IPA - prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji

Wprowadzenie IPA miało uporządkować uprawnienia organów ścigania w stosowaniu nowoczesnej inwigilacji.

Aktualizacja: 20.01.2018 15:11 Publikacja: 20.01.2018 15:00

Największe kontrowersje budzi przyznanie służbom szerokich uprawnień do przechwytywania z sieci dany

Największe kontrowersje budzi przyznanie służbom szerokich uprawnień do przechwytywania z sieci danych masowych

Foto: AdobeStock

Wielka Brytania ma teraz prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji – powiedział Jim Killock, dyrektor Open Rights Group, organizacji broniącej wolności internetu, gdy brytyjski organ prawodawczy uchwalił Investigatory Powers Act (IPA). Po 12 miesiącach debaty w parlamencie 29 listopada 2016 r. ustawa uzyskała królewską zgodę na wejście w życie i stała się obowiązującym prawem. Mając jednak na uwadze specyfikę prawa anglosaskiego, spodziewany termin obowiązywania wszystkich regulacji IPA to rok 2018 (tak wynika z informacji uzyskanych przeze mnie z Home Office).

Wprowadzenie IPA miało: uporządkować w jednym dokumencie uprawnienia organów ścigania m.in. w stosowaniu nowoczesnych metod inwigilacji;wprowadzić efektywne formy sądowego nadzoru nad wykonywaniem czynności operacyjnych oraz dostosować przepisy do wyzwań epoki cyfrowej.

Warto się przyjrzeć IPA choćby dlatego, że stał się elementem dyskusji o granicach „legalnego hakingu" w kontekście praw i wolności obywatelskich. Taka debata prowadzona jest także w Polsce, z apogeum w 2016 r., gdy w styczniu Sejm uchwalił zmiany w ustawie o Policji, a w czerwcu ustawę antyterrorystyczną.

IPA jest odpowiedzią rządu brytyjskiego na nowe rozwiązania technologiczne w cyberprzestrzeni, a bezpośrednim impulsem do jej wprowadzenia była fala zamachów przelewająca się od kilku lat przez Europę. Amber Rudd (od 13 lipca 2016 r. minister spraw wewnętrznych w gabinecie Theresy May) argumentowała, że w czasach zwiększonego zagrożenia bezpieczeństwa najważniejsze jest, aby organy ścigania, służby bezpieczeństwa i służby wywiadowcze miały odpowiednie uprawnienia do ochrony obywateli. Szczególnie internet stwarza nowe możliwości terrorystom i trzeba mieć pewność, że rząd ma narzędzia konfrontacji z tym wyzwaniem – przekonywała A. Rudd, dodając, że uprawnienia służb podlegają ścisłym zabezpieczeniom i rygorystycznemu nadzorowi.

Kto, kiedy, gdzie...

Większość środków kontroli pozyskiwania danych telekomunikacyjnych i informatycznych przyjętych w IPA już obowiązywała na Wyspach. Znane są też w prawie polskim. Chodzi np. o informacje identyfikujące nadawcę komunikatu internetowego czy treści przekazu telekomunikacyjnego, takie jak rozmowy telefoniczne, wiadomości mailowe lub przekazywane w serwisach społecznościowych w momencie transmisji lub zapisu w systemie. Equipment interference pozwala z kolei na pobieranie danych z urządzenia przez bezpośredni dostęp do komputera lub smartfonu w celu uzyskania z jego pamięci danych cyfrowych. Chodzi zatem o instalowanie oprogramowania szpiegującego (np. keyloggera) i monitorowanie komunikacji w czasie rzeczywistym.

Największe kontrowersje budzi jednak przyznanie służbom szerokich uprawnień do przechwytywania z sieci danych masowych (bulk data), chociaż część takich prerogatyw mieli już wcześniej. Chodzi o terabajty automatycznie gromadzonych informacji oraz ich przetwarzanie i analizowanie. Jest kilka wariantów bulk data. W masowym śledzeniu komunikacji (bulk interception of communications) chodzi o dostęp do znaczenia przekazu podczas jego przemieszczania się w sieciach. Bulk communications data acquisition nie zawiera natomiast słów wypowiedzianych ani wysłanych, ale dotyczy treści komunikacji: kto, kiedy, gdzie, jak i z kim nawiązywał połączenie. Może obejmować np. datę i godzinę rozmowy telefonicznej lub dane nadawcy i odbiorcy wiadomości e-mail. Bulk personal datasets dotyczy zbierania i przetwarzania ogromnej liczby danych osobowych związanych m.in. z przemieszczaniem się osoby fizycznej.

Procedura pozyskiwania danych masowych podlega określonym ograniczeniom, a najważniejsze stanowi, że stały „podsłuch" komunikacji i urządzeń może dotyczyć danych znajdujących się/transmitowanych poza granicami Wielkiej Brytanii. W założeniu twórców IPA bulk data mają kluczowe znaczenie dla umożliwienia agencjom ds. bezpieczeństwa i wywiadu badania i identyfikacji zagrożeń wysokiego priorytetu pochodzących od osób fizycznych (terrorystów i poważnych przestępców), bo po obróbce są bezcennym źródłem informacji. W rządowym dokumencie Operational Case for Bulk Powers podkreślono, że działania takie pomogły już wyjść Zjednoczonemu Królestwu z opresji. Okazały się m.in. niezbędne do wykrycia 95 proc. ataków cybernetycznych na osoby i przedsiębiorstwa ujawnionych przez służby w ciągu sześciu miesięcy 2016 r. Analiza big data może identyfikować złośliwe oprogramowanie i nowe formy cyberataków. Wykorzystywana była też do wykrycia poważnych przestępców w darknecie, w tym pedofilów i handlarzy narkotyków.

Masowa analiza danych jest na Wyspach od lat jednym z najskuteczniejszych narzędzi walki z terroryzmem. Dzięki niej służby zapobiegły w czerwcu 2007 r. drugiemu zamachowi terrorystycznemu w Londynie. W ciągu kilku godzin, po analizie danych o łączności masowej, namierzono kolejną grupę planującą uderzenie oraz zidentyfikowano osoby, które miały „intensywny" kontakt z telefonami używanymi przez sprawców pierwszego ataku.

Wykorzystanie informacji uzyskanych metodą bulk data często wymaga współpracy międzynarodowej. Tak było w 2014 r., kiedy zidentyfikowano osobę pozostającą w stałym kontakcie z rezydującym w Syrii ekstremistą Daesh. Sprawdzono, że mężczyzna podróżował niedawno do europejskiego kraju, a kolejne dane wskazywały, że planuje atak terrorystyczny. Informacje przekazano krajowi miejsca pobytu terrorysty, co skutkowało jego aresztowaniem i neutralizacją kilku urządzeń wybuchowych domowej roboty.

Służby sobie poradziły

Inna kontrowersyjna kwestia to możliwość zobowiązania specjalnym nakazem dostawców usług telekomunikacyjnych i teleinformatycznych oraz producentów urządzeń (niezależnie od tego, czy mają siedzibę w Wielkiej Brytanii czy za granicą) do przekazania służbom poufnych informacji technicznych o produkowanych lub stosowanych rozwiązaniach bazujących na kryptografii. Technical Capability Notices, bo tak nazywa się omawiana instytucja, ma umożliwić agencjom bezpieczeństwa odszyfrowywanie danych oraz osłabienie anonimizacji przekazu cyfrowego, pozostającego w ich zainteresowaniu.

Sprawa przypomina spór prawny z 2016 r. między FBI a Apple: agenci zażądali od firmy przełamania zabezpieczeń iPhone 5c i dostępu do danych urządzenia, którym wcześniej posługiwał się terrorysta. Sprawa miała swój finał w sądzie, gdyż Apple nie zgadzało się na zlikwidowanie blokady. Ostatecznie Biuro samo poradziło sobie z zabezpieczeniami, gdyż najprawdopodobniej system operacyjny urządzenia miał niedociągnięcia wykorzystane do legalnego włamania hakerskiego.

Temat jest rozwojowy

Chociaż rząd brytyjski określił IPA jako zapewniający bezprecedensową przejrzystość i znaczną ochronę prywatności, to organizacje broniące praw człowieka na Wyspach przypisały mu skrajną ingerencję w podstawowe wolności obywatelskie. Wtórował im E. Snowden, tweetując: „Wielka Brytania zalegalizowała najbardziej ekstremalne środki inwigilacji w historii zachodnich demokracji, idące dalej aniżeli w wielu reżimach autokratycznych".

Sytuacja przypominała okoliczności wprowadzenia do polskiego porządku prawnego w 2016 r. nowych rozwiązań odnośnie do czynności operacyjno-rozpoznawczych policji i innych służb. Wtedy Helsińska Fundacja Praw Człowieka i Panoptykon zareagowały ostrą krytyką wprowadzanych zmian; nie obyło się też bez ulicznych protestów. A przecież Europą targały wtedy zamachy terrorystyczne, niemal wszystkie państwa rozszerzały uprawnienia służb, nie wspominając już o obowiązującym we Francji permanentnym stanie wyjątkowym. Z tej perspektywy narzędzia inwigilacyjne przyznane policji i służbom mogą się jawić jako wyważone, a na pewno skromniejsze od zawartych w Investigatory Powers Act (nie przewidziano m.in. masowych podsłuchów czy żądania od producentów backdoorów do inwigilacji urządzeń).

Warto natomiast spojrzeć na niektóre rozwiązania przyjęte w IP i dotyczące nadzoru nad działaniami służb pod kątem ich implementacji na grunt krajowy. Ciekawą, nową instytucją jest Trybunał Śledczy (Investigatory Powers Tribunal, IPT), który rozpatruje wszelkie skargi na ingerencję w dane cyfrowe. IPT to organ sądowy (sąd), niezależny od innych agend państwowych i składający się z prawników o niekwestionowanej pozycji zawodowej. Do jego kompetencji należy przede wszystkim prowadzenie dochodzeń przeciw władzom publicznym, dotyczących niezgodnego z prawem wykorzystania technik inwigilacyjnych i naruszenia prawa do prywatności. Zadbano, aby Trybunał spełniał swoje funkcje i wychodził naprzeciw osobom poszkodowanym: jest bezpłatny dla interesanta, może zapewnić poufność w celu ochrony powoda, organy publiczne mają obowiązek z nim współpracować, a ponadto IPT ma szerokie uprawnienia do wydawania zaleceń naprawczych władzom państwowym i zasądzania odszkodowań.

W naszym kraju krytykuje się, że osoba inwigilowana po zakończeniu pracy operacyjnej nie jest informowana o podjętych wobec niej czynnościach. Chociaż brytyjskie służby także nie mają nakazu powiadamiania, to w wyjątkowych sytuacjach, kiedy popełniono poważny błąd w podsłuchu, obowiązek taki może się aktualizować. Specjalny komisarz musi rozważyć wówczas powagę błędu i jego skutki dla konkretnej osoby, a także, w jakim stopniu ujawnienie nieprawidłowości byłoby sprzeczne z interesem publicznym, powodowało zagrożenie dla bezpieczeństwa narodowego lub wykonywania zadań przez służby wywiadowcze. Ocena tych przesłanek w okolicznościach konkretnej sprawy warunkuje podjęcie decyzji o powiadomieniu osoby o niejawnych działaniach i stwierdzonych nieprawidłowościach.

Wspomniałem już, że IPA uporządkowała wcześniej rozproszone w co najmniej kilku aktach prawnych uprawnienia brytyjskich agencji bezpieczeństwa.

Próby koncentracji czynności operacyjno-rozpoznawczych w jednej ustawie były podejmowane także nad Wisłą: sejmowy projekt takiej ustawy złożyli w 1997 r. posłowie Unii Pracy, a w 2008 r. Platformy Obywatelskiej. Argumentowali, że jedna regulacja stanie się bardziej zrozumiała, pozwoli usystematyzować kompetencje różnych podmiotów oraz ujednolici stosowanie przepisów. To postulat z założenia słuszny, ale trudny do spełnienia. Każda formacja: policyjna, wywiadowcza i kontrwywiadowcza, ma pewną specyfikę działania. Dlatego wrzucenie do jednego wora wszystkich regulacji mogłoby spowodować chaos w ich stosowaniu, a nawet częściowy paraliż służb. Niemniej warto się przyglądać brytyjskim rozwiązaniom „legalnego hakingu", bo temat jest bardzo aktualny i ciągle ewoluuje w kierunku zwiększania uprawnień „inwigilacyjnych" poszczególnych państw. ?

Autor jest prokuratorem w Krakowie-Podgórzu, doktorem nauk prawnych, członkiem Zespołu Blockchain/DLT i Waluty Cyfrowe przy Ministerstwie Cyfryzacji, ekspertem Instytutu Kościuszki oraz wykładowcą KSSiP

Nieruchomości
Sąd Najwyższy wydał ważny wyrok dla tysięcy właścicieli gruntów ze słupami
Podatki
Podział mieszkania ze spadku. Czy można uniknąć podatku?
Prawo karne
„Matka Boska Kermitowska” obraża uczucia religijne? Jest wyrok sądu
Prawo w Polsce
Ile zapłacimy za abonament RTV w 2025? Oto stawki od 1 stycznia i lista zwolnionych z opłaty
Materiał Promocyjny
Najlepszy program księgowy dla biura rachunkowego
Podatki
Ulga podatkowa dla pracujących seniorów. Czym jest i kto może z niej skorzystać?
Materiał Promocyjny
„Nowy finansowy ja” w nowym roku