Kommunikatsioonijärelevalvele inimõiguste rakendamise rahvusvahelised põhimõtted

Lõplik versioon 10. juuli 2013

Kuna riigi järelevalvet kommunikatsiooni üle lihtsustavad tehnoloogiad täiustuvad, ei suuda riigid tagada, et kommunikatsioonijärelevalve seadused ja määrused peavad kinni rahvusvahelistest inimõigustest ja et need kaitsevad piisavalt õigust privaatsusele ja sõnavabadusele. Selles dokumendis püütakse selgitada, kuidas rahvusvaheline inimõiguste seadus kaasaegses digitaalses keskkonnas rakendub, eriti kommunikatsioonijärelevalve tehnoloogiate ja tehnikate kasvu ning muutumist arvestades. Need põhimõtted võivad anda kodanikuühiskonna rühmadele, ettevõtjatele, riikidele ja teistele raamistiku, millega hinnata, kas praegused või esitatud järelevalveseadused ning -praktikad on inimõigustega kooskõlas.

Need põhimõtted on koostatud, konsulteerides kogu maailma kodanikuühiskonna rühmade, ettevõtjate ja rahvusvaheliste ekspertidega kommunikatsioonijärelevalve seaduse, poliitika ja tehnoloogia teemadel.

Preambul

Privaatsus on põhiinimõigus, mis on demokraatlike ühiskondade alus. See on oluline inimväärikuse tagamiseks ning tugevdab teisi õigusi, nagu õigust sõna-, info- ja teabevabadusele, ning on osa rahvusvahelise inimõiguste seadusest.[1] Tegevused, mis piiravad õigust privaatsusele, sealhulgas kommunikatsioonijärelevalve, on õigustatud ainult juhul, kui need on seadusega ette nähtud, vajalikud õiguspäraste eesmärkide saavutamiseks ja taotletud eesmärgiga proportsionaalses suhtes.[2]

Enne kui Internetti hakati laialdaselt kasutama, seadsid riiklikule kommunikatsioonijärelevalvele piirangud selgelt fikseeritud õiguspõhimõtted ja kommunikatsiooni jälgimisele omased logistilised raskused. Viimastel kümnenditel on logistilised tõkked järelevalvele vähenenud ja õiguspõhimõtete rakendamine uues tehnoloogilises kontekstis on muutunud ebaselgeks. Digitaalse kommunikatsiooni sisu ja kommunikatsioonialase teabe või „kommunikatsiooni metaandmete” (teave üksikisikute kommunikatsiooni või elektrooniliste seadmete kasutamise kohta), suurtes kogustes andmete talletamise ja otsimise odavnemise ja kolmandast osapoolest teenusepakkujate kaudu pakutava isikliku sisu korraldamise plahvatuslik kasv teeb riikliku järelevalve võimalikuks seninägematus ulatuses.[3] Samal ajal ei ole olemasoleva inimõiguste seaduse kaasajastamine sammu pidanud riigi kaasaegsete ja muutuvate kommunikatsioonijärelevalve võimalustega, riigi võimega erinevate järelevalvetehnikatega saadud teavet kombineerida ja organiseerida ega juurdepääsetava teabe kasvava tundlikkusega.

Riiklikud organid otsivad juurdepääsu kommunikatsiooni sisule või metaandmetele aina sagedamini ja sagedamini, ilma et selle kohta kehtiksid pädevad kontrollimehhanismid. [4] Kommunikatsiooni metaandmete vaatamise ja analüüsimise abil saab luua üksikisiku profiili, kust muuhulgas võib leida tema terviseteabe, poliitilised ja usulised vaated, ühingutesse kuuluvuse, suhtluse ja huvide teabe. See teave kajastab kogu kommunikatsioonist saadavat teavet või on isegi informatiivsem. [5] Vaatamata tohutule potentsiaalile üksikisiku ellu sekkuda ja negatiivsele mõjule poliitilistele ja muudele ühingutele, pakuvad õigus- ja ja poliitilised aktid tihti kommunikatsiooni metaandmetele madalamal tasemel kaitset ega sätesta piisavaid piiranguid sellele, kuidas andmeid edaspidi kasutatakse, sealhulgas ka mitte sellele, kuidas andmeid otsitakse, jagatakse ja säilitatakse.

Selleks, et riigid tõepoolest kommunikatsioonijärelevalvega seotud rahvusvahelisi inimõiguste nõudeid täidaksid, peavad nad järgima alltoodud põhimõtteid. Neid põhimõtteid kohaldatakse järelevalvet riik läbi oma territooriumil samuti extraterritorially. Põhimõtted kehtivad olenemata sellest, kas järelevalve eesmärgiks on seaduse täitmine, riigi julgeolek või mõni muu regulatiivne eesmärk. Need on kooskõlas ka riigi kohustusega austada üksikisiku õigusi ning nendega arvestada ning kohustusega kaitsta üksikisikuid, et valitsusvälised osalejad, sealhulgas korporatsioonid, ei rikuks nende õigusi.[6] Erasektor vastutab samaväärselt inimõiguste austamise eest, eriti arvestades võtmerolli, mida see mängib tehnoloogiate kujundamisel, arendamisel ja levitamisel; kommunikatsiooni võimaldamisel ja pakkumisel ning vajaduse korral osalemises riiklikus järelevalvetegevuses. Siiski on praeguste põhimõtete ulatus piiratud riigi kohustustega.

Muutuv tehnoloogia ja määratlused

„Kommunikatsioonijärelevalve” hõlmab kaasaegses keskkonnas teabe jälgimist, pealtkuulamist, kogumist, analüüsimist, kasutamist, säilitamist ja kinnipidamist, sekkumist teabesse või juurdepääsu teabele, mis hõlmab või kajastab isiku kommunikatsiooni minevikus, olevikus või tulevikus, tuleneb isiku kommunikatsioonist või on see. „Kommunikatsioon” hõlmab tegevusi, suhtlust ja elektrooniliste meediumite kaudu tehtud tehinguid, näiteks kommunikatsiooni sisu, kommunikatsiooni osapoolte identiteeti, asukoha jälgimise teavet (sealhulgas IP-aadressid), kommunikatsiooni aega ja kestust ning teabevahetuseks kasutatavate seadmete tuvastamist.

Traditsiooniliselt on kommunikatsioonijärelevalve invasiivsust hinnatud kunstlike ja formaalsete kategooriate alusel. Olemasolev õiguslik raamistik eristab „sisu” ja „mittesisu”, „tellijateavet” ja „metaandmeid”, salvestatud andmeid ja liikuvaid andmeid, kodushoitavaid ja kolmandast osapoolest teenusepakkuja omandis olevaid andmeid.[7] Kuid need eristused ei sobi enam üksikisikute eraellu ja suhetesse sekkuva kommunikatsioonijärelevalve määra mõõtmiseks. Kuigi juba ammu on leitud, et kommunikatsiooni sisu väärib oma tundlikku teavet paljastada võiva iseloomu tõttu olulist seaduslikku kaitset, on nüüdseks selge, et kommunikatsioonist tulenev muu teave (metaandmed ja muud mittesisulised andmevormid) võib isiku kohta paljastada veelgi rohkem kui sisu ise ning seetõttu vajab see teave võrdväärset kaitset. Tänapäeval võivad kõik need teabetüübid üksikult või kollektiivselt analüüsituna paljastada isiku identiteedi, käitumise, ühingutesse kuuluvuse, füüsilise või meditsiinilise seisundi, rassi, nahavärvi, seksuaalse orientatsiooni, rahvusliku päritolu või vaated või võimaldada kaardistada isiku asukohta, liikumisi või suhtlust aja jooksul [8] või jälgida kõiki inimesi antud asukohas, sealhulgas avalikul demonstratsioonil või muul poliitilisel sündmusel. Seetõttu tuleks kogu teavet, mis hõlmab või kajastab isiku kommunikatsiooni või tuleneb sellest või puudutab isiku kommunikatsiooni ning mis ei ole üldisele avalikkusele kättesaadav ja kergesti juurdepääsetav , käsitleda kui „kaitstud teavet” ja sellele tuleks vastavalt anda kõrgeim seaduslik kaitse.

Riikliku kommunikatsioonijärelevalve invasiivsuse kindlaks määramisel tuleb arvestada, et järelevalve tulemusel võib avalikustuda kaitstud teave ning ka eesmärk, milleks riik seda teavet otsib. Kommunikatsioonijärelevalve, mis viib tõenäoliselt kaitstud teabe avalikustamiseni ja võib kaasa tuua isiku uurimise, diskrimineerimise või inimõiguste rikkumise ohu, rikub tõsiselt indiviidi õigust privaatsusele ja õõnestab ka teisi põhiõigusi, sealhulgas õigust sõnavabadusele, ühinemisele ja poliitilisele osalusele. Seda seetõttu, et nende õiguste kohaselt peavad inimesed saama suhelda ilma valitsuse järelevalve negatiivsete mõjudeta. Niisiis on iga juhtumi puhul vajalik määratleda nii otsitava teabe iseloom kui ka potentsiaalne kasutus.

Enne kui riik võtab kasutusele uued kommunikatsioonijärelevalve meetodid või kasutab neid senisest suuremas ulatuses, peab ta kindlaks tegema, kas võimalik hangitav teave jääb „kaitstud teabe” piiridesse ning neid meetodeid juriidilise või mõne muu demokraatliku valvemehhanismi abil põhjalikult kontrollima. Kindlasti tuleb arvestada ka järelevalve vormi, selle ulatust ja kestust, kui määratletakse, kas kommunikatsioonijärelevalve kaudu saadud teave on „kaitstud teabe” tasemel. Pideva või süstemaatilise jälgimise tagajärjel võib privaatset teavet palju enam avalikuks saada kui jälgimise üksikjuhtumite korral. Seetõttu võib mittekaitstud teabe järelevalve invasiivus kasvada nii suurel määral, et vajalikud on tugevad teabekaitsemeetmed.[9]

Otsus, kas riik võib läbi viia kommunikatsioonijärelevalvet, mis sekkub kaitstud teabesse, peab olema kooskõlas järgmiste põhimõtetega.

Põhimõtted

Õiguspärasus: Any limitation to the right to privacy must be prescribed by law. The State must not adopt or implement a measure that interferes with the right to privacy in the absence of an existing publicly available legislative act, which meets a standard of clarity and precision that is sufficient to ensure that individuals have advance notice of and can foresee its application. Given the rate of technological changes, laws that limit the right to privacy should be subject to periodic review by means of a participatory legislative or regulatory process.

Õiguspärane eesmärk: Laws should only permit communications surveillance by specified State authorities to achieve a legitimate aim that corresponds to a predominantly important legal interest that is necessary in a democratic society. Any measure must not be applied in a manner which discriminates on the basis of race, colour, sex, language, religion, political or other opinion, national or social origin, property, birth or other status.

Vajalikkus: Laws permitting communications surveillance by the State must limit surveillance to that which is strictly and demonstrably necessary to achieve a legitimate aim. Communications surveillance must only be conducted when it is the only means of achieving a legitimate aim, or, when there are multiple means, it is the means least likely to infringe upon human rights. The onus of establishing this justification, in judicial as well as in legislative processes, is on the State.

Vastavus: Any instance of communications surveillance authorised by law must be appropriate to fulfil the specific legitimate aim identified.

Proportsionaalsus: Communications surveillance should be regarded as a highly intrusive act that interferes with the rights to privacy and freedom of opinion and expression, threatening the foundations of a democratic society. Decisions about communications surveillance must be made by weighing the benefit sought to be achieved against the harm that would be caused to the individual’s rights and to other competing interests, and should involve a consideration of the sensitivity of the information and the severity of the infringement on the right to privacy.

Specifically, this requires that, if a State seeks access to or use of protected information obtained through communications surveillance in the context of a criminal investigation, it must establish to the competent, independent, and impartial judicial authority that:

  1. there is a high degree of probability that a serious crime has been or will be committed;
  2. evidence of such a crime would be obtained by accessing the protected information sought;
  3. other available less invasive investigative techniques have been exhausted;
  4. information accessed will be confined to that reasonably relevant to the crime alleged and any excess information collected will be promptly destroyed or returned; and
  5. information is accessed only by the specified authority and used for the purpose for which authorisation was given.

If the State seeks access to protected information through communication surveillance for a purpose that will not place a person at risk of criminal prosecution, investigation, discrimination or infringement of human rights, the State must establish to an independent, impartial, and competent authority:

  1. other available less invasive investigative techniques have been considered;
  2. information accessed will be confined to what is reasonably relevant and any excess information collected will be promptly destroyed or returned to the impacted individual; and
  3. information is accessed only by the specified authority and used for the purpose for which was authorisation was given.

Pädev kohtuorgan: Determinations related to communications surveillance must be made by a competent judicial authority that is impartial and independent. The authority must be:

  1. separate from the authorities conducting communications surveillance;
  2. conversant in issues related to and competent to make judicial decisions about the legality of communications surveillance, the technologies used and human rights; and
  3. have adequate resources in exercising the functions assigned to them.

Protseduurireeglite täitmine: Due process requires that States respect and guarantee individuals’ human rights by ensuring that lawful procedures that govern any interference with human rights are properly enumerated in law, consistently practiced, and available to the general public. Specifically, in the determination on his or her human rights, everyone is entitled to a fair and public hearing within a reasonable time by an independent, competent and impartial tribunal established by law,[10] except in cases of emergency when there is imminent risk of danger to human life. In such instances, retroactive authorisation must be sought within a reasonably practicable time period. Mere risk of flight or destruction of evidence shall never be considered as sufficient to justify retroactive authorisation.

Kasutaja teavitus: Individuals should be notified of a decision authorising communications surveillance with enough time and information to enable them to appeal the decision, and should have access to the materials presented in support of the application for authorisation. Delay in notification is only justified in the following circumstances:

  1. Notification would seriously jeopardize the purpose for which the surveillance is authorised, or there is an imminent risk of danger to human life; or
  2. Authorisation to delay notification is granted by the competent judicial authority at the time that authorisation for surveillance is granted; and
  3. The individual affected is notified as soon as the risk is lifted or within a reasonably practicable time period, whichever is sooner, and in any event by the time the communications surveillance has been completed. The obligation to give notice rests with the State, but in the event the State fails to give notice, communications service providers shall be free to notify individuals of the communications surveillance, voluntarily or upon request.

Läbipaistvus: States should be transparent about the use and scope of communications surveillance techniques and powers. They should publish, at a minimum, aggregate information on the number of requests approved and rejected, a disaggregation of the requests by service provider and by investigation type and purpose. States should provide individuals with sufficient information to enable them to fully comprehend the scope, nature and application of the laws permitting communications surveillance. States should enable service providers to publish the procedures they apply when dealing with State communications surveillance, adhere to those procedures, and publish records of State communications surveillance.

Avalik valve: States should establish independent oversight mechanisms to ensure transparency and accountability of communications surveillance.[11] Oversight mechanisms should have the authority to access all potentially relevant information about State actions, including, where appropriate, access to secret or classified information; to assess whether the State is making legitimate use of its lawful capabilities; to evaluate whether the State has been transparently and accurately publishing information about the use and scope of communications surveillance techniques and powers; and to publish periodic reports and other information relevant to communications surveillance. Independent oversight mechanisms should be established in addition to any oversight already provided through another branch of government.

Kommunikatsiooni ja süsteemide terviklikkus: In order to ensure the integrity, security and privacy of communications systems, and in recognition of the fact that compromising security for State purposes almost always compromises security more generally, States should not compel service providers or hardware or software vendors to build surveillance or monitoring capability into their systems, or to collect or retain particular information purely for State surveillance purposes. A priori data retention or collection should never be required of service providers. Individuals have the right to express themselves anonymously; States should therefore refrain from compelling the identification of users as a precondition for service provision.[12]

Kaitsemeetmed rahvusvaheliseks koostööks: In response to changes in the flows of information, and in communications technologies and services, States may need to seek assistance from a foreign service provider. Accordingly, the mutual legal assistance treaties (MLATs) and other agreements entered into by States should ensure that, where the laws of more than one state could apply to communications surveillance, the available standard with the higher level of protection for individuals is applied. Where States seek assistance for law enforcement purposes, the principle of dual criminality should be applied. States may not use mutual legal assistance processes and foreign requests for protected information to circumvent domestic legal restrictions on communications surveillance. Mutual legal assistance processes and other agreements should be clearly documented, publicly available, and subject to guarantees of procedural fairness.

Kaitsemeetmed ebaseadusliku juurdepääsu ärahoidmiseks: States should enact legislation criminalising illegal communications surveillance by public or private actors. The law should provide sufficient and significant civil and criminal penalties, protections for whistle blowers, and avenues for redress by affected individuals. Laws should stipulate that any information obtained in a manner that is inconsistent with these principles is inadmissible as evidence in any proceeding, as is any evidence derivative of such information. States should also enact laws providing that, after material obtained through communications surveillance has been used for the purpose for which information was given, the material must be destroyed or returned to the individual.

Allakirjutanud

[[signatories]]


[1]Inimõiguste ülddeklaratsiooni artikkel 12, ÜRO võõrtöötajate konventsiooni artikkel 14, ÜRO lastekaitse konventsiooni artikkel 16, Rahvusvaheline pakt kodaniku- ja poliitiliste õiguste kohta, Rahvusvaheline pakt kodaniku- ja poliitiliste õiguste kohta, artikkel 17; piirkondlikud konventsioonid, sh lapse õiguste ja heaolu Aafrika harta artikkel 10, Ameerika inimõiguste konventsiooni artikkel 11, Aafrika Liidu sõnavabaduse põhimõtete artikkel 4, Ameerika Ühendriikide inimõiguste ja -kohustuste deklaratsioonid, artikkel 5, Araabia inimõiguste harta artikkel 21 ja Euroopa inimõiguste ja põhivabaduste kaitse konventsiooni artikkel 8; Johannesburgi riikliku turvalisuse, sõnavabaduse ja teabele juurdepääsu põhimõtted, Camdeni sõnavabaduse ja võrdsuse põhimõtted.

[2]Inimõiguste ülddeklaratsiooni artikkel 29; üldine kommentaar nr 27, lisatud Inimõiguste Komitee poolt artikli 40 alusel, Rahvusvaheline pakt kodaniku- ja poliitiliste õiguste kohta, paragrahv 4, CCPR/C/21/Rev.1/Add.9, 2. november 1999; vt ka Martin Scheinin „Report of the Special Rapporteur on the promotion and protection of human rights and fundamental freedoms while countering terrorism”, 2009, A/HRC/17/34.

[3]Kommunikatsiooni metaandmed võivad hõlmata teavet meie identiteedi (tellimisteave, seadmete teave), suhtluse (päritolu ja kommunikatsiooni sihtkohad, eriti need, mis näitavad külastatud veebisaite, loetud raamatuid või muid loetud materjale, inimesed, kellega oleme suhelnud, sõbrad, pere, tuttavad, tehtud otsingud, kasutatud allikad) ja asukohtade (kohad ja ajad, lähedus teistega) kohta; kokkuvõtvalt annavad metaandmed juurdepääsu peaaegu kõikidele kaasaegse elu tegevustele, meie vaimsetele seisunditele, huvidele, kavatsustele ja meie sisimatele mõtetele.

[4]Kommunikatsiooni metaandmed võivad hõlmata teavet meie identiteedi (tellimisteave, seadmete teave), suhtluse (päritolu ja kommunikatsiooni sihtkohad, eriti need, mis näitavad külastatud veebisaite, loetud raamatuid või muid loetud materjale, inimesed, kellega oleme suhelnud, sõbrad, pere, tuttavad, tehtud otsingud, kasutatud allikad) ja asukohtade (kohad ja ajad, lähedus teistega) kohta; kokkuvõtvalt annavad metaandmed juurdepääsu peaaegu kõikidele kaasaegse elu tegevustele, meie vaimsetele seisunditele, huvidele, kavatsustele ja meie sisimatele mõtetele.http://www.kcc.go.kr/user.do?mode=view&page=A02060400&dc=K02060400&boardId=1030&cp=1&boardSeq=35586

[5]Vt näitena ülevaadet Sandy Pentlandi tööst artiklis „Reality Mining”, MIT Technology Review, 2008, saadaval aadressil http://www2.technologyreview.com/article/409598/tr10-reality-mining/ ning vt ka Alberto Escudero-Pascuali ja Gus Hoseini „Questioning lawful access to traffic data”, Communications of the ACM, nr 47, väljaanne 3, märts 2004, lk 77–82.

[6]Report of the UN Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue, 16. mai 2011, saadaval aadressil http://www2.ohchr.org/english/bodies/hrcouncil/docs/17session/a.hrc.17.27_en.pdf

[7]„Inimesed avaldavad helistamiseks või sõnumi saatmiseks valitud telefoninumbreid oma mobiilsideteenuse pakkujatele, külastatud URL-e ja kirjavahetuse meiliaadresse oma Interneti-teenuse pakkujatele ning ostetud raamatute, toiduainete ja ravimite teavet veebikaupmeestele . . . Ma ei eeldaks, et kogu vabatahtlikult mõnele inimesele piiratud eesmärgil antud teave on ainuüksi sel põhjusel neljanda muudatuse kaitse alt välja jäetud.” United States v. Jones, 565 U.S. ___, 132 S. Ct. 945, 957 (2012) (Sotomayor, J., concurring).

[8]„Lühiajaline isiku liikumise jälgimine avalikel tänavatel on privaatsusnõuetega kooskõlas”, kuid „pikemaajaline GPS-jälgimine enamiku kuritegude uurimisel riivab privaatsusnõudeid.” United States v. Jones, 565 U.S., 132 S. Ct. 945, 964 (2012) (Alito, J. concurring).

[9]„Pikaajaline järelevalve paljastab seda tüüpi teavet, mida lühiajaline järelevalve ei paljasta, näiteks mida isik korduvalt teeb, mida ta ei tee ja mida ta teeb samaaegselt. Seda tüüpi teave võib paljastada isiku kohta rohkem kui mis tahes üksik tegevus eraldiseisvalt vaadelduna. Korduvad käigud kirikusse, jõusaali, baari või kihlvedude vahendaja juurde jutustavad loo, mida ei räägi üksikud külastused, nagu on kõnekas ka see, kui isik ei külasta kuu jooksul ühtki neist kohtadest. Isiku liikumiste jada võib paljastada veelgi rohkem; üksik visiit günekoloogi kabinetti ütleb naise kohta vähe, kuid sellele mõne nädala pärast järgnev külaskäik beebitarvete poodi ütleb juba midagi muud.* Teise inimese käikudega kursis olev isik saab järeldada, kas tegu on iganädalase kirikuskäija, alkohooliku, regulaarse jõusaalikülastaja, truudusetu abikaasa, ambulatoorset ravi saava patsiendi, teatud isikute või poliitiliste rühmitustega seotud isikuga – ja mitte ainult üht sellist fakti isiku kohta, vaid kõiki selliseid fakte.” U.S. v. Maynard, 615 F.3d 544 (U.S., D.C. Circ., C.A.)lk 562; U.S. v. Jones, 565 U.S. __, (2012), Alito, J., concurring.„Veelgi enam, avalik teave võib langeda kokku eraeluga, kui seda süstemaatiliselt koguda ja võimude käsutuses olevatesse failidesse salvestada. Seda enam, kui selline teave puudutab isiku lähiminevikku … kohtu arvates kuulub selline teave, kui seda on süstemaatiliselt kogutud ja riigi esindajate käsutuses olevasse faili salvestatud, „eraellu” konventsiooni artikli 8(1) kohaselt.” (Rotaru v. Romania, [2000] ECHR 28341/95, paras. 43-44.

[10]Terminit „protseduurireeglite täitmine” saab kasutada samas tähenduses terminitega „õiglane menetlus” ja „loomulik õigus” ning see on hästi lahti seletatud Euroopa inimõiguste konventsiooni artiklis 6(1) ja Ameerika inimõiguste konventsiooni artiklis 8.

[11]Sellise sõltumatu valvemehhanismi näiteks on Suurbritannia Interception of Communications Commissioner. ICO avaldab aruande, mis hõlmab koondandmeid, kuid see ei anna piisavalt andmeid, et uurida päringute tüüpe, iga juurdepääsupäringu ulatust, päringu eesmärki või nendele rakendatud uurimisi. Vt http://www.iocco-uk.info/sections.asp?sectionID=2&type=top.

[12]Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression, Frank La Rue, 16. mai 2011, A/HRC/17/27, paragrahv 84.