Trzy tygodnie temu weszły w życie przepisy bardzo chętnie opisywanej przez media (szczególnie w internecie) tzw. ustawy inwigilacyjnej. Zmieniły one nieco regulacje prawne dotyczące retencji danych telekomunikacyjnych przez operatorów, która od wielu już lat jest źródłem kontrowersji. Często podkreśla się gigantyczną skalę zapytań służb o dane obywateli, których ilość z roku na rok wzrasta i jest niepokojąco wysoka na tle innych państw, z którymi moglibyśmy się porównywać. Problem ten jest bardzo istotny, szczególnie w Europie, gdzie prawo do prywatności traktujemy jako coś niemalże świętego. Dlaczego nasze organy ścigania zadają pytania o dane retencyjne tak często? Na to pytanie będę szukał odpowiedzi w dzisiejszej notce.
W 2014 roku służby, sądy i prokuratury złożyły blisko 2,2 miliona zapytań o dane telekomunikacyjne. Danych za 2015 r. jeszcze nie ma. Liczba ta – w zestawieniu z 38 milionami obywateli naszego państwa już na pierwszy rzut oka jest nieproporcjonalnie wysoka. Jeśli jesteś uważnym czytelnikiem mojego bloga to być może pamiętasz, że we wpisie będącym relacją z Ataków Sieciowych 2015 zapowiadałem poruszenie tematu retencji danych, które były przedmiotem wystąpienia Profesora Andrzeja Adamskiego na toruńskiej konferencji. Pan Profesor w swoim wystąpieniu skupił się w większej mierze na relacji prawa do prywatności, prawa do bezpieczeństwa publicznego oraz oczywiście prawa do uzyskiwania dostępu do danych retencyjnych. Ja jednak dzisiaj nie chcę pisać o przeszłości czy nawet obecnej regulacji, która została dość szeroko skomentowana przez prawników. Od siebie pragnę wskazać na dwie kwestie, których nie porusza się w trwającej dyskusji medialnej.
Szerszy zakres podmiotów zobowiązanych do udostępniania danych
Ustawa precyzuje, iż w sposób jednoznaczny podmioty świadczące usługi drogą elektroniczną udostępniają dane podlegające retencji w sposób nieodpłatny. To chyba całkiem zrozumiała reakcja organów Państwa na to, że niektóre podmioty (np. Nasza-Klasa) wystawiały do tej pory faktury za udostępniane dane! Obowiązek ich nieodpłatnego udostępniania nie wynikał bowiem z ustawy, ani też wprost z innych przepisów.
Uważam, że wystarczy w tej kwestii powiedzieć tylko tyle, że nowa ustawa świetnie podtrzymuje wątpliwe tradycje swojej poprzedniczki (uznanej za niezgodną z Konstytucją RP przez Trybunał Konstytucyjny). Po więcej na temat temat odsyłam na blog Kamila.
O co więc z tymi liczbami chodzi?
Wróćmy zatem do wspominanych już liczb. Jak podaje UKE:
- 2014 – 2,2 mln zapytań o dane telekomunikacyjne
- 2013 – 1,75 mln zapytań o dane telekomunikacyjne
- 2012 – 1,75 mln zapytań o dane telekomunikacyjne
- 2011 – 1,9 mln zapytań o dane telekomunikacyjne
Wychodzi na to, że w samym 2014 roku służby pytały o dane telekomunikacyjne jednego na siedemnastu Polaków. To oczywiście nieproporcjonalnie duża liczba zapytań. Kryje się jednak za nimi pewna przyczyna, o której w mediach raczej się nie mówi. Problem polega (a przynajmniej polegał jeszcze w 2015 r. – bo być może teraz uległo to zmianie) na braku interfejsu umożliwiającego korzystanie przez organy ścigania z API (udostępnianego przez Urząd Komunikacji Elektronicznej) pozwalającego identyfikować kto konkretnie jest operatorem danego numeru telefonicznego. Sami operatorzy posiadają oczywiście stosowne interfejsy, które opracowali za własne pieniądze i wykorzystują do szeregu różnych usług. API udostępnia UKE na podstawie przepisów prawa i organy ścigania teoretycznie mogą z niego skorzystać. Teoretycznie, bo w przeciwieństwie do operatorów nie posiadają żadnego oprogramowania umożliwiającego wykorzystywanie dostępnego API. Problem w miarę upływu czasu tylko się nasila, bo możliwe dopiero od kilku lat przenoszenie numerów staje się coraz bardziej popularne. W rezultacie sytuacja ta wywołuje efekt następujący:
- w przypadkach pilnych służby składają 4 zapytania do największych operatorów (a czasami nawet i do większej liczby) dotyczące tego samego numeru. Operatorzy odpowiadają wówczas, że numer nie jest przez nich obsługiwany – poza jednym, który faktycznie udziela wnioskowanych informacji
- w przypadkach standardowych służby składają zapytania dotyczące tego samego numeru po kolei do wszystkich operatorów i czekają aż „trafią” w tego, który faktycznie obsługuje dany numer telefonu
W efekcie powyższego zapytanie o dane retencyjne jednego numeru telefonu potrafi wygenerować w praktyce nawet kilkanaście odrębnych zapytań, które są uwzględniane w statystykach. W pierwszej chwili takie wyjaśnienie problem wydało mi się niedorzeczne i trudno było mi w nie uwierzyć. Dosłownie przecierałem uszy ze zdziwienia, gdy dowiedziałem się o nim od Pana Pawła Baranieckiego, przedstawiciela Polkomtela (Plus GSM), który opowiadał o tym problemie 14 maja 2014 r. podczas seminarium naukowego organizowanego przez Centrum Badań nad Cyberprzestępczością w Toruniu pod tytułem Współpraca dostawców usług internetowych z organami ścigania i wymiaru sprawiedliwości w zakresie zwalczania przestępstw na szkodę małoletnich popełnionych w Internecie. Wedle informacji, na które powoływali się wówczas dyskutujący – blisko 20% zapytań do operatorów było chybionych z powodu opisanego powyżej.
Podsumowując – możemy uznać, że wyrażana w liczbie bezwzględnej liczba zapytań kierowanych przez służby do operatorów jest obecnie sztucznie zawyżana. Szkoda, że nikt o tym nie mówi, bo zaburza to faktyczną statystykę zapytań o dane podlegające retencji w znacznym stopniu. Dodatkowo sytuacja ta wpływa w realny sposób na koszty związane z prowadzonymi postępowaniami, skutkuje ich zbędną przewlekłością – i w efekcie zmniejszeniem wydolności organów ścigania. Osobiście jestem oczywiście przeciwny przekazywaniu organom ścigania nadmiernych kompetencji uprawniających do nieograniczonych możliwości inwigilacyjnych w takim zakresie jaki funkcjonuje w Polsce od lat. Niemniej zagadnienie to jest tematem na oddzielną już notkę, którą może kiedyś popełnię 😉