Guvernul condus de Florin Citu (foto 2) a picat, dar mostenirea lui continua sa produca efecte. Ne referim la o mostenire de tip Big Brother, prin care fostul executiv a urmarit sa reintroduca Serviciul Roman de Informatii in dosarele penale, sub pretextul implementarii Directivei europene 2018/1972 (Codul european al comunicatiilor). Directiva care (culmea!) incurajeaza protejarea comunicatiilor – deci este de sens contrar intentiilor fostei guvernari PNL. Initiativa de act normativ ticluita de executivul Citu a trecut de Camera Deputatilor marti, 7 decembrie 2021, fiind trimisa la Senat.

Pe scurt, proiectul legislativ urmareste sa-i oblige pe furnizorii de telecomunicatii ca pe cheltuiala lor sa decripteze si sa permita interceptarea, de catre „organele cu atributii in domeniul securitatii nationale”, a conversatiilor de pe orice inseamna serviciu de chat (fie ca se numeste WhatsApp, Telegram, Signal, Facebook sau altfel). Adica de catre SRI, alaturi de care s-a fotografiat ostentativ presedintele Klaus Iohannis (foto 1) la parada de 1 Decembrie 2018. 

Iata mai intai principalele pasaje din proiectul de lege:

„Definitii

8. La articolul 4 alineatul (1), dupa punctul 9 se introduc sase noi puncte, pct. 9/1-9/6, cu urmatorul cuprins:

„9/1. serviciu de comunicatii interpersonale — un serviciu furnizat de regula contra cost care permite schimbul direct de informatii intr-un mod interpersonal si interactiv prin intermediul retelelor de comunicatii electronice intre un numar limitat de persoane, in cadrul caruia persoanele care initiaza sau participa la comunicare isi stabilesc destinatarul sau destinatarii, si care nu include serviciile care permit comunicarea interpersonala si interactiva doar ca un simplu element auxiliar minor care este legat in mod intrinsec de un alt serviciu;

9/2. serviciu de comunicatii interpersonale bazat pe numere — un serviciu de comunicatii interpersonale care utilizeaza resurse publice de numerotatie, respectiv unul sau mai multe numere din planurile nationale sau internationale de numerotatie, sau care permite comunicarea cu un numar sau mai multe numere din planurile nationale sau internationale de numerotatie;

9/3. serviciu de comunicatii interpersonale care nu se bazeaza pe numere — un serviciu de comunicatii interpersonale care nu utilizeaza resurse publice de numerotatie, respectiv un numar sau mai multe numere din planurile nationale sau internationale de numerotatie, sau nu permite comunicarea cu un numar sau mai multe numere din planurile nationale sau internationale de numerotatie;

9/4. furnizor de servicii de comunicalii electronice — o persoana a carei activitate consta, in tot sau in parte, in furnizarea unui serviciu de comunicatii electronice;

9/5. furnizor de servicii de gazduire electronica cu resurse IP — persoana care, pe teritoriul Romaniei, ofera servicii de stocare, distribuire a continutului si asigurare a accesului la acesta, pe servere detinute sau inchiriate, prin gestionarea unui set de adrese IP in internet;

9/6. adresa IP — identificator unic al unei interfete fizice sau logice, asociate unui echipament conectat la o retea de comunicatii electronice”.

Text propriu-zis

Art.10/2. — (1) Furnizorii de servicii de gazduire electronica cu resurse IP si furnizorii de servicii de comunicatii interpersonale care nu se bazeaza pe numere au obligatia sa sprijine organele de aplicare a legii si organele cu atributii in domeniul securitatii nationale, in limitele competentelor acestora, pentru punerea in executare a metodelor de supraveghere tehnica ori a actelor de autorizare dispuse in conformitate cu dispozitiile Legii nr. 135/2010 privind Codul de procedura penala, cu modificarile si completarile ulterioare, si ale Legii nr. 51/1991 privind securitatea nationala, republicata, cu modificarile si completarile ulterioare, respectiv:

a) sa permita interceptarea legala a comunicatiilor, inclusiv sa suporte costurile aferente;

b) sa acorde accesul la continutul comunicatiilor criptate tranzitate in retelele proprii;

c) sa furnizeze informatiile retinute sau stocate referitoare la date de trafic, date de identificare a abonatilor sau clientilor, modalitati de plata si istoricul accesarilor cu momentele de timp aferente;

d) sa permita, in cazul furnizorilor de servicii de gazduire electronica cu resurse IP, accesul la propriile sisteme informatice, in vederea copierii sau extragerii datelor existente.

(2) Obligatiile prevazute la alin. (1) lit. a) — c) se aplica in mod corespunzator si furnizorilor de retele sau servicii de comunicatii electronice.

(3) Furnizorii de servicii de gazduire electronica cu resurse IP si furnizorii de servicii de comunicatii interpersonale care nu se bazeaza pe numere au obligatia ca, in termen de 60 de zile de la data inceperii furnizarii serviciilor, sa se trimita o informare la ANCOM”.

Redam si cel mai important fragment din expunerea de motive:

„F. Schimbari legislative relevante pentru domeniul securitatii nationale

Proiectul de lege vizeaza, ca element de noutate, impunerea in sarcina furnizorilor de servicii de web hosting si a furnizorilor de servicii de comunicatii interpersonale care nu se bazeaza pe numere a unor obligatii de natura sa faciliteze lupta impotriva faptelor grave de natura penala ori a amenintarilor la adresa securitatii nationale.

Obligatiile impuse in acest sens se axeaza in principal pe:

- furnizarea informatiilor tehnice necesare punerii in aplicare a actelor de autorizare a interceptarii comunicatiilor, atat in scopul implementarii functiei legale de interceptare, cat si in ceea ce priveste adaptarea solutiilor tehnice de interceptare la dezvoltarea paletei de servicii si facilitati oferite de companiile care activeaza in domeniu;

- obtinerea datelor de identificare, trafic si locatie pentru analiza necesara in cazurile aflate in lucru; initierea de operatiuni tehnice in propriile retele, care sa faciliteze indeplinirea atributiilor specifice autoritatilor cu atributii in domeniul securitatii nationale.

In vederea crearii unui registru, aceste categorii de furnizori urmeaza sa transmita o informare catre ANCOM, dupa intrarea pe piata, in termen de 60 de zile de la data inceperii furnizarii serviciilor. Informarea ANCOM nu are natura unei conditii prealabile de acces pe piata”.

Lui Orban & co. le-a pierit haiducia

Proiectul de lege – adoptat in sedinta de Guvern din 2 octombrie 2021 – a trecut de Camera Deputatilor marti, 7 decembrie 2021, cu o majoritate covarsitoare: 256 de voturi „pentru”, 34 „impotriva” si 7 abtineri. 28 dintre cele 34 de optiuni negative au fost exprimate de catre deputatii AUR. In rest, fostul premier Ludovic Orban si deputatii plecati din PNL impreuna cu el nu s-au mai opus in corpore acestei aberatii legislative, cum au facut la proiectul legii de adoptare a „Ordonantei Pruna” 6/2016. De data aceasta, fiecare a votat cum a crezut de cuviinta, Orban insusi exprimandu-si abtinerea (click aici pentru situatia voturilor).

Directiva europeana zice fix pe dos

Ca si cum situatia nu ar arata suficient de rau, cabinetul Citu a distorsionat sensul Directivei UE 2018/1972, care la paragraful 97 spune cat se poate de clar: „Pentru a asigura securitatea retelelor si a serviciilor si fara a aduce atingere competentelor statelor membre de a asigura protectia intereselor lor esentiale in materie de securitate si siguranta publica si pentru a permite investigarea, detectarea si urmarirea penala a infractiunilor, ar trebui promovata de exemplu utilizarea criptarii, cap la cap daca este cazul, si, daca este necesar, criptarea ar trebui sa fie obligatorie in conformitate cu principiile securitatii si protejarii vietii private in mod implicit si din faza de proiectare”.

A trecut prin Camera Deputatilor ca prin branza

Asa cum puteti vedea in documentele anexate la final, proiectul de lege a trecut aproape neatins prin comisiile Camerei Deputatilor. Un singur amendament se refera la fondul problemei, permitand incheierea contractelor la distanta, data fiind pandemia. In rest, toate celelalte tin numai de tehnica legislativa – adica de reformulari, renumerotari, corecturi ortografice etc.

Deputata USR Monica Elena Berescu a incercat sa introduca un amendament care sa creasca de la 5 la 9 ani experienta minima necesara in domeniul juridic, economic sau al comunicatiilor pentru numirea ca presedinte sau vicepresedinte al ANCOM, precum si ca selectia sa se faca „din randul unor persoane cu autoritate si experienta profesionala recunoscute, pe baza de merit, competente, cunostinte si experienta si in urma unei proceduri de selectie deschise si transparente”. Amendamentul i-a fost respins fara vreo explicatie (a se vedea sfarsitul tabelului anexat mai jos).

Societatea civila contraataca

Subiectul a fost semnalat joi, 10 decembrie 2021, de catre juristul Bogdan Manolea (foto 2), directorul executiv al Asociatiei pentru Tehnologie si Internet:

„Largirea interceptarii comunicatiilor – introdusa pe sest de Guvern

Un nou articol (aparut din senin intr-o lege care trebuia sa reglementeze cu totul altceva) largeste in mod nejustificat domeniul si spectrul interceptarii comunicatiilor electronice, inclusiv a accesului la datele de trafic, date de continut si la „continutul comunicatiilor criptate tranzitate”.

Articolul a fost adaugat intr-un proiect de lege adoptat de Guvernul Catu cu doar 3 zile inainte de a fi demis de Parlament, iar proiectul a trecut de Camera Deputatilor fara niciun amendament contrar.

I. Mega-plictis, ce sa mai!

Doar intamplarea face ca ne-am uitat pe un text juridico-tehnic lung de 300 de pagini pe un text relativ plictisitor, chiar si pentru juristi obisnuiti cu domeniul telecom.

Proiectul de lege pentru transpunerea directivei UE 2018/1972 (Codul european al comunicatiilor), care de fapt inlocuieste alte 4 directive, este un mega-proiect legislativ care transpune masuri in mare parte interesante doar pentru cei interesati de domeniul comunicatiilor electronice si de ce face ANCOM.

Ministerul Transporturilor si Comunicatiilor a avut proiectul in dezbatere publica inca din noiembrie 2020 (inclusiv cu o intalnire online) si a inclus in el si alte reglementari de interes pentru acelasi domeniu (ceva clarificari legea infrastructurii, serviciul My ANCOM) si i-au mai dat si un nume generic - „Proiectul de Lege pentru modificarea si completarea unor acte normative in domeniul comunicatiilor electronice si pentru stabilirea unor masuri de facilitare a dezvoltarii retelelor de comunicatii electronice”. Mega-plictis, ce sa mai.

Desi directiva trebuia transpusa pana pe 21 decembrie 2020, a zacut undeva prin Guvern aproape un an pana cand a plecat USR din coalitie . Apoi, cu doar 3 zile inainte sa fie demis (coincidenta sau nu?!?), Guvernul Catu il adopta dintr-o data in ultima sedinta de guvern. Pe urma intra in circuitul parlamentar, iar la Camera Deputatilor trece ca prin branza si este adoptat pe 7 decembrie 2021. Mega-plictis, ce sa mai.

II. Si diavolul e in 10^2

Doar ca intre varianta din dezbatere publica si cea adoptata de guvern apare o noua adaugire in motivatie numita „Schimbari legislative relevante pentru domeniul securitatii nationale” (sic!), doua definitii (scrise evident de persoane care nu au lucrat in domeniu, dupa formularile absolut improprii) si art 102 inserat intr-o zona care n-are nimic de a face cu subiectul celorlalte 299 de pagini. (...) (n.r. A se vedea textul de mai sus.)

III. Cine sunt astia?

Pentru cei pierduti in textul ce pare un acrostih dar nu este, sa explicam trei termeni:

„Furnizorii de servicii de gazduire electronica cu resurse IP” – sunt de fapt aceiasi cu furnizorii de gazduire web (de fapt, deja reglementati in legea 365/2002), care ofera serviciile „pe teritoriul Romaniei” conform definitiei nou inventate din art 4 alineatul (1), noul punct 9^5.

„Serviciu de comunicatii interpersonale care nu se bazeaza pe numere” – este ce se numea acum cativa ani „mesagerie instatanee sau mesaje chat” si practic intra in categoria asta Skype, WhatsApp, Facebook Messanger, Signal, Wire, Telegram sau pentru cei mai nostalgici Yahoo Messanger, AIM, ICQ sau chiar IRC. Pentru o minte (sau altceva) mai creata, ar fi un serviciu de comunicatii interpersonale care se integreaza perfect in definitia imberba din art 4 alineatul (1), noul punct 9^3 chiar si Chaturbate sau LiveJasmin. (ca sa se clateasca si ochiul lor, ca sa zic asa). Atentie, acestia nu sunt doar cei care ofera serviciile „ pe teritoriul Romaniei”. (cuvant cheie- indiciu: „tranzitat”)

„Organele cu atributii in domeniul securitatii nationale”- este aceiasi terminologie vaga deja declarata neconstitutionala in 2008 (si alte decizii). Oricum nimeni nu este in stare sa faca lista lor, cu atat mai mult cu privire la atributiile exacte, legea din 1991 find la fel de vaga si astazi.

IV. Ce trebuie sa faca?

Aspectele legate de interceptarea legala comunicatiilor, cu toate garantiile de rigoare (ma rog, pana la noi decizii de neconstitutionalitate, eu zic ca decizia din 2016 e doar prima dintr-un sir daca nu se rezolva niste probleme de fond) sunt prevazute de Codul de Procedura Penala (CPP). In mod logic, daca ar fi vreo problema sau este nevoie de actualizarea lor s-ar face tot printr-o modificare la acest cod. (indiciu: e o lege organica, greu de modificat).

Doar ca dincolo de a impune obligatii similare si unor alte categorii furnizori (care oricum, nu au legatura cu ANCOM) pe unde se plimba in 2021 continutul si legal, si ilegal. (poate de discutat, dar atunci ar trebui in CPP si nu pe sest), textul largeste mult spectrul de actiuni de interceptari si acces, pe care CPP nu le prevede. Ma opresc doar la 2 aici:

- „accesul la continutul comunicatiilor criptate tranzitate in retelele proprii” nu exista in CPP.

Dincolo de faptul ca un furnizor (inclusiv cei de comunicatii) ar trebui sa isi creeze un sistem de depistare a continutului criptate tranzitat, eu cred ca tinta sunt furnizorii care ofera astfel de servicii. Aici sunt 2 variante – fie vor continutul decriptat direct de la furnizor sau pentru ca vor sa sparga criptarea? (cat de legal, ilegal ar fi, este o alta discutie) , fie vor continutul criptat pentru ca vor sa obtina / determine partea care are cheia de criptare sa o dezvaluie cumva. Astea, ca si altele din acelasi spectru ridica niste subiecte de privacy si security mult prea complexe pentru a le rezolva in 2 propozitii (dau insa 2 linkuri - Bugs in our Pockets: The Risks of Client-Side Scanning si un document leak-uit de la Comisie)

Sa nu mai zicem ca textul Directivei de implementat zice exact pe dos – promovati criptarea, nu o subminati: „ar trebui promovata de exemplu utilizarea criptarii, end-to-end daca este cazul, si, daca este necesar, criptarea ar trebui sa fie obligatorie in conformitate cu principiile securitatii si protejarii vietii private in mod implicit si din faza de proiectare”

- „sa permita, in cazul furnizorilor de servicii de gazduire (...) accesul la propriile sisteme informatice, in vederea copierii sau extragerii datelor existente” nu exista in CPP.

O terminologie la fel de vaga ca cea din defuncta lege a securitatii cibernetice (declarata neconstitutionala in 2015) face ca sa ai practic acces la orice continut de pe orice server din Romania in conditii total neclare. (asta e demna de capabilitatile NSA) Vrei acces la documentatia unui jurnalist? Nu accesezi redactia, ci serviciul de gazduire al redactiei. Oricum presa era la amenintari de „securitate nationala”, nu? Capisci?

V. Deci: Incolonarea si inregistrarea

Ca sa poata probabil sa justifice cumva integrarea in aceasta lege, propunerea normativa mai si creeaza o obligatie de inregistrare a acestor noi furnizori la ANCOM, ceea ce contrazice flagrant legislatia europeana in domeniu (in principal directiva e-commerce, implementata la noi prin legea 365/2002). Dar ce mai conteaza o obligatie europeana, cand e in joc „securitatea nationala”? Important e ca le putem impune sa isi creeze, pe costuri proprii, infrastructura de interceptare si cand vine o hartie de la „organ” sa dea tot.

VI. Concluzie?

Dincolo de orice discutie pe fond, a propune astfel de solutii legislative de interceptare a comunicatiilor pe usa din dos, evitand orice dezbatere publica nu este doar profund nedemocratica, dar chiar jignitoare la adresa unui popor exact intr-un moment in care ar trebui sa fie convins de acelasi stat ca ii vrea binele prin masurile propuse, nu ca de fapt sunt niste cobai, inclusiv pentru unele masuri de supraveghere „semnate ca primarul”.

Sau cine stie poate se trezeste Senatul, presa sau cetatenii sa ii ia la niste intrebari – cine a propus, de fapt, textul? De ce acum? De ce aici? De ce acest text si nu altul? De ce nu in CPP? De ce nu s-a facut vreo dezbatere publica?”

* Cititi aici forma initiala a proiectului de lege (propusa de Guvern)

* Cititi aici forma votata de Camera Deputatilor

* Cititi aici expunerea de motive

* Cititi aici tabelul cu amendamentele iesite din Comisii