Wielka Brytania ma teraz prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji – powiedział Jim Killock, dyrektor Open Rights Group, organizacji broniącej wolności internetu, gdy brytyjski organ prawodawczy uchwalił Investigatory Powers Act (IPA). Po 12 miesiącach debaty w parlamencie 29 listopada 2016 r. ustawa uzyskała królewską zgodę na wejście w życie i stała się obowiązującym prawem. Mając jednak na uwadze specyfikę prawa anglosaskiego, spodziewany termin obowiązywania wszystkich regulacji IPA to rok 2018 (tak wynika z informacji uzyskanych przeze mnie z Home Office).
Wprowadzenie IPA miało: uporządkować w jednym dokumencie uprawnienia organów ścigania m.in. w stosowaniu nowoczesnych metod inwigilacji;wprowadzić efektywne formy sądowego nadzoru nad wykonywaniem czynności operacyjnych oraz dostosować przepisy do wyzwań epoki cyfrowej.
Warto się przyjrzeć IPA choćby dlatego, że stał się elementem dyskusji o granicach „legalnego hakingu" w kontekście praw i wolności obywatelskich. Taka debata prowadzona jest także w Polsce, z apogeum w 2016 r., gdy w styczniu Sejm uchwalił zmiany w ustawie o Policji, a w czerwcu ustawę antyterrorystyczną.
IPA jest odpowiedzią rządu brytyjskiego na nowe rozwiązania technologiczne w cyberprzestrzeni, a bezpośrednim impulsem do jej wprowadzenia była fala zamachów przelewająca się od kilku lat przez Europę. Amber Rudd (od 13 lipca 2016 r. minister spraw wewnętrznych w gabinecie Theresy May) argumentowała, że w czasach zwiększonego zagrożenia bezpieczeństwa najważniejsze jest, aby organy ścigania, służby bezpieczeństwa i służby wywiadowcze miały odpowiednie uprawnienia do ochrony obywateli. Szczególnie internet stwarza nowe możliwości terrorystom i trzeba mieć pewność, że rząd ma narzędzia konfrontacji z tym wyzwaniem – przekonywała A. Rudd, dodając, że uprawnienia służb podlegają ścisłym zabezpieczeniom i rygorystycznemu nadzorowi.
Kto, kiedy, gdzie...
Większość środków kontroli pozyskiwania danych telekomunikacyjnych i informatycznych przyjętych w IPA już obowiązywała na Wyspach. Znane są też w prawie polskim. Chodzi np. o informacje identyfikujące nadawcę komunikatu internetowego czy treści przekazu telekomunikacyjnego, takie jak rozmowy telefoniczne, wiadomości mailowe lub przekazywane w serwisach społecznościowych w momencie transmisji lub zapisu w systemie. Equipment interference pozwala z kolei na pobieranie danych z urządzenia przez bezpośredni dostęp do komputera lub smartfonu w celu uzyskania z jego pamięci danych cyfrowych. Chodzi zatem o instalowanie oprogramowania szpiegującego (np. keyloggera) i monitorowanie komunikacji w czasie rzeczywistym.