"Szwedzi witają nowy porządek", czyli retencja danych "na granicach"
Na początku czerwca 2008 roku Komisja Obrony szwedzkiego Parlamentu zgodziła się na taką nowelizację tamtejszego prawa, by służby specjalne (FRA - Försvarets radioanstalt; Zarząd Obrony Radiołączności) mogły monitorować komunikację elektroniczną "przekraczającą" granice państwa. Nad tą nowelizacją trwały prace już od ponad roku. Chodzi tu m.in. o możliwość monitorowania treści poczty elektronicznej, logów odwiedzanych stron www, komunikatów SMS, rozmów telefonicznych, faxów, etc. Dostawcy usług internetowych i przedsiębiorstwa telekomunikacyjne miałyby też umożliwić tym służbom wykonywanie nowych zadań, a to przez udostępnienie infrastruktury dla potrzeb takiej retencji danych. Ustawę przyjęto. W Szwecji się zagotowało.
Serwis Stockholm News w tekście FRA given authority to spy on cable networks pisze m.in. o kontrowersjach, jakie wiążą się z takimi pomysłami w szwedzkim społeczeństwie (oraz środowisku politycznym). Opozycja zarzuca takim regulacjom, że naruszają one prawo do prywatności (również inne prawa człowieka). Postuluje się również narzucenie parlamentarnej kontroli nad sposobem wykorzystywania takich narzędzi. Pojawiły się propozycje doprecyzowania przypadków, w których retencja danych tego typu mogłaby być stosowana, zaproponowano również, by rząd przekazywał Parlamentowi coroczny raport na temat stosowania monitoringu elektronicznego.
Jak wspomniałem - prace nad nowelizacją trwały już od jakiegoś czasu. W czerwcu 2007 roku mniejszość parlamentarna zablokowała w szwedzkim Parlamencie prace na rok (na co pozwala tamtejsza Konstytucja. W każdym razie - historycznie rzecz ujmując, projekt ustawy został przygotowany przez ówczesne ministerstwo obrony, a opierał się na projektach przygotowanych jeszcze przez wcześniejszą administrację (socjaldemokraci stracili władzę w Szwecji w 2006 roku, a to właśnie wówczas przygotowywano zręby nowej ustawy).
Przyjęcie propozycji jednej z komisji Parlamentarnej na początku czerwca 2008 roku i ostateczną nowelizację obowiązującego prawa dzieli kilka etapów prac legislacyjnych, jednak 19 czerwca Parlament (Riksdag) głosował za przyjęciem nowelizacji ustawy (143 głosów za, 138 przeciw, 1 wstrzymujący się). Z arytmetyki parlamentarnej wynikało, że - aby ustawa nie przeszła, wystarczyło cztery głosy deputowanych z obozu większościowego, jednak tylko jeden deputowany zagłosował przeciwko, a jeden wstrzymał się od głosu, czym przeciwstawili się linii swojej partii.
Nowa ustawa wejdzie w życie 1 stycznia 2009 roku (chociaż przeglądam serwisy z doniesieniami ze szwedzkiego frontu, to nie mogę nigdzie znaleźć treści tej ustawy, nawet jej oficjalnego tytułu, chociaż może chodzić o to: En anpassad försvarsunderrättelseverksamhet - chyba wiem, dlaczego nie potrafię łatwo znaleźć dobrych źródeł...).
Jak czytam w tekście Swedes To Be Wiretapped, Despite Protests - FRA może, zgodnie z nowelizacją, dokonywać retencji danych bez stosownej kontroli sądowej, bez szczególnych powodów, w ochronie narodowego bezpieczeństwa. Inne źródła podkreślają, że Szwecja stoi ramię w ramię z amerykańską administracją, która walczy z terroryzmem....
Natomiast w samej Szwecji nowelizacja prawa wzbudziła spore kontrowersje, ludzie protestowali na ulicach (to już kolejny raz; por. Rewolucje i strzały ze statków), pojawiło się też sporo komentarzy prasowych, serwisów organizujących kampanie przeciwko ustawie (np. stoppafralagen.nu), publikowane są nazwiska deputowanych, którzy zagłosowali i wspierali nowelizację, hasło dotyczące agencji w Wikipedii się rozrasta: Swedish National Defence Radio Establishment (ale potem znów część wpisów znika). Przedsiębiorstwa telekomunikacyjne spektakularnie przenoszą swoje serwery poza granice Szwecji (albo tak jak Google: zapowiadają, że nie będą tam tworzyć ośrodków hostingowych), serwisy internetowe uruchamiają szyfrowanie połączeń.
W serwisie YouTube opublikowano wiele materiałów wideo, które dotyczą nowej szwedzkiej ustawy. Powyżej krótki materiał z jednej z demonstracji: Stoppa FRA demonstration
Niektórzy proponują, by nową ustawę przetestować ze względu na jej ewentualną niezgodność z Europejską Konwencją Praw Człowieka i Podstawowych Wolności, ze szczególnym uwzględnieniem art. 8 tej Konwencji (prawo do poszanowania życia prywatnego i rodzinnego). To wymagałoby wniesienia sprawy przeciwko Szwecji do Europejskiego Trybunału Praw Człowieka.
Szwedzi przygotowują się do przyszłorocznych wyborów do Parlamentu Europejskiego. Sprawa nowych uprawnień dla FRA może być kolejną odskocznią dla szwedzkiej Partii Piratów, która oczywiście głośno protestuje przeciwko nowym regulacjom, ale również snuje plany spektakularnego zwycięstwa w wyborach do Europarlamentu nie tylko w Szwecji, ale również w innych krajach Europy.
O fermencie w Szwecji czytaj również w następujących źródłach:
- Telefony i komputery Szwedów pod kontrolą
- Swedish blogs take on big brother
- 'Yes' to surveillance law
- 'Orwellian law must be stopped'
- Pirate Party to take Sweden to European court
- The Pirate Bay Introduces SSL to Site, Asks for Global Internet Embargo Against Sweden
- Swedish FRA Law - Party Dissension Continues Over New Law
- Striden fortsätter: Bananrepublikfest den 3 juli
- Sweden - Fighting Back Against the FRA Law
- Swedish government adopts invasive wire-tapping measures
- Safeguarding Data From Big Brother Sven?
- Login to post comments
Piotr VaGla Waglowski
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Ukończył Aplikację Legislacyjną prowadzoną przez Rządowe Centrum Legislacji. Radca ministra w Departamencie Oceny Ryzyka Regulacyjnego a następnie w Departamencie Doskonalenia Regulacji Gospodarczych Ministerstwa Rozwoju. Felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również członkiem Rady ds Cyfryzacji przy Ministrze Cyfryzacji i członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>
Ciekawe, że nikt nie zastanawia się, gdzie są "granice"
Ciekawe, że nikt nie zastanawia się, gdzie są "granice" w internecie. Jeśli ruch ma być kontrolowany "wewnątrz" granic, to chyba ktoś ma pomysł jak mapować internet na granice państw...
--
[VaGla] Vigilant Android Generated for Logical Assassination
To akurat da się zrobić,
To akurat da się zrobić, pod warunkiem współpracy ze wszystkimi operatorami telekomunikacyjnymi, których sieć przekracza granice geograficzne. Trochę większy problem robi się z dostawcami treści, gdzie faktycznie zlokalizowanie drugiego, albo nawet trzeciego końca danej transmisji czy połączenia jest dość trudne.
Problem może być jednak w trochę innym miejscu. Szwed może 'stworzyć' maila na maszynie fizycznie znajdującej sie we Francji i wysłać go do Niemca. Nie tylko na trasie Szwecja-Francja będą przesyłane pojedyncze znaki z klawiatury, ale dodatkowo to połączenie może być szyfrowane.
Ruch na granicach jest tak olbrzymi, że jego monitorowanie w całości jest praktycznie nierealne.
Oponentka
Główną oponentką tej ustawy już od wstępnego etapu jest szwedzka posłanka partii socjal-liberalnej. Ma swoją stronę sejmowa, ale tylko po szwedzku, więc ja nie podejmuje się dokładnego tłumaczenia. Tutaj jest jej stanowisko n/t wielkiego brata:
Därför röstade jag nej till den nya FRA-lagen
Mapowianie sieci
W przypadku Internetu, to mapowanie nie jest takie
skomplikowane (pod względem logicznym, nie technicznym).
Nie da się "przeciąć" wszystkich kabli które przez szwedzką granicę przechodzą, więc trzeba przyjąć inne podejście.
Każdemu adresowi IP można przypisać jakąś lokalizację fizyczną, na terenie tego, bądź innego państwa. Teraz wystarczy u każdego ISP trzeba sprawdzać pakiety i zapisywać wszystkie, które są skierowane lub przychodzą z IP z innych krajów.
Tak moim zdaniem mogłoby to wyglądać teoretycznie.
Każdemu adresowi IP można
A kto mi zabroni routować mojego IP do Azerbejdżanu, a za pół godziny do Somalii?
Założenie, że IP jest dopięty do tego samego komputera, albo do jakiegoś konkretnego regionu jest błędne. Adres IP może być przydzielony administracyjnie do któregoś ISP, ale to gdzie będzie się fizycznie znajdowało urządzenie o danym adresie to zupełnie inna bajka. Jeżeli już mówimy o Szwecji, to mamy świetny przykład, Telia-Sonera (np. IP 80.91.252.57), wszelkiego rodzaju geolokacje podadzą, że w/w IP znajduje się w Szwecji w Europie, podczas gdy urządzenie o tym adresie znajduje się w Atlancie w USA.
Pojawiały się już pomysły wprowadzenia obowiązku rejestrowania położenia danego IP w globalnej (ale rozproszonej) bazie danych... nie spotkały się z większą aprobatą (dużo danych do przetworzenia, a skuteczność i tak nikła).
Granice państw a technologia.
Co do samej tradycyjnej komunikacji GSM (tradycyjnej, ładne mamy czasy, że to już tradycja) system monitoringu istnieje od lat. Operatorzy łącz przechowują całe gigantyczne archiwum, kto do kogo, kiedy i ile. To wiem akurat z dobrej ręki. Nikt mi się nie chciał przyznać, czy mają także nagraną treść rozmówi i smsów. Co do komunikacji IP sprawa jest faktycznie skomplikowana, ale da się ją rozwiązać. Każda firma hostingowa w obrębie Szwecji będzie musiała dostarczać backup bazy logów i treści wiadomości e-mail. Każdy duży provider trzyma całą transmisję via e-mail trzy dni - to i potrzyma tydzień czy miesiąc. Gorzej już z serwerami losowymi, które ktoś tam uruchamia w domu do kotleta. Ale znając Skandynawów poradzą sobie ze swoim zdyscyplinowanym społeczeństwem. Weźmy też pod uwagę, że ceny pamięci dyskowej rosną a objętości skompresowanych kodeków VOIP maleją. Moim zdaniem jest to do zrobienia. Poza tym można postawić kilka buforujących proxy wielkości pawilonu handlowego w razie, gdyby ktoś zapomniał dostarczyć backupów na czas.
Treść SMSów jest
Treść SMSów jest przechowywana przez operatora.
Nie wiem na jakiej podstawie, proszę mi wybaczyć, nie wiem też czy dyrektywa EU o retencji cokolwiek mówi o treści wiadomości tekstowych (raczej nie), ale niejeden rozwodnik przejechał się gdy sąd wystąpił do operatora o ich udostępnienie.
Pamiętamy też wszyscy słynną wiadomość treści "Chwała nam i naszym kolegom (...)".
Dyrektywa 2006/24/WE i treści komunikatów
DYREKTYWA 2006/24/WE PARLAMENTU EUROPEJSKIEGO I RADY z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE (PDF):
--
[VaGla] Vigilant Android Generated for Logical Assassination
odnośniki bezpośrednie czy odnośniki do notki bibliograficznej?
Oj VaGla. Czy nie lepiej podać odnośnik do notki bibliograficznej aktu prawnego w systemie aktów prawnych niż bezpośrednio do pliku? Np. Tak:
Dyrektywa 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca dyrektywę 2002/58/WE
operatorzy nie przechowują treści SMS
Obecnie jestem stroną w procesie sądowym, z jednym z operatorów GSM, sprawa dotyczy rozsyłania SMS. Mimo postanowienia sądowego operator nie dostarczył informcji o ilości, treściach, formach SMS otrzymywanych, miejscach z którego wysłano. Chociaż wcześniej pełnomocnik operatora zapewniał Sąd, że dane dostarczą. Nie przechowują też informacji o rozmowach przychodzacych. Byc może, że mają takie dane ale czy by kłamali przed Sądem ?
MiTM
Ciekawi mnie czy panstwo moze legalnie zrobic atak man-in-the-middle na mnie?
Na przyklad, czy jesli uzywam kryptografii, ale bez weryfikacji kluczy (jakies oportunistic encryption itp). Czy mozna by bylo podciagnac atak mitm przez sluzby jako proba podsluchania?
M-in-M i Dyrektywa
"Niniejsza dyrektywa odnosi się jedynie do danych generowanych lub przetwarzanych w wyniku połączenia lub usług w zakresie łączności, nie zaś do danych będących treścią przekazywanej informacji."
Czy co właściwie? Kto lub co odnosi się do treści przekazywanych danych? Według mnie zapisywanie treści powinno być na specjalne zamówienie ABW czy innego upoważnionego organu.
A co do połączeń przychodzących. Zwykły pracownik, a nawet koder bilingów nie ma do nich dostępu. Ale mam kogo zapytać czy one faktycznie są zapisywane.
Natomiast ilość, formę (sms, mms, mail), czas i cel połączenia muszą mieć i to podejrzewam ustawowo. Zresztą, gdyby tego nie mieli, to by była dziura w budżecie firmy.
Prośba
Zwracam się z uprzejmą prośbą o jasne formułowanie tez w komentarzu. Kilkakrotnie zastanawiałem się nad głównymi myślami, które umieścił Pan w komentarzach i nie byłem pewny co do przekazu. Dlatego też część Pana komentarzy nie przeszła przez moderację. Jasne formułowanie tez pozwoli w przyszłości uniknąć tego typu konfuzji. Przykładowo: w powyższym komentarzu nawiązał Pan w tytule do Dyrektywy, chociaż w treści pisze Pan o postulatach dotyczących polskiego porządku prawnego. Zdania są nieco wyjęte z kontekstu, który znany jest jedynie Panu. Nie rozumiem też związku "dziury w budżecie" z Pańskimi podejrzeniami co do "ustawowego posiadania ilości, formy, czasu, etc."...
To nic osobistego, ponieważ nie chce zniechęcać komentujących, jednak jeśli ja nie rozumiem co komentator chciał powiedzieć w swoim komentarzu - nie przepuszczę tego w przyszłości, w procesie moderacji.
A więc prośba: pełne zdania, jasne tezy, wskazywanie źródeł (powoływanie się na przepisy). Ten serwis nie służy raczej do "pop-dyskusji".
PS. Jestem leniwy. Dlatego nie chce mi się w pozostawionych komentarzach poprawiać literówek, wstawiać polskich znaków, poprawiać przecinków (chociaż staram się na to zwracać uwagę we własnych tekstach - czasem robię błędy, nawet rażące błędy mi się zdarzają; dlatego rozumiem, że komuś coś takiego się przydarzy). Wobec tego, że jestem leniwy i nie chce mi się poprawiać komentarzy - czasem dość długo trwa, zanim komentarz niestarannie napisany przez autora trafi na stronę. Czasem zaś nie trafi, bo go wcześniej skasuję. Zawsze wówczas mi przykro, bo ktoś włożył wiele wysiłku, by napisać komentarz, który ląduje w "dev/null", ale nie musi tak być. Wystarczy trochę bardziej się przyłożyć.
--
[VaGla] Vigilant Android Generated for Logical Assassination
Przechowywanie wiadomości
Co do połączeń przychodzących - to jest to sprawa bardziej skomplikowana, natomiast pewno u większości operatorów są jednostki odpowiedzialne za kontakty z urzędami (uprawnionymi), które to mają łatwy dostęp do tych danych.
Połączenia przychodzące muszą być zapisywane dla celów rozliczeń międzyoperatorskich. Natomiast nie bardzo rozumiem, jak można zapisywać "cel połączenia".
Jeżeli chodzi o przechowywanie treści SMSów, to jeżeli na same święta przesyłamy 750 mln smsów, każdy pewno po ok. 100-140 bajtów + meta dane - jakieś pewno 20 bajtów - to daje 80-100GB danych na same święta. Czyli zgaduję, że to będzie jakieś 10TB rocznie. To przy założeniu ze zakres przechowywanych meta-danych jest mocno ograniczony. Nie tak dużo.
Moim zdaniem, nie ma dużej korzyści z zapisywania SMSów wszystkich abonentów, bo równie dobrze, można by zapisywać wszystkie ich rozmowy telefoniczne (skoro SMS i email'e tak, to czemu rozmowy nie?). Moim zdaniem, trzeba wyjść od celu, jakiemu miałoby służyć takie gromadzenie danych, a potem sprawdzić, czy rzeczywiście to w czymkolwiek pomaga.
Źródła
W Szwecji nawet już powstało wiki dotyczące tego tematu:
http://frapedia.se/wiki/Proposition_2006/07:63
Tekst źródłowy ustawy:
http://www.regeringen.se/content/1/c6/07/83/67/2ee1ba0a.pdf
Próba czytania tego z pomocą automatycznych translatorów może skończyć się chorobą :-)
Moje komentarze
Wiem, że moje komentarze niektóre nie przechodzą przez moderację, specjalnie się tym nie załamuję, bo to decyzja prowadzącego portal.
Ale mój komentarz chyba wydawał się jasny. Cytowałem cytowaną już dyrektywę Parlamentu UE nr 13, która mówi w skrócie, że odnosi się do danych "generowanych w wyniku połączenia lub usług" nie zaś do "danych będących treścią przekazywanej informacji". Znaczy to nie mniej ni więcej to, że ta dyrektywa nie mówi czy i jak ma zostać zapisana treść na przykład SMS-a, ale tylko nadawca, czas i godzina. Stąd też moje pytanie, kto decyduje o zapisywaniu treści w Polsce i sugestia, że są to pewnie zlecenia organów bezpieczeństwa. Wynikałoby z tego, że oficjalnie nie ma rejestru innych treści niż takie, które zostały zapisane na urzędowe zamówienie. Czyli bazy smsów i rozmów prywatnych nie ma. I tyle.
Zwrócenie mi uwagi na zamienianie komentarzy w pop-riposty jest dość niesprawiedliwe. Staram się też używać zasad składni języka polskiego, choć mogę się gdzieś pomylić.
Szwedzki podsłuch przed Trybunał Praw Człowieka
Spodziewany ciąg dalszy sprawy:
Niezależne szwedzkie Centrum Sprawiedliwości, wspomagane przez prawników i naukowców, złożyło skargę w Europejskim Trybunale Praw Człowieka.
Informacja podana przez PC World