Irlandzka ustawa o nadzorze może zalegalizować policyjne oprogramowanie szpiegujące

Irlandia dąży do zalegalizowania komercyjnego oprogramowania szpiegującego dla organów ścigania

Irlandia proceduje nową ustawę o łączności (przechwytywaniu i legalnym dostępie), która przyznałaby policji prawne uprawnienia do stosowania komercyjnego oprogramowania szpiegującego, w tym narzędzi kontrowersyjnych dostawców, takich jak NSO Group. Proponowane przepisy mają na celu unowocześnienie krajowego prawa dotyczącego inwigilacji, rozszerzając jego zakres na szyfrowane platformy komunikacyjne, takie jak Signal i WhatsApp, a także na metadane generowane przez te komunikaty.

Ustawa stanowi jedno z najistotniejszych rozszerzeń uprawnień państwa w zakresie nadzoru w najnowszej historii Irlandii i spotkała się z ostrą krytyką ze strony obrońców praw cyfrowych, którzy ostrzegają, że słabe mechanizmy kontrolne mogą zamienić te narzędzia w instrumenty nadużyć.

Co ustawa faktycznie dopuszcza

Poza przyciągającą nagłówki wzmianką o komercyjnym oprogramowaniu szpiegującym, przepisy obejmują szerszy zestaw możliwości inwigilacyjnych, które budzą poważne obawy wśród ekspertów ds. prywatności.

Ustawa zawiera przepisy dotyczące stosowania narzędzi kryminalistycznych oraz urządzeń IMSI-catcher, które imitują wieże komórkowe w celu przechwytywania komunikacji mobilnej i identyfikowania telefonów na danym obszarze. Technologie te nie są precyzyjne w swoim działaniu. Urządzenia IMSI-catcher zbierają w szczególności dane ze wszystkich urządzeń w zasięgu, nie tylko tych należących do podejrzanych.

Oprogramowanie szpiegujące produkowane przez NSO Group działa inaczej, lecz jest prawdopodobnie bardziej inwazyjne. Po zainstalowaniu na urządzeniu docelowym może po cichu gromadzić historię lokalizacji, zdjęcia, historię wyszukiwania, prywatne wiadomości i listy kontaktów — wszystko to bez wiedzy użytkownika. Osoba będąca celem inwigilacji nie ma żadnej informacji, że jej urządzenie zostało zainfekowane.

Ustawa rozszerzyłaby również uprawnienia inwigilacyjne na metadane z szyfrowanych platform. Nawet gdy treść wiadomości jest chroniona przez szyfrowanie end-to-end, metadane ujawniają, kto komunikował się z kim, kiedy, jak często i z jakiego miejsca. Same te informacje mogą nakreślić szczegółowy obraz powiązań i ruchów danej osoby.

Dlaczego eksperci ds. praw cyfrowych wyrażają obawy

Zasadniczy sprzeciw organizacji zajmujących się prawami cyfrowymi nie dotyczy tego, że organy ścigania powinny być całkowicie pozbawione dostępu do komunikacji w poważnych sprawach kryminalnych. Obawa dotyczy proporcjonalności i nadzoru.

Komercyjne oprogramowanie szpiegujące ma udokumentowaną historię nadużyć. Dziennikarze i organizacje społeczeństwa obywatelskiego powiązali narzędzie Pegasus firmy NSO Group z inwigilacją dziennikarzy, obrońców praw człowieka, prawników i przedstawicieli opozycji politycznej w wielu krajach. Sama technologia nie rozróżnia między podejrzanym o przestępstwo a aktywistą społeczeństwa obywatelskiego. To rozróżnienie zależy wyłącznie od ram prawnych i systemów kontroli regulujących jej stosowanie.

Irlandia, jako państwo członkowskie UE, podlega europejskiemu prawu dotyczącemu praw człowieka, które wymaga, aby środki inwigilacji były konieczne, proporcjonalne i podlegały znaczącemu nadzorowi sądowemu. Krytycy twierdzą, że ustawa w obecnym kształcie nie zapewnia wystarczających zabezpieczeń spełniających ten standard. Jeśli nadzór jest słaby lub upoważnienie sądowe jest traktowane jako formalność, otwierają się drzwi dla rozszerzania zakresu stosowania narzędzi na osoby nieprzedstawiające żadnego zagrożenia przestępczego.

Włączenie urządzeń IMSI-catcher dodaje kolejną warstwę obaw. Ich masowy charakter oznacza, że każda osoba obecna na proteście, zebraniu lub publicznym zgromadzeniu może mieć swoje urządzenie objęte siecią inwigilacji, niezależnie od jakichkolwiek podejrzeń o popełnienie przestępstwa.

Co to oznacza dla ciebie

Dla większości mieszkańców Irlandii bezpośredni praktyczny wpływ tej ustawy może wydawać się abstrakcyjny. Policyjne oprogramowanie szpiegujące jest zazwyczaj stosowane w ukierunkowanych śledztwach, a nie wobec ogółu społeczeństwa. Jednak zagrożenia są realne i wykraczają poza krąg podejrzanych.

Dziennikarze komunikujący się ze źródłami, aktywiści organizujący się wokół drażliwych kwestii politycznych, prawnicy zajmujący się poufnymi sprawami klientów oraz każdy, kto ze względu na swoją pracę lub przekonania może znaleźć się w konflikcie z interesami państwa, ma bezpośredni powód, by zwracać uwagę. Historia nadużyć inwigilacyjnych w demokratycznych krajach pokazuje, że narzędzia autoryzowane do poważnych dochodzeń kryminalnych często z czasem trafiają do szerszego zastosowania.

Szyfrowane komunikatory pozostają ważnym narzędziem ochrony prywatności, jednak wyraźny cel ustawy, jakim jest obejście szyfrowania, uwydatnia ich ograniczenia w sytuacji, gdy samo urządzenie końcowe zostaje zainfekowane. Oprogramowanie szpiegujące na poziomie urządzenia całkowicie omija szyfrowanie, odczytując dane przed ich wysłaniem lub po ich odebraniu.

Rozumienie, jakie dane generujesz, kto może mieć do nich dostęp i na jakich warunkach prawnych, staje się coraz ważniejsze dla każdego, kto ceni swoją prywatność.

Najważniejsze wnioski dla czytelników:

• Regularnie sprawdzaj uprawnienia i ustawienia dostępu do danych na swoich urządzeniach
• Pamiętaj, że metadane z szyfrowanych aplikacji mogą być równie wymowne jak treść wiadomości
• Śledź postępy tej ustawy w irlandzkim procesie legislacyjnym, ponieważ okresy konsultacji publicznych dają możliwość obywatelskiego zaangażowania
• Wspieraj organizacje zajmujące się prawami cyfrowymi, które monitorują przepisy dotyczące inwigilacji i opowiadają się za solidnymi mechanizmami nadzoru
• Zastanów się, jakie dane generują i przechowują twoje urządzenia, ponieważ oprogramowanie szpiegujące atakuje urządzenie, a nie tylko kanał komunikacji

Irlandzka ustawa jest nadal na etapie rozpatrywania, co oznacza, że społeczeństwo obywatelskie, eksperci prawni i opinia publiczna mają jeszcze czas, by domagać się silniejszych zabezpieczeń. To, jak ostatecznie ukształtuje się ta legislacja, będzie miało trwałe konsekwencje dla praw do prywatności w Irlandii i może stanowić precedens uważnie obserwowany w całej Europie.