Mednarodna načela uporabe človekovih pravic za nadzor komunikacije
Končna različica z 10. julija 2013
Zaradi napredka tehnologije, ki državnim organom omogoča preprost nadzor nad komunikacijo, države ne uspejo zagotoviti, da bi zakonodaja in predpisi, povezani z nadzorom komunikacij, strogo upoštevali mednarodna načela zagotavljanja človekovih pravic ter zadostno varovali zasebnost in svobodo izražanja. V tem dokumentu poskušamo razložiti, kako se mednarodna zakonodaja o avtorskih pravicah nanaša na trenutno digitalno okolje, zlasti ob upoštevanju sprememb in vse večjega števila tehnologij in pristopov za nadzor komunikacij. Ta načela so lahko okvir, na podlagi katerega lahko predstavniki civilne družbe, podjetja na tem področju, države in drugi ocenijo, ali so obstoječa ali predlagana zakonodaja in postopki na področju človekovih pravic skladni s človekovimi pravicami.
Ta načela so rezultat globalnega posvetovanja med predstavniki civilne družbe, podjetji na tem področju in mednarodnimi strokovnjaki na področju zakonodaje, politike in tehnologije s področja nadzora komunikacije.
Uvod
Zasebnost je osnovna človekova pravica in temelj ohranjanja demokratičnih družb. Je nujna za človeško dostojanstvo in krepi druge pravice, kot sta svoboda izražanja in obveščanja ter svoboda združevanja, ter se splošno upošteva v skladu z mednarodno zakonodajo o človekovih pravicah.1 Dejavnosti, ki omejujejo pravico do zasebnosti, vključno z nadzorom komunikacije, so lahko utemeljene le, ko jih določa zakonodaja, poleg tega pa so potrebne za doseganje upravičenega cilja in sorazmerne cilju, ki ga je treba doseči.2
Pred javnim sprejetjem interneta so nadzor komunikacij državnim organom omejevale dobro uveljavljena pravna načela in logistične ovire, povezane s spremljanjem komunikacije. V zadnjih desetletjih se je raven teh logističnih ovir za nadzor zmanjšala, pri čemer je postala uporaba pravnih načel v novih tehnoloških kontekstih nejasna. Eksplozija vsebine digitalnih komunikacij in podatkov o komunikaciji oziroma »komunikacijskih metapodatkov« tj. podatkov o posameznikovi uporabi komunikacij ali elektronskih naprav, vedno manjši stroški shranjevanja in preučevanja velikih množic podatkov ter zagotavljanje osebne vsebine prek zunanjih ponudnikov storitev omogočajo državni nadzor v obsegu, kakršnega še ni bilo.3 Hkrati konceptualizacija obstoječe zakonodaje s področja človekovih pravic ne upošteva sodobnih in spreminjajočih se možnosti, ki jih imajo države glede nadzora, možnosti države, da združi in organizira podatke, pridobljene z različnimi tehnologijami nadzora, ali večjo občutljivost podatkov, do katerih je mogoče dostopati.
Pogostost, s katero države zahtevajo dostop do vsebine komunikacij in do komunikacijskih metapodatkov, se je zelo povečala, vendar brez ustreznega nadzora.4 Z dostopom do komunikacijskih metapodatkov in njihovo analizo je mogoče sestaviti profil posameznikovega življenja, vključno z zdravstvenim stanjem, političnimi in verskimi stališči, oblikami združevanja, interakcijami in zanimanji, pri čemer se razkrije enako veliko ali celo več podatkov, kot bi jih bilo mogoče pridobiti iz vsebine komunikacije.5 Kljub veliki možnosti poseganja v posameznikovo življenje in »negativnemu vplivu« na politična in druga združenja zagotavljajo pravni instrumenti in instrumenti politike pogosto nižjo raven varovanja komunikacijskih metapodatkov in ne omejujejo dovolj njihove nadaljnje rabe v državnih ustanovah, vključno z uporabo podatkovnega rudarjenja v njih, njihovim deljenjem z drugimi in hrambo.
Če želijo države dejansko izpolnjevati svoje mednarodne obveznosti glede človekovih pravic na področju nadzora komunikacij, morajo ravnati skladno z načeli, opredeljenimi spodaj. Ta načela veljajo za nadzor lastnih državljanov, ki se izvaja na lastnem ozemlju, in nadzor drugih zunaj ozemlja držav, ki izvajajo nadzor. Načela veljajo ne glede na namen nadzora – odkrivanje in pregon, nacionalna varnost ali drug namen, ki ga določajo predpisi. Veljajo tudi za obveznosti države, da spoštuje in izvršuje pravice posameznikov, ter za obveznosti varovanja pravic posameznikov pred zlorabami ne-državnih deležnikov, vključno s pravnimi osebami.6 Zasebni sektor je enako odgovoren za spoštovanje človekovih pravic, zlasti glede na vlogo, ki jo ima pri načrtovanju, razvijanju in razširjanju tehnologij, omogočanju in zagotavljanju komunikacij ter po potrebi sodelovanju z dejavnostmi državnega nadzora. Obseg obstoječih načel je ne glede na to omejen na obveznosti države.
Spreminjajoče se tehnologije in opredelitve
»Nadzor komunikacij« v sodobnem okolju zajema spremljanje, prestrezanje, zbiranje, analizo, uporabo, shranjevanje in hrambo, motenje ali dostop do podatkov, ki vključujejo ali kažejo osebne komunikacije posameznika v preteklosti, sedanjosti ali prihodnosti oziroma izhajajo iz nje ali so o njej. »Komunikacije« zajemajo dejavnosti, interakcije in transakcije, poslane prek elektronskih medijev, kot so vsebina komunikacij, identiteta sodelujočih v komunikacijah, lokacijski podatki, vključno z naslovi IP, čas in trajanje komunikacij ter identifikatorji komunikacijske opreme, uporabljene pri komunikacijah.
Invazivnost nadzora komunikacij se je tradicionalno ocenjevala na podlagi umetnih in formalističnih kategorij. Obstoječi pravni okviri razlikujejo med »vsebino« ali »nevsebino«, »naročniškimi podatki« ali »metapodatki«, shranjenimi podatki ali podatki v tranzitu, podatki, hranjenimi doma, ali takimi, ki so v rokah zunanjega ponudnika storitev.7 Vendar to razlikovanje ni več primerno za merjenje stopnje posegov v zasebna življenja in povezave, ki jih elektronska komunikacija pomeni za posameznike. Čeprav že več časa obstaja soglasje glede tega, da je treba vsebino komunikacij obsežno zakonsko zaščititi, ker omogoča razkritje občutljivih podatkov, je zdaj jasno, da lahko drugi podatki, ki izhajajo iz komunikacij, tj. metapodatki in druge oblike nevsebinskih podatkov, razkrijejo še več o posamezniku kot sama vsebina, zato jih je treba zaščititi na enak način. Danes lahko vsaka od teh vrst podatkov, analizirana posamezno ali kot celota, razkrije identiteto, obnašanje, povezave, fizično ali zdravstveno stanje, raso, barvo kože, spolno usmeritev, nacionalni izvor ali stališča posameznika ali omogoči spremljanje lokacije, gibanja ali interakcije skozi čas za posameznika,8 ali vse ljudi na dani lokaciji, vključno s tistimi okoli mesta javnih demonstracij ali drugega političnega dogodka. Zato je treba vse podatke, ki vključujejo ali izražajo komunikacijo posameznika, izhajajo iz nje ali jo zadevajo ter niso prosto in preprosto dostopni splošni javnosti, obravnavati kot »varovane podatke« in jih ustrezno do največje možne mere zakonsko zaščititi.
Pri ocenjevanju invazivnosti državnega nadzora nad komunikacijami je treba upoštevati možnost, da nadzor razkrije varovane podatke, in namen, za katerega država želi podatke. Nadzor nad komunikacijami, pri katerem bo verjetno prišlo do razkritja varovanih podatkov, ki lahko posameznika izpostavi tveganju preiskave, diskriminacije ali kršenj človekovih pravic, bo predstavljal resno kršitev posameznikove pravice do zasebnosti in tudi omejil uživanje drugih temeljnih pravic, vključno s pravico prostega izražanja, druženja in političnega udejstvovanja. To je zato, ker je za te pravice potrebno, da imajo ljudje možnost komuniciranja brez »negativnega vpliva« državnega nadzora. Zato bo potrebno ugotavljanje značilnosti in morebitne uporabe zahtevanih podatkov za vsak primer posebej.
Pri uvajanju novih načinov nadzora nad komunikacijami ali razširjenju obsega obstoječega pristopa mora država ugotoviti, ali podatki, ki bodo verjetno pridobljeni, spadajo v okvir »varovanih podatkov«, preden jih zahteva, pri čemer mora zanjo veljati sodni ali drug demokratičen način nadzora. Pri ugotavljanju, ali so podatki, pridobljeni z nadzorom nad komunikacijami, »varovani podatki«, so pomembni dejavniki oblika ter obseg in trajanje nadzora. Ker obstaja pri trajnem ali sistematičnem spremljanju možnost razkritja zasebnih podatkov, ki daleč presegajo le same pridobljene podatke, se lahko v njegovem okviru izboljša raven nadzora nad nevarovanimi podatki na raven posegov, pri katerih se zahteva strogo varovanje.9
Določanje, ali lahko država izvaja nadzor nad komunikacijami, ki posega v varovane podatke, mora biti skladno z naslednjimi načeli.
Načela
Zakonitost
morebitne omejitve pravice do zasebnosti morajo biti določene z zakonom. Država ne sme sprejeti ali izvajati ukrepa, ki posega v pravice do zasebnosti, če ni javno razpoložljivega zakonodajnega akta, ki izpolnjuje standarde jasnosti in točnosti, potrebnih za zagotavljanje, da so posamezniki vnaprej obveščeni o njegovi uporabi in jo lahko predvidijo. Glede na hitrost spreminjanja tehnologije je treba zakone, ki omejujejo pravico do zasebnosti, redno preverjati na podlagi zakonodajnega ali upravnega postopka sodelovanja.
Zakoniti cilj
zakoni bi morali dovoliti nadzor nad komunikacijami samo s strani določenih državnih organov, da se doseže zakoniti cilj, ki ustreza glavnemu pomembnemu pravnemu interesu, potrebnemu v demokratični družbi. Noben ukrep se ne bi smel uporabljati na način, ki diskriminira na podlagi rase, barve kože, spola, jezika, vere, političnega ali drugačnega mnenja, narodnega ali družbenega porekla, premoženja, rojstva ali drugega statusa.
Potreba
zakoni, ki dovoljujejo državni nadzor nad komunikacijami, morajo nadzor omejiti na nadzor, ki je strogo in dokazljivo potreben za doseganje zakonitega cilja. Nadzor nad komunikacijami se lahko izvaja samo, ko je edini način doseganja zakonitega cilja, oziroma, če je več načinov, ko je način, za katerega je najmanj verjetno, da bi povzročil kršitev človekovih pravic. Breme dokazovanja te utemeljitve v sodnem in v zakonodajnem postopku mora prevzeti država.
Ustreznost
vsak primer nadzora nad komunikacijami, ki ga dovoli zakonodaja, mora biti ustrezen za izpolnjevanje konkretnega opredeljenega zakonitega cilja.
Sorazmernost
nadzor komunikacij se mora obravnavati kot izjemno moteče dejanje, ki posega v pravice do zasebnosti in do svobode mnenja in izražanja ter ogroža temelje demokratične družbe. Odločitve o nadzoru nad komunikacijami je treba sprejeti s primerjanjem prednosti, za katere se pričakuje, da bodo dosežene, s škodo, ki bi bila povzročena pravicam posameznika in drugim konkurenčnim interesom, ter mora obsegati obravnavo občutljivosti podatkov in resnost kršenja pravice do zasebnosti.
To pomeni, da mora država, kadar zahteva dostop do varovanih podatkov, pridobljenih z nadzorom nad komunikacijami v okviru preiskave kaznivega dejanja, ali njihovo uporabo, pristojnemu, neodvisnemu in nepristranskemu organu dokazati, da:
- je velika verjetnost, da je bilo ali bo izvršeno kaznivo dejanje;
- bi se lahko z dostopom do želenih varovanih podatkov pridobili dokazi o takem kaznivem dejanju;
- so bile izčrpane vse manj invazivne preiskovalne metode;
- bodo podatki, do katerih se dostopa, omejeni na podatke, ki so razumno pomembni za domnevno storjeno kaznivo dejanje, in bodo morebitni zbrani podatki, ki presegajo ta okvir, takoj uničeni ali vrnjeni; in
- do podatkov dostopa samo določen organ in se uporabljajo samo za namen, za katerega je bilo izdano dovoljenje.
Če država zahteva dostop do varovanih podatkov prek nadzora nad komunikacija za namen, pri katerem posameznik ne bo izpostavljen tveganju kazenskega postopka, preiskave, diskriminacije ali kršitve človekovih pravic, mora država neodvisnemu, nepristranskemu in pristojnemu organu dokazati, da:
- so bile obravnavane druge manj invazivne preiskovalne metode;
- bodo podatki, do katerih se dostopa, omejeni na podatke, ki so razumno pomembni, in bodo morebitni zbrani podatki, ki presegajo ta okvir, takoj uničeni ali vrnjeni; in
- do podatkov dostopa samo določen organ in se uporabljajo samo za namen, za katerega je bilo izdano dovoljenje.
Pristojni sodni organ
odločitve, povezane z nadzorom nad komunikacijami, mora sprejeti pristojni sodni organ, ki je nepristranski in neodvisen. Ta organ mora biti:
- ločen od organov, ki izvajajo nadzor nad komunikacijami;
- seznanjen z zadevnimi vprašanji in pristojen za sprejemanje sodnih odločitev o zakonitosti nadzora nad komunikacijami, uporabljenih tehnologij in človekovih pravic ter
- imeti zadostna sredstva za izvajanje nalog, ki so mu dodeljene.
Dolžno postopanje
dolžno postopanje zahteva, da država spoštuje posameznikove človekove pravice in jamči zanje z zagotavljanjem, da so zakoniti postopki, ki urejajo morebitne posege v človekove pravice, pravilno opredeljeni v zakonodaji, se dosledno izvajajo in so dosegljivi splošni javnosti. To pomeni, da je pri ugotavljanju človekovih pravic vsakdo upravičen do poštene in javne obravnave v razumnem času v okviru neodvisnega, pristojnega in nepristranskega sodišča, določenega z zakonom, 10 razen v primeru nujnosti, kadar je neposredno tveganje nevarnosti za človeško življenje. V takih primerih se mora v razumnem času retroaktivno zahtevati dovoljenje. Le begosumnost ali tveganje za uničenje dokazov se ne moreta nikoli obravnavati kot zadostna za utemeljitev retroaktivnega dovoljenja.
Obveščanje uporabnikov
posameznike je treba o odločitvi, ki dovoljuje nadzor nad komunikacijami, obvestiti pravočasno in z zadostnimi informacijami, da se lahko pritožijo na odločitev. Omogočen jim mora biti dostop do gradiva, predstavljenega v podporo prošnji za dovoljenje. Zamude v obveščanju so lahko utemeljene samo v naslednjih primerih:
- z obveščanjem bi se resno ogrozil namen, za katerega je dovoljen nadzor, ali pa obstaja neizbežno tveganje nevarnosti za človeško življenje; ali
- pristojni sodni organ hkrati z dovoljenjem za nadzor dodeli tudi dovoljenje za odlog obveščanja; in
- zadevni posameznik je obveščen takoj, ko ni več tveganja, oziroma v razumnem časovnem obdobju, odvisno od tega, kar je prej, vendar v vsakem primeru do konca nadzora nad komunikacijami. Obveznost obveščanja velja izključno za državo, vendar lahko ponudniki komunikacijskih storitev, kadar je država ne izpolni, prostovoljno ali na zahtevo obvestijo posameznike, katerih komunikacije se nadzorujejo.
Preglednost
države morajo ukrepati pregledno glede uporabe in obsega postopkov in pravic nadzora komunikacije. Objaviti morajo vsaj združene podatke o številu odobrenih in zavrnjenih zahtev, porazdelitev zahtev glede na ponudnika storitev ter na vrsto in namen preiskave. Države morajo posameznikom dati na voljo dovolj podatkov, da lahko v celoti razumejo obseg, značilnosti in uporabo zakonodaje, ki dovoljuje nadzor nad komunikacijami. Države morajo ponudnikom storitev omogočiti objavljanje postopkov, ki jih uporabljajo pri obravnavanju državnega nadzora nad komunikacijami, ter omogočiti, da teh postopke upoštevajo in lahko objavljajo evidenco o državnem nadzoru nad komunikacijami.
Nadzor javnosti
države morajo vzpostaviti mehanizme neodvisnega nadzora, da se zagotovi preglednost nadzora nad komunikacijami in odgovornost zanj.1 Mehanizmi nadzora morajo imeti pristojnost za dostop do vseh potencialno pomembnih informacij o ukrepih države, vključno z dostopom do tajnih ali zaupnih informacij, kjer je primerno, za ocenjevanje, ali država zakonito uporablja zmožnosti, ki jih ji določa zakonodaja, za ocenjevanje, ali država pregledno in natančno objavlja informacije o uporabi in obsegu postopkov in pravic nadzora nad komunikacijami, ter za objavo rednih poročil in drugih informacij, povezanih z nadzorom komunikacij. Poleg morebitnega nadzora, ki ga že izvaja drug javni organ, je treba vzpostaviti mehanizme neodvisnega nadzora.
Celovitost komunikacij in sistemov
za zagotavljanje celovitosti, varnosti in zasebnosti komunikacijskih sistemov ter ob upoštevanju dejstva, da ogrožanje varnosti za namene države skoraj vedno ogrozi tudi varnost na splošno, države ne bi smele prisiliti ponudnikov storitev ali proizvajalcev strojne ali programske opreme, da v svoje sisteme vgradijo zmožnosti za nadzor ali spremljanje ali da določene podatke zbirajo ali hranijo izključno za namene državnega nadzora. Od ponudnikov storitev se nikoli ne sme zahtevati apriorno hranjenje ali zbiranje podatkov. Posamezniki imajo pravico do anonimnega izražanja. Države se morajo zato izogibati zahtevam za identifikacijo uporabnikov kot osnovnemu pogoju za izvajanje storitev.2
Zaščitni ukrepi za mednarodno sodelovanje
države bodo morale zaradi sprememb tokov informacij ter komunikacijskih tehnologij in storitev morda zahtevati pomoč tujih ponudnikov storitev. Pogodbe o medsebojni pravni pomoči in druge pogodbe, ki jih sklenejo države, morajo zato zagotavljati, da se v primerih, v katerih se lahko na nadzor nad komunikacijami nanaša zakonodaja več različnih držav, uporabi standard z najvišjo stopnjo zaščite posameznika. Ko države zahtevajo pomoč za namene odkrivanja in pregona, se mora uporabiti načelo dvojne kaznivosti. Države ne smejo uporabljati postopkov medsebojne pravne pomoči in tujih zahtev za varovane podatke, da zaobidejo domače pravne omejitve nadzora na komunikacijami. Postopki medsebojne pravne pomoči in druge pogodbe morajo biti jasno dokumentirani ter javno dostopni, pri čemer morajo zanje veljati jamstva proceduralne poštenosti.
Zaščitni ukrepi za nezakoniti dostop
države morajo sprejeti zakonodajo, ki nadzor javnih ali zasebnih oseb nad komunikacijami obravnava kot kazniv. Ta zakonodaja mora določati zadostne in znatne civilne in kazenske sankcije, zaščito za »žvižgače« in postopke za popravo krivic prizadetim posameznikom. Zakoni morajo določati, da so vsi podatki, pridobljeni na način, ki ni skladen s temi načeli, nesprejemljivi kot dokazi v katerem koli postopku, prav tako pa tudi vsi dokazi, pridobljeni na podlagi teh podatkov. Države morajo sprejeti tudi zakone, ki določajo, da se gradivo, pridobljeno z nadzorom nad komunikacijami, po uporabi za namen, za katerega so bili dani podatki, uniči ali vrne posamezniku.
-
Komisar za prestrezanje komunikacij v Združenem kraljestvu (Interception of Communications Commissioner oz. ICO) je primer takega neodvisnega nadzornega mehanizma. ICO objavlja poročilo, v katerem je nekaj združenih podatkov, vendar ne dovolj za preučitev vrst zahtev, obsega in namena posameznih zahtev za dostop ter preverjanja teh zahtev. Glejte http://www.iocco-uk.info/sections.asp?sectionID=2&type=top. ↩︎
-
Poročilo posebnega poročevalca za spodbujanje in varovanje pravice do svobode mnenja in izražanja Franka La Rueja, 16. maj 2011, A/HRC/17/27, odst. 84. ↩︎