ARBITRAGEHOF

Uittreksel uit arrest nr. 51/2004 van 24 maart 2004 Rolnummer 2697 In zake : de prejudiciële vraag betreffende artikel 550bis van het Strafwetboek, gesteld door de Correctionele Rechtbank te Gent.

Het Arbitragehof, samengesteld uit de voorzitters A. Arts en M. Melchior, en de rechters L. François, M. Bossuyt, A. Alen, J.-P. Moerman en E. Derycke, bijgestaan door de griffier P.-Y. Dutilleux, onder voorzitterschap van voorzitter A. Arts, wijst na beraad het volgende arrest : I. Onderwerp van de prejudiciële vraag en rechtspleging Bij vonnis van 22 april 2003 in zake het openbaar ministerie tegen D. Goossens en anderen, waarvan de expeditie ter griffie van het Arbitragehof is ingekomen op 7 mei 2003, heeft de Rechtbank van eerste aanleg te Gent de volgende prejudiciële vraag gesteld : « Schendt artikel 550bis van het Strafwetboek (ingevoerd bij wet van 28 november 2000, Belgisch Staatsblad van 3 februari 2001) de artikelen 10 en 11 van de Grondwet door de interne hacker slechts strafbaar te stellen wanneer een bijzonder opzet (nl. een bedrieglijk opzet of het oogmerk om te schaden) aanwezig is (artikel 550bis, § 2), terwijl de externe hacker reeds strafbaar is zodra een algemeen opzet aanwezig is (artikel 550bis, § 1) ? » (...) III. In rechte (...) B.1.1. De prejudiciële vraag heeft betrekking op artikel 550bis, §§ 1 en 2, van het Strafwetboek, luidend als volgt : « § 1. Hij die, terwijl hij weet dat hij daar toe niet gerechtigd is, zich toegang verschaft tot een informaticasysteem of zich daarin handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot een jaar en met geldboete van zesentwintig frank tot vijfentwintig duizend frank of met een van die straffen alleen.

Wanneer het misdrijf, bedoeld in het eerste lid, gepleegd wordt met bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar. § 2. Hij die, met bedrieglijk opzet of met het oogmerk om te schaden, zijn toegangsbevoegdheid tot een informaticasysteem overschrijdt, wordt gestraft met gevangenisstraf van zes maanden tot twee jaar en met geldboete van zesentwintig frank tot vijfentwintigduizend frank of met een van die straffen alleen. » B.1.2. De in het geding zijnde bepaling creëert een onderscheid gebaseerd op het al dan niet bezitten van toegangsbevoegdheid tot een informaticasysteem.

Personen die zich toegang verschaffen tot een informaticasysteem of zich daarin handhaven, terwijl zij weten dat zij niet daartoe gerechtigd zijn (hierna « externe hackers » genoemd), zijn strafbaar op basis van het enkele feit dat zij zich toegang verschaffen tot het systeem. Personen die toegangsbevoegdheid hebben tot een informaticasysteem (hierna « interne hackers » genoemd) zijn slechts strafbaar indien zij, met bedrieglijk opzet of met het oogmerk om te schaden, hun toegangsbevoegdheid overschrijden.

Bij interne hacking vormt bijzonder opzet (bedrieglijk opzet of het oogmerk om te schaden) een constitutief element van het misdrijf, wat niet het geval is bij externe hacking. Bij externe hacking volstaat een algemeen opzet en vormt het bijzonder opzet een verzwarende omstandigheid.

De verwijzende rechter vraagt of het aldus gecreëerde onderscheid bestaanbaar is met de artikelen 10 en 11 van de Grondwet.

B.2. Het staat aan de wetgever de voorwaarden vast te stellen waaronder handelingen of onthoudingen als strafbare feiten kunnen worden beschouwd. Het behoort tot de vrijheid van de wetgever om zich, bij het vaststellen van die voorwaarden, streng op te stellen. Hij mag zich daarbij evenwel niet onttrekken aan de eerbiediging van het grondwettelijk beginsel van gelijkheid en niet-discriminatie.

B.3.1. Met de uitvaardiging van de wet van 28 november 2000, waarvan artikel 6 de in het geding zijnde bepaling heeft ingevoerd, heeft de wetgever « de vertrouwelijkheid, integriteit en beschikbaarheid van informaticasystemen en data » als een te beschermen rechtsbelang opgevat (Parl. St., Kamer, 1999-2000, DOC 50-0213/001 en 0214/001, p. 10).

De idee die ten grondslag ligt aan de wet houdt, luidens de parlementaire voorbereiding, in « dat, wanneer bepaalde inlichtingen omwille van hun aard zelf een bijzondere bescherming rechtvaardigen, dit het voorwerp moet uitmaken van een apart beschermingsregime » (ibid., p. 17). Daaraan werd toegevoegd : « het feit of deze inlichtingen vastgelegd zijn op papier of op een geïnformatiseerde drager, is ter zake irrelevant [...]. Het door de nieuwe bepalingen beschermde rechtsbelang is op de eerste plaats de integriteit van het systeem » (ibid.).

B.3.2. De wetgever heeft de integriteit van informaticasystemen bijgevolg opgevat als een te beschermen rechtsbelang, dat dient te worden onderscheiden van de integriteit van gegevens, die het voorwerp uitmaken van aparte beschermingsstelsels, zoals dat van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Dit brengt met zich mee dat, wanneer door de hacking andere rechtsbelangen dan de integriteit van een informaticasysteem worden aangetast, de handeling een misdrijf kan uitmaken, niet enkel op basis van artikel 550bis van het Strafwetboek, maar eveneens op basis van andere door de wetgever omschreven strafbaarstellingen.

B.3.3. In het licht van de in B.3.1 omschreven algemene doelstelling heeft de wetgever het nodig geacht een onderscheid te maken tussen interne en externe hacking. Met betrekking tot dat onderscheid vermeldt de parlementaire voorbereiding het volgende : « De logica van het voorontwerp houdt rekening met de realiteit dat het binnen een organisatie frequenter zal voorkomen dat er een ongeoorloofde toegang is tot bepaalde delen van het netwerk omwille van allerhande factoren (persoonlijke contacten, structuur van het netwerk, werkomgeving). Deze inbreuken kunnen weliswaar intentioneel zijn, maar worden slechts strafwaardig geacht als er een bijzondere negatieve bedoeling achterzit (strafrecht als ultima ratio ) : interne controlemechanismen moeten voor de minder ingrijpende gevallen volstaan. Deze situatie is verschillend ten aanzien van derden die buiten het netwerk zitten : hun transgressie brengt op zichzelf de veiligheid van het interne netwerk in gevaar. » (ibid., p. 16) B.4.1. Het onderscheid tussen de in de prejudiciële vraag bedoelde categorieën van hackers berust op een objectief criterium, namelijk het al dan niet bezitten van een in het kader van een juridische verhouding verleende toegangsbevoegdheid tot een informaticasysteem.

B.4.2. De loutere omstandigheid dat bepaalde gedragingen aanleiding kunnen geven tot uit interne controlemechanismen voortvloeiende vormen van « sanctie » - privaatrechtelijke dan wel publiekrechtelijke die niet strafrechtelijk van aard zijn - kan geen verantwoording bieden voor het creëren van verschillen bij het bepalen van de voorwaarden waaronder een gedraging als misdrijf moet worden beschouwd.

Het strafrecht heeft tot doel inbreuken op de maatschappelijke orde te doen bestraffen. De strafvordering wordt uitgeoefend in het belang van de maatschappij en behoort tot de bevoegdheid van de strafgerechten.

Zij kan enkel betrekking hebben op feiten die door de wet als misdrijf zijn omschreven en zij geeft, in geval van veroordeling, aanleiding tot de door of krachtens de wet voorgeschreven straffen.

De uit interne controlemechanismen voortvloeiende vormen van « sanctie » hebben een fundamenteel andere aard. Zij hebben niet noodzakelijk betrekking op feiten die door de wet als misdrijf zijn omschreven; zij hebben niet noodzakelijk tot doel inbreuken op de maatschappelijke orde te doen bestraffen; het initiatief en de bevoegdheid tot het nemen van sancties komen niet toe aan organen die, in het belang van de maatschappelijke orde, daartoe zijn aangewezen door de Grondwetgever en de wetgever.

B.4.3. Te dezen dient er evenwel rekening mee te worden gehouden dat de wetgever, in de in artikel 550bis, § 2, van het Strafwetboek vervatte strafbaarstelling, de toegangsbevoegdheid tot een informaticasysteem als criterium heeft gehanteerd.

De aard en de omvang van de toegangsbevoegdheid tot een informaticasysteem wordt in beginsel niet bepaald door de wetgever, maar overgelaten aan de beoordelingsbevoegdheid van de eigenaar van het systeem. De wetgever vermocht ervan uit te gaan dat de eigenaar van een informaticasysteem het best geplaatst is om te bepalen wie toegangsbevoegdheid verkrijgt en binnen welke grenzen.

De wetgever heeft daarbij bovendien rekening willen houden met het feit dat het loutere overschrijden van de verleende toegangsbevoegdheid, vanwege allerhande factoren, eigen aan de organisatie waarbinnen een informaticasysteem functioneert, niet steeds de integriteit van het informaticasysteem in het gedrang brengt en bijgevolg niet strafwaardig moet worden geacht. Aangezien dergelijke factoren de strafwaardigheid van externe hacking niet kunnen beïnvloeden, is de wetgever ervan uitgegaan dat die vorm van hacking steeds als strafbaar moet worden beschouwd.

B.4.4. In die omstandigheden is het niet kennelijk onredelijk dat de wetgever het overschrijden, zonder bijzonder opzet, van de door de eigenaar van het informaticasysteem verleende toegangsbevoegdheid, niet strafbaar stelt, onder verwijzing naar controlemechanismen waarover de eigenaar van het informaticasysteem beschikt.

Het gehanteerde onderscheidingscriterium is in dit licht pertinent om de vertrouwelijkheid, de integriteit en de beschikbaarheid van informaticasystemen en data te beschermen. Artikel 550bis van het Strafwetboek is in dit licht evenmin onevenredig. De wetgever vermocht immers van oordeel te zijn dat de externe hacker moet worden gestraft, ook al heeft hij niet gehandeld met bedrieglijk opzet of met het oogmerk om te schaden. Wanneer de hacking gebeurt met bedrieglijk opzet of met het oogmerk om te schaden heeft de wetgever bovendien voor de interne en de externe hacker dezelfde minimum- en maximumstraffen bepaald.

Om die redenen, het Hof zegt voor recht : Artikel 550bis van het Strafwetboek, ingevoerd bij de wet van 28 november 2000, schendt de artikelen 10 en 11 van de Grondwet niet.

Aldus uitgesproken in het Nederlands en het Frans, overeenkomstig artikel 65 van de bijzondere wet van 6 januari 1989 op het Arbitragehof, op de openbare terechtzitting van 24 maart 2004.

De griffier, P.-Y. Dutilleux.

De voorzitter, A. Arts.