Jakie ramy międzynarodowe ograniczają skalę inwigilacji – i czy są one skuteczne w czasie, kiedy terrorystyczne akty przemocy stają się usprawiedliwieniem dla postępującej rozbudowy narzędzi kontroli, mogących negatywnie wpływać na prawa obywatelskie? Co można zrobić na szczeblu unijnym, by wzmocnić kontrolę kontrolujących?
« La sécurité est la première des libertés », Jean-Marie Le Pen, 1992. Manuel Valls, 2015.
„Bezpieczeństwo jest pierwszą z wolności(1)” – tymi oto słowami były francuski premier, Manuel Valls, rozpoczął swoje wystąpienie na rzecz przyjęcia mocno wpływającej na możliwość ingerencji w prawo do prywatności ustawy dotyczącej działań wywiadowczych, znacząco zwiększającej uprawnienia i możliwości służb. Przyjęto ją wkrótce po przeprowadzonym w styczniu 2015 roku ataku na redakcję pisma Charlie Hebdo. Podszyte strachem działania prowadzą do przyjmowania bezprawnych, nieskutecznych działań oraz nieproporcjonalnych ograniczeń podstawowych praw, takich jak ochrona danych czy prywatności.
Bezpieczeństwo jako pole walki
Terroryzm był przez długi czas częścią życia milionów Europejczyków. Grupy pokroju ETA czy IRA były szczególnie aktywne począwszy od lat 60. XX wieku, co skutkowało śmiercią tysięcy ludzi w Hiszpanii, Francji, Irlandii oraz Wielkiej Brytanii. Okropnym wydarzeniom z 11 września 2001 roku towarzyszyły zamachy bombowe w europejskich stolicach – Londynie i Madrycie. W roku 2011 Norwegia została w bezprecedensowy sposób zaatakowana w Oslo oraz na wyspie Utøya. W ostatnim czasie kontynent doświadczył ataków terrorystycznych na biura Charlie Hebdo, Kopenhagę, Paryż, Brukselę, Niceę oraz Berlin. Różnią się one od siebie w znaczny sposób co do ich motywów i sposobów realizacji, łączy je jednak ich skala rażenia.
Bezpieczeństwo stało się polem walki, w którym podszyte strachem rozwiązania sprzedawane są społeczeństwu pod hasłem „bezpieczeństwa narodowego”.
Gromadzący się w żałobie ludzie dawali jasne świadectwo – tego, by nie poddawać się strachowi i by nie pozwolić na zwycięstwo nienawiści. W praktyce jednak często zdarza się ludziom ulegać lękowi – tyle że nie temu rozsiewanemu przez terrorystów. Jakkolwiek cynicznie może to zabrzmieć rządom regularnie zdarzało się po atakach terrorystycznych przeć naprzód ze swoimi rozwiązaniami w kwestiach bezpieczeństwa, w rekordowo krótkim czasie przyjmując szeroko zakrojone rozwiązania, które nie zostałyby raczej przyjęte w bardziej spokojnych czasach. W ten sposób wcielono w życie francuskie ustawodawstwo wywiadowcze oraz międzynarodowe regulacje dotyczące inwigilacji. Na szczeblu unijnym masową kontrolę wdrożono wkrótce po atakach terrorystycznych. Tak było w wypadku retencji danych – prawa unieważnionego przez unijny sąd z powodu naruszania praw podstawowych – a także prawa o danych pasażerskich (Passenger Name Record, PNR).
Bezpieczeństwo stało się polem walki, w którym podszyte strachem rozwiązania sprzedawane są społeczeństwu pod hasłem „bezpieczeństwa narodowego”. Francuski rząd raz na jakiś czas apeluje na przykład o składanie wolności na ołtarzu bezpieczeństwa. Dyskurs ten nie jest nowy – po raz pierwszy na szerokie wody wypłynął dzięki prawicowym ekstremistom z Frontu Narodowego.
Najważniejszym elementem dyskursu bezpieczeństwa narodowego jest poszerzanie uprawnień nadzorczych. We Francji, Wielkiej Brytanii, Belgii oraz Niemczech mieliśmy w ostatnich latach do czynienia z szeroko zakrojonymi reformami zmierzającymi w tym właśnie kierunku – i to w tym samym czasie, kiedy krytyce poddawana była skala inwigilacji ze strony USA. W sytuacji, kiedy bezpieczeństwo utożsamiane jest z intensyfikacją nadzoru rządy zainteresowały się firmami z sektora nowych technologii, a bardziej konkretnie ilością będących w ich rękach danych oraz możliwościami takimi jak chociażby systemy rozpoznawania twarzy czy narzędzia prewencyjne. Unijne rządy chcą mieć dostęp i możliwość swobodnego przechowywania nagrań rozmów telefonicznych czy zapisanych w metadanych informacji o naszych aktywnościach, takich jak te realizowane za pomocą kamer internetowych czy wyszukiwarek. Uczą się tu od najlepszych – czy, jak w tym wypadku, od najgorszych. Nie tak dawno temu odkryta została skala amerykańskich działań inwigilacyjnych, realizowanych za pomocą programów takich jak PRISM, dzięki którym władze USA otrzymywały dostęp do poczty elektronicznej, czatów, filmów wideo, fotografii i wielu innych danych z Gmaila, Hotmala, Yahoo!, Skype’a czy Faceboooka.
Zasadność podejścia jak najszerszego zbierania danych jest jednak poddawana w wątpliwość, jako że w wypadku niemal wszystkich ataków, które dotknęły Europę, ich sprawcy byli znani służbom wywiadowczym co najmniej jednego kraju UE. W szeregu wypadków to nieumiejętność podzielenia się informacjami między różnymi agencjami doprowadziła do tragedii. Kiedy jednak poruszamy się w środowisku, w którym cały świat kręci się wokół bezpieczeństwa, a prawom człowieka poświęca się niewiele lub zgoła żadnej uwagi, rządy mają problemy z wytłumaczeniem dlaczego akty terroru nadal mają miejsce.
Opowieść o nadzorze, bezpieczeństwie i wolności
Stopień gromadzenia, używania oraz dostępu do naszych osobistych danych ze strony instytucji odpowiedzialnych za przestrzeganie prawa powinien w otwartym, demokratycznym społeczeństwie być przedmiotem publicznej debaty. By móc ją prowadzić potrzebne jest przejście od politycznego wykorzystywania emocji do tworzenia prawa opierającego się na gromadzeniu dowodów na skuteczność danych rozwiązań.
Po dziś dzień historie o sukcesach inwigilacji pozostają ograniczone i anegdotyczne. Rządy nie dostarczyły żadnych dowodów na to, by masowe gromadzenie osobistych danych odgrywało kluczowe znaczenie w rozwiązywaniu śledztw kryminalnych czy walce z atakami terrorystycznymi i by miało być bardziej skuteczne niż gromadzenie dowodów przez pracowników służb czy efektywna współpraca między różnymi agencjami do spraw bezpieczeństwa. Skoro żyjemy w złotym wieku nadzoru to dlaczego nie żyjemy też w złotym wieku bezpieczeństwa? Brak dowodów na to, by więcej danych i inwigilacji miał prowadzić do poprawy sytuacji ma konsekwencje wykraczające poza praktykę polityczną.
Warto wspomnieć, że mówiąc w tym kontekście o dowodach myślimy o standardzie prawnym, który musi spełniać każde ograniczenie praw człowieka ze strony państwa – zdanie testu na konieczność i proporcjonalność danego rozwiązania. Zasady te ukształtowały m.in. orzeczenia Europejskiego Trybunału Praw Człowieka w Strasburgu dotyczące wdrażania Europejskiej Konwencji Praw Człowieka.
Jakikolwiek rząd, chcący wprowadzać ograniczenia praw podstawowych (takich jak prawo do życia osobistego) musi spełnić wedle Konwencji następujące kryteria: ograniczenie musi być wprowadzone w życie aktem prawnym wcielonym w życie zgodnie z procedurą, musi osiągnąć uzasadniony cel, być uznany za niezbędny do jego osiągnięcia w określonych okolicznościach demokratycznego społeczeństwa, a także stanowić proporcjonalną odpowiedź na palącą potrzebę społeczną, którą to odpowiedź władze publiczne muszą umieć uzasadnić. Zestaw wspomnianych przed chwilą wymogów tworzy szkielet tego, co można nazwać uzasadnioną ingerencją.
Skoro żyjemy w złotym wieku nadzoru to dlaczego nie żyjemy też w złotym wieku bezpieczeństwa?
Powyższe krótkie omówienie standardów prawnych Europejskiego Trybunału Praw Człowieka wskazuje na dwa momenty, kiedy rola dowodów staje się istotna. Pierwszym jest analiza konieczności wprowadzenia nowej legislacji, drugim – test proporcjonalności. Trybunał Sprawiedliwości Unii Europejskiej – najwyższej rangi sąd w UE – stosuje ten standard na potrzeby wdrażania Karty Praw Podstawowych. Pytanie o wydajność czy możliwość wdrożenia danego rozwiązania bywa nierzadko niezauważane w orzeczeniach. Niedawnym werdyktem w sprawie retencji danych Trybunał uczynił pierwszy krok do zadeklarowania, że „prawodawstwo krajowe musi opierać się na obiektywnych dowodach”. Najwyższy czas, by sądy zaczęły rozliczać rządy za brak przedstawiania jednoznacznych dowodów co do skuteczności i konieczności ich posunięć inwigilacyjnych.
Jak tłumaczy Edward Snowden, doniesienia o masowej inwigilacji każą zadać pytania nie tylko o prywatność, ale też o wartości demokratycznego społeczeństwa. Ludzie muszą przejąć dyskurs publiczny i doprowadzić do dyskredytacji polityków, rządów i posunięć żerujących na ludzkich emocjach i śmierci. Mniej cyniczna interpretacja tych samych wydarzeń skłania do uznania, że nie chodzi tu o żerowanie, lecz o działanie pod wpływem ekstremalnych, wytrącających z równowagi wydarzeń. Być może jednak powinny istnieć mechanizmy, uniemożliwiające politykom wcielanie w życie nowego prawodawstwa „pod wpływem” tego typu ciśnienia emocjonalnego – tak jak gdy fikcyjny prezydent Stanów Zjednoczonych z serialu „Prezydencki poker” tymczasowo zrzeka się kontroli gdy zdaje sobie sprawę z faktu, że nie jest w stanie podjąć obiektywnej decyzji w sprawie dotyczącej porwania jego córki.
Bohaterowie i łotrzy prawa do prywatności
Ochrona prawa do prywatności oraz danych osobowych może stać się wyróżnikiem Europy. Unia Europejska może – obok międzynarodowych porozumień – odegrać ważną rolę w ograniczaniu masowej inwigilacji. Chociaż sama ma niewiele lub zgoła żadną kontrolę nad programami nadzoru, jako że te nadal pozostają one w pełni w kompetencjach państw członkowskich, mające fundamentalny charakter prawo do prywatności i ochrony danych możliwe jest do wcielania w życie za pomocą ważnego narzędzi prawnego UE, jakim jest Karta Praw Podstawowych. Kraje członkowskie muszą ją przestrzegać, a instytucje unijne powinny zwiększyć swe zaangażowanie w jej wcielanie w życie.
Zarówno z perspektywy komercyjnej jak i rządowej UE ma istotną rolę i możliwości co do ograniczania zjawiska gromadzenia danych przez firmy. Istotny krok w tym kierunku wykonany został w roku 2016 dzięki przyjęciu ramowych regulacji dotyczących danych osobowych, które uaktualniły europejskie reguły w tej materii, wywodzące się jeszcze z roku 1995.
Wspomniane prawo wejdzie w życie w maju roku 2018. Od tego momentu firmy będą musiały np. ograniczyć ilość gromadzonych przez siebie danych wyłącznie do tych niezbędnie potrzebnych do realizacji ściśle określonego celu oraz zapewnić, że użytkownicy będą mieli prawo do usunięcia lub korekty znajdujących się w ich posiadaniu informacji na swój temat. Jeśli tego nie zrobią muszą liczyć się z karami sięgającymi poziomu 4% ich globalnych obrotów. Regulacja wprowadza również do systemu prawnego pojęcia takie jak domyśla i zaprojektowana ochrona danych. Wymagają one od firm proaktywnego podejścia do ochrony prywatności i danych na każdym etapie tworzenia swoich produktów. Podejście to powinno prowadzić do większego wyczulenia korporacji na prawa człowieka już na poziomie koncepcyjnym danego towaru czy usługi. Oznacza to, że inżynierowie i projektanci muszą zadać sobie pytanie o to, jaka właściwie jest najmniejsza ilość danych osobowych, które muszą być zebrane by coś funkcjonowało i czy można ulepszyć ustawienia prywatności. Potencjalne korzyści dla użytkowników z tego, że sektor przestanie traktować ochronę danych jako obciążenie są całkiem spore.
Unia Europejska w celu dopełnienia wspomnianej regulacji zainicjowała przegląd dyrektywy o e-prywatności z roku 2002(2). Chroni ona prawo do prywatności i ma potencjał do opracowania wiążących dla twórców sprzętu oraz oprogramowania zobowiązań związanych z wdrażaniem domyślnej i zaprojektowanej prywatności. Wymogi mogłyby zagwarantować ochronę przechowywanych na naszych urządzeniach (np. komputerach i komórkach) informacji i promować używanie narzędzi do anonimizacji, takich jak szyfrowanie. Już dziś niemal połowa najpopularniejszych stron internetowych wdrożyło protokół bezpiecznej komunikacji – https. Coraz więcej komunikatorów, takich jak WhatsApp czy Signal oferują zaszyfrowane połączenia, choć sam poziom zabezpieczenia pozostaje zróżnicowany. Prawo jest również kluczowe dla ochrony poufności komunikacji – zarówno jej treści jak i powiązanych z nią metadanych, zawierających informacje o rozmowie takie jak m.in. jej czas, długość czy lokalizacja.
Skoro podmywanie ochrony prywatności nie zwiększa naszego bezpieczeństwa to może jej obrona pomoże nam w tym w lepszy sposób?
Zawsze rzecz jasna będzie jakieś „ale”. Nie inaczej jest i w tym przypadku. Podczas negocjowania wspomnianej legislacji reprezentowane w Radzie Unii Europejskiej państwa członkowskie często apelują o szerokie wyjątki i elastyczność zapisów w celu obejścia podstawowych reguł dotyczących ochrony danych oraz prywatności, szczególnie pod kątem inwigilacji. Właśnie dlatego tak ważne jest, by firmy ograniczyły ilości zbieranych przez siebie danych – w przeciwnym wypadku będą one stać przed pokusą stania się częścią ekosystemu nadzoru. Skuteczne regulacje dotyczące dostępu do danych powinny zostać przygotowane na szczeblu unijnym w celu zapobieżenia wciskaniu przez rządy swych nosów w nasze życia. Państwa członkowskie muszą powstrzymać próby używania unijnej legislacji w zakresie prywatności, migracji, swobodnego przepływu osób czy ochrony konsumentów jako narzędzi nadzoru. To kroki niezbędne do tego, by skończyć z bojami na polu bezpieczeństwa, których świadkami byliśmy niemal bez ustanku.
Dokąd zmierzamy?
Wyzwania, przed którymi stoimy nie są nowe – jak do tej pory nie byliśmy w stanie jako społeczeństwa znaleźć na nie prawidłowych odpowiedzi. Byłoby czymś niemądrym, a wręcz niebezpiecznym przypisanie pojedynczej kwestii, takiej jak brak dostatecznej ilości danych, do ponoszonych przez nas niepowodzeń w kwestiach związanych z bezpieczeństwem. Oznacza to, że jakiekolwiek rozwiązanie problemu musi mieć kompleksowy charakter.
Już dziś wiemy, że niezależnie od przyjętego przez ustawodawców podejścia musi ono opierać się na faktach i dbać o prawa człowieka. Skoro podmywanie ochrony prywatności nie zwiększa naszego bezpieczeństwa to może jej obrona pomoże nam w tym w lepszy sposób? Społeczne zalety jej zachowywania są bezcenne – nie tylko chroni ona ludzkie życia, ale umożliwia też wolność wypowiedzi, zrzeszania się czy wyznawania religii. To wartości, które rozkwitają w otwartych, demokratycznych społeczeństwach, wolnych od masowego nadzoru i ich tłumienia przez rządy.
(1) Motto Jean-Marie Le Pena – byłego lidera skrajnie prawicowego Frontu Narodowego oraz jego kandydata na urząd prezydenta Francji w roku 1992. Były premier tego kraju, Manuel Valls, użył tego samego zwrotu 19 listopada 2015 roku.
(2) Dyrektywa to unijne prawo wyznaczające szereg minimalnych reguł, które państwa członkowskie zobowiązane są respektować poprzez ich wdrożenie do prawodawstwa krajowego. Mogą one przyjmować w tej sprawie dodatkowe regulacje – tak długo, jak respektują one te przyjęte przez UE. Dla porównania rozporządzenie jest formą prawa wspólnotowego, która generuje szereg zasad obowiązujących bezpośrednio wszystkie państwa członkowskie bez konieczności przyjmowania prawa na szczeblu krajowym.
Tłumaczenie: Bartłomiej Kozek