IPA - prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji

Wielka Brytania ma teraz prawo inwigilowania bardziej dostosowane do dyktatury niż do demokracji – powiedział Jim Killock, dyrektor Open Rights Group, organizacji broniącej wolności internetu, gdy brytyjski organ prawodawczy uchwalił Investigatory Powers Act (IPA). Po 12 miesiącach debaty w parlamencie 29 listopada 2016 r. ustawa uzyskała królewską zgodę na wejście w życie i stała się obowiązującym prawem. Mając jednak na uwadze specyfikę prawa anglosaskiego, spodziewany termin obowiązywania wszystkich regulacji IPA to rok 2018 (tak wynika z informacji uzyskanych przeze mnie z Home Office).

Wprowadzenie IPA miało: uporządkować w jednym dokumencie uprawnienia organów ścigania m.in. w stosowaniu nowoczesnych metod inwigilacji;wprowadzić efektywne formy sądowego nadzoru nad wykonywaniem czynności operacyjnych oraz dostosować przepisy do wyzwań epoki cyfrowej.

Warto się przyjrzeć IPA choćby dlatego, że stał się elementem dyskusji o granicach „legalnego hakingu" w kontekście praw i wolności obywatelskich. Taka debata prowadzona jest także w Polsce, z apogeum w 2016 r., gdy w styczniu Sejm uchwalił zmiany w ustawie o Policji, a w czerwcu ustawę antyterrorystyczną.

IPA jest odpowiedzią rządu brytyjskiego na nowe rozwiązania technologiczne w cyberprzestrzeni, a bezpośrednim impulsem do jej wprowadzenia była fala zamachów przelewająca się od kilku lat przez Europę. Amber Rudd (od 13 lipca 2016 r. minister spraw wewnętrznych w gabinecie Theresy May) argumentowała, że w czasach zwiększonego zagrożenia bezpieczeństwa najważniejsze jest, aby organy ścigania, służby bezpieczeństwa i służby wywiadowcze miały odpowiednie uprawnienia do ochrony obywateli. Szczególnie internet stwarza nowe możliwości terrorystom i trzeba mieć pewność, że rząd ma narzędzia konfrontacji z tym wyzwaniem – przekonywała A. Rudd, dodając, że uprawnienia służb podlegają ścisłym zabezpieczeniom i rygorystycznemu nadzorowi.

Kto, kiedy, gdzie...

Większość środków kontroli pozyskiwania danych telekomunikacyjnych i informatycznych przyjętych w IPA już obowiązywała na Wyspach. Znane są też w prawie polskim. Chodzi np. o informacje identyfikujące nadawcę komunikatu internetowego czy treści przekazu telekomunikacyjnego, takie jak rozmowy telefoniczne, wiadomości mailowe lub przekazywane w serwisach społecznościowych w momencie transmisji lub zapisu w systemie. Equipment interference pozwala z kolei na pobieranie danych z urządzenia przez bezpośredni dostęp do komputera lub smartfonu w celu uzyskania z jego pamięci danych cyfrowych. Chodzi zatem o instalowanie oprogramowania szpiegującego (np. keyloggera) i monitorowanie komunikacji w czasie rzeczywistym.

Największe kontrowersje budzi jednak przyznanie służbom szerokich uprawnień do przechwytywania z sieci danych masowych (bulk data), chociaż część takich prerogatyw mieli już wcześniej. Chodzi o terabajty automatycznie gromadzonych informacji oraz ich przetwarzanie i analizowanie. Jest kilka wariantów bulk data. W masowym śledzeniu komunikacji (bulk interception of communications) chodzi o dostęp do znaczenia przekazu podczas jego przemieszczania się w sieciach. Bulk communications data acquisition nie zawiera natomiast słów wypowiedzianych ani wysłanych, ale dotyczy treści komunikacji: kto, kiedy, gdzie, jak i z kim nawiązywał połączenie. Może obejmować np. datę i godzinę rozmowy telefonicznej lub dane nadawcy i odbiorcy wiadomości e-mail. Bulk personal datasets dotyczy zbierania i przetwarzania ogromnej liczby danych osobowych związanych m.in. z przemieszczaniem się osoby fizycznej.

Procedura pozyskiwania danych masowych podlega określonym ograniczeniom, a najważniejsze stanowi, że stały „podsłuch" komunikacji i urządzeń może dotyczyć danych znajdujących się/transmitowanych poza granicami Wielkiej Brytanii. W założeniu twórców IPA bulk data mają kluczowe znaczenie dla umożliwienia agencjom ds. bezpieczeństwa i wywiadu badania i identyfikacji zagrożeń wysokiego priorytetu pochodzących od osób fizycznych (terrorystów i poważnych przestępców), bo po obróbce są bezcennym źródłem informacji. W rządowym dokumencie Operational Case for Bulk Powers podkreślono, że działania takie pomogły już wyjść Zjednoczonemu Królestwu z opresji. Okazały się m.in. niezbędne do wykrycia 95 proc. ataków cybernetycznych na osoby i przedsiębiorstwa ujawnionych przez służby w ciągu sześciu miesięcy 2016 r. Analiza big data może identyfikować złośliwe oprogramowanie i nowe formy cyberataków. Wykorzystywana była też do wykrycia poważnych przestępców w darknecie, w tym pedofilów i handlarzy narkotyków.

Masowa analiza danych jest na Wyspach od lat jednym z najskuteczniejszych narzędzi walki z terroryzmem. Dzięki niej służby zapobiegły w czerwcu 2007 r. drugiemu zamachowi terrorystycznemu w Londynie. W ciągu kilku godzin, po analizie danych o łączności masowej, namierzono kolejną grupę planującą uderzenie oraz zidentyfikowano osoby, które miały „intensywny" kontakt z telefonami używanymi przez sprawców pierwszego ataku.

Wykorzystanie informacji uzyskanych metodą bulk data często wymaga współpracy międzynarodowej. Tak było w 2014 r., kiedy zidentyfikowano osobę pozostającą w stałym kontakcie z rezydującym w Syrii ekstremistą Daesh. Sprawdzono, że mężczyzna podróżował niedawno do europejskiego kraju, a kolejne dane wskazywały, że planuje atak terrorystyczny. Informacje przekazano krajowi miejsca pobytu terrorysty, co skutkowało jego aresztowaniem i neutralizacją kilku urządzeń wybuchowych domowej roboty.

Służby sobie poradziły

Inna kontrowersyjna kwestia to możliwość zobowiązania specjalnym nakazem dostawców usług telekomunikacyjnych i teleinformatycznych oraz producentów urządzeń (niezależnie od tego, czy mają siedzibę w Wielkiej Brytanii czy za granicą) do przekazania służbom poufnych informacji technicznych o produkowanych lub stosowanych rozwiązaniach bazujących na kryptografii. Technical Capability Notices, bo tak nazywa się omawiana instytucja, ma umożliwić agencjom bezpieczeństwa odszyfrowywanie danych oraz osłabienie anonimizacji przekazu cyfrowego, pozostającego w ich zainteresowaniu.

Sprawa przypomina spór prawny z 2016 r. między FBI a Apple: agenci zażądali od firmy przełamania zabezpieczeń iPhone 5c i dostępu do danych urządzenia, którym wcześniej posługiwał się terrorysta. Sprawa miała swój finał w sądzie, gdyż Apple nie zgadzało się na zlikwidowanie blokady. Ostatecznie Biuro samo poradziło sobie z zabezpieczeniami, gdyż najprawdopodobniej system operacyjny urządzenia miał niedociągnięcia wykorzystane do legalnego włamania hakerskiego.

Temat jest rozwojowy

Chociaż rząd brytyjski określił IPA jako zapewniający bezprecedensową przejrzystość i znaczną ochronę prywatności, to organizacje broniące praw człowieka na Wyspach przypisały mu skrajną ingerencję w podstawowe wolności obywatelskie. Wtórował im E. Snowden, tweetując: „Wielka Brytania zalegalizowała najbardziej ekstremalne środki inwigilacji w historii zachodnich demokracji, idące dalej aniżeli w wielu reżimach autokratycznych".

Sytuacja przypominała okoliczności wprowadzenia do polskiego porządku prawnego w 2016 r. nowych rozwiązań odnośnie do czynności operacyjno-rozpoznawczych policji i innych służb. Wtedy Helsińska Fundacja Praw Człowieka i Panoptykon zareagowały ostrą krytyką wprowadzanych zmian; nie obyło się też bez ulicznych protestów. A przecież Europą targały wtedy zamachy terrorystyczne, niemal wszystkie państwa rozszerzały uprawnienia służb, nie wspominając już o obowiązującym we Francji permanentnym stanie wyjątkowym. Z tej perspektywy narzędzia inwigilacyjne przyznane policji i służbom mogą się jawić jako wyważone, a na pewno skromniejsze od zawartych w Investigatory Powers Act (nie przewidziano m.in. masowych podsłuchów czy żądania od producentów backdoorów do inwigilacji urządzeń).

Warto natomiast spojrzeć na niektóre rozwiązania przyjęte w IP i dotyczące nadzoru nad działaniami służb pod kątem ich implementacji na grunt krajowy. Ciekawą, nową instytucją jest Trybunał Śledczy (Investigatory Powers Tribunal, IPT), który rozpatruje wszelkie skargi na ingerencję w dane cyfrowe. IPT to organ sądowy (sąd), niezależny od innych agend państwowych i składający się z prawników o niekwestionowanej pozycji zawodowej. Do jego kompetencji należy przede wszystkim prowadzenie dochodzeń przeciw władzom publicznym, dotyczących niezgodnego z prawem wykorzystania technik inwigilacyjnych i naruszenia prawa do prywatności. Zadbano, aby Trybunał spełniał swoje funkcje i wychodził naprzeciw osobom poszkodowanym: jest bezpłatny dla interesanta, może zapewnić poufność w celu ochrony powoda, organy publiczne mają obowiązek z nim współpracować, a ponadto IPT ma szerokie uprawnienia do wydawania zaleceń naprawczych władzom państwowym i zasądzania odszkodowań.

W naszym kraju krytykuje się, że osoba inwigilowana po zakończeniu pracy operacyjnej nie jest informowana o podjętych wobec niej czynnościach. Chociaż brytyjskie służby także nie mają nakazu powiadamiania, to w wyjątkowych sytuacjach, kiedy popełniono poważny błąd w podsłuchu, obowiązek taki może się aktualizować. Specjalny komisarz musi rozważyć wówczas powagę błędu i jego skutki dla konkretnej osoby, a także, w jakim stopniu ujawnienie nieprawidłowości byłoby sprzeczne z interesem publicznym, powodowało zagrożenie dla bezpieczeństwa narodowego lub wykonywania zadań przez służby wywiadowcze. Ocena tych przesłanek w okolicznościach konkretnej sprawy warunkuje podjęcie decyzji o powiadomieniu osoby o niejawnych działaniach i stwierdzonych nieprawidłowościach.

Wspomniałem już, że IPA uporządkowała wcześniej rozproszone w co najmniej kilku aktach prawnych uprawnienia brytyjskich agencji bezpieczeństwa.

Próby koncentracji czynności operacyjno-rozpoznawczych w jednej ustawie były podejmowane także nad Wisłą: sejmowy projekt takiej ustawy złożyli w 1997 r. posłowie Unii Pracy, a w 2008 r. Platformy Obywatelskiej. Argumentowali, że jedna regulacja stanie się bardziej zrozumiała, pozwoli usystematyzować kompetencje różnych podmiotów oraz ujednolici stosowanie przepisów. To postulat z założenia słuszny, ale trudny do spełnienia. Każda formacja: policyjna, wywiadowcza i kontrwywiadowcza, ma pewną specyfikę działania. Dlatego wrzucenie do jednego wora wszystkich regulacji mogłoby spowodować chaos w ich stosowaniu, a nawet częściowy paraliż służb. Niemniej warto się przyglądać brytyjskim rozwiązaniom „legalnego hakingu", bo temat jest bardzo aktualny i ciągle ewoluuje w kierunku zwiększania uprawnień „inwigilacyjnych" poszczególnych państw. ?