"Waszyngtońskie debaty"

.Idąc w lewo od hotelu, mogę szybko dojść do Białego Domu. Jesteśmy w Waszyngtonie z delegacją komisji LIBE Parlamentu Europejskiego — w sprawach ochrony prywatności i bezpieczeństwa. To ważne, żeby pracując nad wielką umową handlową między Unią Europejską a USA, wiedzieć, czy po rewelacjach Snowdena i podważeniu zaufania między nami — powstaną jasne zasady transferu danych, w tym osobowych.

.Europejska debata o ochronie prywatności trwa, choć szczyt dyskusji mamy chyba za sobą. Jest jasne, że traktujemy prawo do prywatności jako zasadę fundamentalną. Jeśli tylko państwa członkowskie porozumieją się i nie złagodzą regulacji (harmonizacji zasad ochrony prywatności dla całej Unii Europejskiej) w taki sposób, że zniweczą wspólny wysiłek różnych grup politycznych w Parlamencie Europejskim — to Europa zrobi wielki krok do przodu. Nie tylko w celu wzmocnienia prawa do prywatności w erze cyfrowej. Także po to, by zbudować twardy fundament nowej, cyfrowej gospodarki (opartej na przetwarzaniu danych i informacji) — czyli zaufanie.

Potrzebne jest nowe zaufanie między obywatelami a instytucjami władzy publicznej oraz między konsumentami i użytkownikami internetu a biznesem, dotyczące ochrony prywatności. W szykowanym na maj nowym dokumencie Unii na temat jednolitego rynku cyfrowego będzie to podkreślone.

I nie chodzi tylko o prawa, ale o techniczne gwarancje oraz możliwości jego wdrożenia i przestrzegania. Rozwiązania muszą realnie pracować. Dlatego tak ważne jest, byśmy w Europie zaczęli przygotowywać dla regulacji o ochronie danych osobowych plan aplikacji razem ze wszystkimi partnerami, także z biznesem, szczególnie reprezentacją małych firm.

Ameryka — z pewnym przesunięciem w czasie — robi to samo. Jeszcze trzy, dwa lata temu było nie do pomyślenia, by o ochronie prywatności w USA mówiono podobnie jak w Europie. Dzisiaj przedstawiciele wielu instytucji publicznych mówią o ochronie prywatności, jak o „human rights”. Jeszcze trochę i „intelligence community” zacznie używać tego języka. W dyskusji jest Privacy Act zbierający różne prawa, mówi się o osobnych regulacjach chroniących prywatność, ale i o bezpieczeństwie sieciowym dzieci czy danych medycznych. Kongresmen Sensenbrenner, twardy republikanin, mówi nam w rozmowie, że za chwilę wniesie uzupełnienia do prawa prywatności. Chodzi o takie samo traktowanie jak obywateli USA — obywateli innych krajów, w tym UE. To oznacza prawo do odwołania, wyjaśniania i sądową ochronę obywateli europejskich, gdy ich dane są przetwarzane przez służby.

.Rozmawiamy w Kapitolu. Każdy z kongresmenów ma biuro, przed którym są flagi amerykańska i stanowa. Są dobrze przygotowani i zakorzenieni w Waszyngtonie, w pokojach mnóstwo zdjęć— właściwie z całego życia i kariery: ze szkoły, z wojska, z gry w soccera, wspólne z wybitnymi politykami, z dziećmi. Budynki są ogromne, testy bezpieczeństwa przy wejściu olbrzymie. Ale z różnych budynków Izby Reprezentantów do głównego Kapitolu można przejść podziemnymi korytarzami albo przejechać czymś, co się nazywa „subway to Capitol”. Idziemy szybko, by zdążyć na wszystkie spotkania.

W rozmowach wyczuwa się wielką zmianę w myśleniu. W tradycji amerykańskiej zawsze istniał prymat traktowania „swoich” lepiej — dopiero teraz pracujemy (to był jeden z głównych celów wizyty) nad symetrią. Może wymógł to wolnościowy i równościowy charakter internetu… Ten kluczowy element tzw. umbrella agreement jest warunkiem, by jasne reguły rządziły transatlantyckim transferem danych, jeśli jest on niezbędny. Bez tych ustaleń trudno będzie rozmawiać o TTIP, choć tematyka przesyłu danych osobowych jest z niego wyłączona. Ale też trudno będzie rozmawiać o tzw. Safe Harbour, czyli porozumieniu UE – US tworzącym ramy dla wyrównania poziomu ochrony danych osobowych między Europą a Stanami, gdy firmy amerykańskie wchodzą na rynek europejski.

Nie wiemy co prawda, czy poprawkę Sensenbrennera uda się przeforsować i wprowadzić w życie, mimo że ma wsparcie zarówno demokratów, jak i republikanów. Dwupartyjne (bipartisan) są także niektóre pozarządowe think tanki, które monitorują przestrzeganie prawa w działaniach służb dotyczących przetwarzania danych osobowych, ale też przedstawiają rekomendacje w tej gorąco dyskutowanej dziedzinie. Właśnie zwodowano inicjatywę Białego Domu dotyczącą ochrony konsumentów w środowisku cyfrowym, krytycznie przyjętą przez organizacje pozarządowe.

To ciekawe, bo Obama z jednej strony wsparł neutralność sieci, zaostrzył (w PPD — Presidential Policy Directive) kryteria masowego zbierania i przetwarzania danych do sześciu obszarów: groźba szpiegostwa, terroryzmu, międzynarodowa przestępczość zorganizowana, handel bronią masowej zagłady, przestępczość wobec dzieci i handel ludźmi, bezpieczeństwo sieci. I widać z rozmów, że różne instytucje dostosowały się do tego. Z drugiej strony — w propozycji legislacyjnej dotyczącej ochrony konsumentów zobowiązał firmy do ochrony danych, ale w oparciu o standardy, jakie muszą zawrzeć w swoich przyjmowanych dobrowolnie politykach prywatności. To też krok do przodu, ale obowiązki dla firm mniejsze niż te, które chcemy wprowadzić w Europie. Amerykanie już twardo wprowadzili ochronę prywatności do prawa, ale większe wymogi chcą postawić instytucjom publicznym niż firmom. Na pewno rozumieją, że i jedne, i drugie wymogi budują nową filozofię zaufania w świecie cyfrowym.

.Punktem wyjścia do wielu obecnie prezentowanych rozwiązań był tzw. Raport Podesty, dotyczący świata Big Data i jego wpływu na wszystkie możliwe dziedziny życia — od ekonomii, przez bezpieczeństwo, do sfery prywatnej. Wygląda na to, że wnioski z Raportu Podesty przeniknęły do prac zarówno Departamentu Sprawiedliwości, jak i Departamentu Gospodarki czy Federalnej Komisji ds. Handlu.

Pojawia się w europejsko-amerykańskiej debacie wspólnota języka, za którą stoi jednak coś więcej — wspólnota rozumienia kluczowych kwestii, ale i szacunek dla odrębnego kodu kulturowego i filozofii prawa. Kiedy pytamy, czy za podżeganie do terroru można aresztować, słyszymy mocne stwierdzenia, że za same słowa — nie.

Jedna rzecz wydała mi się nowa w tych debatach. Jasne postawienie sprawy przez stronę amerykańską (od ludzi z Białego Domu do kongresmenów z komisji bezpieczeństwa kraju — filmowy, wykapany Teksańczyk McCaul), że prawo do prywatności i ochrona danych są sprzężone, uzupełniające wobec bezpieczeństwa. Równowaga między wartością wolności i prywatności a bezpieczeństwem. To ważne w świecie tak olbrzymich zagrożeń przestępczością kwitnącą w nowy sposób w cyfrowych warunkach. W bliskim czasie zostanie przedstawiona nowa propozycja — prawo o cyberbezpieczeństwie. Widać jasną tendencję do ograniczania zbierania danych, wskazywania celów i obszarów, gdzie to konieczne, inteligentnego integrowania danych z różnych źródeł, ale też i rozumienia, iż całość nowego cyfrowego ekosystemu jest narażona na kradzież danych, na blokady systemów — i trzeba temu w nowoczesny sposób umieć zaradzić.

Chyba główną przesłanką tej nowej doktryny cyberbezpieczeństwa jest przekonanie, iż internet działa bez granic. I dlatego to, co kiedyś było kontrolą na granicach, musi być zorganizowane w inny sposób —„to push border out”. W odpowiedzi na nowe zjawiska trzeba stworzyć bazę wymiany informacji i dzielić się informacjami (sharing information) zgodnie z przyjętymi kryteriami i zasadami.

To ważne, bo to globalizuje walkę z przestępczością cyfrową, która przecież ma charakter globalny. W ubiegłym roku — zostawiając terroryzm na boku — cyberprzestępczość zabrała nam i legalnej gospodarce 400 mld USD (na pomoc dla krajów rozwijających sięświat rozwinięty wydaje rocznie ok. 120 mld USD).

Podczas spotkania recepcyjnego, które organizuje ambasador UE w Waszyngtonie, rozmawiamy z ludźmi z gubernatorskich biur, też z gubernatorami różnych stanów. Są otwarci, pytają bardziej o bezpieczeństwo niż ochronę prywatności, bo w amerykański sposób mają ją wpisaną w codzienność wynikającą z konstytucji. Na pięciu rozmówców — czterech ma polskie korzenie, wspominają babcie oraz Warszawę i Kraków. Dzielimy się uwagami: jak trudno mimo federalnego charakteru USA jest rządzić stanami i jak trudno — i to jeszcze bez federacyjnego charakteru Unii Europejskiej — rządzić Europą i jej krajami. Gdzieś w rozmowach widać, jak ważna dla sekretarza stanu w urzędzie gubernatorskim Arizony jest rewolucja cyfrowa i jej różnorakie wyzwania.

.Jest niesłychanie istotne — o czym mówiłem w waszyngtońskich debatach —żeby podejść do tych nowych wyzwań w nowatorski sposób. Wprowadzić jasne warunki i reguły ochrony prywatności, przejrzyste procedury ich stosowania i nadzoru. Ale także umiejętnie wykorzystać nowe technologie, by minimalizować potrzebę gromadzenia danych, a skupić się na nowych modelach ich przetwarzania, nowych algorytmach opartych na danych naprawdę niezbędnych. Skoro istnieje „data driven economy”, to znaczy, że potrzebujemy też„data driven security”.

Wróciliśmy podczas rozmów ze stroną amerykańską do dyskusji o PNR, czyli danych pasażerów linii lotniczych. Problemem nie jest szekspirowskie pytanie: zbierać dane czy nie zbierać danych, tylko jakie dane, jak długo je przechowywać, także zamaskowane, jak je chronić, jak opracowywać, żeby dawało to konkretne efekty. W National Targeting Center pod Waszyngtonem, w jednej służbie odpowiedzialnej za granice i cła, mieliśmy okazję zobaczyć, jak pracuje się nad danymi. Dziennie centrum ma ok. 2000 sygnałów wskazujących na potrzebę analizy czy działania. Działaniem może być rozmowa wyjaśniająca na lotnisku lub odmowa wpuszczenia na terytorium USA.

Co jest podstawą do analiz i działań?

Przede wszystkim — inaczej się pracuje z danymi osób znanych, rozpoznanych z afiliacji ze światem przestępczym czy terroryzmem. Ważna jest tu obserwacja i prewencja. Jeśli osoby wspomagające terrorystów wędrują po trasach europejskich z przesiadkami, by z Istambułu czy Afryki Północnej skierować się do Syrii czy w inne miejsca, np. Państwa Islamskiego, to jest istotne, gdzie później wracają i z jakimi np. zadaniami. Rozpoznaniu realnych zamiarów służy połączona analiza danych z różnych źródeł.

Po analizie tras, sposobie zakupu biletów, rezerwacjach hotelowych, nawet po wybranym posiłku, numerach telefonów komórkowych z obszarów zdominowanych przez terrorystów czy tam używanych — można z grupy nieznanych wyławiać tych, którzy potencjalnie tworzą ryzyko.

Eksperci podkreślali, że osoby jadące wykonywać określone zadanie nie chcą jeść przed nim, więc zamawiają coś odmiennego, np. posiłki wegetariańskie, żeby ich nie jeść. To hipoteza, ale z potwierdzeniami, co nie oznacza, że każdy, kto zamawia dania wegetariańskie, jest podejrzany. W jakimś sensie do grupy wysokiego ryzyka zalicza się osoby w określonym wieku, z cechami organizacji podróży jak w instrukcjach dżihadystów dla młodych ludzi pragnących zaciągnąć się do oddziałów tzw. foreign fighterów (z Europy już przeszło 5000 osób). Według informacji, jakie otrzymaliśmy w centrum, te dane nie są rozpowszechniane, są sprawdzane, weryfikowane wielokrotnie, by odsiewać tych, którzy mogą tworzyć zagrożenia, od osób przypadkowych. Nie ma czarnych list pasażerów z określonymi cechami.

Sprawa nie jest prosta i nad jakością analiz trzeba dalej pracować, a także nad minimalizacją skali kolekcjonowania danych i jasnymi regułami ochrony danych. Ale to narzędzie, jakim są PNR-y, wydaje się ważne dla wzmacniania bezpieczeństwa.

.W Washington Harbour jemy kolację nad wodą. To jedyny czas wolny — nikt z nas nie zahaczył o Smithsonian Museums. Wokół Memoriału Lincolna tylko przejeżdżaliśmy kilka razy. Jest piękna pogoda, a my — z różnych grup: chadecy, socjaliści, zieloni, konserwatyści, liberałowie, skrajnie lewicowi — toczymy spokojną dyskusję. Gdzieś w tle skrywają się emocje — zawsze wiemy, o co i kto z nas spyta. Ale mam wrażenie, że zarazem jakoś czujemy wspólnotę trudnej misji.

Michał Boni
19 – 20 marca 2015, w samolocie z Waszyngtonu