Państwo coraz chętniej wyciąga rękę po nasze dane. Kiedy i dlaczego? Tego możemy się nigdy nie dowiedzieć.
Około 150 stron maszynopisu znajduje się w kopercie, którą pod koniec 2017 r. przynosi na pocztę : Wojciech Klicki z Fundacji Panoptykon. Przesyłkę zaadresowano do Europejskiego Trybunału Praw Człowieka w Strasburgu. Zawiera ona skargę na Polskę – aktywiści Fundacji Panoptykon, Helsińskiej Fundacji Praw Człowieka oraz adwokat Mikołaj Pietrzak chcą, by ETPC zajął się brakiem kontroli nad inwigilacją stosowaną przez służby.
Kilka tygodni później Klicki dostaje nieoficjalnymi kanałami dziwną wiadomość z trybunału. Przesyłka co prawda dotarła do adresata, ale w kopercie została tylko jedna strona – z nazwiskami skarżących. Co z resztą? Nie wiadomo.
Wojciech Klicki nie chce się dziś zastanawiać, co tak naprawdę zaszło. Ważne dla niego jest to, że dokumenty udało się uzupełnić, ETPC skargę (nr 72038/17 i 25237/18) rozpatrzył, w dodatku na otwartym posiedzeniu. Teraz czeka na wyrok, który – być może – będzie pierwszym poważnym znakiem ostrzegawczym dla przedstawicieli państwa, które coraz chętniej kładzie rękę na naszej prywatności.
W Polsce uprawnionych do pozyskiwania danych jest już 11 podmiotów
W czasie przesłuchania przed ETPC przedstawiciele polskiego rządu wydawali się zdumieni skargą aktywistów. Twierdzili, że skarżący nie udowodnili, że byli inwigilowani. – I o to właśnie chodzi! – oburza się Klicki. – Problem polega na tym, że przepisy regulujące działanie służb pozwalają im na zbieranie o nas bardzo wielu danych, m.in. na zakładanie podsłuchów. Nie ma przy tym obowiązku, by osobę dotkniętą inwigilacją poinformować, że przez jakiś czas była na celowniku. Tworzy to poczucie niepewności w politykach, prawnikach, aktywistach czy dziennikarzach, a także zwykłych obywatelach – mówi i tłumaczy, że już atmosfera takiej niepewności może być postrzegana jako zagrożenie dla praw człowieka. Wydaje się, że do takiej interpretacji przychyla się ETPC. W 2018 r. zapadł wyrok w połączonych sprawach dotyczących podobnych problemów. Członkowie organizacji Big Brother Watch i Bureau of Investigative Journalism zgłaszali (skargi nr 58170/13, 62322/14 i 24960/15), że rząd w bezprawny sposób przechwytywał i przetwarzał dane elektroniczne obywateli, a także zostawia służbom zbyt dużą swobodę działania. Trybunał wprawdzie orzekł, że nie ma dowodów, by brytyjski wywiad przekraczał uprawnienia, ale za to zwrócił uwagę, że w prawie nie ma dostatecznych mechanizmów kontroli jego działania. A to już poważny problem i naruszenie art. 8 Europejskiej konwencji praw człowieka.
W Polsce uprawnionych do pozyskiwania danych jest już 11 podmiotów, w tym policja, Straż Graniczna, Służba Ochrony Państwa, Centralne Biuro Antykorupcyjne czy Krajowa Administracja Skarbowa. Jak wyliczyła HFPC, liczba zakładanych w Polsce podsłuchów wzrosła w ciągu ostatnich pięciu lat o jedną czwartą, a z danych sejmowej komisji administracji i spraw wewnętrznych wynika, że tylko 14 proc. podsłuchów przynosi materiały przydatne w postępowaniu karnym. Służby chętnie sięgają też po billingi i dane dotyczące lokalizacji urządzeń. W 2021 r. było już 1,85 mln takich zapytań.
– Zupełnie mnie to nie dziwi. Weźmy policję. Jest kompletnie niedofinansowana. Brakuje wszystkiego: ludzi, sprzętu, szkoleń, kapitału, a jednocześnie wymagana jest od niej skuteczność. Kiedyś policjant poszedłby szukać złodzieja w teren, rozpytał o niego ludzi. Teraz prosi o informację, jakie urządzenia znajdowały się o tej godzinie w danym miejscu, i zagadka rozwiązana. A że przy okazji z głęboką ingerencją w prywatność przypadkowych osób? Taki koszt… – wzrusza ramionami osoba szkoląca policjantów w dziedzinie cyberbezpieczeństwa.
A przecież dane są zbierane nie tylko od telekomów. Służby mogą je pozyskiwać z rejestrów publicznych, np. z bazy ZUS, oraz prywatnych – a to już worek bez dna.
W styczniu 2021 r. okazało się np., że Agencja Bezpieczeństwa Wewnętrznego zażądała od Tramwajów Warszawskich stałego dostępu do obrazu z kamer monitoringu wizyjnego umieszczonych w pojazdach. Skala była porażająca – chodziło o kilka tysięcy urządzeń. W dodatku ABW chciało też uzyskać dostęp do innych systemów informatycznych, czyli np. tego, który zbiera informacje o logowaniu się imiennych biletów. Jeśli – a tego nie wiemy – podobne żądania zostały wysunięte również do innych miejskich spółek transportowych, ABW mogłaby dokładnie śledzić ruchy konkretnych pasażerów tylko na podstawie informacji od przewoźników.
Kiedy sprawa wyszła na jaw, nagłośniona przez dziennikarza Wojciecha Czuchnowskiego z „Gazety Wyborczej”, zaprotestował rzecznik praw obywatelskich (wówczas jeszcze pełnił tę funkcję Adam Bodnar). „Dane z kamer w tramwajach służby specjalne mogłyby zbierać, wyłącznie gdy jest to absolutnie niezbędne, a nie dla wygody agentów” – przekonywał w liście do płk. Krzysztofa Wacławka, szefa ABW.
Na początku października ujawniliśmy w DGP kolejne pomysły rządu na pozyskiwanie rejestrów. Tym razem to Ministerstwo Obrony Narodowej wyszło z pomysłem, by nałożyć nowe obowiązki na dostawców poczty elektronicznej. Mieliby oni tworzyć dzienniki logowania do skrzynek, przechowywać je przez 90 dni i udostępniać na zlecenie służb. Zdaniem resortu takie informacje są „niezbędne do sprawnego ścigania przestępców”. To zresztą nie nowość – podobne rozwiązania chcieli wcześniej przeforsować urzędnicy Ministerstwa Sprawiedliwości.
Nawet jeśli poprawka MON nie trafi do ustawy o zwalczaniu nadużyć w komunikacji elektronicznej, projekt i tak będzie wzbudzać kontrowersje. Zakłada bowiem także, że w obronie użytkowników przed telefonicznymi oszustwami firmy telekomunikacyjne będą musiały skanować SMS-y i blokować podejrzane wiadomości, prowadzące do oszukańczych stron. Regulacja jest w konsultacjach.
Afera Pegasusa różniła się od innych spraw związanych z inwigilacją
Problem inwigilacji obywateli trafił do powszechnej świadomości, kiedy wyszło na jaw, że polskie służby posługiwały się izraelskim systemem szpiegowskim Pegasus. Naukowcy zrzeszeni w organizacji Citizen Lab działającej przy Uniwersytecie w Toronto już w 2018 r. wykryli, że na terenie Polski używano specjalistycznego oprogramowania umożliwiającego nie tylko wykradanie dowolnych danych z telefonu ofiary ataku, lecz także wprowadzanie modyfikacji na urządzeniu. Izraelska firma NSO Group sprzedaje system służbom z całego świata, szczególnie upodobały go sobie reżimy niedemokratyczne – w raportach Citizen Lab znalazły się Arabia Saudyjska, Bahrajn, Zjednoczone Emiraty Arabskie. Łącznie inwigilowano za jego pomocą 50 tys. numerów telefonów z całego świata.
Z danych opublikowanych przez Associated Press wynika, że wśród osób, wobec których stosowano Pegasusa, znaleźli się prokurator Ewa Wrzosek, prawnik i polityk Roman Giertych oraz senator Krzysztof Brejza. Pierwsza dwójka zeznawała w połowie września przed komisją śledczą Parlamentu Europejskiego.
– Używanie Pegasusa świadczy o tym, że mamy w danym państwie zagrożenie autorytaryzmem – mówił Giertych, a po jego wystąpieniu przedstawiciele komisji przyjechali do Polski, by wysłuchać wyjaśnień władz. Minister koordynator służb specjalnych nie spotkał się jednak z członkami delegacji.
Afera Pegasusa różniła się od innych spraw związanych z inwigilacją jednym szczegółem: ujrzała światło dzienne. Zwykli obywatele nigdy nie dowiadują się bowiem o tym, że prowadzono wobec nich postępowanie.
Klicki twierdzi, że jeśli chodzi o dostęp do danych, jesteśmy daleko od standardów unijnych. Dla porównania, w Niemczech każdy inwigilowany po upływie roku od zakończenia działań jest informowany, że służby były nim zainteresowane (chyba że sąd uzna, że takie działanie godzi w dobro śledztwa). – My zatrzymaliśmy się w latach 90. Stworzono wtedy nowe służby, ale zapomniano o demokratycznej kontroli nad nimi – mówi Wojciech Klicki. Takiej kontroli nie dodano również później, mimo że na konieczność jej istnienia wskazywał m.in. Trybunał Konstytucyjny, który w 2014 r. orzekł, że inwigilacja obywatela musi być krokiem ostatecznym, a nie rutynowym.
Doktryna szoku. Inwigilacja wzrosła po ataku na WTC
Choć inwigilacja zawsze była sposobem zdobywania wiedzy o obywatelach, prawdziwy rozwój tej branży w państwach demokratycznych nastąpił w ciągu ostatnich 20 lat. Z jednej strony umożliwił go niebywały postęp technologiczny (nigdy wcześniej dostęp do danych i ich magazynowanie nie były tak łatwe). Z drugiej – pomogła sytuacja międzynarodowa.
Hamulec został zwolniony po 11 września 2001 r., czyli po atakach na World Trade Center. USA zadeklarowały wówczas „wojnę z terroryzmem”, w ramach której nie tylko bombardowano Afganistan, lecz także rozbudowano struktury państwa odpowiedzialne za wywiad, uruchomiono PSP (President’s Surveillance Program), który w praktyce był opisem potężnej machiny inwigilacyjnej – pozwalał na zbieranie odcisków palców każdego, kto przekraczał granice USA, podsłuchiwanie międzynarodowych rozmów obywateli, monitoring e-maili. I choć Osama bin Laden zginął w maju 2011 r., wojny nigdy nie odwołano, a metody inwigilacji zostały z nami do dziś. Tak samo jak mechanizm wprowadzania kolejnych ograniczeń prywatności obywateli. Jak już 15 lat temu zauważyła Naomi Klein w swojej „Doktrynie szoku”, kiedy w zachodnim systemie trzeba przeforsować kontrowersyjne rozwiązania, wystarczy najpierw postarać się o głęboki kryzys, a później zaaplikować je jako element przeciwdziałania mu.
Kolejnym krokiem w stronę budowania systemu nieustannej obserwacji obywateli była pandemia koronawirusa. Rządy na całym świecie prześcigały się, by za pomocą coraz wymyślniejszych technologii jak najbardziej ograniczyć rozprzestrzenianie się mikroorganizmów. I tak: w Izraelu premier zezwolił służbie wywiadowczej Shin Bet na zbieranie danych komórkowych obywateli, a także mieszkańców Zachodniego Brzegu Jordanu. Za ich pomocą wywiad miał tworzyć profile mobilności, a resort zdrowia wysyłać osoby, które mogły się znaleźć w pobliżu zainfekowanych, na przymusową kwarantannę. Tym, którzy nie poddali się izolacji, groziła wysoka kara.
Nowe prawo oburzyło mieszkańców, bowiem w normalnych warunkach musiałoby się spotkać z akceptacją parlamentu. Pikanterii dodawało sprawie to, że premier Netanjahu, który wydał rozporządzenie, pełnił zarząd komisaryczny, bo ani jego partia, ani opozycja nie były w stanie sformować gabinetu. Głęboka ingerencja w prywatność była oparta na bardzo słabej podstawie prawnej.
Podobne nadzwyczajne kroki podejmowały także rządy innych państw. Korea Południowa przeprowadziła oficjalny pilotaż śledzenia obywateli za pomocą systemu rozpoznawania twarzy na nagraniach z kamer monitoringu wizyjnego. Jak wynika z raportu Columbia Law School w Nowym Jorku, po takie same narzędzia sięgnęły także Chiny, Indie, Japonia czy nawet niektóre stany USA.
Aplikacje covidowe nie odniosły sukcesu
Singapur z kolei uruchomił aplikację Trace Together, która za pomocą połączenia Bluetooth wykrywa osoby, z którymi kontaktuje się jej użytkownik. Jeśli ktoś wprowadzi do niej informację, że choruje na COVID-19, system wyszuka te osoby i ostrzeże je przed możliwym zakażeniem. Aplikację zainstalowali niemal wszyscy mieszkańcy Singapuru, a jej sukces był podawany jako przykład dla podobnych rozwiązań w innych częściach świata.
Nigdzie indziej podobna aplikacja nie odniosła jednak sukcesu. W Polsce rządowy program STOP COVID – ProteGo Safe zainstalowało co prawda ponad 2 mln ludzi, ale dane o zakażeniu koronawirusem wprowadziło zaledwie 7 tys. Podobne liczby – 2 mln pobrań i 12 tys. zarejestrowanych zachorowań osiągnięto w Finlandii.
Mimo porażki aplikacji covidowej pomysł, by umieścić w smartfonach obywateli dostarczony przez rząd program, zadomowił się w planach polityków. Jeszcze w czasie pandemii powstała aplikacja Kwarantanna Domowa. Była ona obowiązkowa dla wszystkich chorych i służyła do tego, by urzędnicy mogli sprawnie kontrolować, czy obywatele nie ruszają się z domu w czasie obowiązkowej izolacji. Konieczność instalowania programu wzbudziła wiele wątpliwości, m.in. dlatego, że wymagała ona dostępu do wielu danych użytkownika. „W jej regulaminie wskazano, że do prawidłowego działania wymaga ona, aby urządzenie mobilne umożliwiało jej w określonych sytuacjach dostęp do: internetu, aparatu, lokalizacji, zdjęć. Jednak przy pobieraniu aplikacji wskazany jest o wiele szerszy zakres uprawnień (np. dostęp do mikrofonu)” – zwracał uwagę rzecznik praw obywatelskich.
Kwarantanna Domowa odeszła już w niepamięć, ale takie same obawy budzi kolejny projekt rządu. Już niebawem może się okazać, że każdy sprzedawca nowych smartfonów będzie musiał preinstalować na nich dwie aplikacje dostarczone przez MSWiA: Regionalny System Ostrzegania (RSO) i Alarm112. Taki nakaz znajduje się w projekcie ustawy o ochronie ludności oraz stanie klęski żywiołowej. Pierwszy program ostrzega użytkownika o zagrożeniach, drugi pozwala na zgłoszenie niebezpiecznej sytuacji służbom. Oba zbierają dane posiadacza telefonu, np. o lokalizacji.
Odpowiedzialny za cyberbezpieczeństwo sekretarz stanu w KPRM Janusz Cieszyński przekonuje w rozmowie z DGP, że intencje autorów projektu są czyste, a obowiązek instalowania aplikacji ma jedynie wpłynąć na ich popularyzację – do tej pory RSO zainstalowało 100 tys. użytkowników systemu Android, a Alarm112 – 10 tys. To niewielki wynik jak na to, że smartfony ma 80 proc. Polaków.
Kiedy polski rząd pracował nad obowiązkiem ich preinstalacji, ciekawe wieści nadeszły z Singapuru. Tamtejszy minister spraw wewnętrznych Desmond Tan oświadczył, że policja będzie w ramach śledztw kryminalnych używać danych zebranych przez TraceTogether. Wcześniej rząd twierdził, że będą one używane jedynie do walki z epidemią COVID-19. ©℗