„Pegasus“ – šnipinėjimo programa, paneigianti įstatymus.

Teisinis stebėjimas Nr. 37 – 2021 m. liepa

„Pegasus“ – šnipinėjimo programa, metanti iššūkį įstatymamsLiepos mėnesį „Pegasus“ projektas atskleidė precedento neturintį Izraelio šnipinėjimo programų, galinčių klausytis išmaniųjų telefonų su „iOS“ arba „Android“ operacinėmis sistemomis ir iš jų išgauti duomenis, poveikį.

Tai yra tarptautinio tyrimo, kurį atliko nevyriausybinė organizacija „Forbidden Stories“, padedant „Amnesty International“ ir Toronto universiteto „Citizen Lab“, taip pat 17 pagrindinių tarptautinių žiniasklaidos priemonių, įskaitant „Le Monde“ ir „The Guardian“, išvada.

Nors apie programinę įrangą jau buvo kalbėta anksčiau, naujausia informacija leidžia geriau suprasti, kiek stebėjimo įmanoma be išmaniųjų telefonų naudotojų žinios.

Pranešama, kad buvo atrinkta apie 50 000 tikslinių telefono numerių, įskaitant tūkstantį Prancūzijoje, susijusių su pilietinės visuomenės veikėjais, žurnalistais ir politikais.

Tarp 55 šalių, išvardytų kaip NSO, kuri parduoda programinę įrangą, klientės, yra Saudo Arabija, Jungtiniai Arabų Emyratai, Indija, Vengrija, Ruanda, Meksika ir Kazachstanas.

NSO teigia laikantis griežtos etikos politikos ir bendradarbiauja su žvalgybos ir teisėsaugos institucijomis tik kovos su nusikalstamumu, terorizmu, narkotikų prekyba ir pedofilija tikslais.

Šie kaltinimai, taip pat programinės įrangos savininko pateikti patikinimai, kelia praktinių ir teisinių klausimų.

Net jei garantijos yra priimamos prieš pradedant prekybą, kokios yra realios priemonės užtikrinti NSO ir jos oficialių klientų sutartinių sąlygų laikymąsi ir jų naudojimą neįgaliotų šalių ir, pavyzdžiui, prieš politinius ar pilietinės visuomenės „taikinius“?

Dėl itin įkyraus ir neaptinkamo šios technologijos pobūdžio kyla klausimų dėl stebėjimo metodų reguliavimo tarptautiniu ir Europos kontekste.

Europoje teisėsauga turi konkrečius tyrimo įgaliojimus, tačiau juos griežtai reglamentuoja BDAR ir nacionaliniai įstatymai, perkeliantys 2016 m. balandžio 27 d. Europos „policijos ir teisingumo“ direktyvą.

Prancūzijoje tai yra Duomenų apsaugos įstatymo XIII skyrius.

Duomenų tvarkymas, kurį konkrečiai atlieka valstybės saugumas ar nacionalinė gynyba, nepatenka į Europos direktyvos taikymo sritį, tačiau Prancūzijoje jam vis dar taikomas Duomenų apsaugos įstatymas.

Slapta šnipinėjimo programų instaliacija į kompiuterines sistemas gali būti leidžiama tik pagal konkrečias teisines nuostatas.

Šį klausimą reglamentuoja 2015 m. liepos 24 d. įstatymas Nr. 2015-912 dėl žvalgybos ir 2017 m. spalio 30 d. įstatymas Nr. 2017-1510, žinomas kaip SILT įstatymas.

CNIL taip pat atkreipia dėmesį, kad turi būti elementų, keliančių konkrečią grėsmę žmonių kūno neliečiamybei, gyvybei, laisvei arba išpuolį prieš pagrindinius tautos interesus.

Kita vertus, jei taikomi įstatymo principai, CNIL neturi įgaliojimų kontroliuoti žvalgybos tarnybos bylų įgyvendinimo.

Savo naujausiose nuomonėse dėl teroro aktų prevencijos ir žvalgybos įstatymo projekto (dėl kurio dabar balsuojama), ji pakartojo savo prašymą leisti jai vykdyti kontrolės įgaliojimus atsižvelgiant į naujus tyrimo metodus.

Ji taip pat paragino sustiprinti Žvalgybos metodų kontrolės komisijos (CNCTR) įgaliojimus.

Ir CNIL, ir Europos duomenų apsaugos komitetas pabrėžia veiksmingos priežiūros svarbą žvalgybos ir valstybės saugumo srityje, ypač atsižvelgiant į vis labiau įkyrius duomenų tvarkymo veiksmus ir pažangiausių technologijų, kurios nepaiso sienų, kūrimą.

Šie reikalavimai yra vieni iš kriterijų, kuriuos Komitetas nurodė savo naujausiose rekomendacijose dėl esminių trečiųjų šalių teikiamų ES stebėjimo garantijų.

Jais siekiama apsaugoti Europos duomenis nuo neproporcingo kišimosi tarptautinio perdavimo atveju.

Atsižvelgiant į tai, kad ryšio duomenis vis lengviau perimti, kyla esminių klausimų dėl techninių priemonių, kurių reikėtų imtis siekiant apriboti šią riziką.

2021 m. kovo 9 d. pranešime spaudai dėl „E. privatumo“ reglamento Europos komitetas pabrėžia būtinybę išlaikyti duomenų konfidencialumą viso komunikacijos proceso metu ir duomenų šifravimą.

Tuo pačiu požiūriu kyla klausimas, ar tikslinga ryšių terminaluose išlaikyti „užpakalines duris“ žvalgybos tikslais, rizikuojant sulaukti nekontroliuojamo piktnaudžiavimo ir duomenų pasisavinimo atvejų.

Ir taip pat

Prancūzija:

CNIL paskelbė savo poziciją dėl privalomo „sveikatos paso“ pratęsimo tam tikrose vietose.

Neabejojant jos principais, primenama būtinybė apriboti jos naudojimą esant akivaizdžiai nepaprastajai sveikatos situacijai, prašoma, kad parlamentas rudenį įvertintų sistemą, ir pabrėžiami etiniai problemos aspektai, kurie peržengia duomenų apsaugos klausimus.

Ji ragina įstatymų leidėją atsižvelgti į „... tokių privatumą pažeidžiančių įrenginių pripratimo ir trivializacijos rizika ir apie poslinkį ateityje, galbūt dėl kitų priežasčių, link visuomenės, kurioje tokia kontrolė būtų norma, o ne išimtis.“

Taip pat, atsižvelgdama į sveikatos krizę, CNIL pakartojo principus, kurių reikia laikytis pateikiant gydytojams neskiepytų pacientų sąrašą.

Verta paminėti dvi sankcijas., kurį CNIL liepos 22 ir 28 d. paskyrė prieš

• viena vertus, „AG2R La Mondiale“ grupė už 1,75 mln. eurų už BDAR įsipareigojimų, susijusių su duomenų saugojimu ir asmenų informacija, nesilaikymą,
• ir, kita vertus, „Monsanto“ kompanija už 400 000 eurų sumą, už tai, kad neinformavo asmenų, įtrauktų į lobistinės veiklos bylą.

ANSSI ir DINSIC skelbia vadovą, kuriuo siekiama praktiškai ir konkrečiai paaiškinti, kaip lankstumas ir saugumas prisideda prie saugaus projektų vystymo ir skaitmeninės rizikos valdymo.

Vadove siūloma laipsniška parama, seminaras po seminaro, konkretūs pavyzdžiai ir metodų lapai.

Europa:

Liuksemburgo duomenų apsaugos tarnyba „Amazon“ ką tik skyrė rekordinę 746 mln. eurų baudą. už BDAR principų nesilaikymą, ypač dėl tikslinės reklamos be duomenų subjektų sutikimo.

Šis liepos 15 d. sprendimas priimtas po pilietinių laisvių asociacijos inicijuoto kolektyvinio skundo.

„La Quadrature du Net“ pateikė skundą Prancūzijos CNIL, nurodydama Liuksemburgo valdžios instituciją dėl „Amazon“ būstinės vietos Liuksemburge. Bendrovė paskelbė, kad apskųs šį sprendimą.

Nyderlandų duomenų apsaugos tarnyba skyrė „TikTok“ 750 000 eurų baudą. dėl aiškios informacijos apie duomenų tvarkymą trūkumo.

Informacija, prieinama tik anglų kalba, buvo laikoma nesuprantama vaikams, pagrindiniams programėlės naudotojams.

Tarptautinis:

JUNGTINĖS AMERIKOS VALSTIJOS: Nacionalinis standartų ir technologijų institutas (NIST) paskelbė dirbtinio intelekto šališkumo nustatymo ir valdymo vadovą: „pasiūlymas, kaip nustatyti ir valdyti šališkumą dirbtinio intelekto srityje“.

„Zoom“ sutiko sumokėti 85 mln. dolerių, kad išspręstų bylą Jungtinėse Valstijose.

Ji buvo apkaltinta tuo, kad dalijosi savo vartotojų duomenimis ir neapsaugojo jų nuo tam tikrų kompiuterinių atakų („zoombombing“).

Įmonė yra įsipareigojusi mokyti savo darbuotojus duomenų apsaugos klausimais ir stiprinti savo saugumo priemones.

Anne Christine Lacoste

„Olivier Weber Avocat“ partnerė Anne Christine Lacoste yra teisininkė, kurios specializacija – duomenų teisė; ji buvo Europos duomenų apsaugos priežiūros pareigūno tarptautinių santykių vadovė ir dirbo įgyvendinant BDAR Europos Sąjungoje.