Πήγασος - spyware που αμφισβητεί το νόμο.

Νομική Παρακολούθηση Αρ. 37 – Ιούλιος 2021

Pegasus – spyware που αμφισβητεί το νόμο.Τον Ιούλιο, το έργο Pegasus αποκάλυψε την άνευ προηγουμένου επίδραση στην επιτήρηση του ισραηλινού λογισμικού κατασκοπείας που μπορεί να ακούει και να εξάγει δεδομένα από smartphones με iOS ή Android.

Αυτό είναι το συμπέρασμα διεθνούς έρευνας που διεξήγαγε η ΜΚΟ Forbidden Stories, με τη βοήθεια της Διεθνούς Αμνηστίας και του Citizen Lab στο Πανεπιστήμιο του Τορόντο, καθώς και 17 μεγάλων διεθνών μέσων ενημέρωσης, συμπεριλαμβανομένων των Le Monde και The Guardian.

Ενώ το λογισμικό έχει ήδη συζητηθεί στο παρελθόν, πρόσφατες πληροφορίες παρέχουν μια καλύτερη κατανόηση της έκτασης της επιτήρησης που καθίσταται δυνατή χωρίς τη γνώση των χρηστών smartphone.

Σύμφωνα με πληροφορίες, επιλέχθηκαν περίπου 50.000 τηλεφωνικοί αριθμοί-στόχοι, συμπεριλαμβανομένων χίλιων στη Γαλλία, που αφορούσαν φορείς της κοινωνίας των πολιτών, δημοσιογράφους και πολιτικούς.

Μεταξύ των 55 χωρών που αναφέρονται ως πελάτες της NSO, η οποία εμπορεύεται το λογισμικό, είναι η Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα, η Ινδία, η Ουγγαρία, η Ρουάντα, το Μεξικό και το Καζακστάν.

Η NSO ισχυρίζεται ότι ακολουθεί αυστηρή πολιτική δεοντολογίας και συνεργάζεται μόνο με τις υπηρεσίες πληροφοριών και τις υπηρεσίες επιβολής του νόμου για τους σκοπούς της καταπολέμησης του εγκλήματος, της τρομοκρατίας, της εμπορίας ναρκωτικών και της παιδεραστίας.

Αυτοί οι ισχυρισμοί, καθώς και οι διαβεβαιώσεις που δόθηκαν από τον κάτοχο του λογισμικού, εγείρουν πρακτικά και νομικά ερωτήματα.

Ακόμα και αν λαμβάνονται εγγυήσεις πριν από το μάρκετινγκ, ποια είναι τα πραγματικά μέσα για να διασφαλιστεί η συμμόρφωση με το συμβατικό πλαίσιο μεταξύ της NSO και των επίσημων πελατών της, και η χρήση του από μη εξουσιοδοτημένα μέρη και εναντίον πολιτικών ή «στόχων» της κοινωνίας των πολιτών, για παράδειγμα;

Η ιδιαίτερα παρεμβατική και μη ανιχνεύσιμη φύση αυτής της τεχνολογίας εγείρει ερωτήματα σχετικά με τη ρύθμιση των τεχνικών επιτήρησης σε διεθνές και ευρωπαϊκό πλαίσιο.

Στην Ευρώπη, ενώ οι αρχές επιβολής του νόμου έχουν συγκεκριμένες εξουσίες έρευνας, αυτές ρυθμίζονται αυστηρά από τον ΓΚΠΔ και από τους εθνικούς νόμους που ενσωματώνουν την ευρωπαϊκή οδηγία «αστυνομικής δικαιοσύνης» της 27ης Απριλίου 2016.

Στη Γαλλία, αυτό είναι το Κεφάλαιο XIII του Νόμου περί Προστασίας Δεδομένων.

Η επεξεργασία δεδομένων που πραγματοποιείται ειδικότερα από την κρατική ασφάλεια ή την εθνική άμυνα εξαιρείται από το πεδίο εφαρμογής της Ευρωπαϊκής Οδηγίας, αλλά εξακολουθεί να υπόκειται στη Γαλλία στον Νόμο περί Προστασίας Δεδομένων.

Η παράνομη εισαγωγή λογισμικού κατασκοπείας σε συστήματα υπολογιστών μπορεί να εγκριθεί μόνο βάσει συγκεκριμένων νομικών διατάξεων.

Το θέμα ρυθμίζεται από τους νόμους αριθ. 2015-912 της 24ης Ιουλίου 2015 σχετικά με τις πληροφορίες και τον νόμο αριθ. 2017-1510 της 30ής Οκτωβρίου 2017, γνωστό ως νόμο SILT.

Η CNIL επισημαίνει επίσης ότι πρέπει να υπάρχουν στοιχεία που να αποτελούν συγκεκριμένη απειλή για τη σωματική ακεραιότητα, τη ζωή, την ελευθερία των ανθρώπων ή να αποτελούν επίθεση στα θεμελιώδη συμφέροντα του έθνους.

Από την άλλη πλευρά, εάν ισχύουν οι αρχές του νόμου, η CNIL δεν έχει εξουσία να ελέγχει την εφαρμογή των αρχείων των υπηρεσιών πληροφοριών.

Στις πρόσφατες γνωμοδοτήσεις του σχετικά με το νομοσχέδιο για την πρόληψη τρομοκρατικών πράξεων και την παροχή πληροφοριών (που βρίσκεται τώρα σε ψηφοφορία), επανέλαβε το αίτημά του να μπορεί να ασκεί τις ελεγκτικές του εξουσίες κατά τρόπο προσαρμοσμένο στις νέες τεχνικές έρευνας.

Ζήτησε επίσης την ενίσχυση των εξουσιών της Επιτροπής Ελέγχου Τεχνικών Πληροφοριών (CNCTR).

Τόσο η CNIL όσο και η Ευρωπαϊκή Επιτροπή Προστασίας Δεδομένων τονίζουν τη σημασία της αποτελεσματικής εποπτείας στον τομέα των πληροφοριών και της κρατικής ασφάλειας, ιδίως στο πλαίσιο της ολοένα και πιο παρεμβατικής επεξεργασίας, σε συνδυασμό με την ανάπτυξη τεχνολογιών αιχμής που αγνοούν τα σύνορα.

Αυτές οι απαιτήσεις συγκαταλέγονται στα κριτήρια που ανέφερε η Επιτροπή στις πρόσφατες συστάσεις της σχετικά με τις βασικές εγγυήσεις που πρέπει να παρέχουν τρίτες χώρες στην ΕΕ όσον αφορά την επιτήρηση.

Στόχος τους είναι η προστασία των ευρωπαϊκών δεδομένων από δυσανάλογες παρεμβολές σε περίπτωση διεθνούς μεταφοράς.

Δεδομένης της αυξανόμενης ευκολίας με την οποία μπορούν να υποκλαπούν δεδομένα επικοινωνιών, προκύπτουν πιο θεμελιώδη ερωτήματα σχετικά με τα τεχνικά μέτρα που πρέπει να ληφθούν για τον περιορισμό αυτών των κινδύνων.

Στο δελτίο τύπου της 9ης Μαρτίου 2021 σχετικά με τον κανονισμό «ePrivacy», η Ευρωπαϊκή Επιτροπή τονίζει την ανάγκη διατήρησης του απορρήτου των δεδομένων καθ' όλη τη διαδικασία επικοινωνίας και της κρυπτογράφησης των δεδομένων.

Υπό την ίδια οπτική γωνία, τίθεται το ερώτημα της σκοπιμότητας διατήρησης «πίσω θυρών» στα τερματικά επικοινωνίας για σκοπούς συλλογής πληροφοριών, με κίνδυνο αύξησης των καταχρήσεων και της ανεξέλεγκτης ιδιοποίησης δεδομένων.

Και επίσης

Γαλλία:

Η CNIL δημοσίευσε τη θέση της σχετικά με την υποχρεωτική επέκταση της «κάρτας υγείας» σε ορισμένα μέρη.

Χωρίς να αμφισβητεί την αρχή του, υπενθυμίζει την ανάγκη περιορισμού της χρήσης του σε ένα πλαίσιο αποδεδειγμένης έκτακτης ανάγκης στον τομέα της υγείας, ζητά αξιολόγηση του συστήματος από το κοινοβούλιο το φθινόπωρο και υπογραμμίζει τις ηθικές πτυχές του προβλήματος, οι οποίες υπερβαίνουν τα ζητήματα προστασίας δεδομένων.

Ζητά από τον νομοθέτη να λάβει υπόψη του «το... κίνδυνος εξοικείωσης και υποβάθμισης τέτοιων συσκευών που παραβιάζουν την ιδιωτικότητα και μιας μετατόπισης, στο μέλλον, και ενδεχομένως για άλλους λόγους, προς μια κοινωνία όπου τέτοιοι έλεγχοι θα αποτελούν τον κανόνα και όχι την εξαίρεση.

Επίσης, σε σχέση με την κρίση στον τομέα της υγείας, η CNIL επανέλαβε τις αρχές που πρέπει να τηρούνται κατά την κοινοποίηση στους γιατρούς της λίστας των μη εμβολιασμένων ασθενών τους.

Αξίζει να αναφερθούν δύο κυρώσεις., που επιβλήθηκε από την CNIL στις 22 και 28 Ιουλίου κατά

• αφενός του Όμιλος AG2R La Mondiale για ποσό 1,75 εκατομμυρίων ευρώ για μη συμμόρφωση με τις υποχρεώσεις του ΓΚΠΔ σχετικά με τη διατήρηση δεδομένων και την ενημέρωση των φυσικών προσώπων,
• και από την άλλη πλευρά του Εταιρεία Μονσάντο για ποσό 400.000 ευρώ, επειδή δεν ενημέρωσε τα άτομα που περιλαμβάνονται σε φάκελο άσκησης πίεσης.

Οι ANSSI και DINSIC δημοσιεύουν έναν οδηγό που στοχεύει να εξηγήσει με πρακτικό και συγκεκριμένο τρόπο πώς η ευελιξία και η ασφάλεια συμβάλλουν στην ασφαλή ανάπτυξη έργων και στη διαχείριση του ψηφιακού κινδύνου.

Ο οδηγός προσφέρει προοδευτική υποστήριξη, εργαστήριο προς εργαστήριο, συγκεκριμένα παραδείγματα και φύλλα μεθόδου.

Ευρώπη:

Η Amazon μόλις τιμωρήθηκε με πρόστιμο ρεκόρ 746 εκατομμυρίων ευρώ από την αρχή προστασίας δεδομένων του Λουξεμβούργου. για μη συμμόρφωση με τις αρχές του ΓΚΠΔ, και ιδίως τη στόχευση διαφημίσεων χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων.

Αυτή η απόφαση της 15ης Ιουλίου έρχεται μετά την συλλογική καταγγελία που κατέθεσε η ένωση πολιτικών ελευθεριών.

Η La Quadrature du Net υπέβαλε καταγγελία στην CNIL στη Γαλλία, παραπέμποντας την αρχή του Λουξεμβούργου λόγω της τοποθεσίας των κεντρικών γραφείων της Amazon στο Λουξεμβούργο. Η εταιρεία ανακοίνωσε ότι θα ασκήσει έφεση κατά της απόφασης.

Η ολλανδική αρχή προστασίας δεδομένων επέβαλε πρόστιμο 750.000 ευρώ στο TikTok λόγω έλλειψης σαφών πληροφοριών σχετικά με την επεξεργασία δεδομένων.

Οι πληροφορίες, διαθέσιμες μόνο στα αγγλικά, θεωρήθηκαν ακατανόητες για τα παιδιά, τους κύριους χρήστες της εφαρμογής.

Διεθνές:

ΗΝΩΜΕΝΕΣ ΠΟΛΙΤΕΙΕΣ: Το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) δημοσίευσε έναν οδηγό για τον εντοπισμό και τη διαχείριση της προκατάληψης στην τεχνητή νοημοσύνη: «μια πρόταση για τον εντοπισμό και τη διαχείριση της προκατάληψης στην τεχνητή νοημοσύνη».

Η Zoom συμφώνησε να καταβάλει 85 εκατομμύρια δολάρια για να διευθετήσει μια αγωγή στις Ηνωμένες Πολιτείες.

Κατηγορήθηκε ότι κοινοποιούσε τα δεδομένα των χρηστών του και ότι δεν τους προστάτευε από ορισμένες επιθέσεις υπολογιστών ("zoombombing").

Η εταιρεία έχει δεσμευτεί να εκπαιδεύσει τους εργαζομένους της σχετικά με την προστασία δεδομένων και να ενισχύσει τα μέτρα ασφαλείας της.

Άννα Κριστίν Λακόστ

Η Anne Christine Lacoste, συνεργάτιδα της Olivier Weber Avocat, είναι δικηγόρος με εξειδίκευση στο δίκαιο των δεδομένων. Διετέλεσε επικεφαλής διεθνών σχέσεων στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων και εργάστηκε για την εφαρμογή του GDPR στην Ευρωπαϊκή Ένωση.