Wstęp
Jak niektórzy z Państwa zapewne wiedzą, zajmuję się hobbystycznie wydawaniem książek w tłumaczeniach z języków Europy Wschodniej na język angielski i niderlandzki – glagoslav.com. Jedną z moich niedawnych publikacji jest książka wybitnego rosyjskiego prawnika Anatolija Kuczereny, który prowadzi w Rosji sprawę Snowdena. Autor napisał książkę opartą na prawdziwej historii swojego klienta, Edwarda Snowdena – „Time of the Octopus”, która stała się podstawą scenariusza niedawno wydanego hollywoodzkiego filmu „Snowden” w reżyserii Olivera Stone’a, wybitnego amerykańskiego reżysera.
Edward Snowden stał się powszechnie znany jako sygnalista, który przekazał prasie ogromną ilość poufnych informacji na temat działań „szpiegowskich” CIA, NSA i GCHQ. Film ukazuje między innymi wykorzystanie programu „PRISM”, dzięki któremu NSA mogła na szeroką skalę i bez uprzedniej, indywidualnej zgody sądu przechwytywać telekomunikację. Wiele osób uzna te działania za odległe od ich codzienności i opisze je jako obraz amerykańskich realiów. Rzeczywistość prawna, w której żyjemy, pokazuje coś przeciwnego. Wiele osób nie wie, że podobne sytuacje zdarzają się częściej, niż można by przypuszczać. Nawet w Holandii. 20 grudnia 2016 r. Tweede Kamer (niższa izba parlamentu) przyjęła bowiem dość kontrowersyjny pod kątem prywatności projekt ustawy „Computercriminaliteit III” (Cyberprzestępczość III).
Projekt ustawy Computercriminaliteit III, który musi jeszcze zostać przyjęty przez Eerste Kamer (izbę wyższą parlamentu) i którego odrzucenie wielu już teraz domaga się, ma na celu umożliwienie funkcjonariuszom organów ścigania (policji, Koninklijke Marechaussee, a nawet specjalnym służbom dochodzeniowym, takim jak FIOD) prowadzenie dochodzeń (tj. kopiowanie, obserwowanie, przechwytywanie i uniemożliwianie dostępu do informacji) w odniesieniu do „działań zautomatyzowanych” lub „urządzeń zautomatyzowanych” (dla laika: urządzeń takich jak komputery i telefony komórkowe) w celu wykrywania poważnej przestępczości. Według rządu konieczne okazało się przyznanie funkcjonariuszom możliwości – mówiąc wprost – śledzenia obywateli, ponieważ w nowoczesnych czasach przestępczość jest trudna do wykrycia ze względu na rosnącą cyfrową anonimowość oraz szyfrowanie danych. W uzasadnieniu projektu ustawy, bardzo trudnej do przeczytania 114-stronicowej publikacji, opisano pięć celów, na podstawie których uprawnienia dochodzeniowe mogą zostać wykorzystane:
Ustalenie i utrwalenie określonych danych urządzenia zautomatyzowanego lub użytkownika, takich jak tożsamość lub lokalizacja: w szczególności oznacza to, że funkcjonariusze mogą potajemnie uzyskać dostęp do komputerów, routerów i telefonów komórkowych w celu pozyskania informacji, takich jak adres IP lub numer IMEI.
Utrwalanie danych przechowywanych w urządzeniu zautomatyzowanym: funkcjonariusze mogą utrwalać dane niezbędne do „ustalenia prawdy” i rozwiązywania poważnych przestępstw. Można tu mieć na myśli utrwalanie obrazów pornografii dziecięcej oraz danych służących do logowania do zamkniętych społeczności.
Uczynienie danych niedostępnymi: staje się możliwe uczynienie danych, którymi posłużono się do popełnienia przestępstwa, niedostępnymi w celu zakończenia przestępstwa lub zapobieżenia przyszłym przestępstwom. Zgodnie z wyjaśnieniami w ten sposób ma być możliwa walka z botnetami.
Wykonanie nakazu podsłuchiwania i utrwalania (poufnej) komunikacji: pod pewnymi warunkami staje się możliwe podsłuchiwanie i utrwalanie (poufnych) informacji z udziałem lub bez udziału dostawcy usług komunikacyjnych.
Wykonanie nakazu systematycznej obserwacji: funkcjonariusze otrzymują możliwość ustalenia lokalizacji i śledzenia ruchów podejrzanego, być może poprzez zdalne zainstalowanie specjalnego oprogramowania w urządzeniu zautomatyzowanym.
Osoby, które uważają, że te uprawnienia mogą być wykorzystywane wyłącznie w przypadku cyberprzestępczości, będą rozczarowane. Uprawnienia do prowadzenia czynności dochodzeniowych wymienione w pierwszym oraz w dwóch ostatnich punktach powyżej mogą być stosowane w odniesieniu do przestępstw, w przypadku których dopuszczalne jest tymczasowe aresztowanie, co odpowiada przestępstwom zagrożonym w ustawie karą minimalną 4 lat pozbawienia wolności. Uprawnienia dochodzeniowe związane z drugim i trzecim celem mogą być wykorzystywane wyłącznie w przypadku przestępstw, za które ustawa przewiduje karę minimalną 8 lat pozbawienia wolności. Ponadto akt wykonawczy może wskazać przestępstwo popełnione przy użyciu działania zautomatyzowanego, w odniesieniu do którego oczywisty jest społeczny interes w jego zakończeniu oraz w ściganiu sprawców. Na szczęście uzyskanie dostępu do działań zautomatyzowanych może być dozwolone tylko wtedy, gdy podejrzany używa danego urządzenia.
Kwestie prawne
Ponieważ droga do piekła jest wybrukowana dobrymi chęciami, odpowiedni nadzór nigdy nie jest zbędny. Uprawnienia dochodzeniowe przyznane przez projekt ustawy mogą być wykonywane potajemnie, ale wniosek o zastosowanie takiego instrumentu może złożyć tylko prokurator. Wymagana jest uprzednia zgoda sędziego śledczego (rechter-commissaris), a Centralna Komisja Kontroli Prokuratury ocenia planowane użycie instrumentu. Ponadto, jak wspomniano wcześniej, istnieje ogólne ograniczenie stosowania uprawnień do przestępstw z karą minimalną 4 lub 8 lat. W każdym przypadku muszą zostać spełnione wymogi proporcjonalności i subsydiarności, a także wymogi merytoryczne i proceduralne.
Inne nowości
Najważniejszy aspekt projektu ustawy Computercriminaliteit III został już omówiony. Zauważyłem jednak, że większość mediów w swoich dramatycznych apelach zapomina omówić dwa dodatkowe, ważne tematy ujęte w tym projekcie. Pierwszy z nich polega na tym, że projekt wprowadza również możliwość wykorzystywania „przynęt nieletnich” (bait adolescents) w celu wykrywania „groomerów”. Groomerów można postrzegać jako cyfrową wersję loverboys; osoby poszukujące cyfrowego kontaktu o charakterze seksualnym z nieletnimi. Ponadto łatwiejsze stanie się ściganie odbiorców skradzionych danych oraz oszukańczych sprzedawców, którzy rezygnują z dostarczenia towarów lub usług oferowanych przez nich w internecie.
Sprzeciwy wobec projektu ustawy Computercriminaliteit III
Przedmiotowy projekt ustawy potencjalnie oznacza ogromną ingerencję w prywatność obywateli Holandii. Zakres ustawy jest niezmiernie szeroki. Mogę przytoczyć wiele zastrzeżeń, w tym to, że przy ograniczeniu do przestępstw zagrożonych minimalną karą 4 lata, z góry zakłada się, iż jest to prawdopodobnie rozsądna granica i że zawsze będzie chodzić o przestępstwa o szczególnie ciężkim charakterze. Jednak osoba, która umyślnie zawiera drugie małżeństwo i odmawia poinformowania o tym drugiej strony, może już zostać skazana na karę do 6 lat pozbawienia wolności. Ponadto może się okazać, że podejrzany ostatecznie jest niewinny. Nie tylko jego własne dane zostają wówczas dokładnie zbadane, lecz prawdopodobnie również dane innych osób, które nie miały nic wspólnego z ostatecznie niepopełnionym przestępstwem. Komputery i telefony są bowiem „w szczególności” wykorzystywane do nawiązywania kontaktu ze znajomymi, rodziną, pracodawcami i wieloma innymi osobami. Ponadto pojawia się pytanie, czy osoby odpowiedzialne za zatwierdzanie wniosków na podstawie ustawy oraz za sprawowanie nadzoru nad nimi posiadają wystarczającą, specjalistyczną wiedzę, aby właściwie ocenić wniosek. Mimo to wydaje się, że takie ustawodawstwo w obecnych czasach jest niemal niezbędnym złem. Prawie każdy miał bowiem kiedykolwiek do czynienia z oszustwami internetowymi, a emocje sięgają zenitu, gdy ktoś kupił fałszywy bilet koncertowy za pośrednictwem internetowego serwisu ogłoszeniowego. Co więcej, nikt nie chciałby, aby jego dziecko podczas codziennego surfowania w sieci miało kontakt z niebudzącą zaufania osobą. Pozostaje pytanie, czy projekt ustawy Computercriminaliteit III, z jego szerokimi możliwościami, wyznacza właściwą drogę.
Konkluzja
Projekt ustawy Computercriminaliteit III wydaje się być poniekąd złem koniecznym. Projekt ustawy nadaje organom ścigania szerokie uprawnienia w zakresie dostępu do systemów zautomatyzowanych podejrzanych. W przeciwieństwie do afery Snowdena, projekt ustawy oferuje znacznie więcej zabezpieczeń. Pozostaje jednak pytanie, czy zabezpieczenia te są wystarczające, aby zapobiec nieproporcjonalnej ingerencji w prywatność obywateli Holandii, a w najgorszym przypadku – uniknąć afery typu „Snowden 2.0”.
