Artykuł 07.01.2016 7 min. czytania Tekst Image Policja i służby uzyskają uprawnienie do inwigilacji internautów? PiS i jego sojusznicy chcą, żeby można było śledzić wszystko, co robimy w Internecie? A może nic się nie zmieni? Wątpliwości wokół danych internetowych, o których mowa w projekcie nowelizacji ustawy o policji procedowanym obecnie w Sejmie, narastają. Naszym zdaniem projekt jest fatalny, ale jego krytyka czasami idzie za daleko. O czym mówimy? Niewątpliwie jednym ze źródeł nieporozumienia jest niejasność pojęcia danych internetowych. Są to informacje na temat użytkowników, które pośrednicy internetowi (np. Interia czy Onet) przechowują na podstawie ustawy o świadczeniu usług drogą elektroniczną. Część z nich to dane niezbędne, by prawidłowo dostarczyć i rozliczyć usługę, np. imię, nazwisko i adres e-mail, oraz tzw. dane eksploatacyjne, które są konieczne, by „dopasować” usługę do sprzętu i oprogramowania użytkownika, czyli numer IP, informacje o systemie operacyjnym czy przeglądarce internetowej. Niezbędne do świadczenia usługi może być także przechowywanie treści korespondencji, jeśli tego właśnie oczekuje klient – np. w ramach usługi poczty elektronicznej obejmującej przechowywanie danych na wirtualnym serwerze. Innym przykładem danych osobowych zbieranych przez firmy może być adres, pod który sklep internetowy dostarcza zakupiony towar. Jednak zasada jest wciąż ta sama – firma musi mieć jasny, wynikający ze specyfiki usługi, powód do przetwarzania tych informacji. Są wreszcie dodatkowe dane, które służą np. dopasowaniu wyświetlanych treści do cech użytkownika, poprawiające jakość usługi. Do tej kategorii zaliczają się wszystkie dane, które sami podajemy portalom – chociażby randkowym – o naszych zainteresowaniach. Firmy internetowe przetwarzają dużo informacji na nasz temat: od numeru IP i ustawień przeglądarki po wszystkie informacje, które im dobrowolnie podaliśmy. Skąd obawy? W gorącej dyskusji na temat „danych internetowych” należy odróżnić fakty od mitów. Mitem jest twierdzenie, że projekt przyznaje służbom zupełnie nowe uprawnienia, a policja i służby nie miały dotychczas dostępu do danych internetowych. Miały. Mogły go wykorzystywać i to robiły – podstawą prawną był przepis mówiący o możliwości uzyskania dostępu do danych na „potrzeby prowadzonych postępowań”. Działo się to bez jakiejkolwiek kontroli – kiedy firma otrzymywała pismo wskazujące, że dane są potrzebne do jakiegoś postępowania, nie mogła zadawać zbędnych pytań. A jednak projekt ustawy ułatwia policji i innym służbom dostęp do danych internetowych. Dlaczego? Przede wszystkim – mimo że nie znika przepis dotyczący „prowadzonych postępowań” – policja będzie mogła sięgać po dane „w celu rozpoznawania, zapobiegania, zwalczania, wykrywania albo uzyskania i utrwalenia dowodów przestępstw albo w celu ratowania życia lub zdrowia ludzkiego bądź wsparcia działań poszukiwawczych lub ratowniczych”. Kryteria te są niezwykle szerokie: analizowanie ruchu na serwisach umożliwiających wymianę plików może być bowiem uznane za „zapobieganie przestępstwom”, a weryfikacja tożsamości użytkowników portali hazardowych – za przejaw troski o ich zdrowie. Druga zmiana ma jednak – przynajmniej potencjalnie – większe znaczenie. Dotychczas obligatoryjna była droga pisemna (np. pismo wysłane pocztą), teraz udostępnianie danych internetowych będzie mogło się odbywać drogą elektroniczną, bez udziału pracowników firmy. Wystarczy, że taka możliwość zostanie przewidziana w porozumieniu zawartym z komendantem głównym policji. To kopia rozwiązania stosowanego od lat wobec firm telekomunikacyjnych, które billingi i inne dane telekomunikacyjne udostępniają za pomocą takich „bezpiecznych łączy”. W tym kontekście musi się pojawić pytanie, czy wygoda i szybsze tempo udostępniania danych nie doprowadzi do radykalnego wzrostu skali zapytań? Jeśli tak, mamy konkretny powód do niepokoju. Dodatkowo projekt przewiduje, że koszt udostępniania danych będzie spoczywał na firmach, co dotychczas nie było jednoznaczne. To kolejne ułatwienie w dostępie do danych internetowych, które może się przełożyć na wzrost liczby zapytań. W 2013 r. zbadaliśmy skalę zapytań o dane internautów. Szczegółowe informacje otrzymaliśmy wówczas od Agencji Bezpieczeństwa Wewnętrznego. Okazało się, że w 2012 r. ABW zwróciła się z 692 pytaniami do 71 firm, co daje w zaokrągleniu 10 pytań do jednej firmy w skali roku. Dla porównania w tym samym roku ABW zadała operatorom telekomunikacyjnym 115 652 pytań, z których większość trafiła do jednego z 4 największych operatorów w Polsce. A więc bezpieczne łącza z największymi firmami telekomunikacyjnymi były realnie obciążone kilkudziesięcioma tysiącami pobrań danych. Dlaczego projekt przewiduje analogiczne ułatwienia w dostępie do danych internetowych, skoro skala zjawisk jest nieporównywalna? Jakie względy uzasadniają tworzenie takiej technologicznej infrastruktury na koszt firm internetowych – a w efekcie na koszt ich klientów? A może sama łatwość sięgania po dane sprawi, że słupki z liczbą zapytań poszybują w górę? Służby – mając szybkie, wygodne i bezpłatne łącze z firmami –będą miały pokusę, by po dane internetowe sięgać lekką ręką. Dodatkowym powodem do niepokoju jest nieprecyzyjność pojęcia danych internetowych, które według niektórych obejmuje także przekazywane przez firmy e-maile. Udostępnianie treści komunikacji w taki sam sposób jak pozostałych danych internetowych stanowiłoby wyłom w zasadzie, że na czytanie korespondencji policja i służby muszą uzyskiwać zgodę sądu. Najmniejsze wątpliwości w tej sprawie powinny być wyeliminowane w trakcie prac nad projektem. Na marginesie dyskusji na temat danych internetowych pojawiają się także obawy dotyczące możliwości korzystania przez służby z tzw. trojanów służących zdalnemu przeszukiwaniu komputerów. Dzisiaj możliwe jest to za zgodą sądu, a właściciel sprzętu jest o tym informowany. Projekt pogarsza ten standard – co krytykuje m.in. Helsińska Fundacja Praw Człowieka – zrównując przeszukanie komputera z kontrolą operacyjną, np. podsłuchem. Oznacza to, że do przeprowadzenia tej czynności nadal potrzebna będzie zgoda sądu, ale właściciel komputera może się nigdy o tym nie dowiedzieć. Kontrola, kontrola, kontrola Oceniając proponowane zmiany, należy wyraźnie rozróżnić dwie kwestie: możliwość szybkiego udostępnienia danych i problem braku realnej kontroli nad jej praktycznym wykorzystaniem. Sama możliwość szybkiego udostępnienia danych – przynajmniej w teorii – nie jest niczym złym: w niektórych sytuacjach (np. reagowania na próby samobójcze) jest wręcz konieczna. Problemem będzie dopiero jej nadużywanie przez policję i służby w sprawach, które nie uzasadniają takiej ingerencji w prywatność użytkowników Internetu. Sęk w tym, że w sytuacji braku niezależnej kontroli nad pobieraniem danych przez służby ryzyko nadużyć staje się bardzo realne. Teoretycznie projekt wprowadza następczą kontrolę sądu, jednak ze względu na ogromną liczbę spraw będzie ona fasadowa lub bardzo wyrywkowa – podobnie jak przy sięganiu po dane telekomunikacyjne, np. billingi. Nie ma przeszkód, żeby ujednolicić zasady dostępu do dwóch podobnych rodzajów danych: telekomunikacyjnych i internetowych. Takie rozwiązanie wydaje się logiczne i sami niejednokrotnie je rekomendowaliśmy. Nie powinno być to jednak równanie w dół. Zasady dostępu powinny przewidywać silną i skuteczną kontrolę niezależnego organu nad tym, kto zagląda w nasze billingi i dane internetowe. Najlepiej, jeśli tym organem byłby sąd, sprawdzający zasadność zapytań, zanim zostaną one zrealizowane. Wtedy „bezpieczne łącza” nie będą nam tak straszne. Wojciech Klicki, Katarzyna Szymielewicz Wojciech Klicki Autor Temat służby Internet bezpieczeństwo Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Podcast (Nie)bezpieczne dane. Rozmowa z Piotrem Koniecznym Kto może czuć się bezpieczny w Internecie? Jak firmy dbają o dane swoich klientów? Komu zdarzają się wycieki i jak sobie z nimi radzić? – opowiadał Piotr Konieczny, założyciel portalu Niebezpiecznik.pl, szkoleniowiec i praktyk z dziedziny cyberbezpieczeństwa. 21.03.2019 Dźwięk Artykuł Fiskus w pociągu Krajowa Administracja Skarbowa – instytucja, która powstała 2 lata temu, łączy w sobie uprawnienia dawnej kontroli skarbowej i celnej. Niebawem ustawa, na podstawie której działa KAS, będzie nowelizowana i w związku z tym pojawiły się informacje, że „fiskus dostanie więcej amunicji”. Wnikliwie… 16.08.2018 Tekst Artykuł „Będzie na czas”, czyli rząd zwleka z wdrożeniem dyrektywy policyjnej Już tylko 68 dni zostało na wdrożenie unijnej dyrektywy policyjnej, która miała wzmocnić prawa obywatelek i obywateli wobec państwa. Do Fundacji Panoptykon już kilka miesięcy temu trafił nieoficjalny projekt ustawy wdrażającej dyrektywę, ale oficjalnie w resorcie spraw wewnętrznych „trwają prace… 27.02.2018 Tekst