Apple wyjdzie z Europy, by chronić prywatność użytkowników? Już się zaczęło
Brytyjski rząd, deklarując chęć zaostrzenia walki z internetową pedofilią, poważnie rozważa wprowadzenie ustawy uniemożliwiającej pełne szyfrowanie danych. Apple już teraz odpowiada: jeśli to zrobicie, to my wyłączamy wam swoje usługi. Jak rzadko kiedy, przedstawiciel Big Techu ma rację i właściwie chroni swoich klientów.
Brytyjski rząd pracuje nad nowelizacją ustawy Investigatory Powers Act (IPA) 2016 opisującej uprawnienia dochodzeniowe organów ścigania. Szczególnie kontrowersyjnym zapisem jest obowiązek dostawców usług internetowych zapewnienia możliwości wyłączenia dowolnej funkcji cyfrowego bezpieczeństwa na polecenie podmiotu administracji publicznej i zachowania milczenia na ten temat aż do zakończenia śledztwa. Innymi słowy, taki dostawca musiałby wyłączyć ochronę danych użytkownika i go o tym nie powiadamiać aż do czasu, gdy brytyjscy śledczy przejrzą wszystkie jego dane.
Brytyjskie prawo i tak jest już dość surowe w kwestii ochrony danych, niestety z punktu widzenia samych obywateli. Na dziś organy ścigania w Wielkiej Brytanii mogą wystąpić o wyłączenie danej funkcji w konkretnym i uzasadnionym przypadku, musi jednak ten wniosek być dodatkowo zaopiniowany przez zewnętrzny i niezależny podmiot, a sam dostawca usług ma prawo apelacji. Nowa ustawa zakłada, że śledczy w zasadzie może zażądać dostępu do dowolnych danych, a dany usługodawca musi mu natychmiast ów dostęp zapewnić.
Apple mówi: spadajcie. WhatsApp i Signal już zapowiadają potencjalne opuszczenie brytyjskiego rynku.
Argumenty Apple’a, Mety i Signala (cytowane na łamach BBC) są ze sobą spójne, choć te od Apple’a mają z pewnością największa wagę z uwagi na liczbę sprzedawanych w Wielkiej Brytanii telefonów i tabletów. Jak twierdzą, jako firmy pochodzące z innych krajów niż Wielka Brytania nie poczuwają się do obowiązku spowiadania się ze swoich planów na przyszłość związanych z technologiami komunikacyjnymi i bezpieczeństwa, a tego w praktyce wymagałaby ustawa.
Część zapisów Apple wskazuje jako technicznie niemożliwe do zrealizowania. A wszystkie zapisy, jak argumentują niezależnie od siebie te trzy firmy, oznaczają konieczność wprowadzenia do usług na całym świecie słabszych zabezpieczeń. Tylko dlatego, że jeden wyspiarski kraj sobie tego życzy.
Argumentem przedstawianym przez brytyjską administrację jest chęć skuteczniejszej walki z przestępczością, w szczególności z internetową pedofilią. Nietrudno jednak zauważyć, że przy tej okazji brytyjskie organy ścigania zyskałyby bezprecedensowy wgląd w prywatne dane swoich obywateli. Nietrudno tu o dystopijne wizje przyszłości, w którym obywatel jest bezsilny w walce z opresyjną władzą.
WhatsApp zapowiedział, że nie zastosuje się do tych przepisów. Signal zapowiedział, że jeśli wejdą w życie, przestanie świadczyć usługi na terenie tego kraju (co byłoby dość trudne, ale tę dygresję zostawmy). Apple z kolei zapowiedział wyłączenie usług komunikacyjnych FaceTime i iMessage, jeżeli propozycja nowej wersji ustawy stanie się prawem.
Nie tylko brytyjska policja chce totalnej inwigilacji. Nic dziwnego, to ułatwia łapanie przestępców. Na szczęście obywateli Polski chroni Unia Europejska.
Nietrudno zrozumieć postawę brytyjskich organów ścigania. Z ich punktu widzenia to bardzo korzystne prawo, pozwalające skuteczniej łapać przestępców. Policja i służby nie patrzą szerzej na to zagadnienie, bo nie jest to ich obowiązkiem. Zostały powołane do eliminowania przestępczości i słusznie się na tym skupiają, nie wnikając w socjologiczne aspekty czy te związane z praworządnością. Policja ma jednak nad sobą ustawodawcę. Brytyjska policja, po brexicie, tylko brytyjskiego. Polska jest jednak krajem podległym Unii Europejskiej, a ta prowadzi akurat bardzo nowoczesną politykę w kwestii usług cyfrowych, zdecydowanie nastawioną na ochronę obywateli. W konsekwencji również i taką politykę prowadzi Polska.
Polskie prawo odnosi się do szyfrowania danych w kilku aktach prawnych, takich jak Ustawa o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r., która implementuje do polskiego porządku prawnego dyrektywę Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dyrektywa 2016/1148), tzw. Dyrektywa NIS. Ustawa ta określa m.in. obowiązki operatorów usług kluczowych i dostawców usług cyfrowych w zakresie zapewnienia odpowiedniego poziomu bezpieczeństwa systemów teleinformatycznych służących do świadczenia tych usług, w tym stosowania odpowiednich metod szyfrowania danych.
Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r., która implementuje do polskiego porządku prawnego rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Ustawa ta nakłada na administratorów danych osobowych obowiązek zapewnienia odpowiednich środków technicznych i organizacyjnych, aby zapobiec nieuprawnionemu lub niezgodnemu z prawem przetwarzaniu danych osobowych, w tym stosowania szyfrowania danych.
Jest wreszcie Ustawa o usługach zaufania oraz identyfikacji elektronicznej z dnia 5 września 2016 r., która implementuje do polskiego porządku prawnego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania dla transakcji elektronicznych na rynku wewnętrznym. Ustawa ta reguluje m.in. warunki świadczenia usług zaufania, takich jak podpis elektroniczny, pieczęć elektroniczna, czy certyfikat elektroniczny, które wykorzystują techniki kryptograficzne do zapewnienia autentyczności, integralności i poufności danych.
Jakie uprawnienia mają polskie organy ścigania?
Właściwie jedyną relewantną tu dla organów ścigania ustawą jest ta z dnia 15 stycznia 2016 r. o zmianie ustawy o Policji oraz niektórych innych ustaw (Dz.U. z 2016 r. poz. 147), która wprowadziła do polskiego prawa możliwość stosowania tzw. środków technicznych, czyli urządzeń i programów służących do przechwytywania, nagrywania, utrwalania i analizowania treści przekazywanych za pomocą sieci telekomunikacyjnych lub systemów teleinformatycznych przez Policję, Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego i Centralne Biuro Antykorupcyjne w ramach prowadzenia postępowań przygotowawczych dotyczących określonych przestępstw. Środki te mogą być stosowane na podstawie decyzji sądu na wniosek prokuratora lub szefa służby specjalnej.
Polskie służby mogą więc zażądać od dostawcy usług online danych podejrzanej o przestępstwo osoby tylko wtedy, gdy mają do tego odpowiednią podstawę prawną i uzyskają uprzednio zgodę sądu. Nie mogą natomiast samowolnie włamywać się do systemów teleinformatycznych lub urządzeń technicznych i odszyfrowywać danych bez zgody właściciela lub administratora danych. Nie mogą te zażądać wyłączenia szyfrowania danych, więc te pozostają dla nich nieczytelne, a usługodawca nie ma nawet technicznych środków, by pomóc te dane odczytać.
Tajemnica korespondencji pozostanie więc w Polsce świętą - i nawet najszlachetniejsze z pobudek nie staną się narzędziem do zmiany tego stanu rzeczy, gwarantując obywatelom podstawowe prawo do prywatności. Warto jednak mieć na uwadze, że ów porządek prawny to efekt polityki Unii Europejskiej, która na dziś jako jedyna prowadzi tak szeroko zakrojoną politykę cyfrową. To, czy Polacy nadal będą mieli chronioną prywatność, zależy od europejskich polityków. I od tego czy Polska pozostanie częścią Unii Europejskiej.
*Ilustracja otwierająca: Champhei, Shutterstock