Pegasus - un logiciel espion au défi du droit.

Pegasus - vohunska programska oprema, ki izziva zakon.

Pravna ura št. 37 – Julij 2021

Pegasus – vohunska programska oprema, ki izziva zakonJulija je projekt Pegasus razkril brez primere vpliv nadzora izraelske vohunske programske opreme, ki lahko prisluškuje pametnim telefonom z operacijskim sistemom iOS ali Android in iz njih pridobiva podatke.

To je sklep mednarodne preiskave, ki jo je izvedla nevladna organizacija Forbidden Stories s pomočjo Amnesty International in Citizen Laba na Univerzi v Torontu ter 17 večjih mednarodnih medijskih hiš, vključno z Le Monde in The Guardianom.

Čeprav se je o programski opremi že govorilo v preteklosti, novejše informacije omogočajo boljše razumevanje obsega nadzora, ki je omogočen brez vednosti uporabnikov pametnih telefonov.

Poročali so, da je bilo izbranih približno 50.000 ciljnih telefonskih številk, vključno s tisoč v Franciji, ki se nanašajo na akterje civilne družbe, novinarje in politike.

Med 55 državami, ki so navedene kot stranke podjetja NSO, ki trži programsko opremo, so Saudova Arabija, Združeni arabski emirati, Indija, Madžarska, Ruanda, Mehika in Kazahstan.

NSO trdi, da sledi strogi etični politiki in sodeluje z obveščevalnimi in organi pregona le za namene boja proti kriminalu, terorizmu, trgovini z drogami in pedofiliji.

Te obtožbe, pa tudi zagotovila lastnika programske opreme, sprožajo praktična in pravna vprašanja.

Tudi če so jamstva sprejeta pred trženjem, kakšna so dejanska sredstva za zagotavljanje skladnosti s pogodbenim okvirom med NSO in njenimi uradnimi strankami ter njegove uporabe s strani nepooblaščenih strank in proti političnim ali civilnodružbenim "tarčam" na primer?

Posebej vsiljiva in nezaznavna narava te tehnologije sproža vprašanja o regulaciji tehnik nadzora v mednarodnem in evropskem kontekstu.

V Evropi imajo organi pregona sicer posebna preiskovalna pooblastila, vendar so ta strogo urejena z GDPR in nacionalnimi zakoni, ki prenašajo evropsko direktivo o policiji in pravosodju z dne 27. aprila 2016.

V Franciji je to poglavje XIII zakona o varstvu podatkov.

Obdelava podatkov, ki jo izvajajo zlasti državne varnostne službe ali nacionalna obramba, je izključena iz področja uporabe evropske direktive, vendar zanjo v Franciji ostaja velja zakon o varstvu podatkov.

Skrivaj vnašanje vohunske programske opreme v računalniške sisteme je dovoljeno le na podlagi posebnih zakonskih določb.

Zadevo urejata zakona št. 2015-912 z dne 24. julija 2015 o obveščevalnih dejavnostih in št. 2017-1510 z dne 30. oktobra 2017, znan kot zakon SILT.

CNIL poudarja tudi, da morajo obstajati elementi, ki predstavljajo konkretno grožnjo telesni integriteti, življenju, svobodi ljudi ali napad na temeljne interese naroda.

Če pa veljajo pravna načela, CNIL nima pooblastil za nadzor nad izvajanjem datotek obveščevalnih služb.

V svojih nedavnih mnenjih o zakonu o preprečevanju terorističnih dejanj in obveščevalnih dejavnostih (o katerem se zdaj glasuje) je ponovno poudarila svojo zahtevo, da lahko izvaja svoja nadzorna pooblastila na način, prilagojen novim preiskovalnim tehnikam.

Pozvala je tudi k okrepitvi pristojnosti Komisije za nadzor obveščevalnih tehnik (CNCTR).

Tako CNIL kot Evropski odbor za varstvo podatkov poudarjata pomen učinkovitega nadzora na področju obveščevalnih dejavnosti in državne varnosti, zlasti v kontekstu vse bolj vsiljive obdelave podatkov, skupaj z razvojem najsodobnejših tehnologij, ki ne upoštevajo meja.

Te zahteve so med merili, ki jih je Odbor navedel v svojih nedavnih priporočilih o bistvenih jamstvih, ki jih morajo tretje države zagotoviti EU v smislu nadzora.

Njihov cilj je zaščititi evropske podatke pred nesorazmernim poseganjem v primeru mednarodnega prenosa.

Glede na vse lažjo prestrezanje komunikacijskih podatkov se pojavljajo temeljnejša vprašanja o tehničnih ukrepih, ki bi jih bilo treba sprejeti za omejitev teh tveganj.

V svojem sporočilu za javnost z dne 9. marca 2021 o uredbi o „e-zasebnosti“ Evropski odbor poudarja potrebo po ohranjanju zaupnosti podatkov skozi celoten komunikacijski proces in šifriranju podatkov.

Z istega vidika se postavlja vprašanje o smiselnosti ohranjanja "zadnjih vrat" v komunikacijskih terminalih za obveščevalne namene, saj obstaja tveganje za povečanje zlorab in nezakonite prisvojitve podatkov, ki so izven vsakršnega nadzora.

In tudi

Francija:

CNIL je objavil svoje stališče glede obveznega podaljšanja "zdravstvene izkaznice" na določenih mestih.

Ne da bi pri tem podvomil o svojem načelu, opozarja na potrebo po omejitvi njegove uporabe v kontekstu dokazane zdravstvene krize, zahteva, da parlament jeseni oceni sistem, in poudarja etične vidike problema, ki presegajo vprašanja varstva podatkov.

Zahteva, da zakonodajalec upošteva "... tveganje privajanja in trivializacije takšnih naprav, ki kršijo zasebnost in o premiku, v prihodnosti in morda iz drugih razlogov, k družbi, kjer bi bil takšen nadzor norma in ne izjema.“

Tudi v povezavi z zdravstveno krizo je CNIL ponovil načela, ki jih je treba upoštevati pri sporočanju seznama necepljenih pacientov zdravnikom.

Omeniti velja dve sankciji., ki ga je CNIL naložil 22. in 28. julija proti

  • na eni strani Skupina AG2R La Mondiale za znesek 1,75 milijona evrov zaradi neizpolnjevanja obveznosti iz GDPR glede hrambe podatkov in obveščanja posameznikov,
  • in na drugi strani Podjetje Monsanto za znesek 400.000 evrov, ker ni obvestil ljudi, vključenih v lobistično datoteko.

ANSSI in DINSIC objavljata priročnik, katerega cilj je na praktičen in konkreten način pojasniti, kako agilnost in varnost prispevata k varnemu razvoju projektov in upravljanju digitalnih tveganj.

Vodnik ponuja postopno podporo, delavnico za delavnico, konkretne primere in metodične liste.

Evropa:

Luksemburški organ za varstvo podatkov je Amazonu pravkar naložil rekordno kazen v višini 746 milijonov evrov. zaradi neskladnosti z načeli GDPR, zlasti zaradi ciljanega oglaševanja brez soglasja posameznikov, na katere se nanašajo osebni podatki.

Ta odločitev z dne 15. julija sledi kolektivni pritožbi, ki jo je vložilo združenje za državljanske svoboščine

La Quadrature du Net je vložila pritožbo pri CNIL v Franciji, pri čemer se je sklicevala na luksemburški organ zaradi lokacije sedeža Amazona v Luksemburgu. Podjetje je napovedalo, da se bo na to odločitev pritožilo.

Nizozemski organ za varstvo podatkov je TikToku naložil 750.000 evrov globe zaradi pomanjkanja jasnih informacij o obdelavi podatkov.

Informacije, ki so bile na voljo le v angleščini, so bile za otroke, glavne uporabnike aplikacije, nerazumljive.

Mednarodno:

ZDRUŽENE DRŽAVE AMERIKE: Nacionalni inštitut za standarde in tehnologijo (NIST) je objavil vodnik za prepoznavanje in obvladovanje pristranskosti v umetni inteligenci: »predlog za prepoznavanje in obvladovanje pristranskosti znotraj umetne inteligence«.

Zoom se je strinjal, da bo plačal 85 milijonov dolarjev za poravnavo tožbe v Združenih državah Amerike.

Obtožili so ga, da je delil podatke svojih uporabnikov in da jih ni zaščitil pred določenimi računalniškimi napadi ("zoombombing").

Podjetje je zavezano k usposabljanju svojih zaposlenih o varstvu podatkov in krepitvi varnostnih ukrepov.

Anne Christine Lacoste

Anne Christine Lacoste, partnerica pri Olivier Weber Avocat, je odvetnica, specializirana za pravo podatkov; bila je vodja mednarodnih odnosov pri Evropskem nadzorniku za varstvo podatkov in delala na izvajanju GDPR v Evropski uniji.

Odkrijte Viqtor®
sl_SISL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL