Gregor Cerar

20. 7. 2007  |  Mladina 28  |  Politika

Nadzoru ni mogoče uiti

Dr. Matej Kovačič iz Centra za raziskovanje javnega mnenja in množičnih komunikacij na FDV, strokovnjak za vprašanja zasebnosti in nadzora v virtualnem prostoru

© Miha Fras

Če govorimo o pravici do zasebnosti, je treba vedeti, da zasebnost ni neka absolutna pravica. V primeru kriminalne dejavnosti ali pri vprašanju varnosti so posegi v zasebnost lahko upravičeni. Bistveno pa je, da so posegi zakoniti in da jih ni preveč. Problem pri elektronskih tehnologijah je v tem, da totalitarni režimi včasih niso imeli tehnologije, da bi na tako lahek način spremljali komunikacije, saj ljudje niso uporabljali interneta ali mobilnih telefonov. Dosjeji so sicer obstajali, a v papirnati obliki, in iskanje po njih je bilo razmeroma zamudno. Danes baze podatkov omogočajo preprosto povezovanje in iskanje podatkov. Največja težava poseganja v zasebnost je, da je nadzor postal preobsežen.

Za to so krive nove tehnologije?

Smo uporabniki tehnologij, ki se dajo lahko nadzorovati, in temu se težko izognemo. Z mobilnimi telefoni se beležijo tako podatki o klicih kot lokacija uporabnika. Lahko ga nehamo uporabljati, vendar bi se težko znašli brez njega. Lahko nehamo uporabljati tudi plačilne kartice, toda potem moramo neprestano hoditi v banko. Če se hočemo izogniti videonadzoru, ne smemo v nakupovalne centre ali v center Ljubljane. Dejansko se težko izognemo temu, da ne bi bili zabeleženi v kakšni bazi. Posledice takega “izstopa” lahko vidimo na primeru “izbrisanih”. Ker niso registrirani v praktično nobeni bazi podatkov, tudi nimajo nobenih pravic. Lahko jih deportirajo, nimajo zdravstvenega varstva itd. Problem je namreč v tem, da so danes socialne, zdravstvene, državljanske in druge pravice vezane na neko obliko nadzora.

Ali obstaja učinkovit način, kako se izogniti najrazličnejšim vrstam?

Nadzoru se je v popolnosti nemogoče izogniti. Na internetu, s tem sem se nekoliko več ukvarjal, obstajajo dobri načini, kako zavarovati računalnik in internetne komunikacije. Težko pa se je izogniti beleženju prometnih podatkov, recimo beleženju obiskanih spletnih strani ali uporabe iskalnikov. Obstajajo sistemi za anonimizacijo, npr. omrežje Tor, vendar jih uporablja malo ljudi, poleg tega so ti sistemi še v razvojni fazi. Hkrati so vsi tisti, ki uporabljajo bolj napredne zaščitne sisteme, avtomatično označeni za sumljive, češ, ker se hočejo izogniti nadzoru, gotovo želijo kaj slabega skriti. Res je, anonimizacijo in šifriranje lahko uporabljajo tudi kriminalci. A to je podobno kot z rokavicami. Uporabimo jih lahko za to, da preprečimo okužbe in poškodbe, lahko pa jih uporabijo tudi vlomilci, da ne pustijo prstnih odtisov.

Prisluhe in nadzore vršijo različni državni represivni organi. Koliko pa nas na internetu nadzirajo velike korporacije?

Zbiranje osebnih podatkov je velik posel, saj so podatki o potrošnikih za podjetja zelo dragoceni. V zameno za osebne podatke podjetja ponujajo številne ugodnosti, a pridobljeni podatki so za njih vredni bistveno več. Na tem področju se ameriška in evropska zakonodaja precej razlikujeta. V Evropi je to področje vsaj v teoriji razmeroma dobro regulirano, saj je pri zbiranju in obdelavi osebnih podatkov treba spoštovati določena pravila. V praksi se vsi primeri kršitev seveda ne dajo odkriti, toda evropske države imajo posebne organe, ki se s tem področjem profesionalno ukvarjajo, zato je to vsaj minimalno urejeno. V ZDA pa so razmere precej drugačne, saj imajo posamezniki v zvezi z osebnimi podatki bistveno manj pravic kot v Evropi, zaradi nižje stopnje regulacije pa prihaja do številnih zlorab. Pravzaprav sta 20. in 21. stoletje obdobje obveščevalne dejavnosti v smislu avtomatičnega pridobivanja, analize in interpretacije informacij. Države uporabljajo obveščevalne dejavnosti zaradi identificiranja varnostnega tveganja, saj poskušajo najti kriminalce in teroriste. Podjetja pa prav tako uporabljajo obveščevalno dejavnost, in sicer za identificiranje priložnosti in odkrivanje idealnega potrošnika. Kljub temu da naša družba pristaja na vedno večji nadzor, bi bila javnost najbrž precej bolj skeptična, če bi tako obsežne zbirke podatkov, kot jih imajo korporacije, imela policija ali vlada. Dejansko imajo internetne korporacije ogromne zbirke podatkov, o spletnih straneh, ki jih obiskujemo, kaj na internetu iščemo, s kom si dopisujemo itd. Ljudem se zdi veliko bolj sprejemljivo, če ima takšne podatke neko podjetje kot pa tajna služba. Toda to ne pomeni, da država nima dostopa do teh podatkov.

Država bi lahko podjetja izsiljevala ali sklenila kakšen dogovor, kaj jim da v zameno za dostop do njihovih zbirk podatkov.

V ZDA primer takšnega sodelovanja razkriva tožba organizacij za elektronske svoboščine proti telekomunikacijskim podjetjem, ki so tajni službi NSA nezakonito omogočili dostop do podatkov o ameriških uporabnikih telefonije in interneta. Znani so tudi primeri kitajskih oporečnikov, ki so jih identificirali in zaprli na podlagi podatkov, ki so jih kitajske oblasti pridobile od ameriških korporacij, na primer podjetja Yahoo. Tudi Google se je v preteklosti že uklonil cenzorskim pritiskom Kitajske, znan pa je tudi primer, ko so v ZDA na podlagi iskalnih nizov, ki jih je vpisal v iskalnik Google, obtožili nekega hekerja.

Kako je s tem v Evropi? Tu ni tako močnih organizacij borcev za elektronsko svobodo.

Mogoče zato, ker imamo profesionalne organe za varstvo osebnih podatkov. V Sloveniji je bilo sicer do sprejema EU-direktive o hrambi prometnih podatkov, na podlagi katere je bil decembra 2006 spremenjen Zakon o elektronskih komunikacijah, prepovedano hraniti prometne podatke. Sam pa imam kar nekaj podatkov, da so se ti podatki vseeno hranili in so bili celo uporabljeni v sodnih postopkih. Ljudje so bili na podlagi zbranih podatkov - po mojem mnenju so bili zbrani nezakonito - tudi obsojeni. Nekateri ponudniki dostopa do interneta imajo tudi več let shranjene prometne podatke. Starega zakona o elektronskih komunikacijah, ki je hrambo teh podatkov prepovedoval, številni operaterji niso spoštovali, nezakonito zbrani podatki pa so se celo uporabljali kot dokazno gradivo na sodiščih.

Očitno celoten pravni sistem od odvetnikov, tožilcev do sodnikov ni poznal zakonodaje in vedel, da jo celo krši. V nekaj zelo odmevnih sodnih procesih, kot sta Makoter ali Brkič, so bili med ključnimi dokazi tudi telekomunikacijski podatki.

Najbrž je problem v tem, da številni odvetniki zelo dobro poznajo kazensko zakonodajo, ostalo pa verjetno malce manj. Tu gre konec koncev za zelo specifične zadeve, pri katerih je potrebno tudi poznavanje tehnologije, ki je pravniki ne poznajo dovolj. Tu se vidi, zakaj so pomembni organi, kot je informacijski pooblaščenec, ki združuje strokovnjake iz področja prava in tehnologije. Pravzaprav se je šele po sprejemu evropske direktive začelo razmišljati o tem, da je bilo zbiranje prometnih podatkov nezakonito.

Direktiva je nekakšna dediščina 11. septembra. Toda zdaj naj bi shranjene podatke uporabili za vsa kazniva dejanja, za katera je zagrožena kazen več kot dve leti zapora.

EU je to pripravljala že vsaj od leta 1996 in 11. september je pravzaprav samo priročen izgovor. Predlogi za povečanje nadzora in mednarodno sodelovanje na tem področju so bili pripravljeni že pred 11. septembrom. Seveda je razumljivo, da si represivni organi želijo čim več nadzora. A politika in javnost bi do takih tendenc morali zavzeti neko distanco in “apetite” represivnih organov omejiti. Problem je, ker se nadzorovalna tehnologija lahko obrne tudi proti državi. Obstoječo nadzorovalno tehnologijo, ki je bila vzpostavljena za namene zakonitega nadzora, namreč lahko zlorabijo tudi kriminalne združbe. Tipična primera sta bili prisluškovalni aferi v Grčiji in Italiji. Telefonske centrale imajo celo vrsto funkcionalnosti za izvajanje prisluhov. V Grčiji je napadalcem - verjetno je šlo za kakšno tajno službo, lahko pa tudi za kriminalno združbo - uspelo izrabiti varnostno ranljivost v modulu telefonske centrale, namenjene zakonitemu prisluškovanju. Več kot pol leta so prisluškovali okoli 100 politikom, med drugim tudi predsedniku vlade.

ZDA so sprejele Digitaly Telephony Act, po katerem bi morali proizvajalci opreme puščati neke varnostne luknje zaradi nadzora.

Zakon je bil sprejet leta 1994 in je zahteval, da ima vsaka nova telefonska centrala vgrajen vmesnik za priklop. Ta tehnologija je zasnovana za izvajanje nazora.

Pri nas celo parlamentarci opozarjajo, da nam grozi kiberterorizem. Ali gre zgolj za še en mit ali obstaja resna grožnja?

Izraz kiberterorizem je nekoliko problematičen. Teror je hudo nasilje, hudega nasilja pa praviloma ni mogoče izvajati prek interneta. Če kdo ostane brez elektronske pošte, ker je napadalec sesul poštni strežnik, to ni ravno hudo nasilje. Znanih pa je nekaj primerov, ki bi lahko asocirali na to. Leta 2001 je bil izveden napad z onemogočanjem storitve na pristanišče v Houstonu, ta je onemogočil delovanje sistema za vodenje ladij in bi lahko prišlo do nesreče. V ZDA je nekdo naredil virus, ki je klical na številko 911, številko za klic v sili, in s tem sprožil ogromno lažnih klicev. V takem primeru morda pomoči ne bi mogel priklicati kdo, ki bi jo nujno potreboval. Znan je tudi primer, ko je računalniški črv Slammer ohromil računalniški sistem v jedrski elektrarni v Ohiu. Na srečo je bila elektrarna ravno v remontu, pa tudi sicer je imela podvojen ločen nadzorni sistem. A ti primeri nakazujejo, da bodo kibernetični napadi nekoč morda postali resna grožnja. Trenutno pa je problem kiberterorizma v tem, da teroristi prek interneta novačijo mladino in zbirajo sredstva.

V preteklosti ste se ukvarjali tudi s Sovo in prisluhi. Hoteli ste dobiti uradne podatke, koliko prisluhov je na leto opravila Sova.

Ob sprejemu Zakona o dostopu do podatkov javnega značaja sem prebiral katalog zavezancev. Ugotovil sem, da Sove ni v njem. Na eno izmed ministrstev sem poslal vprašanje, zakaj v katalogu ni Sove, saj se mi je ob prebiranju zakona zdelo, da bi morala biti navedena. Odgovor me je presenetil. Dejali so, da je Sova sama izrecno zahtevala, da jo umaknejo iz kataloga. To naj bi bilo nezakonito, toda sprejeta je bila “politična” odločitev, da se Sova ne navede. Ko sem delal doktorat, sem želel dobiti statistične podatke o letnem številu uporabljenih posebnih ukrepov s strani Sove. Zahtevo za dostop do informacij javnega značaja sem poslal Sovi in predsedniku vrhovnega sodišča, ki Sovi daje odredbe za izvedbo ukrepov. Sova je zahtevi delno ugodila in je posredovala podatke o številu javnih naročil in številu nakupov specialne opreme. Podatkov o številu prisluhov pa niso hoteli posredovati, saj naj bi ti podatki ogrozili nacionalno varnost. Zahtevo je zavrnilo tudi vrhovno sodišče. Napisal sem pritožbo, vendar je pooblaščenka za dostop do informacij javnega značaja pritožbo zavrnila. Dlje nisem šel.

Tuje tajne službe, recimo nemška, nimajo težav z javno objavo takšnih podatkov.

Policija mi je brez problemov posredovala vse podatke, tudi podatke o prisluhih. Nisem pričakoval, da mi bo Sova posredovala podatke o konkretnih primerih. Smiselno pa se mi zdi, da bi bili v demokratični družbi javnosti dostopni neki splošni statistični podatki, s katerimi bi se dali videti določeni trendi. Na primer, ali je bilo po 11. septembru več prisluškovanja ali ne. Ali Sova sploh opravlja z zakonom predpisane naloge ali ne ... Teh podatkov takrat Sova ni želela posredovati, hkrati pa smo pred kratkim v času afere Sova v časopisih vsak dan lahko prebirali informacije, katerih javna objava lahko resno ogrozi njeno delovanje. Glede nadzora nad tajnimi službami sem mnenja, da bi bilo treba ustanoviti neki poseben strokoven organ za nadzor tajnih služb, podoben varuhu človekovih pravic, ki bi imel zaposlene pravne, tehnične in varnostne strokovnjake. Zgolj parlamentarni nadzor se mi ne zdi zadosten.

Parlamentarci so politiki, žal strokovno šibki.

Vprašanje je, ali so poslanci dovolj strokovno usposobljeni za izvedbo nadzora. Hkrati je tudi vprašljivo, ali se bodo trdno držali zaveze molčečnosti. Profesionalci bi lahko imeli večja pooblastila in zadev bi se lotevali bistveno bolj strokovno. Afera Sova je lepa priložnost, da se izboljša zakonodaja, ki opredeljuje nadzor nad delovanjem tajnih služb. Toda mislim, da bo ta priložnost izpuščena, predvsem zaradi pomanjkanja pravega interesa po učinkovitem nadzoru, žal pa tudi zaradi nerazumevanja tega področja.

Na drugi strani pa prihaja do raznih zavajanj celo iz vlade, da Sova recimo ne sme prisluškovati slovenskim državljanom.

Novela Zakona o Sovi, sprejeta pred letom dni, Sovi omogoča, da lahko ob določenih pogojih prisluškuje telefonskim pogovorom in nadzira elektronsko pošto do dve leti. Prejšnji zakon je to obdobje omejeval na največ šest mesecev. Zanimivo pa je, da je ravno vlada najprej predlagala celo popolno odpravo časovne omejitve, opozicija je 10. maja lani vložila dopolnilo, ki naj bi čas nadzora omejil na leto dni, a so koalicijski poslanci menili, da je ta rok prekratek, in čas nadzora podaljšali na 24 mesecev. Razlika med prisluškovanjem policije in Sove je predvsem v tem, da je nad policijo bistveno več sodnega nadzora. Konec koncev se policijska preiskava konča na sodišču ali na tožilstvu. Osumljenec tako naknadno izve za nadzor in za razloge zanj. Pri tajnih službah pa ti podatki navadno “izginejo” v arhivih. Tudi način pridobivanja odredbe za prisluhe je pri policiji in Sovi različen. Pri delovanju tajnih služb je vedno neko sivo polje. In v tem polju se lahko dogajajo zlorabe.

Prav tako pa tudi ni omejitev glede tehnologije, ki jo lahko uporablja. Tako kot v primeru mobilne prisluškovalne naprave.

Pri mobilni napravi je problem v tem, da mora Sova še vedno pridobiti odredbo za prisluškovanje. Ker pa za uporabo mobilne prisluškovalne naprave ni potrebno sodelovanje operaterja, se pojavi vprašanje, kaj operativcem Sove preprečuje, da bi napravo uporabili brez odredbe.