Reacţiile ANISP şi INTERLAN: demascarea intruziunilor de tip securist (interceptarea legală a comunicațiilor şi altele), ce pot trece odată cu Legea de implementare a Codului European al Comunicațiilor Electronice prin Senat

În prezent, proiectul de lege care transpune în legislația națională Codul European al Comunicațiilor Electronice (Directiva UE) 2018/1972 a Parlamentului European și a Consiliului din 11 decembrie 2018) se apropie de momentul votului final în Senatul României, subliniază oficialii Asociația Națională a Internet Service Providerilor din România (ANISP). Proiectul a fost deja votat în Camera Deputaților, în decembrie 2021. Detalii aici.

Este un proiect de lege foarte important, care trebuie adoptat cât mai curând, dar industria și societatea civilă au constatat că – pe lângă prevederile care transpun directiva europeană – au fost împachetate și prevederi nocive sau cel puțin inoportune.

CELEX_32018L1972_RO_TXT

Redăm mai jos conținutul adresei trimisă de ANISP către Senat în încercarea de a corecta aspectele nocive: „Subscrisa Asociația Națională a Internet Service Providerilor din România (prescurtat ANISP), cu sediul în Calea Floreasca nr. 169, corp X, parter, sector 1, București, tel/fax: 021-316.10.33, e-mail: office@anisp.ro, înregistrată în Registrul asociațiilor și fundațiilor aflat la grefa Judecătoriei Sectorului 5 la poziția 3/2001/PJ, Partea IA, Secțiunea 1, Cod fiscal RO13679664, legal reprezentată de Cătălin Cuturela, Președinte,

în calitate de asociație ce are ca scop principal reprezentarea membrilor săi – furnizori de rețele și servicii de comunicații electronice, precum și apărarea intereselor lor economice, profesionale, tehnice și juridice,

vă solicităm respectuos să întreprindeți toate măsurile care vă stau la dispoziție în calitate de senatori în Parlamentul României,

pentru a elimina și/sau modifica următoarele prevederi din proiectul de lege pentru modificarea și completarea unor acte normative în domeniul comunicațiilor electronice și pentru stabilirea unor măsuri de facilitare a dezvoltării rețelelor de comunicații electronice , (transmitem observațiile noastre relativ la forma disponibilă astăzi, 11.02.2022, formă care a primit o serie de amendamente în comisiile de specialitate – față de forma adoptată de Camera Deputaților):

”28. După articolul 10 se introduc două noi articole, articolele 10^1 și 10^2, cu următorul cuprins:

La articolul 10^2, alineatul (1) se modifică şi va avea următorul cuprins:

(1) Furnizorii de servicii de găzduire electronică cu resurse IP au obligația să sprijine organele de aplicare a legii și organele cu atribuții în domeniul securității naționale în limitele competențelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispozițiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările și completările ulterioare, și ale Legii nr. 51/1991 privind securitatea națională, republicată, cu modificările și completările ulterioare, respectiv:

a. să permită interceptarea legală a comunicațiilor, inclusiv să suporte costurile aferente;

–nemodificat (n.n.: nemodificat față de forma adoptată de Camera Deputaților. Observația ANISP: Transferarea oricăror costuri, arbitrar, fără limite – către furnizorii de servicii este un abuz. Serviciile abilitate prin lege să facă interceptări să achiziționeze din bugetele proprii echipamentele necesare interceptării. Sintagma ”inclusiv să suporte costurile aferente” trebuie eliminată.)

b. să acorde, la solicitarea organelor autorizate, în condițiile prezentei legi, conținutul decriptat al comunicațiilor tranzitate în rețele proprii (Observația ANISP: Această prevedere intră în conflict cu prevederi ale Codului de Procedură Penală. Conform art. 138 CPP, alin. (1) literele (a) și (j), interceptările și obținerea datelor de trafic sunt ”metode speciale de supraveghere”. Iar conform art. 170 CPP:

(1) În cazul în care există o suspiciune rezonabilă cu privire la pregătirea sau săvârşirea unei infracţiuni şi sunt temeiuri de a se crede că un obiect ori un înscris poate servi ca mijloc de probă în cauză, organul de urmărire penală sau instanţa de judecată poate dispune persoanei fizice sau juridice în posesia căreia se află să le prezinte şi să le predea, sub luare de dovadă.

(2) De asemenea, în condiţiile alin. (1), organul de urmărire penală sau instanţa de judecată poate dispune ca: …

b) orice furnizor de reţele publice de comunicaţii electronice sau furnizor de servicii de comunicaţii electronice destinate publicului să comunice anumite date referitoare la abonaţi, utilizatori şi la serviciile prestate, aflate în posesia sau sub controlul său, altele decât conţinutul comunicaţiilor şi decât cele prevăzute la art. 138 alin. (1) lit. j). [contradicția!]

De asemenea, este în general imposibil din punct de vedere tehnic ca furnizorii să decripteze comunicațiile criptate care le tranzitează rețeaua. Sintagma ”conținutul decriptat” presupune că acel conținut a fost criptat de o entitate, iar furnizorul ar trebui să posede soluții de decriptare care ar putea să nu existe nici la îndemâna celor mai puternice agenții de informații din lume.

O astfel de prevedere are sens doar dacă furnizorul serviciului de comunicații este și cel care pune la dispoziție servicii de criptare, dar nici în această ipoteză nu există certitudinea posibilității tehnice.

De remarcat și faptul că ”furnizorii de servicii de găzduire electronică cu resurse IP” adesea nu au rețea, ci doar server(e) fizice sau virtuale, deci nu se poate pune problema ”comunicațiilor tranzitate în rețelele proprii”. );

c. să furnizeze informațiile reținute sau stocate referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente;

–nemodificat (n.n. nemodificat față de forma adoptată de Camera Deputaților. Observația ANISP: Aceste activități trebuie efectuate în limitele permise de Legea 506/2004, care impune ștergerea și/sau anonimizarea datelor de trafic. A se vedea și decizia 440/2014 a Curții Constituționale a României, prin care se abrogă legea 82/2012 tocmai pentru prevederi similare (generale și neproporționale – aflate în contradicție atât cu Constituția României cât și cu Hotărârea Curţii de Justiţie a Uniunii Europene din 8 aprilie 2014, pronunţată în cauzele conexate C-293/12 – Digital Rights Ireland Ltd împotriva Minister for Communications, Marine and Natural Resources şi alţii – şi C-594/12 – Karntner Landesregierung şi alţii)).

d. se elimină.

(2) Obligațiile prevăzute la alin. (1) lit. a) – c) se aplică în mod corespunzător și furnizorilor de rețele sau servicii de comunicații electronice. (Observația ANISP: și această prevedere intră în conflict cu prevederi ale Codului de Procedură Penală – a se vedea nota de la aliniatul (1), litera b) de mai sus)

(3) Furnizorii de servicii de găzduire electronică cu resurse IP și furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere, au obligația ca, în termen de 60 de zile de la data începerii furnizării serviciilor, să transmită o informare în acest sens ANCOM care să conțină cel puțin următoarele:

a) datele de identificare ale furnizorului;

b) datele de contact ale furnizorului;

c) tipul de serviciu de găzduire electronică prestat.

(4) ANCOM publică pe propria pagină de internet tipurile de servicii de găzduire electronică pentru care furnizorii de servicii de găzduire electronică cu resurse IP au obligațiile prevăzute de prezentul articol.

(5) Orice modificare a datelor transmise potrivit alin. (3) se comunică ANCOM în termen de 10 zile de la data apariției evenimentului.

(6) Prin decizia ANCOM se poate stabili ca informarea prevăzută la alin. (3) să se realizeze într-un anumit format.” (Observația ANISP: punctele 3, 4, 5, și 6 contravin art. 4 al Directivei 2000/31/EC a Parlamentului European și a Consiliului, asupra unor aspecte ale serviciilor societății informaționale: Articolul 4 – Principiul de excludere a autorizării prealabile – (1) Statele membre veghează ca accesul la activitatea de furnizor de servicii ale societății informaționale și desfășurarea acesteia să nu poată fi supuse unui regim de autorizare prealabilă sau oricărei alte cerințe cu efect echivalent. Prin urmare, punctele 3, 4, 5, 6 trebuie eliminate)

În concluzie, considerăm că prevederi precum cele propuse la art. 10^2 de mai sus nu trebuie incluse în legea de transpunere a Codului European al Comunicațiilor Electronice. Aceste gen de prevederi trebuie expuse unei dezbateri publice reale, trebuie corelate cu legislația privind protecția datelor personale, cu prevederile Codului de Procedură Penală, cu prevederile din deciziile Curții Constituționale, cu alte acte normative aplicabile și numai ulterior introduse în Codul de Procedură Penală, ca o extindere a prevederilor existente (aplicabile deja furnizorilor de servicii și rețele de comunicații electronice) către furnizorii de servicii de de găzduire electronică cu resurse IP.

Asociația Interlan solicită senatorilor să modifice proiectul de lege

Asociația Interlan semnalează faptul că prevederile proiectului de lege sunt de natură a afecta interesele legitime ale furnizorilor de servicii de comunicații electronice prin impunerea unor sarcini și obligații administrative disproporționate și cu evident impact economic, care pot genera imposibilitatea desfășurării activității specifice în domeniul comunicațiilor electronice. 

Proiectul de Lege pentru modificarea și completarea unor acte normative în domeniul comunicațiilor electronice și pentru stabilirea unor măsuri de facilitare a dezvoltării rețelelor de comunicații electronice, care urmează să intre în dezbaterea Plenului Parlamentului României, vizează o transpunere la nivel național a Directivei 1972/2018 de instituire a Codului european al comunicațiilor electronice. 

Asociația Interlan în cadrul propunerilor de modificare transmise a subliniat necesitatea includerii unui regim derogatoriu pentru microîntreprinderi și IMM-uri, având în vedere impunerea unor măsuri tehnice și organizatorice excesive sub aspectul suportării de către operatori a costurilor privind interceptarea legală a comunicațiilor, implementarea măsurilor tehnice și organizatorice, inclusiv pentru criptarea/decriptarea conținutului comunicațiilor tranzitate, dar și obligativitatea de a se supune, pe cheltuiala proprie, unor audituri de securitate la solicitarea ANCOM. 

Proiectul reprezintă o dezvoltare la nivel național a prevederilor comunitare aplicabile, fără a fi aplicat testul specific privind situația microîntreprinderilor și IMM-urilor și fără efectuarea unei analize a impactului acestor modificări legislative. Stabilirea unui cadru derogatoriu pentru microîntreprinderi și IMM-uri nu este de natură a determina un tratament preferențial sau discriminatoriu, ci exclusiv reprezintă o asigurare și o garantare a necesităților specifice acestor entități, având la bază inclusiv regimul derogatoriu stabilit prin Directiva NIS – Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului din 6 iulie 2016 privind măsuri pentru un nivel comun ridicat de securitate a rețelelor și a sistemelor informatice în Uniune sau Regulementul nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE. 

O abordare specială, având în vedere impactul semnificativ, trebuie acordată prevederilor art. 102 din Proiect, text normativ dezvoltat ulterior procesului de consultare publică,  care impune obligativitatea furnizorilor de servicii de găzduire electronică cu resurse IP și furnizorilor de servicii de comunicații interpersonale care nu se bazează pe numere să sprijine ”organele de aplicare a legii și organele cu atribuții în domeniul securității naționale”. 

Acțiunile reglementate vizează:

 permiterea interceptării legale a comunicațiilor, inclusiv suportarea costurilor aferente;

 acordarea accesului la conținutul decriptat al comunicațiilor și furnizarea informațiilor reținute sau stocate referitoare la datele de trafic, date de identificare a abonaților sau clienților, modalitățile de plată și istoricul accesărilor cu momentele de timp aferente;

 informațiile reținute sau stocate referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente;

 permitarea, în cazul furnizorilor de servicii de găzduire electronică cu resurse IP, accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.

Prin aceste prevederi se urmărește o completare a prevederilor cadru privind interceptarea legală a comunicațiilor, respectiv a cadrului normativ determinat de prevederile art. 138-140 din Codul de procedură penală și de prevederile Legii nr. 51/1991 privind securitatea națională. 

Exceptând impactul financiar al măsurilor solicitate pentru sprijinirea organele de aplicare a legii și organele cu atribuții în domeniul securității naționale, textul normativ nu este suficient de precis și de clar și nu corespunde exigențelor de calitate ale legii. În mod evident, nu este îndeplinită cerința de previzibilitate a normei, care implică că aceasta trebuie să precizeze cu suficientă claritate întinderea şi modalităţile de exercitare a puterii de apreciere a autorităţilor în domeniul respectiv, ţinând cont de scopul legitim urmărit, pentru a oferi o protecţie adecvată împotriva arbitrarului.

Asociația Interlan este o organizație profesională, non-guvernamentală și non-profit constituită în anul 2005 la inițiativa unor furnizori de servicii de acces la internet. În prezent, Asociația numără 42 de membri, având scopul de a sprijini și de a promova interesele furnizorilor de servicii de comunicații electronice din România.