Bogdan ManoleaDirector executiv ApTI
31 martie 2016 – București
Căteva considerații cu privire la Garanţii procedurale în emiterea şi punerea în executare
a mandatelor de supraveghere tehnică
Supravegherea tehnică
Art 138 CPPa) interceptarea comunicaţiilor ori a oricărui tip de comunicare la distanţă;b) accesul la un sistem informatic;c) supravegherea video, audio sau prin fotografiere;d) localizarea sau urmărirea prin mijloace tehnice;e) obţinerea datelor privind tranzacţiile financiare ale unei persoane;
Garanții
Juridice Tehnice Transparență
Garanții de transparența Publicarea de statistici cu privire la mandatele efectuate
De catre instituțiile care le propun/aprobă (instanțe, parchete, alte instituții)
Cifre generale și defalcate (pe luni, pe județe, pe tipuri de infracțiuni)
Publicarea de statistici cu privire la cererile guvernelor (sector privat) Facebook – Raport Ian – Iun 2015 Google – Raport Ian – Iun 2015 Vodafone – Raport 2014
Garanții tehnice
Art 142^1 (1) Orice persoană autorizată care realizează activităţi de
supraveghere tehnică, în baza prezentei legi, are posibilitatea de a asigura semnarea electronică a datelor rezultate din activităţile de supraveghere tehnică, utilizând o semnătură electronică extinsă bazată pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat.
Semnarea digitală (indiferent dacă este avansată sau calificată) ar trebui sa fie obligatorie pentru probatoriul în format electronic
Avantaje – integritatea informațiilor și identificarea persoanei semnatare
Dar sunt suficiente?
Garanții tehnice
Scop Certificarea identității între ceea ce se
găsește/identifică și ceea ce s-a înregistrat Garantarea integrității datelor înregistrate, pe întreg
parcursul procesului penal (actualul Art 142^1) Verificarea de către un expert tehnic independent că
probatoriul a fost inregistrat corect și nu putea fi alteratLa ce nivel ar trebui reglementate? (lege, ordin MJ, procedura internă)Cât de publice ar trebui să fie?
Garantii tehnice – acces la un sistem informatic
Acces la un sistem informatic se înţelege pătrunderea într-un sistem informatic sau mijloc de stocare a datelor informatice fie direct, fie de la distanţă, prin intermediul unor programe specializate ori prin intermediul unei reţele
Doar că garanțiile sunt diferite în funcție de fiecare opțiune posibilă
Garantii tehnice – acces la un sistem informatic (2)
Patrundere intr-un sistem informatic functional Direct (doar prin prin programe specializate) La distanță
Prin programe specializate Prin rețele
Acces la mijloc de stocare a datelor informatice Direct (doar prin prin programe specializate) La distanță
Prin programe specializate Prin rețele
Garanții tehnice - interceptări
Varianta 11) Operatorul face interceptarea + operatorul are deja obligații de confidențialitate
a comunicațiilor+ își cunoaște cel mai bine aparatura tehnică- poate informa persoana urmărită- nu doresc să fie implicați
Garanții tehnice - interceptări
Varianta 2O altă instituție face interceptarea + Instituția se poate axa doar pe acest subiect și să
dezvolte proceduri proprii de securitate+ operatorul nu știe cine și cât interceptează- garanțiile tehnice mult mai complexe (vezi slide-uri
următor)- cine verifică instituția?
Garanții tehnice – interceptări - v2
Regula primară: Administratorul sistemului trebuie să fie diferit față de operatorul sistemului
Ambii trebuie să poate fi verificați de catre terți independenți (și nu aceiași) în mod regulat.
Garanții tehnice – interceptări – v2 (cont)
Dispozitivele care fac intreceptarea sunt auditate tehnic pt software, hardware si setari.
Setarile nu pot fi modificate, decât dacă sunt logate undeva
Se poate face o intreceptare o poate face doar daca are un mandat judecătoresc, care este logat undeva (vezi Grecia)
Interceptarea trebuie sa aiba reguli tehnice stricte de disemninare (copiere, pastrare, distrucgere)
Garanții tehnice – interceptări – v2 (cont.)
orice interactiune cu interceptarea sa se poata faca doar de personal autorizat, iar orice interactiune trebuie logata si auditate
interceptarea originala trebuie pastrata in siguranta si se lucreaza pe o copie
trebuie sa te poti asigura ca copia este identica cu originalul, in orice moment al procesului
orice expert tehnic numit de acuzare, aparare sau judecator poate sa garanteze ca tehnic copia este identica cu originalul, iar procesul de înregistrare nu poate fi fraudat.
Noi dezvoltari tehnologice
Actual - Interceptări de voce și text transmise direct prin furnizorul de comunicații electronce
Viitor Voce și text criptat end-to-end
Centralizat (e.g, Skype, Whatsapp) Descentralizat (e.g. Signal, Cryptocat)
Trafic web ascuns (Onion routing, ToR) Acces la dispozitive criptate (vezi cazul Apple)
Garanții juridice Accesibilitate, claritate, precizie și previzibilitate CCR citează criteriile CtEDO cu privire la garanțiile
minime care ar trebui să fie prevăzute în legislaţia statului, pentru evitarea abuzurilor de putere:
CtEDO - Weber şi Saravia împotriva Germaniei“reglementarea unor măsuri speciale secrete de urmărire, cum ar fi interceptarea comunicărilor, trebuie să se realizeze în mod esenţial prin norme clare, detaliate, din moment ce tehnologia disponibilă pentru efectuarea lor devine constant din ce în ce mai sofisticată”
Garanții juridice (2)
CtEDO - Huvig împotriva Franţei natura infracţiunilor care determină necesitatea de interceptare; stabilirea categoriilor de persoane pasibile de înregistrarea
convorbirilor telefonice; o limitare a duratei de înregistrare a convorbirilor telefonice; procedura obligatorie pentru examinarea, utilizarea şi stocarea
datelor obţinute; (?!?) măsurile de precauţie care trebuie luate în cazul informării altor
părţi; împrejurările în care înregistrările pot sau urmează să fie şterse ori
distruse
Mulțumesc