Maria Glinka, INNPoland: Służby będą mogły przeglądać maile i czaty Polaków?

Wojciech Klicki, Fundacja Panoptykon: Projekt ustawy gwarantuje służbom specjalnym dostęp do czatów, komunikatorów, ale to nie jest nic nowego. Służby mogły mieć już wcześniej dostęp do tego.

To na czym polegają różnice?

Do tej pory służby na podstawie nakazu sądowego mogły pozyskiwać takie informacje, a firmy telekomunikacyjne były zobowiązane, aby udostępnić treść rozmowy. Służby mogły też przyjść do takiej firmy, bez konieczności uzyskiwania zgody sądu, z prośbą o wszystkie billingi czy całą lokalizację z ostatnich 12 miesięcy właściciela bądź właścicielki konkretnego numeru. To funkcjonowało od wielu lat i rodziło ogromne problemy.

Jakie?

Podsłuchy i nakazy sądowe to fikcja, a nad billingami nie ma kontroli. To dawało wielkie pole do nadużyć.

Na czym polega zatem największy kłopot z nowymi przepisami?

Zgodnie z projektem te obowiązki, które do tej pory spoczywały na firmach telekomunikacyjnych, mają być rozszerzone na firmy, które oferują inne niż telekomunikacja możliwości komunikacji interpersonalnej. Czyli np. na czaty, dostawców poczty elektronicznej.

Zatem te podmioty będą miały obowiązek przechowywać przez 12 miesięcy informacje o swoich użytkownikach po to, żeby służby mogły w każdym momencie przyjść i zażądać informacji np. kiedy obywatel X logował się na swoją skrzynkę mailową, kiedy się wylogowywał, czy jakiego adresu IP używał. To jest największa zmiana.

Czy to jest zgodne z prawem?

Właśnie problem polega na tym, że to wszystko jest absolutnie niezgodne z prawem unijnym. Dostrzega to nawet Ministerstwo ds. Unii Europejskiej.

Na czym polega ta niezgodność?

Trybunał Sprawiedliwości wielokrotnie podkreślał, że nie może być tak, że prawo nakazuje przechowywanie informacji o każdym z nas – użytkowniku telefonu czy aplikacji – po to, żeby raz na jakiś czas służby mogły pozyskać dane tylko o tych nielicznych, którzy są przestępcami.

Zatem Trybunał mówi, że nie możemy być wszyscy traktowani jako podejrzani. A w tej chwili obowiązek gromadzenia i udostępniania danych służbom jest tak skonstruowany, jakbyśmy wszyscy byli potencjalnymi przestępcami. Co gorsza, nie ma nad tym autentycznej kontroli.

Jak to możliwe, że nie ma nad tym kontroli?

Jeśli policjant chciałby pozyskać informacje na temat tego, do kogo pani, jako dziennikarka, dzwoniła w ciągu ostatniego roku, to zrobi to w minutę, szybciej niż zaparzy herbatę.

Dane przechowywane przez firmy telekomunikacyjne są udostępniane służbom za pośrednictwem teletransmisji, czyli nie jest potrzebne żadne pismo, nie trzeba się nigdzie fatygować – wystarczy ściągnąć dane. A projekt zakłada, że będą mogli pozyskać te dane nie tylko od telekomów, lecz także od dostawców usług mailowych.

I to wszystko bez zgody sądu?

Zgodnie z projektem dostawca skrzynki ma obowiązek przechowywać informacje dla służb dotyczącego tego, jak ta skrzynka jest wykorzystywana. Wcześniej nie musiał tego robić.

A jeśli chodzi o dostęp do treści?

Jeśli chodzi o treść, to i tak musi być zgoda sądu.

Po co służbom takie informacje? Czy faktycznie ma to pomóc w tropieniu przestępców?

Sama policja to 100 tys. osób. Poza tym jest cała armia funkcjonariuszy innych służb, którzy dbają o bezpieczeństwo – i chwała im za to, bo to ważna rola państwa. Natomiast afera związana z Pegasusem pokazuje, że nie możemy mieć zaufania do naszych służb i organów ścigania.

Już wiemy, że potrafią wykorzystywać swoje uprawnienia, które pierwotnie miały służyć do ścigania przestępców, np. do walki politycznej i utrzymania władzy. Jeśli pamiętamy o tych nadużyciach, nie mamy kontroli i nie możemy ufać służbom, to każde zwiększenie ich uprawnień, budzi poważne wątpliwości i obawy, że znacząco wzrośnie skala inwigilacji i służby będą częściej wykorzystywały swoje kompetencje w innych celach niż te, do których zostały powołane.

Tylko, że służby już wcześniej masowo pozyskiwały dane telekomunikacyjne – w 2019 r. było 1,35 mln takich przypadków. O jakiej skali inwigilacji mówimy obecnie?

Z danych za 2021 r. wynika, że uprawnione instytucji pozyskały dane 1,82 mln razy. Liczba stale rośnie i zmiany w prawie komunikacji elektronicznej doprowadzą do jej znaczącego wzrostu.

Wróćmy zatem do tego projektu. Które służby będą mogły pozyskać dostęp do danych od dostawców usług mailowych?

Autorzy projektu nie wskazali tego wprost w ustawie – to jest powiązane z tzw. ustawami kompetencyjnymi. Mówimy o 10 instytucjach. Są to: Policja (w tym Centralne Biuro Śledcze Komendy Głównej Policji), Agencja Bezpieczeństwa Wewnętrznego (ABW), Centralne Biuro Antykorupcyjne (CBA), Krajowa Administracja Skarbowa (KAS), Straż Graniczna, Służba Kontrwywiadu Wojskowego, Żandarmeria Wojskowa, Biuro Nadzoru Wewnętrznego Ministerstwa Spraw Wewnętrznych i Administracji (MSWiA), Służba Ochrony Państwa i najnowsza służba, która powstała kilka tygodni temu i podlega Ministerstwu Sprawiedliwości – Inspektorat Wewnętrzny Służby Więziennej.

Czy wszystkie te instytucje istniały za czasów poprzednich rządów?

Nie, mamy trzy nowe. Służba Ochrony Państwa zastąpiła Biuro Ochrony Rządu, ale to nie jest do końca kontynuacja, bo BOR przed reformą nie miał uprawnień operacyjnych i zajmował się fizyczną ochroną VIP-ów, a SOP ma uprawnienia inwigilacyjne. Drugi nowy twór to Biuro Nadzoru Wewnętrznego MSWiA, czyli instytucja, która ma być policją dla policji. Trzeci to właśnie Inspektorat Wewnętrzny Służby Więziennej.

Zatrzymajmy się przy tym ostatnim tworze. Na etapie projektu wśród zapisów pojawił się artykuł zakładający możliwość inwigilowania obywatela do 5 dni bez zgody sądu. Czy ten przepis przeszedł?

We wszystkich ustawach kompetencyjnych, czyli np. w ustawie o ABW czy w ustawie o Inspektoracie Wewnętrznym Służby Więziennej, model jest taki sam – żeby komuś założyć podsłuch, to służba musi uzyskać zgodę sądu, następnie idzie do operatora telekomunikacyjnego.

Ale wszystkie służby mają też furtkę, która polega na tym, że w sytuacjach niecierpiących zwłoki służby mogą założyć podsłuch od razu, bez decyzji sądu, z założeniem, że w ciągu kilku dniu mają donieść tę zgodę. Jeśli doniosą, to podsłuch jest kontynuowany, a jeśli sąd się nie zgodzi, to podsłuch jest przerywany, a materiały są usuwane.

Jakie to są sytuacje niecierpiące zwłoki?

Na przykład, gdy służba się dowiaduje, że za chwilę zostanie popełnione przestępstwo i trzeba natychmiast założyć podsłuch.

Jak często sądy wyrażają zgodę na założenie podsłuchu?

W 99 proc. przypadków, czyli niemal zawsze. To jest formalność. Poza tym, jeśli sąd się nie zgodzi i uzna, że podsłuch wcale nie był konieczny, to stenogram z rozmowy czy treść maila zostaną usunięte, ale nie można tego usunąć z głowy funkcjonariuszy. Już się tego dowiedzieli.

Więc to wszystko znowu sprowadza się do kwestii zaufania i do tego, że w praworządnym kraju, w którym służby są pod silną, cywilną kontrolą taki mechanizm podsłuchu z późniejszą zgodą sądu, nie budziłby wątpliwości, bo zdarzają się sytuacje, gdy każda godzina jest na wagę złota.

Niestety to nie dotyczy Polski, gdzie służby mogą być wykorzystywane w celach politycznych i nie mamy pewności, czy podsłuchiwani to nie są dziennikarze, politycy czy inni ludzie, którzy w jakiś sposób zaleźli władzy za skórę.

W kontekście tego zaufania wątpliwości budzi też inny pomysł rządu, żeby w telefonach sprzedawanych w Polsce preinstalowano dwie aplikacje autorstwa MSWiA: Alarm112 (do wzywania pomocy) i RSO (do otrzymywania alertów).

Zaufanie jest właśnie pomostem w tych dwóch sprawach. Rząd nie wycofał się z tego pomysłu – umieścił go w projekcie ustawy o ochronie ludności oraz o stanie klęski żywiołowej, który jest na etapie rządowym. Kilka tygodni temu pojawiła się nowa wersja tego dokumentu, w którym MSWiA podtrzymuje tę koncepcję.

Jak pan ją ocenia?

To jest kłopotliwe z kilku powodów. Mam wątpliwości, czy te konkretne aplikacje są tymi, które mają być obowiązkowo instalowane na telefonach. Nie mam też przekonania, czy jest to technicznie wykonalne. Główny problem jest taki, jak pani mówi – zaufanie.

Podobny pomysł pojawił się w czasie pandemii, gdy do zwalczania COVID–19 mieliśmy używać aplikacji rejestrującej kontakty. To była bardzo inwazyjna technologia, ale biorąc pod uwagę jej charakter, Ministerstwo Cyfryzacji w całości udostępniło kod źródłowy tamtej aplikacji.

Po co?

Po to, żeby programiści i osoby zajmujące się ochroną praw jednostki mogły sprawdzić, czy w tej aplikacji nie ma backdoorów, czy możliwości zaglądania przez władzę do danych w innych celach.

Czy tak samo będzie z nowymi obowiązkowymi aplikacjami MSWiA?

W przypadku dwóch aplikacji Alarm112 i RSO, mimo próśb i postulatów, MSWiA twierdzi, że nie udostępni kodów źródłowych. To jest wisienka na torcie, która powoduje, że ten pomysł nie budzi zaufania.

Nawet jeśli teraz te aplikacje są bezpieczne, to nic nie stoi na przeszkodzie, aby później przeprowadzić aktualizację i zmienić charakter ich działania. W związku z tym wiele sprowadza się do zaufania.

Co należałoby zrobić, aby obywatele bardziej zaufali władzy w obszarze technologii?

Jeśli władza chce w sposób skuteczny zarówno przeciwdziałać przestępczości poprzez pozyskiwane danych od dostawców usług mailowych, jak i powiadamiać mieszkańców o zagrożeniach w aplikacjach, to musi pracować na to, żebyśmy im ufali i wierzyli, że państwo działo na rzecz obywateli.

Udostępnienie kodu źródłowego covidowej aplikacji dowodzi, że są pozytywne przykłady, ale nadal jest bardzo dużo pracy do wykonania.