198(1) straipsnis „Neteisėtas prisijungimas prie informacinės sistemos“, 198(2) straipsnis „Neteisėtas disponavimas įrenginiais, programine įranga, slaptažodžiais, prisijungimo kodais ir kitokiais duomenimis“, ir kiti 207, 214, 215, 300 straipsniai. Tiems atvejams, kuriems negalima pritaikyti baudžiamosios atsakomybės, taikoma administracinė atsakomybė.

Tapatybės vagystės elektroninėje erdvėje subjektai ir aukos

Lietuvos mokslininkai Mokslo monografijoje „Tapatybės vagystė elektroninėje erdvėje: socialiniai, elektroninio verslo ir teisinio aspektai“ (autoriai Darius Štitilis, Paulius Pakutinskas, Marius Laurinaitis, Inga Dauparaitė, Vilnius, 2011) išskiria šią elektroninių nusikaltėlių klasifikaciją:

  • Programišiai (hakeriai) (dažniausiai nori tik įsilaužti į sistemą, tačiau ne padaryti žalą).
  • Tipiniai nusikaltėliai (kai programišiai supranta, kad iš savo veiklos gali gauti naudos arba turi kitų nusikalstamų motyvų).
  • Vandalai (tikslas padaryti kuo daugiau žalos, tačiau ne siekiant asmeninės naudos).

Atsižvelgiant į tai, kad tapatybės vagystė elektroninėje erdvėje gali būti įvykdyta pasinaudojant įvairiomis informacinėmis ir ryšio technologijomis, jos subjektus galima klasifikuoti pagal nusikalstamų veikų padarymo būdų kriterijų:

  • Įsilaužėliai /krakeriai (angl. craker) – tai asmenys, įsilaužiantys į informacines sistemas.
  • Frekeriai (angl. phreak) – tai asmenys, kurie vykdo elektroninius nusikaltimus, pasinaudodami elektroniniais ryšiais ir specialiomis priemonėmis perima konfidencialią informaciją.
  • Karderiai (angl. carder) – tai asmenys, vykdantys elektroninius nusikaltimus, susijusius su kreditinių kortelių apyvarta.

Tapatybės vagystės subjektais gali būti bet kas: eilinis elektroninės erdvės naudotojas, studentas, įstaigos darbuotojas ar nusikalstamas susivienijimas. Tarp šių subjektų vienas bendras požymis: jie gerai moka naudotis kompiuteriu, supranta interneto subtilybes, išmano tapatybės nustatymo mechanizmą.

Tapatybės vagystės elektroninėje erdvėje subjektus skatina veikti ir vartotojų technologinių bei saugaus elgesio elektroninėje erdvėje žinių trūkumas, ir ypač sunkus šių nusikaltimų išaiškinamumas.

Tapatybės vagystės elektroninėje erdvėje auka gali bet kas – tiek pavieniai fiziniai asmenys, tiek ir jų grupės, finansų institucijos, kredito įstaigos, privataus ir viešojo sektoriaus institucijos, akademinė bendruomenė, konkreti valstybė ar net tarptautinės bendruomenės dalis, visa ekonomika apskritai ar esminiai valstybės interesai. Aukos patiriama žala ne tik materialinė (finansinė), bet ir neturtinė (stresas, poveikis sveikatai, reputacijos sugadinimas).

Tapatybės vagys nesnaudžia. Jei turite įtarimų, kad Jūsų asmens duomenys buvo ar gali būti prarasti, pasirūpinkite savo duomenų apsauga: pasikeiskite dokumentus, susikurkite naują el. pašto dėžutę, pasikeiskite slaptažodžius ir prisijungimų vardus, jei galima, įdiekite naujas saugumo priemones. Dalį duomenų Jūs tikrai galite apsaugoti arba pakeisti, tačiau ne visus, pavyzdžiui, Lietuvos Respublikos gyventojų registro įstatymo 8 straipsnio 3 dalis numato, kad asmeniui suteiktas asmens kodas yra unikalus ir nekeičiamas. Tai dar viena priežastis imtis visų įmanomų atsargumo ir saugumo priemonių patiems.