Terroryzm i nowe technologie
Ostatnie zamachy terrorystyczne ujawniły ciemną stronę nowych technologii teleinformatycznych. Organizatorzy zamachów czy bojownicy tzw. państwa islamskiego bezwzględnie wykorzystują najnowsze techniki komunikacji. Jeżeli wierzyć doniesieniom medialnym, terroryści uzgadniali szczegóły zamachów m.in. za pomocą kanałów komunikacyjnych PlayStation czy szyfrowanych komunikatorów internetowych. Polski ustawodawca postanowił zareagować na te zjawiska za pomocą ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych.
Okazuje się, że dotychczasowe metody walki z terroryzmem nie zdają już egzaminu. Komunikacja między terrorystami przenosi się na nowe platformy komunikacji, które często nie są jeszcze w ogóle rozpoznawane przez obowiązujące przepisy prawa. Ustawa antyterrorystyczna ma w zamyśle jej twórców zapewnić m.in. sprawne działanie organów ścigania w obszarze najnowszych technologii komunikacyjnych.
Zwiększenie uprawnień organów ścigania w obszarze nowych technologii zawsze wiąże się z licznymi kontrowersjami. Nie one są jednak przedmiotem tego tekstu. Proponuję skupić się na wciąż niedostatecznie uświadamianych konsekwencjach niektórych przepisów nowej ustawy dla dostawców usług świadczonych drogą elektroniczną.
W tym kontekście na szczególną uwagę zasługuje art. 9 ustawy, który przewiduje możliwość prowadzenia przez Agencję Bezpieczeństwa Wewnętrznego określonych, niejawnych czynności operacyjnych, takich jak uzyskiwanie dostępu do korespondencji prowadzonej za pomocą środków komunikacji elektronicznej oraz uzyskiwanie i utrwalanie danych zawartych na informatycznych nośnikach danych, telekomunikacyjnych urządzeniach końcowych, systemach informatycznych i teleinformatycznych. Przepis ten wzbudzał kontrowersje od samego początku prac nad ustawą, przede wszystkim ze względu na to, że wspomniane czynności operacyjne mogą być prowadzone wobec osób niebędących obywatelami Polski. Krytycy ustawy odczytywali to jako dowód uprzedzeń twórców regulacji. Komentowany przepis jest jednak ciekawy również co najmniej z dwóch innych powodów.
Po pierwsze, obowiązek zapewnienia ABW warunków technicznych i organizacyjnych do wykonywania wspomnianych czynności operacyjnych spoczywa nie tylko na przedsiębiorcy komunikacyjnym oraz operatorze pocztowym, ale również na usługodawcy świadczącym usługi drogą elektroniczną. To przełomowa regulacja, ponieważ pojęcie usługodawcy świadczącego usługi drogą elektroniczną jest niezwykle pojemną kategorią. Mieszczą się w niej m.in. platformy handlu on-line, dostawcy usług opartych na rozwiązaniach chmurowych, operatorzy komunikatorów internetowych, operatorzy platform do gier sieciowych oraz instytucje finansowe operujące internetowymi platformami usług finansowych. To bardzo zróżnicowana grupa podmiotów, używająca zróżnicowanych rozwiązań technicznych i podlegająca różnorodnym regulacjom.
Zgodnie z art. 9 ustawy terrorystycznej dostawcy usług świadczonych drogą elektroniczną będą musieli m.in. zapewnić ABW dostęp do systemów informatycznych oraz informatycznych nośników danych. Chyba mało kto zdaje sobie sprawę, że komentowany przepis może teoretycznie służyć jako podstawa prawna np. dla dostępu do systemów informatycznych banków i operatorów portali internetowych, a także treści rozmów prowadzonych z wykorzystaniem popularnych komunikatorów internetowych. Dostawcy usług świadczonych drogą elektroniczną powinni niewątpliwie zastanowić się nad wprowadzeniem wewnętrznych procedur na wypadek otrzymania żądania zapewnienia warunków do realizacji czynności przez ABW.
Po drugie, zgodnie z art. 9 ust. 2 ustawy operator telekomunikacyjny lub dostawca usług świadczonych drogą elektroniczną będzie musiał zapewnić ABW warunki techniczne i organizacyjne do uzyskiwania i utrwalania danych zawartych na telekomunikacyjnych urządzeniach końcowych. Czy to oznacza, że na podstawie art. 9 ustawy antyterrorystycznej ABW będzie mogło zmusić operatora telekomunikacyjnego lub dostawcę usług świadczonych drogą elektroniczną, by zapewnił dostęp do danych zawartych na smartfonie, nawet jeżeli są one chronione hasłem?
Jeszcze większe kontrowersje wzbudza wprowadzony przez ustawę antyterrorystyczną nowy art. 32c ustawy o ABW. Wprowadza on procedurę blokowania dostępności, która może dotyczyć zarówno dostępności określonych danych teleinformatycznych, jak i określonych usług teleinformatycznych służących lub wykorzystywanych do spowodowania zdarzenia o charakterze terrorystycznym. W tym przypadku adresatami nowych obowiązków są również m.in. usługodawcy świadczący usługi drogą elektroniczną. Ponieważ ustawodawca posłużył się bardzo pojemnymi pojęciami „danych teleinformatycznych” oraz „usług teleinformatycznych”, można sobie teoretycznie wyobrazić wykorzystywanie przywołanego przepisu do blokowania całych kanałów komunikacji, oczywiście po spełnieniu przesłanek określonych w tym przepisie.
Komentowana regulacja jest dobrą ilustracją coraz bardziej widocznej tendencji narzucania dostawcom usług świadczonych drogą elektroniczną coraz większej ilości obowiązków. To nieuchronny efekt wzrostu znaczenia tych usług we współczesnych społeczeństwach. Dostawcy usług elektronicznych muszą zacząć dostosowywać swoją działalność do tych trendów.
Krzysztof Wojdyło, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy
Artykuł jest częścią biuletynu praktyki prawa nowych technologii, czerwiec 2016