Niebezpiecznik

W niektórych mediach panika! W artykułach piszą, że

“nowe prawo daje aż 10 różnym służbom (…) szeroki dostęp do (…) przesyłanej korespondencji, np. za pomocą komunikatorów internetowych.”

Niektórzy znani dziennikarze idą jeszcze dalej i piszą, że ustawa

“daje służbom prawo wglądu w naszą komunikację na poziomie dotychczas nieznanym. W tym w całą komunikację prowadzoną za pomocą komunikatorów.”

Czy faktycznie? Przejrzeliśmy finalną wersję ustawy, abyście Wy nie musieli, ale już teraz krótki spoiler: nie, cytowane wyżej wypowiedzi dziennikarzy zawierają informacje nieprawdziwe.

Gdzie jesteśmy i dokąd zmierzamy?

Sejm pracuje obecnie nad Prawem Komunikacji Elektronicznej, który zastąpi istniejące dotychczas Prawo telekomunikacyjne. Konieczność stworzenia nowej ustawy wynika z konieczności wdrożenia do polskiego prawa dyrektywy Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r. ustanawiającej Europejski kodeks łączności elektronicznej (w skrócie EKŁE).

Prace nad ustawą trwają od dawna i już w styczniu 2023 roku poświęciliśmy nowemu prawu obszerny artykuł, który prostował pewne dezinformacje, które pojawiały się wtedy na temat PKE w dyskusji publicznej. Teraz znów trzeba to zrobić, bo jesteśmy na “ostatniej prostej” i — jak to zwykle bywa — niektórzy siedli do lektury PKE po raz pierwszy i trochę się w jego zapisach pogubili (co rozumiemy, bo nie jest to łatwa lektura), część terminów źle zrozumieli (wydaje nam się, że niektórzy z “bijących na alarm” nie odróżniają np. słowa “komunikat” od “komunikator”) i dlatego, mając zapewne dobre intencje, wyciągnęli niestety błędne wnioski.

Skupmy się na Art. 43, bo to wokół niego rozpętała się w weekend burza. Artykuł brzmi tak:

Ten przepis dotyczy obowiązku przedsiębiorcy telekomunikacyjnego, który ma zapewnić po swojej stronie warunki techniczne do utrwalenia oraz udostępnienia danych abonentów oraz “komunikatów elektronicznych” przesyłanych przez użytkownika końcowego. Kluczowe jest to, aby dobrze zrozumieć czym jest “komunikat elektroniczny”. Oto jego definicja:

każda informacja wymieniana lub przekazywana między określonymi użytkownikami za pośrednictwem publicznie dostępnych usług komunikacji elektronicznej;

Nie brzmi to dobrze, prawda? Ale… podobny zapis funkcjonuje od lat w obecnym Prawie telekomunikacyjnym — chodzi o Art. 179 ust. 3, który mówi iż:

Przedsiębiorca telekomunikacyjny, z zastrzeżeniem ust. 12 pkt 2, jest obowiązany do:
1) zapewnienia warunków technicznych i organizacyjnych dostępu i utrwalania, zwanych dalej „warunkami dostępu i utrwalania”, umożliwiających jednoczesne i wzajemnie niezależne:
a) uzyskiwanie przez Policję, Biuro Nadzoru Wewnętrznego, Straż Graniczną,.. (itd. tutaj wymieniane są służby – przyp. red), zwane dalej „uprawnionymi
podmiotami”, w sposób określony w ust. 4b, dostępu do:
– przekazów telekomunikacyjnych, nadawanych lub odbieranych przez użytkownika końcowego lub telekomunikacyjne urządzenie końcowe,
– posiadanych przez przedsiębiorcę danych związanych z przekazami telekomunikacyjnymi, o których mowa w ust. 9, art. 159 ust. 1 pkt 1 i pkt 3–5,

W obecnie funkcjonującej ustawie termin “przekaz telekomunikacyjny” oznacza

“treści rozmów telefonicznych i innych informacji przekazywanych za pomocą sieci telekomunikacyjnych“

Czy to jest naprawdę mniej “straszne” niż przytoczona wyżej, definicja nowowprowadzanego terminu “komunikat elektroniczny”? Czy może po prostu autorzy bijących na alarm publikacji nie mieli świadomości jak sytuacja wygląda w aktualnie obowiązującym prawie?

Mogło być o wiele gorzej, ale znów odrzucono poprawki MON-u

Co ciekawe, Ministerstwo Obrony Narodowej chciało, żeby było “szerzej” niż dotychczas. Ministerstwo miało uwagi do art. 43 proponując zastąpienie terminu “przedsiębiorca telekomunikacyjny” terminem „przedsiębiorca komunikacji elektronicznej” co oznaczałoby, że pod PKE podlegaliby też dostawcy poczty elektronicznej oraz producenci komunikatorów. Zgłoszone do Art. 43 przez MON poprawki (podkreślmy, że odrzucone), tłumaczono tak:

Zawarte w projekcie PKE rozgraniczenie terminologiczne pojęć „przedsiębiorcy telekomunikacyjnego” (art. 2 pkt 40 projektu PKE) oraz „przedsiębiorcy komunikacji elektronicznej” (art. 2 pkt 39 projektu PKE), które w drugim przypadku obejmuje przedsiębiorcę telekomunikacyjnego lub podmiot świadczący publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującą numerów, powoduje, że przewidziane w szczególności przez art. 43 projektu obowiązki w zakresie zapewnienia dostępu do wymienionych w tym przepisie informacji przesyłanych lub powstałych w ramach świadczonej publicznie dostępnej usługi telekomunikacyjnej ograniczone zostały jedynie do przedsiębiorców telekomunikacyjnych. Nie będą one natomiast dotyczyły podmiotów świadczących publicznie dostępną usługę komunikacji interpersonalnej niewykorzystującej numerów. Skutkiem przyjęcia projektowanego brzmienia jest niezasadne wyłączenie usługodawców komunikacji interpersonalnej niewykorzystującej numerów, z katalogu podmiotów, na które projektowana ustawa nakłada zadania i obowiązki na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego.

Ten pomysł MON-u nie powinien dziwić tych, którzy pamiętają nasz artykuł z 2023 na temat “wrzutki” MON-u do Ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Mocno polecamy lekturę tamtego artykułu, bo daje ona ważne tło dla proponowanych aktualnie przez MON zmian. MON już wtedy chciał mieć dostęp do pewnych dodatkowych danych od administratorów skrzynek pocztowych i producentów komunikatorów. Ale wtedy nie wyszło. A teraz? Teraz też nie wyszło :)

Podsumowując: MON chciało zmiany definicji w PKE tak, aby ustawa pozwalała na zbieranie danych także od dostawców usług komunikatorów elektronicznych i skrzynek pocztowych, a nie tylko dostawców usług telekomunikacyjnych (operatorów). Ale uwagi MON-u nie zostały zaakceptowane. Czyli art. 43 faktycznie mógłby dawać służbom szersze uprawnienia, ale do tego nie doszło.

Art. 43 przyglądało się wielu…

Artykuł 43 w brzmieniu podobnym jak dziś był zaproponowany już w projekcie datowanym na 22 lutego tego roku i był poddawany uzgodnieniom, konsultacjom i opiniowaniu. W konsultacjach wzięła udział m.in. fundacja Panoptykon, która nie miała uwag do artykułu 43. Miała natomiast uwagi do artykułu 47 dotyczącego retencji danych (ale to materiał na inne rozważania).

Swoje uwagi do ustawy zgłaszał też UODO, jakby nie patrzeć organ bardzo zainteresowany kwestią prywatności. UODO miał uwagi również do art. 47 i kilku następnych, ale nie do art. 43.

Czy eksperci obu tych zacnych organizacji zostali przekupieni przez rząd? Czy możemy już mówić o spisku? A może jednak w temacie danych, do których dostęp będą miały służby na mocy PKE, wiele się nie zmienia i nowe prawo niczego tak strasznego jak twierdzą niektórzy dziennikarze nie wprowadza?

Zapytaliśmy o opinię prawnika, Wojciecha Klickiego, z Panoptykonu, czyli organizacji, która od lat patrzy władzy na ręce skupiając się na obronie naszego prawa do prywatności. Organizacji, która skrupulatnie przejrzała zapisy nowego prawa. Oto wypowiedź Wojciecha:

prawo tworzy system i nie można czytać jednego przepisu w oderwaniu od pozostałych. Nie mylmy obowiązku nakładanego na firmy w Prawie komunikacji elektronicznym z uprawnieniami, jakie mają służby. A bez zmian pozostają przepisy tzw. ustaw kompetencyjnych (np. ustawa o policji), które określają zasady, na jakich służby mogą uzyskiwać dostęp do treści. Wciąż sąd będzie musiał wyrazić zgodę na dostęp do treści.

Czy nowe prawo pozwala na większą inwigilację niż dotychczas?

Wojciech Klicki podsumowuje to tak:

Ustawa nie pozwala na większą inwigilację, niż miało to miejsce dotychczas.

Prawnik dodaje jednak, że powyższe nie oznacza, że problemów z PKE żadnych nie ma. Zwraca uwagę, że Europejski Trybunał Praw Człowieka w wyroku z 28 maja 2024 r. (ze skargi m.in. właśnie Wojciecha Klickiego) stwierdził, że sądy nie sprawują realnej kontroli nad tym, co robią służby. Według Klickiego zmian wymagają nie tylko zasady dotyczące retencji danych telekomunikacyjnych, ale też zasady kontroli nad tym, jak sądy wyrażają zgody na kontrolę operacyjną. Ale — to już nasza opinia — brak mechanizmów kontrolnych działań służb dotyczy zarówno starego jak i nowego prawa.

Podsumowując:

• Art 43. ustawy Prawo Komunikacji Elektronicznej, wbrew twierdzeniom niektórych dziennikarzy w niektórych artykułach, nie pozwala na większą inwigilację przez służby niż miało to miejsce dotychczas.
• Aktualnie, jeśli służby chcą skorzystać z dostępu do treści użytkowników, muszą posiadać zgodę sądu i po wejściu w życie PKE dalej taka zgoda będzie wymagana.
• Nowe prawo nie jest idealne i jeśli chcemy znaleźć w nim problem, to będzie to brak poprawnej kontroli nad służbami w zakresie tzw. “kontroli operacyjnej”. Ale jest jeden problem z tym problemem dla krytyków obecnej ustawy — ten brak poprawnej kontroli dotoczy zarówno nowej jak i starej wersji prawa telekomunikacyjnego…
• PKE nie pozwoli służbom na czytanie wiadomości, które wymieniacie przez komunikatory ze znajomymi i nawet jakby prawo nakładało na operatorów nagrywanie ruchu dotyczącego komunikatorów, to większość (wszystkie?) korzystają z szyfrowania end-to-end, co oznacza, że w przechwyconym ruchu i tak nie znalazłyby się treści rozmów. Aby je pozyskać, służby musiałyby uzyskać dostęp do urządzenia jednego z rozmówców (PKE tego nie reguluje) albo skorzystać z backdoora/luki w kodzie komunikatora (PKE też tego nie reguluje) lub dysponować olbrzymią mocą obliczeniową, która złamie szyfrowanie (zgadliście, PKE też tego nie reguluje).  
  Na koniec, warto przypomnieć, że niektóre z komunikatorów (nawet tych szyfrowanych!) przechowują metadane na Wasz temat. To znaczy, że mogą na pytanie służb odpowiedzieć kiedy, z kim, jak długo i jak często rozmawialiście. Ale już nie powiedzą o czym, choć to nie zawsze będzie miało dla służb znaczenie, jeśli rozmawiacie np. z terrorystą. Dlatego warto wybierać komunikatory, które nie mają możliwości pozyskania metadanych, a dla większej prywatności, ustawić automatyczne kasowanie wiadomości.