W czasie, kiedy głównymi tematami zainteresowania Parlamentu Europejskiego wydają się być dyrektywa usługowa (sprawa "polskiego hydraulika") oraz rozporządzenie Reach (rejestracja związków chemicznych), powoli rozchodzą się informacje o nowej propozycji Komisji Europejskiej - dyrektywy dotyczącej "zatrzymywania przetwarzanych danych" (ang. data retention). Nie jest to pierwsze pojawienie się tej problematyki - już kiedyś Rada Unii Europejskiej, praktycznie z
pominięciem Parlamentu, próbowała wprowadzić podobną legislację. Wtedy się to nie udało, w tej chwili jest czynione drugie
podejście. O co właściwie chodzi w dyrektywie?
Po atakach terrorystycznych w Nowym Jorku i Madrycie pojawiły się głosy, że jedynym sposobem walki z terroryzmem jest
zwiększona kontrola państwa nad obywatelami. W związku z tym siły specjalne różnych państw otrzymały dodatkowe uprawnienia
dotyczące inwigilacji swoich własnych obywateli. Zwolennikiem nasilonej kontroli jest m.in. sprawująca obecnie prezydencję w
UE Wielka Brytania, która jest uważana za głównego promotora projektu nowej dyrektywy.
Projekt dyrektywy w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem
publicznych usług łączności elektronicznej, bo taka jest oficjalna nazwa kontrowersyjnego dokumentu, nakłada na operatorów
telefonicznych i internetowych obowiązki dotyczące przechowywania przez dłuższy okres danych dotyczących łączności
przeprowadzanych za ich pośrednictwem. Dane te mają służyć m.in. do zapobiegania, wykrywania i karania poważnych przestępstw
popełnianych przez użytkowników telefonów i internetu. Dyrektywa proponuje przechowywanie danych dotyczących połączeń
internetowych przez pół roku, połączeń telefonicznych - przez rok.
Artykuł 4 dyrektywy ustala ogólne kategorie danych, które powinny znaleźć się w bazach operatorów. Są to:
- dane niezbędne do ustalenia źródła połączenia;
- dane niezbędne do ustalenia odbiorcy połączenia;
- dane niezbędne do określenia daty, godziny i czasu trwania połączenia;
- danie niezbędne do określenia rodzaju połączenia;
- dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć
za narzędzie komunikacji;
- danie niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej.
Szczegółową listę danych podlegających zatrzymaniu znajdziemy w załączniku do dyrektywy - może on jednak ulegać modyfikacjom
"tak często, jak jest to niezbędne" (art. 5). Jak możemy przeczytać w uzasadnieniu projektu (str. 7), "dostęp do
zatrzymywanych danych będzie przysługiwał jedynie organom ścigania, a zatem nie będą go mieć dostawcy usług łączności
elektronicznej."
Warto zwrócić uwagę na to, że powyższy opis dotyczy dyrektywy w wersji zaproponowanej przez komisję. Do chwili obecnej
zgłoszono blisko 240 poprawek (projekt dyrektywy ma 15 artykułów), z których część to propozycje zaostrzenia inwigilacji,
zwiększenia obowiązków nakładanych na operatorów oraz - jest to szczególnie ważne dla małych sieci - zniesienia pomocy
finansowej państwa w celu pokrycia kosztów dostosowania się do nowych regulacji. Taką właśnie propozycję zgłosiła prezydencja brytyjska
przedstawicielom państw członkowskich pracujących nad kompromisem między Parlamentem a Radą (już dziś wiadomo, że będzie
podjęta próba przyjęcia dyrektywy po jednym, a nie po dwóch czytaniach). W propozycji prezydencji można też, poza
przerzuceniem kosztów na operatorów, znaleźć zapisy zmieniające okres przechowywania danych "od 6 miesięcy do 2 lat" - każde
państwo będzie decydować samodzielnie - oraz usunięcie słowa zastąpienie "poważnych przestępstw" - "przestępstwami" z
określenia zakresu dyrektywy (recital 18).
Komentarz redakcji
Opisywana dyrektywa ma szczytny cel - walkę z terroryzmem - tak w każdym razie przedstawia się go na okładkach pism
wysyłanych do deputowanych oraz we wstępie do samego projektu. Problem polega na tym, że dyrektywa została skonstruowana w
taki sposób, że legalizuje przechowywanie danych o łącznościach każdego obywatela, jednak dla średnio rozwiniętej technicznie
osoby jej zapisy są bardzo łatwe do obejścia. Co więcej, dyrektywa szczególnie uderza w operatorów internetowych i
telekomunikacyjnych, na których próbuje się przerzucić koszty śledzenia obywateli. Fikcyjny wydaje się również zapewnienie o
braku dostępu dostawców łączności do... danych zbieranych przez nich samych. Z technicznego punktu widzenia, przede wszystkim
oni mają dostęp do danych - zwłaszcza, jeśli mają na nich operować w celu dostarczenia właściwym służbom oraz je zabezpieczać
przed uszkodzeniem lub kradzieżą.
Dodatkowo, obowiązek przechowywania danych nakładany na wszystkich operatorów jest szczególnie cenną informacją dla
poszukujących informacji włamywaczy komputerowych - skoro każdy z nich będzie wiedział, że te dane są przechowywane na
maszynach każdego operatora, będzie wiedział, że na pewno powinien móc je tam znaleźć. Szczególnie, jeśli jego potencjalna
ofiara jest podłączona do słabo zabezpieczonej sieci blokowej.
Autorzy dyrektywy nie wzięli też pod uwagę łatwości podłączenia się do cudzej sieci za pośrednictwem zdobywającego coraz
większą popularność WiFi - zbierając dane d tego artykułu, sprawdziłem, ile niezabezpieczonych sieci bezprzewodowych jest
osiągalnych z mojego mieszkania w typowo mieszkaniowej dzielnicy. Korzystając tylko z wbudowanej w laptopa anteny byłem w
stanie podłączyć się do trzech. Jak wiadomo, nawet zabezpieczone sieci WiFi są często łatwym łupem dla potencjalnych
włamywaczy - standardowe zabezpieczenia zostały złamane dawno temu i dziś każdy dysponujący opisami dostępnymi w internecie
może podłączyć się nawet do teoretycznie zabezpieczonej sieci.
Twórcy dyrektywy nie słyszeli też prawdopodobnie o możliwości zmiany adresu MAC komputera (jest on wskazany w załączniku jako
jeden z elementów identyfikacji nadawcy), prawdopodobnie nie wiedzą też, że adres MAC jest przekazywany wyłącznie w sieciach
lokalnych, stosunkowo rzadko trafia do logów dostawcy poczty czy telefonii internetowej. Nie słyszeli też nigdy o możliwości
tunelowania danych - w celu obejścia zapisów dyrektywy, wystarczy otworzyć szyfrowany tunel do serwera znajdującego się poza
Unią Europejską, a w logach operatorów znajdą się tylko informacje o łączności z jednym komputerem. Pozostała łączność będzie
dla nich tajemnicą.
Wreszcie - nie zdają sobie chyba sprawy, że dane w internecie nie przebiegają bezpośrednio od jednego dostawcy usług do
drugiego - lecz za pośrednictwem łącz innych operatorów. Z obecnych zapisów wynika, że trzeba będzie odnotowywać wszystkie
wyszczególnione w załączniku transmisje przebiegające przez łącza - czy to oznacza, że operator sieci szkieletowej będzie
musiał zapisywać informacje o każdym mailu, który jest transmitowany za jego pośrednictwem? Pomijając fakt, że są to ogromne
ilości danych, oznacza to również duplikowanie zapisów... W końcu te dane znajdują się już w serwerach nadawcy i odbiorcy. A
co w przypadku, kiedy nadawca ma swój własny serwer wpięty do dużej sieci? Czy sam ma zbierać dane o sobie?
Takich wątpliwości jest więcej - w projekcie dyrektywy oraz w złożonych do niej poprawkach można znaleźć niejeden absurd
czytelny dla każdego, kto ma choć podstawową wiedzę dotyczącą działania sieci. Szkoda, że po raz kolejny z Komisji
Europejskiej wyszedł projekt, który - choć reklamowany jako panaceum na terrorystów - uderza przede wszystkim w prywatność
obywateli. Terroryści go legalnie obejdą.
Uaktualnienie: Głosowanie nad poprawkami w głównej komisji Parlamentu: 24 listopada. Głosowanie na sesji plenarnej: 13 grudnia. Projekt dyrektywy został przedstawiony we wrześniu. Jest to jeden z najszybszych procesów legislacyjnych w Unii.
|
Data Retention