Тревогата "разпечатки“ - реалност и нереалност

“Индивидуалният IP-адрес на всеки компютър е толкова важен за следователите, колкото пръстовият отпечатък и ДНК-анализът”.

Обобщението на шефа на немското Сдружение на криминалистите К. Янсен е по повод изготвения на 21-ви декември 2007 г. в Германия Закон за ново регламентиране на контрола върху телекомуникациите и други негласни методи на разследване и прилагане на Директива 2006/24/ЕО. Тази Директива, предизвикала напрежения в цели сектори на гражданското общество в демократична Европа, отново изведе на дневен ред стародавния въпрос: съвместими ли са сигурността и свободата?

Едва ли някой ще отрече, че информационната ера отвори нови необятни възможности пред престъпния свят, демонстрирайки прояви на нови видове престъпност, както и нови похвати за извършване на престъпни деяния. Съвсем естествено е държавата да разполага с адекватен арсенал за противодействие. Твърдо вярвам, че двете ценности – свобода и сигурност – са напълно съвместими. В същото време си давам сметка за дълбоката тревога, обхванала многомилионна Европа, когато националните власти започнаха да въвеждат Директивата. Българските реалности потвърдиха това – темата за личната свобода в информационното общество по повод т. н. “разпечатки” определя актуалния медиен дневен ред през последните 3-4 месеца.

Някои страни-членки на ЕС (Гърция, Холандия, Ирландия) все още не са въвели противоречивата директива, макар срокът да е изтекъл. По този повод Гърция дори бе осъдена от Европейския съд през ноември 2009 г. Някои национални Конституционни съдилища са засипани с искания за отмяна (пример: Румъния). Интересен е германският опит. През юни 2009 г. федералният Конституционен съд отхвърли жалба срещу въведената възможност да се изземва и конфискува електронна поща от сървъра на доставчика – това не представлява нарушение на основното конституционно право, гарантиращо тайната на кореспонденцията. Междувременно са налице и други конституционни жалби срещу Закона за контрола върху телекомуникациите от декември 2007 г. – 34 000 граждани (включително новият министър на правосъдието), подкрепени от 40 депутати, атакуваха задължението на доставчиците на трафични данни да ги съхраняват за срок от шест месеца.

Българският опит

В началото на 2009 г. (ДВ, бр. 17) Законът за електронните съобщения бе променен в две направления: а) съхраняването на трафични данни се обвързва с понятието “тежки престъпления” и престъпления по Глава 9а от НК (компютърни престъпления); б) достъпът до данните се извършва изцяло по реда на НПК и Закона за СРС. С това сякаш се изчерпи цялата законодателна енергия по въвеждането на Директивата в българския правен ред. Вярно е, че националните власти са отчели въвеждането ѝ, но дали това бе направено пълноценно? Да припомним някои от пунктовете ѝ:

- Директивата не се прилага по отношение съдържанието на съобщенията (чл. 1, т. 2);

- данните са достъпни за разследването, разкриването и преследването на сериозни престъпления така, както са определени в националното право (чл. 1, т. 1);

- процедурите за достъп трябва да отчитат изискванията за необходимост и съразмерност и да съответстват на правото на ЕС и публичното международно право (в частност ЕКПЧ и практиката на Съда в Страсбург);

- периодът на запазване на данните е от шест месеца до две години, като при наличие на особени обстоятелства е предвидена възможност за удължаване на периода, за което се уведомява Комисията и държавите-членки (подобна възможност в българския ЗЕС не е заложена);

- в края на периода на запазване данните се унищожават, а до запазените данни достъп има само специално упълномощен персонал (чл. 7);

- всяка държава определя един или няколко публични и независими органи по наблюдение върху сигурността на съхраняваните данни (чл. 9);

- комисията следва да получава ежегодна подробна статистика относно съхраняването и достъпа до данните (чл. 10); нерегламентираният умишлен достъп до данните трябва да се наказва с административни и наказателни санкции, които са ефективни, съразмерни и възпиращи (чл. 13).

Повтарям: последната промяна на ЗЕС фокусира цялото внимание върху спора за процедурата на достъп, без да отчита проблемите със статистиката, наблюдаващия орган, санкциите. Едва ли ще се отрече, че съществува огромен проблем и по трите въпроса (статистика, наблюдаващ орган, санкции). С реализираните промени в ЗЕС за първи път се отрежда място на тези акценти. Комисията за защита на личните данни е наблюдаващ орган със съответни правомощия, вкл. да дава задължителни указания с незабавно изпълнение. Ежегодно до 31-ви март предприятията са задължени да предоставят на КЗЛД статистическа информация, а КЗЛД ежегодно предоставя обобщена информация на Парламента и на ЕК. За първи път са разписани правомощия на парламентарна комисия, осъществяваща контрол и наблюдение на процедурите за достъп до трафични данни, както и за защита правата на гражданите срещу незаконосъобразен достъп. МВР, МО, ДАНС, НРС и ВКП ежегодно предоставят на комисията обобщена информация за исканията, съдебните разрешения, получените и унищожените справки. Ще се дефинира и нов състав на престъпление в Особената част на НК относно противозаконното разкриване на трафични данни.

Доставчиците на данни също трябва да бъдат обект на сериозен надзор, за да не се допуска злоупотреба със съхраняваната при тях информация. Подозренията, че сегашният контрол е рехав или напълно елиминиран, не са лишени от основание, което подхранва опасенията от търгуване с нечисти цели.

Промяната в ЗЕС – открит диалог с общество

Давам си сметка, че когато става дума за служби за сигурност, гражданите не вярват на честната им дума. Но категорично ще заявя, че дебатите по повод ЗЕС не бяха “въоръжена” борба между врагове, защото МВР и гражданското общество са от едната страна на барикадата.

От самото начало ръководството на МВР заяви воля процесът на промяна в ЗЕС да бъде публичен. Проектът бе поставен на сайта на министерството. Последваха обществени обсъждания, впоследствие проектът бе обсъден и гласуван на заседание на МС, след което бе разпределен в четири парламентарни комисии. Всяко заседание на комисия се превърна в ново обществено обсъждане. За първи път от дълго време водещата комисия (КВСОР) проведе открита дискусия пред медии и НПО, а междувременно продължиха срещите на МВР с оператори, щаб на протеста, и т. н.

Дилемата сериозни/тежки престъпления

Директивата позволява достъп до трафични данни, когато става дума за “сериозни” престъпления. Действащият ЗЕС възприема термина “тежки” престъпления (съобразно наказателното право те са наказуеми с лишаване от свобода повече от пет години). Всъщност, приравняването по този повод на т. нар. “разпечатки” със СРС, което бе направено в началото на 2009 г., е нелогично. При СРС става дума за много по-интензивно навлизане в неприкосновената лична сфера, защото достъпно е съдържанието (особено при подслушване и проследяване), докато при разпечатките не е така.

И какво се получи на практика? Предвид огромното забавяне на данните от доставчиците (достигащо до няколко месеца) службите за сигурност бяха “кастрирани” от този способ за разкриване и разследване на престъпления, защото тези данни са нужни най-вече в самото начало на противодействието, дори преди започването на наказателен процес. Стигна се до следния парадокс: в предпочитан вариант се превърна СРС, защото процедурата е много по-стройна и бърза, вместо т. нар. “разпечатка”, с други думи по-често се прилагат СРС-та и по-дълбоко се навлиза в неприкосновената сфера на хората, вместо т. нар. “разпечатки”, дори когато това не е крайно наложително.

В крайна сметка (отчитайки конституционните повели) надделя становището да се съхрани нормата, позволяваща достъп до данни при тежки престъпления, както и при компютърни престъпления по Глава 9а от НК. Вярно е, че при т. нар. “разпечатки” не е достъпно съдържанието. В същото време трябва да се отчита, че трафичните данни разкриват информационното самоопределяне на личността: запазените данни могат да създават профили на индивида. В Европа някои съсловия (данъчни консултанти, лекари, адвокати) чувстват накърнена професионалната си свобода чрез запазването на данните, вкл. довереността на контактите им с клиентите. Въвежда се и още една причина за съхраняване – с цел издирването на лица; става дума за ситуации на безследно изчезнали хора (например изгубени в труднодостъпни местности), когато достъпът до данни е необходим за запазване живота и здравето им, макар да няма признаци за престъпление.

Дилемата окръжен/районен съд

Проектът дефинира звена от службите за сигурност и обществен ред, които могат да искат справки за данните с цел разкриване на престъпления. Те са разположени високо в йерархията (например в МВР са от областна дирекция нагоре). Най-важният елемент от процедурата е съдебният контрол: достъпът се разрешава от председателя на районния съд или оправомощен съдия. Ще посоча три аргумента в подкрепа на тази позиция.

Първо, председателят на окръжен съд дава разрешения за СРС, докато при трафичните данни не става дума за СРС. Второ, председател на районен съд е достатъчна йерархична гаранция от съдебната власт, защото след 2000 г. редовите съдии от районните съдилища могат да разрешават следствени действия и мерки за неотклонение, които накърняват в много по-голяма степен човешки права (претърсване, изземване, задържане под стража и пр.).

Трето, важно е уточнението, че броят на компетентните съдилища не се увеличава, тъй като разрешение ще дава районният съд по седалище на органа, поискал достъп. Доколкото в МВР има 28 областни дирекции, може да се предположи, че 28 районни съдилища (а не всички) ще бъдат ангажирани по повод разрешения за “разпечатки”.

Пет акцента в окончателния текст

Специално внимание заслужават следните положения в приетите на 17.02.2010 г. редакции на ЗЕС.

Първо, като алтернатива на заявения отказ от пряк достъп на МВР до трафичните данни, генерирани от операторите, се въвежда изискване да се осигури възможност за непрекъснато постъпване на съдебните разрешения при доставчиците.

Второ, операторите се задължават да изпратят данните във възможно най-кратък срок, но не по-късно от 72 часа от постъпването на съдебното разпореждане.

Трето, министърът на вътрешните работи или оправомощени длъжностни лица могат да определят конкретен срок за изпращане на данните. По този начин се удовлетворява настоятелното искане на мобилните оператори за откриване на възможност за поставяне на приоритети – очевидно е, че при наличие на спешност данните следва да се предоставят много бързо, дори за броени минути (например при терористичен акт, затрупване от лавини и пр.), в противен случай забавеният отговор ще се окаже без смисъл.

Четвърто, за първи път се отваря възможност комуникацията между заявителите, съда и операторите да протича по електронен път (при спазване Закона за електронното управление и Закона за електронния документ и електронния подпис). Това, разбира се, ще стане постепенно и след редица организационно-технически мерки.

Пето, най-важната норма (според мен), формулирана между първо и второ четене на проекта в НС, е разпоредбата на чл. 250е: Справка за данни, която не се изполва за образуване на досъдебно наказателно производство, следва да се унищожи в 6-месечен срок от тричленна комисия (независимо дали представлява класифицирана информация), за което се изготвя протокол. По този начин се постигат две легитимни общозначими цели: а) усилията на оперативната дейност се насочват към обслужване интересите на наказателния процес; б) невъзможността на данните да послужат за започване на наказателно дело има за неизбежна последица унищожаването на справката.

Два европейски примера

В Германия е налице практика мобилният или интернет-оператор да осъществява връзка чрез специална техническа процедура между служителя на Криминалната полиция и съответния номер. Криминалният полицай може да проследява комуникацията от работното си място (кой с кого се свързва, кога и с каква продължителност). Тук спадат и данните, създадени и съхранени при ползване на телекомуникационни услуги. Също така телефонните разговори могат да се слушат от работното място (т. нар. автоматизирана процедура за справка), в отделни случаи компетентната служба може да поиска необходимите данни и от телекомуникационния оператор (т. нар. ръчна процедура за справка). Разбира се, важно е уточнението, че този достъп се осъществява при неотклонно спазване на всички разрешителни режими.

Аналогичният проекто-закон на Ирландия предвижда достъп до данни да получават (без предварително съдебно разрешение) не само служителите на МВР (всички от определен чин нагоре), но и служители от въоръжените сили, както и от приходната агенция. Освен това е предвидена възможност при спешни случаи данните да се искат устно, а до два работни дни искането се представя и в писмен вид.

Поуката “ЗЕС”

В професионален план дебатите на тема “ЗЕС” оформиха у мен два извода. Първо, вникването в съдържанието на предлаганите норми често се измества от подхранване на ирационални страхове у хората, а понякога позициите се обуславят от самоцелни полит-заигравки, достигащи до откровен лобизъм. Това обаче е неизбежно.

Но по-важен е вторият извод: мнозина бяха наистина разтревожени от първоначалната идея за достъп на СДОТО-МВР до трафичните данни на потребителите и не повярваха на представените законови гаранции срещу злоупотреби. По тази причина е важно новите редакции на закона да проработят – съдебните разрешения за достъп да имат за последица своевременни отговори от страна на операторите, а в същото време гражданите да бъдат спокойни за охраната на личните им данни.