Comisia Juridică, Comisia pentru Comunicații și Comisia Economică din Senat au dezbătut astăzi articolul 10.2 din legea L532/2021, referitor la extinderea interceptării comunicărilor, inclusiv a celor criptate (precum cele de pe WhatsApp) de către "organele cu atribuţii în domeniul securităţii naţionale". Pentru a intra în vigoare, proiectul trebuie dezbătut și votat în Senat, care este for decizional în acest caz.
Senatorii din comisii au decis să nu elimine integral articolul 10.2, ci au preluat propunerea senatoarelor PNL Iulia Scântei, președintele Comisiei Juridice, și Alina Gorghiu care prevede că la solicitarea organelor autorizate furnizorii de servicii de găzduire electronică cu resurse IP acordă "conținutul decriptat al comunicațiilor tranzitate în rețelele proprii".
Furnizorul de servicii de găzduire electronică cu resurse IP este definit ca ”persoană care, pe teritoriul României, oferă servicii de stocare, distribuire a conţinutului şi asigurare a accesului la acesta, pe servere deţinute sau închiriate, prin gestionarea unui set de adrese IP în internet”.
Articolul 10.2 amendat în Comisie, prin eliminarea sintagmei "furnizorii de servicii de comunicații interpersonale care nu se bazează pe numere", prevede următoarele:
„Furnizorii de servicii de gazduire electronica cu resurse IP si furnizorii de servicii de comunicatii interpersonale care nu se bazeaza pe numere au obligatia sa sprijine organele de aplicare a legii si organele cu atributii in domeniul securitatii nationale, in limitele competentelor acestora, pentru punerea in executare a metodelor de supraveghere tehnica ori a actelor de autorizare dispuse in conformitate cu dispozitiile Legii nr. 135/2010 privind Codul de procedura penala, cu modificarile si completarile ulterioare, si ale Legii nr. 51/1991 privind securitatea nationala, republicata, cu modificarile si completarile ulterioare, respectiv:
a) sa permita interceptarea legala a comunicatiilor, inclusiv sa suporte costurile aferente;
b) sa acorde accesul la continutul comunicatiilor criptate tranzitate in retelele proprii;
c) sa furnizeze informatiile retinute sau stocate referitoare la date de trafic, date de identificare a abonatilor sau clientilor, modalitati de plata si istoricul accesarilor cu momentele de timp aferente;
d) sa permita, in cazul furnizorilor de servicii de gazduire electronica cu resurse IP, accesul la propriile sisteme informatice, in vederea copierii sau extragerii datelor existente", era forma initiala a articolului in cauza”
Potrivit explicațiilor oferite de Asociația pentru Tehnologie și Internet, ”textul NU se referă doar la furnizori români sau care ar vinde aceste servicii doar în România, ci mult mai larg. Asigurarea accesului la conținut digital, pe teritoriul României, o fac zeci de mii de actori - din Afghanistan în Zimbabwe. Astfel textul reglementat poate fi dat exemplu de glumă legislativă proastă.”
Așa cum explică Asociația, ”acești furnizori pot primi cereri de (am ales exemple extreme pe baza textului din art 10^2 pct a-c, pentru a sublinia riscurile):
- a crea infrastructură de interceptare conținut, pe costuri propriu, fără a știi ce și cum se interceptează și nu e criptat (exemplu: Google poate obligat ca să creeze aceasta infrastructură ca „organele” românești sa aibă acces la conținut necriptate – Gmail, Google Chat, etc.)
- sau GTS (furnizor român de găzduire) să fie obligat sa facă o camera neagră (black box) sau un sistem informatic similar în care „organele” să poată intra sa aibă acces la ce pot. Evident, o s-o facă “cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi (sic!) ale Legii nr. 51/1991 privind securitatea naţională”, mai ales când nu poate să-i verifice absolut nimeni.
- să acorde accesul la conținutul comunicațiilor necriptate tranzitate în rețelele proprii. Facebook e un găzduitor cu propriile adrese IP, deci va trebui sa ofere acces la chat-ul din Facebook Messenger (dacă nu cumva ați fost deștepți și ați activat criptarea)
- să informeze date de trafic, inclusiv istoricul accesărilor cu momentele de timp aferente. (Găzduitorul serverului al apti.ro poate fi obligat să dea exact cine a citit acest articol și de la ce IP dar și cine a trimis un email către o adresă de pe apti.ro, la ce oră și cu ce subiect) (oricum mai bine ne contactați pe Signal sau mail criptat)”