Követ el szerzői jogsértést az etikus hacker? 2. rész

A kérdések boncolgatását jogi szempontból az Európai Tanács Szoftver irányelvével (a számítógépi programalkotások szerzői jogi védelméről szóló 91/250/EGK irányelvének módosításait egységes szerkezetbe foglaló 2009/24/EK irányelv; a továbbiakban: Szoftver irányelv) kell kezdenünk, amely a magyar szerzői jogi szabályozás alapja is egyben.

A szoftver visszafejtésének és módosításának joga

A Szoftver irányelv 5. cikk (1) bekezdése foglalja jogszabályi keretbe a szerzői engedély alóli kivételeket, és mondja ki az alábbiakat:

„Külön szerződéses kikötés hiányában a számítógépi program bármely eszközzel és bármely formában, részben vagy egészben történő tartós vagy időleges többszörözéséhez, a számítógépi program lefordításához, átdolgozásához, feldolgozásához és bármely más módon történő módosításához, valamint ezek eredményének többszörözéséhez nem szükséges a jogosult engedélye, ha azokra azért van szükség, hogy a számítógépi programot az azt jogszerűen megszerző személy (az eredeti angol szövegben: „lawful acquirer”) a rendeltetési célnak megfelelően használja, beleértve a hibajavítást is.”

A szerzői jogról szóló 1999. évi LXXVI. törvény (a továbbiakban: Szjt.) a Szoftver irányelv fenti rendelkezéseit többé-kevésbé szó szerint átvette, vannak azonban eltérések a két szöveg között. A Szoftver irányelv fent idézett 5. cikk (1) bekezdését átültető magyar Szjt. 59. § (1) bekezdése az alábbi:

„Eltérő megállapodás hiányában a szerző kizárólagos joga nem terjed ki a többszörözésre, az átdolgozásra, a feldolgozásra, a fordításra, a szoftver bármely más módosítására - ideértve a hiba kijavítását is -, valamint ezek eredményének többszörözésére annyiban, amennyiben e felhasználási cselekményeket a szoftvert jogszerűen megszerző személy a szoftver rendeltetésével összhangban végzi.”

Mire terjed ki a kivétel?

Nézzük, hogy mely felhasználások tekintetében ad kivételt az engedélyezés alól a magyar Szjt. és a Szoftver irányelv:

a) Többszörözés: a Szoftver irányelv 4. cikk 1. bekezdés a) pontja alapján szoftverek esetében kiterjed a szoftver bármilyen módon, bármilyen formában, részben vagy egészben történő többszörözésére, így például betöltésére, képernyőn megjelenítésére, futtatására, átvitelére, tárolására, mentésére.

b) Átdolgozás: a Szoftver irányelv 4. cikk 1. bekezdés b) pontja és a magyar Szjt. 58. § (2) bekezdése alapján ide tartozik a szoftvernek az eredeti programnyelvétől eltérő programnyelvre történő átírása, a szoftver lefordítása és minden olyan módosítása, amelynek eredményeként a szoftverből származó másik új egyéni, eredeti szerzői alkotás jön létre. Az átdolgozási, módosítási jogban tehát a fenti fordítási jog részeként benne foglaltatik a szoftver visszafejtése (angolul reverse engineering/decompilation) is, amelynek eredményeképpen az eredeti forráskód, vagy ahhoz nagyon hasonló forráskód állítható elő. Sem az irányelv, sem a magyar jogszabály nem tesz korlátozást az átdolgozás, lefordítás tekintetében, vagyis azt úgy lehet értelmezni, hogy abban a dekompilációs (visszafejtési) jog is benne foglaltatik.

A módosítási, visszafejtési jog korlátai

A módosítási, visszafejtési jog nem korlátlan.

a) Célhoz kötöttség – konfliktus a magyar és az uniós jogszabály között

A Szoftver irányelv 5. cikk 1. bekezdése hibajavítási, hibamentes működés biztosítása célból engedi meg a szoftver visszafejtését, módosítását, amelyet a magyar Szjt. majdnem szó szerint átvett. Van azonban a magyar jogszabály szövegében egy kicsi, értelmezést zavaró eltérés:

Szoftver irányelv szerint „ha azokra azért van szükség, hogy a számítógépi programot az azt jogszerűen megszerző személy a rendeltetési célnak megfelelően használja, beleértve a hibajavítást is.”

A magyar Szjt. szerint „amennyiben e felhasználási cselekményeket a szoftvert jogszerűen megszerző személy a szoftver rendeltetésével összhangban végzi.”

A fenti különbséget egy gyakorlati példával lehet jól megvilágítani. Ha van egy számlázó program, az irányelv szövege alapján azt akkor lehet módosítani, visszafejteni, átdolgozni, ha az a szoftver rendeltetésszerű, hibamentes működéséhez, például kijavításához szükséges. Ezzel szemben a magyar jogszabály alapján a számlázó program csak akkor módosítható, fejthető vissza vagy dolgozható át, ha az a számlázó program rendeltetésével összhangban történik.

A probléma itt a magyar törvényben a „rendeltetésével összhangban” kitétel, ami nehezen érthető, és zavart kelt. Sem a magyar jogszabály miniszteri indokolása, sem más nem ad magyarázatot arra, hogy mit ért a magyar jogalkotó a szoftver rendeltetésével összhangban történő módosításon. A jogszabály viszont leszögezi, hogy célja a Szoftver irányelv fenti rendelkezésének átültetése volt. Sikerült tehát a magyar jogszabályba úgy átvenni az uniós normát, hogy az a gyakorlatban értelmezhetetlen. A magyar jogszabály alapján pedig önmagában arra a következtetésre is lehetne jutni, hogy a szoftver kódjának visszafejtése vagy a szoftver más módosítása nincs összhangban a szoftver rendeltetésével, így az nem engedélyezett kivétel, hanem adott esetben szerzői jogsértést valósíthat meg.

Az Európai Unióról szóló szerződés 5. cikkében azonban van egy, a tagállami jog értelmezését megkönnyítő szabály, ez pedig az úgynevezett hűség klauzula, amelynek lényege az alábbi:

- a tagállami harmonizált jogszabályt az uniós norma figyelembe vételével kell értelmezni és alkalmazni,

- a magyar jogszabály nem előzheti meg az uniós irányelvet,

- a tagállami bíróság köteles az uniós irányelvet korlátozások nélkül alkalmazni, és köteles a nemzeti jog minden esetlegesen ellentmondó rendelkezését figyelmen kívül hagyni anélkül, hogy ehhez a rendelkezés előzetes, törvényhozás vagy más alkotmányjogi eljárás általi megszüntetését kérnie kellene vagy meg kellene azt várnia.

A hűség klauzula alapján tehát egy esetleges perben a magyar bíróságnak a magyar törvény szövegét az irányelvvel azonos tartalommal kellene figyelembe vennie, amelynek eredményeként a fenti értelmezési nehézség megszűnik. A szoftver bármilyen módosítására, visszafejtésére, fordítására Magyarországon is azért van lehetősége a szoftver jogszerű használójának, hogy a szoftvert a rendeltetési célnak megfelelően használja, beleértve a hibajavítást is.

Nem illeti meg azonban a szoftver jogszerű megszerzőjét a fenti jog, ha annak célja a szoftver továbbfejlesztése, új funkciók kifejlesztése, a szoftverhez hasonló funkciójú más szoftver létrehozása.Ezekben az esetekben a célhoz kötöttség nem valósul meg: a cél nem a meglévő szoftver hibáinak javítása és rendeltetésszerű működésének biztosítása, hanem annál sokkal több. Ezt a korlátozást az etikus hacker nagy valószínűséggel betartja, hiszen az etikus hacker munkájának a célja az, hogy a szoftver rendeltetésszerűen, céljának megfelelően használható legyen, vagyis azt ne tudják feltörni, a sérülékeny pontjait, sebezhetőségét felfedezzék, és a felfedezett hiányosságokat, hibákat ki is javítsák. Az etikus hacker tehát az első feltételnek megfelel.

b) A módosítás, visszafejtés elvégzésére jogosult: a szoftvert jogszerűen megszerző személy (lawful acquirer) – többféle értelmezési lehetőség

Mind a Szoftver irányelv, mind a magyar jogszabály alapján a módosítást, visszafejtést csak a szoftvert jogszerűen megszerző személy (angolul az irányelvben: lawful acquirer) végezheti el, más nem. Ezen feltétel már problémásabb, ugyanis kétirányú feltételt foglal magában.

- Jogszerűen: Jogellenesen megszerzett szoftverre ezek a jogok nem vonatkoznak, vagyis az etikus hacker nem jogosult a megbízója által jogellenesen megszerzett szoftvert módosítani, visszafejteni, ezért a megbízóval kötött szerződésébe mindenképp szükséges belevenni azt a feltételt, hogy a megbízó jogszavatosságot vállal azért, hogy a vizsgálat tárgyát képező szoftvereket jogszerűen szerezte meg, azok felhasználására kifejezetten jogosult, és helytállást is vállal az etikus hacker helyett ezért.

- Szoftvert megszerző személy (acquirer): Csak a szoftvert megszerző személy jogosult ezen módosítást, visszafejtést elvégezni a szoftveren, más személy nem. Ez a feltétel jelenti az uniós és magyar jogban a legnagyobb problémát az etikus hackerek számára, mivel a vizsgálandó szoftvert nem ők, hanem megbízóik szerezték meg, így a jogok a fenti módosításra, visszafejtésre is a megbízóknál vannak.

A magyar szerzői jogi törvény kimondja, hogy a szerzői jogok, felhasználási jogok csak akkor ruházhatók át vagy engedhetők át harmadik személynek, ha azt a licencszerződés kifejezetten megengedi. Ha tehát a licencfeltételek bármely jog másra történő továbbruházását, továbbengedélyezését kifejezetten kizárják, vagy esetleg nem mondanak róla semmit, akkor a szoftvert megszerző személy, vagyis az etikus hacker megbízója a magyar jog alapján nem jogosult a szoftvermódosítási, visszafejtési jogot átadni az etikus hackernek.

Ebből pedig az következik, hogy ilyen esetben – amely a licencek többsége – az az etikus hacker, aki nem a megbízó munkavállalója, hanem külsős megbízott vagy vállalkozó, nem jogosult a szoftvert visszafejteni vagy módosítani még akkor sem, ha egyébként célja a hibák felfedése, kijavítása. Ebben az esetben az etikus hacker elvileg csak addig a pontig mehet el a vizsgálatában, ahol visszafejtésre, szoftverkód módosítására még nem kerül sor.

Ezt a fenti szűk értelmezést igazolhatja az is, hogy ahol a megbízón kívüli harmadik személyeknek, például külsős szoftverfejlesztőknek ad visszafejtési jogot a Szoftver irányelv és a magyar Szjt, ott azt a jogszabály kifejezetten tartalmazza és kimondja. Ilyen például az interoperabilitás érdekében adott visszafejtési, többszörözési jog,: „nincs szükség a jogosult engedélyére, ha a kód többszörözése, illetve lefordítása elengedhetetlen az önállóan megalkotott számítógépi program más programokkal való együttes működtetéséhez szükséges információ megszerzéséhez, feltéve, hogy e cselekményeket az engedéllyel rendelkező személy vagy a program példányának felhasználására jogosult másik személy, vagy ezek nevében az erre felhatalmazott személy végzi” (Szoftver irányelv 6. cikk (1) bekezdés a) pontja, magyar Szjt. 60. § (1) bekezdés a) pontja).

Tehát arra az értelmezésre lehet jutni nyelvtani, logikai szempontból, hogy ahol ilyen kivételt és külön kifejezett szabályt nem alkalmaz a jogalkotó, ott csak és kizárólag a szoftvert jogszerűen használó személynek, vagyis az etikus hacker megbízójának és azok munkavállalóinak – vagy a licencfeltételekben meghatározott munkavállalónak – van joga a szoftvert visszafejteni vagy azt javítási céllal módosítani.

A fenti interoperabilitási célú visszafejtési jognál mind az uniós, mind a magyar jogalkotó azt hozza fel érvként és indokként, hogy ott szükséges a visszafejtéshez programozói szaktudás, ezért indokolt, hogy ne csupán a megbízó, a szoftvert megszerző személy végezhesse ezt a tevékenységet, hanem az ő programozói szaktudással rendelkező megbízottja, vállalkozója, vagy egy erre általa felhatalmazott harmadik személy is.

Úgy gondolom, hogy mivel a javítási, rendeltetésszerű működtetési célú visszafejtési, módosítási jog is ugyanannyira programozói szaktudást igényel, mint az interoperabilitás biztosítása érdekében adott visszafejtési (dekompilációs) jog, ezért nem tehető ilyen szempontból különbség a két esetkör jogosultjai között. Ezen túlmenően a logikai, szakmai szempontok is azt támasztják alá, hogy ilyen visszafejtési jogot szükséges biztosítani a szoftvert jogszerűen használó személy megbízásából eljáró szakembereknek, így például az etikus hackereknek is.

Nincs tehát sem logikailag, sem szakmailag védhető magyarázat arra, hogy a javítási célú módosítási, fordítási, visszafejtési jogból miért kellene az etikus hackereknek kimaradniuk. Ez utóbbi érvelést és értelmezést támasztja alá az Európai Bizottság Szoftver irányelv értelmezése is, amelyet a Szoftver irányelv tagállami átültetésének és hatásainak vizsgálatáról szóló, 2000-ben megjelent jelentésében közölt. A Bizottság rámutatott, hogy a Szoftver irányelv 5. cikkének implementálása során a tagállamok az irányelv eredeti angol szövegében „lawful acquire” kifejezéssel megjelölt, magyarul a szoftvert jogszerűen megszerző személyre fordított személyi kört eltérően értelmezik és alkalmazzák.

Egyes tagállamok például helyette a „lawful user”, azaz a jogszerű felhasználó fogalmát vezették be, amely azonban nem azonos az irányelv szerinti „lawful acquirer” megjelöléssel, mert az csak a szoftver felhasználására joggal rendelkező személyt (angolul: „a person having a right to use the program”) takarja. Ezzel szemben az irányelv szerinti „lawful acquirer” valójában jelenti a szoftver megvásárlóját (purchaser), felhasználóját (licensee), bérlőjét (renter) és azt a személyt is, aki felhatalmazással rendelkezik ezektől a személyektől a szoftver nevükben történő felhasználására (a person authorized to use the program on behalf of one of the above).

Introvertáltak az IT-ban: a hard skill nem elég Már nem elég zárkózott zseninek lenni, aki egyedül old meg problémákat. Az 53. kraftie adásban az introverzióról beszélgettünk.

Az Európai Bizottság fenti értelmezése alapján tehát azt lehet mondani, hogy a hűség klauzula megfelelő alkalmazásával a magyar jogszabály szövegét is úgy kell értelmezni, hogy ezen javítási célú módosítási, visszafejtési, fordítási jog nem csupán az etikus hacker megbízójára, hanem a megbízó kifejezett felhatalmazása alapján a nevében eljáró etikus hackerre is vonatkozhat. Ennek érdekében azonban mindenképpen javasolt az etikus hacker szerződésébe beletenni a szoftver ilyen célú felhasználására vonatkozó kifejezett felhatalmazást.

A módosítást, visszafejtést a licencszerződés kizárhatja – de nem minden uniós tagállamban

Mind az uniós jogszabály, mind a magyar törvény megengedi, hogy a szoftver javítási, rendeltetésszerű működés biztosítása célú módosítását, visszafejtését, fordítását az adott szoftverre vonatkozó licenc szerződés, illetve licenc feltétel kizárja. Az etikus hacker megbízása előtt ezért gondosan javasolt a licencfeltételek áttekintése, hogy vajon kizárja-e a fenti cselekményeket, ez esetben ugyanis az etikus hacker és megbízója is szerződésszegést, és szerzői jogsértést követ el, ha a licencfeltételek ellenére mégis visszafejti, módosítja a szoftvert - még akkor is, ha egyébként a törvényi feltételeknek megfelel.

Meg kell említeni, hogy a Szoftver irányelv ezen rendelkezését nem minden tagállam vette át: az Egyesült Királyság, Ausztria és Finnország szerzői jogi törvénye nem tartalmazza ezt a rendelkezést.A Bizottság fent említett jelentése is megfogalmazza, hogy ott ez a szerzői jog alóli kivétel az uniós jognál tágabb körű.

A szerző dr. Horváth Katalin ügyvéd, a Sár és Társai Ügyvédi Iroda szerzői jogi szakértő partnere, a Szerzői Jogi Szakértő Testület és a Magyar Szerzői Jogi Fórum Egyesület tagja.