Svet Evrope je v okviru delovne
skupine, ki spremlja izvajanje Konvencije o kibernetski kriminaliteti (Cybercrime Convetnion Committee, T-CY)
maja 2015 pripravil dokument na temo dostopa do podatkov v oblaku za potrebe
kazenskega pravosodja (Discussion Paper:Criminal Justice Access to Data in the Cloud: Challenges, LINK), v katerem
so se osredotočili predvsem na vprašanja pristojnosti in mednarodne pravne
pomoči. Osrednja odprta vprašanja in izzivi, ki so jih v zvezi s tem
identificirali in izpostavili strokovnjaki, so naslednja.
a/ Na področju pristojnosti (jurisdiction):
- na organe katere države naj bo naslovljena
zahteva za podatke s strani napadene države (oz. države oškodovanca), če kraj
izvršitve kibernetskega kaznivega dejanja ni jasen, če je upravljavec podatkov
skrit za kopico ponudnikov internetnih storitev ali če se podatki gibljejo (v
fragmentarni obliki ali v kopijah) med več jurisdikcijami?
- kaj naj bo osnova za določanje sodne pristojnosti. Lokacija ali podatki? Državljanstvo lastnika podatkov? Lokacija lastnika podatkov? Državljanstvo upravljavca podatkov? Lokacija upravljavca podatkov? Domicil ponudnika storitev v oblaku? Domicil podružnice ponudnika storitev v oblaku? Teritorij, kjer ponudnik storitev v oblaku trži svoje storitve? Pravo države, v kateri je lastnik podatkov najel storitev v oblaku? Teritorij, na katerem deluje organ kazenskega pravosodja?
- kaj dejansko pomeni »ponujanje storitev na teritoriju« iz člena 18.1.b Konvencije o kibernetski kriminaliteti?
- ali je res potrebno aktivirati institute mednarodne pravne pomoči, če domače sodišče izda odredbo za prestrezanje komunikacije med dvema osebama na teritoriju domače države, ponudnik storitev pa bo tehnično izvedel prestrezanje na strežniku, lociranem v drugi državi? V kakšnem obsegu bi bila s tem prizadeta suverenost te druge države? V kakšnem obsegu bi bile s tem kršene pravice obdolžencev? Velja enako za zahteve po vsebinskih podatkih?
- kaj naj bo osnova za določanje sodne pristojnosti. Lokacija ali podatki? Državljanstvo lastnika podatkov? Lokacija lastnika podatkov? Državljanstvo upravljavca podatkov? Lokacija upravljavca podatkov? Domicil ponudnika storitev v oblaku? Domicil podružnice ponudnika storitev v oblaku? Teritorij, kjer ponudnik storitev v oblaku trži svoje storitve? Pravo države, v kateri je lastnik podatkov najel storitev v oblaku? Teritorij, na katerem deluje organ kazenskega pravosodja?
- kaj dejansko pomeni »ponujanje storitev na teritoriju« iz člena 18.1.b Konvencije o kibernetski kriminaliteti?
- ali je res potrebno aktivirati institute mednarodne pravne pomoči, če domače sodišče izda odredbo za prestrezanje komunikacije med dvema osebama na teritoriju domače države, ponudnik storitev pa bo tehnično izvedel prestrezanje na strežniku, lociranem v drugi državi? V kakšnem obsegu bi bila s tem prizadeta suverenost te druge države? V kakšnem obsegu bi bile s tem kršene pravice obdolžencev? Velja enako za zahteve po vsebinskih podatkih?
b/ Na področju mednarodne pravne
pomoči (mutual legal assistance):
- ali je realno pričakovati, da se bo število
poslanih, prejetih in obdelanih zahtev za mednarodno pravno pomoč pomnožilo
100-x, 1.000-x ali celo 10.000-x? Ali so države sposobne občutno povečati
resurse za učinkovito obdelavo zahtevkov za mednarodno pravno pomoč ne le na
ravni centralnih državnih organov, pristojnih za nudenje mednarodne pravne
pomoči, ampak tudi na ravni sodišč, tožilstva in policijskih postaj, ki te
zahtevke pripravljajo oz. obdelujejo?
- kakšen je razumen čas za pridobitev podatkov iz tuje države? Ali je to mogoče definirati z zavezujočim pravnim aktom?
- ali je možno oz. sprejemljivo oblikovati milejši režim za pridobivanje podatkov o naročnikih (subsrciber data), npr. hitro razkritje?
- katere dodatne mednarodno-pravno zavezujoče rešitve bi lahko prišle v poštev za učinkovit dostop organov kazenskega pravosodja do določenih podatkov , ki jih potrebujejo pri posamezni preiskavi, in ki se nahajajo v tuji ali neznani državi oz. jurisdikciji?
- kakšen je razumen čas za pridobitev podatkov iz tuje države? Ali je to mogoče definirati z zavezujočim pravnim aktom?
- ali je možno oz. sprejemljivo oblikovati milejši režim za pridobivanje podatkov o naročnikih (subsrciber data), npr. hitro razkritje?
- katere dodatne mednarodno-pravno zavezujoče rešitve bi lahko prišle v poštev za učinkovit dostop organov kazenskega pravosodja do določenih podatkov , ki jih potrebujejo pri posamezni preiskavi, in ki se nahajajo v tuji ali neznani državi oz. jurisdikciji?
Od odgovorov na ta in sorodna vprašanja je in bo bistveno odvisna (z)možnost kazenskega pravosodja, da se konstruktivno in učinkovito odziva tudi v dobi velikih podatkov, v katero smo nekako padli brez posebnega opozorila (in priprave), in ki jo med drugim zaznamujejo nove oblike izvrševanja (tudi sicer starih oz. klasičnih) kaznivih dejanj.
V zvezi s tem je pomembno tudi
opozorilo Sveta Evrope, da je v zvezi z masivnim zbiranjem podatkov in s tem
povezanimi nadzornimi sistemi treba ustrezno ločevati kazensko pravosodje od
nacionalne varnosti. Organi kazenskega pravosodja izvajajo preiskave konkretnih
primerov in pridobivajo podatke za uporabo v sodnih postopkih. Kadar takšne
preiskave trčijo ob človekove pravice, so predmet varovalk pravne države, vključno s predhodno ali naknadno sodno kotrolo. To je precej drugače od zbiranja masovnih
podatkov na zalogo za potrebe nacionalne varnosti. Oz. kot je dejala namestnica
generalnega sekretarja Sveta Evrope Gabriella Battaini-Dragoni (LINK): “A big part of the problem is confusion, in
the political debate, between covert surveillance by national security services
on the one hand, and measures used in criminal investigations – also known as
special investigation techniques – on the other. Criminal investigations
require access to specified data for specific cases. Bulk interception of data
for national security purposes is a very different story, and there are serious
concerns regarding democratic oversight of this activity. [...] We need more
effective criminal justice; we need stronger safeguards when it comes to
surveillance by the security services. What we don’t need is ongoing confusion
between the two.”
Ni komentarjev:
Objavite komentar