Un proiect de lege, adoptat de Guvernul Cîțu în ultima ședință înainte de a fi demis prin moțiune de cenzură, lărgește domeniul și spectrul interceptării comunicațiilor electronice, inclusiv accesul la datele de trafic, de conținut și la ”conținutul comunicațiilor criptate tranzitate”. Asociația pentru Tehnologie și internet atrage atenția asupra modificărilor care au fost făcute ”pe șest.”
Astfel, furnizorii de internet, respectiv de servicii de găzduire electronică cu resurse IP, și furnizorii de serviciu de comunicații interpersonale care nu se bazează pe numere, precum WhatsApp, Facebook, Skype, Signal, Wire, Telegram, ar putea fi obligați să permită organelor de aplicare a legii și celor cu atribuții în domeniul securițății naționale punerea în executare a metodelor de supraveghere tehnică, respectiv de interceptare a comunicațiilor utilizatorilor acestor servicii.
”Furnizorii de servicii de găzduire electronică̆ cu resurse IP și furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere au obligația să sprijine organele de aplicare a legii și organele cu atribuții în domeniul securițății naționale, în limitele competențelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu completările ulterioare, respectiv:
a) să permită interceptarea legală a comunicațiilor, inclusiv să suporte costurile aferente;
b) să acorde accesul la conținutul comunicațiilor criptate tranzitate în rețelele proprii;
c) să furnizeze informațiile reținute sau stocate referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente;
d) să permită̆, în cazul furnizorilor de servicii de găzduire electronică cu resurse IP, accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.
(2) Obligațiile prevăzute la alin. (1) lit. a) – c) se aplică în mod corespunzător și furnizorilor de rețele sau servicii de comunicații electronice”, se arată în proiectul de lege.
Potrivit directorului executiv al Asociației pentru Tehnologie și Internet, Bogdan Manolea, proiectul a fost pus în dezbatere din 2020, în vederea transpunerii unei directive europene în domeniu. Noile prevederi au fost însă introduse de Guvernul Cîțu în plus față de proiectul inițial și nu respectă nici obligațiile de transpunere a directivei, nici normele constituționale.
”Aspectele legate de interceptarea legală a comunicațiilor, cu toate garanțiile de rigoare, sunt prevăzute de Codul de Procedură Penală (CPP). În mod logic, dacă ar fi vreo problemă sau este nevoie de actualizarea lor s-ar face tot printr-o modificare la acest cod. (indiciu: e o lege organică, greu de modificat). Doar că, dincolo de a impune obligații similare și unor alte categorii de furnizori (care oricum, nu au legătura cu ANCOM) pe unde se plimbă în 2021 conținutul și legal, și ilegal (poate de discutat, dar atunci ar trebui în CPP și nu pe șest), textul lărgește mult spectrul de acțiuni de interceptări și acces, pe care CPP nu le prevede”, susține acesta.
Manolea mai subliniază că ”accesul la conținutul comunicațiilor criptate tranzitate în rețelele proprii” nu există în CPP, iar introducerea unei astfel de soluțîi legislative de interceptare a comunicațiilor ”pe ușa din dos”, evitând orice dezbatere publică, este profund nedemocratică.
Textul directivei de implementat recomandă exact contrariul, promovarea criptării, nu subminarea, mai subliniază acesta: ”Dincolo de faptul că un furnizor (inclusiv cei de comunicații) ar trebui să își creeze un sistem de depistare a conținutului criptate tranzitat, eu cred că ținta sunt furnizorii care oferă astfel de servicii. Aici sunt 2 variante – fie vor conținutul decriptat direct de la furnizor sau pentru că vor să spargă criptarea? (cât de legal, ilegal ar fi, este o altă discuție), fie vor conținutul criptat pentru că vor să obțină/determine partea care are cheia de criptare să o dezvăluie cumva.”
De asemenea, nici obligația furnizorilor de servicii de găzduire să permită accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente, nu există în CPP.
”O terminologie la fel de vagă că cea din defunctă lege a securității cibernetice (declarată neconstituțională în 2015) face că să ai practic acces la orice conținut de pe orice server din România în condiții total neclare (asta e demnă de capabilitățile NSA) Vrei acces la documentația unui jurnalist? Nu accesezi redacția, ci serviciul de găzduire al redacției. Oricum presă era la amenințări de ”securitate națională”, nu?”, mai spune directorul executiv al Asociației pentru Tehnologie și Internet.
Proiectul a fost adoptat deja de deputați și votul final va fi dat în Senat.