Furnizorii de serviciu de comunicații interpersonale care nu se bazează pe numere, precum WhatsApp, Facebook, Skype, Signal, Wire, Telegram, nu vor fi obligați în România să permită organelor de aplicare a legii și celor cu atribuții în domeniul securității naționale punerea în executare a metodelor de supraveghere tehnică, respectiv de interceptare a comunicațiilor utilizatorilor acestor servicii, conform unui proiect de lege adoptat de Parlament, prin votul final al Senatului. După cum a relatat anterior Profit.ro, obligația va reveni în schimb furnizorilor de internet, respectiv de servicii de găzduire electronică cu resurse IP.
23 aprilie - Profit News TV - Maratonul de Educație Financiară. Parteneri: 123 Credit, ARB, BCR, BRD, CEC Bank, PAID, UNSAR, XTB
25 aprilie - MedikaTV - Maratonul Sănătatea Digestiei
27 mai - Eveniment Profit.ro Real Estate (ediţia a IV-a) - Piața imobiliară românească sub aspectul crizei occidentale
Înainte de a fi prezentată aici, informația a fost anunțată cu mult înainte pe Profit Insider
De ce este important: Prevederea ca aplicații precum WhatsApp, Facebook, Skype, Signal, Wire, Telegram să permită interceptarea utlizatorilor apare într-un proiect de lege care a fost adoptat de Guvernul Cîțu în ultima ședință în care a mai putut aviza acte cu putere de lege, înainte de demiterea sa prin moțiune de cenzură.
De asemenea important: Proiectul a fost adoptat de deputați chiar la finele anului trecut, generând atunci o serie de reacții și proteste din partea specialiștilor în domeniu.
Prevederile privind interceptarea din proiectul Guvernului - cum au fost adoptate anterior de deputați
”Furnizorii de servicii de găzduire electronică cu resurse IP și furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere au obligația să sprijine organele de aplicare a legii și organele cu atribuții în domeniul securității naționale, în limitele competențelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu completările ulterioare, respectiv:
a) să permită interceptarea legală a comunicațiilor, inclusiv să suporte costurile aferente;
b) să acorde accesul la conținutul comunicațiilor criptate tranzitate în rețelele proprii;
c) să furnizeze informațiile reținute sau stocate referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente;
d) să permită, în cazul furnizorilor de servicii de găzduire electronică cu resurse IP, accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.
(2) Obligațiile prevăzute la alin. (1) lit. a) - c) se aplică în mod corespunzător și furnizorilor de rețele sau servicii de comunicații electronice”.
Directorul executiv al Asociației pentru Tehnologie și Internet, Bogdan Manolea, susținea atunci că proiectul a fost pus în dezbatere încă din 2020, în vederea transpunerii unei directive europene în domeniu, dar noile prevederi au fost introduse de Guvernul Cîțu în plus față de proiectul inițial și nu respectă nici obligațiile de transpunere a directivei, nici normele constituționale.
”Aspectele legate de interceptarea legală comunicațiilor, cu toate garanțiile de rigoare (ma rog, până la noi decizii de neconstituționalitate, eu zic ca decizia din 2016 e doar prima dintr-un șir dacă nu se rezolvă niște probleme de fond) sunt prevăzute de Codul de Procedură Penală (CPP). În mod logic, dacă ar fi vreo problemă sau este nevoie de actualizarea lor s-ar face tot printr-o modificare la acest cod. (indiciu: e o lege organică, greu de modificat).
Doar că dincolo de a impune obligații similare și unor alte categorii furnizori (care oricum, nu au legătura cu ANCOM) pe unde se plimbă în 2021 conținutul și legal, și ilegal. (poate de discutat, dar atunci ar trebui în CPP și nu pe șest), textul lărgește mult spectrul de acțiuni de interceptări și acces, pe care CPP nu le prevede”, susține reprezentantul Asociației pentru Tehnologie și Internet.
Acesta arăta că ”accesul la conținutul comunicațiilor criptate tranzitate în rețelele proprii” nu există în CPP, iar introducerea unei astfel de soluții legislative de interceptare a comunicațiilor ”pe ușa din dos”, evitând orice dezbatere publică, este profund nedemocratică.
Totodată, textul directivei de implementat recomandă exact contrariul, promovarea criptării, nu subminarea, mai arată Bogdan Manolea: ”Dincolo de faptul ca un furnizor (inclusiv cei de comunicații) ar trebui să își creeze un sistem de depistare a conținutului criptate tranzitat, eu cred că ținta sunt furnizorii care oferă astfel de servicii. Aici sunt 2 variante – fie vor conținutul decriptat direct de la furnizor sau pentru ca vor să spargă criptarea? (cât de legal, ilegal ar fi, este o altă discuție) , fie vor conținutul criptat pentru că vor să obțină/determine partea care are cheia de criptare să o dezvăluie cumva.”
De asemenea, obligația furnizorilor de servicii de găzduire să permită accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente, nu există în CPP.
”O terminologie la fel de vagă ca cea din defuncta lege a securității cibernetice (declarata neconstituțională în 2015) face ca să ai practic acces la orice conținut de pe orice server din România în condiții total neclare (asta e demnă de capabilitățile NSA) Vrei acces la documentația unui jurnalist? Nu accesezi redacția, ci serviciul de găzduire al redacției. Oricum presa era la amenințări de „securitate națională”, nu? Capisci?”, spunea directorul executiv al Asociației pentru Tehnologie și Internet.
Parlamentul a eliminat unele prevederi controversate
După votul din Camera Deputaților, proiectul de lege a primit astăzi votul final în Senat, după ce a fost retrimis la comisiile de specialitate pentru un al doilea raport, iar senatorii au decis să elimine sau să reformuleze din prevederile care au iscat controverse în rândul specialiștilor din comunicații.
”Având în vedere faptul ca fumizorii de servicii de comunicații interpersonale, care nu se bazează pe numere, nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii poate fl considerat în unele privințe mai redus decât în cazul serviciilor tradiționale de comunicații electronice. Prin urmare, atunci când este justificat pe baza evaluării efective a riscurilor legate de securitate implicate, măsurile luate de furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere ar trebui să fie mai puțin stricte", este recomandarea din Directiva (UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018 de instituire a Codului european al comunicațiilor electronice pe care s-au bazat acum senatorii în luarea deciziei.
Prin urmare, a fost eliminată din textul proiectului de lege obligația furnizorilor de servicii de comunicații interpersonale care nu se bazează pe numere de a permite organelor din domeniul securității naționale punerea în executare a metodelor de supraveghere tehnică, respectiv de interceptare a comunicațiilor utilizatorilor acestor servicii.
În schimb, dacă inițial din proiect senatorii din comisii eliminaseră și pentru furnizorii de internet anumite obligații, în primul rând pe cea permite ”accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente”, acum au reintrodus și reformulat această obligație.
Astfel, furnizorii de internet cor fi obligați ”să permită accesul la propriile sisteme informatice, în vederea copierii sau extragerii exclusiv a datelor care fac obiectul actelor de autorizare dispuse in conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, modificările și completările ulterioare”.
De asemenea, furnizorii de internet nu vor fi obligați ”să acorde accesul la conținutul comunicațiilor criptate tranzitate în rețelele proprii”, ci să ”să acorde, la solicitarea organelor autorizate, conținutul criptat al comunicațiilor tranzitate în rețele proprii, care fac obiectul actelor de dispuse conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penala, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare”.
În cazul în care nu este sesizat la Curtea Constituțională de vreun partid, proiectul mai trebuie doar promulgat de șeful statului pentru a intra în vigoare.
