Του Ευάγγελου Φαρμακίδη*
Η ανάπτυξη της τεχνολογίας και η εξάπλωση του Διαδικτύου δημιούργησαν πολλά οφέλη για την οικονομία και την κοινωνία. Σήμερα σε έναν μεγάλο βαθμό η οικονομική ανάπτυξη και η κοινωνική ευημερία βασίζονται στις νέες τεχνολογίες και σε καινοτόμες υπηρεσίες, όπως είναι τα μέσα κοινωνικής δικτύωσης και επικοινωνίας. Ταυτόχρονα όμως, ολοένα και περισσότεροι δράστες σοβαρών ή και λιγότερο σοβαρών εγκληματικών πράξεων, εγκληματικές ομάδες, αλλά και τρομοκρατικές οργανώσεις κάνουν χρήση των πλεονεκτημάτων που προσφέρουν οι νέες τεχνολογίες, προκειμένου να διευκολύνουν την τέλεση των πράξεων τους.
Όταν συμβαίνει αυτό οι διωκτικές αρχές πρέπει να έχουν τη δυνατότητα πρόσβασης στο περιεχόμενο της επικοινωνίας συγκεκριμένων ανθρώπων. Η άρση του απορρήτου της επικοινωνίας, που πραγματοποιείται μέσω των εθνικών «παραδοσιακών» παρόχων υπηρεσιών, όπως για παράδειγμα οι εταιρίες σταθερής και κινητής τηλεφωνίας, με σκοπό την εξιχνίαση εγκλημάτων, είναι μια συχνή και συνήθης πρακτική.
Τι συμβαίνει όμως με τις over-the-top (OTT) υπηρεσίες και εφαρμογές [1];
Ο διεθνής χαρακτήρας του Διαδικτύου επιτρέπει σε μια εταιρία παροχής υπηρεσιών να παρέχει τις υπηρεσίες της οπουδήποτε στον κόσμο και σε πολλά κράτη ταυτόχρονα, χωρίς όμως να έχει απαραίτητα εταιρική παρουσία, προσωπικό ή εγκαταστάσεις [π.χ. διακομιστές (servers) κ.α.] στα κράτη αυτά. Επιπλέον, τα δεδομένα που παράγονται από τη χρήση της υπηρεσίας δύναται να αποθηκεύονται σε οποιοδήποτε μέρος του κόσμου, καθιστώντας ιδιαίτερα δύσκολη έως αδύνατη την πρόσβαση από τις διωκτικές αρχές άλλων κρατών σε αυτά.
Μόνο το έτος 2016 στάλθηκαν από τις Ευρωπαϊκές διωκτικές αρχές 120.000 αιτήματα δικαστικής συνεργασίας στους αμερικανικούς κολοσσούς Apple, Facebook, Google, Microsoft και Twitter.
Επί του παρόντος δύο τρόποι υπάρχουν προκειμένου οι διωκτικές αρχές να έχουν πρόσβαση σε αυτά:
-η πρώτη οδός είναι η οδός της δικαστικής συνεργασίας μεταξύ των κρατών που βασίζεται σε διμερείς ή πολυμερείς συμφωνίες [2], όπου οι διωκτικές αρχές ενός κράτους ζητούν από τις αντίστοιχες αρχές του κράτους, όπου βρίσκονται τα δεδομένα, τη λήψη και τη γνωστοποίηση αυτών.
Η οδός αυτή έχει αποδειχθεί εξαιρετικά χρονοβόρα με αποτέλεσμα πολλές φορές, μέχρι να εξεταστεί το επίμαχο αίτημα, τα ζητούμενα δεδομένα να έχουν μεταφερθεί σε άλλο κράτος ή ακόμα και να έχουν διαγραφεί. Έτσι, στην πρώτη περίπτωση, απαιτείται ένα νέο αίτημα δικαστικής συνεργασίας στις δικαστικές αρχές του κράτους, όπου έχουν ήδη μεταφερθεί τα δεδομένα κ.ο.κ., καταλήγοντας συχνά σε μια ατέρμονη διαδικασία. Εξάλλου, δεν έχουν συμβληθεί όλα τα κράτη με τέτοιου είδους συμφωνίες. Συνεπώς, αν τα δεδομένα βρίσκονται σε ένα μη συμβαλλόμενο κράτος, είναι εξ αρχής αδύνατη η πρόσβαση σε αυτά.
– δεύτερη οδός αφορά την απευθείας επικοινωνία των διωκτικών αρχών με τις ίδιες τις εταιρίες παροχής υπηρεσιών (π.χ. Apple, Facebook, Google, Microsoft, Twitter κ.α.) και τη γνωστοποίηση από τις τελευταίες των ζητουμένων δεδομένων.
Η οδός αυτή είναι σαφέστατα γρηγορότερη, συχνά όμως όχι αρκετά γρήγορη, λόγω του ιδιαίτερα ευμετάβλητου χαρακτήρα των ψηφιακών δεδομένων. Επιπλέον, βασικό μειονέκτημα αποτελεί το γεγονός ότι η γνωστοποίηση είναι συνήθως προαιρετική και βασίζεται στην διακριτική ευχέρεια της εκάστοτε εταιρίας και στην εσωτερική πολιτική που αυτή ακολουθεί, ενώ απαγορεύεται η γνωστοποίηση δεδομένων περιεχομένου (ηχητικά και γραπτά μηνύματα, εικόνες, βίντεο κ.α.). Ακόμα και όταν οι εταιρίες απαντούν στα αιτήματα αυτά, είναι σε θέση να παρέχουν στις αρχές μόνο δεδομένα συνδρομητή και μεταδεδομένα της ηλεκτρονικής επικοινωνίας, [3] όπως το όνομα, η διεύθυνση IP, η γεωγραφική θέση, το είδος της συσκευής, η διάρκεια σύνδεσης, η ώρα αποστολής ενός μηνύματος ή πραγματοποίησης μιας κλήσης, ενώ τα δεδομένα που αφορούν το περιεχόμενο προστατεύονται αυστηρότερα από τον Νόμο.
Η δεύτερη οδός, της απευθείας επικοινωνίας με τις εταιρίες, χωρίς τη μεσολάβηση των διωκτικών αρχών των ΗΠΑ, έχει επικρατήσει όσον αφορά τα αιτήματα των Ευρωπαϊκών αρχών προς τις ΗΠΑ.
Είναι χαρακτηριστικό ότι μόνο το έτος 2016 στάλθηκαν από τις Ευρωπαϊκές διωκτικές αρχές 120.000 αιτήματα δικαστικής συνεργασίας στους αμερικανικούς κολοσσούς Apple, Facebook, Google, Microsoft και Twitter.
Σήμερα, η εξέταση των αιτημάτων αυτών διαρκεί περίπου 10 μήνες και, όπως προαναφέρθηκε, η απάντηση είναι προαιρετική, βασίζεται δηλαδή στην διακριτική ευχέρεια της εκάστοτε εταιρίας και στην εσωτερική πολιτική που ακολουθεί, ενώ καλύπτει μόνο τα δεδομένα που δεν αφορούν το περιεχόμενο, δεν καταλαμβάνει δηλαδή το περιεχόμενο των συνομιλιών, γραπτών ή προφορικών.
Οι εταιρίες αυτές, που εδρεύουν στις ΗΠΑ, διέπονται από το νομοθετικό πλαίσιο των ΗΠΑ και συγκεκριμένα από τον νόμο περί Ηλεκτρονικών Επικοινωνιών και Προστασίας της Ιδιωτικής Ζωής του 1986 (Electronic Communications and Privacy Act 1986 — ECPA).
Με αφορμή την υπόθεση United States v. Microsoft Corp [3] επήλθε μια πολύ σημαντική νομοθετική μεταρρύθμιση στον αμερικανικό νόμο για τα Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) [4].
Στις 23 Μαρτίου 2018 εκδόθηκε από το Κογκρέσο των Ηνωμένων Πολιτειών της Αμερικής ο νόμος Clarifying Lawful Use of Overseas Data (CLOUD) Act, για την αποσαφήνιση της νόμιμης χρήσης δεδομένων στο εξωτερικό. Ο στόχος ήταν διπλός, αφενός η αποσαφήνιση της πρόσβασης των αμερικανικών αρχών επιβολής του Νόμου σε δεδομένα που βρίσκονται στο εξωτερικό και αφετέρου η δημιουργία ενός μηχανισμού για τις αλλοδαπές κυβερνήσεις, ώστε να έχουν πρόσβαση σε δεδομένα που είναι αποθηκευμένα στις ΗΠΑ.
Πιο συγκεκριμένα, ο νέος νόμος CLOUD Act προβλέπει την υποχρέωση των εταιριών, που έχουν την έδρα τους στις ΗΠΑ, να συμμορφώνονται με εντολές αρχών των ΗΠΑ για γνωστοποίηση τόσο “δεδομένων περιεχομένου”, όσο και “δεδομένων που δεν αφορούν το περιεχόμενο”, ανεξάρτητα από τον τόπο αποθήκευσης των δεδομένων αυτών, συμπεριλαμβανομένης της Ευρωπαϊκής Ένωσης.
Παρότι όμως ο νόμος CLOUD Act παρέχει πλέον στις αμερικανικές διωκτικές αρχές τη δυνατότητα να ζητούν και να λαμβάνουν δεδομένα κάθε είδους, άρα και το περιεχόμενο των συνομιλιών, από εταιρίες που έχουν την έδρα τους στις ΗΠΑ, ακόμα και αν τα δεδομένα βρίσκονται αποθηκευμένα σε άλλα κράτη, όπως για παράδειγμα στην Ευρωπαϊκή Ένωση, το Ευρωπαϊκό νομοθετικό πλέγμα για την προστασία των δεδομένων προσωπικού χαρακτήρα και ειδικότερα ο Γενικός Κανονισμός Προστασίας Δεδομένων (General Data Protection Regulation – GDPR) [4] [5] δρα προστατευτικά για τους Ευρωπαίους πολίτες, απαγορεύοντας στις εταιρίες να γνωστοποιούν προσωπικά δεδομένα Ευρωπαίων πολιτών σε αρχές επιβολής του Νόμου άλλων κρατών, χωρίς την προηγούμενη ύπαρξη διμερούς ή πολυμερούς διεθνούς συμφωνίας, όπως για παράδειγμα σύμβαση αμοιβαίας δικαστικής συνδρομής.
Ταυτόχρονα, ο νέος νόμος εξουσιοδοτεί την εκτελεστική εξουσία των ΗΠΑ να συνάπτει συμφωνίες με ξένες κυβερνήσεις, όπως για παράδειγμα τις κυβερνήσεις των Κρατών-Μελών της Ευρωπαϊκής Ένωσης, σύμφωνα με τις οποίες οι ξένες κυβερνήσεις μπορούν να αποκτήσουν ταχεία πρόσβαση στα δεδομένα, που διατηρούνται εντός της επικράτειας των ΗΠΑ.
Μια τέτοια συμφωνία διαπραγματεύονται επί του παρόντος η Ευρωπαϊκή Ένωση και οι ΗΠΑ. Την 6η Ιουνίου 2019 το Συμβούλιο της Ευρωπαϊκής Ένωσης εξέδωσε δύο αποφάσεις, σύμφωνα με τις οποίες εξουσιοδοτεί την Ευρωπαϊκή Επιτροπή να διαπραγματευθεί εκ μέρους της ΕΕ συμφωνία με τις ΗΠΑ σχετικά με τη διασυνοριακή πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία στο πλαίσιο της δικαστικής συνεργασίας σε ποινικές υποθέσεις, όπως επίσης να διαπραγματευθεί και το Δεύτερο Πρόσθετο Πρωτόκολλο της Σύμβασης της Βουδαπέστης [5]. Οι συμφωνίες αυτές θα καθορίσουν τις προϋποθέσεις για την πρόσβαση των διωκτικών αρχών τρίτων χωρών στα δεδομένα των Ευρωπαίων Πολιτών σε ποινικές διαδικασίες στο μέλλον.
Σε Ευρωπαϊκό επίπεδο, η Ευρωπαϊκή Επιτροπή ενέκρινε στις 17 Απριλίου 2018 δύο νομοθετικές προτάσεις: την Πρόταση Κανονισμού σχετικά με την ευρωπαϊκή εντολή υποβολής και την ευρωπαϊκή εντολή διατήρησης ηλεκτρονικών αποδεικτικών στοιχείων σε ποινικές υποθέσεις [6] και την Πρόταση Οδηγίας σχετικά με τη θέσπιση εναρμονισμένων κανόνων για τον ορισμό νόμιμων εκπροσώπων με σκοπό τη συγκέντρωση αποδεικτικών στοιχείων στο πλαίσιο ποινικών διαδικασιών, η οποία συμπληρώνει τον παραπάνω Κανονισμό. Σκοπός των νομοθετικών αυτών προτάσεων είναι να εξασφαλιστεί η ταχύτατη διασυνοριακή πρόσβαση των Ευρωπαϊκών διωκτικών αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία σε ποινικές υποθέσεις, ακόμα και όταν αυτά βρίσκονται αποθηκευμένα εκτός της Ευρωπαϊκής Ένωσης.
Το πλαίσιο αυτό θα εξασφαλίσει την έγκαιρη πρόσβαση σε ηλεκτρονικά αποδεικτικά στοιχεία συντομεύοντας σε 10 ημέρες το χρονικό διάστημα για την παροχή των ζητούμενων δεδομένων, διαδικασία που επί του παρόντος διαρκεί κατά μέσο όρο 10 μήνες. Σήμερα, τόσο η Πρόταση Κανονισμού όσο και η Πρόταση Οδηγίας εκκρεμούν στο στάδιο της πρώτης ανάγνωσης, σύμφωνα με τη συνήθη νομοθετική διαδικασία.
Η πρόσβαση των αρχών αναμένεται να γίνει υποχρεωτική για τις εταιρίες εφόσον αυτές παρέχουν τις υπηρεσίες τους εντός της ΕΕ.
Συμπερασματικά, επί του παρόντος, οι αμερικανικές διωκτικές αρχές δεν μπορούν να αποκτήσουν νόμιμα πρόσβαση στο περιεχόμενο των συνομιλιών μας σε υπηρεσίες, όπως το Facebook και το WhatsApp, παρά μόνο μέσω ειδικής συμφωνίας αμοιβαίας δικαστικής συνδρομής, όπως αυτή που διαπραγματεύονται τώρα ΕΕ και ΗΠΑ.
Από την άλλη, οι ευρωπαϊκές αρχές, μετά τη θέσπιση του νόμου CLOUD Act μπορούν να αποκτήσουν πρόσβαση στο περιεχόμενο των συνομιλιών απευθείας από εταιρία που εδρεύει στις ΗΠΑ προαιρετικά, μόνο όταν η εταιρία κρίνει ότι συντρέχει κίνδυνος θανάτου ή σοβαρής βλάβης της υγείας του Υποκειμένου των δεδομένων.
Η πρόσβαση των αρχών, ακόμα και στα δεδομένα περιεχομένου, αναμένεται να γίνει υποχρεωτική για τις εταιρίες, εφόσον αυτές παρέχουν τις υπηρεσίες τους εντός της ΕΕ, μετά την ψήφιση και την έναρξη ισχύος του Κανονισμού για τα ηλεκτρονικά αποδεικτικά στοιχεία σε ποινικές υποθέσεις και τέλος, διαμέσου συμφωνίας αμοιβαίας δικαστικής συνδρομής, όπως αυτή που διαπραγματεύονται τώρα ΕΕ και ΗΠΑ ή του υπό διαπραγμάτευση Δευτέρου Πρόσθετου Πρωτοκόλλου της Σύμβασης της Βουδαπέστης για το Κυβερνοέγκλημα.
*Ο Ευάγγελος Φαρμακίδης είναι τακτικό μέλος της Homo Digitalis, ασκούμενος δικηγόρος, τελειόφοιτος του ΔΠΜΣ «Δίκαιο και Πληροφορική» του Τμήματος Εφαρμοσμένης Πληροφορικής, ΠαΜακ και της Νομικής Σχολής, ΔΠΘ, μεταπτυχιακός φοιτητής Ποινικού Δικαίου και Εγκληματολογικών Επιστημών στη Νομική Σχολή, ΔΠΘ, κάτοχος Διπλώματος στην Κοινωνική Οικονομία και Κοινωνική Επιχειρηματικότητα και Διαπιστευμένος Διαμεσολαβητής του Υπουργείου Δικαιοσύνης.
Παραπομπές:
[1] Ως over-the-top (OTT) χαρακτηρίζεται κάθε υπηρεσία ή εφαρμογή που παρέχεται μέσω Διαδικτύου, παρακάμπτοντας την παραδοσιακή διανομή (π.χ. μέσω καλωδίου ή δορυφόρου). Τέτοιου είδους υπηρεσίες σχετίζονται συνήθως με το ψηφιακό περιεχόμενο και τις επικοινωνίες. Χαρακτηριστικά παραδείγματα αποτελούν η Netflix, η Amazon Prime, η Hulu κ.α., οι οποίες αντικαθιστούν την “παραδοσιακή” καλωδιακή ή δορυφορική τηλεόραση και η Skype, η WhatsApp, η Viber κ.α., οι οποίες αντικαθιστούν την “παραδοσιακή” επικοινωνία μέσω καλωδίου σταθερής τηλέφωνίας ή κεραιών κινητής τηλεφωνίας.
[2] Για παράδειγμα, η Συμφωνία σχετικά με την αμοιβαία δικαστική συνδρομή μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής, η οποία υπογράφηκε στις 25 Ιουνίου 2003 και τέθηκε σε ισχύ την 1η Φεβρουαρίου 2010.
[3] Τον Δεκέμβριο του 2013, αμερικανικές ομοσπονδιακές αρχές επιβολής του Νόμου ζήτησαν από αμερικανικό επαρχιακό δικαστήριο της Νέας Υόρκης την έκδοση ενός εντάλματος, σύμφωνα με την παράγραφο 2703 του νόμου για τα Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA), με το οποίο θα υποχρεωνόταν η Microsoft να παρέχει όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου, καθώς και άλλες πληροφορίες που αφορούσαν έναν συγκεκριμένο λογαριασμό πελάτη που τηρούσε η ίδια και υπήρχαν βάσιμες υποψίες ότι χρησιμοποιήθηκε για διακίνηση ναρκωτικών ουσιών. Το ένταλμα εκδόθηκε, αλλά μετά την επίδοσή του διαπιστώθηκε ότι τα ζητούμενα δεδομένα ήταν αποθηκευμένα σε διακομιστή της Microsoft στην Ιρλανδία. Η Microsoft αμφισβήτησε το ένταλμα με την αιτιολογία ότι ένα ένταλμα που εκδίδεται σύμφωνα με τον νόμο για Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) δεν μπορεί να υποχρεώσει Αμερικανικές εταιρίες να υποβάλουν δεδομένα που βρίσκονται αποθηκευμένα σε διακομιστές εκτός της επικράτειας των ΗΠΑ. Η εταιρία προσέφυγε στο Περιφερειακό Δικαστήριο της Νέας Υόρκης, όπου ηττήθηκε σε πρώτο βαθμό, με την απόφαση να αποφαίνεται ότι η φύση του εντάλματος που εκδίδεται σύμφωνα με τον νόμο για Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) δεν υπόκειται σε τοπικούς περιορισμούς. Η Microsoft άσκησε έφεση κατά της παραπάνω απόφασης και δικαιώθηκε από το αρμόδιο Εφετείο της Νέας Υόρκης, το οποίο επιλήφθηκε της υπόθεσης και ακύρωσε το επίμαχο ένταλμα. Αξίζει να σημειωθεί ότι σε παρόμοιες περιπτώσεις το ίδιο Εφετείο είχε διατάξει άλλες εταιρίες (π.χ. Google) να συμμορφωθούν με τα εντάλματα, εφόσον μπορούσαν να έχουν πρόσβαση στα ζητούμενα δεδομένα από την επικράτεια των ΗΠΑ, ανεξάρτητα από την τοποθεσία αποθήκευσης των δεδομένων. Το Υπουργείο Δικαιοσύνης των ΗΠΑ προσέφυγε κατά της απόφασης του Εφετείου της Νέας Υόρκης στο Ανώτατο Δικαστήριο, το οποίο συμφώνησε να εξετάσει την υπόθεση τον Οκτώβριο του 2017. Πριν από την έκδοση της σχετικής απόφασης του Ανωτάτου Δικαστηρίου επενέβη ο Νομοθέτης με την θέσπιση του νόμου Clarifying Lawful Overseas Use of Data Act (CLOUD Act), επιλύοντας οριστικά δια της νομοθετικής οδού το θέμα που είχε ανακύψει.
[4] Ο νόμος για τα Αποθηκευμένα Δεδομένα Επικοινωνιών (Stored Communications Act – SCA) αποτελεί μέρος του νόμου περί Ηλεκτρονικών Επικοινωνιών και Προστασίας της Ιδιωτικής Ζωής του 1986 (Electronic Communications and Privacy Act 1986 — ECPA).
[5] Σύμβαση της Βουδαπέστης του Συμβουλίου της Ευρώπης για το έγκλημα στον κυβερνοχώρο (CETS αριθ. 185), η οποία υπογράφηκε στη Βουδαπέστη στις 23.11.2001, ενσωματώθηκε στην ελληνική έννομη τάξη μαζί με το Πρώτο Πρόσθετο Πρωτόκολλό της με τεράστια καθυστέρηση με τον ν. 4411/2016 (ΦΕΚ Α’ 142/3-8-2016) και αποτελεί τη βασικότερη πηγή δικαίου για το ηλεκτρονικό έγκλημα διεθνώς. Σήμερα τα συμβαλλόμενα μέρη της Σύμβασης ανέρχονται σε 62, συμπεριλαμβανομένων 26 Kρατών-Mελών της ΕΕ.
[6] Για περισσότερες πληροφορίες σχετικά με την Πρόταση Κανονισμού βλέπε το πρόσφατο, ιδιαίτερα κατατοπιστικό, εύληπτο και περιεκτικό άρθρο του συναδέλφου και μέλους της Homo Digitalis Κωνσταντίνου Ζουμπουλάκη με τίτλο “Η πρόσβαση των αρχών στα ηλεκτρονικά αποδεικτικά στοιχεία: Τι συμβαίνει με τα προσωπικά μας δεδομένα;” που δημοσιεύθηκε στην ιστοσελίδα της Homo Digitalis στον παρακάτω σύνδεσμο http://homodigitalis.gr/posts/3928