Noua propunere de acces a autorităților la datele de trafic – 3 chestii bune și 3 chestii proaste

Sumar (TL;DR): Noul proiect de lege de acces la datele de trafic este mai bun decat inițiativele vechi, renunțând la propunerile de supraveghere generală. Totuși, este scris prost și promovat prin metode care contrazic principiile transparenței decizionale.

Printr-o procedură rapidă și care nu a mai fost întâlnită până acum, un nou proiect cu privire la accesul autorităților la datele de trafic informațional a apărut în Senat, susținut de toate partidele politice (presate de Președintele Iohannis).

Vă rog să citiți cu atenție documentele pe care se bazează această analiză de pe fișa proiectului de lege în Senat și anume proiectul de lege (scurt – are doar 2 pagini) și expunerea de motive (5 pagini).

Ne-am propus să încercăm o analiză primară a textului propus, în special în contextul ultimelor 3 legi din zona conexă declarate neconstituționale de Curtea Constituțională în 2014-2015.

Ca un preambul trebuie notat că este un proiect de lege nou, care nu are nimic în comun cu cele 3 legi declarate neconstituționale și care își propune să rezolve în primul rând accesul autorităților competente la datele de trafic deja deținute de către operatorii de telefonie și Internet. Accesul la acestea a fost interzis oricărei autorități de paragraful 79 din decizia CCR 440/2014, în lipsa unui temei legal clar (vezi și propunerile noastre din octombrie 2014).

3 Chestiuni Bune

A. Noua propunere nu este o lege de supraveghere generalizată (adică un Big Brother).

Ceea ce am criticat la actele normative precedente erau măsurile de supraveghere generalizată impuse de stat. Păstrăm toate datele de trafic alte tuturor cetățenilor, doar pentru a putea prinde niște eventuali teroriști. Cerem toate datele de identificare ale abonaților pre-pay și a celor ce folosesc WiFi doar pentru a-i putea identifica pe unii, dacă avem nevoie.

Această dorință care se circumscrie întrebării „Trebuie să supraveghem TOT pentru a-l prinde pe X sau Y?” nu se include în prezentul text.

Dar, atenție mare! – ideea înregistrării cartelelor pre-pay sau a unei legi extrem de largi de securitate cibernetice nu a plecat din spațiul public. Deci este posibil să vedem din nou aceleași discuții… Doarcă acum nu sunt…

B. Principiul necesității datelor de trafic este clar: aveți voie să păstrați doar ce este necesar pentru facturare, interconectare sau alte chestiuni conexe. Autoritățile au acces doar la aceste date.

Astfel se renunță la principiul păstrării unei serii impresionante de date de trafic pentru toți clienții (care erau în legile de păstrarea a datelor de trafic – 298/2008 și 82/2012).

Și se revine la principiul din art. 5 (1) al legii 506/2004 – datele de trafic trebuie șterse sau anonimizate dacă ele nu mai sunt necesare operatorului (și nu autorității):

(1) Datele de trafic referitoare la abonați și utilizatori, prelucrate și stocate de către furnizorul unei rețele publice de comunicații electronice sau de către furnizorul unui serviciu de comunicații electronice destinat publicului, trebuie să fie șterse sau transformate în date anonime atunci când nu mai sunt necesare la transmiterea unei comunicări, cu excepția situațiilor prevăzute la alin. (2), (3) și (5).

Unde s-a adăugat un termen de 3 ani maximal pentru păstarea acestora (care nici nu ajută, dar nici nu strică).

Ca să luăm un exemplu practicun furnizor de Internet (ISP) care oferă un abonament fără limită de trafic nu trebuie să colecteze date de trafic care nu îi sunt necesare pentru facturare și intereconectare. Astfel el va trebui să anonimizeze sau să șteargă imediat datele de trafic, pentru că acestea nu sunt necesare nici pentru facturare (pentru că nu contează la factură) și nici pentru interconectare (nefiind cazul la ISP, ele pot fi eventual păstrate în mod anonimizat la nivelul furnzorului).

De fapt el asta trebuia să facă și până în 2008, până când legea 298/2008 a schimbat principiul.

C. Orice acces la datele de trafic trebuie autorizat în prealabil de către un judecător.

Noua propunere din art 12^1 (1)  este clară și se aplică pentru toate autoritățile care ar cere acces la datele de trafic – fie că sunt organe de urmărire penale sau organe din domeniul securității statului. Aceasta este – din nou – o îmbunătățire evidentă față de propunerile vechi care făceau distincție între cele două categorii, lasând organismele din domeniul securității statului în afara controlului judecătoresc.

3 Chestiuni Proaste

A. Modul de promovare a noii legii a “driblat” dezbaterea publică.

Acesta este motivul pentru care am reacționat ieri cu alte organizații într-un protest public. Introducerea legii direct în Senat a fentat legea 52/2003 privind transparența decizională și face extrem de grea orice îmbunătățire a textului actual. De asemenea, procedura asumării textului proiectului de către toate partidele va face orice parlamentar extrem de reticent de a propune, dar mai ales de a vota schimbări la textul propus de șefii lor.

Sperăm ca în ceasul al 12-lea oamenii noștrii politici care au cap să înțeleagă că textul poate fi îmbunătățit – pentru toate părțile – printr-un proces de dezbatere transparență.

B. Textul legii suferă serios la capitolul claritate și interpretare coerentă.

Cu toate că la nivelul principiilor pare ok, textul de doar 2 pagini ridică uneori mai multe semne de întrebare cu privire la logica sa. Câteva din ele sar în ochi:

  • Noul articol 2^1 cu privire la datele de trafic (nu de identificare) ale cartelelor pre-pay este pur și simplu bizar. Prespun că „în scopul stabilirii obligațiilor contractuale” (ce contract? contractul cadru al operatorului, termenii de utilizare?) cred că vrea să se refere la păstrarea duratei convorbirii și numărul apelat (inclusiv din ce rețea este), care sunt necesare în deducerea sumelor de bani de pe cartelă. Dar perioada de 3 ani este însă imensă și inutilă, dpdv al protecției vieții private. Este absolut neclar dacă textul e o derogare de la art. 2 sau e o perioadă maximală. Termenul de „prelucrare” este impropriu în acest context.
  • definiția de la punctul 1 este ilogică – „date de identificare a echipamentului” pare a fi codul IMEI sau IMSI, dar definiția se referă la date de identificare al amplasamentului (GPS). Ori acestea sunt 2 chestiuni diferite. De asemenea dacă operatorii nu colectează aceste date, nu înțeleg de ce trebuie adăugate.
  • Nu înțeleg nici ce rost are art. 12^1 (2).
  • La art. 12^1 (3), ar trebui ca datele să fie obligatoriu date în format electronic și semnate electronic, altfel cele pe hârtie pot fi ușor modificate.
  • Art. 12^1 (6) nu merge în practică – instanța “uită” să se pronunțe pe aspecte de genul acesta, dacă cel interesat nu este una din părți.

C. Textul legii pare incomplet.

Cel puțin 3 chestiuni trebuie considerate serios înainte de adoptarea acestuia:

  • Modificarea este practic inutilă pentru accesul autorităților la date fără modificarea art 152 CPP (am explicat aici).
  • Din 2008 până anul trecut practic accesul la datele de trafic a fost permis doar pentru investigarea infracțiunilor grave (a cărei definiție oricum a fost dezbătută serios la nivel european). Ar trebui să considerăm să păstrăm această limitare pentru a evita abuzurile – am auzit de multe ori – pe vechiul cod penal – că se cereau date de acest tip pentru eventuale procese de calomnie.
  • Avem nevoie de transparență suplimentară și pentru acest sistem – trebuie încurajate instituțiile să publice din proprie inițiativă numărui acestor cereri, iar operatorilor să li se permită includerea acestor statistici în rapoartele lor de transparență.

3 Comments

  1. Pingback: Security summit fără privacy?! | Date personale si viata privata

  2. Pingback: IT Trends » Blog Archive » Despre copaci (tăiați) și trădători online

  3. Dana

    Interesanta aceasta propunere. Sper sa fie pusa si in practica.

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>