Pegasus - un logiciel espion au défi du droit.

Pegasus - vakoiluohjelma, joka haastaa lain.

Oikeudellinen valvonta nro 37 – Heinäkuu 2021

Pegasus – lain haastava vakoiluohjelmaHeinäkuussa Pegasus-projekti paljasti israelilaisen vakoiluohjelman ennennäkemättömän vaikutuksen valvontaan. Vakoiluohjelma pystyy kuuntelemaan ja poimimaan tietoja iOS- tai Android-älypuhelimista.

Tämä on johtopäätös kansainvälisestä tutkimuksesta, jonka suoritti kansalaisjärjestö Forbidden Stories Amnesty Internationalin ja Toronton yliopiston Citizen Labin sekä 17 merkittävän kansainvälisen median, kuten Le Monden ja The Guardianin, avustuksella.

Vaikka ohjelmistosta on jo puhuttu aiemmin, viimeaikaiset tiedot antavat paremman ymmärryksen siitä, kuinka laaja valvonta on mahdollista ilman älypuhelinten käyttäjien tietämystä.

Kohteeksi valittiin noin 50 000 puhelinnumeroa, joista tuhat Ranskassa. Numerot koskivat kansalaisyhteiskunnan toimijoita, toimittajia ja poliitikkoja.

NSO:n asiakkaiksi on listattu 55 maata, joihin kuuluvat Saudi-Arabia, Yhdistyneet arabiemiirikunnat, Intia, Unkari, Ruanda, Meksiko ja Kazakstan. NSO markkinoi ohjelmistoa.

NSO väittää noudattavansa tiukkaa eettistä politiikkaa ja tekevänsä yhteistyötä tiedustelu- ja lainvalvontaviranomaisten kanssa vain rikollisuuden, terrorismin, huumekaupan ja pedofilian torjumiseksi.

Nämä väitteet sekä ohjelmiston omistajan antamat vakuuttelut herättävät käytännön ja oikeudellisia kysymyksiä.

Vaikka takuita otettaisiinkin ennen markkinointia, millä tavoin voidaan todellisuudessa varmistaa NSO:n ja sen virallisten asiakkaiden välisen sopimuskehyksen noudattaminen ja sen käyttö esimerkiksi luvattomien tahojen toimesta ja poliittisia tai kansalaisyhteiskunnan "kohteita" vastaan?

Tämän teknologian erityisen tunkeileva ja havaitsematon luonne herättää kysymyksiä valvontatekniikoiden sääntelystä kansainvälisessä ja eurooppalaisessa kontekstissa.

Euroopassa lainvalvontaviranomaisilla on erityisiä tutkintavaltuuksia, mutta niitä säännellään tiukasti GDPR:ssä ja kansallisissa laeissa, joilla on saatettu osaksi kansallista lainsäädäntöä 27. huhtikuuta 2016 annettu eurooppalainen "poliisi-oikeus"-direktiivi.

Ranskassa tämä on tietosuojalain XIII luku.

Valtion turvallisuuden tai maanpuolustuksen erityisesti suorittama tietojenkäsittely on jätetty eurooppalaisen direktiivin soveltamisalan ulkopuolelle, mutta Ranskassa siihen sovelletaan edelleen tietosuojalakia.

Vakoiluohjelmien salainen käyttöönotto tietokonejärjestelmissä on sallittua vain erityisten lakisääteisten säännösten nojalla.

Asiaa säännellään 24. heinäkuuta 2015 annetulla tiedustelua koskevalla lailla nro 2015-912 ja 30. lokakuuta 2017 annetulla SILT-lailla nro 2017-1510.

CNIL huomauttaa myös, että on oltava elementtejä, jotka osoittavat konkreettisen uhan ihmisten ruumiilliselle koskemattomuudelle, hengelle ja vapaudelle tai hyökkäyksen kansakunnan perustavanlaatuisia etuja vastaan.

Jos lain periaatteet sitä vastoin soveltuvat, CNIL:llä ei ole valtuuksia valvoa tiedustelupalvelun tiedostojen täytäntöönpanoa.

Äskettäisissä terrorismin ja tiedustelun torjuntaa koskevasta lakiesityksestä (josta on nyt äänestys) antamissaan lausunnoissa se toisti pyyntönsä voida käyttää valvontavaltuuksiaan uusiin tutkintatekniikoihin mukautetulla tavalla.

Hän vaati myös tiedustelutekniikoiden valvontakomission (CNCTR) valtuuksien vahvistamista.

Sekä CNIL että Euroopan tietosuojavaltuutettu korostavat tehokkaan valvonnan merkitystä tiedustelun ja valtion turvallisuuden alalla, erityisesti yhä tunkeilevamman tietojenkäsittelyn yhteydessä yhdistettynä rajat ylittävien huipputeknologioiden kehitykseen.

Nämä vaatimukset ovat niiden kriteerien joukossa, jotka komitea mainitsi viimeaikaisissa suosituksissaan kolmansien maiden EU:lle antamista keskeisistä valvonnan takeista.

Niiden tarkoituksena on suojata eurooppalaisia tietoja suhteettomalta puuttumiselta kansainvälisten siirtojen yhteydessä.

Koska viestintätietoja on yhä helpompi siepata, herää perustavanlaatuisempia kysymyksiä teknisistä toimenpiteistä, joita olisi toteutettava näiden riskien rajoittamiseksi.

Euroopan komitea korostaa 9. maaliskuuta 2021 antamassaan lehdistötiedotteessa sähköisen viestinnän tietosuoja-asetuksesta tarvetta säilyttää tietojen luottamuksellisuus koko viestintäprosessin ajan sekä tietojen salaamisen tärkeyttä.

Samasta näkökulmasta herää kysymys siitä, onko viisasta pitää yllä "takaportteja" tietoliikennepäätteissä tiedustelutarkoituksiin, sillä se voi johtaa väärinkäytösten ja tietojen kavaltamisen lisääntymiseen täysin hallitsemattomissa olosuhteissa.

Ja myös

Ranska:

CNIL on julkaissut kantansa "terveyspassin" pakolliseen jatkamiseen tietyissä paikoissa.

Kyseenalaistamatta sen periaatetta, se muistuttaa tarpeesta rajoittaa sen käyttöä osoitetussa terveyshätätilanteessa, pyytää parlamenttia arvioimaan järjestelmää syksyllä ja korostaa ongelman eettisiä näkökohtia, jotka ulottuvat tietosuojakysymyksiä pidemmälle.

Hän kehottaa lainsäätäjää ottamaan huomioon "... tällaisten yksityisyyttä loukkaavien laitteiden tottumis- ja trivialisointiriski ja tulevasta muutoksesta, mahdollisesti muista syistä, kohti yhteiskuntaa, jossa tällainen valvonta olisi normi eikä poikkeus."

Myös terveyskriisiin liittyen CNIL on toistanut periaatteet, joita on noudatettava, kun lääkäreille toimitetaan rokottamattomien potilaiden luettelo.

Kaksi sanktiota on syytä huomioida., jonka CNIL määräsi 22. ja 28. heinäkuuta

  • toisaalta AG2R La Mondiale -konserni 1,75 miljoonalla eurolla GDPR:n velvoitteiden noudattamatta jättämisestä henkilötietojen säilyttämisen ja henkilötietojen osalta,
  • ja toisaalta Monsanto-yhtiö 400 000 euron summalla, koska se ei ollut ilmoittanut asiasta lobbaustiedostossa oleville henkilöille.

ANSSI ja DINSIC julkaisevat oppaan, jonka tarkoituksena on selittää käytännönläheisesti ja konkreettisesti, miten ketteryys ja turvallisuus edistävät projektien turvallista kehittämistä ja digitaalisten riskien hallintaa.

Opas tarjoaa edistyksellistä tukea työpaja työpajalta, konkreettisia esimerkkejä ja menetelmäsivuja.

Eurooppa:

Amazon on juuri saanut ennätykselliset 746 miljoonan euron sakot Luxemburgin tietosuojaviranomaiselta. GDPR:n periaatteiden noudattamatta jättämisestä ja erityisesti mainonnan kohdentamisesta ilman rekisteröityjen suostumusta.

Tämä 15. heinäkuuta tehty päätös on jatkoa kansalaisvapausjärjestön aloittamalle kollektiiviselle valitukselle.

La Quadrature du Net teki valituksen Ranskan CNIL:lle vedoten Luxemburgin viranomaiseen Amazonin pääkonttorin sijainnin vuoksi. Yhtiö on ilmoittanut valittavansa päätöksestä.

Hollannin tietosuojaviranomainen on määrännyt TikTokille 750 000 euron sakon. koska sen tietojenkäsittelystä ei ole selkeää tietoa.

Vain englanniksi saatavilla olevia tietoja pidettiin lapsille, jotka ovat sovelluksen pääkäyttäjiä, käsittämättöminä.

Kansainvälinen:

YHDYSVALLAT: Yhdysvaltain kansallinen standardi- ja teknologiainstituutti (NIST) on julkaissut oppaan tekoälyn vinoumien tunnistamiseen ja hallintaan: ”ehdotus tekoälyn vinoumien tunnistamiseksi ja hallitsemiseksi”.

Zoom on suostunut maksamaan 85 miljoonaa dollaria sopiakseen oikeusjutun Yhdysvalloissa.

Sitä syytettiin käyttäjien tietojen jakamisesta ja heidän suojaamatta jättämisestä tietyiltä tietokonehyökkäyksiltä ("zoombombing").

Yritys on sitoutunut kouluttamaan työntekijöitään tietosuojasta ja vahvistamaan turvatoimiaan.

Anne Christine Lacoste

Olivier Weber Avocatin osakas Anne Christine Lacoste on tietosuojalainsäädäntöön erikoistunut lakimies. Hän toimi Euroopan tietosuojavaltuutetun kansainvälisten suhteiden päällikkönä ja työskenteli GDPR:n täytäntöönpanon parissa Euroopan unionissa.

Tutustu Viqtoriin®
fiFI
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET lvLV lt_LTLT sk_SKSK sl_SISL fiFI