Stát nás stále častěji špehuje – vloni to bylo o čtvrtinu více

Český telekomunikační úřad eviduje zvýšení množství předávaných informací o čtvrtinu a například vshosting~, jeden z provozovatelů služeb datových center u nás, hlásí o více než 20 % vyšší míru požadavků.

Slovo “odposlech” už při samotném vyslovení ve většině lidí navodí spíše negativní dojmy. I přes fakt, že se jedná o zásah do soukromí, existují dle české legislativy případy, kdy mají  příslušné orgány právo jej aplikovat, či žádat o vydávání záznamů po mobilních a internetových operátorech.

A právě žádosti o tuto součinnost se oproti roku 2017 významně zvýšily.

Podle zprávy ČTÚ mobilní operátoři předali v loňském roce provozní a lokalizační údaje oprávněným orgánům celkem ve 332 892 případech. To je o čtvrtinu více než v roce 2017, kdy operátoři tyto údaje předali celkem ve 253 380 případech. V 6 259 případech loni údaje poskytnuté nebyly.

Počty případů poskytnutí údajů v rámci pevné sítě a v rámci IP telefonie zůstaly podle ČTÚ loni na srovnatelné úrovni s rokem 2017. Na základě jedné žádosti přitom mohou být předávány informace o provozu mezi více telefonními čísly. Do statistiky je započítán každý případ, který operátor vyřídil.

Pokud se oprávněný orgán obrátí v jedné trestní věci na více provozovatelů, je tato jeho žádost započtena do výkazu u každého z nich. Počet vyžádaných údajů se proto neshoduje s počtem vyšetřovaných trestných činů, v jejichž rámci si oprávněné orgány údaje vyžádaly, neboť metodika vykazování údajů se liší.

Obdobně statistiku navyšuje požadavek na výpis z buňky, který musí být z technických důvodů pro potřeby poskytovatelů rozdělen do samostatných žádostí po maximálně tříhodinových časových intervalech.

Podle představitelů firmy vshosting~ se většina žádostí o součinnost se týkala odposlechů vydání uživatelských dat, přičemž odposlechy komplikuje stále rozšířenější šifrování dat. Nová právní úprava umožňující policii odstavit web přitom vzbuzuje obavy z možného zneužití.

V souvislosti s aktuálně projednávaným návrhem ohledně opětovného zrušení Data retention u Ústavního soudu je vhodné upozornit na situaci s nárůstem požadavků ze strany Policie a dalších orgánů státní moci (BIS a další).

Veřejností často chybně vnímané, že data retention=odposlech. Data retention je přitom pouze záznam o proběhlé komunikaci, nikoliv záznam o obsahu dané komunikace jako takové, nejedná se tedy o odposlech. V porovnání s celým spektrem nástrojů, které státní orgány denně aktivně používají, zdaleka nejde o největší zásah do soukromí.

Většina požadavků ze strany Policie, ÚOOZ, BIS a dalších orgánů směrem k internetovým operátorům se primárně týká vydávání uživatelských dat (pořizování jejich kopie) či technického zajištění odposlechu aktivní komunikace.

Požadavek musí být podložen soudním příkazem podle ustanovení § 88 případně 88a trestního řádu a platí po dobu v něm stanovenou. Tento nástroj lze navíc použít jen u uvedených trestných činů.

Paradoxem je, že v posledních letech došlo ke značnému nárůstu využívání šifrovacích technologií i běžnými uživateli. Prakticky většina e-mailové komunikace probíhá pomocí šifrovaných protokolů, a to zejména díky nativní podpoře šifrování v nových verzích e-mailových programů: uživatelé tedy šifrují, aniž by si toho často byli vědomi.

Díky iniciativě Let’s Encrypt je od začátku roku 2016 bezplatně vybaveno certifikátem téměř 100 milionů světových webů. Tyto technologie komplikují či znemožňují realizaci odposlechů, popř. činí jejich výsledek nepoužitelným.

Novinkou je také § 7b v Trestním řádu, který policii umožňuje (a to i bez souhlasu státního zástupce a soudu) vydat příkaz k odstavení webu. Tato nová právní úprava zatím není v praxi využívána. Nicméně je možné, že v praxi poskytne prostor ke snadnému zneužití (například trestním oznámením v rámci konkurenčního boje).

Jak stát žádá o informace o uživatelích?

Zdroj: Český telekomunikační úřad, březen 2019

Co je to data retention?

Mobilní a internetoví operátoři mají ze zákona povinnost zajišťovat tzv. „data retention“ na 6 měsíců od uskutečnění dané komunikace. Technicky jde o záznam toho, že v daném čase proběhla komunikace na konkrétní IP adrese a portu. Data retention však nezahrnuje obsah samotné komunikace (např. text emailu či SMS zprávy), a proto se nabízí otázka jeho přidané hodnoty. U mobilních telefonních operátorů je data retention citlivějším tématem, jelikož obsahuje i lokalizační údaje mobilního zařízení v okamžiku uskutečnění hovoru (označení BTS vysílače).

Zákonem, který stanovuje povinnost ukládání dat, je zákon č. 127/2005 Sb., o elektronických komunikacích v § 97, odst. 3. Rozsah dat upravuje vyhláška 357/2012 Sb., o uchovávání, předávání a likvidaci provozních a lokalizačních údajů. Povinnost poskytování informací orgánům činným v trestním řízení je upravena v § 88a Trestního řádu (zákon č. 141/1961 Sb.).