Articole

SRI primește fonduri europene într-un proiect de supraveghere generalizată a cetățenilor, deghizat în eGuvernare

08/08/2016/în Comunicate, Slider /de Rasista

APADOR-CH împreună cu alte trei organizații neguvernamentale a trimis astăzi această scrisoare deschisă mai multor instituții naționale și europene ( Comisia Europeană, Ministerul Fondurilor Europene, Primul Ministru, MCSI, Comisia de control a SRI, CSAT), exprimându-și îngrijorarea cu privire la un proiect de supraveghere în masă implementat de Serviciul Român de Informații, cu o finanțare europeană.

SRI a câștigat un proiect pe fonduri europene (axa 2 – OS 2.3. Creșterea utilizării sistemelor de e-guvernare) prin care intenționează să achiziționeze software și hardware de 25 de milioane de Euro pentru „consolidare și asigurarea interoperabilității sistemelor informatice”.

Proiectul, numit „SII Analytics”, are un potențial de supraveghere generalizată a întregii populații a României – un adevărat sistem informatic Big Brother – fără a avea prevăzută vreo măsură de garantare a drepturilor cetățenești sau de limitare a accesului SRI sau al altor instituții publice la datele personale colectate și integrate în acest sistem, scăpare ce încalcă serios drepturile fundamentale.

Principalele probleme ale proiectului:

1. Supraveghere generalizată prin combinarea bazelor de date

Proiectul își propune să aducă împreună baze de date de la majoritatea instituțiilor publice românești și să permită căutarea avansată în acestea a oricăror informații despre toți cetățenii. De exemplu prin capitolul de „analiză comportamentală”, orice cetățean ar putea avea o fișă „de bună purtare” (constituită din informații adunate din toate bazele de date guvernamentale), inclusiv viitorii parlamentari, judecători, procurori sau antreprenori, fișe ce pot fi folosite în scopuri nelimitate. Acestea pot fi corelate cu alte informații publice (de ex. Informațiile de pe un cont de Facebook), pentru crearea de profile individuale.

2. Lipsa oricăror garanții și potențialul de abuz

Prin agregarea bazelor de date, SRI va avea acces necontrolat la orice informație despre toți cetățenii, o chestiune nereglementată în acest moment în legislația română. Legea de funcționare a SRI datează din 1991 și ea nu prevede mecanisme eficiente de control prin care să se garanteze că riscul abuzurilor de orice fel este redus și că atunci când se produc abuzuri ele vor putea fi sancționate, iar victimele despăgubite.
Acest proiect, de exemplu prevede că informațiile despre cetățeni pot fi accesate de pe un număr uriaș de terminale (peste 750), deci practic orice persoană din cele peste 1000 ce vor avea acces la sistem va avea posibilitatea să îl folosească și în orice scop personal, fără a putea fi controlate efectiv sau fără ca cetățeanul să știe.

3. Bani europeni pentru încălcarea drepturilor europene

Proiectul a fost depus pe 9.06.2016, la o zi după ce apelul pentru fondurile europene structurale (axa 2 – OS 2.3) a fost lansat public, și a fost aprobat foarte repede, în ciuda faptului că acesta încalcă în mod flagrant documentele constitutive ale Uniunii Europene, în speță dreptul la viața privată și la protecția datelor cu caracter personal (Art 7 și 8) din Carta drepturilor fundamentale a Uniunii Europene. În acest moment SRI derulează deja o licitație pentru achiziția echipamentelor necesare și a softurilor.

4. Rolul SRI în eGuvernare & scopul ascuns al proiectului

Conform legii, SRI nu are nicio competență pe domeniul eGuvernării sau pe „dezvoltarea funcției de prevenție, detectare și luare de măsuri pentru reducerea redundanței plăților în zona publică”, așa cum sunt scopurile declarate ale proiectului. Mai mult, anumite părți din proiect (vezi capitolele de „Recunoaștere facială” sau „Interceptarea comunicațiilor” din documentul explicativ) ne indică faptul că proiectul are de fapt și un scop nedeclarat – acela de supraveghere generalizată a întregii populații. De exemplu, baza de date de recunoaștere facială cu aproximativ 50-60 de milioane de imagini frontale (gen carte de identitate sau pașapoarte), la care SRI are acces nelimitat și nesupravegheat, nu are nici o utilitate/justificare în „prevenirea fraudei”, așa cum pretinde SRI în descrierea proiectului, fiind de fapt o formă de spionare a vieții private a tuturor cetățenilor.

O analiză de interpretare a caietului de sarcini care ne ridică aceste suspiciuni majore o regăsiți în acest document explicativ.

Semnatarii acestei scrisori publice, ce a fost adresată atât autorităților române cât și celor europene, solicită de urgență:

anularea licitației și a proiectului care încalcă drepturile fundamentale;
includerea în condițiile de accesare a fondurilor europene, explicit, a interdicției folosirii acestora pentru încălcarea sau limitarea drepturilor cetățenilor.
dezbaterea publică a rolului exact al SRI în societatea românească, inclusiv a legislației conexe, ca și a garanțiilor eficiente pentru stoparea abuzurilor de acest tip și transparenței instituționale pentru orice proiect care depășește cadrul original de securitate națională.

Semnatari

ActiveWatch
Asociația pentru Apărarea Drepturilor Omului în România – APADOR -CH
Asociația pentru Tehnologie și Internet – ApTI
Centrul de Resurse Juridice

Demers susținut și de:

Miliția Spirituală

Răspunsuri primite la această sesizare:

– Comisia Europeană – Suntem la curent în legătură cu preocupările exprimate de unele ONG-uri din România cu privire la acest proiect, și urmărim îndeaproape acest subiect.

– SRI: SII Analytics nu amenință drepturile și libertățile cetățenești, nu ar fi fost eligibil pentru fonduri UE

– Autoritatea pentru protecția datelor se ascunde după „securitatea națională”

SRI vrea să cumpere softul „Big Brother”. Pentru eguvernare.

08/08/2016/în Comunicate, Transparenta /de Rasista

Explicațiile unui caiet de sarcini tehnic de pe SEAP (nr anunt de participare 168752/17.07.2016) – analiză realizată de ApTI

#NuSupravegherii

Proiectul SRI denumit SII Analytics, deși identificat ca un proiect pentru promovarea eguvernării și de combatere a fraudelor (“prevenție, detectare și luare de măsuri pentru reducerea redundanței plăților în zona publică, prevenirea fraudei și abuzurilor și creșterea eficientei în actul guvernamental;” (pag. 5, paragraful 3)), este un proiect cu potențial de supraveghere generalizată a întregii populații a României – un software Big Brother – cu nicio măsură de limitare a accesului SRI sau al altor instituții publice la datele personale colectate și integrate în acest sistem.

Din analiza caietului de sarcini, dincolo de problema generica a competentei SRI de a implementa un astfel de proiect, identificăm trei zone mari de probleme punctuale:

1. Interceptarea comunicațiilor

1.1. Ce prevede caietul de sarcini al licitației?

Caietul de sarcini prevede hardware și software pentru scop precis de interceptare a traficului pentru monitorizare comunicațiilor – trafic și conținut.

La paginile 10 și 11, la punctul 1.2, SRI-ul vrea să achiziționeze 4 dispozitive pentru interceptarea traficului de Internet. (1.2 Echipamentele de tip Traffic Access Point (TAP) – (4 buc.)) La paginile 11 și 12, la punctul 1.3, descoperim că SRI-ul mai vrea să achiziționeze și o „Soluție de monitorizare a utilizării resurselor de comunicare colaborativă”.

Aceasta înseamnă un software, și hardware-ul necesar pentru acesta, care ia traficul interceptat de dispozitivele de care vorbeam mai devreme și îl analizează pentru a monitoriza comunicația prin servicii și programe de instant messaging (cum ar fi Yahoo Messenger, Facebook Messenger, Skype etc.), email sau orice alte mecanisme similare de comunicație electronică.

Text original “identificarea protocoalelor specifice de comunicare colaborativă în tehnologie Web, inclusiv a mesageriei electronice „instant” și a celei tradiționale (de tip email
și asimilată), precum și a tehnologiilor conexe de schimb de informație nestructurată,
indiferent dacă serviciile de acest tip vor fi accesate și utilizate prin aplicații dedicate, sau prin
pagini Web, în instanțe de tip browser”

Din analiza textului caietului de sarcini, rezultă că vorbim inclusiv de accesul la conținut conform scopului („identificarea, decodarea și salvarea, la cerere, precum și vizualizarea artefactelor asociate (inclusiv a fișierelor text și multimedia atașate)”, „analiza și retenția selectivă a sesiunilor de comunicare respective” și merge până la „reconstrucția și vizualizarea contextului comunicării […] pentru identificarea rapidă a secvenței operațiilor și, respectiv, a relațiilor între participanți”.)

1.2. Care este problema?

Aceste dispozitive și programe nu au nici un rost în cadrul proiectului de Big Data sau e-guvernare, pentru datele transmise legal – acestea au un rol doar pentru interceptarea comunicațiilor fără acordul utilizatorilor.

Mai mult în mod normal supravegherea comunicațiilor se poate face doar în contextul stabilit de Codurile de procedură penală, deci cu autorizarea judecătorului, altfel aceste activități sunt ilegale. Unde va instala SRI-ul aceste echipamente, ce date doresc să intercepteze și cu ce autoritate vor analiza și stoca datele și informațiile rezultate în urma acestei monitorizări?

1.3. Care este scenariul cel mai negru?

Dacă un astfel de dispozitiv este instalat oriunde la un furnizor de acces Internet (ISP) sau într-un nod de interconectare (gen RoNIX), acesta ar putea intercepta tot traficul de Internet. Prin capacitatea de 10GB/s x patru dispozitive s-ar putea intercepta cam tot traficul din România prin RoNIX.

Prin software-ul de analiză, se poate identifica un anumit tip de conținut – de exemplu:
• email-uri trimise de la tribunalulbucuresti.ro
• email-uri cu fișier video atașat de dimensiune între 10MB și 25MB
• convorbiri pe Facebook/Yahoo chat între X si Y (s-ar putea ca întreg conținutul să fie mai greu de depistat, dar cel puțin faptul că 2 persoane au discutat se poate identifica)
• etc.

2. Analiză comportamentală

2.1. Ce scrie în caietul de sarcini?

Proiectul vrea să aducă împreună surse de date, care înseamnă:
 baze de date – cam orice informație structurată tabelar pusă la dispoziție de către “instituțiile beneficiare” – e.g. ANAF, MAI, CNAS etc. – pct 2.19.3.1. – “cel puțin 28.000 de tabele cu cel puțin 500.000 de coloane şi cel puțin 35.000.000.000 de înregistrări;” (pag. 95, secțiunea 2.19.3.1.1 Depozite de date comune, primul punct)

“ Nivelul surse de date cuprinde depozitele de date comune, așa cum au fost ele definite
în cadrul proiectului, ca totalitatea depozitelor de date structurate, semi-structurate şi
nestructurate – formă consolidată a datelor furnizate de instituțiile cu rol de furnizor în cadrul
proiectului „SII INFRASTRUCTURĂ” – fără a se limita la acestea, precum şi seturile de date
individuale, aşa cum au fost ele definite în cadrul proiectului, ca totalitatea seturilor de date
semi-structurate şi nestructurate, aflate în posesia utilizatorilor finali.” (pag. 95, secțiunea 2.19.3.1 Nivel surse de date)

 alte documente nestructurate (formate acceptate – “formatele PDF, HTML, HTM, XHTML, PPT, PPTX, DOC, DOCX, RTF, XLS, XLSX, CSV, XML, JSON şi TXT”) (pag. 96, paragraful 3)

Toată aceste baze de date corelate vor putea fi căutate în orice mod – de la un căutări simple (text, arii geografice) sau chestiuni mai complexe (bazate pe analiza legăturilor dintre persoane, obiecte (mașini, telefoane etc.), evenimente sau orice alt fel de informație, plasarea în timp și spațiu a acestor legături și chiar estimarea comportamentului țintelor pornind de la aceste informații și analize.

Astfel se vrea ca sistemul să poată da „răspunsuri la întrebări de tipul:
◦ A. care sunt societățile comerciale ai căror acționari sau administratori figurează la mai mult de N societăți comerciale și au cazier judiciar?
◦ B. care sunt societățile comerciale înființate între anii AAAA-AAAA, cu numărul mediu de angajați în perioada BBBB-BBBB mai mic decât N și cu rambursări de TVA mai mari de S lei?
◦ C. care sunt societățile comerciale cu cifra medie / angajat mai mare decât media + P% din abaterea medie standard a codului CAEN X?
◦ D. care sunt persoanele fizice al căror venit personal declarat pe perioada AAAA – AAAA şi creditele bancare contractate pe perioada BBBB – BBBB este cu P% mai mic decât numărul de metri pătrați de teren / clădiri * V și auto de valoare minim S lei, dobândite în perioada CCCC – CCCC;” (pag. 123-124)

Mai mult, caietul de sarcini precizează că datele colectate nu vor fi șterse probabil niciodată (“vor fi stocate pe termen indefinit numai la nivelul componentelor offline ale sistemului.” – pag 144)

Cel puțin 45 de persoane vor fi utilizatori finali /formatori, fiind instruiți în sistem, dar probabil în jur de 1000 de persoane vor avea acces la sistem.

Se cer 750 de terminale mobile cu acces la sistem și un număr nespecificat de terminale fixe. Se cere „să asigure o medie a timpului de răspuns de sub 5 secunde, în condițiile în care 500 de utilizatori concurenți vor efectua regăsiri într-un interval de 60 minute” pentru toate tipurile de căutări (pag. 154).

2.2. Care este problema?

În primul rând colectarea datelor în acest mod este ilegală. Cum deja a precizat Curtea Europeană de Justiție în cazul Bara vs CNAS și ANAF în interpretarea legii 677/2001 privind protecția datelor cu caracter personal, o instituție publică nu poate da datele colectate unei alte instituții publice doar pentru că “ar putea să fie de folos”, ci trebuie să se bazeze fie pe consimțământ, fie pe informarea persoanei vizate dacă existe restul de limitări conform legii.

Datele de mai sus – punctul D ne arată că cel puțin următoarele baze de date ar putea fi cumulate:
• declarații către ANAF cu privire la veniturile personale;
• credite bancare acordate;
• bunuri imobile cumpărate;
• automobile achiziționate.

Practic SRI își creează un sistem (unde s-ar putea ca și alții să aibă acces conform descrierii generale) unde ar putea căuta orice informație despre orice persoană fizică care apare într-o bază de date a autorităților publice, nerespectând în mod flagrant legislația privind protecția datelor cu caracter personal și neaplicând nicio măsură de protecție a acestor date.

2.3. Care este scenariul cel mai negru?

În varianta soft scenariul cel mai negru ar însemna faptul că o persoană ce are acces la sistem îl folosește în interes propriu – de exemplu
• vecinul tău dintr-o dată pare că știe prețul cu care ai cumpărat apartamentul sau ca mai ai 2 mașini pe numele tău; sau
• polițistul care te oprește află instantaneu că ai cumpărat 4 mașini de-al lungul vieții; sau
• se rulează o cerere de tipul – care este persoana care a vândut un apartament cel mai ieftin/cel mai scump în cartierul Militari; sau
• o firmă cunoscută ca “apropiată serviciilor” va găsi întotdeauna elemente pentru a șicana alte firme concurente.

Am făcut aceste scenarii exclusiv pe baza informațiilor despre bazele de date ce rezultă din caietul de sarcini. Dacă la aceste informații de alătură și alte baze de date – gen cele accesate prin cardul electronic de sănătate sau informațiile dorite recent de ANAF cu privire la plățile cu cardul, problemele pot fi multi mai complicate.

În varianta hard, ar fi creat automat câte un director (folder) pentru fiecare CNP identificat în vreo bază de date, astfel încât SRI și ceilalți care au acces la baza de date pot afla orice informațiile despre orice persoană dacă doresc.

Acesta este adevăratul Big Brother, pentru că poți ști tot despre toți!

2.4. Dar totuși, nu ar avea voie statul să caute în propriile baze de date pentru a depista corupții?

Ba da, dar în condiții în care să respecte drepturile cetățeanului la viață privată.

Sistemele de e-guvernare ne pot ușura viața, dar cetățenii trebuie să aibă încredere faptul că instituțiile publice colectează informațiile într-un scop bine precizat și nu pentru orice alt scop viitor.

De aceea interoperabilitatea datelor personale în zona de eguvernare trebuie să se bazeze pe transparență (cetățeanul să poate vedea în orice moment cine, când și de ce cineva a accesat datele lui) și respectarea principiilor colectării datelor cu caracter personal (limitarea scopului, bază legală, necesitate și proporționalitate, perioada de păstrare, respectarea drepturilor subiecților, notificarea încălcărilor de securitate, analiză de impact a datelor personale, angajarea unui responsabil privind protecția datelor personale, etc.) .

Vezi detalii în opinia Grupul de Lucru Articolul 29 are suficiente informații referitoare la principiile care trebuie sa stea la baza transferului de date – vezi Guidelines for Member States on the criteria to ensure compliance with data protection requirements in the context of the automatic exchange of personal data for tax purposes adopted on 15 December 2015.

De asemenea, accesul la toate datele personale dintr-o bază de date ar trebui de principiu interzis, cu posibilitatea unor excepții pentru date anonimizate sau pseudonimizate.

3. Recunoaștere facială

3.1. Ce scrie în caietul de sarcini?

Sistemul are inclusă și o componentă de recunoaștere facială (adică de recunoaștere a unei persoane dintr-o poză) care să poată opera cu o bază de date de 3 milioane de imagini – pct. 2.20

Textul include și la o serie de imagini de referința parte a „datelor salvate în depozitele de date nestructurate”. Conform documentului „În prezent, există imagini de referință alb-negru și color, cu o dimensiune medie de 16KB, ce ocupă cel puțin 950 GB spațiu pe disk (…) O persoană poate avea asociate mai multe imagini de referință. În aceste imagini, subiectul nu prezintă ocluzii sau variații ale aspectului și expresiei faciale, respectiv ale rotației capului fată de poziția frontală. Rezoluția nativă este de minim 200 x 240 pixeli.” (pag. 130, secțiunea 2.20.1 Imagini de referință)”

Din definiția de mai sus noi estimăm că aceste poze nu pot fi decât cele din buletine, dar și cele pașapoarte. (atât expirate, cât și actuale)

Un calcul minimal din spațiul ocupat pe disc ne arată că probabil vorbim în jur de 50-60 de milioane de imagini, care sunt considerate imagini de referință.

3.2. Care este problema?

În primul rând soluția de recunoaștere facială (face recognition) nu are vreo legătura cu niciunul din scopurile proiectului – de prevenire și combatere a fraudei, e clar că scopul trebuie să fie altul.

În al doilea rând este neclar în ce condiții SRI are acces la pozele din pașapoarte și buletine și cu ce scop le folosește.

În al treilea rând, se pare că imaginile de referință sunt doar începutul, ele urmând să creeze o bază de date cât mai largă . Vezi (pag. 130, secțiunea 2.20.1 Imagini de referință, paragraful 2) „Numărul și varietatea depozitelor de date comune este prevăzut să crească în continuare”– deci nu se va limita la pozele din buletine.

3.3. Care este scenariul cel mai negru?

Prin corelarea acestor informații cu cele din analiza comportamentală se pot identifica nu doar imaginile persoanelor, ci și alte detalii despre ele din restul bazelor de date.

De exemplu:

– SRI își face o aplicație astfel încât să „citească” în mod automat Facebook, astfel încât să integreze date de acolo în baza de date de recunoaștere facială: – de exemplu dacă aveți o poză reală la profilul de Facebook, chiar dacă sub alt nume sau un nume incomplet sau comun, SRI poate să conexeze restul de informații din bazele de date proprii cu acel cont de Facebook, pentru a ști că dvs sunteți acel Ion Popescu pe care îl urmărește.

– SRI/Jandarmeria filmează (și preia apoi) sau fotografiază 5000 de participanți la un protest din Piața Universității. Înregistrarea foto/video poate fi, după aceea, procesată și apoi analizată cu software-ul de recunoaștere facială pentru a identifica exact ce persoane au participat pentru a fi contactați ulterior și amendați.

Domnule prim-ministru, așteptăm calendarul discuțiilor așezate

30/03/2016/în Comunicate, Slider /de Rasista

APADOR-CH împreună cu mai multe organizații neguvernamentale i-au scris azi premierului Dacian Cioloș, cerându-i să pună în practică promisiunea cu „discuțiile așezate” pe tema legilor pe care SRI dorește să le impună pe fondul atentatelor teroriste de la Bruxelles.

Textul scrisorii

București, 30 martie 2016

Domnule Prim Ministru Dacian Cioloș,

Ați zis ieri o vorbă mare: „Cred că e important să ne învățăm în societatea românească să discutăm așezat și să luăm decizii în cunoștință de cauză.”

Și noi credem la fel. Și noi așteptăm cu interes vremea când o să discutăm așezat. Cu argumente și fapte. Cu analize de impact serioase, bazate pe cifre. Cu atenție la impactul asupra drepturilor fundamentale pentru proiectele de lege care au fost deja declarate cel puțin o dată neconstituționale.

Dar, din păcate, ce am văzut în ultimele două luni este departe de declarația dumneavoastră.

Vă reamintim:

După declarația dumneavoastră referitoare la înregistrarea cartelelor pre-pay, ministrul pentru Comunicații și pentru Societatea Informațională a anunțat că proiectul va intra într-un „regim de avizare rapid. Toate chestiunile legate de neconstituționalitate au fost eliminate.” Nu s-a anunțat nimic de vreo dezbatere publică. Nicio analiză de impact asupra drepturilor fundamentale. Nimic despre studiul de impact cu privire la cum va afecta industria. Nu am înțeles nici cum un terorist nu va putea să dea 3 lei unui om al străzii cu buletin ca să-i cumpere o cartelă. Așteptăm dezbaterea reală cu argumente.

În urmă cu aproximativ două săptămâni, Guvernul dumneavoastră a reușit contraperformanța de a adopta un nou tip de act normativ – Ordonanța de Urgență a CSAT cu privire la interceptarea comunicațiilor, într-un timp demn de un record mondial – o singură zi. Nici acolo n-am văzut o dezbatere, ci doar un proiect ieșit pe surse, iar proiectul era diferit de ce ați publicat ulterior în Monitorul Oficial. Ați anunțat apoi că „este nevoie de o amplă dezbatere publică pentru organizarea unei instituții responsabile pentru punerea în executare a supravegherii tehnice.” De atunci a fost liniște pe acest subiect. Așteptăm dezbaterea reală, cu argumente.

Acum puțin peste o lună, s-a încheiat dezbaterea publică privind legea securității cibernetice. Încă nu s-au publicat răspunsurile punctuale la cu propunerile avansate, dar deja ministrul societății Informaționale a participat la o conferință în care a explicat cum se va implementa legea (ca și cum proiectul nu ar putea suferi modificări în Parlament). De asemenea, am aflat deja că proiectul va ajunge în Parlament undeva în luna aprilie și că trebuie să fie „discutat în regim de urgență.” Nicio vorbă despre cele șase puncte concrete de neconstituționalitate pe care le-am tot adus în discuție. Pare ca unii politicieni cred că rezolvarea acestora se face prin corectarea virgulelor într-un text. Proiectul de lege prevede un impact bugetar 0 și un impact asupra sectorului privat care este tot 0. Dar un calcul empiric și parțial, dacă ne uităm doar la obligația de audit, ne duce la cel puțin 1000 euro x 400.000 firme = 400.000.000 euro/an doar pentru sectorul privat (art 18. alin 1 din propunerea de lege). Așteptăm dezbaterea reală cu argumente și cu participarea tuturor celor afectați.

Domnule Prim-Ministru, dorim să fim profesioniști și să facem ca la Bruxelles – nu cu informații prin presă că există un grup de lucru interministerial care lucrează, ci cu documente și argumente concrete despre proiectele de lege care pot afecta drepturile fundamentale ale cetățenilor. Dorim să discutăm cu documentele pe masă despre:

Analiza de nevoi care să conțină inclusiv
- Studiu de impact asupra drepturilor omului (practică CEDO, CEJ, CCR, garanții, urmărirea scopului legitim, necesitatea într-o societate democratică, proporționalitatea cu scopul urmărit)
- Impactul real asupra bugetului
- Impactul real asupra sectorului privat
- Eventual analiza cadrului similar european și mondial, dacă este cazul.
Textul politicii publice propuse, cu variante de adoptare posibile și efectele lor.
Stabilirea unui calendar ferm de dezbateri publice – online și offline.

După cum spuneam, așteptăm dezbaterea reală cu argumente pentru toate proiectele de mai sus. Pentru primul pas, așteptăm calendarul discuțiilor așezate.

Cu respect,

Bogdan Manolea, Asociația pentru Tehnologie și Internet (ApTI)

Ioana Avădani, Centrul pentru Jurnalism Independent

Mircea Toma, ActiveWatch

Georgiana Iorgulescu, CRJ

Mihail Bumbeș, Miliția Spirituală

Maria-Nicoleta Andreescu, APADOR-CH

Ovidiu Voicu, Centrul pentru Inovare Publică

Elena Calistru, (Asociația) Funky Citizens

Cătălin Hegheș, AMPER

5 motive pentru care contestăm noul proiect de lege a securității cibernetice

09/02/2016/în Advocacy Legislativ, Comunicate /de Rasista

Împreună cu Asociația pentru Tehnologie și Internet (ApTI) am semnat o scrisoare deschisă prin care semnalăm, în 5 idei principale, de ce nu suntem de acord cu noul proiect de Lege a securității cibernetice, aflată acum din nou în dezbatere publică, după ce precedenta lege votată pe ascuns în Parlament anul trecut a fost desființată de Curtea Constituțională.

5 principii pentru o securitate informatică sănătoasă pentru întreaga societate

Scrisoare deschisă

Securitatea informatică este o problemă care ne privește pe toți.

Dar securitatea informatică NU înseamnă doar securitatea sistemelor informatice care sunt de interes pentru stat, ci și securitatea informațiilor noastre electronice. Fie că vorbim despre securitatea informațiilor personale (ex. date personale, informații private) sau de securitatea informațiilor unei companii (ex. liste de clienți, informații confidențiale de serviciu).

Dar, uneori, informațiile noastre nu trebuie partajate cu statul. Fie că vorbim despre o anchetă cu informații din surse care nu se fac publice, de baza de date de clienți ai unei firme sau de chestiuni strict personale ale unei persoane fizice. Deci cu atât mai mult securitatea informațiilor noastre nu trebuie să fie comunicată statului, decât atunci când există un interes public superior interesului privat în cauză.

Propunerea legii securității cibernetice nu reușește să facă această distincție și creează iluzia că am putea fi într-o insulă de siguranță informatică într-un ocean de Internet. Propunem 5 modificări de concepție pentru a putea avea un act normativ coerent și care să răspundă acestor principii:

Ce spune propunerea de lege actuală	Ce propunem noi
Practic toate persoanele juridice sunt subiecții legii [1].	Subiecții legii trebuie să fie exclusiv infrastructurile naționale de interes public. Acestea trebuie definite clar prin lege, nu să avem definiții neclare, ca în Anexa II din directiva NIS.
În ciuda principiilor (art. 4 lit. e) [2]), sectorul privat este tratat în textul propus ca un simplu raportor de incidente de securitate. Mai mult, furnizorii de servicii de securitate cibernetică sunt obligați să devină niște delatori, având obligația să notifice SRI de posibile amenințări informatice, dar nu au aceiași obligație față de propriul client (art. 20 alin. (1) [3]).	La ora actuală sectorul privat are cea mai mare competență în domeniul securității informatice, el trebuie să fie implicat activ în domeniul securității cibernetice (de ex. să fie reprezentat în organele de conducere ale CERT-RO), dar în același timp respectându-se de stat obligațiile sale de confidențialitate față de clienții săi sau datele personale colectate de la persoanele fizice (de ex. un furnizor de servicii de securitate nu ar trebui să poată să trimită o notificare fără acceptul scris al clientului său).
Textul actual nominalizează 12 instituții cu diverse atribuții (art. 9 [4]) cu obligația de comunicare reciprocă de date între ele (art. 12 lit. j) [5]). Toate incidentele de securitate cibernetică trebuie raportate (art. 3 lit. m) [6], art. 20 alin. (1) b) [7], art. 24 [8]).	Raportarea incidentelor de securitate se va face doar către o singură instituție civilă cu competențe tehnice reale (CERT RO) și doar pentru incidente majore.
Proiectul de lege include o serie de obligații pentru deținătorii de infrastructuri cibernetice (cam orice persoană juridică), ce pot fi contractate către „furnizori de servicii de securitate”. Proiectul este foarte ambiguu cu privire la acești furnizori. În schimb în art. 22 alin. (3) [9]) se ascunde o obligație de înregistrare și creare a unui Registrul Furnizorilor de Audit de Securitate Cibernetică, în condițiile unui simplu ordin de ministru.	Dacă acești furnizori au un rol important în această lege, rolul lor trebuie precizat clar într-un capitol special. Dacă se cere înregistrarea furnizorilor de servicii de securitate cibernetică pentru a realiza audit, aceste norme trebuie stabilite de lege și nu prin legislație secundară.
Legea include texte din domenii multiple fără o minimă corelare cu actele normative primare: obligații pentru operatorii de date personale, ignorându-se L egea 677/2001, Ordinul 52/200 2 al Avocatului Poporului și ANSPDCP obligații pentru furnizorii de comunicații electronice, ignorându-se prevederile L egii 506/2004, OUG 111/2011 și obligații deja existente de la ANCOM de raportare a incidentelor de securitate obligații pentru furnizorii de găzduire (art. 23 [10]) care contrazic L egea 365/2002 etc.	Toate celelalte obligații de securitate a informației trebuie incluse în legislația sectorială (ex. securitatea datelor personale în legea datele personale, securitatea comunicațiilor electronice în legislația comunicațiilor electronice, furnizorii de găzduire în L egea 365/2002, securitatea instituțiilor subordonate SPP în legislația SPP, etc.)

Prezentul document va fi înaintat în cadrul dezbaterii publice organizate de MCSI din data de 12.02.2015.

Semnatari – persoane fizice și juridice

Asociația pentru Tehnologie și Internet – ApTI – www.apti.ro
Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki – APADOR CH – www.apador.org
Adrian Munteanu – https://adimunteanu.wordpress.com/
Asociația Pentru Minți Pertinente AMPER – www.amper.org.ro
Centrul pentru Jurnalism Independent – www.cji.ro
Jani Monoses – http://janimo.blogspot.ro/
Costin Oproiu, inginer programator – https://www.facebook.com/costin.oproiu
Miliția Spirituală – https://www.militiaspirituala.ro
Centrul pentru Inovare Publică – http://inovarepublica.fundatia.ro/
ActiveWatch – http://www.activewatch.ro/
Lista e deschisă, semnați aici: https://docs.google.com/document/d/1CIQ26Wv39cbeAt9iZek5XgkcYzrkSHIJwKhMc_uGi-I/edit

Referințe:

[1] Legea se aplică „persoanelor juridice, deţinătoare de infrastructuri cibernetice care prelucrează date cu caracter personal” (art. alin. (2) lit. b). Definiția largă a infrastructurilor cibernetice face ca orice persoană juridică să fie inclusă în această categorie. Spre exemplu:

– orice firmă care are o bază de date cu clienți persoane fizice
– orice ONG care lucrează cu datele personale ale beneficiarilor pe un calculator
– orice instituție publică, oricât de mică

Toate acestea vor fi obligate să facă diverse raportări sau chiar audituri, de la caz la caz, generând costuri suplimentare pentru ele.
[2] Art. 4 lit. e) asigurarea unei guvernanţe participative, democratice și eficiente a spaţiului cibernetic prin cooperarea autorităţilor competente cu sectorul privat;

[3] Art. 20 alin. (1) Deţinătorii de infrastructuri cibernetice prevăzuți la art. 2 lit. a) – c) au următoarele obligaţii:

a) să asigure implementarea cerinţelor minime de securitate cibernetică;
b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;
c) să se asigure că datele şi/sau informaţiile referitoare la configurarea și protecţia infrastructurilor cibernetice sunt diseminate exclusiv persoanelor autorizate să le Cunoască;
d) să nu permită accesul la datele de conţinut din infrastructurile cibernetice deţinute sau aflate în competenţă, în lipsa unei înștiinţări scrise din partea autorităţilor abilitate, privind existenţa unei autorizaţii emise de judecător, în condiţiile legii;
e) să gestioneze incidentele de securitate cibernetică;
f) să nu afecteze, prin acţiunile proprii, securitatea altor infrastructuri cibernetice.

[4] Art. 9 Pentru asigurarea securităţii cibernetice, instituțiile publice din România au atribuţii după cum urmează:

a) Ministerul Comunicaţiilor și pentru Societatea informaţională, cu rol de autoritate de reglementare şi control al implementării măsurilor privitoare la asigurarea securităţii cibernetice, cu excepţia instituţiilor prevăzute la lit. d) şi e);
b) Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, desemnat punct naţional de contact cu entitățile de tip CERT naţionale şi internaţionale și autoritate competentă pentru coordonarea activităţilor în domeniul securității cibernetice a infrastructurilor cibernetice, altele decât cele menționate la lit. c), d) și e);
c) Serviciul Român de informaţii, prin Centrul Naţional de Securitate Cibernetică, desemnat autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice organizate și desfăşurate la nivelul infrastructurilor cibernetice de interes naţional, cu excepția infrastructurilor cibernetice de interes naţional aflate în administrarea sau responsabilitatea celorlalte autorităţi prevăzute la lit. d) şi e);
d) Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, desemnată autoritate competentă pentru coordonarea activităților în domeniul securităţii cibernetice a furnizorilor de rețele publice de comunicaţii electronice sau furnizorilor de servicii de comunicaţii electronice destinate publicului;
e) Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Autoritatea Naţională pentru Administrare și Reglementare în Comunicaţii, Serviciul Român de Informaţii, Serviciul de Informații Externe, Serviciul de Telecomunicaţii Speciale și Serviciul de Protecţie şi Pază sunt autorităţi responsabile de securitate cibernetică cu rol în stabilirea de structuri şi implementarea de măsuri proprii privind coordonarea şi controlul activităţilor referitoare la asigurarea securităţii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes naţional, aflate în domeniul lor de activitate și responsabilitate.

[5] Art. 12 lit. j) să coopereze și să-și comunice reciproc date referitoare la securitatea cibernetică, inclusiv către celelalte autorităţi şi instituţii publice sau deţinători de infrastructuri cibernetice;

[6] Art. 3 lit. m) incident de securitate cibernetică – eveniment survenit în spaţiul cibernetic ale cărui consecințe afectează securitatea cibernetică;

[7] Art. 20 alin. 1 lit. b) să notifice deîndată autoritatea competentă cu privire la incidentele de securitate cibernetică identificate;

[8] Art. 24 (1) Notificarea incidentelor de securitate cibernetică se transmite în modalitatea stabilită de autoritatea competentă şi trebuie să conţină, în mod obligatoriu, următoarele elemente:

a) elementele de identificare ale infrastructurii cibernetice afectate;
b) descrierea incidentului;
c) perioada de desfăşurare a incidentului;
d) impactul incidentului.

(2) Pentru gestionarea incidentelor de securitate cibernetică, deținătorii de infrastructuri cibernetice pot solicita sprijinul furnizorilor de servicii de securitate cibernetică sau al autorităților prevăzute de art. 9 lit. b) – e), potrivit competențelor acestora, cărora le pot pune la dispoziție date tehnice referitoare la incidentele şi atacurile cibernetice pe care le gestionează, cu asigurarea anonimizării datelor cu caracter personal deţinute.

(3) Datele tehnice transmise în condițiile prevăzute la alin. (2) nu vor conţine:

a) informații clasificate;

b) date care pot aduce atingere drepturilor şi libertăţilor cetăţeneşti ori intereselor legitime ale unor terţe entităţi implicate.

[9] Art. 22 alin. (3) Furnizorii de servicii de securitate cibernetică care realizează audit de securitate pentru infrastructuri cibernetice de interes naţional au obligaţia de a se înregistra la Ministerul Comunicaţiilor și pentru Societatea Informaţională, potrivit normelor aprobate prin ordin al ministrului, care stabilesc condiţiile pentru înregistrarea și radierea acestora din Registrul Furnizorilor de Audit de Securitate Cibernetică.

[10] Art. 23 (1) Furnizorii de servicii de găzduire internet care desfășoară activităţi pe teritoriul României au obligaţia să acorde sprijin autorităţilor competente, respectiv organelor de urmărire penală, pentru punerea în aplicare, potrivit legii, a oricărui act de autorizare a restrângerii temporare a exerciţiului drepturilor și libertăţilor persoanelor, emis de judecător.

(2) Furnizorii de servicii de găzduire internet au obligaţia de a înregistra și stoca date de jurnalizare a activităţilor din sistemele informatice deţinute care fac obiectul actului de autorizare de la alin. (1), pe toată perioada de valabilitate a acestuia.

(3) Persoanele care sunt chemate să acorde spriijn tehnic la punerea în executare a actelor de autorizare, precum și persoanele care iau la cunoștință despre aceasta au obligaţia să păstreze secretul operațiunii efectuate, sub sancţiunea legii penale

Big Brother se întoarce în Parlament pe ușa din dos

07/05/2015/în Comunicate, Slider /de Rasista

Cerem dezbatere publică a legii de prelucrare a datelor din comunicațiile electronice

APADOR-CH împreună cu alte șapte organizații neguvernamentale își exprimă dezacordul față de modul netransparent în care Președinția și partidele parlamentare au procedat în legătură cu modificarea Legii 506/2004, a prelucrării datelor rezultate din comunicațiile electronice. În urma întâlnirii din 6 mai de la Cotroceni, proiectul cu modificările legislative a apărut imediat pe site-ul Senatului,introdus în procedură legislativă. Asta înseamnă că legiuitorul sare o etapă importantă legală, aceea a consultării publice.

Fiind vorba despre o lege care afectează direct comunicațiile electronice, organizațiile semnatare consideră că acest proiect ar fi trebuit asumat de ministerul de resort, supus dezbaterii publice conform Legii 52/2003, timp de 30 de zile, și apoi trimis în Parlament sub forma unui proiect de lege asumat de Guvern. Respectarea prevederilor legii transparenței presupune consultarea proiectul, a expunerii de motive, în care inițiatorul explică de ce este nevoie de respectivele modificări, dând totodată posibilitatea societății civile să vină cu propuneri de îmbunătățire.

Constatăm că atât Președinția cât și partidele parlamentare refuză să-și respecte promisiunile de transparență făcute la începutul acestui an, după ce Curtea Constituțională a României a invalidat, pentru a patra oară, tentativele de legiferare în stil Big Brother pe care le-au avut instituțiile statului în ultimul deceniu. Introducerea pe repede înainte, în Parlament, a proiectului de modificare a Legii 506/2004 se încadrează în stilul deja consacrat al autorităților române de a scrie legi pe genunchi, pe care ulterior le invalidează CCR.

Putem înțelege motivația principală de reglementare a acestui domeniu, dar atragem atenția că legile trebuie dezbătute public și nu adoptate tacit sau la comanda serviciilor de informații, cu atât mai mult cu cât este vorba de potențiale intruziuni într-un drept fundamental, dreptul la viață privată. Constatăm că, în ciuda invalidării repetate a legilor din categoria Big Brother, clasa politică și serviciile de informații continuă să ignore interesul public și transparența decizională în procesul democratic.

APADOR-CH împreună cu organizațiile semnatare încă nu se pronunță pe fondul proiectului în discuție, dar solicită ca, înainte de dezbaterea parlamentară – în comisii, unde trebuie să se prezinte toate punctele de vedere, sau în plen – proiectul de lege să fie suspus dezbaterii publice reale și eficiente, conform Legii 52/2003, pentru o perioadă de cel putin 30 de zile.

Doar așa se poate oferi societății civile posibilitatea de a formula comentarii, propuneri și observații, pentru asigurarea respectării unui principiu fundamental al societății democratice, și anume principiul transparenței decizionale. Pe lângă securitate, cibernetică sau nu, într-o societate democratică este nevoie și de transparență în activitatea decizională, și de protecția vieții private.

Semnatari:

Maria Nicoleta Andreescu, Asociația Pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)

Cătălin Heghes, Asociația Pentru Minți Pertinente (AMPER)

Mircea Toma, Agenția de monitorizare a presei ActiveWatch

Bogdan Manolea, Asociația pentru Tehnologie și Internet (ApTI)

Mihai Bumbeș, Miliția Spirituală

Ioana Avădani, Centrul pentru Jurnalism Independent (CJI)

Oana Preda, CeRe

Violeta Alexandru, Institutul pentru Politici Publice (IPP)

Cerem limitarea accesului șefilor serviciilor secrete la funcții de demnitate publică

29/01/2015/în Comunicate /de Rasista

Constatăm cu îngrijorare că în ultimii ani separarea între serviciile de informații și instituţiile politice nu mai funcționează. Controlul civil asupra acestora este din ce în ce mai limitat, fapt ce afectează consolidarea democraţiei româneşti şi principiile pe baza cărora am aderat la comunitatea euro-atlantică.

Un semn al acestei disfuncționalități este şi faptul că foştii directori de informații candidează pentru sau sunt numiți în funcţii de demnitate publică imediat dupa încetarea mandatelor acestora. De exemplu, fostul director al SIE, Mihai-Răzvan Ungureanu, a ocupat funcția de prim-ministru, Theodor Meleşcanu a devenit candidat la funcția de preşedinte al României strângând semnături din poziția de director al SIE, iar George Maior a fost indicat de liderii unor partide importante drept posibil premier încă de când ocupa funcția de director al SRI.

Prezenţa unor persoane care au avut acces nelimitat la informaţii confidențiale de interes public şi strategic poate vicia competiţia electorală şi politică. Instrumentalizarea capitalului de informație acumulat în funcția de șef al unui serviciu de informații pentru a câștiga avantaje în competiția politică este un fapt inacceptabil într-o societate democratică. Utilizarea în viața politică a unor pârghii de influență netransparente crează premizele corupției și a dependeței politicienilor de influențe străine de interesul public.

În scopul menţinerii unei relaţii corecte şi constituţionale între Serviciile de Informaţii şi alte instituţii, propunem modificarea legislației de organizare a stucturilor înformative prin introducerea interdicţiei, pentru o perioadă de patru ani dupa încetarea mandatului, a candidaturilor și ocupării oricarei demnități publice (preşedinte, prim-ministru, ministru, secretar de stat, membru al parlamentului, judecător la Curtea Constituțională și altele asemenea) de către foștii directori şi directori adjuncți ai acestor servicii ( Legea nr. 14/1992 privind organizarea şi funcţionarea Serviciului Român de Informaţii, Legea nr. 1/1998 privind organizarea şi funcţionarea Serviciului de Informaţii Externe, Legea 92/1996 privind organizarea şi funcţionarea Serviciului de Telecomunicaţii Speciale, Legea Nr. 191/1998 privind organizarea şi funcţionarea Serviciului de Protecţie şi Pază).

Considerăm că această modificare legislativă ar constitui o garanție minimală pentru separarea serviciilor de alte puteri ale statului precum și pentru păstrarea unui control civil efectiv asupra serviciilor de informații, principiu central în funcționarea democratică a României, asumat prin aderarea la NATO şi Uniunea Europeană.

Invităm toate organizaţiile şi toţi cetăţenii care consideră schimbările legislative propuse ca fiind necesare să se alăture iniţiativei.

29.01.2015

Semnatari:

ActiveWatch

Activişti fără Frontiere

Asociația Miliția Spirituală

Asociația Pentru Minți Pertinente AMPER

Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki APADOR-CH

Asociaţia România Vie

CeRe: Centrul de Resurse pentru participare publică

Comunitatea Uniţi Salvăm

Rezistența Urbană

Grupul pentru Democratie Participativa Plenum

Cerem SRI să lase la vatră ofițerii acoperiți din presă

27/01/2015/în Comunicate, Slider /de Rasista

Organizațiile semnatare consideră firească și necesară demisia șefului SRI, George Maior, având în vedere repetatele atacuri și presiuni pe care le-a făcut în ultima perioadă la adresa Curții Constituționale a României și a altor opozanți ai legilor Big Brother.

În acest context solicităm public parlamentului să introducă în legile siguranței naționale o interdicție expresă a recrutării de colaboratori sau agenți din cadrul presei de către serviciile de informații. În acest fel opiniile și ideile transmise de presă vor reflecta doar convingerile ziariștilor și nu ordinele primite de unii dintre aceștia de la serviciile de informații. Recunoașterea publică a directorului SRI privind existența în presă de agenți/colaboratori ai structurilor informative a confirmat suspiciunile mai vechi legate de prezența ofițerilor acoperiți în mass-media.

Reamintim că pe 21 mai 2011, Parlamentul European a adoptat (cu o majoritate covârșitoare de voturi) rezoluția „Norme standard pentru libertatea presei în Uniunea Europeană”. Rezoluția cere, între altele, statelor membre, să adopte legislația necesară pentru a preveni infiltrarea în redacții a ofițerilor de informații.

Organizațiile semnatare cer autorităților și să nu se grăbească cu elaborarea de noi legi de tipul Big Brother sub imperiul emoțiilor, reale sau provocate. Pentru fiecare dintre cele trei legi Big Brother au fost adoptate sau sunt în lucru directive europene. Una dintre ele, cea privind retenția datelor, a fost invalidată de Curtea de Justiție a UE. Dacă va fi necesară o nouă directivă privind stocarea datelor, desigur că va fi adotată. Directivele privind cartelele prepay și cea privind securitatea cibernetică se află în stadii diferite de dezbatere la nivelul UE. Ca urmare, solicităm autorităților române să renunțe la excesul de zel și să inițieze reglementări interne numai după adoptarea directivelor europene în aceste materii.

Semnatari:

Maria Nicoleta Andreescu, Director executiv APADOR-CH

Mircea Toma, Președinte, ActiveWatch

Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație

Mihail Bumbeș, Președinte, Asociația Miliția Spirituală

Tiberiu-Constantin Turbureanu, Președinte, Fundația Ceata

Vasile Crăciunescu, Președinte, Asociatia Geo-Spatial.org

Elena Calistru, Președinte, Asociația Funky Citizens

Georgiana Iorgulescu, Centrul de Resurse Juridice

Ioana Avădani, director executiv Centrul pentru Jurnalism Independent CJI

Sindicatul Unit al Salariaților – Radio România

Liviu Mihaiu, Salvați Dunărea și Delta

Și tu ești monitorizat de SRI

20/01/2015/în Advocacy Legislativ, Transparenta /de Rasista

Mâine, miercuri 21 ianuarie, Curtea Constituțională va decide dacă Legea securității cibernetice este sau nu contituțională. Indiferent de decizia curții, însă, SRI lucrează intens, pe prea multe canale, din păcate, la impunerea ideii că este imperios necesar să ne lăsăm monitorizați de servicii, pentru siguranța noastră.

Noi nu suntem de acord cu asta, nu atâta vreme cât SRI vrea legi care să-i dea dreptul să intre oricând în telefoanele, computerele și viețile noastre, fără să ne ceară voie sau fără un ordin judecătoresc.

De aceea am făcut toate demersurile care ne-au fost în puteri de a contracara propaganda SRI, cu mijloacele legale care ne sunt la îndemână. Dincolo de asta, însă, vă chemăm și pe voi să vă spuneți punctul de vedere.

Dacă nu sunteți de acord ca SRI să ne controleze viețile, așa cum se întâmpla înainte de 1989, arătați asta. Descărcați desenul făcut de Dan Perjovchi pentru APADOR-CH și afișați-l pe site-ul/blogul sau profilul vostru de Facebook, twitter sau Pinterest.

„Monitorizat SRI” este deocamdată un semn de protest al societății civile în fața exceselor SRI, dar dacă nu suntem atenți ar putea să devină o realitate cotidiană.

Aici și aici găsiți codurile embed pentru imaginile pe care le puteți folosi dacă vreți să vă alăturați demersului nostru

Pentru Facebook puteți folosit cover foto:

și imagine de profil: sau

Amicus curiae pentru respingerea Legii securității cibernetice

19/01/2015/în Comunicate, Slider /de Rasista

Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH) și Asociația pentru Tehnologie şi Internet (ApTI) au depus azi, 19 ianuarie 2015, la Curtea Constituțională, un demers de tipul „amicus curiae”, prin care susțin obiecția de neconstituționalitate ridicată de Grupul Parlamentar al PNL, cu privire la Legea 580/2014, a securității cibernetice. Demersul este susținut de alte 11 organizații neguvernamentale.

Articolele 2, 3, 16 și 17 din Legea 580/2014 încalcă următoarele articole din Constituție:

– art. 26 privind viața intimă, familială și privată

– art. 27 privind inviolabilitatea domiciliului

– art. 28 privind secretul corespondenței

– art. 1 alin (3) privind libera dezvoltare a personalității umane și demnitatea omului

– art. 1 alin (4) privind principiului separaţiei şi echilibrului puterilor

– art. 45 privind libertatea economică

– art. 53 alin (2) privind restrângerea unor drepturi sau libertăți.

Citește textul complet al sesizării amicus curiae

Neconstituționalitatea Legii securității cibernetice va fi discutată de CCR miercuri, 21 ianuarie 2015, în dosarul nr. 1419AI/2014.

***

Istoricul legii securității cibernetice:

Amintim că la 19 decembrie 2014, Legea securității cibernetice a fost votată în unanimitate, într-o procedură total netransparentă în Senat, după ce fusese adoptată tacit de Camera Deputaților. După ședință, unii senatori au susținut că nu ai știut ce au votat.

Mai multe organizații ale societății civile au făcut imediat un apel către Grupurile parlamentare, Înalta Curte de Casație și Justiție, Avocatul Poporului și către președintele României, ca să întreprindă fiecare demersurile constituționale pe care le au la îndemână pentru a repara gafa senatorilor.

Grupul parlamentar al Partidului Național Liberal a depus la Curtea Constituțională o obiecție de neconstituționalitate.

***

Despre amicus curiae:

Organizațiile semnatare cunosc faptul că, din punct de vedere procedural, nu au calitatea de intervenient în acest contencios constituțional.

Tocmai de aceea, ele depun prezentul amicus curiae, instituție juridică distinctă de cea a intervenției și care este recunoscută ca atare de instanțele din sistemele de drept de tip common law, spre exemplu, de Curtea Europeană a Drepturilor Omului.

Prin amicus curiae este permis celor care au o expertiză într-un anumit domeniu (în speță, respectarea drepturilor omului, libertatea de asociere) să ajute instanța, ca „prieteni ai instanței” (amicii curiae), prin furnizarea, cu rol consultativ, de informații/observații relevante pentru soluționarea unei cauze importante.

Demers susținut și de:

Mircea Toma, Președinte, ActiveWatch

Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație

Mihail Bumbeș, Președinte, Asociația Miliția Spirituală

Laura Ștefan, Expert anticorupție, Expert Forum

Violeta Alexandru, Director, Institutul pentru Politici Publice

Tiberiu-Constantin Turbureanu, Președinte, Fundația Ceata

Gabriel Petrescu, Director executiv, Fundația pentru o societate deschisă

Claudiu Marginean, Președinte, Asociatia Copyratul Roman

Vasile Crăciunescu, Președinte, Asociatia Geo-Spatial.org

Elena Calistru, Președinte, Asociația Funky Citizens

Oana Preda, Director Executiv CeRe, Centrul de Resurse pentru Participare Publică

S-au alăturat demersului:

Cătălin Hegheș, director executiv Asociația Pentru Minți Pertinente AMPER
Cristian Ghinea, director Centrul Român pentru Politici Europene CRPE
Ioana Avădani, director executiv Centrul pentru Jurnalism Independent CJI

Apelul către președinte pentru declararea neconstituționalității Legii securității cibernetice

21/12/2014/în Buna guvernare /de Rasista

Către domnul Klaus Iohannis, Președintele României

Stimate domnule președinte,

Mai multe organizații ale societății civile vă solicită să vă aplecați asupra Legii privind securitatea cibernetică a României, adoptată de Parlamentul României vineri, 19 decembrie 2014 (număr de înregistrare la Senat L580/2014). Legea, în forma adoptată, are probleme fundamentale de concepție, propunând o serie de măsuri cu efect limitativ asupra dreptului la viață privată în zona digitală și încalcă în mod evident reglementările europene discutate astăzi pe subiectul securității informației. Facem precizarea că, înainte să ne adresăm domniei voastre am solicitat tuturor instutuțiilor abilitate (grupurilor parlamentare, Înaltei Curți de Casație și Justiție, Avocatului Poporului) să își exercite atribuțiile legale cu privire la controlul de constituționalitate a priori sesizând Curtea Constituțională a României în acest caz. Dacă instituțiile enumerate nu vor sesiza Curtea Constituțională vă rugăm să nu promulgați Legea securității cibernetice și să sesizați Curtea Constituțională privind neconstituționalitatea acesteia sau să o trimiteți înapoi Parlamentului pentru o reexaminare.

Vă prezentăm în cele ce urmează motivele solicitării noastre.

Legea contravine din multe puncte de vedere și propunerii de Directivă NIS (Network & Information Security) care pornește de la scopul protecției datelor personale ale cetățenilor și nu de la crearea de noi atribuții pentru serviciile secrete.

În timp ce Directiva NIS are drept scop protejarea sistemelor informatice și a datelor informatice ale cetățenilor, Legea, în forma adoptată, reprezintă un cec în alb care poate fi folosit de serviciile de informații pentru a controla orice persoană de drept privat (SRL, SA, PFA, ONG) care deține un sistem informatic (adica orice calculator sau smartphone). Potențialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumăratele ambiguități prezente în lege, începând de la definirea vagă a „deținătorilor de sisteme informatice” și continuând cu obligațiile ce le revin celor care cad sub incidența legii.

În ordinea gravității/neconstituționalității lor, vă enumerăm câteva articole din legea securității cibernetice, articole care subminează grav dreptul la viață privată al cetățenilor:

Articolul 17 – Toți deținătorii de sisteme cibernetice (adică toate persoanele juridice care au un calculator (vezi subiecții legii în art 2) trebuie să „permită accesul la date” autorităților stipulate în lege (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO și ANCOM). Accesul se face la simpla „solicitare motivată”, în condițiile în care astăzi, conform Codului de procedură penală, orice acces la sistemele informatice (unde sunt stocate datele informatice) se poate face doar cu autorizarea unui judecător. Mai mult, accesul la datele de trafic este momentan imposibil pentru organele legal abilitate tocmai deoarece Curtea Constituțională a considerat, prin decizia 440/2014, că un atare acces nu respectă principiile respectării vieții private. Astfel, considerăm că articolul 17 este vădit neconstituțional.
Articolul 16 – Toți deținătorii de sisteme cibernetice, indiferent de mărime, tipul de date colectate sau importanța lor pentru ecosistemul cibernetic, vor fi obligați să aplice politici de securitate cibernetică, să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Aceasta înseamnă cheltuieli cu audituri de securitate estimate la minim 1500 de euro/an investiți în securitate informatică pentru orice persoană de drept privat.
Articolul 10 – Serviciul Român de Informații este desemnat autoritate națională în domeniul securității cibernetice, calitate în care asigură coordonarea tehnică, organizarea și executarea activităților ce privesc securitatea cibernetică a României. În vreme ce Uniunea Europeană propune în directiva NIS ca instituțiile care se ocupă de domeniul securității cibernetice să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unei institutii – SRI – care nu îndeplinește niciuna din condițiile de mai sus.

Proiectul de lege privind securitatea cibernetică a fost discutat superficial în vara acestui an, moment în care organizațiile semnatare au propus o serie de modificări la articolele ce încalcă flagrant drepturile fundamentale ale omului.

În pofida acestor puncte de vedere, legea a fost adoptată tacit (deci fără niciun fel de dezbatere) de Camera Deputaților în luna septembrie, iar vineri, 19 decembrie, a fost aprobată și de Senat, într-o procedură suspect de rapidă, după ce, cu două zile înainte, Comisia de apărare audiase exclusiv punctele de vedere ale serviciilor de informații.

Punctele de vedere ale societății civile nu au fost luate în seamă, ele nefigurând nici măcar pe site-ul Senatului, la secțiunea dedicată opiniilor cu privire la lege, deși au fost trimise în termenul legal. Există soluții legislative simple (de ex. accesul la datele informatice să se facă doar în condițiile Codului de procedură penală și obligațiile de audit informatic să fie doar către Infrastructurile Cibernetice de Interes Național) pentru cei care doresc o reală securitate informatică în România și nu un regim de control absolut de tip securistic.

Organizațiile semnatare vă cer, Domnule Președinte, să nu promulgați Legea securității cibernetice și să sesizați Curtea Constituțională privind neconstituționalitatea acesteia sau să o trimiteți înapoi Parlamentului pentru o dezbatere reală.

Vă amintim că, în 2014, Curtea Constituțională a României a mai constatat neconstituționalitatea Legii Big Brother și a Legii cartelelor prepay și Wi-Fi cu buletinul. Acestea erau acte normative în ton cu recent adoptata lege a securității cibernetice și care încălcau grav dreptul la viață privată și protecția datelor personale, instituind un regim de supraveghere informatică total nedemocratic, sub pretextul protejării securității naționale.

Faptul că în această vară Curtea Constituțională a declarat neconstituționale două legi care, în esență, încălcau aceleași drepturi ca și legea ce v-a fost trimisă spre promulgare, constitutie un motiv suplimentar serios pentru o dezbatere reală a implicațiilor Legii securității cibernetice și, într-un cadru mai larg, a echilibrului dintre drepturile individuale și securitatea națională pe care România trebuie sa îl asigure prin sistemul său de legi.

Semnatari:

Maria-Nicoleta Andreescu, Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)

Bogdan Manolea, Asociaţia pentru Tehnologie şi Internet (ApTI)

Mircea Toma, ActiveWatch

Ioana Avădani, Centrul pentru Jurnalism Independent (CJI)

Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație (CRJI)

Vasile Crăciunescu, Geo-spatial.org

Tiberiu Turbureanu, Fundația Ceata

Oana Preda, Centrul de Resurse pentru Participare Publică

Mihail Bumbeș, Miliția Spirituală

Toma Pătrașcu, Asociația Secular Umanistă din România (ASUR)

Gabriel Petrescu, Director Executiv, Fundația pentru o Societate Deschisă

Cătălin Hegheș, Director Executiv – Asociația Pentru Minți Pertinente AMPER

Ionuț Oprea, Asociația IAB România (Interactive Advertising Bureau)