Žvižgači niso dovolj!

Kaj od Snowdnovih dokumentov smo do sedaj lahko prebrali v medijih?

Izpostavila bom le najodmevnejša razkritja. Prva novica, ki je odjeknila junija 2013, je bila ta, da ameriški operater mobilne telefonije Verizon Nacionalni varnostni agenciji (National Security Agency – NSA) pošilja vse prometne podatke (kdo je koga klical in kdaj) vseh 120 milijonov naročnikov. Guardian in Washington Post hkrati ob prvem razkritju povesta tudi, da je britanska obveščevalna služba (GCHQ) leta 2009 na zasedanju G20 v Londonu prisluškovala vsem tam zbranim diplomatom in da ima ta služba poseben program za spremljanje in shranjevanje internetnega prometa prek optičnih kablov, imenovan Tempora (ameriški sorodnik tega programa je PRISM).

Guardian je junija razkril obstoj programa XKeyscore, zverine, ki omogoča analitikom vpogled (brez odredbe sodišča seveda) v katerokoli e-pošto, spletne klepetalnice in zgodovino brskanja po spletnih straneh milijonov posameznikov. V tistem času je Microsoft razvil program, ki zazna vdore v Outlook in poskuse razbijanja njihove enkripcije. Pet mesecev kasneje NSA brez težav, kljub Microsoftovemu varovalnemu programu, že dostopa do vseh e-predalov Outlooka, saj NSA-jev program PRISM do podatkov pride, še preden se ti tik pred prenosom kriptirajo.

Dokumenti Edwarda Snowdna razkrijejo, da je NSA vohunila po mnogih diplomatskih predstavništvih Evropske unije, vključno z misijo EU pri Združenih narodih in na predstavništvu EU v Washingtonu. Nadzoru se ni izognila niti evropska komisija v Bruslju, najbolj očitna in pogosta tarča pa je bila Nemčija. Izrecno so bile iz ameriškega nadzora izvzete le države, za katere danes vemo, da predstavljajo tako imenovano skupino Petih oči (Five Eyes). Gre očitno za najbolj tesne partnerice ZDA – Avstralijo, Novo Zelandijo, Kanado in Veliko Britanijo.

V mesecu juliju smo lahko brali o tem, da NSA vohuni za milijoni brazilskih e-poštnih predalov in da je nemški obveščevalni službi BND dala dostop do programa XKeyscore v zameno za kopije dveh nemških vohunskih programov, imenovanih Mira4 in Veras. Nemški obveščevalci so od ameriških dobili tudi programsko opremo za nadzor nad mednarodnim prometom, ki poteka prek Nemčije. Francoski časniki poleti poročajo o tem, da francoska obveščevalna služba DGSE izvaja množični nadzor nad komunikacijami, ki ga mediji označijo za nezakonitega in izven vsakega nadzora.

Washington Post julija objavi power-point prezentacijo o tem, kaj vse omogoča 702. člen zakona o tuji obveščevalni dejavnosti (FISA). Prezentacija nam pojasni, da agenti NSA lahko obdelujejo podatke iz dveh virov. V tako imenovanem upstreamu lahko zajemajo podatke, ko ti še potujejo od pošiljatelja do končne destinacije, preko projekta PRISM pa informacije, ki so že prispele na končno destinacijo, zajemajo s strežnikov vseh največjih ameriških ponudnikov oblačnih storitev: Googla, Microsofta, Yahooja, Facebooka, Paltalka, AOL-a, Skypa, YouTuba in Appla.

Avgusta smo prebrali, da je NSA dala Britancem 17,2 milijarde funtov za razvoj projekta, ki je sposoben dobesedno posesati ves telefonski promet iz 200 optičnih kablov na vseh vstopnih točkah v Veliko Britanijo.

Septembra Guardian in New York Times objavita, da je NSA v sodelovanju s tehnološkimi podjetji in GCHQ razvila programe, ki slabijo enkripcijo v komercialnih produktih Hotmaila, Googla, Yahooja in Facebooka. V tem mesecu izvemo tudi za obstoj posebne enote NSA Sledi denarju (Follow the Money), ki vseobsežno nadzira mednarodne finančne transakcije bank in izdajateljev kreditnih kartic. Vse podatke NSA shranjuje v posebni finančni bazi podatkov Tracfin. Izvemo tudi, da ima NSA neposreden dostop do tako imenovanih SWIFT podatkov. Mimogrede izvemo še, da ameriški agenti prisluškujejo brazilski predsednici Dilmi Rousseff.

Oktobra luč zagleda novica, da je NSA od leta 2002 prisluškovala nemški kanclerki Angeli Merkel.

November je mesec, ko mediji pišejo o tajnem dogovoru med GCHQ in NSA, na podlagi katerega so Američani vse od leta 2007 dalje shranili in analizirali milijone telefonskih, internetnih in e-poštnih podatkov nikoli za nič osumljenih britanskih državljanov. Izvemo še, da ima NSA posebno proceduro glede vohunjenja za prebivalci partnerskih držav iz skupine Petih oči, če partnerska država ne dovoli obveščevalne dejavnosti na svojem ozemlju.

In decembrsko, prednovoletno »darilo« NSA planetu Zemlja – Washington Post razkrije, da Američani sledijo lokacijam mobilnih telefonov po vsem svetu in da tako zberejo več kot 5 milijard podatkov na dan. Z analizami lokacij NSA izdeluje zemljevide lastnikov telefonov, ki kažejo na vzorce njihovih dnevnih gibanj v času in prostoru s povezavami vseh uporabnikov mobilnih telefonov, ki prečkajo posameznikove komunikacijske poti.

ZDA so večino razkritih informacij poskušale zanikati in opravičevati nekatere z obstojem pravnih podlag.

Kaj je izvedela posebna skupina EU-ZDA?

Po treh mesecih dela in treh zelo napornih in dolgih sestankih s predstavniki ZDA je ad hoc delovna skupina za varstvo osebnih podatkov EU-ZDA končala svoje delo. Že vnaprej smo vedeli, da gre za misijo iskanja oziroma preverjanja dejstev in da bo naloga, izvedeti kaj več iz prve roke, zelo težka. In tako je tudi bilo, zelo težko smo od ameriških kolegov, predstavnikov ministrstva za pravosodje in Bele hiše, izvlekli karkoli o metodah dela, bolj zgovorni so bili le pri zatrjevanjih, da za vse obstajajo pravne podlage. Poročilo, ki smo ga objavili konec novembra, je treba torej brati kot dokument, ki potrjuje vsaj nekaj od tega, kar o delovanju NSA beremo v medijih. Potrjuje namreč tisto, kar so Američani v tej fazi bili pripravljeni priznati, in seje dvom o tistem delovanju ZDA, o katerem niso hoteli spregovoriti niti besede. Kot članica delovne skupine sem se seveda osredotočila na varstvo osebnih podatkov, strokovnjaki s tega področja smo namreč delali skupaj s strokovnjaki za obveščevalno dejavnost.

Kje so razlike med ZDA in EU največje?

Na drugi strani Atlantika je pojmovanje varstva osebnih podatkov večinoma diametralno nasprotno temu, kar zagovarjamo v EU. Temeljne razlike lahko strnem v pet točk:

1. Metapodatki (to so podatki o številu telefonskih klicev, s kom, kdaj in kako dolgo govorimo po telefonu itd., ki jih ZDA zbirajo na podlagi 215. člena domoljubnega zakona – Patriot Act) po razlagi Američanov sploh niso osebni podatki, ker v bazi podatkov ni poleg tudi imena in priimka. V EU so tudi metapodatki nedvomno osebni podatki, saj pri nas uporabljamo standard določljivosti in ne zgolj določenosti osebe. Bistvena razlika med EU in ZDA je tudi v tem, da se pri nas ti podatki hranijo pri operaterjih telekomunikacij. V Sloveniji policija in Sova lahko do njih dostopata zgolj na podlagi odredbe sodišča. V ZDA se vsi ti podatki hranijo neposredno na strežnikih NSA in se do njih lahko za prebivalce ZDA dostopa z odredbo sodišča, za tujce brez. Naj omenim še to, da v EU že dalj časa poteka razprava, ali je hramba tako imenovanih prometnih podatkov o prav vseh, ki uporabljamo telefone (le kdo ga ne), sploh primerna in v skladu z evropsko konvencijo o človekovih pravicah. Tudi Informacijski pooblaščenec je na ustavno sodišče vložil zahtevo za oceno ustavnosti zakona o elektronskih komunikacijah, ki določa hrambo prometnih podatkov. Ustavno sodišče je postopek prekinilo do odločitve Sodišča Evropske unije o ustreznosti direktive, ki določa hrambo prometnih podatkov kot obvezno za vse države članice.

2. Američani ne razumejo zbiranja osebnih podatkov že tudi kot njihovo obdelavo. Obdelava po njihovi razlagi nastopi šele, ko obveščevalci zbrane podatke začnejo analizirati. V EU tudi za zbiranje podatkov veljajo vse obveze, ki izhajajo iz zakonov s področja varstva osebnih podatkov.

3. V ZDA zbrani in analizirani podatki o tujcih iz drugih držav – gre predvsem za informacije, zbrane v okviru projekta PRISM na podlagi 702. člena zakona o tuji obveščevalni dejavnosti, torej tudi o državljanih EU – ne uživajo prav nikakršnega pravnega varstva. Naši osebni podatki, vključno z vsebino elektronske pošte recimo, ki jih NSA zbira od zgoraj omenjenih ponudnikov oblačnih storitev, gredo v analizo brez odredbe sodišča za konkretno osebo, kar pomeni, da 1. in 4. amandma ameriške ustave (Bill of Rights) tujcem, ki prebivajo zunaj ozemlja ZDA, ne zagotavljata prav nobene zaščite. Pravica do svobode izražanja in pravica, da se v zasebnost komunikacij ne sme posegati brez sodne odredbe, v ZDA torej nimata statusa temeljne človekove pravice.

4. Ameriška NSA zbrane podatke redno in aktivno deli s preiskovalnimi organi, zlasti Zveznim preiskovalnim uradom (FBI), Zvezno agencijo za omejevanje prepovedanih drog (DEA) in Zveznim davčnim uradom (IRS). Obveščevalne podatke se »opere« (poskuša legalizirati) in mimo omejitev, ki sicer veljajo za zbiranje dokazov v kazenskem postopku, tudi uporablja v smeri obsodbe osumljenca. Osumljenčeve možnosti za izločitev takih – očitno nezakonitih – dokazov so omejene, saj praviloma sploh ne bo vedel, kako so bili v resnici pridobljeni. Hkrati je prav vladna obljuba o nasprotnem – namreč, da bodo osumljenci v vsakem primeru pravočasno obveščeni o rabi tako pridobljenih dokazov – botrovala temu, da je ameriško vrhovno sodišče v tesni odločitvi (5 proti 4) zavrglo do zdaj najbolj prepričljivo obrazloženo zahtevo za presojo ustavnosti vseobsežnega zbiranja podatkov o elektronskih komunikacijah (zadeva Clapper v. Amnesty International). Slovensko ustavno sodišče je leta 2005 tako sodelovanje med Sovo in policijo izrecno prepovedalo z besedami, da »kršitve človekovih pravic in temeljnih svoboščin v kazenskem postopku niso dopustne niti v 'skrajni sili'«.

5. Načelo sorazmernosti, ki je na koncu, ko so pravne podlage tako ohlapne, da lahko vanje stlačiš tako rekoč kakršenkoli nadzor, še edina zavora za omejevanje pohlepa po podatkih, v ZDA nima prav nobene veljave. Uporabljajo sicer načelo minimizacije, a zgolj zato, da pri zajemanju podatkov z interneta zmanjšujejo možnosti zajema podatkov o prebivalcih ZDA. Za tujce tega načela ne uporabljajo.

Državljani in tujci

To so v grobem glavne razlike v razumevanju pravice do varstva osebnih podatkov. Toda, ali smo v EU kljub strožji zakonodaji kaj boljši? V EU je pravica do varstva osebnih podatkov človekova pravica, kar pomeni, da pripada vsakomur, ne glede na njegovo državljanstvo. Ravnamo torej pri osebnih podatkih tujcev z enako mero previdnosti kot pri svojih državljanih?

Obveščevalna dejavnost na mednarodnih telekomunikacijskih vodih je, kot kaže tudi analiza delovanja NSA, najbolj zamegljeno področje delovanja tajnih služb. Vse države po vrsti zagotavljajo, da državljanom svojih držav ne kršijo temeljnih (človekovih) pravic, a vse po vrsti molčijo, kako nadzor nad telekomunikacijami poteka nad tujci. In vsak prebivalec tega planeta je v vseh državah, razen v svoji lastni, pač tujec. Tujec brez pravic?! Ali res na univerzalnost temeljnih človekovih pravic lahko kar pozabimo? Ali je res prav, da med varnostno-obveščevalnimi službami poteka izmenjava podatkov, ki pomeni eklatanten obid domačega, nacionalnega zakona?

Zgovoren primer najdemo v člankih časnika The Guardian, kjer so zapisali, kako do podatkov obveščevalci pridejo na temelju bilateralnih sodelovanj. Ker ZDA recimo ne morejo prisluškovati in slediti na internetu ameriškim državljanom brez odredbe sodišča, to nalogo prevzamejo bratske agencije, predvsem britanska GCHQ, in seveda obratno – česar Britanci ne morejo dobiti po domači zakonodaji za svoje državljane, je na voljo v samopostrežni trgovini s podatki v programu PRISM v ZDA. Hipokrizija? Da.

Metode dela so pri vseh tajnih službah označene z zaznamkom najvišje tajnosti in v ZDA so celo sodišča, ki odločajo o dopustnosti dela NSA, tajna. Nič nimam proti delovanju obveščevalnih služb, če bi to potekalo po nekih jasnih pravilih, po jasno zapisanih zakonskih določbah (lex certa) in ob močnih nadzornih mehanizmih. Iz zakonskih določb bi torej morali znati prebrati vsaj osnovne metode dela (od kod lahko podatke zajemajo, v kakšnem obsegu itd.).

A dokler bodo metode dela najvišja tajnost, dokler bomo naivno verjeli, da se znajo obveščevalci samoomejevati, o jasnosti zakonskih podlag pač ne moremo govoriti. Dokler nam james bondi ne bodo znali pojasniti, kateri člen točno je pravna podlaga za množičen zajem komunikacij (ang. bulk data collection) na internetnih in telefonskih kablih, kako varnostno-obveščevalne službe pridejo do teh podatkov (ali imajo ves promet preusmerjen k sebi ali z odredbami dostopajo do podatkov pri operaterjih telekomunikacij), kateri člen in pod katerimi pogoji dopušča podatkovno rudarjenje po masi tako zajetih podatkov, kaj se zgodi s podatki, ki niso uporabni, itd., do takrat ne moremo govoriti, da je vse v redu in da pravna država deluje.

K vragu lahko pošljemo tudi pravico do svobode izražanja, če javnost nima (dovolj) informacij, da bi se posamezniki lahko informirano svobodno izražali o primernosti ukrepov varnostno-obveščevalnih služb. Ne zanima me, komu vse tajne službe sledijo in zakaj, me pa nedvomno zanima, katere metode dela se skrivajo za posameznimi (preohlapno) napisanimi zakonskimi določbami. Pravica do svobode izražanja pa trpi tudi zato, ker je naša komunikacija iz leta v leto bolj na udaru, kar vse vodi, čeprav tega na prvi pogled ne opazimo, v omejevanje te pravice, saj informacije ne krožijo več svobodno, ampak nadzorovano. Vse to pušča grenak priokus ob siceršnjem vehementnem zagotavljanju odgovornih, da spoštujejo temeljne človekove pravice.

Obnemoglo ustavno sodišče

In Slovenija? Kot informacijska pooblaščenka že od leta 2007 opozarjam vlado in ustavno sodišče, da so prisluhi na mednarodnih zvezah pri nas urejeni tako, da se poraja močan dvom o ustavnosti ureditve po zakonu o Sovi. Sova jih lahko namreč izvaja zgolj na podlagi odredbe direktorja in ne, tako kot na domačih zvezah, na podlagi odredbe sodišča. Vam zveni podobno, kot to delajo v ZDA? Niste se zmotili.

Ustavno sodišče se ni odločilo za vsebinsko presojo, čeprav je imelo dve priložnosti (tudi ustavno zahtevo predsednika vrhovnega sodišča so, tako kot zahtevo Informacijskega pooblaščenca, ustavni sodniki zavrgli).

Osebno mi je žal. Prvo sodišče v državi seveda prejme najtežja vprašanja in od njega pričakujemo, da jim bo (vsebinsko) kos. Še zlasti bi potrebovali presojo ustavnega sodišča takrat, ko gre za domnevno neustavne posege v človekove pravice s strani varnostno-obveščevalnih služb, od javnosti najbolj oddaljenega in skritega dela državne represije.

Informacijski pooblaščenec bo naredil vse, kar lahko, a tudi naše pristojnosti se ustavijo tam, ko ni več prav nobene možnosti ukrepati, v pravnem polju exceptio illegalis namreč, ko organ, ki ni sodišče, ne more reči »ne priznavam tega zakona« in sprejeti odločitev zgolj na podlagi ustave. Kar je seveda prav, da ne bo pomote. Dejstvo torej je, da imamo upravni organi omejene pristojnosti, zato naj bi ključne odločitve v primeru »slabih« zakonov (odločneje) sprejemala sodišča. Lahko rečem, da mi je vse bolj jasno (tudi zaradi tega, kar vidim v trenutno potekajočem inšpekcijskem nadzoru s strani Informacijskega pooblaščenca nad Sovo), zakaj slovenska vlada ob izbruhu afere Snowden ni zmogla ene same jasne izjave – bodisi obsodbe razkritja trenutno najbolj znanega svetovnega žvižgača bodisi pohvale, ker je sprožil razpravo, ki razkriva do zdaj v trdo temo zakrite aktivnosti varnostno-obveščevalnih služb po vsem svetu. Od naših politikov na oblasti (in tistih, ki tam trenutno niso) nismo slišali ne eno ne drugo. Moramo najprej pomesti pred svojim pragom, kajne?

Če še končam s Timom Barnersom Leejem: »Povsem nam je spodletelo. Če pogledamo, kdo nadzira tiste, ki nadzirajo, imamo samo en odgovor: v praksi so to zgolj žvižgači.«

Dovolj? Ne.

Zasebnost bomo imeli le, če jo bomo zahtevali.