25.11.2016
Анонимизиращите мрежи и националната сигурност: Къде е границата на личното пространство? (част 2: Правни аспекти)
Продължение от "Анонимизиращите мрежи и националната сигурност: Къде е границата на личното пространство? (част 1: Технологични аспекти)"
Правните проблеми, свързани с използването на анонимизиращи мрежи като Tor и други услуги, обхващат няколко категории проблеми, както следва:
- дейностите на правителствата, свързани с Tor, и опазването на националната сигурност;
- използването на анонимизиращи мрежи за защита на основните човешки права;
- отговорност на операторите за съдържанието, което преминава през изходните точки в Tor мрежата;
- наблюдаване и следене на изходните точки в Tor мрежата.
Опазването на националната сигурност
Анонимизиращите технологии се използват от гражданите за ефективно упражняване на правото им на лично пространство при използване на публични мрежи като Интернет. Подобни технологии обаче представляват интерес и за други субекти – от държави до организирани престъпни групи.
ЕВРОПОЛ посочва, че през 2014 г. около 27 уебсайта са свалени от мрежата Tor. [1] Не е известна публично достъпна информация относно това по какъв начин разследващите органи са успели да „пробият“ Tor и да разкрият самоличността на потребителите зад тези скрити услуги. Посочва се, че методите не се разкриват поради тяхната „чувствителност“ и поради обстоятелството, че сървърите се намират в чужди държави, което очевидно е наложило достъп до тях, който може и да не е бил законосъобразен.
Така се поставя въпросът къде националната сигурност оправдава използването на средства за разследване по незаконосъобразен начин. В контекста на международното право, ако една държава получи достъп до сървъри, които се намират на територията на друга държава, и ги премахне, подобно действие би трябвало да се основава най-малкото на съгласието на тази чужда държава, дадено съгласно правилата на международното право, било конвенционно, било по силата на международен обичай. Във всеки друг случай подобно действие би следвало да се окачестви като нарушаване на суверенитета на една чужда държава.
Все по-често националните правоохранителни и разследващи органи и агенциите за национална сигурност използват Tor като инструмент за разследване и разузнаване. Проектът Tor изброява на официалната си уеб страница най-честото срещаните случаи на използване на Tor от подобни органи. [2] В обобщен вид това са дейности по:
наблюдение и следене на електронните съобщения, което включва проследяване на подозрителни уебсайтове и услуги, което се осъществява при пълна анонимност без оставяне на следи. Напр., ако администраторът на нелегален сайт за онлайн залагания засече заявки от правителствени IP адреси в лог файловете на сървърите, от които се предоставя достъп до този сайт, дейностите по разследване биха могли да бъдат възпрепятствани;
тайни операции, коитовключватразследваневИнтернет, доколкото появата на съобщения от IP адрес на полицейско управление компрометира сериозно всяко прикритие;
напълно анонимни „горещи линии“ за подаване на сигнали, които, макар и популярни, са значително по-малко полезни без използването на анонимизиращи технологии. Източниците на такива сигнали си дават сметка, че макар към техния сигнал да не се прикрепя идентифицираща ги информация, лог файловете от сървъра могат да ги идентифицират много лесно.
Tor се използва от държавите като средство за провеждане на разследвания, разузнавателни дейности и инфилтриране. Това е видно и от скорошното премахване на Silk Road 2.0 (нелегален онлайн пазар за наркотични вещества), който съществуваше в мрежата Tor.
Правните въпроси, които подобно използване на анонимизиращи технологии поражда, могат да се формулират по следния начин: дали съществуват ограничения в използването на подобни средства от разследващи и разузнавателни органи за събиране на доказателства и ако данните, достъпни чрез Tor или в самата Tor мрежа, се смятат за публично достъпни, дали има ограничения при тяхната обработка.
Рамката за дейностите на правоохранителните и разузнавателните органи се урежда в националното право на отделните държави и режимът може да разкрива големи разлики между тях. Този извод се отнася с пълна сила до събирането на електронни доказателствени средства, които пораждат трудни въпроси пред националното процесуално право. Използването на Tor за събиране на доказателствени средства от страна на разследващите органи в редица държави би представлявало нарушаване на действащия наказателно-процесуален ред.
В България според Наказателно-процесуалния кодекс (НПК) доказване може да се осъществява само чрез изрично изброените в чл. 136, ал. 1 от НПК способи на доказване, сред които попадат разпит, експертиза, оглед, претърсване, изземване, следствен експеримент, разпознаване на лица и предмети и специални разузнавателни средства. Един от проблемите при всеки един от изброените способи за доказване, с изключение на разпита, експертизата и специалните разузнавателни средства, е изискването за осигуряване на поемни лица съгласно чл. 137 от НПК. При използването на анонимизиращи способи разследващият орган извършва дейност, при която той не идентифицира себе си като орган на досъдебното производство, а и няма как да бъдат осигурени поемни лица при дейност, която предполага по дефиниция анонимността на разследващия орган и се осъществява онлайн. В този смисъл, ако се приеме, че разследващата дейност посредством Tor мрежата има характера на претърсване и изземване на компютърни информационни данни, то същата следва да се извършва в присъствието на лицето, което използва помещението, или на пълнолетен член на семейството, на поемни лица и на технически помощник (арг. от чл. 162, ал. 1 вр. с чл. 162, ал. 6, вр. с чл. 163, ал. 6). Очевидна е празнотата в уредбата по отношение на събирането на електронни доказателствени средства и тя не може и не следва да бъде запълнена по тълкувателен път.
По-различно стои въпросът със специалните разузнавателни средства като способ на доказване в наказателния процес. Бидейки извънредна мярка, при която се ограничават неприкосновеността на личността и жилището и тайната на кореспонденцията и на другите съобщения, използването на специални разузнавателни средства би могло да се разгледа във връзка с дейности на компетентните органи по разследване в мрежата Tor.
Съгласно разпоредбата на чл. 2, ал. 2 във връзка с чл. 2, ал. 1 от Закона за специалните разузнавателни средства (ЗСРС) специалните разузнавателни средства могат да са технически средства и оперативни способи за прилагането им. Техническите средства са определени като електронни и механични съоръжения, както и вещества, които служат за документиране на дейността на контролирани лица и обекти. Оперативните способи пък са наблюдение, подслушване, проследяване, проникване, белязване и проверка на кореспонденцията и компютризираната информация, контролираната доставка, доверителната сделка и разследването чрез служител под прикритие. Разпоредбата на чл. 4 от ЗСРС пък предвижда, че специални разузнавателни средства по реда на този закон могат да се прилагат и за дейности, свързани със защитата на националната сигурност. Осъществяването на наблюдение, подслушване, проверка на кореспонденция и компютризирана информация са все способи, които могат да бъдат приложени посредством използване на мрежата Tor. Доколкото законът запазва технологична неутралност и не определя изрично техническите средства, които могат да се използват, мислима е хипотезата, в която се прилагат подобни разузнавателни средства. Въпреки това, следва да се държи сметка на обстоятелството, че поради анонимния характер на мрежата затрудненията при доказването ще дойдат както от посока на това, че обвиняемият или подсъдимият ще оспорва достоверността на събраните доказателства и факта, че те действително са свързани с осъществявана от него дейност, но също и от посока на това, че компетентният орган ще срещне затруднения да удостовери, че събраните доказателства действително се отнасят до лицето, за което се подозират обстоятелствата по чл. 12 от ЗСРС.
Налага се изводът, че при хипотезите на специални разузнавателни средства е мислимо използването на анонимизиращи технологии от страна на разследващите и разузнавателните органи с цел постигане на целите на разследването – пресичане, предотвратяване и разкриване на престъпления. В този смисъл ограничаването на личното пространство и на някои основни човешки права е допустимо, но само и единствено доколкото е съобразено с рамката, предоставена от действащото законодателство.
Доколкото мрежата Tor се разглежда в контекста на наказателния процес като източник на разузнаване с отворен код (Open Source Intelligence, OSINT), би трябвало да се вземат предвид и някои съображения от гледна точка на обработването на лични данни. Макар и Tor да се използва за анонимизиране на потребители, а техните IP адреси да са скрити зад видимите адреси на изходните точки и следователно техните личните данни да не са публично достъпни до всички, това не изключва съхраняването на лични данни в бази данни, които се използват от скритите услуги на Tor. Тези данни могат да включват имена, адреси, телефонни номера, данни за кредитни карти, лични осигурителни номера. Типичен пример за това е скритата услуга Doxbin. [3]
Разпоредбата на чл. 32, б. „а" от Конвенцията за престъпления в кибернетичното пространство на Съвета на Европа предвижда, че една страна може, без да има разрешение от друга страна, да има достъп до съхранявани общодостъпни компютърни данни (отворен код) независимо от географското местонахождение на тези данни. Освен ако в националното право не е предвидено друго, правоохранителните и разследващите органи могат да получат достъп до същите данни, които са публично достъпни и, в случай че е необходимо за дадената цел, да се впишат или регистрират за публично достъпни услуги. Според някои анализатори [4] достъпът до материали с отворен код за целите на наказателното разследване се установява като общоприета практика. Доколкото Tor представлява свободно предоставяна услуга с отворен код и е публично достъпна, тази разпоредба би следвало да намери приложение и по отношение на дейностите по разследване, които включват използването на Tor за събиране на доказателствени средства.
По този въпрос съществува и друго гледище, [5] според което фактът, че определена информация е публично достъпна, не означава липса на ограничения при обработването на такива данни. Такива ограничения могат да произтичат от средствата и обема на събраните данни. Автоматизирането на разузнаването с отворен код създава заплахи за правото на лично пространство и по тази причина се налага и препоръчва законодателното му уреждане по начин, който да информира в достатъчна степен гражданите за подобни възможности. Достатъчно е да се разгледа ситуацията, в която автоматизирани средства за обработване на лични данни се използват чрез Tor или пък са насочени към скрити услуги в тази мрежа, за да се разбере необходимостта от законодателно уреждане на обработването на лични данни от системи с подобни възможности за търсене и намиране.
Доколкото използването на Tor от органите на досъдебното производство и на разузнаването може да включва обработването на лични данни, напр. получаване на достъп до данни извън обхвата на разследването и на лични данни, съхранявани от скрити услуги, следва да се държи сметка, че тези органи ще трябва да се съобразяват с правилата на действащото законодателство за защита на личните данни съгласно разпоредбите на чл. 1, ал. 5, т. 1-5 от българския Закон за защита на личните данни (ЗЗЛД).
Въпросът придобива още по-голяма актуалност и във връзка с предстоящото реформиране на режима за защита на личните данни в рамките на Европейския съюз. Макар и не специфично поставени в контекста на мрежата Tor, някои проблеми неизменно ще намерят проявление и в нея. Реформата ще окаже влияние върху дейността на разследващите органи, включително върху възможността за провеждане на разследване посредством Tor, когато същото включва обработването на лични данни. [6] В този смисъл независимо от обстоятелството, че тези органи може да използват Tor за анонимен достъп до определени уебсайтове или услуги, разпоредбите на законодателството за защитата на личните данни ще намери приложение.
Нещо повече, още с подписването на Лисабонския договор ясно изпъкна желанието за закрепване на принципа, според който защитата на личните данни се прилага наравно и по отношение на полицейското и съдебното сътрудничество на наказателноправни въпроси. Предвижда се предложението за Общ регламент относно защитата на личните данни [7] да бъде допълнено от предложение за директива на Европейския парламент и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказателни санкции и относно свободното движение на такива данни. [8] Предложението е във връзка с проблемите, породени от прилагането на Рамково решение 2008/977/ПВР на Съвета относно защитата на личните данни, обработвани в рамките на полицейското и съдебно сътрудничество по наказателноправни въпроси, доколкото последното представлява инструмент с „ ограничен обхват и различни други празноти, които често водят до правна несигурност за отделните лица, както и за разследващите органи, а и практически проблеми при прилагането ”. [6] След евентуалното й приемане, тази проектодиректива ще служи като основен инструмент, уреждащ обработването на личните данни за целите на разследването.
Ако до момента разследващите органи остават встрани от сянката на правилата на ЕС за обработване на лични данни, с приемането на тази директива ще се породят редица нови въпроси относно някои специфични категории данни.
Така например ще бъде поставен отново за разглеждане въпросът дали IP адресите следва да се разглеждат като лични данни. [9] Значението на този въпрос е голямо, защото признаването на IP адресите за лични данни би имало отражение върху цялата Интернет икономика, която ще следва да се съобразява със стандартите за защита на личните данни. Прилагането на разбирането за „лични данни” към IP адресите е възможно, доколкото те са свързани с идентифицирано или подлежащо на идентифициране физическо лице и попадат в обхвата на понятието „всяка информация” (чл. 2, б. „а” от Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 година за защита на физическите лица при обработването на лични данни и за свободното движение на тези данни). IP адресът е свързан с техническо устройство, посредством което се осъществява достъп до Интернет (напр. компютър или смартфон). Абонатът на услугата обаче е този, който е отговорен за действията си по време на сърфиране в мрежата. Същевременно потребителят е и този, който бива наблюдаван или следен от различни уебсайтове. Цялата тази информация във всички случаи следва да се смята за свързана със съответния потребител (вторият елемент от дефиницията), а не само със съответното техническо устройство. За да бъде идентифицирано или да бъде подлежащо на идентифициране едно лице, не е необходимо задължително притежаването на име или други лични данни, доколкото това условие ще е изпълнено и в случаите, когато съществува възможността едно лице да бъде разграничено от всички останали лица в дадена група.
Съществува съдебна практика на Парижкия апелативен съд, който в решение от 27 април 2007 г. се произнася по дело, свързано с P2P мрежи, че събирането на IP адреси не представлява обработване на лични данни, тъй като тези адреси се отнасят единствено до машината, а не до физическото лице, използвало същата, за да извърши правонарушение. В литературата [10] се посочва, че това тълкуване не е в съответствие с понятието за „лични данни”, възприето в европейския правен ред, доколкото директивата не изисква IP адресът да позволява идентифициране на потребителя, а само да е свързан с подлежащо на идентифициране лице. Няколко месеца по-късно друг френски съд достига до обратния извод и на 6 септември 2007 г. Първоинстанционният съд на Сен Брийо заключава, че макар и IP адресът действително да идентифицира свързаното с Интернет устройство, а не физическото лице, което го използва, същото може да се каже и за телефонния номер, който strictu sensu също не идентифицира пряко дадено лице, а линията, на която той е абонат. По същия начин и IP адресът, предоставен от доставчика на интернет услуги, е необходим за осъществяването на връзка на устройства с Интернет, за която едно определено физическо лице е сключило договор с доставчика. Тези решения са последвани от още две по сходни казуси и свидетелстват ясно за противоречивото разбиране и затрудненията, които съдът среща при изработването на единен подход за правната квалификация в тези случаи. Становище 4/2007 на Работната група по чл. 29 от юни 2007 г. относно понятието „лични данни” може да служи като отправна точка при анализа. При всички положения националните транспонирания на нормите на директивата следва да се тълкуват изцяло в духа на общностното право. Това налага разбирането, че в повечето но вероятно не във всички случаи, IP адресите ще се смятат за лични данни. [11]
Съществуват и други проблеми, свързани с евентуалното приемането на проектодирективата и използването на Tor от разследващите органи. Така съгласно проекта личните данни трябва да бъдат „събирани за конкретни, изрично указани и законни цели и да не се обработват допълнително по начин, който е несъвместим с тези цели“ (чл. 4, „б“) и да бъдат „съхранявани във вид, който позволява идентифицирането на субектите на данните за период не по-дълъг от необходимия за целите, за които се обработват личните данни” (чл. 4, б. „д“). Проектодирективата провежда разграничение и между различните категории субекти на данни. Няма индикации за ограничения по отношение на разследващите органи за използването на анонимизиращ софтуер по време на разследванията, но всяко такова използване на Tor или други мрежи следва да бъде съобразено с тези правила. Това би породило практически затруднения като напр. факта, че не във всеки момент може да се определи с точност кои от обработваните данни включват лични данни и съответно дали за тях следва да се прилагат правилата за защита на личните данни, до каква степен и т.н.
Разгледаните въпроси поставят разследващите и разузнавателните органи на държавите членки на ЕС в особено положение. От една страна, те разполагат с редица технологии, които им позволяват изключително висока ефективност на разследването, но от друга страна – все по-усложняващият се регулаторен режим създава редица пречки пред осъществяването на такова разследване. Тези „пречки“, разбира се, не следва да се разглеждат само и единствено като такива, защото ограничаването на основни човешки права на гражданите на произволен принцип за разследване на всякакви престъпления или при подозрения за предстоящо извършване на такива би довело до сериозно накърняване на конституционно и международноправно гарантирани права на гражданите. Намирането на баланса между националната сигурност и личното пространство следва да се търси в пресечната точка, където технологията, използвана от разследващите и разузнавателните органи, е поставена в ясна законова рамка, която гарантира, че ограничаването на основни човешки права е допустимо единствено в изключителни случаи.
Защита на основните човешки права
Както се посочи и в началото, анонимизиращите технологии се създават с идеята да служат за гарантиране на безпрепятственото упражняване на основни човешки права в Интернет. Въпросът за защитата на основните човешки права се поставя все по-остро с оглед на зачестяващите опити за цензуриране на Интернет и ограничаване на достъпа до информация.
Следва да се посочи, че в системата на международната защита на човешките права съществуват различни поколения човешки права, които дават рамката на международната закрила. [12] Конституционният съд на Република България също си служи с тази класификация, предложена за първи път от Георг Йелинек (така Решение № 4 от 2006 г., обн. ДВ, бр. 36 от 2006 г.). Първото поколение права са индивидуалните права – свободи, наричани „лични“, „отбранителни права“ или „негативни права“. Според Конституционния съд към тази група принадлежи и неприкосновеността на кореспонденцията, доколкото тези права защитават физическия и духовния интегритет на човешката личност и автономията и частната сфера на индивида. Второто поколение права са т.нар. икономически, социални и културни права. Третото поколение права са политическите права, които се определят като „активни“ права, а четвъртото поколение включва правото на чиста околна среда, правото на достъп до информация и някои други права, възникващи в информационното общество.
Използването на технологиите от страна на гражданите може да създаде риск от нарушаване на така установените права от практически всяко поколение права. Онлайн анонимността е призната от редица международни актове и документи, сред които Декларацията за свободата на съобщенията по Интернет на Съвета на Европа от 28.05.2003 г., Доклада на специалния докладчик на ООН (A/HRC/17/27) от 16 май 2011 г. относно насърчаването и защитата на правото на свобода на мнение и изразяване и др. С оглед на това следва да се приеме, че съществува достатъчно сериозна законова обосновка за правомерното използване на анонимизиращи технологии като Tor.
Важно е да се отбележи, че анонимността сама по себе си не представлява самостоятелно право, защото тя зависи от контекста, в който се реализира. Ако извършването на една дейност е законно, то извършването й в анонимност също следва да е законно. Съответно, ако такава дейност е незаконна, тя няма как да бъде „узаконена“ от факта, че се извършва анонимно. Анонимността следва да се разглежда като съществен елемент на редица човешки права, сред които правото на свобода на изразяване, правото на лично пространство, правото на събрания, правото на сдружаване, правото на глас и др. [13]
Правото на свобода на изразяване е уредено в чл. 19, параграф 2 от Международния пакт за граждански и политически права, съгласно който всяко лице има право на свобода на словото, което включва свободата да търси, да получава и да разпространява сведения и идеи от всякакъв вид, независимо от границите, било устно, писмено, печатно или като произведение на изкуството или чрез каквото и да е друго средство по свой избор. Факт е обаче, че редица недемократични държави нарушават повсеместно това право, налагайки цензура в онлайн пространството (напр. Китай). Tor мрежата е начин за преодоляване на тази цензура, като преодолява механизмите на защитните стени относно самоличността на източника и характера на трафика. Правото на свободно изразяване обаче не е неограничено. То търпи ограничения в определени хипотези, сред които случаите на клевета, слово, проповядващо омраза, някои случай на порнография, нарушения на авторски и сродни права, както и при опит за укриване на извършени престъпления. Въпросът и тук е в намирането на баланса при тълкуването, доколкото неоправданото разширяване на тези изключения може да влезе в остър конфликт с международно възприетите стандарти. Така забраната или неоправданото ограничаване на достъпа на гражданите до мрежата Tor може да влезе в противоречие с правото на свободно изразяване, а също и с правото на лично пространство.
Правото на лично пространство също е признато и гарантирано от Международния пакт за граждански и политически права по силата на разпоредбата на чл. 17, който гласи, че никой не може да бъде обект на своеволно и незаконно вмешателство в личния му живот, семейството му, дома или кореспонденцията му, нито на незаконно накърняване на неговата чест и добро име. Изключително честа практика е нарушаването именно на това право, дори от държави, които гарантират правото на свободно изразяване. Най-типичният пример в този смисъл е САЩ и Националната агенция за сигурност (NSA) и разработваната и систематично прилагана от нея програма за масово наблюдение и следене. Върховният комисар на ООН по човешките права отбелязва в доклада „Правото на неприкосновеност на личния живот в цифровата ера“ от 30 юни 2014 г., [14] че практиките в редица държави разкриват липса на адекватно национално законодателство и правоприлагане, слаби процесуални гаранции и неефективен контрол, които допринасят за липсата на отговорност за произволната и незаконна намеса личното пространство на гражданите. Въпреки това следва да се държи сметка за обстоятелството, че правото на лично пространство не е неограничено и абсолютно. Европейската конвенция за защита на правата на човека и основните свободи съдържа списък с изключения, които включват мерки в рамките на наказателно разследване, които на законово основание могат да ограничат правото на лично пространство. Основният въпрос и тук е свързан с пропорционалността между резултатите от подобни дейности по масово наблюдение и следене и нарушаването на личното пространство на гражданите.
Отговорност за съдържанието, което преминава през изходните точки в Tor мрежата
Отговорността на операторите за съдържанието, което преминава през изходните точки в Tor мрежата, е въпрос с голямо практическо значение. В литературата [15] се дава пример с австрийския случай от 2012 г., когато австрийската полиция претърсва апартамента на Уилям Вебер в Грац и изземва компютърен хардуер, използван за контрол на изходни точки на Tor, които се намират физически в чужбина. Неизвестни потребители на мрежата са използвали тези изходни точки за изтегляне на съдържание с детска порнография и властите са заподозрели Вебер като извършител, тъй като не им е било известно, че изходните точки не са били крайната дестинация на файловете. На 30 юни 2014 г. Вебер е осъден за помагачество при разпространение на детска порнография на лишаване от свобода за три месеца с тригодишен изпитателен срок. Поради отказа на Вебер да обжалва присъдата поради лични и финансови затруднения, не е ясно как би се произнесла втората инстанция по случая.
Според австрийското, както и според българското право, вината е елемент от субективната страна на престъплението и в случаите на помагачество, доколкото съгласно чл. 21, ал. 1 от Наказателния кодекс всички съучастници се наказват с наказанието, предвидено за извършеното престъпление, като се вземат предвид характерът и степента на тяхното участие. В съдебното следствие съдът приема като доказателства изказвания на Вебер в чат програми, съгласно които той казва, че „ на нашите сървъри може да се хоства и детска порнография“ и „ако исках да хоствам детска порнография... аз лично бих използвал Tor“. Тези изказвания са послужили за основа на заключението, че деецът е действал с непряк умисъл, въпреки твърденията на подсъдимия, че тези изказвания са извадени от контекста. Това решение не може да се смята за решение с общо значение относно законното използване на Tor услуги.
Решението по случая Вебер поставя за разглеждане по-общия въпрос за законността на създаването и поддържането на изходни точки в мрежата Tor и за отговорността за трафика, който преминава през тях – от гражданско- и от наказателноправно гледище. По-конкретно се поставя въпросът приложим ли е режимът за обикновения пренос по смисъла на чл. 12 от Директива 2000/31/ЕО (Директива за електронната търговия) за обикновен пренос?
Операторът на изходна точка в мрежата Tor попада в приложното поле на чл. 12, параграф 1, букви „а“ - „в“ от Директивата за електронната търговия, защото в типичния случай тази точка служи като препращаща точка (relay) и операторът няма намеса в преноса. Необходимо е обаче да се изследват въпросите дали операторът на изходна точка в Tor може да бъде определен като „доставчик на услуга“ и дали предоставянето на изходна точка в Tor мрежата е „услуга на информационното общество“.
Съгласно разпоредбата на чл. 2, б. „б“ от Директивата за електронната търговия „доставчик на услуги“ е всяко физическо или юридическо лице, което предоставя услуги на информационното общество. Според чл. 2, б. „а“ от Директивата за електронната търговия „услуги на информационното общество са услуги по смисъла на чл. 1, параграф 2 от Директива 98/34/ЕО, изменена с Директива 98/34/ЕО“. Съгласно чл. 1, параграф 2 от Директива 98/34/ЕО услуга е каквато и да е услуга на информационното общество, тоест, каквато и да е услуга, нормално предоставяна срещу възнаграждение, от разстояние, чрез електронно средство и по индивидуална молба от получателя на услугите. Дефиницията дава подробно тълкуване по три от условията, които една изходна точка на Tor лесно би покрила. Проблемът идва от тълкуването на фразата „нормално предоставяне срещу възнаграждение“, тъй като Tor е безплатна и свободна услуга. В решението си от 11 септември 2014 г. по дело C-291/13 Съдът на Европейския съюз (СЕС) се произнася, че „понятието „услуги на информационното общество“ по смисъла на тази разпоредба обхваща онлайн информационни услуги, срещу които доставчикът не получава възнаграждение от получателя на услугите, а приходи от реклами, разпространявани на даден уебсайт.“ Въпреки че това заключение е изцяло в тон с предходни становища на Европейската комисия, то не помага за определянето на правния статус на изходните точки на Tor. В същото време СЕС е сезиран с преюдициален въпрос от Районния съд на Мюнхен по дело 7 O 14719/12 относно смисъла, влаган в понятието „услуга, нормално предоставяне срещу възнаграждение“ в контекста на предоставяне на свободни и безплатни Wi-Fi услуги, които не са защитени с парола. [16]
Трудно е да се прогнозира решението на съда, но то по всяка вероятно би имало значение относно това дали Tor може да се разглежда като доставчик на услуга. Ако СЕС реши, че обикновеният пренос не може да бъде прилаган по отношение на безплатни услуги, дори и по аналогия, тогава би се породил въпросът за практическият смисъл на тези услуги, чиито доставчици биха носили отговорност за пренесените данни. Решение в този смисъл би поставила ЕС в изключително неблагоприятна позиция спрямо САЩ, където има уредени изрично правила, които правилата за отговорността на доставчиците в тези случаи са ясно установени. Отговорът на този въпрос би дал отражение и върху въпросът за наблюдаване и следенето на изходните точки в Tor мрежата от страна на правоохранителните, разследващите и разузнавателните органи.
Наблюдаване и следене на изходните точки в Tor мрежата
Както се спомена по-горе, Tor може да се използва за различни незаконни дейности, обявени за такива от националните законодателства, като напр. продажба на забранени от закона стоки, разпространяване на детска порнография и др. Тези дейности са криминализирани в законодателствата на повечето държави. Много често обаче се пропуска обстоятелството, че наблюдението на трафика, който преминава през Tor, може също да бъде незаконно съгласно националното право.
В литературата не се среща задълбочен юридически анализ на дейностите, извършвани от оператора на изходна точка в мрежата Tor. Факт е обаче, че не съществува конкретно законово основание за обявяване на тази дейност за незаконна. Разбира се, не бива да се пренебрегва фактът, че операторите на тези изходни точки все пак имат достъп до трафика, който преминава през тях. Tor анонимизира произхода на трафика и осигурява криптирането му при преминаването през мрежата, но не криптира целия трафик, който преминава към Интернет. Изходната точка е в позицията да прихване трафика, преминаващ през нея – напр. лични имейл съобщения (освен ако не е приложено криптиране от край до край), достъп до потребителски имена и пароли. Дори и в случаите, когато подобно прихващане и задържане е извършено добросъвестно, напр. когато един изследовател иска да разбере какъв тип данни преминават през мрежата за целите на подобряване на качеството на услугата за потребителите, които я използват за законосъобразни цели, и идентифицира и блокира трафика, който противоречи на императивни правни норми (детска порнография, опити за хакерски атаки др.), подобна намеса най-често би се счела за незаконосъобразна.
Според разпоредбата на чл. 2 от Конвенцията за престъпленията в кибернетичното пространство всяка страна предприема необходимите законодателни и други мерки, за да обяви за престъпление във вътрешното си право умишления и без законно основание достъп до цялата или до част от компютърна система. Страните могат да въведат като изискване престъплението да бъде извършено или в нарушение на мерките за сигурност с умисъл да се получат компютърни данни, или с друго престъпно намерение, или във връзка с компютърна система, която е свързана с друга компютърна система. Наблюдението на трафика следва да се разглежда през призмата на чл. 3, който задължава страните да криминализират прихващането, извършено чрез технически средства без законно основание. Обяснителният доклад към конвенцията свърза чл. 3 с разпоредбата на чл. 8 от Европейската конвенция за защита на правата на човека и основните свободи, който защитава личния живот и кореспонденцията.
Заключение
Разгледаните по-горе въпроси ще бъдат предмет и на бъдещи изследвания, доколкото техният обхват не позволява пълното им разглеждане в рамките на настоящото изследване.
Анонимността и защитата на личното пространство в Интернет е гарантирано от международния правов ред, както и от конституциите на всички демократични държави. Въпреки това, от признаването на правото на лично пространство за всеобщо човешко право до момента то никога не е било подлагано на по-сериозно изпитание. Информационните технологии и желанието за контрол над глобалния информационен поток от страна на държави и частни компании компрометират възможността на гражданите да упражняват безпрепятствано това свое право. Нещо повече, в редица случаи то се оказва застрашено или пряко нарушено, а разпространяването на класифицирана информация - единственият начин сведения за такива действия да достигнат до широката общественост. [17] Подобни постъпки обаче застрашават както личната сигурност на лицата, които ги извършват, така и националната сигурност, доколкото контролът върху информацията, която се публикува, е в ръцете на един-единствен човек.
Всичко това налага търсенето и намирането на баланс между необходимостта от гарантиране на националната сигурност и правото на лично пространство и анонимността. Използването на анонимизиращи технологии безспорно улесняват гражданите в упражняването на това им конституционно гарантирано право. Тези анонимизиращи технологии обаче крият и риска да бъдат използвани за незаконосъобразни цели и в крайна сметка да увредят други основни човешки права, които се закрилят с по-висок интензитет. Всичко това обосновава необходимостта от умерен контрол върху използването на тези технологии, подчинен на законодателни мерки, които държат сметка за действителното развитие на технологиите. Тези мерки следва да бъдат имплементирани в самите технологии (подходът Privacy by Design), а не да остават законодателно пожелание. Правилата на Интернет много често не следват очертаните от законодателяимперативи, защото те не са съобразени с архитектурата на световната мрежа и начина на нейното функциониране.
Предвид казаното по-горе може да се заключи, че границата на личн ото пространство е там, където националната сигурност се превръща от абстрактно понятие, което отваря вратата на произвола, в действителна служба в защита на най-добрия интерес на гражданите, която държи сметка за развитието на технологиите, гарантирането на основните човешки права и при всички положения се съобразява с върховенството на правото.
Докладът е публикуван за първи път в Сборник научни трудове "Новите предизивкателства пред системите за информационна сигурност", ISBN 978-954-9681-65-9, НВУ “В. Левски” – Факултет “Артилерия, ПВО и КИС”, 2015 г. Публикуването mu в LIBRe Stories е с пълното съгласие на автора.
Това произведение се разпространява под лиценз Creative Common Признание - Некомерсиално 4.0 International License.
Всички публикации и коментари в блога могат да бъдат цитирани в други сайтове или в статии в печата с отбелязване на авторството, датата на публикуването им и източника (URL адреса на съответната публикация).
Бележки
[1] https://www.europol.europa.eu/content/global-action-against-dark-markets-tor-network
[2] https://www.torproject.org/about/torusers.html.en#lawenforcement
[3] Çaliskan, E., T. Minarik, A.-M. Osula. Technical and Legal Overview of the Tor Anonymity Network. NATO Cooperative Cyber Defence Centre of Excellence, Talinn 2015, достъпен на адрес: https://ccdcoe.org/sites/default/files/multimedia/pdf/TOR_Anonymity_Network.pdf, последен достъп: 11.05.2015 г.
[4] Çaliskan, E., T. Minarik, A.-M. Osula. Technical and Legal Overview of the Tor Anonymity Network. NATO Cooperative Cyber Defence Centre of Excellence, Talinn 2015, достъпен на адрес: https://ccdcoe.org/sites/default/files/multimedia/pdf/TOR_Anonymity_Network.pdf, последен достъп: 11.05.2015 г.
[5] Çaliskan, E., T. Minarik, A.-M. Osula. Technical and Legal Overview of the Tor Anonymity Network. NATO Cooperative Cyber Defence Centre of Excellence, Talinn 2015, достъпен на адрес: https://ccdcoe.org/sites/default/files/multimedia/pdf/TOR_Anonymity_Network.pdf, последен достъп: 11.05.2015 г.
[6] Çaliskan, E., T. Minarik, A.-M. Osula. Technical and Legal Overview of
the Tor Anonymity Network. NATO Cooperative Cyber Defence Centre of
Excellence, Talinn 2015, достъпен на адрес:
https://ccdcoe.org/sites/default/files/multimedia/pdf/TOR_Anonymity_Network.pdf, последен достъп: 11.05.2015 г.
[7] COM (2012) 10 последен
[8] COM (2012) 11 последен
[9] Hustinx, P. J. Protection of Personal Data On-line: the Issue of IP Addresses, достъпен на адрес: https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Publications/Speeches/2009/09-04-15_adresses_IP_EN.pdf, последен достъп: 11.05.2015 г.
[10] Hustinx, P. J. Protection of Personal Data On-line: the Issue of IP Addresses, достъпен на адрес: https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Publications/Speeches/2009/09-04-15_adresses_IP_EN.pdf, последен достъп: 11.05.2015 г.
[11] Hustinx, P. J. Protection of Personal Data On-line: the Issue of IP Addresses, достъпен на адрес: https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Documents/EDPS/Publications/Speeches/2009/09-04-15_adresses_IP_EN.pdf, последен достъп: 11.05.2015 г.
[12] Друмева, Е. Конституционно право. Трето допълнено и преработено издание. Сиела, 2008 г.
[13] Çaliskan, E., T. Minarik, A.-M. Osula. Technical and Legal Overview of the Tor Anonymity Network. NATO Cooperative Cyber Defence Centre of Excellence, Talinn 2015, достъпен на адрес: https://ccdcoe.org/sites/default/files/multimedia/pdf/TOR_Anonymity_Network.pdf, последен достъп: 11.05.2015 г.
[14] Докладът е достъпен на английски език на уеб адрес: http://www.ohchr.org/EN/HRBodies/HRC/RegularSessions/Session27/Documents/A-HRC-27-37_en.doc
[15] Çaliskan, E., T. Minarik, A.-M. Osula. Technical and Legal Overview of the Tor Anonymity Network. NATO Cooperative Cyber Defence Centre of Excellence, Talinn 2015, достъпен на адрес: https://ccdcoe.org/sites/default/files/multimedia/pdf/TOR_Anonymity_Network.pdf, последен достъп: 11.05.2015 г.
[16] Понастоящем образуваното пред СЕС дело е с номер Mc Fadden/C-484/14.
[17] http://www.theguardian.com/world/2013/jun/09/nsa-secret-surveillance-lawmakers-live