Követ el szerzői jogsértést az etikus hacker? 2. rész
A cikksorozat második részében a szerzői jogi kockázatokat vizsgáljuk és arra keressük a választ, hogy jogosult-e az etikus hacker a megbízója által használt szoftverek hibáinak felfedése és azok javítása céljából a szoftvereket többszörözni, módosítani vagy esetleg visszafejteni.
A kérdések boncolgatását jogi szempontból az Európai Tanács Szoftver irányelvével (a számítógépi programalkotások szerzői jogi védelméről szóló 91/250/EGK irányelvének módosításait egységes szerkezetbe foglaló 2009/24/EK irányelv; a továbbiakban: Szoftver irányelv) kell kezdenünk, amely a magyar szerzői jogi szabályozás alapja is egyben.
A szoftver visszafejtésének és módosításának joga
A Szoftver irányelv 5. cikk (1) bekezdése foglalja jogszabályi keretbe a szerzői engedély alóli kivételeket, és mondja ki az alábbiakat:
„Külön szerződéses kikötés hiányában a számítógépi program bármely eszközzel és bármely formában, részben vagy egészben történő tartós vagy időleges többszörözéséhez, a számítógépi program lefordításához, átdolgozásához, feldolgozásához és bármely más módon történő módosításához, valamint ezek eredményének többszörözéséhez nem szükséges a jogosult engedélye, ha azokra azért van szükség, hogy a számítógépi programot az azt jogszerűen megszerző személy (az eredeti angol szövegben: „lawful acquirer”) a rendeltetési célnak megfelelően használja, beleértve a hibajavítást is.”
A szerzői jogról szóló 1999. évi LXXVI. törvény (a továbbiakban: Szjt.) a Szoftver irányelv fenti rendelkezéseit többé-kevésbé szó szerint átvette, vannak azonban eltérések a két szöveg között. A Szoftver irányelv fent idézett 5. cikk (1) bekezdését átültető magyar Szjt. 59. § (1) bekezdése az alábbi:
„Eltérő megállapodás hiányában a szerző kizárólagos joga nem terjed ki a többszörözésre, az átdolgozásra, a feldolgozásra, a fordításra, a szoftver bármely más módosítására - ideértve a hiba kijavítását is -, valamint ezek eredményének többszörözésére annyiban, amennyiben e felhasználási cselekményeket a szoftvert jogszerűen megszerző személy a szoftver rendeltetésével összhangban végzi.”
Mire terjed ki a kivétel?
Nézzük, hogy mely felhasználások tekintetében ad kivételt az engedélyezés alól a magyar Szjt. és a Szoftver irányelv:
a) Többszörözés: a Szoftver irányelv 4. cikk 1. bekezdés a) pontja alapján szoftverek esetében kiterjed a szoftver bármilyen módon, bármilyen formában, részben vagy egészben történő többszörözésére, így például betöltésére, képernyőn megjelenítésére, futtatására, átvitelére, tárolására, mentésére.
b) Átdolgozás: a Szoftver irányelv 4. cikk 1. bekezdés b) pontja és a magyar Szjt. 58. § (2) bekezdése alapján ide tartozik a szoftvernek az eredeti programnyelvétől eltérő programnyelvre történő átírása, a szoftver lefordítása és minden olyan módosítása, amelynek eredményeként a szoftverből származó másik új egyéni, eredeti szerzői alkotás jön létre. Az átdolgozási, módosítási jogban tehát a fenti fordítási jog részeként benne foglaltatik a szoftver visszafejtése (angolul reverse engineering/decompilation) is, amelynek eredményeképpen az eredeti forráskód, vagy ahhoz nagyon hasonló forráskód állítható elő. Sem az irányelv, sem a magyar jogszabály nem tesz korlátozást az átdolgozás, lefordítás tekintetében, vagyis azt úgy lehet értelmezni, hogy abban a dekompilációs (visszafejtési) jog is benne foglaltatik.
A módosítási, visszafejtési jog korlátai
A módosítási, visszafejtési jog nem korlátlan.
a) Célhoz kötöttség – konfliktus a magyar és az uniós jogszabály között
A Szoftver irányelv 5. cikk 1. bekezdése hibajavítási, hibamentes működés biztosítása célból engedi meg a szoftver visszafejtését, módosítását, amelyet a magyar Szjt. majdnem szó szerint átvett. Van azonban a magyar jogszabály szövegében egy kicsi, értelmezést zavaró eltérés:
Szoftver irányelv szerint „ha azokra azért van szükség, hogy a számítógépi programot az azt jogszerűen megszerző személy a rendeltetési célnak megfelelően használja, beleértve a hibajavítást is.”
A magyar Szjt. szerint „amennyiben e felhasználási cselekményeket a szoftvert jogszerűen megszerző személy a szoftver rendeltetésével összhangban végzi.”
A fenti különbséget egy gyakorlati példával lehet jól megvilágítani. Ha van egy számlázó program, az irányelv szövege alapján azt akkor lehet módosítani, visszafejteni, átdolgozni, ha az a szoftver rendeltetésszerű, hibamentes működéséhez, például kijavításához szükséges. Ezzel szemben a magyar jogszabály alapján a számlázó program csak akkor módosítható, fejthető vissza vagy dolgozható át, ha az a számlázó program rendeltetésével összhangban történik.
A probléma itt a magyar törvényben a „rendeltetésével összhangban” kitétel, ami nehezen érthető, és zavart kelt. Sem a magyar jogszabály miniszteri indokolása, sem más nem ad magyarázatot arra, hogy mit ért a magyar jogalkotó a szoftver rendeltetésével összhangban történő módosításon. A jogszabály viszont leszögezi, hogy célja a Szoftver irányelv fenti rendelkezésének átültetése volt. Sikerült tehát a magyar jogszabályba úgy átvenni az uniós normát, hogy az a gyakorlatban értelmezhetetlen. A magyar jogszabály alapján pedig önmagában arra a következtetésre is lehetne jutni, hogy a szoftver kódjának visszafejtése vagy a szoftver más módosítása nincs összhangban a szoftver rendeltetésével, így az nem engedélyezett kivétel, hanem adott esetben szerzői jogsértést valósíthat meg.
Az Európai Unióról szóló szerződés 5. cikkében azonban van egy, a tagállami jog értelmezését megkönnyítő szabály, ez pedig az úgynevezett hűség klauzula, amelynek lényege az alábbi:
- a tagállami harmonizált jogszabályt az uniós norma figyelembe vételével kell értelmezni és alkalmazni,
- a magyar jogszabály nem előzheti meg az uniós irányelvet,
- a tagállami bíróság köteles az uniós irányelvet korlátozások nélkül alkalmazni, és köteles a nemzeti jog minden esetlegesen ellentmondó rendelkezését figyelmen kívül hagyni anélkül, hogy ehhez a rendelkezés előzetes, törvényhozás vagy más alkotmányjogi eljárás általi megszüntetését kérnie kellene vagy meg kellene azt várnia.
A hűség klauzula alapján tehát egy esetleges perben a magyar bíróságnak a magyar törvény szövegét az irányelvvel azonos tartalommal kellene figyelembe vennie, amelynek eredményeként a fenti értelmezési nehézség megszűnik. A szoftver bármilyen módosítására, visszafejtésére, fordítására Magyarországon is azért van lehetősége a szoftver jogszerű használójának, hogy a szoftvert a rendeltetési célnak megfelelően használja, beleértve a hibajavítást is.
Nem illeti meg azonban a szoftver jogszerű megszerzőjét a fenti jog, ha annak célja a szoftver továbbfejlesztése, új funkciók kifejlesztése, a szoftverhez hasonló funkciójú más szoftver létrehozása.Ezekben az esetekben a célhoz kötöttség nem valósul meg: a cél nem a meglévő szoftver hibáinak javítása és rendeltetésszerű működésének biztosítása, hanem annál sokkal több. Ezt a korlátozást az etikus hacker nagy valószínűséggel betartja, hiszen az etikus hacker munkájának a célja az, hogy a szoftver rendeltetésszerűen, céljának megfelelően használható legyen, vagyis azt ne tudják feltörni, a sérülékeny pontjait, sebezhetőségét felfedezzék, és a felfedezett hiányosságokat, hibákat ki is javítsák. Az etikus hacker tehát az első feltételnek megfelel.
b) A módosítás, visszafejtés elvégzésére jogosult: a szoftvert jogszerűen megszerző személy (lawful acquirer) – többféle értelmezési lehetőség
Mind a Szoftver irányelv, mind a magyar jogszabály alapján a módosítást, visszafejtést csak a szoftvert jogszerűen megszerző személy (angolul az irányelvben: lawful acquirer) végezheti el, más nem. Ezen feltétel már problémásabb, ugyanis kétirányú feltételt foglal magában.
- Jogszerűen: Jogellenesen megszerzett szoftverre ezek a jogok nem vonatkoznak, vagyis az etikus hacker nem jogosult a megbízója által jogellenesen megszerzett szoftvert módosítani, visszafejteni, ezért a megbízóval kötött szerződésébe mindenképp szükséges belevenni azt a feltételt, hogy a megbízó jogszavatosságot vállal azért, hogy a vizsgálat tárgyát képező szoftvereket jogszerűen szerezte meg, azok felhasználására kifejezetten jogosult, és helytállást is vállal az etikus hacker helyett ezért.
- Szoftvert megszerző személy (acquirer): Csak a szoftvert megszerző személy jogosult ezen módosítást, visszafejtést elvégezni a szoftveren, más személy nem. Ez a feltétel jelenti az uniós és magyar jogban a legnagyobb problémát az etikus hackerek számára, mivel a vizsgálandó szoftvert nem ők, hanem megbízóik szerezték meg, így a jogok a fenti módosításra, visszafejtésre is a megbízóknál vannak.
A magyar szerzői jogi törvény kimondja, hogy a szerzői jogok, felhasználási jogok csak akkor ruházhatók át vagy engedhetők át harmadik személynek, ha azt a licencszerződés kifejezetten megengedi. Ha tehát a licencfeltételek bármely jog másra történő továbbruházását, továbbengedélyezését kifejezetten kizárják, vagy esetleg nem mondanak róla semmit, akkor a szoftvert megszerző személy, vagyis az etikus hacker megbízója a magyar jog alapján nem jogosult a szoftvermódosítási, visszafejtési jogot átadni az etikus hackernek.
Ebből pedig az következik, hogy ilyen esetben – amely a licencek többsége – az az etikus hacker, aki nem a megbízó munkavállalója, hanem külsős megbízott vagy vállalkozó, nem jogosult a szoftvert visszafejteni vagy módosítani még akkor sem, ha egyébként célja a hibák felfedése, kijavítása. Ebben az esetben az etikus hacker elvileg csak addig a pontig mehet el a vizsgálatában, ahol visszafejtésre, szoftverkód módosítására még nem kerül sor.
Ezt a fenti szűk értelmezést igazolhatja az is, hogy ahol a megbízón kívüli harmadik személyeknek, például külsős szoftverfejlesztőknek ad visszafejtési jogot a Szoftver irányelv és a magyar Szjt, ott azt a jogszabály kifejezetten tartalmazza és kimondja. Ilyen például az interoperabilitás érdekében adott visszafejtési, többszörözési jog,: „nincs szükség a jogosult engedélyére, ha a kód többszörözése, illetve lefordítása elengedhetetlen az önállóan megalkotott számítógépi program más programokkal való együttes működtetéséhez szükséges információ megszerzéséhez, feltéve, hogy e cselekményeket az engedéllyel rendelkező személy vagy a program példányának felhasználására jogosult másik személy, vagy ezek nevében az erre felhatalmazott személy végzi” (Szoftver irányelv 6. cikk (1) bekezdés a) pontja, magyar Szjt. 60. § (1) bekezdés a) pontja).
Tehát arra az értelmezésre lehet jutni nyelvtani, logikai szempontból, hogy ahol ilyen kivételt és külön kifejezett szabályt nem alkalmaz a jogalkotó, ott csak és kizárólag a szoftvert jogszerűen használó személynek, vagyis az etikus hacker megbízójának és azok munkavállalóinak – vagy a licencfeltételekben meghatározott munkavállalónak – van joga a szoftvert visszafejteni vagy azt javítási céllal módosítani.
A fenti interoperabilitási célú visszafejtési jognál mind az uniós, mind a magyar jogalkotó azt hozza fel érvként és indokként, hogy ott szükséges a visszafejtéshez programozói szaktudás, ezért indokolt, hogy ne csupán a megbízó, a szoftvert megszerző személy végezhesse ezt a tevékenységet, hanem az ő programozói szaktudással rendelkező megbízottja, vállalkozója, vagy egy erre általa felhatalmazott harmadik személy is.
Úgy gondolom, hogy mivel a javítási, rendeltetésszerű működtetési célú visszafejtési, módosítási jog is ugyanannyira programozói szaktudást igényel, mint az interoperabilitás biztosítása érdekében adott visszafejtési (dekompilációs) jog, ezért nem tehető ilyen szempontból különbség a két esetkör jogosultjai között. Ezen túlmenően a logikai, szakmai szempontok is azt támasztják alá, hogy ilyen visszafejtési jogot szükséges biztosítani a szoftvert jogszerűen használó személy megbízásából eljáró szakembereknek, így például az etikus hackereknek is.
Nincs tehát sem logikailag, sem szakmailag védhető magyarázat arra, hogy a javítási célú módosítási, fordítási, visszafejtési jogból miért kellene az etikus hackereknek kimaradniuk. Ez utóbbi érvelést és értelmezést támasztja alá az Európai Bizottság Szoftver irányelv értelmezése is, amelyet a Szoftver irányelv tagállami átültetésének és hatásainak vizsgálatáról szóló, 2000-ben megjelent jelentésében közölt. A Bizottság rámutatott, hogy a Szoftver irányelv 5. cikkének implementálása során a tagállamok az irányelv eredeti angol szövegében „lawful acquire” kifejezéssel megjelölt, magyarul a szoftvert jogszerűen megszerző személyre fordított személyi kört eltérően értelmezik és alkalmazzák.
Egyes tagállamok például helyette a „lawful user”, azaz a jogszerű felhasználó fogalmát vezették be, amely azonban nem azonos az irányelv szerinti „lawful acquirer” megjelöléssel, mert az csak a szoftver felhasználására joggal rendelkező személyt (angolul: „a person having a right to use the program”) takarja. Ezzel szemben az irányelv szerinti „lawful acquirer” valójában jelenti a szoftver megvásárlóját (purchaser), felhasználóját (licensee), bérlőjét (renter) és azt a személyt is, aki felhatalmazással rendelkezik ezektől a személyektől a szoftver nevükben történő felhasználására (a person authorized to use the program on behalf of one of the above).
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
Az Európai Bizottság fenti értelmezése alapján tehát azt lehet mondani, hogy a hűség klauzula megfelelő alkalmazásával a magyar jogszabály szövegét is úgy kell értelmezni, hogy ezen javítási célú módosítási, visszafejtési, fordítási jog nem csupán az etikus hacker megbízójára, hanem a megbízó kifejezett felhatalmazása alapján a nevében eljáró etikus hackerre is vonatkozhat. Ennek érdekében azonban mindenképpen javasolt az etikus hacker szerződésébe beletenni a szoftver ilyen célú felhasználására vonatkozó kifejezett felhatalmazást.
A módosítást, visszafejtést a licencszerződés kizárhatja – de nem minden uniós tagállamban
Mind az uniós jogszabály, mind a magyar törvény megengedi, hogy a szoftver javítási, rendeltetésszerű működés biztosítása célú módosítását, visszafejtését, fordítását az adott szoftverre vonatkozó licenc szerződés, illetve licenc feltétel kizárja. Az etikus hacker megbízása előtt ezért gondosan javasolt a licencfeltételek áttekintése, hogy vajon kizárja-e a fenti cselekményeket, ez esetben ugyanis az etikus hacker és megbízója is szerződésszegést, és szerzői jogsértést követ el, ha a licencfeltételek ellenére mégis visszafejti, módosítja a szoftvert - még akkor is, ha egyébként a törvényi feltételeknek megfelel.
Meg kell említeni, hogy a Szoftver irányelv ezen rendelkezését nem minden tagállam vette át: az Egyesült Királyság, Ausztria és Finnország szerzői jogi törvénye nem tartalmazza ezt a rendelkezést.A Bizottság fent említett jelentése is megfogalmazza, hogy ott ez a szerzői jog alóli kivétel az uniós jognál tágabb körű.
A szerző dr. Horváth Katalin ügyvéd, a Sár és Társai Ügyvédi Iroda szerzői jogi szakértő partnere, a Szerzői Jogi Szakértő Testület és a Magyar Szerzői Jogi Fórum Egyesület tagja.