Žiga Turk: kdor ni z nami, je proti nam (2)
Mandi
26. nov 2012 ob 13:04:02
Maja letos nam je Evropska komisija zagrozila z kaznijo 13.000 evrov plus drobiž dnevno (!), če ne pohitimo z implementacijo ključne telekomunikacijske zakonodaje, ki prinaša dodatne pravice v dobro uporabnikov. Najbolj se mudi z novelo e-Privacy direktive (popularno ti. "cookie direktive"), ki ponudnike spletnih strani zavezuje, da od uporabnika pridobijo soglasje, še preden na njegov računalnik postavijo kakršnekoli ne-nujne HTTP piškotke -- takšne, ki niso potrebni za prijavo ali kaj podobnega. Na ta način se - recimo, glej režime ostalih držav - zagotovi, da bo uporabnik vnaprej seznanjen z vsakršnimi oglaševalskimi vključki, ki bo lahko potencialno zbirali podatke o njegovi spletni aktivnosti, posebej za potrebe profiliranja. Rok za implementacijo je pravzaprav potekel že maja lani, zato naša vlada trenutno strašno hiti z novo različico področnega Zakona o elektronskih komunikacijah (ZEKom-1).
A zanimivo, v isto novelo po vsej sili tiščijo še stvari, ki nimajo prav nič skupnega s pravicami uporabnikov, oz. prej obratno, govorijo o kratenju taistih pravic z dodatnimi pooblastili državnih organov za nadzor telekomunikacij. Na ta način se želi vlada izogniti resni in nujno potrebni diskusiji o vsebini teh pooblastil. Takšen vzorec smo po 11. septembru videli marsikje po svetu, z ne ravno zanemarljivimi posledicami. Obenem, kot kaže naša analiza, strežniki slovenske vlade še vedno mirno servirajo piškotke, brez da bi za to bila potreba (strani so read-only, ne rabijo prijave) in brez da bi o tem uporabnika obvestili, kaj šele vprašali. Če se že tako mudi ...
Zgodbo zdaj že poznate. V predlog ZEKom-1 se je čez poletje nekoliko arogantno vtihotapil predlog Slovenske obveščevalno-varnostne službe SOVE, ki uživa tudi podporo ministrstev za notranje zadeve in za obrambo. Gre za 7. odstavek 166. člena, ki bi dovolil pridobitev podatka o imetniku telekomunikacijskega priključka - stacionarnega, mobilnega in zlasti internetnega tudi brez predhodne sodne odredbe:
(7) Posredovanje podatkov o naročniku elektronskega komunikacijskega priključka na podlagi pisne zahteve državnega organa skladno z določbami 149. člena tega zakona se ne šteje za posredovanje hranjenih prometnih podatkov, četudi mora operater za izvedbo te zahteve vpogledati v hranjene podatke.
Še huje, taisto možnost slovenska policija poseduje že dobrih sedem let, odkar smo z novelo ZKP-F dodali pooblastili za tajno opazovanje (149.a člen) in pridobivanje prometnih podatkov (člen 149.b). Takrat je zakonodajalcu v 3. odstavek člena 149.b uspelo zapisati sledeče:
(3) Če so podani razlogi za sum, da je bilo storjeno, oziroma da se pripravlja kaznivo dejanje, za katero se storilec preganja po uradni dolžnosti in je za odkritje tega kaznivega dejanja ali storilca potrebno pridobiti podatke o lastniku ali uporabniku določenega komunikacijskega sredstva za elektronski komunikacijski promet, ki niso objavljeni v naročniških imenikih in o času, v katerem je tako sredstvo bilo oziroma je v uporabi, lahko policija od operaterja zahteva, da ji na njeno pisno zahtevo, tudi brez privolitve posameznika, na katerega se ti podatki nanašajo, sporoči te podatke.
Naša preverba kaže, da se Vladi sicer mudi s sprejemom ZEKom-1, ni pa videti, da bi se kaj posebej sekirala z upoštevanjem taistega (kmalu) sprejetega ZEKom-1. Njihova spletna stran namreč lepo servira piškotke, tebi nič, meni nič, brez vsakršne potrebe.
Policija občasno na ZDIJZ zahtevke po številu zaprosil odgovarja, da "statistike o tem ne vodijo". So pa povedali, da so so teh [želenih] podatkov doslej vedno prišli, tako da naj nihče ne misli, da bi lahko bilo v prihodnosti kaj drugače.
Policija in SOVA (roke pa kvišku držijo tudi nekateri drugi državni organi) torej brez vsakršnega nadzora pridobivata podatke o imetnikih telekomunikacijskega priključka. Čemu rabijo te podatke? Izkaže se namreč, da policisti s pomočjo podobnih zunajsodnih instrumentov zbirajo še podatke o tem, kateri priključek (telefonska številka, IP, ..) je s kom komuniciral. S tem lahko rekonstruirajo obstoj in člane pogovora, ter posledično socialna omrežja ljudi, mimo kavtel, ki jih slovenska ustava predpisuje ("prinesi sodno odredbo ali pa pojdi domov"). Nekaj težav imajo zgolj v primeru, ko ima uporabnik dinamični IP naslov, oni pa zamudijo rok tistih nekaj mesecev (tednov) po uporabi tega IP naslova, dokler ga operater še hrani v svoji billing bazi. Takrat bi bilo treba pogledati v retencijsko bazo, kjer pa velja "standardna procedura", da se vanjo pride le z vstopnico v obliki sodne odredbe. Nesmiselno kompliciranje, po njihovih besedah.
Podatke o lastništvu telekomunikacijskega priključka pa niti slučajno ni kar en brez vezen podatek. V sledečih odstavkih bomo skušali prikazati ureditev situacije drugje po svetu, ter tako (upamo) utemeljiti, da takšne določbe nimajo prostora v zakonodaji vsaj napol normalne demokratične države.
Začenjamo v naši neposredni bližini.
Avstrijci so problem rešili z dinamičnimi IP naslovi
Ustavi Slovenije ter Avstrije sta glede varovanja tajnosti pisem in drugih občil dokaj podobni. Tako naš ekstra strogi 37. člen kot tudi 10. in 10.a člen njihovega Državnega temeljnega zakona o temeljnih pravicah državljanov (njihova ustava ne pride v enem kosu, več) dovoljujeta policijsko vohljanje le na podlagi sodne odredbe. Problem pa je v tem, da avstrijska država na podatek o imetništvu telekomunikacijskega priključka ne gledajo kot na nekaj, kar bilo del komunikacije in zato tudi ustavno zaščiten. Je zgolj zapis v neki naročniški bazi (ti. Stammdaten), dosegljiv na podlagi golega zaprosila policije oz. tožilstva.
Njihov parlament je namreč v noči z 6. na 7. december 2007 z last minute kinder surprise amandmajem vladajočih socialnih demokratov (SPÖ) in ljudske stranke (VPÖ) spremenili zakon o policiji (Sicherheitspolizeigesetz, SPG), tako da njihove službe več niso potrebovale sodne odredbe za pridobitev podatkov o naročniku. Učinki so bili hitro vidni. Policija je v prvih štirih mesecih naslednjega leta podala kar 3863 zahtevkov za identiteto IP številke, to je po eno na vsega 45 minut. Za telefone je bilo takih zahtevkov 258, to je malo več kot dva na dan.
Avstrijsko tožilstvo je z vso vnemo lovilo lumpa, ki si je uspel preko spleta naklikati zastonj vozovnice za vlak.
vir: Austria.infoPri tem je potrebno upoštevati še, da Avstrija vse do prvega aprila letos ni poznala obvezne retencije prometnih podatkov. Avstrijski operaterji so tako vsem svojim uporabnikom 1x na dan zamenjali IP številko, dnevnikov preteklih pa niso vodili. Policijska pooblastila iz novele Sicherheitspolizeigesetz so bila tako domala 5 let mrtva črka na papirju. Takšna pokončna drža je bila možna predvsem zaradi dobrega dela domačih nevladnih organizacij (predvsem AK Vorrat) in podobnih razmer v sosednji Nemčiji (kot bomo videli spodaj). Pa to najbrž še ni konec. AK Vorrat je 31. marec - zadnji dan spoštovanja zasebnega in družinskega življenja (8. člen EKČP) pospremil z žalnimi procesijami v vseh večjih mestih. Delajo na vložitvi državljanske zahteve za presojo ustavnosti zakona o retenciji, za kar so že zbrali vse potrebne podpise (težav s ponaredki in izgubljenimi listi ni), načrtujejo pa še vseeunijske proteste. Najbrž ne pretiravamo, če tu in zdaj zapišemo, da bi njihovo Ustavno sodišče (Verfassungsgerichtshof, VerfGH) znalo zakon odpraviti že naslednje leto, tako kot so ga Nemci, potem pa še Romuni, Bolgari, Čehi in Ciperčani.
V svojih dosedanjih odločitvah je namreč že nakazalo, da jih blanketno vohljanje po zasebni korespondeci moti. Prvotno zahtevo operaterja T-Online za presojo ustavnosti Sicherheitspolizeigesetza so predlani sicer zavrgli iz formalnih razlogov, ker operater kot vlagatelj ni imel konkretnega pravnega interesa (ker ni bila tratena njegova pravica po 10. in 10.a členu StGG, ampak pravica njihovih uporabnikov). So pa istočasno potrdili, da 1) Sicherheitspolizeigesetz ureja samo dostop do podatkov, ne pa tudi obveznosti zbiranja ter 2) da, zanimivo, policija sploh ne sme zahtevati nobenih podatkov, za katere zakon izrecno ne določa, da jih je potrebno zbirati. V sveži odločitvi iz letošnjega julija pa so potrdili, da identifikacija imetnika IP številke brez sodne odredbe sicer ni nezakonita, a zgolj če se gre za javno dosegljivo klepetalnico, v kateri niti vsebina ni preveč dobro skrita. Šlo se je za pritožbo obsojenca, ki se je preko spletnega klepeta hvalil o svojih (nezakonitih, seveda) podvigih, potem pa tarnal, ko ga je soudeleženec bil prijavil policiji. Če bi se šlo, denimo, za zasebna e-poštna sporočila, kaj takega ne bi bilo mogoče, je še zapisalo sodišče.
Posebej zanimiv pa je lanski primer zoper zoper Manuela L., ki sicer še čaka odločitev ustavcev. Mladi gospodič L. si je na spletni strani avstrijskih železnic s pomočjo luknje v sistemu zastonj naklikal vozovnice (poslovna goljufija po njihovem kazenskem zakoniku). V aprilu in maju 2009 naj bi tako nabavil vsaj 37 vozovnic, v skupni vrednosti 529 EUR (tajkun torej). Tožilstvo je zadevo vzelo skrajno resno. Od železnic so dobili štiri IP številke in pripadajoče datume (88.117.108.65, 88.117.113.167, 91.115.79.195, 188.23.3.54), nakar so od pripadajočega internetnega ponudnika (T-Mobile AG) na podlagi zaprosila, torej brez sodne odredbe, zahtevali še naročniške podatke. Ker je šlo za dinamične IP številke, jih operater ni hotel dati. Tožilstvo je tožilo operaterja in zmagalo na obeh stopnjah, nakar je zadeva šla do vrhovnega sodišča. Kako se je izšlo, lahko sklepate že iz prepisa sodbe, kjer so imena obtoženca in operaterja redaktirana, medtem ko so IP naslovi na voljo v polni obliki. Sodišče je zapisalo, da mora operater dati podatke o imetniku IP naslova, tudi če so ti dinamični, in tudi če bi za to moralo pogledati v svojo bazo prometnih podatkov (za katero se pa zahteva sodna odredba), ker sicer institut zaprosila ne bi bil imel nobenega smisla.
Ta izrek je tako sumljivo podoben našemu 7. odstavku 166. novega ZEKom-1, da ne bi bili presenečeni, če so naši idejo snedli neposredno od Avstrijcev. A kot rečeno: njihovo ustavno sodišče še ni odločalo o tem primeru, prav tako pa še ni odločalo o aprila začeti retenciji prometnih podatkov. Še prehitro se zna zgoditi, da bodo sledili nemškemu vzoru in prepovedali oboje.
Nemško ustavno sodišče meni, da državljani ne morejo v miru spati, če vedo, da ostaja možnost, da jih opazuje policija
Nemčija torej. Njihov parlament je 9. novembra 2007 sprejel zakon o prenovi nadzora telekomunikacij in s tem izvedel ti. retencijsko direktivo skozi spremembe obstoječih zakona o telekomunikacijah (§§ 113a, 113b TKG - zbiranje prometnih podatkov, splošno pooblastilo za uporabo zbranih podatkov) in zakona o kazenskem postopku (§ 100g StPO - uporaba v okviru kazenskega postopka). Spremembe so začele veljati nekaj dni pred božičem istega leta. Glede razkritja podatkov o imetniku telekomunikacijskega priključka so določale, da je to možno brez sodne odredbe in brez notifikacijske dolžnosti (dolžnosti nadzorovanemu povedati, da je policija vohljala za njegovimi podatki). Malo več kot mesec dni kasneje so jih (sans retencija) skopirali še Avstrijci.
(Mimogrede, mi smo retencijo uvedli že decembra 2006, leto dni pred Nemci, pa ne za njihovih 6 mesecev, ampak za polni dve leti. Ker da so diski poceni).
Veselje ni dolgo trajalo. Ustavno sodišče je že marca naslednje leto na podlagi ustavne pritožbe osmih posameznikom z začasno odredbo močno zaostrilo pogoje za dostop do prometnih podatkov, in sicer na primere preiskave hudih kaznivih dejanj, pa še to, če dokazov zoper storilca res ni bilo mogoče zbrati drugače. Še bistveno dlje so šli marca 2010, ko so brezkompromisno in v celoti odpravili retencijo prometnih podatkov. Kot so ugotovili, člena 113a in 113b njihovega zakona o elektronskih komunikacijah, ki urejata zbiranje, ter člen 100g zakona o kazenskem postopku, ki ureja uporabo zbranih podatkov, niso skladni s zadevnim členom ustave (§ 10.1, komunikacijska zasebnost ter § 1, človekovo dostojanstvo), ker blanketno zbiranje podatkov o 80+ milijonih nemških državljanov na način, kot si ga je bila zamislila vlada, preprosto ne prestane testa sorazmernosti.
Kot so zapisali, je iz zbranih prometnih podatkov mogoče "razbrati vse potrebno za rekonstrukcijo tega, kdo je komuniciral oz. poskušal komunicirati, s kom, kdaj, kako dolgo, in od kod", ter posledično "ustvariti podrobne profile posameznikov oz. njihovih socialnih omrežij, ter spremljati njihovo fizično gibanje skozi čas". Ker so se ti podatki zbirali vedno - brez posebne pravne podlage - bi se lahko v zavesti državljanov "ustvaril otipljiv občutek strahu, da te država opazuje res na vsakem koraku. V takih pogojih pa bi se posamezniki že "bali svobodno izvrševati svoje v Ustavi zagotovljene pravice". Pa tu govorimo o retenciji za borih 6 mesecev (+1 mesec za brisanje), ne o dveh letih, ki smo jih takrat že imeli pri nas. Sodišče je zato spremembe TKG in StPO označilo za neustavne, ter jih odpravilo.
Das Leben der Anderen
V tej luči je odločitev izjemno zanimiva. Nemci kot narod imajo namreč nekaj, kar je pri nas kljub borim dvem desetletjem lastne države že uspešno zvodenelo: zgodovinski spomin. Slike totalitarističnega režima med obema vojnama, med drugo svetovno voljo in v vzhodni polovici dežele še potem, so pri njih še zelo žive. Takšna pooblastila so namreč zlata jama za zlorabo v te ali one namene. Leta 2006 je izšel film Življenja drugih (Das Leben der Anderen), sicer tudi dobitnik tujejezičnega Oskarja, ki je govoril ravno o delu vzhodnonemške tajne varnostno-obveščevalne službe Stasi v 80. letih prejšnjega stoletja. Njen oficir Gerd Wiesler (aka. HGW XX/7) je po nalogu nadrejenega ožičil in nadzoroval stanovanje domnevno politično kompromitiranega pisatelja, a se je v resnici šlo zgolj zato, da se ga je partijski minister za kulturo želel znebiti (z nečim že, koga briga), ker mu je bila všeč njegova punca. Čudovito niansirana in lepo povedana zgodba odlično prikaže ves potencial za zlorabo pooblastil, če je teh le preveč, nadzora pa nobenega. Ob tem je mogoče vleči vse mogoče paralele na trenutno situacijo v ZDA (Afera Petraeus/Kelley) ter seveda na aspiracije naših. Ampak no. Nemški zgodovinski spomin, udejanjen v prvem členu njihove Ustave določa, da je človekovo dostojanstvo nedotakljivo, takoj za tem pa še, da je varovanje tega dostojanstva naloga države številka ena. Zločini iz preteklosti so namreč dovoljšen opomnik na to, da ne sme nikoli več dovoljeno, da bi državni organi pod kritiko takšnih ali drugačnih ciljev brezkompromisno posegali v človekove pravice.
Nemški operaterji telefonije in interneta trenutno hranijo, kar pač hranijo (za potrebe zaračunavanja storitev), za tako dolgo kratko obdobje, kot je to pač potrebno. Podobno kot v Avstriji je večina države na dinamičnih IP naslovih.
Kako se zdaj to prevede v identificiranje IP-jev? Zgoraj opisani zakon je, kot že rečeno, omogočal identifikacijo brez sodne odredbe. Sodniki so rekli, da bi to morda še dovolili, vendar zgolj v primeru, da se istočasno tudi obvesti nadzorovano osebo. Se pravi, policija pošlje ISP-ju zaprosilo z vprašanjem: "komu je pripadal IP naslov x.y.z.q na dan 1.7.2012 točno ob polnoči, po lokalnem času" in ISP izbrska odgovor, vendar ga hkrati pošlje tako policiji kot pravkar identificiranemu naročniku. Avč. Če pa je policija mnenja, da naročnik ne sme vedeti, da se za njim vohlja, pa naj si lepo zagotovi sodno odredbo.
Stališče je izjemno zanimivo. Za začetek ustavno sodišče priznava, da tukaj ne gre za tako velik poseg v zasebnost kot pri vpogledu v prometne podatke ali v vsebino pogovora, saj podatki niso priobčeni policiji - nikoli ne zapustijo štirih zidov posebne in dobro zaklenjene sobice pri operaterju. Vendar to še ne pomeni, da se te podatke lahko kar daje ven brez, da bi bilo interesi prizadetega naročnika vsaj nekako zastopani. Ena možnost je sodna odredba, tam za to poskrbi preiskovalni sodnik, ki preveri prisotnost utemeljenega suma. Druga je pa kar pisno zaprosilo, kjer sodnika sicer ni, a je prizadeti naročnik takoj obveščen, da se policija zanima za njegove podatke, tako da lahko sam ukrepa na svoji strani. Nemških policistov tako ribolov ne zanima, pravzaprav ga niti ne potrebujejo. Naši pa si ga ne samo želijo, ampak ga tudi rabijo (drugače očitno ne gre, oz. vsaj tako nam na veliko govorijo). Ampak a si predstavljate, kaj bi bilo, če bi naši ISP-ji začeli naročnike obveščati o policijskem vohljanju?
Francoski notranji minister: seveda se da hitreje, samo potem bi bili policijska država
Francija velja za deželo, ki je svetu podarila koncept "človekovih pravic", v smislu pravic, ki nam pritičijo že zgolj zato, ker smo ljudje in jih iz istega razloga tudi ni ravno dovoljeno jemati stran. Ideja je z manj ali več praskami preživela pet različnih republik (ustav), v ta zadnji inačici pa je večina skrbi povezanih predvsem z enim priimkom: Sarkozy. Zdaj že nekdanji predsednik je svojo vztrajnost prvič pokazal leta 2003, ko je še kot notranji minister v Raffarinovi vladi poskrbel za ekspresno podaljšanje odzivnega zakona na napade 11. septembra (zakon o varnosti komunikacij, LSQ). Njegova novela, imenovana zakon o domovinski varnosti (LSI, popularno tudi Loi Sarkozy II) je po zgledu ameriškega Homeland Security Acta začasna pooblastila za nadzor telekomunikacij spremenila v trajna, seveda praktično brez vsebinske razprave. S tem so se pooblastila, ki naj bi bila namenjena izključno preprečevanju terorističnih napadov, razširila še na pregon kaznivih dejanj. Eden redkih nasprotnikov, socialistični senator Michel Dreyfus-Schmidt, je takrat komentiral, da so sprejemom LSI "splavala upanja, da bi se državo povrnilo v okvire republike", s čimer je seveda namigoval na čase, ko je bila Francija še absolutistična monarhija in bolj ko ne pod nemilostjo volje vladarja.
Sarko, avtor francoske zakonodaje za nadzor interneta.
vir: Open EuropeV zadnjih letih ga je skrbela predvsem raba šifriranja. Kot je predlani pojasnil Bernard Barbier, tehnični direktor njihove SOVE, se je tehnična oprema teroristov in posledično tudi običajnih kriminalcev v zadnjih 20 letih korenito spremenila. Predvsem se namesto na specializirane naprave za šifriranje telefonskih pogovorov zanašajo na splošno dosegljive varne storitve, kot so elektronska pošta (Gmail je zavoljo kitajskega vohljanja prešel že nekaj let nazaj), Skype in podobna javno dosegljiva omrežja. "Naše tarče so se prilagodile", zato da je natančno in podobno zbiranje prometnih podatkov še kako nujno, "saj je z njimi mogoče v celoti rekonstruirati tako socialno omrežje osumljencev kot časovnico njihovih pogovorov". O tem smo že pisali pri Nemcih, kjer povsem isto ugotavlja njihovo Ustavno sodišče. Posledično je Sarkozy naslednje leto izdal vladno odredbo o izvedbi zakona LCEN, in v njej natančneje določil, kaj vse poleg IP naslovov morajo beležiti ponudniki spletnih storitev. Izkaže se, da domala vse podatke o registraciji, objavi vsebine ter tudi zgolj obisku strani, vključno z gesli v surovi, cleartext obliki. Zakaj tudi gesla? Kot pojasnjuje Barbier, imamo ljudje znatne težave s pomnjenjem različnih gesel, zato imamo često isto geslo na več različnih straneh. Posledično je mogoče s primerjanjem gesel ugotoviti identiteto uporabnika neke storitve, ne glede na to, da tam uporabi drugo uporabniško ime ali enkratni e-poštni naslov. Združenje francoskih in tujih internetnih velikanov ASIC sicer poskuša z izpodbijanjem uredbe pri upravnem sodišču, vendar se v zadnjem leto na temo ni še nič premaknilo. Pa ustavni svet (njihovo ustavno sodišče)? O odredbi in njeni pravni podlagi, zakonu LCEN, še niso odločali, so si pa lani pogledali LOPPSI 2 (takoj spodaj), pa ne našli ničesar narobe.
No, ko je bila infrastruktura za lovljenje teroristov in kriminalcev že na mestu, jo je bilo mogoče uporabiti še za številne druge stvari (ti. function creepi, po besedah inf. pooblaščenke). Sarkozy je tako poskrbel za identifikacijo novinarskih virov, pregon p2p piratov (HADOPI) (ne ravno uspešno) ter široko blokiranje (cenzuro) neželenih spletnih strani (LOPPSI 2), posebej otroške pornografije, neavtoriziranih spletnih stavnic ter spletne strani, kjer so se zbirali videoposnetki nezakonitih ravnanj policije. Ena od svežih idej je predvidevala celo zapor za ljudi, ki redno berejo (!) nezakonite vsebine. V zvezi s tem je zanimiv tudi njegov odgovor zagovornikov svobode govora: "Ne mi govorit, da se tega ne da narediti. Kar je mogoče za pedofile, mora biti možno tudi za teroriste in njihove podpornike". Prva slaba odločitev očitno legitimizira vse naslednje.
Vsa ta plejada pooblastil je marca letos doživela konkreten test. Neznani storilec je v mestu Tolouse na jugu države oropal in umoril francoskega vojaka. Štiri dni kasneje sta v streljanju v bližnjem Montauban umrla še dva francoska vojaka, tretji je bil hudo ranjen. Devetnajstega marca je storilec napadel še židovsko šolo in vzel življenje trem učencem in enemu članu osebja. Cela Francija je bila na nogah, v bližini omenjenih mest pa je bil celo razglašen protiteroristični alarm najvišje stopnje. Storilca so po dveh tednih negotovosti končno odkrili, ga obkolili na domu in ubili po neuspešnih poganjanjih glede predaje. To je bil 23-letni Mohamed Merah, avtomehanik alžirskega porekla, z dolgo policijsko kartoteko, precej leti v zaporu in (kot posledico stigmatizacije v zaporu) povezavami z islamskimi skrajneži v Pakistanu, kjer je bil dvakrat na popotovanju, preden ga je na nadzorovanem območju aretirala ameriška vojska in ga vrnila nazaj v Francijo. Merah je bil na seznamih vseh vladnih enot za boj proti terorizmu, vendar je vseeno trajalo polna dva tedna, da so ga našli. Pa ne obveščevalci, policija.
Policija je namreč sumila, da se je prvi umor (vojaka, ki je prodajal motorno kolo) zgodil po tem, ko je storilec na lokalni spletni strani videl njegov prodajni oglas. Od spletne strani so dobili seznam 576 IP naslovov obiskovalcev. Potem so rabili teden dni, da so jih ob pomoči operaterjev pretvorili v imena in naslove naročnikov, in odbrali tiste, ki niso bili v geografski bližini Toulousa. Ostalo je nekaj imen, vendar ni nobeno izstopalo, ker naročnik domačega internetnega priključka ni bil Merah osebno, temveč njegova mati. Zaradi nepovezanosti različnih baz, ter bolj ko ne neprijaznega odnosa med posameznimi agencijami namreč ni nihče prišel do njegovega imena, ki je kot rečeno, bilo na vseh protiterorističnih seznamih. Za osumljenca so ga vzeli šele kasneje, ko je njegov brat k lokalnemu prodajalcu vozil pripeljal nek skuter in vprašal, če zmorejo odstraniti čip, ki omogoča sledenje v primeru kraje. Mehaniku se je vse skupaj zdelo sumljivo in je incident prijavil policiji. Kombinacija tega indica ter IP številke njegove matere je policijo potem pripeljala do Mohamedovega brata, ter končno še do Mohameda. A ta čas je poba že zaključil s tretjim umorom.
Francija si je oddahnila, a že naslednji dan so začeli deževati očitki, češ zakaj je vse skupaj tako dolgo trajalo. Tako policisti kot obveščevalci so imeli res vsa potrebna pooblastila, še celo za reševanje človeških življenj se je šlo, tako da bi lahko morda kakšno tudi kršili (skrajna sila). A izkaže se, da še tako obsežna pooblastila ne pomagajo veliko, ko se gre za izsleditev in prijetje izkušenih kriminalcev. Oziroma, kot je vse skupaj v obrambi izustil minister za obrambo Gérard Longuet: "ja, lahko bi ga dobili hitreje, le da bi morali prej Francijo spremeniti v policijsko državo".
Velika Britanija - poskusili smo brez sodne odredbe, zlorab je bilo preveč
Britanci so svoje karte pokazali že leta 2000 s sprejemom Regulation of Investigatory Powers Act (RIPA), neke vrste zakonom o policiji, s tem da daje pooblastila še celi seriji drugih entitet na državni in lokalni ravni. Kljub temu, da je predstavljal izjemno povečanje javnih pooblastil, je šel skozi spodnji dom parlamenta z le malo vsebinske razprave, na podlagi utemeljitve Blairovega kabineta, da je nujen za pregon terorizma (to še v času pred 11. septembrom), pedofilije in internetnih groženj.
Lord Jimmy Savile aka Pedomedo. Še lani za čas božiča ga je BBC slavil kot legendo.
vir: Daily MailZakon ureja šest sklopov prikritih preiskovalnih ukrepov, od tajnega opazovanja, sledenja, uporabe informantov, prometnih podatkov, pa do ožičenja stanovanj in celokupnega nadzora telekomunikacij na velikih notranjih in mednarodnih razvodih. Skoraj vsi ukrepi so dovoljeni brez pridobitve predhodne sodne odredbe, pač zgolj z avtorizacijo višje postavljenega predstojnika (senior figure) znotraj samega organa. Nas zanima predvsem drugi sklop - dostop do prometnih podatkov in naročniških baz - ta je dovoljen tako policiji na podlagi avtorizacije višjega policijskega svetnika, oziroma celi seriji vladnih in lokalnih uradov, občinskih svetov, krajevnih skupnosti idr. na podlagi avtorizacije njihovega predstojnika. V času sprejema se je šlo predvsem za podatke o telefonskih klicih, zdaj se stvari vse bolj fokusirajo na (mobilni) internet.
Rezultati so bili, zdaj si lahko že mislite, polom od poloma. Izkazalo se je namreč, da je en kup upravičencev iz zakona, predvsem pa lokalne skupnosti, ta pooblastila zlorabljalo za bagatelne in osebne zadeve. Leta 2008 se je npr. nekdo v mestecu Dorset na južni obali spomnil, da bi s pomočjo lokacijskih podatkov in fizičnega opazovanja lahko odkril starše, ki izigravajo predpise o vpisu otrok v vrtce in šole na podlagi prebivališča v določenem delu mesta. Oziroma bolj točno, eni od mater, tudi članici občinskega sveta, je šla na živce gospa, ki je imela otroka v istem vrtcu, a naj ne bi živela v isti mestni četrti. Drugod v državi so uslužbenci mestnih svetov zalezovali ljudi na javnih sprehajališčih, iščoč tiste, ki niso pospravljali iztrebkov za svojimi psi, ali ki so nezakonito odlagali smeti. Takšnih zahtevkov je bilo krepko čez 1000 letno, seveda vsako leto več. Vse to je bilo precej podrobno evidentirano v poročilu organizacije Big Brother Watch l. 2010, in trenutno pošteno najeda notranji ministrici Theresi May pri pripravi internetne nadgradnje RIPE, imenovane Data Communications Bill oz. popularno tudi Snooper's Charter. Mayeva je zato nekoliko menjala argumente in se spravila nad spletno pedofilijo, ki naj bi je bilo "zastrašujoče veliko", pri čemer se je "brez identifikacije IP naslovov sploh ne bi dalo odkriti". Strategija se je potem sesula v nič manj kot sam prah, ko se je izkazalo, da britanska policija morda še zna uloviti amaterske zbiratelje otroške pornografije, nikakor pa ne tudi dejanskih pedofilov oz. proizvajalcev pedofilskega materiala. Konec oktobra je namreč udaril škandal z izjemno popularnim BBC-jevim DJ-jem in voditeljem oddaje Top of The Pops, Jimmyjem Savillom, sicer tudi lordom. Po njegovi smrti so se namreč našlo čez 450 nekdanjih žrtev (!), ki naj bi jih spolno zlorabil v preteklih desetletjih, nekatere kar med snemanjem oddaje. To naj bi odgovorni pri njegovem delodajalcu, televizijski hiši BBC, vedeli, vendar niso storili dobesedno ničesar. Saville sam je v svoji (ne preveč uspešni) biografiji l. 75 celo priznal, da je kot plačilo za nastop na nekem dobrodelnem dogodku noč preživel s šestimi deklicami v identičnih mini krilih, ki da so zgledale "good enough to eat". Pri takih izjavah se človek upravičeno vpraša, kaj točno je počela policija, a takrat so bili očitno drugi časi. Podobne neizrekljivosti so se v sedemdesetih dogajale tudi v sirotišnici Bryn Estyn v Walesu, a spet ni bilo nič, ker naj bi bili vpleteni tudi člani samega političnega vrha. Mediji? BBC je kot rečeno, molčal vse do Savillove smrti oktobra lani, ko so se nekateri novinarji končno zganili in pripravili reportažo "o njegovi temni strani", a je urednik ni hotel objaviti in je namesto nje podturil kar slavospev svojemu nekdanjemu zaposlenemu. Ploščo so začeli obračati šele letos oktobra, ko se je po izpovedi prve priče dobesedno usul plaz. Da bi popravili vtis, ko pred tedni na raziskovalnem programu Newsnight z vsem pompom objavili zgodbo o visokem članu nekdanje Thacherine vlade, ki naj bi bil vpleten v zlorabo otrok iz sirotišnice Bryn Estyn. Ker konkretnih dokazov ni bilo, tega člana niso imenovali, so pa nekateri njihovi novinarji s pomočjo Twitterja "neuradno" potrdili, da naj bi šlo za Lorda McAlpina. To je bilo kasneje brez dvoma ovrženo (govori se, da naj bi bil dejansko kriv eden od njegovih sorodnikov, sigurno pa ne McAlpine sam, ki že dlje časa živi v Italiji). BBC se je na veliko opravičeval, zdaj pa jim grozi preiskava pred častnim razsodiščem, civilna tožba in najbrž še kaj. McAlpine se je vmes odločil tožiti čisto vse, ki so retwittali obtožbe proti njemu, kar mu britanska anti-libel zakonodaja tudi omogoča, medtem ko bo lahko z RIPO precej enostavno prišel do identitete večine udeleženih Twitterašev. BBC medtem raziskuje, kaj zaboga je šlo tako zelo narobe, policija pa kar še nič. Trideset let zlorab otrok, oni se pa fokusirajo samo na tiste, ki posedujejo spletno pedofilijo.
Kot zanimivost, ena od določb RIPE določa tudi obveznost izročitve vsebine v nešifrirani obliki, kot obliko boja proti rabi rešitev za šifriranje diskov in emailov, ki postajajo vse bolj popularne. Dosedaj je bila uporabljena samo enkrat, proti nevladni organizaciji za zaščito okolja, ki se je je policija očitno lotila z vsemi metodami in sredstvi. Tajni policijski sodelavci so infiltrirali člane organizacije in šli celo daleč, da so postali fantje oz. punce posameznih članov, nato pa asistirali policiji pri izvedbi aretacij in hišnih preiskav. Ker so bili diski zaradi perečega strahu pred policijo (ha!) šifrirani, so nato vsi aretirani dobili poziv za izročitev nešifrirane kopije, pod grožnjo do dvoletne zaporne kazni. Eden od njih je dejansko dobil 13 mesecev.
Združene države Amerike: We don't need no stinking warrant - the rise of the administrative subpoena
Američane nekoliko tepe, naj si dovolimo, da je njihova Ustava stara že več kot 200 let, tako da mestoma več niso povsem prepričani, kaj točno v njej piše, sploh v luči modernega razvoja tehnike. Obenem pa imajo kot dežela, kjer je bilo izumljeno in prvič masovno uveljavljena večino telefonije oz. elektronike nasploh, izjemno dolgo tradicijo z uporabo telekomunikacijskih sredstev za potrebe preiskovanja kaznivih dejanj. Prisluškovanje je bilo razmeroma vseprisotno že v dvajsetih letih prejšnjega stoletja, ko so se policiji veselo priklapljali na telefonske droge na ulici in se delali, da to ne predstavlja posega v zasebnost (unreasonable search and seizure po 4. amandmaju k ustavi), saj nihče ne rije v zares privatno cono posameznika, to je v njegovo stanovanje. Pa čeprav so s pomočjo prisluha slišali prav vse, kar je bilo izgovorjeno v tem stanovanju (semantika je čudna reč). Njihovo vrhovno sodišče je zadevo prvič resno obravnavo l. 1928 v tukaj pogosto citiranem primeru profesionalnega tihotapca alkohola Olmsteada. Takrat so s 5 proti 4 odločili, da ni policija storila nič narobe, in s tem namignili, da poseganje v podatke državljanov, ki se nahajajo nekje drugje, zunaj njihove najbolj osebne sfere - npr. v telefonskih žicah, internetnem kablovju ali strežnikih tam nekje v oblakih - ne predstavlja česa pravu zanimivega ali odredbe vrednega. Eden od sodnikov, gospod Brandeis, je v znamenitem ločenem mnenju takrat opozoril, da to sploh ni res in da - če kaj - tehnologija ponuja državi kvečjemu še več možnosti za poseg v posameznikovo zasebno sfero. Bolj preroški skoraj ne bi mogel biti. Telefonija in internet sta v današnjem svetu vseprisotna, ter s par skromnimi izjemami izvedena s pomočjo posrednikov - ponudnikov telekomunikacijskih storitev. Mnenje policije, tožilstva, ministrstva za pravosodje, ter Bele hiše gre vedno in znova, za vsako novo telekomunikacijsko sredstvo, v to smer, da pa ti podatki ne uživajo zaščite po 4. amandmaju. In šele, ko je zlorab dovolj in so te dovolj hude, se sodišče odloči malo pomesti in prepovedati najhujše ekscese.
Posebej po terorističnih napadih 11. septembra 2001 je novoustanovljeno ministrstvo za domovinsko varnost ugotovilo, da se da s pomočjo sproti pridobljenih izpiskov klicev čudovito rekonstruirati povezave med ljudmi, ter s tem identificirati potencialne teroriste še pred kritičnim trenutkom napada. Kot malo nerodno namigujejo nekateri, jih izjemna uspešnost pravzaprav še tepe. No, toda ampak vendar, več državnih iz zveznih služb se je po 11. septembru hitro navadilo ugodja brezmejnega dostopa do prometnih in imeniških podatkov, celo tako zelo, da ga mu ga tudi po preteku pooblastil niso bili pripravljeni več odreči, oz. da so isto prakso brez kake resne pravne podlage razširili še na preiskave običajnih kaznivih dejanj, oz. - v zadnjem času - izvenzakonskih razmerij odlikovanih generalov na čelu obveščevalnih agencij.
To niso prazne besede. Interna revizija ministrstva za pravosodje (Justice department) je dve leti nazaj ugotovila, da je FBI več let, ob pomoči in sodelovanju operaterjev mobilne telefonije, sistematično, načrtno in celokupno zlorabljal pooblastila za nadzor telekomunikacij. Stanje je pravzaprav mejilo na patološko. Začelo se, kot omenjeno, kmalu po enajstem septembru, ko je FBI dobil posebno novo enoto za analizo telekomunikacij (Communications Analysis Unit ali CAU). V pisarnah tega oddelka so delali tudi zaposleni pri mobilnih operaterjih, z direktnim dostopom do svojih retencijskih baz - kar je Nemško ustavno sodišče izrecno prepovedalo (policija ne sme nikoli imeti direktnega dostopa do baze!). S pomočjo takozvanih nujnih pisem (exigent letters) - neke vrste začasnih zahtevkov za dostop do podatkov, ki naj bi jim v doglednem roku sledile še polnovredne obtožnice in odredbe - so hitro in brez nepotrebne birokracije producirali podatke o domnevnih teroristih (osumljencih), ter o njihovih potencialnih sodelavcih (ne osumljencih!). Takšna učinkovitost seveda ni ostala skrita preostanku biroja. In v parih letih so se te tehnike začeli posluževati tudi ostali agenti, brez nadzora nadrejenih, brez sodne odredbe, pravzaprav brez vsake podlage. Delavci od operaterjev so šli celo tako daleč, da so sprejemali zaprosila po e-pošti, telefonu oz. ustno; nekateri so celo pripravili predizpolnjene obrazce za ta "nujna pisma", dobro vedoč, da v njih obljubljene polnovredne sodne ali podobne odredbe kasneje nikoli ne bo! In ribolov po še tako kalnih vodah je cvetel. Seveda tako pridobljeni podatki niso imeli teže pred sodišči, saj so bili pridobljeni nezakonito. A FBI je bil mnenja, da je mogoče to popraviti. Ko so enkrat imeli dokaze zoper storilce, so jih tako ali drugače "zavili v celofan" in pretvorili v prave dokaze. Izmišljevali so si dejstva, izjave tajnih sodelavcev oz. kar je bilo pač potrebno, da so dobili odredbo preiskovalnega sodnika in potem zakonito pridobili taiste podatke, ki so jih že imeli, le da so bili zreli za sodišče. To se je dogajalo večino druge polovice preteklega desetletja, "v tam 40.000 primerih ribarjenja letno". Ko je Ministrstvo za pravosodje na glasne pozive nevladnih organizacij vendarle pogledalo, kaj točno se dogaja, je bila praksa že endemična. Da sod ne bi izbilo dna, tako da bi bili morali iz zapora izpustiti znatne količine že obsojenih, je k situaciji vstopil Obama in z predsedniškim nalogom retroaktivno legaliziral situacijo. Poročilo pravi, da "agenti morda res prekoračili pooblastila, a nikoli v primerih, ko preiskovani ni bil tudi zares kriv". FBI jo je odnesel poceni, zgolj s tihim opravičilom, z obljubo, da se takšne šlamparije ne bodo več ponovile.
Pa mi?
Slovenska odlika je v tem, da od vseh tujih rešitev poberemo same najslabše elemente, nakar jih skombiniramo v tako celoto, da glede potenciala za zlorabo samo boli glava. Pred polnovredno policijsko državo nas torej v bistvu rešuje predvsem relativno nizki tehnični domet policije, skupaj z njihovo aroganco in nepripravljenostjo za spremembe. To se več kot čudovito odraža vse vseh odmevnejših sodnih primerih. V sojenju domnevnemu avtorju botneta Mariposa, Mariborčanu Matjažu Škorjancu, policija kljub spektakularno izvedeni hišni preiskavi ni uspela zaseči njegovega diska v nešifrirani obliki, ker že prijetemu osumljencu niso preprečili, da ne bi ugasnil računalnika (ter tako zaklenil diskov). Precej (morebitnih) dokazov je tako splavalo po vodi, primer pa pri življenju drži predvsem obtožba za pranje denarja, ki naj bi ga dobil s prodajo teh orodij Špancem, ter nato nekoliko nespretno pral s pomočjo svoje nekdanje partnerke. V čisto svežem primeru Balkanskega bojevnika je tožilstvo s popolno opustitvijo svoje nadzorne dolžnosti dovolilo protizakonito izvedbo predkazenskega postopka in nato dva tedna pred koncem dvo in pol letnega postopka ostalo brez vseh ključnih dokazov. Vsi, vključno z obema ministroma, so bili popolnoma presenečeni, čeprav jim je sodnik v več kot letu dni dal polne tri priložnost, da sanirajo situacijo.
Pretiravamo? Ne. Če sem malo vrnemo nazaj v leto 2005, ko smo urejali retencijo in na vrhu opisano ureditev v ZKP 149.b/III, je Ministrstvo za pravosodje s črno na belem pojasnilo, da želi retencijsko bazo uporabljati za preiskovanje VSEH kaznivih dejanj, ne samo "hujših", predvsem "terorizma", kot predvideva tekst Unijine retencijske direktive, ki je tudi bila podlaga (boljše: izgovor) za takratno novelo zakonodaje. V letih od takrat se je policija navadila zahtevati izpiske telefonskih klicev od ampak res ČISTO vseh osumljencev, ki jih uspejo poimensko identificirati. ZKP 149.b/III je tukaj v izjemno pomoč, ker ko enkrat imajo ime, lahko številko dobijo brez problema, brez vsakršnega nadzora. Statistik pa ne vodijo, da jih ni sram.
Seveda so se v praksi pokazale določene težave. Že s telefoni jim je določen mobilni operater, začel zavračati zahtevke za pridobitev izpiskov celotnih baznih postaj (čeprav je lani pravosodni minister v državnem zboru priznal, da so tovrstne izpiske prejeli vsaj petkrat). Še več težav so imeli z IP številkami, kjer so jim ponudniki interneta zavračali vpoglede v retencijsko bazo brez sodne odredbe. Zato se je naša vlada lani novembra ponovno odločila zlorabiti izgovor usklajevanja zakonodaje s predpis EU. V njihovem prvem poskusu noveliranja ZEKom-a tako lahko beremo, da si želijo podatke o dinamičnih IP naslovih skopirati iz retencijske naročniško bazo (po zgledu avstrijskih Stammdaten), tako da bi bili dosegljivi brez sodne odredbe. Ob boku tega so si zaželeli hrambo za za leto dni po prekinitvi naročniškega razmerja z vašim ISP-jem, to je bolj ko ne trajno! Istočasno so v javnosti večkrat potarnali, da se policija čuti ogoljufano, saj so imetniki dinamičnih IP naslovov zaradi bedne tehnične razlike neutemeljeno privilegirani v njihovi želji, da se jih ne odkrije. To ni nič več kot metanje peska v oči. Slovensko ustavno sodišče je že povedalo, da so prometni podatki polnovredni element komunikacije, in kot taki deležni povsem iste zaščite kot sama vsebina komunikacije.
In kaj se zgodi letošnjo jesen? Spet isto.