Pegasus — spiegprogrammatūra, kas apstrīd likumu.

Juridiskā uzraudzība Nr. 37 — 2021. gada jūlijs

Pegasus – spiegprogrammatūra, kas apstrīd likumuJūlijā Pegasus projekts atklāja Izraēlas spiegprogrammatūras nepieredzētu novērošanas ietekmi, kas var noklausīties un iegūt datus no viedtālruņiem ar iOS vai Android operētājsistēmu.

Šis ir starptautiskas izmeklēšanas secinājums, ko veica NVO “Forbidden Stories” ar Amnesty International un Toronto Universitātes “Citizen Lab”, kā arī 17 lielāko starptautisko plašsaziņas līdzekļu, tostarp “Le Monde” un “The Guardian”, palīdzību.

Lai gan par programmatūru jau ir runāts iepriekš, jaunākā informācija sniedz labāku izpratni par to, cik liela ir bijusi iespējama novērošana bez viedtālruņu lietotāju ziņas.

Tiek ziņots, ka tika izvēlēti aptuveni 50 000 mērķa tālruņu numuru, tostarp tūkstotis Francijā, kas attiecas uz pilsoniskās sabiedrības pārstāvjiem, žurnālistiem un politiķiem.

Starp 55 valstīm, kas uzskaitītas kā NSO, kas tirgo programmatūru, klienti, ir Saūda Arābija, Apvienotie Arābu Emirāti, Indija, Ungārija, Ruanda, Meksika un Kazahstāna.

NSO apgalvo, ka ievēro stingru ētikas politiku un sadarbojas ar izlūkdienestiem un tiesībaizsardzības iestādēm tikai noziedzības, terorisma, narkotiku tirdzniecības un pedofilijas apkarošanas nolūkos.

Šie apgalvojumi, kā arī programmatūras īpašnieka sniegtās garantijas rada praktiskus un juridiskus jautājumus.

Pat ja garantijas tiek sniegtas pirms mārketinga, kādi ir reālie līdzekļi, lai nodrošinātu atbilstību līgumiskajam regulējumam starp NSO un tā oficiālajiem klientiem, kā arī to izmantošanu neautorizētu personu un, piemēram, pret politiskiem vai pilsoniskās sabiedrības "mērķiem"?

Šīs tehnoloģijas īpaši uzmācīgā un neatklājamā daba rada jautājumus par novērošanas metožu regulējumu starptautiskā un Eiropas kontekstā.

Eiropā, lai gan tiesībaizsardzības iestādēm ir īpašas izmeklēšanas pilnvaras, tās stingri regulē GDPR un valstu likumi, ar kuriem transponēta 2016. gada 27. aprīļa Eiropas "policijas un tieslietu" direktīva.

Francijā tā ir Datu aizsardzības likuma XIII nodaļa.

Datu apstrāde, ko konkrētāk veic valsts drošība vai nacionālā aizsardzība, neietilpst Eiropas direktīvas darbības jomā, bet Francijā uz to joprojām attiecas Datu aizsardzības likums.

Slepena spiegprogrammatūras ieviešana datorsistēmās ir atļauta tikai saskaņā ar īpašiem tiesību aktiem.

Šo jautājumu regulē 2015. gada 24. jūlija likums Nr. 2015-912 par izlūkošanu un 2017. gada 30. oktobra likums Nr. 2017-1510, kas pazīstams kā SILT likums.

CNIL arī norāda, ka ir jābūt elementiem, kas rada konkrētus draudus cilvēku ķermeņa integritātei, dzīvībai, brīvībai vai uzbrukumu nācijas pamatinteresēm.

No otras puses, ja piemērojami likuma principi, CNIL nav pilnvaru kontrolēt izlūkdienesta failu ieviešanu.

Savos nesenajos atzinumos par likumprojektu par terorisma aktu novēršanu un izlūkošanu (par kuru tagad notiek balsošana) tā atkārtoti pauda lūgumu spēt īstenot savas kontroles pilnvaras veidā, kas pielāgots jaunajām izmeklēšanas metodēm.

Viņa arī aicināja stiprināt Izlūkošanas metožu kontroles komisijas (CNCTR) pilnvaras.

Gan CNIL, gan Eiropas Datu aizsardzības komiteja uzsver efektīvas uzraudzības nozīmi izlūkošanas un valsts drošības jomā, jo īpaši arvien uzmācīgākas apstrādes kontekstā apvienojumā ar modernāko tehnoloģiju attīstību, kas ignorē robežas.

Šīs prasības ir starp kritērijiem, ko Komiteja minēja savos nesenajos ieteikumos par būtiskajām garantijām, kas trešajām valstīm jāsniedz ES uzraudzības jomā.

To mērķis ir aizsargāt Eiropas datus no nesamērīgas iejaukšanās starptautiskas pārsūtīšanas gadījumā.

Ņemot vērā to, cik viegli saziņas datus var pārtvert, rodas fundamentālāki jautājumi par tehniskajiem pasākumiem, kas jāveic, lai ierobežotu šos riskus.

Savā 2021. gada 9. marta preses relīzē par "ePrivātuma" regulu Eiropas komiteja uzsver nepieciešamību saglabāt datu konfidencialitāti visā saziņas procesā, kā arī datu šifrēšanu.

Tajā pašā perspektīvā rodas jautājums par to, vai ir ieteicams sakaru termināļos saglabāt "aizmugurējās durvis" izlūkošanas nolūkos, riskējot ar ļaunprātīgas izmantošanas un datu piesavināšanās pieaugumu ārpus jebkādas kontroles.

Un arī

Francija:

CNIL ir publicējusi savu nostāju par obligātu “veselības pases” pagarināšanu noteiktās vietās.

Neapšaubot tā principu, tajā atgādināts par nepieciešamību ierobežot tā izmantošanu pierādītas ārkārtas situācijas veselības jomā kontekstā, pieprasīts, lai parlaments rudenī izvērtētu sistēmu, un uzsvērti problēmas ētiskie aspekti, kas sniedzas tālāk par datu aizsardzības jautājumiem.

Viņa aicina likumdevēju ņemt vērā "... šādu ierīču, kas pārkāpj privātumu, pieradināšanas un trivializācijas risks un par pāreju nākotnē, un, iespējams, citu iemeslu dēļ, uz sabiedrību, kurā šāda kontrole būtu norma, nevis izņēmums."

Arī saistībā ar veselības krīzi CNIL ir atkārtoti uzsvērusi principus, kas jāievēro, paziņojot ārstiem nevakcinēto pacientu sarakstu.

Jāatzīmē divas sankcijas., ko CNIL noteica 22. un 28. jūlijā pret

• no vienas puses AG2R La Mondiale grupa par summu 1,75 miljoni eiro par GDPR pienākumu neizpildi attiecībā uz datu saglabāšanu un personu informēšanu,
• un, no otras puses, Monsanto uzņēmums par summu 400 000 eiropar to, ka nav informējis lobēšanas lietā iekļautās personas.

ANSSI un DINSIC publicē rokasgrāmatu, kuras mērķis ir praktiski un konkrēti izskaidrot, kā elastība un drošība veicina projektu drošu izstrādi un digitālo risku pārvaldību.

Rokasgrāmata piedāvā pakāpenisku atbalstu, semināru pēc semināra, konkrētus piemērus un metožu lapas.

Eiropa:

Luksemburgas datu aizsardzības iestāde tikko ir piemērojusi Amazon rekordlielu sodu 746 miljonu eiro apmērā. par neatbilstību GDPR principiem un jo īpaši reklāmas mērķauditorijas atlasi bez datu subjektu piekrišanas.

Šis 15. jūlija lēmums seko kolektīvai sūdzībai, ko ierosināja pilsoņu brīvību asociācija.

Uzņēmums “La Quadrature du Net” iesniedza sūdzību Francijas CNIL, atsaucoties uz Luksemburgas iestādi saistībā ar Amazon galvenās mītnes atrašanās vietu Luksemburgā. Uzņēmums ir paziņojis, ka pārsūdzēs šo lēmumu.

Nīderlandes datu aizsardzības iestāde piespriedusi TikTok 750 000 eiro sodu. jo trūkst skaidras informācijas par datu apstrādi.

Informācija, kas bija pieejama tikai angļu valodā, tika uzskatīta par nesaprotamu bērniem, kas ir galvenie lietotnes lietotāji.

Starptautiskās:

ASV: Nacionālais standartu un tehnoloģiju institūts (NIST) ir publicējis rokasgrāmatu par mākslīgā intelekta aizspriedumu identificēšanu un pārvaldību: “priekšlikums mākslīgā intelekta aizspriedumu identificēšanai un pārvaldībai”.

Zoom ir piekritis samaksāt 85 miljonus ASV dolāru, lai izbeigtu tiesas prāvu Amerikas Savienotajās Valstīs.

Tas tika apsūdzēts lietotāju datu koplietošanā un to neaizsargāšanā pret noteiktiem datoruzbrukumiem ("zoombombing").

Uzņēmums ir apņēmies apmācīt savus darbiniekus datu aizsardzības jautājumos un stiprināt savus drošības pasākumus.

Anna Kristīna Lakoste

Olivier Weber Avocat partnere Anna Kristīne Lakosta ir juriste, kas specializējas datu tiesībās; viņa bija Eiropas Datu aizsardzības uzraudzītāja starptautisko attiecību vadītāja un strādāja pie GDPR ieviešanas Eiropas Savienībā.