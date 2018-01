Największe kontrowersje budzi przyznanie służbom szerokich uprawnień do przechwytywania z sieci danych masowych

Wprowadzenie IPA miało uporzšdkować uprawnienia organów œcigania w stosowaniu nowoczesnej inwigilacji.

Wielka Brytania ma teraz prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji – powiedział Jim Killock, dyrektor Open Rights Group, organizacji bronišcej wolnoœci internetu, gdy brytyjski organ prawodawczy uchwalił Investigatory Powers Act (IPA). Po 12 miesišcach debaty w parlamencie 29 listopada 2016 r. ustawa uzyskała królewskš zgodę na wejœcie w życie i stała się obowišzujšcym prawem. Majšc jednak na uwadze specyfikę prawa anglosaskiego, spodziewany termin obowišzywania wszystkich regulacji IPA to rok 2018 (tak wynika z informacji uzyskanych przeze mnie z Home Office).

Wprowadzenie IPA miało: uporzšdkować w jednym dokumencie uprawnienia organów œcigania m.in. w stosowaniu nowoczesnych metod inwigilacji;wprowadzić efektywne formy sšdowego nadzoru nad wykonywaniem czynnoœci operacyjnych oraz dostosować przepisy do wyzwań epoki cyfrowej.

Warto się przyjrzeć IPA choćby dlatego, że stał się elementem dyskusji o granicach „legalnego hakingu" w kontekœcie praw i wolnoœci obywatelskich. Taka debata prowadzona jest także w Polsce, z apogeum w 2016 r., gdy w styczniu Sejm uchwalił zmiany w ustawie o Policji, a w czerwcu ustawę antyterrorystycznš.

IPA jest odpowiedziš rzšdu brytyjskiego na nowe rozwišzania technologiczne w cyberprzestrzeni, a bezpoœrednim impulsem do jej wprowadzenia była fala zamachów przelewajšca się od kilku lat przez Europę. Amber Rudd (od 13 lipca 2016 r. minister spraw wewnętrznych w gabinecie Theresy May) argumentowała, że w czasach zwiększonego zagrożenia bezpieczeństwa najważniejsze jest, aby organy œcigania, służby bezpieczeństwa i służby wywiadowcze miały odpowiednie uprawnienia do ochrony obywateli. Szczególnie internet stwarza nowe możliwoœci terrorystom i trzeba mieć pewnoœć, że rzšd ma narzędzia konfrontacji z tym wyzwaniem – przekonywała A. Rudd, dodajšc, że uprawnienia służb podlegajš œcisłym zabezpieczeniom i rygorystycznemu nadzorowi.

Kto, kiedy, gdzie...

Większoœć œrodków kontroli pozyskiwania danych telekomunikacyjnych i informatycznych przyjętych w IPA już obowišzywała na Wyspach. Znane sš też w prawie polskim. Chodzi np. o informacje identyfikujšce nadawcę komunikatu internetowego czy treœci przekazu telekomunikacyjnego, takie jak rozmowy telefoniczne, wiadomoœci mailowe lub przekazywane w serwisach społecznoœciowych w momencie transmisji lub zapisu w systemie. Equipment interference pozwala z kolei na pobieranie danych z urzšdzenia przez bezpoœredni dostęp do komputera lub smartfonu w celu uzyskania z jego pamięci danych cyfrowych. Chodzi zatem o instalowanie oprogramowania szpiegujšcego (np. keyloggera) i monitorowanie komunikacji w czasie rzeczywistym.

Największe kontrowersje budzi jednak przyznanie służbom szerokich uprawnień do przechwytywania z sieci danych masowych (bulk data), chociaż częœć takich prerogatyw mieli już wczeœniej. Chodzi o terabajty automatycznie gromadzonych informacji oraz ich przetwarzanie i analizowanie. Jest kilka wariantów bulk data. W masowym œledzeniu komunikacji (bulk interception of communications) chodzi o dostęp do znaczenia przekazu podczas jego przemieszczania się w sieciach. Bulk communications data acquisition nie zawiera natomiast słów wypowiedzianych ani wysłanych, ale dotyczy treœci komunikacji: kto, kiedy, gdzie, jak i z kim nawišzywał połšczenie. Może obejmować np. datę i godzinę rozmowy telefonicznej lub dane nadawcy i odbiorcy wiadomoœci e-mail. Bulk personal datasets dotyczy zbierania i przetwarzania ogromnej liczby danych osobowych zwišzanych m.in. z przemieszczaniem się osoby fizycznej.

Procedura pozyskiwania danych masowych podlega okreœlonym ograniczeniom, a najważniejsze stanowi, że stały „podsłuch" komunikacji i urzšdzeń może dotyczyć danych znajdujšcych się/transmitowanych poza granicami Wielkiej Brytanii. W założeniu twórców IPA bulk data majš kluczowe znaczenie dla umożliwienia agencjom ds. bezpieczeństwa i wywiadu badania i identyfikacji zagrożeń wysokiego priorytetu pochodzšcych od osób fizycznych (terrorystów i poważnych przestępców), bo po obróbce sš bezcennym Ÿródłem informacji. W rzšdowym dokumencie Operational Case for Bulk Powers podkreœlono, że działania takie pomogły już wyjœć Zjednoczonemu Królestwu z opresji. Okazały się m.in. niezbędne do wykrycia 95 proc. ataków cybernetycznych na osoby i przedsiębiorstwa ujawnionych przez służby w cišgu szeœciu miesięcy 2016 r. Analiza big data może identyfikować złoœliwe oprogramowanie i nowe formy cyberataków. Wykorzystywana była też do wykrycia poważnych przestępców w darknecie, w tym pedofilów i handlarzy narkotyków.

Masowa analiza danych jest na Wyspach od lat jednym z najskuteczniejszych narzędzi walki z terroryzmem. Dzięki niej służby zapobiegły w czerwcu 2007 r. drugiemu zamachowi terrorystycznemu w Londynie. W cišgu kilku godzin, po analizie danych o łšcznoœci masowej, namierzono kolejnš grupę planujšcš uderzenie oraz zidentyfikowano osoby, które miały „intensywny" kontakt z telefonami używanymi przez sprawców pierwszego ataku.

Wykorzystanie informacji uzyskanych metodš bulk data często wymaga współpracy międzynarodowej. Tak było w 2014 r., kiedy zidentyfikowano osobę pozostajšcš w stałym kontakcie z rezydujšcym w Syrii ekstremistš Daesh. Sprawdzono, że mężczyzna podróżował niedawno do europejskiego kraju, a kolejne dane wskazywały, że planuje atak terrorystyczny. Informacje przekazano krajowi miejsca pobytu terrorysty, co skutkowało jego aresztowaniem i neutralizacjš kilku urzšdzeń wybuchowych domowej roboty.

Służby sobie poradziły

Inna kontrowersyjna kwestia to możliwoœć zobowišzania specjalnym nakazem dostawców usług telekomunikacyjnych i teleinformatycznych oraz producentów urzšdzeń (niezależnie od tego, czy majš siedzibę w Wielkiej Brytanii czy za granicš) do przekazania służbom poufnych informacji technicznych o produkowanych lub stosowanych rozwišzaniach bazujšcych na kryptografii. Technical Capability Notices, bo tak nazywa się omawiana instytucja, ma umożliwić agencjom bezpieczeństwa odszyfrowywanie danych oraz osłabienie anonimizacji przekazu cyfrowego, pozostajšcego w ich zainteresowaniu.

Sprawa przypomina spór prawny z 2016 r. między FBI a Apple: agenci zażšdali od firmy przełamania zabezpieczeń iPhone 5c i dostępu do danych urzšdzenia, którym wczeœniej posługiwał się terrorysta. Sprawa miała swój finał w sšdzie, gdyż Apple nie zgadzało się na zlikwidowanie blokady. Ostatecznie Biuro samo poradziło sobie z zabezpieczeniami, gdyż najprawdopodobniej system operacyjny urzšdzenia miał niedocišgnięcia wykorzystane do legalnego włamania hakerskiego.

Temat jest rozwojowy

Chociaż rzšd brytyjski okreœlił IPA jako zapewniajšcy bezprecedensowš przejrzystoœć i znacznš ochronę prywatnoœci, to organizacje bronišce praw człowieka na Wyspach przypisały mu skrajnš ingerencję w podstawowe wolnoœci obywatelskie. Wtórował im E. Snowden, tweetujšc: „Wielka Brytania zalegalizowała najbardziej ekstremalne œrodki inwigilacji w historii zachodnich demokracji, idšce dalej aniżeli w wielu reżimach autokratycznych".

Sytuacja przypominała okolicznoœci wprowadzenia do polskiego porzšdku prawnego w 2016 r. nowych rozwišzań odnoœnie do czynnoœci operacyjno-rozpoznawczych policji i innych służb. Wtedy Helsińska Fundacja Praw Człowieka i Panoptykon zareagowały ostrš krytykš wprowadzanych zmian; nie obyło się też bez ulicznych protestów. A przecież Europš targały wtedy zamachy terrorystyczne, niemal wszystkie państwa rozszerzały uprawnienia służb, nie wspominajšc już o obowišzujšcym we Francji permanentnym stanie wyjštkowym. Z tej perspektywy narzędzia inwigilacyjne przyznane policji i służbom mogš się jawić jako wyważone, a na pewno skromniejsze od zawartych w Investigatory Powers Act (nie przewidziano m.in. masowych podsłuchów czy żšdania od producentów backdoorów do inwigilacji urzšdzeń).

Warto natomiast spojrzeć na niektóre rozwišzania przyjęte w IP i dotyczšce nadzoru nad działaniami służb pod kštem ich implementacji na grunt krajowy. Ciekawš, nowš instytucjš jest Trybunał Œledczy (Investigatory Powers Tribunal, IPT), który rozpatruje wszelkie skargi na ingerencję w dane cyfrowe. IPT to organ sšdowy (sšd), niezależny od innych agend państwowych i składajšcy się z prawników o niekwestionowanej pozycji zawodowej. Do jego kompetencji należy przede wszystkim prowadzenie dochodzeń przeciw władzom publicznym, dotyczšcych niezgodnego z prawem wykorzystania technik inwigilacyjnych i naruszenia prawa do prywatnoœci. Zadbano, aby Trybunał spełniał swoje funkcje i wychodził naprzeciw osobom poszkodowanym: jest bezpłatny dla interesanta, może zapewnić poufnoœć w celu ochrony powoda, organy publiczne majš obowišzek z nim współpracować, a ponadto IPT ma szerokie uprawnienia do wydawania zaleceń naprawczych władzom państwowym i zasšdzania odszkodowań.

W naszym kraju krytykuje się, że osoba inwigilowana po zakończeniu pracy operacyjnej nie jest informowana o podjętych wobec niej czynnoœciach. Chociaż brytyjskie służby także nie majš nakazu powiadamiania, to w wyjštkowych sytuacjach, kiedy popełniono poważny błšd w podsłuchu, obowišzek taki może się aktualizować. Specjalny komisarz musi rozważyć wówczas powagę błędu i jego skutki dla konkretnej osoby, a także, w jakim stopniu ujawnienie nieprawidłowoœci byłoby sprzeczne z interesem publicznym, powodowało zagrożenie dla bezpieczeństwa narodowego lub wykonywania zadań przez służby wywiadowcze. Ocena tych przesłanek w okolicznoœciach konkretnej sprawy warunkuje podjęcie decyzji o powiadomieniu osoby o niejawnych działaniach i stwierdzonych nieprawidłowoœciach.

Wspomniałem już, że IPA uporzšdkowała wczeœniej rozproszone w co najmniej kilku aktach prawnych uprawnienia brytyjskich agencji bezpieczeństwa.

Próby koncentracji czynnoœci operacyjno-rozpoznawczych w jednej ustawie były podejmowane także nad Wisłš: sejmowy projekt takiej ustawy złożyli w 1997 r. posłowie Unii Pracy, a w 2008 r. Platformy Obywatelskiej. Argumentowali, że jedna regulacja stanie się bardziej zrozumiała, pozwoli usystematyzować kompetencje różnych podmiotów oraz ujednolici stosowanie przepisów. To postulat z założenia słuszny, ale trudny do spełnienia. Każda formacja: policyjna, wywiadowcza i kontrwywiadowcza, ma pewnš specyfikę działania. Dlatego wrzucenie do jednego wora wszystkich regulacji mogłoby spowodować chaos w ich stosowaniu, a nawet częœciowy paraliż służb. Niemniej warto się przyglšdać brytyjskim rozwišzaniom „legalnego hakingu", bo temat jest bardzo aktualny i cišgle ewoluuje w kierunku zwiększania uprawnień „inwigilacyjnych" poszczególnych państw. ?

Autor jest prokuratorem w Krakowie-Podgórzu, doktorem nauk prawnych, członkiem Zespołu Blockchain/DLT i Waluty Cyfrowe przy Ministerstwie Cyfryzacji, ekspertem Instytutu Koœciuszki oraz wykładowcš KSSiP