Vyšlo na Lupě, 22.8.2011
Vytištěno z adresy: http://www.earchiv.cz/b11/b0822001.php3

Data retention se vrací – a přitvrzuje!

Ústavní soud v březnu zrušil dosavadní právní úpravu uchovávání provozních a lokalizačních údajů, alias data retention. Nyní je na světě návrh nové úpravy – a ta hrozí požadavkem zaznamenávat každé vaše kliknutí.

Jak jste se mohli dočíst i zde na Lupě, v březnu letošního roku náš Ústavní soud rozhodl o stížnosti skupiny poslanců a zrušil dosavadní právní úpravu data retention, neboli uchovávání (a poskytování) provozních a lokalizačních údajů.

Jeho výrok ale neznamená, že by samotné uchovávání (a poskytování) provozních a lokalizačních údajů bylo navždy „smeteno ze stolu“, v tom smyslu že by bylo z principu nezákonné a nesmělo se již nikdy provádět. Ústavní soud se vyjádřil pouze k jeho podmínkám, daným dosavadní právní úpravou, pocházející ještě z dílny bývalého Ministerstva informatiky – tu shledal nevyhovující, kvůli její vágnosti. Neřeší totiž dostatečně ani takové zásadní věci, jako kdo by takováto data mohl požadovat (a dostávat). Či k jakým účelům mohou být požadována a jak mají být zabezpečena, aby se předešlo jejich zneužití.

Bylo tedy jen otázkou času, než kompetentní orgány připraví novou právní úpravu celé problematiky uchovávání a poskytování provozních a lokalizačních údajů, která by stále vycházela z příslušné evropské směrnice, ale současně reagovala na verdikt Ústavního soudu.

Dnes je návrh takovéto právní úpravy na světě. Připravilo jej Ministerstvo vnitra ČR, a do 5.9.2011 je v připomínkovém řízení. Najít jej může zde, v Knihovně připravované legislativy (eKlep).

Co požaduje nová prováděcí vyhláška

Ústavní soud svým rozhodnutím nezrušil pouze příslušné pasáže zákona o elektronických komunikacích (konkrétně § 97 odst. 3 a 4 zákona č. 127/2005 Sb.), ale také  dosavadní prováděcí vyhlášku (č. 485/2005 Sb.), která definovala, co a jak má být konkrétně zaznamenáváno a uchováváno.

Součástí nového návrhu právní úpravy proto jsou i teze (nikoli ještě „paragrafované znění“) nové prováděcí vyhlášky. A právě v té je podle mého názoru problém, na který bych touto cestou rád upozornil, protože jej považuji za potenciálně velmi závažný. V podstatě jde o to, že nová vyhláška, na rozdíl od té dosavadní, by po operátorech mohla požadovat, aby zaznamenávali každou aktivitu v rámci vašeho připojení k Internetu. Tedy například každé vaše kliknutí.

Proč si to myslím? Původní vyhláška (č. 485/2005 Sb.) ještě chápala samotné připojení k Internetu asymetricky, jako jednostrannou záležitost, a požadovala zaznamenávat jen údaje na straně připojujícího se uživatele (kdo byl připojen, jak dlouho, jakou měl IP adresu, jak se přihlašoval atd.). Jako dvoustranná byla chápána až komunikace v rámci konkrétních služeb – a teprve zde bylo požadováno zaznamenávat údaje o obou stranách komunikace (z jakého čísla se volalo na jaké číslo, z jaké adresy a na jakou adresu šel nějaký email atd.).

Návrh nové vyhlášky (k nalezení v tomto ZIPu) ale toto mění, a i z připojení k Internetu dělá symetrickou (obousměrnou) záležitost. I u něj totiž požaduje uchovávat jak „síťový identifikátor zdrojové strany komunikace“ (IP adresu a port), tak i „síťový identifikátor cílové strany komunikace“ (IP adresu a port). A je konzistentní, když tak činí jak u pevného připojení, tak i u připojení mobilního:

Rozsah uchovávání provozních a lokalizačních údajů
sítě elektronických komunikací s přepojováním paketů: údaje o uskutečněné komunikaci u služby přístupu k internetu z pevného připojení typ připojení, identifikátor uživatelského účtu, identifikátor zařízení uživatele služby (zejména adresa MAC, telefonní číslo u dial-up připojení), datum a čas zahájení a doba trvání přístupu k internetu, síťový identifikátor zdrojové strany komunikace (IP adresa, a v případě, kde IP adresa není jednoznačným identifikátorem, i číslo portu), síťový identifikátor cílové strany komunikace (IP adresa, a v případě, kde IP adresa není jednoznačným identifikátorem, i číslo portu), status události
služba přístupu k internetu z mobilního připojení: typ připojení, označení přístupového bodu (access point number-APN), telefonní číslo, na které se výpis provádí, datum a čas zahájení a doba trvání přístupu k internetu, síťový identifikátor zdrojové strany komunikace (IP adresa, a v případě, kde IP adresa není jednoznačným identifikátorem, i číslo portu), síťový identifikátor cílové strany komunikace (IP adresa, a v případě, kde IP adresa není jednoznačným identifikátorem, i číslo portu), status události

Jak tomu ale rozumět? Že by autoři nevěděli, jak funguje Internet a co obnáší připojit se k němu (a v čem se to liší od používání konkrétních služeb)? Nebo že by automaticky předpokládali, že se každý uživatel připojuje k Internetu přes nějakou anonymizující proxy bránu – a chtějí vědět přes jakou?

Horší je ale, že to, co napsali jako tezi – a pokud by se to stalo platnou vyhláškou – by se dalo interpretovat jako požadavek na zaznamenání skutečně každé komunikace, ke které dochází v rámci připojení k Internetu, bez ohledu na to, v rámci jaké služby se tak děje.

Povšimněte si dobře, že „symetrický“ požadavek na zaznamenávání a uchovávání údajů u samotného připojení k Internetu zmiňuje „uskutečněnou komunikaci“, jakých může být v rámci jednoho připojení opravdu hodně. Měl by to být například každý http request, adresovaný libovolnému webovému serveru (což je „ještě více“, než pouhé jedno kliknutí, protože to může generovat více takovýchto requestů).

V návrhu ale není nijak řešeno to, zda by se mělo jednat o první, poslední, či třetí, pátou atd. uskutečněnou komunikaci (v rámci jednoho, stále probíhajícího připojení). Obávám se tedy, že by se muselo jednat o každou „uskutečněnou komunikaci“. Ve stejném smyslu, jako u hovorů či emailových zpráv, kde jde o každý hovor a každou zprávu.

Důsledky snad čtenářům Lupy netřeba rozvádět: operátoři, na které by se tato povinnost vztahovala, by museli detailně zaznamenávat veškerou aktivitu všech svých uživatelů. Novela sice již zpřísňuje způsob uchovávání takto získaných dat a omezuje také jejich poskytování (jen na potřeby objasňování skutečně závažných trestných činů). Ale na druhou stranu zase jde daleko nad rámec dosavadního „záběru“, pokud jde o rozsah zaznamenávaných a uchovávaných údajů.

Jen doufám, že jde o nějaké nedomyšlení či nedocenění, a nikoli o záměr. Který by (bohužel) zapadal do celkového trendu, že stát a jeho složky chtějí „vědět úplně všechno“, o všem a o všech.

Co požaduje evropská směrnice?

Na celé věci je důležitý ještě jeden aspekt: celá problematika data retention je řešena unijní směrnicí (konkrétně je to Směrnice Evropského parlamentu a Rady 2006/24/ES), kterou musíme (resp. měli jsme) transponovat do naší legislativy. Není tedy nynější „rozšíření záběru“ dáno požadavky této směrnice?

Odpovědět na takovouto otázku lze celkem jednoduše: není. Evropská směrnice nejde zdaleka tak daleko. A tak daleko, jako nově navrhovaná prováděcí vyhláška, nešla dokonce ani původní (dnes již zrušená) prováděcí vyhláška č. 485/2005 Sb., která sama o sobě překračovala požadavky unijní směrnice také docela výrazně.

Ukažme si to konkrétně. Unijní směrnice rozděluje požadavky na zaznamenávání a uchovávání údajů do následujících kategorií:

  1. údaje potřebné k dohledání a identifikaci zdroje sdělení
  2. údaje potřebné k identifikaci adresáta sdělení
  3. údaje potřebné ke zjištění data, času a doby trvání komunikace
  4. údaje potřebné k určení typu sdělení
  5. údaje potřebné k identifikaci komunikačního vybavení uživatelů nebo jejich údajného komunikačního vybavení
  6. údaje potřebné ke zjištění polohy mobilního komunikačního zařízení

V každé z nich pak vznáší konkrétní požadavky, členěné podle druhu služby či přístupu. Konkrétně  „údaje potřebné k identifikaci adresáta sdělení“  požaduje po pevné, mobilní a internetové telefonii, kde chce číslo či jinou identifikaci volaného, a po přenosu zpráv elektronické pošty, kde chce adresu příjemce. Ale pro připojení k Internetu v této kategorii žádné požadavky nevznáší. Jistě i proto, že v rámci samotného připojení k Internetu ještě žádné „sdělení protistraně“ nevzniká.

Pravdou je, že konkrétní požadavky na připojení k Internetu vznáší u „údajů, potřebných ke zjištění data, času a doby trvání komunikace“. Ale zde jde pouze o „jednostranné“ údaje o začátku a konci připojení, a o přidělené IP adrese. Nikoli o údaje o nějaké protistraně, která zde ještě neexistuje.

Co požadovala původní vyhláška?

Naše původní (a dnes již zrušená prováděcí vyhláška č. 485/2005 Sb.) své požadavky strukturovala jinak než unijní směrnice, a v některých ohledech také šla nad rámec toho, co požadovala směrnice. Konkrétně u připojení k Internetu si „přisadila“ požadavkem na množství přenesených dat:

  • typ připojení,
  • identifikátor uživatelského účtu,
  • identifikátor zařízení uživatele služby,
  • datum a čas zahájení připojení,
  • datum a čas ukončení připojení,
  • zájmové identifikátory (například IP adresa, číslo portu)
  • status události (například úspěch, neúspěch, řádné nebo mimořádné ukončení připojení)
  • množství přenesených dat (v příchozím směru/v odchozím směru)

Ještě výrazněji ale šla nad rámec požadavků unijní směrnice v jiném ohledu. Ve svém §2 (článku 4, písmena d, e) totiž požadovala zaznamenávat také všechny požadavky na konkrétní servery, ne nutně jen webové: kdy, z jaké IP adresy a skrze jaké URL po nich někdo něco chtěl, včetně objemu dat, přenesených při vyřizování požadavku.  

Uvědomme si dobře, co to znamená: pokud se jednalo o webový server, nabízející nějaký hodnotný obsah, jeho provozovatel musel zaznamenávat, uchovávat, a na požádání předávat detailní údaje o tom, kdy, kdo a co si co z jeho serveru stáhnul.

Má to svou logiku?

Uvědomit bychom si měli ještě jeden důležitý aspekt: celá povinnost uchovávání a poskytování provozních a lokalizačních údajů (alias data retention) se týká jen „osob, zajišťujících veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací“. Takže se vztahuje jen na servery provozované telekomunikačními operátory, a nikoli na servery provozované ostatními osobami. Na ty se vztahuje režim zákona č. 480/2004 Sb.  (o některých službách informační společnosti), kde povinnost uchovávání (a poskytování ) provozních a lokalizačních údajů v takovéto podobě neexistuje.

Proto se třeba požadavky na zaznamenání každého emailu (jeho odesilatele, příjemce, času a data atd., nikoli ale jeho obsahu) fakticky „míjí účinkem“, protože drtivá většina uživatelů využívá poštovní služby provozované jinými subjekty, než jsou telekomunikační operátoři (na které se povinnost data retention vztahuje). Obdobně se zaznamenáváním každého požadavku na konkrétní server: ty servery, které jsou obvykle předmětem zájmu, snad vždy provozují subjekty, pro které povinnost data retention neplatí.

Z tohoto pohledu by tedy výrazné rozšíření zaznamenávaných aktivit, a hlavně přenesení příslušné povinnosti již do samotného připojení k Internetu, mělo svou logiku: vše už by se týkalo telekomunikačních operátorů, kteří jsou „v dosahu“ povinnosti data retention  a nemohou se jí zbavit.

Kolik to stojí?

Na závěr ještě poslední „maličkost“: práce s provozními a lokalizačními údaji samozřejmě má své náklady. Stát je operátorům určitým způsobem kompenzuje: jednak paušálně, za samotné zaznamenávání a uchovávání (neboli za „technologie“), a pak „podle objemu“, za jednotlivé žádosti o poskytnutí těchto dat (dotazy).

Následující tabulka z důvodové zprávy k popisovanému návrhu pak ukazuje, kolik vše stojí. Přesněji kolik stát (resp. Policie ČR) zaplatil operátorům v loňském roce a kolik v roce letošním, ještě do rozhodnutí Ústavního soudu.

Technologie (v mil. Kč) Dotazy (v mil. Kč)
rok 2010
počet operátorů
25, 5
15
25, 1
19
1. Q. 2011
počet operátorů
7,8
40
9,6
15