Proiectul "Interceptarea WhatsApp şi Messenger". Senatorii au votat un "cal troian". Furnizorii de servicii pe Internet devin subalternii Serviciilor

Alina Gorghiu - gov.ro
Alina Gorghiu - gov.ro (Epoch Times România)

Specialiştii de la Asociaţia pentru Tehnologie şi Internet (ApTI) critică modul în care comisiile de specialitate din Senat au "înţeles" să "aplaneze" uriaşul scandal stârnit de proiectul de lege adoptat pe repede înainte de Guvernul Cîţu care permitea interceptarea convorbirilor pe WhatsApp, Messenger, Skype, Signal, Telegram, prin adoptarea unui amedament marca Gorghiu şi Scântei.

După ce proiectul respectiv adoptat de Guvernul Cîţu în ultima şedinţă în care a mai avut dreptul să avizeze astfel de acte normative şi votat pe 7 decembrie de deputaţi cu doar 34 "împotrivă" a stârnit valuri de critici în spaţiul public, senatoarele Alina Gorghiu şi Iulia Scântei (PNL) au venit cu un amendament care, susţineau ele, ar fi urmat să rezolve problema. Acest amendament a primit astăzi undă verde în comisiile de resort din Senat, cu voturile majorităţii celor prezenţi. Opoziţie vocală a făcut doar USR.

Rezolvă însă acest amendament problema? Potrivit specialiştilor de la ApTI, răspunsul este NU, ci în baza amedamentului cu pricina furnizorii de găzduire devin calul troian al interceptărilor. Mai mult, amendamentul propus de cele două senatoare ridică probleme şi de legalitate şi de constituţionalitate.

Din explicatiile specialiştilor poate rezulta concluzia că, practic, furnizorii de servicii pe internet devin "subalternii" serviciilor.

În acelaşi timp, mesajul trimis de politicienii români este că furnizorii români de găzduire (în sensul larg al legii) nu vor putea oferi confidenţialitatea comunicaţiilor.

Amendamentul lui Gorghiu şi Scântei

La articolul 102, alineatul (1) se modifică şi va avea următorul cuprins:

(1) Furnizorii de servicii de găzduire electronică cu resurse IP au obligaţia să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale în limitele competenţelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991 privind securitatea naţională, republicată, cu modificările şi completările ulterioare, respectiv:

a) să permită interceptarea legală a comunicaţiilor, inclusiv să suporte costurile aferente;

b) să acorde, la solicitarea organelor autorizate, în condiţiile prezentei legi, conţinutul decriptat al comunicaţiilor tranzitate în reţele proprii;

c) să furnizeze informaţiile reţinute sau stocate referitoare la date de trafic, date de identificare a abonaţilor sau clienţilor, modalităţi de plată şi istoricul accesărilor cu momentele de timp aferente.

Ce cred specialiştii? Redăm integral poziţia ApTI.

Din păcate Comisiile Senatului au rezolvat doar jumătate din problema interceptărilor adăugată pe şest şi descoperită de noi în Codul Comunicaţiilor în decembrie 2021, păstrând toate obligaţiile pentru o categorie de furnizori extrem de larg definită (furnizor de servicii de găzduire electronică cu resurse IP – detalii mai jos) – fără a oferi vreo justificare logică sau legală.

Aceasta ridică următoarele probleme majore de fond:

Vorbim în continuare de Lărgirea interceptării comunicaţiilor

Furnizorii de găzduire NU au nicio legătură cu directiva europeană 2018/1972 (Codul european al comunicaţiilor). Măsurile din textul propus şi furnizorii de găzduire NU sunt actualmente incluşi în mod specific în Codul de procedură penală (dar sunt articole generice care li se pot aplica furnizorilor de găzduire).

Aceasta este o adăugire proprie a Guvernului – fără dezbatere publică (nici măcar în Senat nimeni nu a susţinut măcar formal cu un argument acest text), fără legătură cu obiectul Codului Comunicaţiilor, care este reglementarea comunicaţiilor electronice.

B. Obligaţia de notificare a găzduitorilor este ilegală

Găzduitorii sunt, încă din 2002, reglementaţi de Legea 365/2002 privind comerţul electronic. (şi niciodată în legislaţia privind comunicaţiile electronice). Principiul de bază este cel al libertăţii de furnizare pentru toate categoriile de furnizori ai societăţii informaţionale:

Art 4 (1) – legea 365/2002

Furnizarea de servicii ale societăţii informaţionale de către persoanele fizice sau juridice nu este supusă niciunei autorizări prealabile.

Acest principiu rămâne în propunerea ce se discută acum în UE de modificare a acestei directivei implementate în România prin Legea 365/2002 prin Digital Services Act – Actul privind serviciile digitale.

Obligaţia de notificare la ANCOM din art 10^2 din proiect contrazice flagrant acest principiu.

C. Definiţia extrem, extrem de largă duce la cazuri la care nu vă gândiţi

“furnizor de servicii de găzduire electronică cu resurse IP — persoană care, pe teritoriul României, oferă servicii de stocare, distribuire a conţinutului şi asigurare a accesului la acesta, pe servere deţinute sau închiriate, prin gestionarea unui set de adrese IP în internet”.

Deci textul NU se referă doar la furnizori români sau care ar vinde aceste servicii doar în România, ci mult mai mult mai larg. Asigurarea accesului la conţinut digital, pe teritoriul României, o fac zeci de mii de actori - din Afghanistan în Zimbabwe. Astfel textul reglementat poate fi dat exemplu de glumă legislativă proastă.

Practic cei care gestionează adrese IP-uri şi sunt în lista de la RIPE NCC, AfriNIC, APNIC, ARIN, LACNIC intră în această categorie pentru că toţi o fac pentru “cel puţin” servicii de acces la adresa IP – deci acces la conţinut către utilizatorii români. (ok, poate mai puţin conţinutul accesibil doar din Coreea de Nord sau China).

Asta înseamnă că toţi cei care sunt listaţi mai sus vor intra în categoria respectivă, cum ar fi:

  • furnizorul unui serviciu de acces la conţinut stocat pe o adresă IP (asta înseamnă practic orice conţinut web, indiferent de locaţia serverului) – de ex. Facebook, Google, dar şi găzduitorului unui site din Republica Moldova sau Tuvalu, accesibil din România.
  • orice serviciu de CDN – Content Delivery Network accesibil din România (Cloudflare, Cloudfront Akamai etc.)
  • orice furnizori de găzduire cu clienţi din România, indiferent de jurisdicţia acestuia (Digital Ocean, Godaddy, GTS)
  • orice serviciu de cloud, indiferent de locaţie, dacă conţinutul este accesibil din România (Amazon AWS, Google GCP, Azure- Microsoft)

3.2 În practică asta înseamnă că aceşti furnizori pot primi cereri de:

(am ales exemple extreme pe baza textului din art 10^2 pct a-c, pentru a sublinia riscurile)

  • a crea infrastructură de interceptare conţinut, pe costuri propriu, fără a ştii ce şi cum se interceptează şi nu e criptat (exemplu: Google poate fi obligat ca să creeze această infrastructură ca organele româneşti să aibă acces la conţinut necriptate – Gmail, Google Chat etc.)
  • sau GTS (furnizor român de găzduire) să fie obligat să facă o cameră neagră (black box) sau un sistem informatic similar în care organele să poată intra să aibă acces la ce pot. Evident, o s-o facă “cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi (sic!) ale Legii nr. 51/1991 privind securitatea naţională”, mai ales când nu poate să-i verifice absolut nimeni.
  • să acorde accesul la conţinutul comunicaţiilor necriptate tranzitate în reţelele proprii. Facebook e un găzduitor cu propriile adrese IP, deci va trebui să ofere acces la chat-ul din Facebook Messenger (dacă nu cumva aţi fost deştepţi şi aţi activat criptarea)
  • să informeze date de trafic, inclusiv istoricul accesărilor cu momentele de timp aferente. (Găzduitorul serverului al apti.ro poate fi obligat să dea exact cine a citit acest articol şi de la ce IP dar şi cine a trimis un email către o adresă de pe apti.ro, la ce oră şi cu ce subiect) (oricum mai bine ne contactaţi pe Signal sau mail criptat).

În practică, suntem siguri că furnizorii serioşi din afara României vor refuza astfel de măsuri intruzive şi vor ridica probleme inerente de jurisdicţie aplicabilă. Cu succes.

În acelaşi timp, mesajul trimis de politicienii români este clar:

  • Furnizorii români de găzduire (în sensul larg al legii) nu vor putea oferi confidenţialitatea comunicaţiilor;
  • Utilizatorilor români de Internet le este recomandat să NU găzduiască la un furnizor român, dacă vor un minimum de confidenţialitate.

D. Textul propus nu respectă garanţiile CCR

Curtea Constituţională a României a precizat în mod constant că astfel de texte vagi şi neclare nu pot să fie constituţionale, în special în domeniul interceptării comunicaţiilor şi a datelor de trafic, cum ar fi de exemplu:

Decizia CCR 461/2014 Paragraf 37

“ci lărgeşte sfera subiectelor de drept cărora le incumbă obligaţia de a reţine şi stoca datele generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului.”

Decizia CCR 17/2015 paragraf 63

fără a reglementa modalitatea în care se realizează accesul efectiv la datele deţinute, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate şi nu stabileşte că accesul autorităţilor naţionale la datele stocate este condiţionat de controlul prealabil efectuat de către o instanţă judecătorească”.

E. Ce urmează?

Mai avem şansa unei epifanii de ultim minut a majorităţii din Senat ca să-şi dea seama ce cal troian au votat. Sau poate au făcut-o intenţionat. Altfel este uimitoare schimbarea de opinie în mai puţin de o săptămână (la şedinţa trecută a Comisiei de Comunicaţii din Senat 3 partide spuneau că o să respingă art 10^2, azi primele 2 au votat un amendament pe bandă rulantă fără să dezbată sensul).

Dacă nu, rămâne doar varianta eventuală a contestării constituţionalităţii articolului cu pricina.

Sau, evident, mutarea digitală a găzduirii în străinătate. Şi învăţaţi să criptaţi end-to-end. E cea mai bună variantă, oricâte legi imberbe s-ar da.