Digitální špiclování uživatelů znovu tématem dne

Nedávné dny přinesly zajímavý vývoj v oblasti uchovávání provozních a lokalizačních údajů. Tedy kolem problematiky, známější spíše podle svého anglického názvu: data retention.

Pro připomenutí: jde o to, že zákon požaduje po poskytovatelích služeb elektronických komunikací, aby po určitou dobu uchovávali dosti podrobná data o tom, co a jak dělají jejich zákazníci. Například: kdo a kdy komu volal, kde se přitom nacházel, kdy a jak se připojili k Internetu atd. Předpoklad je přitom takový, že tato data budou sloužit policejním složkám k řešení závažných trestných činů a k usvědčování pachatelů. U nás se takováto data uchovávají  po 6 měsíců, a platí za to stát ze svého rozpočtu (tj. vlastně my všichni).

Důležité je také to, že nejde o náš tuzemský výmysl, ale o požadavek EU, vyplývající z její směrnice 2006/24/ES. A tu musí (resp. musely) všechny členské země transponovat do své národní legislativy.

Některé země, jako třeba právě Česká republika, šly svého času dokonce daleko nad rámec požadavků předmětné směrnice, a samy si naordinovaly ještě důkladnější sledování aktivit svých občanů. Zde mám konkrétně na mysli vyhlášku č. 485/2005 Sb. připravenou ještě bývalým Ministerstvem informatiky ČR. Skrze ni jsme si dobrovolně uložili například povinné uchovávání údajů i o různých formách komunikace typu instant messaging, či o všech návštěvách různých serverů, poskytujících služby.

Na podzim roku 2008 měla být tato prováděcí vyhláška č. 485/2005 Sb., upřesňující rozsah uchovávání, novelizována (a hlavně „ořezána“) tak, aby se dostala do souladu s direktivou EU, viz můj dobový článek „Přiškrcení českého Velkého bratra“. Můj tehdejší optimismus byl ale bohužel předčasný, protože k novelizaci původní vyhlášky nakonec nedošlo.

Možný důvod naznačuje následující obrázek, ukazující, jak moc jsou v různých členských zemích využívány uchovávané provozní a lokalizační údaje. Na grafu je počet žádostí o poskytnutí takovýchto dat (s tím, že to ještě nemusí odrážet objem skutečně poskytnutých dat, protože na základě jednoho požadavku může být poskytnut i dosti značný objem údajů).

 I tak je ale patrné, že v ČR tento mechanismus využíváme více než hojně. Přesněji: využívají jej ty naše složky, které na to mají právo. A pokud bychom si vše vztáhli na počet obyvatel, nejspíše bychom předstihli i Francii a Velkou Británii, které jinak v absolutních číslech vedou.

Jinde se vzepřeli

Zatímco Česká republika šla sama a dobrovolně nad rámec požadavků EU na data retention (uchovávání provozních a lokalizačních údajů), jiné země alespoň dodatečně zatáhly za brzdu.

Konkrétně v Bulharsku zrušil již v prosinci 2008 tamní nejvyšší správní soud určitá ustanovení národního zákona, zavádějící povinnost data retention. V Rumunsku se tak stalo v říjnu 2009, kdy tamní ústavní soud shledal příslušné požadavky na data retention neústavními.

No a relativně nedáno, počátkem března letošního roku,  shledali  svou národní úpravu data retention v rozporu s ústavou i v sousedním Německu. Tamní Federální ústavní soud dospěl k závěru, že způsob uchovávání dat není dostatečně bezpečný, že není dostatečně jasné, k čemu vlastně mohou a mají být nashromážděná využívána, a že v občanech vše vzbuzuje nepřípustný dojem jejich trvalého sledování. A nařídil okamžité smazání všech takto nasbíraných a uchovávaných dat.

Nicméně tamní  verdikt není úplným odmítnutím myšlenky uchovávat provozní a lokalizační údaje. Soud také příslušná ustanovení neanuloval, nýbrž jen pozastavil jejich účinnost  – a stanovil nové, přísnější podmínky pro možnost obnovení data retention. Zda k tomu dojde, dnes není jasné.

Vzepřít se chce i Česká republika

Zatímco odmítnutí data retention v Bulharsku a v Rumunsku až tak moc rozruchu nepřineslo, dění v Německu už mělo mnohem větší dopady. I další země najednou začaly uvažovat nad tím,  zda jejich úprava data retention není přehnaná a nepřekračuje meze únosnosti.

K zajímavému vývoji došlo i v České republice. A i povaha tohoto vývoje je jakoby „typicky česká“, neboť se objevily hned dva zcela opačné trendy: jeden požadující uvolnění (až odstranění celého data retention), a druhý naopak požadující ještě větší utužení kontroly.

Návrh na ústavněprávní přezkoumání naší tuzemské úpravy data retention (konkrétně příslušných pasáží zákona č. 127/2005 Sb. o elektronických komunikacích a prováděcí vyhlášky č. 485/2005 Sb.) u nás připravilo sdružení Iuridicum Remedium, které dlouhodobě bojuje proti data retention. Podařilo se mu získat podporu 46 poslanců ODS a jedné zelené poslankyně, kteří podepsali připravené podání k Ústavnímu soudu (podrobněji).

Argumenty tohoto podání, směřující proti data retention, jsou obdobné těm německým:

Data o komunikaci všech osob jsou plošně shromažďována bez jakéhokoli podezření z trestného činu. To lze považovat za porušení principu proporcionality, tedy, že rozsah zásahu do práva na soukromí je podstatně vyšší než reálná možnost využití těchto údajů k dosažení stanovených účelů (boj proti kriminalitě, terorismu apod.)

Pravidla přístupu k provozním a lokalizačním údajům nejsou řádně vymezena. Omezen není okruh trestných činů u který mohou orgány data využívat a není poskytnuta zvláštní ochrana pro mimořádně citlivý druh komunikace (např. hovory s advokátem apod.) Policie nemusí získávat souhlas soudu, jako v případě odposlechů, které jsou srovnatelným zásahem do práva na soukromí. Osoby, jejichž osobní údaje byly takto využívány, se o tomto nemusí nikdy dozvědět a tedy se ani nemohou bránit.

Monitorování komunikace může vést k nadměrným zásahům státu do soukromí občanů. Provozní a lokalizační údaje lze využít minulosti, i k velmi přesnému předvídání do budoucna. Mohou být zneužity např. v politickém boji proti opozici a k účinnému omezování nejen práva na soukromí, ale i dalších základních lidských práv.

Zrušíme předplacené karty?

Zajímavým kamínkem, který (alespoň z mého pohledu) zapadá do celkové mozaiky data retention, alias uchovávání provozních a lokalizačních údajů – ale jde přesně opačným směrem, než výše popisované aktivity – je snaha naši policie  domoci se zrušení předplacených karet (u mobilních operátorů).

Nejde přitom o úplnou novinku, protože podobný požadavek měly policejní složky již počátkem roku 2005. Ano, toho roku 2005, ze kterého pochází i již zmiňovaná vyhláška č. 485/2005 Sb., upřesňující rozsah data retention. Tedy z doby, kdy se pravidla data retention formovala. Jestliže obdobné snahy znovu ožívají právě dnes, kdy se o pravidlech data retention a jejich změně či úplném zrušení  bude nejspíše jednat znovu, je to úplná náhoda?

Argument, že anonymita předplacených karet pro mobilní komunikaci může být zneužita, je samozřejmě validní a není možné ho bagatelizovat. Je ale otázkou, co se s tím dá dělat. Pokud se tato anonymita odstraní, nebude to zločincům stejně  úplně jedno, protože tak jako tak to budou umět obejít a nadále komunikovat zcela anonymně? Takže veškerá opatření přinesou jen náklady a komplikace pro ty slušné, a jen úsměv na tváři těch zlých, pro které se prakticky nic nezmění?

Mezi snahami z roku 2005 a nynějšími snahami je ale přeci jen určitý rozdíl. Před pěti lety totiž nebylo požadováno úplné zrušení předplacených karet,  ale pouze jejich „od-anonymizování“. Třeba tak, že držitelé předplacených karet by se museli dodatečně nějak identifikovat svému operátorovi (a skrze něj i státu a jeho policejním složkám). A nově prodávané předplacenky by se už prodávaly konkrétním osobám, které by musely sdělit svou totožnost. Pravdou je, že v řadě zemí to takto už je.

Požadavek z roku 2005 tak nešel proti existenci předplacených karet jako takových, ani proti „předplacenému modelu“ poskytování služeb. Šlo v něm jen o to, že měl být identifikován ten, komu jsou služby s takovýmto modelem placení poskytovány. Přesněji: s kým bylo takovéto poskytování na začátku sjednáno, což může být v praxi něco podstatně jiného.

Dnes je tomu ale jinak. Alespoň podle této televizní reportáže policie chce po poslancích, aby prosadili úplný zákaz předplacených karet. S argumentem, že na 70 % trestných činů se domlouvá z mobilů využívajících předplacené karty, a že skrze ně mohou (například) pedofilové anonymně brouzdat po Internetu.

No, pokud by to policie myslela vážně, určitě by jako úplně první krok měla začít rozlišovat mezi způsobem zpoplatnění a anonymitou zákazníka. Dovolím si předpokládat, že se způsobem zpoplatnění (pre-paid) by problém mít neměla, ale že jí jde o anonymitu toho, kdo tento způsob využívá. Tudíž by neměla požadovat úplné zrušení předplacených karet, vyznívající jako požadavek na zrušení předplaceného modelu zpoplatnění za poskytnuté služby – ale měla by říci na rovinu, podobně jako v roce 2005, že jí jde o odstranění anonymity těch, kdo předplacené karty používají.

Jenže ono na tomto mlžení a matení pojmy možná něco je. Pokud totiž policejní složky argumentují také tím, že přes předplacené karty se dá anonymně dostat na Internet, pak při oddělení samotné anonymity od modelu zpoplatnění by už každému muselo být jasné, že tady jde o samotnou možnost anonymního přístupu k Internetu. A pokud by policie požadovala jeho zákaz, už by si každý snadno domyslel, že by se tento zákaz měl (z podstaty věci) vztahovat  na všechny varianty přístupu k Internetu, které mají anonymní charakter.

Tedy třeba i na všechny veřejné přístupy v restauracích a kavárnách, v knihovnách, ale třeba i na letištích apod. Stejně tak třeba na přístup přes veřejné hotspoty, zpoplatněné skrze nějaké anonymní mechanismy (například skrze předplacené časové kupóny na WiFi  apod.).