6 bombe din legea Big Brother 2. Judecătorii CCR și-au motivat decizia după care Maior a demisionat
Motivarea CCR pentru decizia de neconstituționalitate a legii privind securitatea cibernetică a României, supranumită Big Brother 2, detaliază în peste 40 de pagini modul în care prevederile Constituției, ale legilor naționale și ale jurisprudenței europene în materie de drepturile omului au fost încălcate. Decizia CCR de pe 21 ianuarie de a desființa această lege adoptată de Parlament la inițiativa Guvernului, cu concursul SRI, a fost a treia într-un șir de ciocniri insituționale care s-au întins pe parcursul anului trecut, până în prezent, și care au culminat cu un interviu virulent al directorului SRI George Maior și cu demisia sa, după cum a arătat gândul.
„Curtea constată că întregul act normativ suferă de deficiențe sub aspectul respectării normelor de tehnică legislativă, a coerenței, a clarității, a previzibilității, de natură a determina încălcarea principiului legalității, consacrat de art.1 alin.(5) din Constituție”, este principala concluzie a judecătorilor CCR despre legea Big Brother 2.
Legea respectivă stabilea că toate persoanele juridice de drept public sau privat, care dețin infrastructuri cibernetice (rețele de calculatoare sau servere) sunt obligate să își asigure din resurse proprii securizarea acestora în cazul unui atac cibernetic și să acorde acces necondiționat la echipamentele și la datele solicitate de instituțiile de siguranță națională, coordonate de SRI, doar în baza unei solicitări motivate, fără mandat judecătoresc.
Gândul vă prezintă principalele abateri flagrante ale acestei legi de la normele juridice, constatate de judecătorii CCR.
CCR: Este nevoie de un organism civil, nu militar, care să supervizeze securitatea cibernetică a României
Judecătorii își încep argumentația citând dintr-o hotărâre a CEDO din 1978, dintr-o speță împotriva Germaniei, în care se arată că „societățile democratice sunt amenințate în prezent de modalități complexe de spionaj și de terorism, astfel că statul trebuie să fie capabil, pentru a combate eficient aceste amenințări, să supravegheze în mod secret elementele subversive care operează pe teritoriul său”. Totuși, CEDO în decizia sa aprecia și pericolul „de a submina, chiar de a distruge democrația sub motivul apărării acesteia, afirmă că statele nu pot lua, în numele combaterii spionajului și terorismului, orice măsură pe care acestea o consideră adecvată„.
Astfel, CCR apreciază că „pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înființarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor și rețelelor cibernetice, precum și a informației, care să constituie punctul de contact pentru relaționarea cu organismele similare din străinătate, inclusiv al cooperării transfrontaliere la nivelul Uniunii Europene, trebuie să vizeze un organism civil, care să funcționeze integral pe baza controlului democratic, iar nu o autoritate care desfășoară activități în domeniul informațiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii”.
CCR pledează astfel pentru un organism civil, nu o „entitate militară”, precum SRI, care să joace acest rol. Justificarea: „necesitatea preîntâmpinării riscului de a deturna scopul legii securității cibernetice în sensul folosirii atribuțiilor conferite prin această lege de către serviciile de informații în scopul obținerii de informații și date cu consecința încălcării drepturilor constituționale la viață intimă, familială și privată și la secretul corespondenței”.
CCR constată că Centrul Național de Securitate Cibernetică, organismul coordonat de SRI care ar fi urmat, conform legii Big Brother 2, să se ocupe de implementarea și supravegherea acestei legi, nu îndeplinește aceste condiții.
CITEȘTE AICI MOTIVAREA INTEGRALĂ A CCR
SRI își dădea singură acces la date personale, fără control judecătoresc
Judecătorii CCR analizează pe larg cel mai controversat articol al legii, numărul 17, care stipula accesul necontrolat la infrastructurile cibernetice ale firmelor și instituțiilor, doar în baza unei „solicitări motivate”.
CCR analizează mai întâi tipul de date la care SRI și celelalte instituții abilitate de legea respectivă – toate serviciile secrete, inclusiv MAI și MApN, ar fi avut acces. Chiar dacă legea nu menționează datele cu caracter personal, judecătorii au considerat că „având în vedere că infrastructurile cibernetice constau în sisteme informatice, în rețele și servicii de comunicații electronice, care facilitează stocarea și transferul de date, apare ca fiind evident că tipul de date cuprinse în aceste sisteme și rețele sunt inclusiv date care privesc viața privată a persoanelor utilizatoare”.
Legea prevedea că SRI va avea acces doar la datele „relevante în contextul solicitării”, mai precis în cazul unui atac cibernetic. CCR arată însă că această formulare vagă „permite interpretarea potrivit căreia autorităților desemnate de lege trebuie să li se permită accesul la oricare din datele stocate în aceste infrastructuri cibernetice, dacă autoritățile apreciază că respectivele date prezintă relevanță. Se remarcă, astfel, caracterul nepredictibil al reglementării, atât sub aspectul tipului de date accesate, cât și al evaluării relevanței datelor solicitate, de natură să creeze premisele unor aplicări discreționare de către autoritățile enumerate în ipoteza normei. Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare și transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de conținut. Lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării evenimentelor survenite în spațiul cibernetic (amenințări, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autorităților competente„.
Cel mai important, CCR arată că „accesul la un sistem informatic în scopul obținerii acestor date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art.138 alin.(13) din Codul de procedură penală, măsură care poate fi dispusă doar în condițiile art.140 (de către judecător) sau a art.141 (de către procuror, pentru o durată de maxim 48 de ore)„.
Al doilea aspect analizat de CCR în legătură cu accesul la date al SRI este modalitatea de acces.
Judecătorii arată că legea precizează doar autoritățile care au acest drept de acces prin solicitare motivată, fără să specifice exact cum se va desfășura accesul propriu-zis la date. Reamintim că, în acest sens, SRI a publicat o reprezentare grafică rudimentară a unei operațiuni ipotetice a SRI în baza acestei legi.
Astfel, „persoanele ale căror date au fost păstrate (nu) beneficiază de garanții suficiente care să le asigure protecția împotriva abuzurilor și a oricărui acces sau utilizări ilicite„, arată CCR.
„Legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces și pot utiliza ulterior datele păstrate, și nu stabilește că accesul autorităților naționale la datele stocate este condiționat de controlul prealabil efectuat de către o instanță judecătorească, care să limiteze acest acces și utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanțiile legale privind utilizarea în concret a datelor reținute nu sunt suficiente și adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, așa încât manifestarea acestora să aibă loc într-o manieră acceptabilă„, arată CCR.
Același lucru se întâmplă și în cazul „solicitării motivate” în baza căreia SRI urma să primească accesul la date. Nici ea nu era supusă vreunui control judecătoresc: „solicitările de acces la datele reținute în vederea utilizării lor în scopul prevăzut de lege, (…) nu sunt supuse autorizării sau aprobării instanței judecătorești, lipsind astfel garanția unei protecții eficiente a datelor păstrate împotriva riscurilor de abuz precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date. Această împrejurare este de natură a constitui o ingerință în drepturile fundamentale la viață intimă, familială și privată și a secretului corespondenței și, prin urmare, contravine dispozițiilor constituționale care consacră și protejează aceste drepturi”.
Serviciile secrete intră oriunde, fără mandat
Judecătorii mai identifică un viciu masiv al legii, în faptul că autoritățile cu atribuții de monitorizare și control – servicii secrete și instituții de siguranță națională menționate în lege – aveau dreptul să solicite declarații sau orice documente necesare pentru efectuarea controlului, să facă inspecții, inclusiv inopinate, la orice instalație, incintă sau infrastructură, destinate ICIN, și să primească, la cerere sau la fața locului, informații sau justificări. Aceste lucruri urmau să se desfășoare de asemenea în lipsa oricărui control judecătoresc, ele fiind în fapt, tehnic vorbind, niște percheziții.
CCR arată că acest lucru „presupune accesul la o anumită locație, cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare și transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune în discuție protecția drepturilor constituționale la viață intimă, familială și privată și la secretul corespondenței. Or, în măsura în care noțiunile cu care legea operează (instalații, incinte și infrastructuri) nu sunt în mod predictibil determinate, iar sfera datelor asupra cărora se realizează controlul este incertă, Curtea apreciază că legea criticată nu reglementează garanții care să permită o protecție eficientă împotriva riscurilor de abuz, precum și față de orice accesare și utilizare ilicită a datelor cu caracter personal. În vreme ce noțiunea de infrastructură cibernetică e definită prin lege, noțiunea de instalație folosită în textul de art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o rețea sau serviciu de comunicații electronice, având în vedere domeniul de reglementare al legii și definițiile cuprinse în aceasta, astfel că accesul la aceste sisteme informatice nu poate fi permis decât cu autorizarea judecătorului. De asemenea, noțiunea de incintă poate semnifica și locul unde se găsesc aceste sisteme informatice, caz în care Curtea reține că sunt aplicabile dispozițiile privind percheziția domiciliară prevăzută de art.157-167 din Codul de procedură penală, în sensul că această măsură nu poate fi dispusă decât de un judecător”.
SRI centrează, SRI dă cu capul, SRI înscrie
Judecătorii CCR mai arată o altă „situație inacceptabilă pentru o societate guvernată de principiile statului de drept”. Este vorba despre concentrarea puterii de implementare, control și sancționare în mâinile unei singure instituții: SRI.
Astfel, persoanele juridice care dețin infrastructuri cibernetice de interes național (ICIN) erau obligate conform legii să perimită auditări de securitate, la solicitarea motivată a autorităților competente.
„Auditările sunt realizate de SRI sau de către furnizori de servicii de securitate cibernetică. Cu alte cuvinte, întrucât SRI este autoritate națională în domeniul securității cibernetice, deci autoritate competentă, potrivit legii, să solicite persoanelor juridice de drept public sau privat care dețin sau au în responsabilitate ICIN efectuarea unor auditări de securitate cibernetică, există posibilitatea reală ca această instituție să se afle concomitent în poziția solicitantului auditului, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului și, în fine, în poziția celui care constată o eventuală contravenție (…). Or, o atare situație este inacceptabilă într-o societate guvernată de principiile statului de drept. Dispozițiile legale sunt susceptibile de a genera o aplicare discreționară, chiar abuzivă a legii, fiind nepermis ca toate atribuțiile din domeniul reglementat să fie concentrate în sarcina unei singure instituții„, arată judecătorii CCR.
Nimeni nu are dreptul să conteste deciziile SRI
„Din analiza legii, Curtea reține că aceasta omite să reglementeze posibilitatea subiecților cărora le este destinată legea, în sarcina cărora au fost instituite obligații și responsabilități, de a contesta în justiție actele administrative încheiate cu privire la îndeplinirea acestor obligații și care sunt susceptibile a prejudicia un drept sau un interes legitim„, se arată în motivarea deciziei CCR.
Brambureala instituțiilor: Președinția, Parlamentul, Guvernul sunt și controlori, și controlate
CCR arată că legea dă atribuții de monitorizare și control Camerei Deputaților, Senatului, Administrației Prezidențiale, Secretariatul General al Guvernului și CSAT-ului, în condițiile în care aceste instituții nu sunt menționate ca atare în lista autorităților care au aceste atribuții.
„Rezultă că, pe de o parte, Parlamentul, Administrația Prezidențială, Secretariatul General al Guvernului și CSAT au obligația, de exemplu, de a permite efectuarea unor auditări de securitate cibernetică efectuate de SRI sau de a notifica CNSC cu privire la riscurile și incidentele cibernetice, pe de altă parte, ele vor monitoriza și controla respectarea acestor obligații, iar, în cazul neîndeplinirii dispozițiilor legale (…), autoritățile își vor aplica lor însele sancțiuni, ca urmare a constatării contravențiilor„, constată CCR.