Angielski „Pegaz" (Pegasus) zdominował wyniki wyszukiwania w polskiej wersji wyszukiwarki Google nie za sprawą nagłego przypływu sentymentu Polaków do mitycznego skrzydlatego konia, ale z powodu nagłego upodobania polskich władz do korzystania z izraelskiego programu szpiegującego pod tą samą nazwą.
CGO to izraelska firma informatyczna, która za sowitą opłatą oferuje licencję na korzystanie z najbardziej zaawansowanego na świecie programu szpiegowskiego. Co do zasady oprogramowanie to ma być wykorzystywane przeciwko najgroźniejszym przestępcom, w tym terrorystom, ale ani producent, ani żadna międzynarodowa organizacja nie jest kompetentna, aby weryfikować czy nadzorować sposób jego wykorzystania przez licencjobiorcę.
W konsekwencji program szpiegowski Pegasus jest wykorzystywany przez rządy tych państw, które mogą sobie na niego pozwolić, w dowolnym celu, także do inwigilowania opozycji czy niezależnych dziennikarzy. Jak wskazały badania The Citizen Lab z Toronto, wśród klientów izraelskiej firmy NSO znaleźli się zarówno autokratyczni władcy Arabii Saudyjskiej, jak i rząd Wiktora Orbana.
Analiza The Citizen Lab – niezależnego ośrodka badawczego z Kanady, od blisko dwóch dekad monitorującego stan praw człowieka w sieci – „maluje ponury obraz zagrożeń praw człowieka" wynikających z powszechnego wykorzystania programu Grupy NSO. Według pierwszego raportu z 2018 roku co najmniej sześć krajów, w których wykorzystywany jest Pegasus, „było wcześniej powiązanych z nadużywaniem oprogramowania szpiegującego w celu atakowania społeczeństwa obywatelskiego, w tym w Bahrajnie, Kazachstanie, Meksyku, Maroku, Arabii Saudyjskiej i Zjednoczonych Emiratach Arabskich”.
Według The Citizen Lab, Pegasus jest używany przez kraje, które mają historię nadużyć praw człowieka ze strony państwowych służb bezpieczeństwa. W kilku krajach badawcze potwierdzili motywy polityczne wykorzystania tego oprogramowania szpiegowskiego, co ich zdaniem poddawało w wątpliwość wykorzystanie tej technologia w ramach „uzasadnionych” dochodzeń kryminalnych. W ostatnich latach do tego grona państw zdecydowała dołączyć Polska.
Problemem prawo, nie technologia
Program Pegasus to „tylko" najnowszy produkt na rynku oprogramowania służącego do cyfrowej inwigilacji. Grupa NSO od lat z umiarkowanym sukcesem konkurowała z takimi amerykańskimi potentatami jak Cisco czy BlueCoat Systems.
Nowe technologie oferują nowe możliwości zarówno w walce z przestępczością, jak i w walce o polityczną władzę. Stabilne i równoważone struktury prawne mają zagwarantować, że prawa jednostki będą skutecznie chronione w konfrontacji z silniejszym podmiotem, jakim zawsze jest państwo. W Europie przekonaliśmy się szczególnie dotkliwie o skutkach braku takiej równowagi w połowie minionego wieku, kiedy to dokumenty poświadczające np. wyznanie mniejszości religijnych wpadły w ręce nazistów przejmujących władzę w kolejnych europejskich państwach. Dostęp to takich akt równał się często śmierci osób, których dane były zawarte w tych rejestrach. Dlatego od początku lat 50. minionego wieku wypracowaliśmy w Europie wszechstronny system ochrony praw człowieka, w tym prawa do prywatności i ochrony danych osobowych.
W tym kontekście problemem nie jawi się nowa technologia, ale raczej prawo, które pozwala na jej niekontrolowane użycie czy nadużycie.
Służby specjalne bez ograniczeń?
Sprawa Pegasusa po raz kolejny obnażyła obecny w Polsce od początków III RP problem z regulacją służb specjalnych. Oczywiście prawo krajowe nie może zawierać szczegółowej procedury, która dotyczyłaby wykorzystania każdej nowej technologii, w tym Pegasusa. Przy użyciu tego oprogramowania, tak jak każdej innej dostępnej metody inwigilacji, korzystamy z przepisów powszechnie obowiązującego prawa.
Sprawa Pegasusa po raz kolejny pokazała, że aktualnie obowiązujące w Polsce przepisy nie są dostatecznie precyzyjne, aby zagwarantować skuteczną ochronę praw jednostki przed nadużyciem ze strony organów ścigania czy służb specjalnych. Zakres działania służb specjalnych w Polsce determinowany jest przez szereg aktów prawnych. Wśród nich istotne miejsce zajmują: ustawa o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu, ustawa o działaniach antyterrorystycznych oraz ustawa o policji.
To właśnie znowelizowana w 2016 r. ustawa o policji pozwala na szerokie wykorzystanie dostępnych technologii w celu zdobywania informacji operacyjnych, przy istotnym ograniczeniu niezależnego nadzoru nad stosowaniem opisanych w niej procedur. Przepisy art. 19 tej ustawy pozwalają policji prowadzić kontrolę operacyjną.
Co do zasady, może ona być zarządzona przez sąd okręgowy na pisemny wniosek Komendanta Głównego Policji, złożony po uzyskaniu pisemnej zgody Prokuratora Generalnego, albo na pisemny wniosek Komendanta Wojewódzkiego Policji. Procedura ta ma zagwarantować niezależny, sądowy nadzór nad działaniami organów ścigania. Odzwierciedla ona międzynarodowy standard ochrony prywatności jednostki, który wymaga nadzoru niezależnego sądu nad działaniami organów ścigania.
Zgodnie jednak ustępem 3 omawianego przepisu „w przypadkach nie cierpiących zwłoki", tj. gdy mogłoby to spowodować utratę informacji lub zatarcie, albo zniszczenie dowodów przestępstwa, Komendant Główny Policji może zarządzić, po uzyskaniu pisemnej zgody właściwego prokuratora, kontrolę operacyjną, zwracając się jednocześnie do właściwego miejscowo sądu okręgowego z wnioskiem o wydanie postanowienia w tej sprawie.
W przypadku braku zgody sądu okręgowego, dowody zdobyte w trakcie tak przeprowadzonej kontroli operacyjnej powinny być zniszczone. Warto pamiętać jednak, że niedawne (2016) zmiany kodeksu postępowania karnego pozwalają policji wykorzystać przed sądem także dowody będące „owocami zakazanego drzewa", to jest zdobyte z naruszeniem przepisów prawa. Wyjątek z ust. 3 pozwala na prowadzenie kontroli operacyjnej w „szczególnych sytuacjach", których „szczególny" charakter pozostaje w ocenie m.in. Komendanta Głównego Policji, działającego bez zgody sądu.
Co więcej, wprowadzona nowelizacją zmiana ustawy o policji w artykule 20c pozwala także na gromadzenie tak zwanych danych internetowych. W myśl tego przepisu policja może uzyskiwać dane „niestanowiące treści przekazu telekomunikacyjnego" przetwarzane w ramach usługi świadczonej drogą elektroniczną w celu zapobiegania lub wykrywania przestępstw, albo w celu ratowania życia lub zdrowia ludzkiego.
Zakres danych wskazanych w art. 18 ustawy o świadczeniu usług drogą elektroniczną pozwala np. ustalić lokalizację osoby poddanej tego rodzaju kontroli operacyjnej, numer, pod który wykonywane były połączenia, czy czas ich trwania. Zgodnie z dyspozycją artykułu 20c, dane te mogą być przetwarzane bez wiedzy i zgody osoby, której dotyczą. Przedsiębiorca telekomunikacyjny, na przykład dostawca usługi telefonicznej, zobligowany jest nieodpłatnie udostępniać dane policjantowi dokonującemu kontroli operacyjnej.
Polskie postępowanie karne nie przewiduje procedury pozwalającej na uzyskanie informacji o pozostawaniu w kręgu zainteresowania służb. Informacja taka, inaczej niż w innych państwach europejskich, nie jest udostępniana osobie objętej inwigilacją także po jej zakończeniu. W tym świetle zastosowanie programu Pegasus do inwigilacji osób podejrzanych przez organy ścigania o podejmowanie działań stanowiących zagrożenie dla interesów państwa czy jednostki może zostać uznane za mieszczące się w obowiązujących przepisach prawa.
Rozmawiać więc powinniśmy nie o sposobie stosowania tej konkretnej technologii, ale o właściwych procedurach, które powinny zabezpieczać interesy jednostki przed nieuzasadnioną, nieproporcjonalną ingerencją w jej prawa podstawowe dokonywaną przez państwo.
Propozycje reform
W ostatnich miesiącach wiele w Polsce mówi się o potrzebie reformy przepisów prawa dotyczących służb specjalnych. Kilka postulatów pojawiło się w debacie publicznej, w tym m.in. przygotowany w 2019 roku raport "Osiodłać pegaza". Wspomniany dokument zawiera m.in. propozycję stworzenia niezależnego organu do spraw kontroli nad działalnością służb specjalnych oraz wprowadzenia do polskiej procedury karnej przepisów pozwalających jednostce na zdobycie informacji, iż była przedmiotem zainteresowania ze strony uprawnionych instytucji.
Obowiązujące w Polsce przepisy o ochronie danych osobowych powinny pozwalać inwigilowanej osobie także na zdobycie informacji o tym, jakie dane osobowe i w jaki sposób były przez służby przetwarzane. Wspomniany powyżej raport zawiera także szczegółową analizę istniejących mechanizmów nadzoru nad policją, strażą graniczną czy Służbą Ochrony Państwa oraz spostrzeżenia, iż nadzór nad służbami, w kształcie w jakim obecnie funkcjonuje w Rzeczypospolitej Polskiej, jest niezupełny: brakuje w nim bowiem „skutecznych bezstronnych i niezależnych mechanizmów" weryfikowania działalności służb specjalnych.
Ten krajowy raport, opracowany przez organizacje pozarządowe, odzwierciedla zaniepokojenie wyrażone w raporcie Komisji Weneckiej, analizującej zmiany w ustawie o policji wprowadzone w 2016 roku. To te zmiany, opiewające między na innymi wspomniany powyżej artykuł 20, pozwoliły służbom na gromadzenie w szerokim zakresie danych internetowych, w tym tak zwanych metadanych, dotyczących na przykład czasu trwania połączenia czy geolokalizacji urządzenia w czasie trwania owego połączenia.
Komisja Wenecka w raporcie 2016 roku przeanalizowała poprawki do ustawy o policji, zaś przedmiotem jej szczególnego zainteresowania stały się gwarancje przed nadużywaniem narzędzi do inwigilacji. Znajdziemy w raporcie opis międzynarodowych standardów wymagających od państw wprowadzenia i stosowania precyzyjnych przepisów, które stosowane będą pod nadzorem sądów względem określonych jednostek. To zasady fundamentalne dla każdego demokratycznego państwa prawa, jakim w myśl Konstytucji jest także Rzeczpospolita Polska. Wymagają one, aby nadzór nad służbami specjalnymi był szczególnie skuteczny i precyzyjny w związku z władzą, jak jest im przez społeczeństwo oddelegowana.
Polskie przepisy a standard ochrony prywatności
Komisja Wenecka poddała analizie m.in. zapisy artykułu 19 polskiej ustawy o policji. W raporcie odnajdziemy więc odniesienia do tych przestępstw, których popełnienie może uzasadnić zastosowanie także zaawansowanych metod podsłuchowych.
Przedmiotem zainteresowania Komisji była przede wszystkim zasada proporcjonalności. Wymaga ona, aby skutecznie chronione były prawa jednostki zawsze wtedy, kiedy mają one zostać ograniczone ze względu na ochronę np. interesów państwa. Ograniczenie praw jednostki nastąpić może więc jedynie wtedy, gdy osiągnięcie zamierzonego przez ustawodawcę celu, np. zapobieganie przestępstwu, nie może być skutecznie zapewnione bez ograniczenia jej praw.
W opinii Komisji Weneckiej polska ustawa o policji po nowelizacji nie jest dostatecznie precyzyjna, kiedy ustanawia zakres podmiotów uprawnionych do podejmowania aktywności inwigilacyjnej i gromadzenia danych, w tym metadanych i danych internetowych. Aktualne przepisy pozwalają na zastosowanie inwigilacji względem jakiejkolwiek osoby czy grupy osób, w tym tych pozostających w stosunku towarzyskim czy rodzinnym z podejrzanym, o ile zastosowane środki pozwolą ujawnić informacje, które w konsekwencji ostatecznie mogą przyczynić się do osiągnięcia celów przyświecających gromadzeniu danych, w myśl art. 19 par. 1 i art. 20c ustawy o policji, omówionych powyżej.
Ponadto, zapisana w prawie praw człowieka zasada przewidywalności wymaga, by ustawa o policji zdefiniowała zakres relacji, w jakich powinni pozostawać ci, którzy są przedmiotem inwigilacji do podejrzanego o popełnienie przestępstwa. Oczywiście, inwigilacją taką objęte mogą być osoby podejrzane o popełnienie konkretnych przestępstw, lecz wykorzystanie możliwości, jakie dają nowe technologie, pozwala jednocześnie gromadzić informacje o osobach postronnych.
Aby wypełnić dyspozycje prawa praw człowieka, ustawa powinna precyzyjnie ograniczać krąg osób objętych działaniami operacyjnymi. Inne osoby, te które pozostają w kontakcie z podejrzanymi w pewnych okolicznościach, nie powinny stać się przedmiotem inwigilacji, biorąc pod uwagę choćby standardy art. 8 Europejskiej Konwencji Praw Człowieka i jego paragrafu 2, zawierającego klauzulę limitacyjną.
Istotne jest, aby prawo krajowe precyzyjnie przewidywało okoliczności, w których osoby nie objęte bezpośrednio podejrzeniem popełnienia czynu karnego nie były objęte inwigilacją. Ustawa mogłaby dopuścić zastosowanie takich środków wyjątkowo, np. jedynie w przypadku uzasadnionego podejrzenia popełnienia szczególnie niebezpiecznych przestępstw, jak te, którym przyświeca motywacja terrorystyczna, czy za którymi kryje się obrót substancjami zakazanymi.
Dodatkowe zagrożenie dla praw jednostki wynika z wprowadzonych w 2016 roku zmiany kodeksu postępowania karnego. Te zmiany pozwalają organom ścigania przedstawianie przed sądem tak zwanych owoców zatrutego drzewa. Ta konstrukcja procesowa, zaczerpnięta ze Stanów Zjednoczonych, ma co do zasady zakazywać wykorzystania przed sądem dowodów zdobytych z naruszeniem prawa i postrzegana jest jako jedna z gwarancji stojących na straży państwa prawa. W 2016 roku Polska zdecydowała z niej zrezygnować.
Zmiany prawa wprowadzone w 2016 roku w założeniu miały odzwierciedlać przepisy Dyrektywy policyjnej 2016/680, która wymaga określonego standardu gromadzenia i przetwarzania danych osobowych przez policję i inne służby.
Istnieje więc europejski standard, którego implementacja pozwoliłaby na skuteczną ochronę praw jednostki. Polska takiej implementacji nie przeprowadziła. Tym samym uznać należy, iż istnieją w Europie przykłady dobrej praktyki, które mogłyby posłużyć za wzór dla rozwiązań krajowych. I tak, na przykład model holenderski zakłada istnienie reprezentatywnej dla wielu grup interesów komisji parlamentarnej, która ściśle nadzoruje działania służb. Precyzyjne rozwiązania, z których mogłaby skorzystać Rzeczpospolita Polska zawarte zostały także między inni w raporcie Komisji Weneckiej i wspomnianym tutaj już raporcie organizacji pozarządowych.
Podsumowując, odnotować należy, iż to nie nowoczesne rozwiązanie informatyczne stanowią zagrożenie - program Pegasus nie jest szczególnym zagrożeniem dla praw jednostki w Polsce. Stanowi on jedynie nowoczesne narzędzie, mające wspierać państwo w walce ze współczesnymi zagrożeniami, takimi jak zorganizowana przestępczość czy terroryzm. Każde narzędzie, także to najbardziej zaawansowane, może jednak być wykorzystane niewłaściwie.
Standard właściwego wykorzystania narzędzi służących do inwigilacji znajduje się w międzynarodowym prawie praw człowieka i w prawie europejskim. Mógłby on znaleźć swoje odzwierciedlenie także w prawie krajowym. Dopóki tak się jednak nie stanie, każde kolejne nowe oprogramowanie, ale i stare znane służbom metody inwigilacji, będą stanowiły rosnące zagrożenie dla praw jednostki.
Joanna Kulesza
Dr Joanna Kulesza jest adiunktem w Katedrze Prawa Międzynarodowego i Stosunków Międzynarodowych na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego