Toți furnizorii de comunicații, internet și găzduire cu resurse IP vor fi obligați să permită și să suporte costurile aferente interceptării legale a comunicațiilor de către Serviciul Român de Informații (SRI) ori alte organe de aplicare a legii, potrivit unui proiect de lege care a fost adoptat miercuri de Senat, cameră decizională. Asistăm la o extindere fără argumente a interceptărilor din Codul de procedura penală și a legii SRI, atenționează juristul Bogdan Manolea.
Este de notorietate că SRI profită de orice criză pentru a profita de frică și slăbiciunile politicienilor pentru a obține legi de interceptare și monitorizare cu spectru larg. Fie că e vorba de un accident de elicopter, o dispariție a unei persoane, a unei false amenințări cu bombă, a unui act de corupție etc SRI e mereu acolo, dorind să fie “Ochiul și timpanul” peste tot și toți. Iar parlamentarii care sunt “datori” noilor securiști sau școliți la instituțiile lor acționează negreșit. Pentru “binele” nostru.
Ce conține legea de urmărire online?
Legea adoptată miercuri în Senat transpune în legislație Codul European al Comunicațiilor, un act esențial pentru demararea licitației 5G în acest an, dar care a stârnit mari controverse prin adăugarea unor prevederi ilegale.
Obligă toți furnizorii de comunicații, internet și găzduire să își creeze propria infrastructură de interceptare, pe banii lor, pe care să o pună la dispoziția organelor.
Mai exact, a fost adăugat un nou articol în legea comunicațiilor electronice, care ar fi obligat noi categorii de furnizori să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale, în limitele competenţelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în baza Legii nr. 135/2010 privind Codul de procedură penală.
Cele două categorii de furnizori erau:
- furnizorii de servicii de găzduire electronică cu resurse IP şi
- furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere (adică nu WhatsApp, Facebook, Skype, Signal ori Telegram).
În urma controverselor iscate, senatorii au decis să elimine din sfera de aplicare a legii pe furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere, motivând că aceștia din urmă nu exercită în mod normal un control efectiv asupra transmiterii semnalelor în rețea, gradul de risc aferent unor astfel de servicii putând fi considerat în unele privințe mai redus decât în cazul serviciilor tradiționale de comunicații electronice.
Furnizorii vor fi obligați să permită acces la interceptări și conținutul criptat
Noua categorii de furnizori vizați de legea adoptată azi de Senat este cea a furnizorilor de servicii de găzduire electronică cu resurse IP.
Potrivit juristului Bogdan Manolea, acești furnizori ar fi:
- furnizorul unui serviciul de acces la conținut stocat pe o adresă IP (asta înseamnă practic orice conținut web, indiferent de locație serverului) – de ex. Facebook, Google, dar și găzduitorului unui site din Republica Moldova sau Tuvalu, accesibil din România.
- orice serviciu de CDN – Content Delivery Network accesibil din România (Cloudflare, Cloudfront Akamai, etc.)
- orice furnizori de găzduire cu clienți din România, indiferent de jurisdicția acestuia (Digital Ocean, Godaddy, GTS)
- orice serviciu de cloud, indiferent de locație, dacă conținutul este accesibil din România (Amazon AWS, Google GCP, Azure- Microsoft).
Toți acești furnizori vor fi obligați să sprijine organele de aplicare a legii și organele cu atribuții în domeniul securității naționale, în limitele competențelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare, respectiv:
a) să permită interceptarea legală a comunicațiilor, inclusiv să suporte costurile aferente, pe durata și în condițiile menționate în actele de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare;
b) să acorde, la solicitarea organelor autorizate, în condițiile prezentei legi, conținutul criptat al comunicațiilor tranzitate în rețele proprii, care fac obiectul actelor de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare ;
c) să furnizeze informațiile reținute sau stocate referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente, corespunzătoare adresei IP identificate în actele de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare;
d) să permită accesul la propriile sisteme informatice, în vederea copierii sau extragerii exclusiv a datelor care fac obiectul actelor de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare.
Starea Democrației arată că aceasta lege extinde domeniul și spectrul interceptării reglementat prin Codul de procedură penală, inclusiv pentru organele cu atribuții în domeniul securității naționale,la:
- conținut criptat (practic 80% din traficul www, adică cel care apare în față cu HTTPS + comunicații criptate ca Whatsapp, Signal, Telegram, etc.);
- istoricul navigării web (paginile web vizitate și ora, minutul și secunda fiecărui acces);
- accesul la servere (practic orice informație găzduită, dar nepublică a unei redacții de știri, ONG sau orice firmă privată).
Obligația revine tuturor furnizorilor de găzduire, internet și telecom.
De asemenea, îi obligă pe toți furnizorii de mai sus să își creeze propria infrastructură de interceptare, pe banii lor, pe care să o pună la dispoziția organelor pentru un acces, care va fi imposibil de verificat de cineva din punct de vedere tehnic.
Legea urmează să fie promulgată acum de Iohannis.