"Bezpieczeństwo i prywatność. Przypadek francuski"

.Bezpieczeństwo i prywatność to jeden z ważniejszych cyfrowych tematów ostatnich lat. Z kilku powodów. Rośnie skala danych gromadzonych w zasobach sieci (w chmurach, na platformach, w różnych magazynach zasobów danych) — przeszło 90% wszystkich zasobów informacyjnych, jakimi dysponuje świat, zostało zgromadzonych cyfrowo w ostatnich 2 latach. Istotą gospodarki cyfrowej jest przetwarzanie danych, nie tylko osobowych oczywiście, i na podstawie tego tworzenie spersonalizowanych, dopasowanych do naszych oczekiwań — usług, dóbr, produktów. Pozyskiwanie, gromadzenie, przetwarzanie, przesyłanie, dzielenie się danymi — jest wielką dźwignią rozwojową, ale wymaga też nowych reguł, pasujących do świata cyfrowego.

Dlatego spory o zasady ochrony danych osobowych — były i są tak wyraziste. Po rewelacjach Snowdena temat stał się jeszcze bardziej gorący. Bo nagle urosła świadomość skali możliwej inwigilacji, jakiej jako jednostki czy społeczności podlegamy. Jedno — to dostęp do naszej prywatności, jaki mają firmy, i ich gotowość do monetyzowania naszych danych. Drugie — to dostęp do naszej prywatności, jaki mają służby specjalne, mogąc monitorować treści naszych maili przez analizę słów kluczy czy mieć wiedzę o rozmowach telefonicznych. I nawet jeśli mówi się, że przykładowo amerykańska NSA może zanalizować tylko 5% danych, do jakich ma dostęp — to i tak, gdyby to miało być poza kontrolą, byłoby groźnie. Ale doszło też i trzecie zjawisko — to dostęp do naszych danych, jaki mogą mieć przestępcy internetowi. Wielkość i wartość przestępczej aktywności w sieci to ok. 400 mld USD w 2014 roku.

Dokończenie i wdrożenie europejskich prac nad zharmonizowaną dla całej Unii Europejskiej regulacją dotyczącą ochrony danych osobowych — to kluczowe zadanie przy tworzeniu jednolitego rynku cyfrowego w Europie. Bo równowaga między ochroną prywatności jako prawem fundamentalnym a wdrażalnością tego rozwiązania przez biznes czy proporcjonalnością w dostępie do naszych danych dla służb i instytucji publicznych (mieć dostęp — wtedy, kiedy naprawdę jest to uzasadnione) jest warunkiem zaufania. A to właśnie zaufanie jest i będzie podstawą dla pozytywnego w skutkach rozwoju świata cyfrowego i jego niebywałych możliwości.

.Pracując nad solidnymi ramami prawnymi dla zaufania i ochrony prywatności — które stać się powinny punktem odniesienia dla globalnych reguł ochrony danych osobowych — nie wolno zapominać o sprawach bezpieczeństwa.

Bezpieczeństwa potrzebujemy w co najmniej trzech obszarach. Zwykłego, ale kluczowego bezpieczeństwa infrastruktury, sieci, magazynów cyfrowych, ośrodków przetwarzania danych, witryn — że ktoś się nie włamie, nie ukradnie, nie zabierze danych, nie sparaliżuje działania. Bezpieczeństwa sprzętu, którego używamy, oraz przepływu danych między naszymi urządzeniami (a mamy ich np. 3 – 4) — że ktoś się nie zainstaluje ze złośliwym oprogramowaniem, nie zrobi sobie podglądu naszej cyfrowej aktywności. I bezpieczeństwa wszystkich treści — jakich używamy: listów, zdjęć, prywatnych relacji z innymi na portalach społecznościowych, do czego służyć mogą wszystkie rozwiązania kryptograficzne, szyfrujące nasze dane i treści, oraz ostrożność w dzieleniu się sobą. Jest nam też potrzebny wzrost świadomości tych spraw: i znaczenia prywatności, i wagi bezpieczeństwa.

Wszystkie te rodzaje bezpieczeństwa są równocześnie ważne z dwóch powodów. Mają chronić nas, naszą cyfrową tożsamość, ale też — mają chronić nas przed światem zagrożeń o terrorystycznych znamionach, istotnych dla bezpieczeństwa naszych krajów, oraz o przestępczych znamionach w bardziej tradycyjnym znaczeniu — kradzież pieniędzy, tożsamości, pornografia, sprzedaż narkotyków i wciąganie dzieci do pornografii dziecięcej i pedofilii. Mamy zatem w świecie internetu — rzeczywistość jasną oraz ciemną, „darknet” ze swoimi regułami.

.Rozumiejąc, jak ważną wartością fundamentalną dla internetu jest wolność, i mając świadomość, że użytkownicy traktują swoje laptopy i każde inne urządzenia jak swoje domostwo — musimy zmierzyć się z problem walki z przestępczością sieciową. Przestępstwo w świecie realnym i wirtualnym jest za każdym razem realne i musi być wskazywane, ścigane, oceniane, karane. Tylko oczywiście z wyczuciem dla sfery, w której się to odbywa.

Jeśli doświadczenia post-Snowdenowskie uruchomiły wielką debatę o wolności i prywatności, także w relacjach z Amerykanami, którzy ostatnio również bardzo wzmocnili ochronę prywatności w sieci, to doświadczenie ataku terrorystycznego na „Charlie Hebdo” otworzyło w tej debacie nowe strony.

Znane są sposoby przekazywania rozkazów dla organizacji terrorystycznych zawartych w sekwencji zdjęć przesyłanych w sieci. Tylko że w każdym zdjęciu zmieniony jest jeden pixel — nie jest to łatwo wykrywalne, a niebezpieczna informacja szerzy się bez ograniczeń. Niektórzy eksperci twierdzą, że ISIS jest pierwszym tak dużym organizmem: formacją terrorystyczną, państwem, etc., które powstało wyłącznie dzięki narzędziom sieciowym. Około 40 tysięcy kont na Twitterze służy terrorystom do organizacji, nie mówiąc o stronach internetowych, przez które można się zarekrutować do bojówki terrorystycznej. Osama bin Laden używał nagrań wideo przesyłanych do stacji telewizyjnych, w czwartej fali dżihadu używa się internetu z większą wiedzą, niż robią to europejskie rządy wielu krajów. To jest zresztą europejski wkład do islamskiego terroryzmu: nie tylko „foreign fighters” z Europy go budują, ale i ich wiedza o współczesnej komunikacji.

Sieć w terroryzmie współczesnym odgrywa istotną rolę z kilku powodów. Pozwala organizować jednostki bojowe i akcje. Ale tworzy też klimat sprzyjający radykalizacji postaw, szczególnie młodych ludzi. To strony internetowe wzywające do nienawiści oraz powszechność używania języka nienawiści. To krzewienie fundamentalizmu religijnego w przekazie pasującym do infografiki współczesnej sieci. To rekrutacja ludzi. To poradnictwo: jak coś zrobić (zaszyfrowane lub nie) — np. jak skonstruować bombę ze składników do kupienia na mieście, w sklepach.

.Pierwszą reakcją na mord w „Charlie Hebdo” i to, co po nim nastąpiło i następuje — było głośne domaganie się dobrej, nowej strategii bezpieczeństwa europejskiego. Taki dokument roboczy, mówiący o konkretnych działaniach, Komisja Europejska przedstawiła w maju. Jego istotą jest opis warunków, by odpowiednie instytucje mogły sprawnie przekazywać sobie różne dane i informacje, bo to klucz do prewencji, ale i ścigania. Zaczęły się również, wzbudzając wiele kontrowersji, prace nad europejskim rozwiązaniem prawnym umożliwiającym przekazywanie danych o listach pasażerów lotów między Europą a innymi kontynentami, także wewnątrz Europy. To ważne dla obserwacji przemieszczeń terrorystów. Choć trzeba to robić z poszanowaniem dla ochrony prywatności — po miesiącu dane mają być anonimizowane, dostęp do nich ma być bardzo ograniczony i umożliwiany wybranym instytucjom, musi być precyzyjnie określona lista przestępstw, które będą rozpoznawane dzięki tym danym — dostęp do danych nie może służyć do wszystkiego.

Wydaje się, że przy całej niezbędnej ostrożności co do ochrony prywatności — uda się w UE wypracować także polityczny consensus wspomagający rozumienie zadania: jak właśnie przy szacunku do ochrony danych, zwiększać bezpieczeństwo w wielu wymiarach — używając do tego różnorodnych narzędzi, w tym analizy danych osobowych. Chociaż nie tylko. Sam — organizując w Parlamencie Europejskim publiczne wysłuchanie na temat przetwarzania danych w celu bezpieczeństwa (data driven security) — podkreślałem szanse, jakie niosą nowe technologie, by przetwarzając dane, niekoniecznie personalne — zwiększać możliwości prewencji i skuteczności śledztw. Analiza spektrum kolorów w zdjęciach, analizy skupione na obiektach — nie ludziach i ich aktywności sieciowej, pozwalają wyłuskiwać sygnały wskazujące na groźbę przestępstwa. Tylko nie można już używając „słów kluczy” szukać prostych konotacji treści i znaczeń, ale stosując algorytmy zaadresowane do określonych tematów: dostawać kolekcję danych mniejszą, łatwiejszą do ogarnięcia i przetworzenia. Trzeba tu bardzo umiejętnie zacząć łączyć przesyłanie danych i ich analizowanie w modelu „człowiek do człowieka”, ale i „maszyna do maszyny” (ta, która coś „zaobserwowała” do drugiej) oraz „maszyna do człowieka” i na odwrót. Ta wielopoziomowa analiza zwiększa efektywność poszukiwań — co podkreślają specjaliści z Enisy (Europejskiej Agencji ds. Incydentów w Systemach Cyfrowych).

.Co tymczasem zdarzyło się we Francji?

Bolesność doświadczenia francuskiego związanego z „Charlie Hebdo” jest oczywista. Zawsze w takiej chwili chce się podjąć działania, które pokażą obywatelom wolę i determinację zwiększenia ich poczucia bezpieczeństwa. Od przeszło roku we francuskim parlamencie trwały prace nad legislacją normującą różne działania służb specjalnych — bo nie było klarownych rozwiązań od lat. Po ataku na „Charlie Hebdo”, 19 marca rząd przyspieszył te prace, z osobistym udziałem premiera Manuela Vallsa, i 5 maja ustawa została przyjęta przy udziale 524 głosujących, spośród których 438 było za. Rozpoczął nad nią prace senat i ma je zakończyć ewentualnie w lipcu. Ale w międzyczasie prezydent Hollande poinformował, że zamierza zgłosić pytania dotyczące tej ustawy do Trybunału Konstytucyjnego, podobnie zrobiło około 100 deputowanych francuskich. Pytania o równowagę między wolnościami obywatelskimi a potrzebą działań inwigilacyjnych, szczególnie w internecie, wystosowali posłowie Komisji LIBE Parlamentu Europejskiego. Trwa ostra debata.

Co jest dla niej kluczowe, co jest istotne w proponowanym rozwiązaniu? Co jest jasne, a co nie jest jasne?

Skądinąd w dobrze uporządkowany sposób przedstawiono w ustawie siedem obszarów, których ochrona bezpieczeństwa przez inwigilację może być prowadzona — w tym zagrożenia związane z terroryzmem. Inwigilacja musi być pod kontrolą. W tym celu miałaby powstać specjalna instytucja, Narodowa Komisja Kontroli złożona z sędziów, członków parlamentu, ekspertów technicznych. Zadaniem Komisji byłoby opiniowanie każdego pytania służb specjalnych dotyczącego możliwości inwigilacji konkretnych osób, poza sytuacjami wyjątkowego zagrożenia — gdzie działałby pewien automat oparty na uzasadnionym interesie. Z mocy decyzji szefa rządu można byłoby nie respektować opinii Komisji, a odwołania w takich sprawach, jak i poszczególnych osób podejrzewających, że mogą być inwigilowane — byłyby składane do Rady Państwa (francuski najwyższy sąd administracyjny). Zgody na inwigilacje wydawane przez premiera (jest tak w wielu krajach — oczywiście w sprawach dotyczących bezpieczeństwa) obejmować miałyby okres 2 miesięcy i na kolejne okresy musiałyby być ponawiane.

.Ustawa mówi również o możliwościach instalowania we współpracy z administratorami platform oraz sieci — „czarnych skrzynek” monitorujących ruch w sieci, zbierających metadane, czy innych urządzeń i działań pozwalających na automatyczne wyłapywanie danych i wzorców zachowań — podejrzanych, właściwych terrorystom. Francuska propozycja mówi też o podsłuchach poprzez umieszczanie mikrofonów w pomieszczeniach i „u obiektów” czy o fałszywych antenach pozwalających zakłócać i przerywać rozmowy telefoniczne. Te działania inwigilacyjne mogłyby być rozciągnięte na osoby, które są w kontakcie — choćby przypadkowym — z podejrzanymi. Ustalono również czas przechowywania danych — od miesiąca, przez 6 miesięcy, do 3 lat: zależnie od rodzaju sprawy. To rozszerzenie inwigilacji na „osoby będące w kontakcie”, oparte na niezbyt jasnych zasadach, wzbudziło najwięcej kontrowersji. Bo mogłoby obejmować wszystkich z nie wiadomo jakich powodów.

Z jednej strony proponowane rozwiązanie — porządkuje w dużej części zasady inwigilacji, co jest kluczowe dla demokratycznego państwa. Ale w wielu punktach, jak twierdzą eksperci, zapisy nie są w pełni precyzyjne — co w takich sytuacjach może prowadzić do zmniejszenia przejrzystości i wzrostu dowolności interpretacyjnych. Poprawki naniosły już komisje senackie. Niemniej jednak wiele niejasności pozostało. W tym najważniejsza: czy podejmowane w niektórych obszarach działania nie naruszają podstawowych praw obywateli? I czy może zbyt krótki czas na debatę nad tymi rozwiązaniami — co do których z góry było wiadomo, że będą kontrowersyjne — nie zaszkodził sprawie? Po „Charlie Hebdo”, ale i po Snowdenie… Wydaje się, że w dzisiejszym poszukiwaniu złotej równowagi między prywatnością a bezpieczeństwem trzeba pamiętać o obu tych doświadczeniach.

Uporządkowanie reguł działania służb specjalnych przydałoby się we wszystkich krajach europejskich — bo niezbędne jest ich dostosowanie do wymiaru cyfrowego z jednej strony, a z drugiej — do lepszego poszanowania fundamentalnych praw. Francja podjęła ten wysiłek — i oby po wyjaśnieniu wszystkich wątpliwości dokończyła sprawę.

Zaciekawia też, że debata bardziej skupiła się na klasycznych formach działań służb specjalnych, choć istniejących już w realiach cyfrowych. Ale nie pojawiły się na szerszą skalę pytania o europejski wymiar wymiany informacji w tego rodzaju sprawach — co jest potrzebne. Bo dzisiaj, przy cyfrowej przestępczości, granice nie mają znaczenia. A reguły międzygranicznej wymiany informacji i dozwolonej prawnie inwigilacji są dla efektywności walki z cyberterroryzmem i cyberprzestępczością o wiele istotniejsze. Nie pojawiły się też we francuskim parlamencie kwestie związane z lepszym użyciem najnowszych technologii do analizy danych, niekoniecznie personalnych, tak żeby tropić przestępców, ale i budować warunki dla prewencji. Do tego nie są wcale potrzebne kolekcje nowych danych, tylko nowe podejście analityczne do już zbieranych i funkcjonujących danych. Może ten wątek w debacie francuskiej jeszcze wróci…

.Na dzisiaj jest oczywiste, że skoro są wątpliwości, jak przedstawiane prawo ma się do konstytucyjnych praw obywateli we Francji — to trzeba to sprawdzić. Właśnie mając na myśli równowagę między ochroną prywatności jako fundamentalnego prawa człowieka a koniecznością działań na rzecz bezpieczeństwa obywateli.

Niezbędność ochrony prywatności oraz potrzeba bezpieczeństwa — to dwa wymiary tego samego, to nierozerwalna jedność. Na tym opiera się wolność Europejczyków.

Michał Boni
7 lipca 2015