Furnizorii de găzduire devin calul troian al interceptărilor?
Proiectul de lege a Codului Comunicațiilor rămâne cu aproape toate obligațiile pentru furnizorii de găzduire și după trecerea prin Comisiile Senatului, fiind doar scoase referințele către “furnizorii de comunicații interpersonale”. Dacă vreți să înțelegeți doar problemele explicate simplist săriți la punctul 3.2. de mai jos.
Din păcate Comisiile Senatului au rezolvat doar jumătate din problema interceptărilor adăugată pe șest și descoperită de noi în Codul Comunicațiilor în decembrie 2021, păstrând toate obligațiile pentru o categorie de furnizori extrem de larg definită (furnizor de servicii de găzduire electronică cu resurse IP – detalii mai jos) – fără a oferi vreo justificare logică sau legală.
Aceasta ridică următoarele probleme majore de fond:
A. Vorbim în continuare de “Lărgirea interceptării comunicațiilor”
Furnizorii de găzduire NU au nicio legătura cu directiva europeană 2018/1972 (Codul european al comunicațiilor). Măsurile din textul propus și furnizorii de găzduire NU sunt actualmente incluși în mod specific în Codul de procedura penală (dar sunt articole generice care li se pot aplica furnizorilor de găzduire).
Aceasta este o adăugire proprie a Guvernului – fără dezbatere publică (nici măcar în Senat nimeni nu a susținut măcar formal cu un argument acest text), fără legătură cu obiectul Codului Comunicațiilor, care este reglementarea comunicațiilor electronice.
B. Obligația de notificare a găzduitorilor este ilegală
Găzduitorii sunt, încă din 2002, reglementați de legea 365/2002 privind comerțul electronic. (și niciodată în legislația privind comunicațiile electronice). Principiul de bază este cel al libertății de furnizare pentru toate categorii de furnizori ai societății informaționale:
Art 4 (1) – legea 365/2002
Furnizarea de servicii ale societății informaționale de către persoanele fizice sau juridice nu este supusă niciunei autorizări prealabile.
Acest principiu rămâne în propunerea ce se discută acum în UE de modificare a acestei directivei implementate în România prin legea 365/2002 prin Digital services Act – Actul privind serviciile digitale.
Obligația de notificare la ANCOM din art 10^2 din proiect contrazice flagrant acest principiu.
C. Definiția extrem, extrem de largă duce la cazuri la care nu vă gândiți
“furnizor de servicii de găzduire electronică cu resurse IP — persoană care, pe teritoriul României, oferă servicii de stocare, distribuire a conţinutului şi asigurare a accesului la acesta, pe servere deţinute sau închiriate, prin gestionarea unui set de adrese IP în internet”.
Deci textul NU se referă doar la furnizori români sau care ar vinde aceste servicii doar în România, ci mult mai mult mai larg. Asigurarea accesului la conținut digital, pe teritoriul României, o fac zeci de mii de actori - din Afghanistan în Zimbabwe. Astfel textul reglementat poate fi dat exemplu de glumă legislativă proastă.
Practic cei care gestionează adrese IP-uri și sunt în lista de la RIPE NCC, AfriNIC, APNIC, ARIN, LACNIC intra în aceasta categorie pentru ca toți o fac pentru “cel puțin” servicii de acces la adresa IP – deci acces la conținut către utilizatorilor români. (ok, poate mai puțin conținutul accesibil doar din Coreea de Nord sau China)
Asta înseamnă ca toți cei care sunt listați mai sus vor intra în categoria respectivă, cum ar fi:
- furnizorul unui serviciul de acces la conținut stocat pe o adresă IP (asta înseamnă practic orice conținut web, indiferent de locație serverului) – de ex. Facebook, Google, dar și găzduitorului unui site din Republica Moldova sau Tuvalu, accesibil din România.
- orice serviciu de CDN – Content Delivery Network accesibil din România (Cloudflare, Cloudfront Akamai, etc.)
- orice furnizori de găzduire cu clienți din România, indiferent de jurisdicția acestuia (Digital Ocean, Godaddy, GTS)
- orice serviciu de cloud, indiferent de locație, dacă conținutul este accesibil din România (Amazon AWS, Google GCP, Azure- Microsoft)
3.2 În practică asta înseamnă că acești furnizori pot primi cereri de:
(am ales exemple extreme pe baza textului din art 10^2 pct a-c, pentru a sublinia riscurile)
- a crea infrastructură de interceptare conținut, pe costuri propriu, fără a știi ce și cum se interceptează și nu e criptat (exemplu: Google poate obligat ca să creeze aceasta infrastructură ca „organele” românești sa aibă acces la conținut necriptate – Gmail, Google Chat, etc.)
- sau GTS (furnizor român de găzduire) să fie obligat sa facă o camera neagră (black box) sau un sistem informatic similar în care „organele” să poată intra sa aibă acces la ce pot. Evident, o s-o facă “cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi (sic!) ale Legii nr. 51/1991 privind securitatea naţională”, mai ales când nu poate să-i verifice absolut nimeni.
- să acorde accesul la conținutul comunicațiilor necriptate tranzitate în rețelele proprii. Facebook e un găzduitor cu propriile adrese IP, deci va trebui sa ofere acces la chat-ul din Facebook Messenger (dacă nu cumva ați fost deștepți și ați activat criptarea)
- sa informeze date de trafic, inclusiv istoricul accesărilor cu momentele de timp aferente. (Găzduitorul serverului al apti.ro poate fi obligat să dea exact cine a citit acest articol și de la ce IP dar și cine a trimis un email către o adresă de pe apti.ro, la ce oră și cu ce subiect) (oricum mai bine ne contactați pe Signal sau mail criptat).
În practică suntem siguri că furnizorii serioși din afara României vor refuza astfel de măsuri intruzive și vor ridica probleme inerente de jurisdicție aplicabilă. Cu succes.
În același timp mesajul trimis de politicienii români este clar:
- Furnizorii români de găzduire (în sensul larg al legii) nu vor putea oferi confidențialitatea comunicațiilor;
- Utilizatorilor români de Internet le este recomandat să NU găzduiască la un furnizor român, dacă vor un minimum de confidențialitate.
D.Textul propus nu respectă garanțiile CCR
Curtea Constituțională a României a precizat în mod constant că astfel de texte vagi și neclare nu pot sa fie constituționale, în special în domeniul interceptării comunicațiilor și a datelor de trafic, cum ar fi de exemplu:
Decizia CCR 461/2014 Par 37
“ci lărgește sfera subiectelor de drept cărora le incumbă obligația de a reține și stoca datele generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului.”
“fără a reglementa modalitatea în care se realizează accesul efectiv la datele deţinute, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate şi nu stabileşte că accesul autorităţilor naţionale la datele stocate este condiţionat de controlul prealabil efectuat de către o instanţă judecătorească,”
E. Ce urmează?
Mai avem șansa unei epifanii de ultim minut a majorității din Senat ca să-și dea seama ce cal troian au votat. Sau poate au făcut-o intenționat. Altfel este uimitoare schimbarea de opinie în mai puțin de o săptămână (la ședința trecută a Comisie de Comunicații din Senat 3 partide spuneau că o să respingă art 10^2, azi primele 2 au votat un amendament pe bandă rulantă fără să dezbata sensul).
Dacă nu, rămâne doar varianta eventuală a contestării constituționalității articolului cu pricina.
Sau, evident, mutarea digitală a găzduirii în străinătate. Și învățați să criptați end-to-end. E cea mai bună variantă, oricâte legi imberbe s-ar da.
Later edit: Scrisoare deschisă a societății civile
Impreună cu alte 14 organizații din societatea civilă, am trimis Senatorilor o scrisoare deschisă pe 10 februarie 2022. Prin ea, solicităm senatorilor să retrimită la Comisii proiectul de lege, sau să voteze un amendament care elimină din textul proiectului teza a doua a Art. 2, pct. 28 al proiectului de lege L532/2021 (prin care se introduce Art. 10 indice 2 în OUG 11/2011 privind comunicațiile electronice).
PS: Daca vreți sa primiți noutăți despre drepturi civile digitale din România si nu numai, puteți urmări canalul de anunțuri de pe Telegram sau informațiile publicate pe site prin RSS.
Add new comment