Интернет общество – България | ISOC-Bulgaria

News for and from Internet Society – Bulgaria | Новини от и за “Интернет общество – България”

Archive for November, 2009

Още по темата за следенето в Интернет

Posted by Dragoslava Greve on November 25, 2009

Една статия от Борис Митов публикувана в електронното издание на “Сега”:
Следенето в интернет ще ни излезе твърде скъпо
Формалното обществено обсъждане на промените в ЗЕС не изясни най-важните въпроси за защитата на потребителите и разходите на доставчиците

Advertisements

Posted in Data Retention, Новини и коментари | Leave a Comment »

ВНИМАНИЕ, ОПАСНОСТ: Държавата иска да контролира безконтролно Интернет!

Posted by ISOC.BG News on November 18, 2009

Интернет е в опасност!

По-долу ще видите целия текст на съобщението, което е публикувано на сайта на Министерски съвет.

Опасностите пред потребителите и пред свободата на достъпа до Интернет се крият във възможностите за злоупотреби. Ние изпраихме становище до МВР, но очевидно законопроектът е бил разработен преди това и “общественото обсъждане” е целяло само придаване на благовиден вид на мракобесническите промени.

    Предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги, съхраняват за срок от 12 месеца данните, създадени или обработени в процеса на тяхната дейност, за нуждите на правораздаването. Те ще се използват за разкриването и разследването на престъпления, за които е предвидено наказание лишаване от свобода за две или повече години и за издирване на лица. Това предвижда одобреният на правителственото заседание днес закон за изменение и допълнение на Закона за електронните съобщения (ЗЕС). С него се отстраняват сериозните проблеми, които възникнаха при работа по разкриване и разследване на престъпления с последната редакция на нормата на чл. 251 от ЗЕС, и се въвеждат изискванията на Директива 2006/24/ЕО за запазване на данни, създадени или обработени във връзка с предоставянето на обществено достъпни електронни съобщителни услуги или на обществени съобщителни мрежи.

    Данните са необходими за проследяване и идентифициране на източника на връзката; идентифициране на направлението, датата, часа и продължителността на връзката, на нейния тип, на крайното електронно съобщително устройство на потребителя и за установяване на идентификатор на ползваните клетки.

    Със законопроекта се разграничават данните относно трафика на съобщенията от тяхното съдържание (същината на кореспонденцията, независимо от формата, в която е изразена – материална или компютъризирана) и режима, който се прилага по отношение на тях. Изрично е посочено, че други данни, включително и разкриващи съдържанието на съобщенията, не могат да бъдат съхранявани по този ред.

    В изпълнение на чл. 7, б. “б” от Директива 2006/24/ЕО в чл. 250а, ал. 3 от проекта е предвидено задължение за мобилните оператори и интернет доставчиците да унищожат данните след изтичане на 12 месеца, с изключение на тези, до които е имало достъп и са били съхранени. При достъп до данните, осъществен от специализираната дирекция “Оперативни технически операции” при МВР чрез интерфейс, се предвижда ръководителят на органа, отправил искане за достъп, да уведомява предприятието за необходимостта от запазване на данните.

    Изрично е предвидено, че за нуждите на наказателното производство, данните ще се предоставят на съда и органите на досъдебното производство при условията и по реда на Наказателно-процесуалния кодекс директно от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги. По този начин се спазва принципът на непосредственост, поради което, когато данните са необходими за нуждите на наказателно производство, за да се използват като годен доказателствен материал, следва да са получени директно от администратора на тези данни. В случая това е съответното предприятие, предоставящо обществени електронни съобщителни мрежи и/или услуги.

    По този начин осигуряването на достъп чрез интерфейс освобождава предприятията от задължението да предоставят директно и непосредствено данни на оправомощените органи с две изключения, а именно: 1) предвиденото в чл. 250б, ал. 3 задължение за предоставяне на данните директно от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги на съда и органите на досъдебното производство при условията на НПК и за целите на наказателното производство; и 2) в случай че осигуреният достъп чрез интерфейс по технически причини не може да бъде използван.

    В новите разпоредби са указани редът и условията за достъп до данните, като е предвиден разрешителен режим. Лимитативно са посочени органите, които съобразно своята компетентност ще имат право да искат справки за данните. Това са ръководителите на специализираните и на териториалните дирекции и самостоятелните териториални отдели на ДАНС, главните дирекции „Криминална полиция”, „БОП”, „Охранителна полиция” и „Гранична полиция”, дирекция „Вътрешна сигурност”, СДВР, областните дирекции на МВР и териториалните звена на ГДБОП, службите „Военна информация” и „Военна полиция” и НРС.

    Предвижда се достъпът до данните да се осъществява при постъпило мотивирано искане и след разпореждане от председателя на районния съд или оправомощен от него съдия. Нивото на председател на районен съд е напълно достатъчно, за да гарантира спазване на процедурата по достъп на данни. Регламентиран е редът за предоставяне на такива данни на компетентен орган на друга държава, когато това е предвидено в международен договор. В тези случаи достъпът до данните се предвижда да бъде осъществен при постъпило мотивирано искане от ръководител на главна или специализирана дирекция по чл. 250в, ал. 1, т. 1 и 2, след писмено разпореждане от председателя на Софийски градски съд или оправомощен от него съдия.

    За дадените разрешения или откази в съответните съдилища е предвидено да се води специален регистър, който не е публичен. Специализираната дирекция “Оперативни технически операции” при МВР ще извършва справка за данните при постъпване на съдебно разпореждане, което също следва да се регистрира в специален регистър, който не е публичен.

    Воденето на тези специални регистри ще улесни осъществяването на проверка над извършените справки от органите съобразно дадените разрешения, тъй като ще могат да бъдат съпоставени данните от различни документални източници на информация, съхранявани при органи на изпълнителната и съдебната власт.

    За наблюдаващ орган относно сигурността на съхраняваните данни е определена Комисията за защита на личните данни, като по този начин се изпълнява задължението по чл. 9 от Директива 2006/24/ЕО за всяка държава-членка да определи публичен орган, който да отговаря за наблюдението на прилагането на нейната територия на разпоредбите, приети от държавите-членки.

    Предвижда се Народното събрание чрез комисия, определена с правилника за организацията и дейността му, да осъществява парламентарен контрол и наблюдение на процедурите по разрешаване и осъществяване на достъп до данните, както и за защита правата и свободите на гражданите срещу незаконосъобразен достъп до тях.

    Предвидена е административнонаказателна отговорност за всяко длъжностно лице от държавен орган или предприятие, предоставящо обществени електронни съобщителни мрежи и/или услуги, което наруши задълженията си или злоупотреби с данните по чл. 250а. Размерът на глобата, която може да бъде наложена, е от 1000 лв. до 5000 лв.

    За да се гарантира напълно защитата на правата на гражданите, свързани с обработката на т. нар. трафични данни, се създава ал. 2 в чл. 360 от Наказателния кодекс, с която се предвижда възможност за реализиране на наказателна отговорност – лишаване от свобода до 1 г. или пробация, спрямо лице, което противозаконно разкрие тези данни. Субект на престъплението може да бъде не само длъжностно лице от държавен орган или предприятие, предоставящо обществени електронни съобщителни мрежи и/или услуги, а и други лица извън предприятията и държавните органи, на които не са възложени задължения по отношение тези данни. С това се гарантира по-висока степен на наказателна защита над трафичните данни, тъй като субект на престъплението може да бъде всяко едно наказателноотговорно лице, което противозаконно ги разкрие.

Кои са някои от проблемите, видни дори само от това съобщение?

1. Изисква се срок за съхранение от 12 месеца, което е два пъти повече от минималния, предвиден в Европейската директива 2006/24/ЕО.
2. Изисква се съхранение на “данните, създадени или обработени в процеса” на дейността на Интернет операторите. Едно по-разширено тълкуване може да включи в тях всички данни – вкл. електронна поща, посещавани уеб сайтове, разменена кореспонденция по ICQ/jabber/skype и т.н.
3. Твърди се: “изрично е посочено, че други данни, включително и разкриващи съдържанието на съобщенията, не могат да бъдат съхранявани по този ред.”, но не се казва, че не може да има достъп до тези данни чрез използването на интерфейса, с който ще се осъществява достъпа.
4. Дава се възможност на огромен брой хора да искат справки: “ръководителите на специализираните и на териториалните дирекции и самостоятелните териториални отдели на ДАНС, главните дирекции „Криминална полиция”, „БОП”, „Охранителна полиция” и „Гранична полиция”, дирекция „Вътрешна сигурност”, СДВР, областните дирекции на МВР и териториалните звена на ГДБОП, службите „Военна информация” и „Военна полиция” и НРС.”
5. Самите вносители си противоречат: “Предвижда се достъпът до данните да се осъществява при постъпило мотивирано искане и след разпореждане от председателя на районния съд или оправомощен от него съдия. Нивото на председател на районен съд е напълно достатъчно, за да гарантира спазване на процедурата по достъп на данни.” От една страна нивото на председател на РС е достатъчно, а от друга – реално разрешението ще издават съдии, които нямат никакъв стаж. В сегашния закон разрешението се издава от председателя на окръжния съд, който обикновено е юрист със сериозен стаж.
6. Ще се води регистър за дадените разрешения и откази, но той няма да е публичен.
7. Предвидена е смешна административна санкция за злоупотреби – глобата, която може да бъде от 1000 лв. до 5000 лв.

Твърде е вероятно да има и други, значително по-сериозни проблеми пред Интернет-потребителите в страната.

Тук няма да се спираме на проблемите пред Интернет-операторите, които ще трябва да осигурят тези интерфейси за следене, но ще отбележим, че малките оператори ще имат големи проблеми, а големите оператори – огромни проблеми. Изразходваните средства няма да могат да се възстановят бързо, което може да доведе както до фалити на Интернет-операторите, така и до още по-големи злоупотреби от страна на органите на реда.

“Интернет общество – България” се обръща към всички граждани, депутати, медии, експерти, неправителствени организации с призив да се сложи край веднъж завинаги на опитите на МВР да налага неоправдан, неконтролируем, даващ възможност за злоупотреби контрол върху действията на Интернет потребителите.
Престъпниците могат и трябва да бъдат преследвани с цялата строгост на закона, но това не бива да става за сметка на основните човешки свободи в Интернет.

Posted in Data Retention, Новини на български, Нормативна уредба | 2 Comments »

Становище на “Интернет общество – България” по измененията на ЗЕС

Posted by ISOC.BG News on November 12, 2009

Оконачателното становище на “Интернет общество – България” по предложените от МВР промени в Закона за електронните съобщения можете да свалите от тук (MS Word .doc) или от тук (OpenOffice.org .odt).

Днес ги изпратихме и до МВР, както и до други организации, с които сме работили в миналото по подобни теми.

Posted in Data Retention, Новини на български, Нормативна уредба | 1 Comment »

Проект на становище на “Интернет общество – България” по изменията на ЗЕС

Posted by ISOC.BG News on November 6, 2009

Пускаме за обсъждане в следващите няколко дни, преди да го изпратим до МВР официално. Молим, оставяйте комнтарите си след текста. Предложенията на МВР са публикувани в нашия блог.

Благодарим ви предварително!

Предлаганият законопроект е в противоречие с наложилата се практика на либерално законодателство по отношение на достъпа до Интернет. С него се налагат тежки изисквания върху Интернет операторите, които неминуемо ще се отразят върху тяхната политика по отношение на предоставените на гражданите услуги.

Ето и нашите бележки по същество и – много важно – единствено по отношение на Интернет-операторите, а не по отношение на другите оператори.:

Предлаганата т. 13а към чл. 107 въвежда понятието „защита на националната сигурност“, без да има определение на понятието „национална сигурност“. Това отваря вратите за тълкувания от страна на различни нива на органите на властта и създава условия за неправомерно използване на правата по този закон.

В чл. 250а се въвежда задължение към Интернет операторите да пазят за срок от 12 месеца трафичните данни. Това е с шест месеца повече от предвидения в Европейската директива 2006/24/ЕО минимален срок и ще натоварва операторите с ненужни разходи. Вместо да се увеличава срока за пазене на логовете, по-добре е да се намали времето за реакция от страна на полицията и тя да реагира незабавно, а не с едногодишно закъснение. Вярно е, че има аргумент, че това е невъзможно да се постигне в момента, но заради мудността на полицията не бива да се злоупотребява с правата по директивите. България има традиционно либерално законодателство в областта на Интернет и няма нито икономическа, нито политическа логика то да бъде променяно.
В чл. 250а, ал. 1, т. 5 и 6 очевидно става дума за мобилни оператори, тъй като Интернет операторите не разполагат с такива данни.
Стъписващо е и уточнението в чл. 250а, ал. 1, че следенето на трафика ще е за престъпления, за които е „предвидено наказание лишаване от свобода две или повече години“. Европейската директива 2006/04/ЕО изисква следенето да е само за „сериозни престъпления“. Предишният Парламент прие, че това са по-скоро „тежки престъпления“ по смисъла на НК. Предложеният законопроект се опитва да балансира между тежки и сериозни, но го прави за сметка на престъпленията, които не са с голяма степен на обществена опасност. В мотивите на вносителя пише:

„при дефиниране на понятието “сериозно престъпление” в националните си законодателства, държавите-членки следва да отчитат престъпленията, посочени в чл. 2, ал. 2 на Рамковото решение 2002/584/ПВР на Съвета от 13 юни 2002 г. относно европейската заповед за арест и процедурите за предаване между държавите-членки. В тази разпоредба попадат престъпления, наказуеми с лишаване от свобода не по-малко от 3 години, както и изрично изброените видове престъпни посегателства, за които не се изисква проверка за двойна наказуемост на деянията. Част от тези престъпления по българския Наказателен кодекс са наказуеми с лишаване от свобода по-малко от три години. Настоящата редакция на чл. 251 също така не дава възможност за използване на данни, събрани и съхранявани от предприятията, предоставящи обществени електронни съобщителни мрежи и/или услуги за разкриване и разследване на престъпления, които не са тежки, но които влизат във фокуса на обществения интерес като:
‑ приготовление и подбуждане към убийство;
‑ причиняване на смърт по непредпазливост;
‑ състави на престъпления против националното и расово равенство, като участие в тълпа, събрана за нападение на групи от населението, отделни граждани или техни имоти във връзка с националната, етническата или расовата им принадлежност;
‑ престъпления против изповеданията;
‑ престъпления против политическите права на гражданите;
‑ закана с убийство;
‑ бягство на затворници, както и самоволно освобождаване или пускане от длъжностно лице на затворник да избяга;
‑ обида и клевета;
‑ склоняване към проституция, разпространяване на порнографски материали, в т.ч. и по интернет;
‑ престъпления против кредиторите и много други.
Липсата на възможност за незабавна реакция при тези престъпления дава възможност на извършителя да заличи уличаващата го информация и да унищожи данни, които биха могли да послужат за доказване на деянието.“

Цитираме всичко изброено, за да се види, че в желанието на МВР да постави трафика под контрола на една дирекция, при това без възможност за контрол върху нерегламентираното следене на трафика от нейна страна, се разширява прекалено много обсегът на действие. Според МВР е необходима „незабавна реакция“ при тези престъпления, но сегашните текстове на НК дават възможност за незабавна реакция на МВР – проблемът е, че просто органите на МВР не реагират при нито едно от посочените деяния! Статистиката от съдилищата, която е публична доказва, че един много малък процент от получените с разрешение на съда данни чрез използване на СРС стигат до съдебната зала. Тук няма да се спираме на това, че да се твърди, че извършителят е в състояние да заличи трафичните данни означава, че извършителят може да е само на работа в съответните оператори.

Чл. 250б, ал. 1 изисква предоставянето на достъп до данните чрез интерфейс на специализираната дирекция ОТИ. Това означава, че интерфейс на полицията ще има постоянна връзка със сървърите и маршрутизаторите на Интернет оператора, а следователно ОТИ ще има възможност за следене на трафика и в случаи, които не са описани в закона. Такова следене няма да може да бъде контролирано нито от операторите, нито от съответните комисии в Парламента. Тези интерфейси са упоменати в чл. 172 НПК, следователно следва да не се въвеждат отделно, а да се използват разпоредбите за използване на специализираните разузнавателни средства. По време на публичната дискусия в МВР бе обяснено, че това, че интерфейкът е налице, не означава, че той действа постоянно. Той ще може да бъде активиран от собственика на данните само след съдебно разрешение. Проблемът, който виждаме в „Интернет общество – България“ е, че няма техническа възможност за проверка на това дали интерфейсът е активиран и се използва със съдебно разрешение или не. Практиката показва, че ако има възможност за злоупотреби, то тези злоупотреби ще бъдат реализирани и виновните лица няма да бъдат наказани.
Трафичните данни позволяват, дори и без да бъде разкриването на съдържанието на комуникациите, да се навлезе в личното пространство на гражданите; нещо повече – така предвидените в чл. 250б интерфейси дават възможност и за следене на съдържанието на кореспонденцията, а не само на данните за трафика. В законопроекта не са предвидени мерки за защита на потребителите от подобно неправомерно следене на кореспонденцията и това не е случайно – такива мерки са технически невъзможни при използването на интерфейси. Министърът на вътрешните работи на проведената дискусия в МВР за обсъждане на законопроекта попита риторично дали операторите в момента нямали възможност да следят кореспонденцията в Интернет. Министърът е прав – имат такава възможност. Но потребителите могат да сменят оператора си във всеки един момент, дори и ако имат само съмнения за подобно следене. Докато потребителят не може да си смени МВР, ако има съмнения, че някой от ОТИ следи кореспонденцията му неправомерно.

В чл. 250б, ал. 2 се допуска и непредоставяне на достъп до данните чрез интерфейс, но не става ясно кога е възможно такова непредоставяне. Нещо повече – съгл. чл. 173, ал. 3 от НПК, „Доставчиците на компютърно-информационни услуги са длъжни да подпомагат съда и органите на досъдебното производство при събирането и записването на компютърни информационни данни чрез прилагане на специални технически средства само когато това се налага за разкриване на престъпления по ал. 2”
Т.е. съгласно НПК те са длъжни да предоставят тези данни само за разкриването на „тежки умишлени престъпления“, а съгласно ЗЕС – за почти всички престъпления.

Чл. 250в разширява правото за искане на такава информация върху голям кръг от лица в МВР, МО и ДАНС, които ще отправят искането си до дирекция ОТИ, а следователно възможността за неконтролирано следене на трафика нараства, тъй като съгл. чл. 250в, ал. 3 регистърът за направените искания не е публичен и не е ясно кой и как може да има достъп до него, за да провери евентуалните злоупотреби. При това този регистър не гарантира, че ОТИ няма да използва интерфейса за нерегламентирано следене на трафичните данни.

Чл. 251, ал. 2 въвежда института на съдебното разрешение за достъп до трафичните данни, което е положително решение.

Положително се отнасяме към възможността да се предоставят данни на страни, с които имаме международен договор, влязъл в сила. Известно е че кибер-престъпленията често се осъществяват на територията на една държава, докато извършителят е на територията на друга.

Posted in Data Retention, Нормативна уредба | 6 Comments »