Mostantól minden online szolgáltatást megfigyelhetnek
További Tech cikkek
- Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből
- Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
A brüsszeli terrortámadások után még arról szóltak a hírek, hogy a kormány a felhasználók számára is büntethetővé kívánja tenni a titkosított kommunikációt. Ezt az ötletet kormányzati körökben is hamar elvetették, hiszen gyakorlatilag minden digitális kommunikáció titkosított. Végül a terrorellenes törvénycsomag részeként a parlament az elektronikus kereskedelemről szóló törvényt egészítette ki a digitális kommunikáció kiterjedt megfigyelését lehetővé tevő új rendelkezésekkel. Ezek tartalmát lényegében az ellenzék sem kifogásolta. A kommunikációt biztosító szolgáltatók együttműködési kötelezettségének további szabályait pedig a július 13-án közzétett 185/2016. (VII. 13.) kormányrendelet írja elő.
Kötelező a felhasználót megfigyelni, ha a titkosszolgálatok kérik
Eddig a magyar titkosszolgálatok elsősorban a telekommunikációs cégek, internetszolgáltatók segítségével figyelhették meg a felhasználókat. Az analóg kommunikáció megfigyelése egyelőre fontosabb információforrásnak tűnik a hazai bűnüldözésben és titkosszolgálati munkában. Az új szabályozás azonban az ún. „alkalmazásszolgáltatókat” is együttműködésre kötelezi. Alkalmazásszolgáltatónak minősül gyakorlatilag bárki, aki digitális kommunikációs szolgáltatást nyújt. A webes emailszolgáltatótól, a kommunikációra alkalmas mobilappokon keresztül a multiplayer funkcióval bíró játékszoftverek működtetőjéig.
Az ilyen szolgáltatók mostantól kötelesek egy évig megőrizni a felhasználóikhoz kapcsolódó metaadatokat (pl. felhasználói azonosító, használati adatok, regisztráció ideje, IP-címek) és azokat megkeresés esetén kiadni a titkosszolgálatoknak. A törvény igen tágan határozza meg a metaadatok körét. Kérdéses például, hogy a felhasználó jelszava is megőrzendő és átadandó adatnak minősül-e.
A metaadatok megőrzése és kiadása alól a szolgáltatókat az sem mentesíti, ha jelenleg ezeket ők maguk sem ismerik. A szabályozás egyik célja, hogy ilyen esetben változtassák meg a szolgáltatásaik felépítését, és a jövőben tárolják a metaadatokat. Többé nem nyújtható olyan szolgáltatás, ahol a metaadatokat a szolgáltató sem ismeri meg. Például amelyik szolgáltató eddig nem naplózta az IP-címeket, mostantól az is köteles ilyen adatbázist építeni.
Viszont a szolgáltató továbbra is eldönthetik, hogy magát a kommunikációt végponti titkosítással nyújtják-e, tehát úgy, hogy a titkosítás a felhasználó eszközén történik, és így a szolgáltatók sem férhetnek hozzá annak tartalmához. A Snowden-botrány utáni felhasználói igényeket figyelembe véve több népszerű webes és mobilos üzenetküldő szolgáltatás már most is így működik, és az ilyen kommunikáció tartalmához az új szabályozás sem enged hozzáférést. Az online kommunikáció nagy része azonban ma még nem végponti titkosítással kódolt – ilyenkor viszont a törvény a szolgáltatókat az érintett felhasználó teljes kommunikációjának felfedésére kötelezi. A törvény külön is nevesíti a szöveges, numerikus, képi, hang- és videóformátumú kommunikációt.
Bár a szolgáltatók elvileg csak a jogszabályoknak megfelelő megkeresés esetén kötelesek együttműködni, a gyakorlatban csak az eljárási szabályok egy részének betartását vizsgálhatják. Az új szabályozás ugyanis előírja, hogy a titkosszolgálat kizárólag annyi tájékoztatást nyújthat a szolgáltatónak, amennyi az információszolgáltatás teljesítéséhez elengedhetetlenül szükséges. Így a titkos információszolgáltatásra felkért szolgáltatók – eltérően a bűnügyi és más hatósági megkeresések esetén megszokottól – nem is képesek ellenőrizni, hogy az információkérés arányos-e, és különösen, hogy törvényes-e. A szolgáltatók által megismerhető adatok minimalizálása miatt az sem derül ki, hogy a kért adatot a titkosszolgálatok milyen ügyben, egyáltalán egy konkrét ügyhöz köthetően kérik-e.
Még problémásabb, hogy a megfigyelt kommunikációt, a kiadott metaadatokat és az együttműködéssel kapcsolatos egyéb adatokat a szolgáltató saját maga sem jogosult gyűjteni és archiválni. Tehát a szolgáltatóktól úgy követel meg az új szabályozás adatszolgáltatást, hogy ők maguk utólag nem is ellenőrizhetnék, hogy például melyik felhasználóról, mikor és mit közöltek, melyik hatósággal.
Nem csak a magyar hatóságok kíváncsiak
A magyar szabályozás számos ponton hasonló a július 20-án hatályba lépett új orosz online lehallgatási törvénnyel. Hollandiában és a mindennapos terrorfenyegetettségben élő Franciaországban is hasonló kezdeményezések osztották meg a közvéleményt. De az online megfigyelés és a titkosítás kérdéseiben az USA-ban a legkiterjedtebb a közéleti, jogász szakmai vita.
A magyar törvény előtt az FBI bíróságon próbált kikényszeríteni olyan precedenst, amely által a mobiltelefonok gyártói kötelesek lehettek volna segítséget nyújtani a készülékek feltöréséhez. Szintén az USA-ban keltett felháborodást a techközösségben, hogy a 2016 áprilisában közzétett Burr-Feinstein törvényjavaslat gyakorlatilag a titkosszolgálati megfigyelést lehetővé tevő úgynevezett „hátsó kapuk” beépítésére kötelezné az amerikai techcégeket, online kommunikációs szolgáltatókat. Ez azt jelentené, hogy bár a kommunikáció lehet titkosított, a szolgáltatók szoftverével küldött adatokat a titkosszolgálatok bírói felhatalmazással mégis megismerhetnék.
Vezető techcégek közösen álltak ki a törvényjavaslattal szemben. Szakértők egyébként széles körben egyetértenek, hogy ha egy titkosítást bármilyen szándékkal gyengítenek, azt a kiberbűnözők és más államok titkosszolgálatai szintén kihasználhatják, nemcsak a „kedvezményezett” titkosszolgálatok.
A magyar titkosszolgálatok keze a világon mindenhova elérne
Az új szabályozás egyik különlegessége, hogy „országhatárokat nem ismerő” elérést kíván biztosítani a magyar titkosszolgálatoknak. Nemzetközi jogi szempontból ugyanis erősen aggályos, hogy a törvényi hatály szerint a magyar titkosszolgálatokkal való együttműködésre kötelezhető mindenki, akinek a szolgáltatása a magyarországi felhasználóknak elérhető. Ez a digitális korban azt jelenti, hogy a magyar titkosszolgálatok kérése esetén a világ összes online kommunikációs szolgáltatója köteles megfigyelni felhasználóit és akár a teljes kommunikációjuk tartalmát átadni a magyar szerveknek. Függetlenül attól is, hogy az adott felhasználónak bármi köze van-e Magyarországhoz.
Ez a „túlterjeszkedő” hatály viszont azért is bizonyulhat értelmetlennek, mert számos országban törvényt sérthetnének az ott letelepedett szolgáltatók, ha eleget tennének a magyar titkosszolgálati megkereséseknek. Több országban egyenesen bűncselekményt követ el, aki országa illetékes szerveit megkerülve adatkérést teljesít egy idegen állam titkosszolgálatának. Erősen kérdésesnek tűnik, hogy az ún. „blokkoló törvények” létét egyáltalán figyelembe vette-e a magyar jogalkotó. Pedig a nemzetközi jognak az államok hatóságai közti együttműködésről szóló szabályai a legtöbb esetben nem kerülhetők meg erőből. Gyakorlatban egyáltalán nem tűnik működőképesnek, hogy a magyar titkosszolgálatok egy kötelezően kinevezendő magyarországi képviselőn, nem pedig az adott állam hatóságain keresztül, kívánnak megkereséseket küldeni külföldi szolgáltatóknak. Vajon terhelhet-e jogi felelősség Magyarországon egy külföldi vállalatot azért, ha például nem hajlandó a magyar titkosszolgálatok kérésére adott esetben megsérteni saját országa törvényeit is? A kért adatok ugyanis sok esetben Magyarország területén kívüli szerveren találhatók.
Ha pedig például egy német vagy francia szolgáltató ezentúl a magyar vagy orosz titkosszolgálatok kérésére megfigyeli felhasználóit, akkor milyen alapon ne tenné meg ugyanezt a jövőben a bármelyik másik titkosszolgálat kérésére? Az új magyar szabályozás más országok általi követésével nagyon hamar előállhatna egy olyan helyzet, hogy a világ bármelyik online kommunikációs szolgáltatója köteles a saját országában tárolt adatokat kiadni a világ bármelyik titkosszolgálatának. A külföldi szolgáltatók együttműködési hajlandóságát az sem növeli majd, hogy nemzetközi téren éppen ezzel ellentétes joggyakorlat látszik kialakulni. A legtöbb meghatározó online kommunikációs szolgáltató központja az USA-ban található, ahol éppen július 14-én foglalt állást egy szövetségi fellebbviteli bíróság a túlterjeszkedő joghatóság ellen.
A Microsoft v. USA ügyben a bíróság úgy döntött, hogy a Microsoft bírói végzéssel sem kötelezhető olyan ügyféladatok kiadására, amelyek az USA területén kívüli szervereken, a konkrét ügyben Írországban találhatók. A döntés a technológiai ipar és a magánszférájuk tiszteletben tartását igénylő felhasználóknak megnyugtató, ésszerű iránymutatást jelent. Azért is jelentős a döntés, mert a szolgáltatók évente közzétett átláthatósági jelentései alapján nemzetközi összehasonlításban talán az amerikai hatóságok érdeklődnek legaktívabban a népszerű online kommunikációs szolgáltatások felhasználói adatai iránt. Az új magyar szabályozás az átláthatósági jelentéseket is tiltja, ugyanis a titkosszolgálati megkeresésekről akár statisztikai adatokat is tilos közzétenni.
A túlterjeszkedő hatály vélhetően azért került be a magyar törvénybe, mert az online kommunikáció ma már globális, a legnépszerűbb szolgáltatók sok esetben külföldiek. Viszont egy magyar törvény külföldön történő alkalmazása jogi és diplomáciai szempontokból is bonyolult terület, ami nem véletlenül vet fel egyre inkább több, mint kevesebb problémát. Ilyen kérdést szinte lehetetlen huszárvágásszerű törvénymódosításokkal szabályozni, a gyors és egyszerű megoldások több kárral, mint haszonnal járnak, és jellemzően nem is érik el a kívánt célt.
Kérdéses, hogy a szolgáltatók együttműködése jogilag kikényszeríthető-e
Ráadásul nem csak nemzetközi jogi akadályok miatt tűnik megvalósíthatatlannak a külföldi szolgáltatók felhasználóinak megfigyelése. Erősen kérdéses ugyanis, hogy az új szabályozás ad-e a magyar titkosszolgálatoknak jogi eszközt is a szolgáltatók együttműködésre kényszerítésére, különösen a külföldiek esetében. Ehhez az új törvény egyetlen olyan lehetőséget biztosít, ami eddig nem volt elérhető számukra. A felhasználói adatokat át nem adó szolgáltatókat a titkosszolgálatok bepanaszolhatják a Nemzeti Média- és Hírközlési Hatóságnál (NMHH). Az NMHH ezt követően tízmillió forintig terjedő összegű bírságot szabhat ki, ismételt jogsértés esetén többször is. A bírságoló határozatot a szolgáltatók bíróságon támadhatják meg.
További nehézséget jelenthet, hogy az együttműködés részletes szabályairól még az elvileg éppen ezt szabályozni hivatott kormányrendelet is csak felületesen és kérdéses jogi kötőerővel rendelkezik. A rendelet szerint a szolgáltatók kötelesek együttműködési megállapodást kötni a Nemzetbiztonsági Szakszolgálattal és más titkosszolgálatokkal, a felhasználói kommunikáció megfigyelésének részleteit ilyen titkos megállapodások tartalmaznák. Semmilyen szankcióval nem jár viszont, ha a szolgáltató nem hajlandó megkötni ezt a megállapodást a titkosszolgálatokkal. Aláírt megállapodás hiányában viszont valószínűleg eleve nem is követhet el a szolgáltató NMHH-bírsággal járó mulasztást. Az NMHH a szolgáltató felelősségét a törvény szerint egy titkosszolgálati jelentés alapján állapíthatja meg.
A könnyebb kapcsolattartás érdekében a szabályozás előírja a külföldi szolgáltatóknak egy magyarországi képviselő kinevezését is. A képviselőnek természetesen nemzetbiztonsági átvilágításon kellene megfelelnie. E kötelezettség elmulasztása azonban szintén nem szankcionálható.
Szintén erősen kérdésessé teszi az új szabályozás kikényszeríthetőségét, hogy az NMHH által kiszabott bírság a gyakorlatban igen kis eséllyel végrehajtható külföldi szolgáltatókkal szemben. Úgy tűnik tehát, hogy bár az új magyar szabályozás a világ összes online kommunikációs szolgáltatására vonatkozik, szankcionálni csak a Magyarországon működő szolgáltatókat lehet. Ha lehet egyáltalán bárkit szankcionálni az új szabályozás alapján.
A szolgáltatók Strasbourg szerint is jogsértő megfigyeléshez volnának kötelesek asszisztálni
A bírói jóváhagyás nélküli titkos adatszerzés eleve könnyebbé teszi a készletező adatgyűjtést. Az új szabályozás pedig éppen az ún. „külső engedélyhez kötött titkos információgyűjtés” lehetőségét terjeszti ki a digitális kommunikációra. Amelynek esetén a titkos információgyűjtést nem bíróság, hanem csak az Igazságügyi Minisztérium engedélyezi. Utóbbi eljárást 2013-ban kisebb részben az Alkotmánybíróság is alkotmányellenesnek találta. Idén június 7-én pedig a Szabó és Vissy v. Magyarország ügyben a magyar kormány fellebbezésének elutasításával véglegessé vált a strasbourgi Emberi Jogok Európai Bíróságának (EJEB) döntése, amely jogsértőnek találta a magyar titkosszolgálatok által végzett külső engedélyhez kötött titkos információgyűjtést.
Az EJEB jogkorlátozónak találta a bírói kontroll hiányát és megállapította, hogy a magyar titkosszolgálatok felhatalmazása túl széleskörű és alkalmas nagyobb számú állampolgár nem célhoz kötött megfigyelésére. A biztosítékok, jogorvoslati lehetőség és szükségességi teszt hiányát is jogsértőnek találta, és rámutatott, hogy a magyar titkosszolgálatok visszaélésére adhat lehetőséget, hogy nem egyértelműek a megfigyelés meghosszabbításának feltételei sem. Mindezek alapján az EJEB megállapította, hogy a magyarországi titkos információgyűjtés szabályozása sérti az Emberi Jogok Európai Egyezményének 8. cikkét.
További bizonytalanság, hogy a strasbourgi ítélet nyomán Magyarországnak törvényt kell módosítania, de az új szabályozás nyomán kiadott titkosszolgálati megkeresések jogilag addig is érvényességek. Másrészt viszont az együttműködési megállapodás megkötésére felkért szolgáltatóknak a Szabó és Vissy v. Magyarország ítélettel „papírjuk van róla”, hogy jogsértő megfigyelésben való együttműködésről kíván velük szerződést kötni a magyar titkosszolgálat. Nem tudjuk, hogy a titkosszolgálatok tényleg visszaéltek-e az EJEB által visszaélésre alkalmasnak talált széles jogköreikkel és vélhetően soha nem fogjuk megtudni, hogy az ügyet elindító jogvédőket valóban megfigyelték-e a titkosszolgálatok. De a strasbourgi ítélet biztosan növeli a szolgáltatók és a magyar titkosszolgálatok közötti jövőbeli együttműködést övező bizonytalanságot.
Magyarország tiltja a szolgáltatásfejlesztést?
A bírói engedélyezés hiánya tehát probléma, de van az új szabályozásnak még ennél is jogkorlátozóbb eleme. Már a törvényalkotási folyamatban is aggódó hangokat lehetett hallani az IT szektorból amiatt, hogy a metaadatok kötelező tárolása a gyakorlatban egyes szolgáltatókat a termékeik, szolgáltatásaik technikai megváltoztatására is kötelezhet. Hiszen az embereknek egyre fontosabb személyes adataik védelme. Ha pedig a felhasználók szívesebben vesznek olyan mobiltelefont, használnak olyan online kommunikációt, amelyhez még a gyártó, szolgáltató sem férhet hozzá, akkor a techcégek törekszenek az ilyen igény kielégítésére. Adott esetben úgy, hogy még a metaadatokhoz sem férnek hozzá.
A kormányrendelet pedig nemzetközi összehasonlításban is igen erőteljes korlátozást tartalmaz, amely igazolni látszik a korábbi iparági aggodalmakat. Kifejezett tilalom lett ugyanis, hogy a szolgáltató „nem végezhet olyan rendszer-, illetve szolgáltatásfejlesztést, valamint nem hajthat végre olyan szervezeti átalakítást, amely a titkos információgyűjtést kizárja vagy más módon ellehetetleníti”. Indokolás és joggyakorlat hiányában ez a rendelkezés jóval több kérdést vet fel, mint amennyit megválaszol:
- Ezentúl tilos lesz emelni egy online kommunikációs szolgáltatás biztonsági szintjét, ha a titkosszolgálatok ennek nem örülnek?
- A titkosszolgálatok jóváhagyása kell majd bizonyos szoftverfejlesztésekhez?
- Netán csak úgy lehet fejleszteni, ha a magyar titkosszolgálatok részére nyitva marad egy hátsó kapu? Milyen hátsó kapu kell ahhoz, hogy a titkos információgyűjtés ne lehetetlenüljön el?
- Ha egy szolgáltató most magyar szerveren tárolja a felhasználók adatait, azt esetleg nem telepítheti ezentúl külföldre?
- Jogi kötelezettség a drágább és rosszabb technológiai megoldást választani, ha azt a titkosszolgálatok jobban szeretik?
- Egy jelenleg a magyar leányvállalat által ellátott vállalati funkciót ezentúl tilos lesz a vállalatcsoporton belül máshova telepíteni? Hogyan viszonyul ez az EU-n belüli letelepedés szabadságához? A kiszervezéshez is titkosszolgálati hozzájárulásra lesz szükség?
- Online kommunikációs cégeknek tilos lesz olyan ügyvezetőt kinevezni, aki nem felel meg a nemzetbiztonsági átvilágításon? Vagy ezentúl a mérnöki pozíciók egy részénél is követelmény lehet valamilyen típusú nemzetbiztonsági átvilágítás?
A fenti kérdések aggasztóak, különösen mert egy hatályos magyar jogszabály kapcsán felmerülő kérdések. Ha a bizonyos szolgáltatásfejlesztést tiltó jogszabály a jogrendszerünk része marad, egyáltalán nem irreális, hogy a titkosszolgálatok következő javaslata az legyen, hogy a techcégek csak olyan eszközöket forgalmazzanak, amelyeknek a webkamerájába, mikrofonjába a szolgálatok belenézhetnek, belehallgathatnak. Egy ennyire jogkorlátozó szabályozás természetes ellenérzéseket kelt egy olyan országban, ahol a kommunista diktatúra ügynöki világában mindennapos volt a kiterjedt megfigyelés.
A fenti kérdések abszurdnak tűnhetnek, de egyrészt a hatályba lépett szabályozás alapján ezekre a kérdésekre jelenleg senki sem tud biztos választ adni. Másrészt a jogszabályi szövegből a legtöbb kérdésre az „igen” válasz tűnik logikusnak. A válaszokat majd leginkább a joggyakorlat, a próbaperek adhatják meg, ha a titkosszolgálatok elkezdenek „jelenteni” a szerintük együtt nem működő szolgáltatókról az NMHH-nak. A törvény és a bírói gyakorlat által a hatósági határozatok indokolásával szemben támasztott szigorú okszerűségi követelmények fényében az új szabályozás számos titkosszolgának, hatósági és céges jogásznak, ügyvédnek és bírónak okozhat majd fejtörést.
Következmények
Az online kommunikációs szolgáltatást nyújtó vállalatok között lesznek, amiknek meg kell vizsgálniuk, az új magyar szabályok miatt változtassanak-e a szolgáltatásuk jellemzőin. Az új szabályozás persze a felhasználási szokásokra is hatással lehet. Az internet hatalmas, mindennap jelennek meg új szolgáltatók, egyre biztonságosabb kommunikációs csatornákat kínálva. Így ha a magyar titkosszolgálatok „elérnek” egy-egy magyar vagy külföldi vállalatot, a szerintük elrejtőzni kívánó, de valójában sokkal inkább a személyes adataikat féltő felhasználók mindig pillanatok alatt találhatnak majd helyette másik szolgáltatót. Ezt megakadályozni a jogalkotónak, hatóságoknak még annyi esélyük sincsen, mint az illegális film- és zeneletöltés ellen.
Az internet nyújtotta lehetőségek óránként változnak, a szabályozó ezt soha nem képes követni, így akinek fontos, mindig biztonságban tudhatja adatait a kíváncsi titkosszolgálatok előtt. Persze feltehetően nem is a totális lehallgatás egyetlen kormány célja sem, hanem a titkosszolgálatok számára jelentőséggel bíró szolgáltatók és felhasználók minél nagyobb arányú elérése. Az új szabályozás mindenképpen azt vetíti előre, hogy a magyar átlagfelhasználók magánszférához, személyes adatokhoz való jogait a jövőben a titkosszolgálatok erősebben korlátozhatják majd.
Biztosan lesz szolgáltató, amelyik együttműködik a magyar titkosszolgálatokkal, és lesz olyan is, amelyik erre nem lesz hajlandó vagy a saját országa jogi korlátozásai miatt az együttműködésre lehetősége sem lesz. Kérdésesnek tűnik, hogy egy komoly szolgáltató aláír-e a magyar titkosszolgálatokkal együttműködési megállapodást úgy, hogy azzal minden bizonnyal önként vállalja a „rendszer-, illetve szolgáltatásfejlesztést” és „olyan szervezeti átalakítást” tiltó szabályokat is.
Feltéve persze, ha az adott nemzetállam kormánya nem kívánja észak-koreai típusú blokkolással fenyegetni a külföldi szolgáltatókat, vállalva ezzel a digitális gazdaság fejlődésének ellehetetlenítését, így a leszakadást. Az effektív szankció hiánya így egyfelől érthető. Úgy tűnhet azonban, az új szabályozás így részben felesleges. A titkosszolgálatoknak továbbra is önkéntes együttműködésre lesz szükségük a legtöbb szolgáltató oldaláról, aminek viszont az új szabályozás katalizátora lehet.
Az új törvény mindenképpen jogkorlátozó szándékú és hatású, pedig a digitális korban a titkos kommunikációhoz való hozzáférés egyre inkább elengedhetetlen előfeltétele a véleményszabadsághoz és az emberi méltósághoz való jogok érvényesülésének. Ezért a titkosított online kommunikáció szabályozásának pontosnak, átláthatónak kell lennie, és az a felhasználók, szolgáltatók jogait kizárólag törvényes cél érdekében, a feltétlenül szükséges mértékben és nem diszkriminatív jelleggel korlátozhatja. A most hatályba lépett magyar szabályozásról ez sajnos semmiképpen nem mondható el.
(A szerző IT joggal és az online szolgáltatások jogi problémáival foglalkozó ügyvéd.)
(Címlap és borítókép illusztráció: szarvas / Index)