Noua lege a securității cibernetice, discutată azi în Senat, instituie amenzi mai mari decât cele de circulație, pentru o simplă virusare a unui laptop, și ani de închisoare pentru opinii contrare cu cele oficiale, exprimate în mediul online. Plus alte prevederi aberante, care vor militariza Internetul civil și vor da posibilitatea MApN să „cheme la oaste” orice furnizor privat de Internet din România
Proiectul de Lege privind securitatea şi apărarea cibernetică a României a fost adoptat de Camera Deputaților în urmă cu două zile, în forma propusă de Guvern, deși mai multe voci din societatea civilă, inclusiv APADOR-CH, au atras atenția asupra câtorva prevederi aberante din proiectul supus dezbaterii. Această variantă se discută azi în Senat, unde pare puțin probabil să se mai schimbe ceva, judecând după viteza cu care se dorește adoptarea acestei legi așa cum a fost concepută de inițiatori, ignorând complet propunerile venite de la societate.
Pe lângă militarizarea întregului spațiu virtual românesc, sub pretextul securizării sale, legea conține o serie de termeni neclari care lasă loc arbitrariului în aplicarea ei (de la entitățile cărora li se aplică până la definirea neclară a ceea ce înseamnă incident de securitate) și amendează cu sume exorbitante nerespectarea unor prevederi neclare. Iar în final, legea conține și un articol care modifică altă lege, 51/1991 privind securitatea națională, incriminând transmiterea online de opinii contrare cu acțiunile statale. De exemplu niște opinii antivacciniste, exprimate pe Facebook, ar putea fi încadrate ca amenințări la securitatea națională și pedepsite cu dosar penal și eventual închisoare de la 6 luni la 5 ani, conform Codului penal.
1Pe cine vizează legea? Pe noi toți
Legea se aplică rețelelor naționale (gestionate de autorități), dar vizează și orice furnizor de internet şi orice reţele sau sisteme informatice din mediul privat, considerate de interes public, așadar orice instituție de presă, ONG sau entitate privată care furnizează servicii publice ori de interes public vor cădea sub incidența legii. În acest context, APADOR-CH a transmis luna trecută cinci amendamente la forma propusă de Ministerul Cercetării, prin care ceream modificarea sau înlăturarea articolelor care instituie o militarizare a Internetului național, sub pretextul securizării. APADOR-CH consideră că a introduce toate reţelele şi sistemele informatice în sistemul de protecţie a securităţii naţionale este excesiv şi dăunător pentru libertatea de exprimare şi dreptul la viaţă privată.
Ministerul Apărării Naționale (MApN) a pretins că e de datoria lui să apere fruntariile virtuale ale Internetului, inclusiv pe cel civil, la fel cum apără spațiul aerian și maritim al țării. Totuși, ca o concesie făcută societății civile, a promis că va renunța la articolul 30 din proiect, care prevedea că MApN poate convoca mediul privat pentru formare şi instruire periodică, după cum apreciază necesar, pe baza unor criterii pe care tot MApN le va stabili printr-o lege pe care urmează să o iniţiere. Nu s-a ținut de cuvânt, prevederea a rămas și în forma adoptată de Camera Deputaților, dar la articolul 31, iar, în loc de lege, acele criterii se vor stabili prin HG.
APADOR-CH consideră că legea are nevoie de o mai mare precizie la stabilirea domeniului de aplicare, prin evitarea formulărilor ambigue (de la articolul 3), pentru a putea fi stabiliți foarte clar destinatarii legii, mai ales că în sarcina acestora sunt prevăzute obligații, însoțite de sancțiuni severe, în caz de nerespectare a obligațiilor.
2
Ce înseamnă incident de securitate cibernetică? Se notifică sau se comunică?
Conform noii legi, orice incident de securitate trebuie „notificat” către Platforma naţională pentru raportarea incidentelor de securitate – PNRISC în termen de 48 de ore. În caz contrar sunt prevăzute amenzi usturătoare. Legea nu este clară, însă, nici la definirea incidentelor de securitate cibernetică. Acestea sunt definite aparent la art. 2 lit. n din proiect, dar definiția nu este clară, fiind făcută prin trimitere la noțiunea de „securitate cibernetică”, definită și ea la art. 2 lit. y din proiect, dar care suferă tot de lipsa clarității.
Ambiguitatea celor două definiții legale poate duce la situația din practică în care orice nefuncționare a unui laptop să poată fi considerată incident de securitate cibernetică. Este nevoie ca în proiect să fie definite mult mai clar și previzibil cele două noțiuni, de care sunt legate multe și importante obligații ale deținătorilor de laptopuri.
De exemplu, în timpul dezbaterii publice organizate de Ministerul Cercetării pe marginea acestui proiect de lege, a avut loc un incident de securitate: un participant la dezbatere a afișat mai multe imagini porno chiar pe ecranul din spatele prezidiului oficial, profitând de posibilitatea de share screen uitată activă pentru participanții online la dezbatere. Un astfel de incident, pentru care ministerul a acuzat întreaga audiență, în loc să-și găsească vinovații în propriul departament IT, ar putea fi, conform legii care trece azi prin Senat, un incident de securitate care trebuie notificat autorităților în termen de 48 de ore. Sau poate nu este decât o încercare a societății civile inconștiente, de a duce în derizoriu eforturile susținute ale autorităților de a ne apăra chiar și împotriva voinței noastre…
La fel de ambigue sunt și cele două noțiuni folosite pentru anunțarea incidentului de securitate cibernetică: omisiunea de „notificare” și omisiunea de „comunicare completă” sunt în același timp și contraventii diferite (art. 48 din proiect). Numai noțiunea de „notificare” este definită (la art. 22 din proiect, prin trimitere la o altă lege L362/2018), dar noțiunea de „comunicare completă” nu este definită, astfel că nu se poate ști dacă, atunci când ai raportat un incident, acea raportare a fost „notificare” sau „comunicare completă” și deci dacă ești absolvit de amendă.
3
Ce presupune notificarea?
Aparent, sesizarea PNRISC de către victima unui incident de securitate cibernetică pare a fi benefică, deoarece respectiva platformă este special destinată rezolvării unor astfel de incidente. Dar, din cauza definirii neclare a noțiunii de incident de securitate cibernetică, se poate ajunge la situația în care pentru o simplă virusare sau pentru o aparentă virsuare (o nefuncționare normală) a unui laptop, orice persoană care are o activitate ce poate fi considerată (nu se știe de către cine?) ca fiind de interes public să fie obligată să sesizeze PNRISC.
Aceasta este, totuși, o intruziune importantă în viața privată a persoanei, intruziune asupra căreia deținătorul laptopului nu are, deși ar trebui, un drept de liberă apreciere, adică nu poate opta dacă se adresează sau nu PNRISC, ci există o obligație legală strictă, sancționată sever cu amendă contravențională, de a se adresa PNRISC și, implicit, de a pune la dispoziția unor terți o multitudine de date și informații privind viața sa privată sau profesia sa.
De aceea, ar trebui ca obligația de raportare a incidentelor de securitate cibernetică (art. 22 din proiect), astfel cum sunt ele definite ambiguu la art. 2, să fie prevăzută doar pentru autoritățile/instituțiile din sectorul public, lăsând pentru entitățile din mediul privat doar facultatea (nu obligația) de a sesiza PNRISC.
4
E mai ieftin să mergi pe contrasens pe autostradă decât să ai un laptop virusat și să nu anunți „organul”
În caz de omitere a sesizării PNRISC, amenzile sunt disproporționat de mari. Cea mai mică amendă este de 5.000 lei, iar cea mai mare este de 10% din cifra de afaceri sau, după caz, din totalul veniturilor realizate în anul anterior. Pentru cei fără afaceri (organizații nonprofit), amenda maximă este de 25 de salarii minime brute pe economie (momentan circa 64.000 lei, adica 25×2.550 de lei, deși de la 1 ianuarie 2023 salariul minim brut crește la 3.000 de lei).
Este necesară o reașezare a amenzilor în limite rezonabile, având în vedere că provocarea unor accidente de circulație, generate tot de omisiunea respectării unor obligații legale, accidente care se pot solda cu pierderi de vieți omenești, este mult mai ieftină, din punct de vedere al amenzilor contravenționale, decât afectarea unor sisteme informatice. De exemplu întoarcerea și circulația pe contrasens pe autostradă sau neoprirea la bariera de cale ferată se amendează cu maximum 3.000 de lei.
5
Opiniile contrare se bagă la pușcărie
Bomboana de pe legea asta care ne apără de pericolele Internetului este art. 50 din proiectul de lege, prin care se introduce, oarecum pe șest, o literă (lit. p) la art.3 din Legea 51/1991 privind securitatea națională, unde sunt definite amenințările la adresa securității naționale.
Textul propus (lit. p la art. 3 din Legea 51/1991) este următorul:
p) acţiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spaţiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituţională
Devine astfel infracțiune exprimarea unor opinii pe contrasensul acțiunii statale de vaccinare (de exemplu) sau punerea unor intrebări incomode sau formularea de opinii contrare unei politici oficiale a statului, cum ar fi politica de vaccinare, chiar dacă e vorba de vaccinare cu seruri noi, netestate la data administrării.
Calificarea ca amenințări la adresa securității naționale, a unor poziții publice împotriva cursului politicii oficiale a statului, va face ca autorii acestor poziții critice, îndreptate „împotriva curentului”, să devină autori ai unei infracțiuni contra securității statului, prevăzută la art. 404 din Codul penal, infracțiune denumită „Comunicarea de informații false” și care are următorul conținut:
Comunicarea sau răspândirea, prin orice mijloace, de ştiri, date sau informaţii false ori de documente falsificate, cunoscând caracterul fals al acestora, dacă prin aceasta se pune în pericol securitatea naţională, se pedepseşte cu închisoarea de la unu la 5 ani.”
Până acum, din cauză că aceste poziții critice orientate împotriva curentului politicii oficiale nu erau calificate de Legea 51/1991 ca amenințări la adresa securității naționale, aceste critici deranjante pentru putere nu puteau fi încadrare în infracțiunea din art. 404 Cod penal. Acum, după includerea acestor critici în categoria amenințărilor la securitatea națională, va fi relativ simplu de inițiat dosare penale, pentru o infracțiune gravă – privind securitatea națională – criticilor mai mult sau mai puțin înverșunați, ai puterii politice.
APADOR-CH solicită Senatului eliminarea lit. p la art. 3 din Legea 51/1991, precum și amendarea celorlalte articole din proiectul votat deja de Camera Deputaților, menționate în documentul transmis, ce poate fi citit pe larg aici.
O opinie în acest sens a publicat și Asociația Pentru Tehnologie și Internet.
UPDATE 22 decembrie 2022 – Legea a trecut de Senat fără modificări semnificative.
Alături de alte organizații, APADOR-CH a semnat sesizarea către Avocatul Poporului pentru atacarea legii la CCR
UPDATE 27 decembrie 2022
Avocatul Poporului a sesizat Curtea Constituțională privind neconstituționalitatea Legii securității cibernetice
UPDATE noiembrie 2023 – În martie 2023 CCR a stabilit că Legea securității naționale, modificată prin Legea securității cibernetice, este constituțională. Totuși, în iulie, declarațiile unui general SRI au arătat că există articole problematice în lege, care permit SRI să se implice în alegeri și să le controleze, sub pretextul combaterii dezinformării. APADOR-CH a cerut din nou AVP să atace Legea securității naționale la CCR. După patru luni de gândire, Avocatul Poporului ne-a răspuns că a decis să NU atace din nou legea la CCR, întrucât a mai atacat-o o dată și Curtea a zis că e constituțională și că SRI nu sancționează chiar orice campanie de dezinformare, ci numai pe alea mai grave. În plus, de data asta, AVP a întrebat și SRI ce părere are. Și SRI a zis că nu vede nicio problemă, cine se simte lezat de acțiunile sale e liber (încă) să se plângă de asta justiției și diverselor comitete și comisii de anchetă și control al SRI.
Citește răspunsul integral al AVP în care este inclus „în esență” și răspunsul SRI.
sursa foto