W czasie, kiedy głównymi tematami zainteresowania Parlamentu Europejskiego wydają się być dyrektywa usługowa (sprawa „polskiego hydraulika”) oraz rozporządzenie Reach (rejestracja związków chemicznych), powoli rozchodzą się informacje o nowej propozycji Komisji Europejskiej – dyrektywy dotyczącej „zatrzymywania przetwarzanych danych” (ang. data retention). Nie jest to pierwsze pojawienie się tej problematyki – już kiedyś Rada Unii Europejskiej, praktycznie z pominięciem Parlamentu, próbowała wprowadzić podobną legislację. Wtedy się to nie udało, w tej chwili jest czynione drugie podejście. O co właściwie chodzi w dyrektywie?
Po atakach terrorystycznych w Nowym Jorku i Madrycie pojawiły się głosy, że jedynym sposobem walki z terroryzmem jest zwiększona kontrola państwa nad obywatelami. W związku z tym siły specjalne różnych państw otrzymały dodatkowe uprawnienia dotyczące inwigilacji swoich własnych obywateli. Zwolennikiem nasilonej kontroli jest m.in. sprawująca obecnie prezydencję w UE Wielka Brytania, która jest uważana za głównego promotora projektu nowej dyrektywy.
Projekt dyrektywy w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej, bo taka jest oficjalna nazwa kontrowersyjnego dokumentu, nakłada na operatorów telefonicznych i internetowych obowiązki dotyczące przechowywania przez dłuższy okres danych dotyczących łączności przeprowadzanych za ich pośrednictwem. Dane te mają służyć m.in. do zapobiegania, wykrywania i karania poważnych przestępstw popełnianych przez użytkowników telefonów i internetu. Dyrektywa proponuje przechowywanie danych dotyczących połączeń internetowych przez pół roku, połączeń telefonicznych – przez rok.
Artykuł 4 dyrektywy ustala ogólne kategorie danych, które powinny znaleźć się w bazach operatorów. Są to:
- dane niezbędne do ustalenia źródła połączenia;
- dane niezbędne do ustalenia odbiorcy połączenia;
- dane niezbędne do określenia daty, godziny i czasu trwania połączenia;
- danie niezbędne do określenia rodzaju połączenia;
- dane niezbędne do określenia narzędzia komunikacji lub tego, co może służyć za narzędzie komunikacji;
- danie niezbędne do identyfikacji lokalizacji urządzenia komunikacji ruchomej.
Szczegółową listę danych podlegających zatrzymaniu znajdziemy w załączniku do dyrektywy – może on jednak ulegać modyfikacjom „tak często, jak jest to niezbędne” (art. 5). Jak możemy przeczytać w uzasadnieniu projektu (str. 7), „dostęp do zatrzymywanych danych będzie przysługiwał jedynie organom ścigania, a zatem nie będą go mieć dostawcy usług łączności elektronicznej.”
Warto zwrócić uwagę na to, że powyższy opis dotyczy dyrektywy w wersji zaproponowanej przez komisję. Do chwili obecnej zgłoszono blisko 240 poprawek (projekt dyrektywy ma 15 artykułów), z których część to propozycje zaostrzenia inwigilacji, zwiększenia obowiązków nakładanych na operatorów oraz – jest to szczególnie ważne dla małych sieci – zniesienia pomocy finansowej państwa w celu pokrycia kosztów dostosowania się do nowych regulacji. Taką właśnie propozycję zgłosiła prezydencja brytyjska przedstawicielom państw członkowskich pracujących nad kompromisem między Parlamentem a Radą (już dziś wiadomo, że będzie podjęta próba przyjęcia dyrektywy po jednym, a nie po dwóch czytaniach). W propozycji prezydencji można też, poza przerzuceniem kosztów na operatorów, znaleźć zapisy zmieniające okres przechowywania danych „od 6 miesięcy do 2 lat” – każde państwo będzie decydować samodzielnie – oraz usunięcie słowa zastąpienie „poważnych przestępstw” – „przestępstwami” z określenia zakresu dyrektywy (recital 18).
Komentarz redakcji
Opisywana dyrektywa ma szczytny cel – walkę z terroryzmem – tak w każdym razie przedstawia się go na okładkach pism wysyłanych do deputowanych oraz we wstępie do samego projektu. Problem polega na tym, że dyrektywa została skonstruowana w taki sposób, że legalizuje przechowywanie danych o łącznościach każdego obywatela, jednak dla średnio rozwiniętej technicznie osoby jej zapisy są bardzo łatwe do obejścia. Co więcej, dyrektywa szczególnie uderza w operatorów internetowych i telekomunikacyjnych, na których próbuje się przerzucić koszty śledzenia obywateli. Fikcyjny wydaje się również zapewnienie o braku dostępu dostawców łączności do… danych zbieranych przez nich samych. Z technicznego punktu widzenia, przede wszystkim oni mają dostęp do danych – zwłaszcza, jeśli mają na nich operować w celu dostarczenia właściwym służbom oraz je zabezpieczać przed uszkodzeniem lub kradzieżą.
Dodatkowo, obowiązek przechowywania danych nakładany na wszystkich operatorów jest szczególnie cenną informacją dla poszukujących informacji włamywaczy komputerowych – skoro każdy z nich będzie wiedział, że te dane są przechowywane na maszynach każdego operatora, będzie wiedział, że na pewno powinien móc je tam znaleźć. Szczególnie, jeśli jego potencjalna ofiara jest podłączona do słabo zabezpieczonej sieci blokowej.
Autorzy dyrektywy nie wzięli też pod uwagę łatwości podłączenia się do cudzej sieci za pośrednictwem zdobywającego coraz większą popularność WiFi – zbierając dane d tego artykułu, sprawdziłem, ile niezabezpieczonych sieci bezprzewodowych jest osiągalnych z mojego mieszkania w typowo mieszkaniowej dzielnicy. Korzystając tylko z wbudowanej w laptopa anteny byłem w stanie podłączyć się do trzech. Jak wiadomo, nawet zabezpieczone sieci WiFi są często łatwym łupem dla potencjalnych włamywaczy – standardowe zabezpieczenia zostały złamane dawno temu i dziś każdy dysponujący opisami dostępnymi w internecie może podłączyć się nawet do teoretycznie zabezpieczonej sieci.
Twórcy dyrektywy nie słyszeli też prawdopodobnie o możliwości zmiany adresu MAC komputera (jest on wskazany w załączniku jako jeden z elementów identyfikacji nadawcy), prawdopodobnie nie wiedzą też, że adres MAC jest przekazywany wyłącznie w sieciach lokalnych, stosunkowo rzadko trafia do logów dostawcy poczty czy telefonii internetowej. Nie słyszeli też nigdy o możliwości tunelowania danych – w celu obejścia zapisów dyrektywy, wystarczy otworzyć szyfrowany tunel do serwera znajdującego się poza Unią Europejską, a w logach operatorów znajdą się tylko informacje o łączności z jednym komputerem. Pozostała łączność będzie dla nich tajemnicą.
Wreszcie – nie zdają sobie chyba sprawy, że dane w internecie nie przebiegają bezpośrednio od jednego dostawcy usług do drugiego – lecz za pośrednictwem łącz innych operatorów. Z obecnych zapisów wynika, że trzeba będzie odnotowywać wszystkie wyszczególnione w załączniku transmisje przebiegające przez łącza – czy to oznacza, że operator sieci szkieletowej będzie musiał zapisywać informacje o każdym mailu, który jest transmitowany za jego pośrednictwem? Pomijając fakt, że są to ogromne ilości danych, oznacza to również duplikowanie zapisów… W końcu te dane znajdują się już w serwerach nadawcy i odbiorcy. A co w przypadku, kiedy nadawca ma swój własny serwer wpięty do dużej sieci? Czy sam ma zbierać dane o sobie?
Takich wątpliwości jest więcej – w projekcie dyrektywy oraz w złożonych do niej poprawkach można znaleźć niejeden absurd czytelny dla każdego, kto ma choć podstawową wiedzę dotyczącą działania sieci. Szkoda, że po raz kolejny z Komisji Europejskiej wyszedł projekt, który – choć reklamowany jako panaceum na terrorystów – uderza przede wszystkim w prywatność obywateli. Terroryści go legalnie obejdą.
Uaktualnienie: Głosowanie nad poprawkami w głównej komisji Parlamentu: 24 listopada. Głosowanie na sesji plenarnej: 13 grudnia. Projekt dyrektywy został przedstawiony we wrześniu. Jest to jeden z najszybszych procesów legislacyjnych w Unii.
Archiwalny news dodany przez użytkownika: honey.
Kliknij tutaj by zobaczyć archiwalne komentarze.