Pegasus - nuhkvara, mis vaidlustab seaduse.

Õiguslik valve nr 37 – Juuli 2021

Pegasus – nuhkvara, mis vaidlustab seaduseJuulis paljastas Pegasuse projekt Iisraeli nuhkvara enneolematu jälitusmõju, mis suudab kuulata ja ammutada andmeid iOS-i või Androidi käitavatest nutitelefonidest.

See on rahvusvahelise uurimise järeldus, mille viis läbi vabaühendus Forbidden Stories koos Amnesty Internationali ja Toronto Ülikooli Citizen Labi ning 17 suure rahvusvahelise meediaväljaande, sealhulgas Le Monde'i ja The Guardiani abiga.

Kuigi tarkvarast on juba varem räägitud, annab hiljutine teave parema ülevaate sellest, kui ulatuslik jälgimine on nutitelefonikasutajate teadmata võimalik.

Väidetavalt valiti välja umbes 50 000 sihttelefoninumbrit, sealhulgas tuhat Prantsusmaal, mis puudutasid kodanikuühiskonna tegelasi, ajakirjanikke ja poliitikuid.

Tarkvara turustava NSO klientidena loetletud 55 riigi hulgas on Saudi Araabia, Araabia Ühendemiraadid, India, Ungari, Rwanda, Mehhiko ja Kasahstan.

NSO väidab, et järgib ranget eetikapoliitikat ning suhtleb luure- ja õiguskaitseasutustega ainult kuritegevuse, terrorismi, narkokaubanduse ja pedofiilia vastu võitlemise eesmärgil.

Need väited ja tarkvaraomaniku antud kinnitused tekitavad praktilisi ja juriidilisi küsimusi.

Isegi kui turustamise eelselt võetakse garantiisid, millised on tegelikud vahendid NSO ja selle ametlike klientide vahelise lepingulise raamistiku järgimise ning selle kasutamise tagamiseks volitamata isikute poolt ja näiteks poliitiliste või kodanikuühiskonna "sihtmärkide" vastu?

Selle tehnoloogia eriti pealetükkiv ja tuvastamatu olemus tekitab küsimusi jälgimistehnikate reguleerimise kohta rahvusvahelises ja Euroopa kontekstis.

Euroopas on õiguskaitseorganitel küll spetsiifilised uurimisvolitused, kuid need on rangelt reguleeritud isikuandmete kaitse üldmäärusega ja siseriiklike seadustega, millega on üle võetud 27. aprilli 2016. aasta Euroopa politsei-õigussüsteemi direktiiv.

Prantsusmaal on see andmekaitseseaduse XIII peatükk.

Täpsemalt riigi julgeoleku või riigikaitse poolt teostatav andmetöötlus on Euroopa direktiivi reguleerimisalast välja jäetud, kuid Prantsusmaal kohaldatakse sellele endiselt andmekaitseseadust.

Nuhkvara salajast arvutisüsteemidesse installimist saab lubada ainult konkreetsete õigusaktide alusel.

Küsimust reguleerivad 24. juuli 2015. aasta luurealane seadus nr 2015-912 ja 30. oktoobri 2017. aasta luurealane seadus nr 2017-1510, mida tuntakse SILT-seadusena.

CNIL juhib tähelepanu ka sellele, et peavad esinema elemendid, mis kujutavad endast konkreetset ohtu inimeste kehalisele puutumatusele, elule ja vabadusele või rünnakut rahva põhihuvide vastu.

Kui aga seaduse põhimõtted kehtivad, siis puudub CNIL-il volitus kontrollida luureteenistuse failide rakendamist.

Oma hiljutistes arvamustes terroriaktide ennetamise ja luuretegevuse seaduseelnõu kohta (mis on nüüd hääletusel) kordas ta oma taotlust, et tal oleks võimalik teostada oma kontrollivolitusi viisil, mis on kohandatud uutele uurimistehnikatele.

Samuti kutsus ta üles tugevdama luuretehnikate kontrollikomisjoni (CNCTR) volitusi.

Nii CNIL kui ka Euroopa Andmekaitsekomitee rõhutavad tõhusa järelevalve olulisust luure ja riigi julgeoleku valdkonnas, eriti üha pealetükkivama töötlemise kontekstis koos tipptehnoloogiate arendamisega, mis eiravad piire.

Need nõuded on kriteeriumide hulgas, millele komitee viitas oma hiljutistes soovitustes oluliste tagatiste kohta, mida kolmandad riigid peavad ELile järelevalve valdkonnas pakkuma.

Nende eesmärk on kaitsta Euroopa andmeid ebaproportsionaalse sekkumise eest rahvusvahelise edastamise korral.

Arvestades sideandmete pealtkuulamise üha lihtsamaks muutumist, tekivad põhimõttelisemad küsimused tehniliste meetmete kohta, mida tuleks nende riskide piiramiseks võtta.

Oma 9. märtsi 2021. aasta pressiteates e-privaatsuse määruse kohta rõhutab Euroopa Komitee vajadust säilitada andmete konfidentsiaalsus kogu suhtlusprotsessi vältel ja andmete krüpteerimist.

Samast vaatenurgast kerkib küsimus, kas on otstarbekas säilitada sideterminalides luure eesmärgil "tagauksi", riskides näha kuritarvitamise ja andmete omastamise suurenemist kontrollimatult.

Ja ka

Prantsusmaa:

CNIL on avaldanud oma seisukoha „tervisepassi” kohustusliku pikendamise kohta teatud kohtades.

Ilma selle põhimõtet kahtluse alla seadmata tuletab see meelde vajadust piirata selle kasutamist tõendatud tervisehädaolukorra kontekstis, nõuab parlamendilt süsteemi hindamist sügisel ja rõhutab probleemi eetilisi aspekte, mis ulatuvad andmekaitse küsimustest kaugemale.

Ta kutsub seadusandjat üles arvestama „… selliste privaatsust rikkuvate seadmetega harjumise ja trivialiseerimise oht ja tulevikus ning potentsiaalselt muudel põhjustel toimuvast nihkest ühiskonna suunas, kus selline kontroll oleks norm, mitte erand."

Samuti on CNIL seoses tervishoiukriisiga kordanud põhimõtteid, mida tuleb järgida arstidele vaktsineerimata patsientide nimekirja edastamisel.

Väärib märkimist kaks sanktsiooni., mille CNIL kehtestas 22. ja 28. juulil

• ühelt poolt AG2R La Mondiale grupp 1,75 miljoni euro eest isikuandmete säilitamise ja üksikisikute teavitamise GDPR-i kohustuste täitmata jätmise eest,
• ja teiselt poolt Monsanto ettevõte summas 400 000 eurot, kuna ta ei teavitanud lobitoimikusse kantud isikuid.

ANSSI ja DINSIC avaldavad juhendi, mille eesmärk on selgitada praktiliselt ja konkreetselt, kuidas paindlikkus ja turvalisus aitavad kaasa projektide turvalisele arendamisele ja digitaalsete riskide haldamisele.

Juhend pakub järkjärgulist tuge, töötubade kaupa, konkreetsete näidete ja meetodilehtede abil.

Euroopa:

Luksemburgi andmekaitseamet määras Amazonile äsja rekordilise 746 miljoni euro suuruse trahvi. isikuandmete kaitse üldmääruse põhimõtete eiramise eest ja eelkõige reklaamide suunamise eest ilma andmesubjektide nõusolekuta.

See 15. juuli otsus järgneb kodanikuvabaduste ühingu algatatud kollektiivsele kaebusele.

La Quadrature du Net esitas Prantsusmaal CNIL-ile kaebuse, viidates Luksemburgi ametiasutusele Amazoni peakorteri asukoha tõttu Luksemburgis. Ettevõte on teatanud, et kaebab selle otsuse edasi.

Hollandi andmekaitseamet trahvis TikToki 750 000 euroga. kuna puudub selge teave selle andmetöötluse kohta.

Ainult inglise keeles kättesaadavat teavet peeti lastele, kes on rakenduse peamised kasutajad, arusaamatuks.

Rahvusvaheline:

USA: Riiklik Standardite ja Tehnoloogia Instituut (NIST) on avaldanud juhendi tehisintellekti eelarvamuste tuvastamiseks ja haldamiseks: „ettepanek tehisintellekti eelarvamuste tuvastamiseks ja haldamiseks“.

Zoom on nõustunud maksma 85 miljonit dollarit, et lahendada Ameerika Ühendriikides toimuv kohtuasi.

Seda süüdistati oma kasutajate andmete jagamises ja nende kaitsmata jätmises teatud arvutirünnakute eest ("zoombombing").

Ettevõte on pühendunud oma töötajate koolitamisele andmekaitse alal ja turvameetmete tugevdamisele.

Anne Christine Lacoste

Olivier Weber Avocati partner Anne Christine Lacoste on andmeõigusele spetsialiseerunud jurist; ta oli Euroopa Andmekaitseinspektori rahvusvaheliste suhete juht ja tegeles GDPR-i rakendamisega Euroopa Liidus.