Ustawa antyterrorystyczna

Ustawa antyterrorystyczna, która podczas pisania tego artykułu trafiła do sejmu , ma zdaniem rządu pomóc w zabezpieczeniu dwóch najważniejszych wydarzeń w tym roku: Światowych Dni Młodzieży w Krakowie oraz szczytu NATO w Warszawie. Jej głównym beneficjentem jest Agencja Bezpieczeństwa Wewnętrznego, która zyska poszerzone uprawnienia związane z inwigilacją elektroniczną obywateli.

Krytycy nowego prawa, wśród których są m.in. Rzecznik Praw Obywatelskich oraz fundacja Panoptykon zajmująca się ochroną prywatności online, podkreślają, że zbliżające się imprezy są wyłącznie pretekstem do ograniczenia swobód obywatelskich. Ich zdaniem do ochrony gości ŚDM oraz szczytu NATO wystarczą obecne przepisy, tym bardziej że do nowej ustawy nie powstaną na czas przepisy wykonawcze. Krytycy podkreślają, że nowe prawo zostało przyjęte w trybie szczególnym (uzasadnionym pośpiechem) bez konsultacji społecznych, jak też oficjalnych konsultacji międzyresortowych. Jedyną publiczną debatę z udziałem organizacji pozarządowych zorganizowało biuro RPO. Najprawdopodobniej ustawa wejdzie w życie z początkiem czerwca, czyli w terminie zapisanym w projekcie ustawy. Gdy ten numer PC Formatu trafi do kiosków, ustawa będzie już obowiązywać.

Warto przyjrzeć się projektowi, który pod pretekstem poprawy bezpieczeństwa wprowadza nie tylko kolejne rozwiązania, które pozwolą służbom na naruszanie prywatności, ale co gorsza mechanizm umożliwiający wprowadzenie w internecie cenzury prewencyjnej.

W projekcie ustawy można przeczytać, że w ramach zapobiegania zdarzeniom o charakterze terrorystycznym ABW będzie mogła pobierać informacje na temat obywatela z rządowych oraz prywatnych baz danych. Na liście podmiotów, które w zgodzie z nową ustawą będą musiały udostępniać informacje, są nie tylko organy administracji rządowej i samorządowej czy instytucje publiczne, jak np. ZUS czy urzędy skarbowe oraz urzędy stanu cywilnego, ale także banki i inne instytucje finansowe, ok. 8000 firm oferujących usługi płatnicze i 15 firm telekomunikacyjnych.

Dostęp do tych baz danych ma być uzyskiwany w trybie zdalnym, to znaczy funkcjonariusz będzie mógł pobierać informacje bez kontaktowania się z instytucją. Dostęp do danych nie będzie podlegał kontroli sądu, nie jest wymagane też pisemne zwrócenie się o udostępnienie informacji. Wyłącznym zabezpieczeniem przed nadużyciami jest obowiązek odnotowania uzyskania dostępu do danych w systemie informatycznym. Ustawa nie nakłada także obowiązku powiadomienia osoby inwigilowanej, nawet po fakcie, a cały proces został wyłączony spod kontroli Generalnego Inspektora Danych Osobowych. To wszystko pozwoli na profilowanie każdego człowieka, którego ABW będzie bardziej lub mniej zasadnie podejrzewać o działalność terrorystyczną. Jedyną barierą, a tym samym ochroną obywateli, będzie ograniczona zdolność agencji do przetwarzania danych pobieranych z systemów informatycznych.

W ramach podobnego mechanizmu ABW będzie mogła wykorzystywać obraz z monitoringu wizyjnego budynków użyteczności publicznej, z kamer rozmieszczonych przy drogach oraz z miejskich systemów monitoringu. Potencjalnie może to pozwolić na stworzenie scentralizowanego systemu śledzenia obywateli poruszających się w przestrzeni publicznej.

Jeden z najbardziej kontrowersyjnych zapisów ustawy daje szefowi ABW prawo blokowania treści znajdujących się w sieciach teleinformatycznych, jeśli mają związek ze zdarzeniem o charakterze terrorystycznym. Blokowanie ma odbywać się nie poprzez usunięcie danych z sieci, co jest w praktyce niemożliwe, ale poprzez zablokowanie dostępu do treści na poziomie infrastruktury operatora telekomunikacyjnego. Wynika z tego, że operatorzy będą musieli przygotować rozwiązania technologiczne umożliwiające wprowadzenie cenzury internetu na życzenie władzy. To z kolei stwarza pokusę, by istniejące mechanizmy wykorzystać w kolejnych ustawach, np. przeciwdziałających nielegalnemu hazardowi czy rozpowszechnianiu pornografii. Takie pomysły pojawiały się w Ministerstwie Finansów już w 2014 roku.

Decyzja o zablokowaniu treści o charakterze terrorystycznym w ciągu pierwszych pięciu dni nie będzie wymagała zgody sądu. Wystarczy pisemna zgoda Prokuratora Generalnego – po jej uzyskaniu operator sieci będzie musiał wykonać polecenie tajnych służb bez możliwości odwołania się. Projekt przewiduje konieczność uzyskania zgody sądu dopiero po upływie pięciu dni od zastosowania blokady. Co ciekawe, od decyzji sądu odwołać się może tylko Szef ABW, ale administrator sieci już nie. W związku z tym nie ma możliwości zaskarżenia wyroku dopuszczającego cenzurę do sądu wyższej instancji.

Fundacja Panoptykon w swojej analizie projektu podkreśla, że zapis jest naruszeniem wolności słowa gwarantowanej zarówno przez Konstytucję RP, jak i przez europejską Konwencję o ochronie praw człowieka i podstawowych wolności, szczególnie że nie jest jasno określony związek między aktem terrorystycznym a blokadą. Można sobie wyobrazić, że w oparciu o te regulacje szef ABW wprowadza blokadę np. Facebooka, gdzie świadkowie zdarzenia terrorystycznego, rozpowszechniają niewygodne dla władzy informacje o jego przebiegu.

Projekt ustawy antyterrorystycznej przyznaje służbom niezwykle szerokie uprawnienia, jeśli chodzi o inwigilację cudzoziemców przebywających na terytorium kraju – „w celu rozpoznawania, zapobiegania lub zwalczania przestępstw o charakterze terrorystycznym”. Jeśli ABW uzna cudzoziemca za podejrzanego o prowadzenie działalności terrorystycznej, będzie mogła uruchomić tzw. kontrolę operacyjną. W przeciwieństwie do czynności podejmowanych wobec polskich obywateli w przypadku cudzoziemców nie będzie konieczna zgoda sądu na inwigilację. Wystarczy, że szef ABW poinformuje o podjęciu czynności operacyjnych ministra koordynującego działanie służb specjalnych oraz Prokuratora Generalnego.

W ramach kontroli operacyjnej będzie można podsłuchiwać wszystkie rozmowy telefoniczne cudzoziemca, kontrolować korespondencję e-mailową, a nawet zainstalować szpiegowskiego trojana w jego komputerze, jednym słowem – pozbawić go całkowicie prawa do prywatności. Te przepisy niestety stwarzają także zagrożenie dla obywateli polskich, którzy kontaktują się z inwigilowanym cudzoziemcem. Ich prywatne informacje także trafią do baz danych tajnych służb. Jak twierdzi fundacja Panoptykon, takie rozwiązanie stwarza pokusę nadużyć i wykorzystywania „paragrafu na cudzoziemców” do przechwytywania komunikacji obywateli. Można sobie wyobrazić, że służby będą sprawdzały wybrane numery, korzystając z bezpośredniego i niekontrolowanego dostępu do danych operatora telekomunikacyjnego, co umożliwia niedawno uchwalona ustawa o policji, pod pretekstem sprawdzenia, czy nie jest to numer, z którego korzysta podejrzany cudzoziemiec.

Wszystkie opisane wyżej uprawnienia do inwigilacji są uzasadnione koniecznością zwalczania terroryzmu. Niestety definicja zawarta w projekcie ustawy budzi wątpliwości obrońców prawa do prywatności w sieci. Za akt terrorystyczny uznaje się czyn zabroniony, który w kodeksie karnym jest zagrożony karą co najmniej 3 lat pozbawienia wolności popełniony w celu wskazanym jako terrorystyczny. Oznacza to, że celem aktu musi być poważne zastraszenie wielu osób lub zmuszenie organu władzy publicznej do podjęcia lub zaniechania określonych działań.

W świetle tej definicji za czyny terrorystyczne mogą być uznane takie przestępstwa jak naruszenie nietykalności funkcjonariusza publicznego na służbie, znieważenie prezydenta RP czy utrudnienie organom ścigania dostępu do danych teleinformatycznych. Włączenie aktów tego rodzaju do katalogu również daje szerokie pole do nadużyć. Uprawnienia przewidziane w ustawie terrorystyczne mogą posłużyć do ułatwienia ścigania przestępstw o dużo mniejszej szkodliwości! Może to prowadzić do ograniczania wolności i praw obywatelskich także poza wyjątkowymi sytuacjami, np. nie tylko wtedy, gdy istnieje zagrożenie zamachem. Nie trzeba wybujałej wyobraźni, by wziąć pod uwagę scenariusz, w którym przepisy ustawy antyterrorystycznej zostają wykorzystane do ścigania osoby, która obraziła prezydenta lub napisała pod jego adresem groźby np. na forum internetowym lub Facebooku. Co więcej, podstawą do wykorzystania przepisów antyterrorystycznych może być przesłanka, że przestępstwo jest planowane.

Jeśli ustawa wejdzie w życie, osobę planującą „obrażenie prezydenta z zamiarem zmuszenia do do określonej czynności” będzie można aresztować w domu w środku nocy, a nie po 6:00 rano, jak w przypadku zwykłego przestępcy, a następnie trzymać ją w areszcie 14 dni bez kontroli sądowej – dużo dłużej niż standardowe 48 godzin.

Projekt ustawy antyterrorystycznej pozwala szefowi ABW na blokowanie treści w internecie, ale na szczęście takie blokady można obejść za pomocą odpowiednich narzędzi. Proponowany mechanizm cenzury zakłada filtrowanie stron na poziomie infrastruktury operatora telekomunikacyjnego. Operator po prostu blokuje określone adresy IP, z jakimi użytkownik próbuje się połączyć.

Połączenie można jednak ukryć poprzez tunelowanie, czyli łączenie się z siecią za pośrednictwem dodatkowego serwera, który pełni rolę bramy do internetu. Wśród darmowych rozwiązań tego typu najpopularniejsza jest sieć TOR, stworzona z myślą o anonimowym korzystaniu z internetu. Wygodniejszym, szybszym, ale płatnym rozwiązaniem jest połączenie za pomocą usługi VPN, czyli wirtualnej sieci prywatnej.

W obydwu przypadkach strony, z którymi się łączysz, będą zamaskowane kryptograficznie za pomocą 128-bit klucza AES (minimum), w związku z czym nie będzie można ich zablokować. Rozwiązanie skutecznie pozwoli obejść blokadę sieci społecznościowych, np. Twittera i Facebooka – oczywiście tak długo, jak rząd nie zdecyduje się na radykalne rozwiązanie, np. odcięcie internetowych połączeń ze światem albo na blokowanie adresów IP serwerów anonimizujących. Biorąc jednak pod uwagę liczbę i rozproszenie takich usług, utrzymanie blokady przez dłuższy czas byłoby w praktyce bardzo trudne.

Rozszerzone uprawnienia do pozyskiwania i analizy danych obywateli za pomocą środków technologicznych uzyskały nie tylko służby specjalne, ale także służby skarbowe. Rozwlekle nazwana ustawa „o szczególnych zasadach wykonywania niektórych zadań z zakresu informatyzacji administracji podatkowej i kontroli skarbowej” przyjęta przez sejm w maju tego roku przewiduje założenie firmy, której zadaniem będzie stworzenie systemu informatycznego analizującego deklaracje podatkowe w celu wyłowienia potencjalnych oszustów skarbowych. Osoby wskazane przez algorytm będą następnie poddawane wnikliwej kontroli przez urzędników skarbowych. Niestety w ustawie nie ma mowy o stronie technologicznej projektu, więc nie można ocenić jego niezawodności, szczególnie liczby potencjalnych błędnych trafień, które mogą narazić uczciwych obywateli na wątpliwą przyjemność uczestniczenia w kontroli skarbowej.

Ustawa ogranicza prywatność rozmów telefonicznych. Jeśli wejdzie w życie, nie będzie można anonimowo kupić karty prepaid. Przy każdym zakupie trzeba będzie ją zarejestrować, podając imię i nazwisko, PESEL lub numer dokumentu tożsamości. Cudzoziemiec będzie musiał podać numer paszportu lub karty stałego pobytu. W przypadku firm rejestracja wymaga podania nazwy i numeru REGON, KRS lub NIP. W uzasadnieniu do ustawy można przeczytać, że obowiązek rejestracji ma pozbawić przestępców narzędzi do anonimowego działania i zapobiec fałszywym zawiadomieniom o bombach. W praktyce może to okazać się pobożnym życzeniem, bo terroryści mogą używać np. kart zagranicznych. Regulacja, jak podkreślają krytycy projektu, utrudni pracę dziennikarzom, którzy starają się chronić źródła informacji i przedstawicielom zawodów prawniczych, na których spoczywa obowiązek ochrony prywatności swoich klientów.