Anotarea hotărârii Curții Europene de Drepturi Umane Rozsudek din 13 februarie 2024 în cauza nr. 33696/19 Podchasov împotriva Senatului Rusku Secția a treia Curtea a declarat în unanimitate că a fost încălcată dreptul reclamantului la respectarea vieții private și a corespondenței în temeiul articolului 8 din Convenție, atunci când legislația prevedea că anumite entități au o obligație largă de a furniza conținutul comunicațiilor online ale utilizatorilor serviciilor și datele în cauză autorităților la cerere, inclusiv eventuala decriptare, fără a conține informații adecvate și suficiente în ceea ce privește garanțiile împotriva abuzului, respectiv obligația de a decripta comunicațiile end-to-end a fost neadecvată.
Reclamantul și alți utilizatori ai aplicației au respins ordinele în fața instanțelor naționale. II. Motivele deciziei Curții au susținut încălcarea articolului 8 din Convenție Reclamantul a afirmat că dispozițiile care stabilesc obligația de a comunica prin internet și a utiliza date de comunicare relevante la cererea autorităților naționale, inclusiv eventualul de a furniza informații despre deciziunea de decizie a mesajelor, contravineau dreptului de a respecta dreptul la viață privată. 1. Cu toate acestea, existența aplicației poate fi deja o intervenție împotriva guvernului, care include utilizarea de date de viață privată, precum și utilizarea de date de viață privată în scopuri de contrafacere (exemplu în Hotărârea Curții din 30 martie 2008, § 3056 / S06 / S04 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06 / S06
În plus, Soudul a analizat dacă reclamantul a fost victima unei încălcări a drepturilor în temeiul articolului 8 din Convenție doar din cauza existenței unor reglementări care permit autorităților accesul la informații, dar nu a existat nicio dovadă că acest lucru s-a întâmplat. Deoarece nu putea fi sigur că persoanele care au acces la informațiile de pe Telegram au avut acces la aceste informații, Soudul a folosit aceleași criterii ca și în cazul supravegherii secrete (art. 375 din Convenție), iar în cazul în care nu a existat, a putut utiliza aceleași criterii ca și în cazul supravegherii secrete (art. 476 din Constituție, art. 477 din Constituție, art. 476 din România, art. 477 din Constituție, art. 479 din România, art. 477 din Constituție, art. 479 din România, art. 479 din Constituție, art. 479 din România, art. 477 din Constituție, art. 479 din România).
Din documentele disponibile, inclusiv declarațiile Telegram la nivel național, rezultă că nu este tehnic posibil să se furnizeze autorităților chei de criptare asociate unor utilizatori specifici. Nu ar fi fost utilizată tehnologie de criptare, care să nu fie limitată la persoane specifice, ci să fie utilizată de toți utilizatorii fără discriminare. Curtea a propus ca reclamantul să poată fi urmărit în acest sens. Potrivit protocolului de utilizare a internetului, reclamantul nu a solicitat datele care să permită transmiterea informațiilor către autoritățile care au acces la aceste conturi, inclusiv informațiile confidențiale.
Curtea a reexaminat situația nu numai din perspectiva păstrării datelor personale ale reclamantului, ci și a luat în considerare jurisprudența privind supravegherea secretă. A reamintit că legea trebuie să ofere garanții eficiente împotriva riscului de abuz și o încălcare a drepturilor trebuie să fie în conformitate cu art. 8 alineatul (2) din Convenție, să urmărească un scop legitim și să fie necesar într-o societate democratică (de asemenea, § 29193 și 395). A subliniat că păstrarea comunicațiilor și a datelor în cauză a avut un temei în legea relevantă. A subliniat, de asemenea, că tehnologia a crescut semnificativ volumul comunicațiilor prin internet, ceea ce a amenințat în mod semnificativ statele și cetățenii lor, inclusiv terorismul, traficul de droguri sau abuzul sexual de copii.
Legislația din acest caz a impus păstrarea continuă automată a conținutului tuturor comunicațiilor pe internet timp de șase luni și a datelor aferente timp de un an. Se aplica serviciilor de internet care servesc la transmiterea de comunicații vocale, textuale, vizuale, audio, vizuale sau alte comunicații electronice. Se referă la toți utilizatorii de comunicații pe internet, chiar dacă nu există suspiciuni întemeiate de participare la activități criminale sau activități care pun în pericol securitatea națională sau alt motiv pentru a considera că păstrarea ar putea contribui la lupta împotriva infracțiunilor grave sau la protejarea securității naționale. Prin urmare, se referă la conținutul tuturor comunicațiilor și datelor aferente, fără a se limita măsurile de urmărire teritorială sau temporală aplicabile sau a se vedea dacă este posibil, datele cu caracter personal pot fi păstrate.
În conformitate cu reglementările, autoritățile nu au obligația să prezinte furnizorului înregistrat în registrul judiciar o autorizație judiciară înainte de a obține acces la comunicațiile persoanei. Furnizorii au trebuit să instaleze deja după emiterea ordinului autorității un dispozitiv care să permită autorităților acces direct la datele stocate. Autoritățile au astfel obținut acces de la distanță la toate comunicațiile pe internet și datele în cauză. Solicitarea unei autorizații judiciare înainte de a obține acces la comunicațiile persoanei este în același timp o garanție importantă împotriva abuzurilor. Autoritățile garantează că în toate cazurile de supraveghere judiciară se obține o autorizație judiciară. Autoritățile au fost obligate să stabilească un regim judiciar care să permită autorităților să acceseze direct datele stocate.
În plus, guvernul a confirmat că accesul la comunicațiile pe internet și la datele aferente este reglementat de același regim juridic ca și transmiterea de comunicații telefonice mobile. Zde Soud a declarat anterior că reglementarea nu a îndeplinit cerința de "calitate a legii", atunci când nu a oferit garanții adecvate și eficiente împotriva riscurilor de abuz sau nu a permis menținerea intervențiilor la nivelul necesar într-o societate democratică. Totodată, circumstanțele în care autoritățile puteau utiliza măsuri de supraveghere secretă pentru detectarea, prevenirea și investigarea infracțiunilor sau protecția împotriva posibilelor abuzuri de securitate națională, militară, economică sau ecologică nu au fost îndeplinite în mod adecvat.
Soluțiile tehnice de securitate și protecție a vieții private, inclusiv criptarea, contribuie, de asemenea, la asigurarea exercitării altor drepturi, cum ar fi libertatea de comunicare. În plus, criptarea ajută persoanele să se protejeze împotriva abuzurilor de tehnologii informatice, cum ar fi amenințările de tip hackers, furtul de identitate, folosirea de instrumentele neconfidențiale și divulgarea de informații confidențiale. În general, autoritățile au trebuit să limiteze utilizarea protocoalelor de securitate în cazul în care persoanele nu au acces la toate informațiile personale, ceea ce înseamnă că autoritățile au avut nevoie de toate măsurile necesare pentru a le proteja.
În consecință, conform Curții, obligația operatorilor respectivi de a descifra comunicațiile de la capăt la capăt a afectat mecanismul de criptare pentru toți utilizatorii și nu a fost adecvată scopurilor legitime urmărite. iv) În contextul celor de mai sus, Curtea a considerat că normele obligatorii privind protecția tuturor utilizatorilor de internet, fără a include protecția protocolului de comunicații, nu au fost respectate.
Ohradil a luat o opinie parțial discordantă împotriva concluziei că nu a fost necesar să se examineze plângerea în raport cu art. 13 din Convenție și că constatarea încălcării Convenției reprezintă o despăgubire suficientă și justă pentru orice prejudiciu immaterial suferit de reclamant, considerând că reclamantului ar trebui să i se acorde despăgubiri monetare; în același timp, Soudul nu poate oferi reclamantului o protecție eficientă dacă nu tratează plângerea în raport cu art. 13 din Convenție.
Anotace rozhodnutí Evropského soudu pro lidská práva
Rozsudek ze dne 13. února 2024 ve věci č.
33696/19 –
Podchasov proti Rusku
Senát třetí sekce Soudu jednomyslně shledal porušení práva stěžovatele na respektování soukromého života a korespondence podle článku 8 Úmluvy, když právní úprava stanovila vybraným subjektům širokou povinnost uchovávat obsah internetové komunikace uživatelů služeb a související údaje a zpřístupnit je na vyžádání úřadům, včetně případného dešifrování, aniž by obsahovala přiměřené a dostatečné záruky proti zneužití, resp. povinnost dešifrovat „end-to-end“ komunikaci byla nepřiměřená.
I.
Skutkové okolnosti
Stěžovatel je uživatelem aplikace Telegram od stejnojmenné společnosti, jejímž prostřednictvím si osoby posílají zprávy. V roce 2017 úřady zařadily společnost do rejstříku subjektů šířících informace na internetu. Tím jí podle předpisů vznikla povinnost uchovávat obsah komunikace uživatelů po dobu šesti měsíců a související komunikační údaje po dobu jednoho roku a v určitých situacích vše předávat orgánům činným v trestním řízení nebo zpravodajským službám spolu s informacemi usnadňujícími dešifrování zpráv. Federální bezpečnostní služba vzápětí přikázala společnosti poskytnout jí informace k dešifrování komunikace několika uživatelů podezřelých z činností souvisejících s terorismem; mimo jiné i údaje týkající se šifrovacích klíčů, které jsou potřebné pro dešifrování komunikace. Společnost to odmítla. Daní uživatelé měli totiž v
aplikaci zapnutou funkci „tajného chatu“ a používali šifrování „end-to-end“; poskytnutí informací by oslabilo šifrovací mechanismus pro všechny uživatele. Za odmítnutí příkazu byla společnosti uložena pokuta. Stěžovatel a další uživatelé aplikace neúspěšně napadli příkaz před vnitrostátními soudy.
II.
Odůvodnění rozhodnutí Soudu
K
tvrzenému porušení článku 8 Úmluvy
Stěžovatel namítal, že předpisy stanovená povinnost uchovávat internetovou komunikaci a související komunikační údaje a zpřístupnit je na vyžádání úřadům, včetně případného poskytnutí informací k dešifrování zpráv, byla v rozporu s právem na respektování soukromého života a korespondence.
1.
K
existenci zásahu a jeho rozsahu
Soud připomněl, že již uchovávání údajů ze soukromého života osoby je zásahem ve smyslu článku 8 Úmluvy. Jejich následné použití nemá na tento závěr vliv. Nicméně při určení, zda informace uchovávané úřady zahrnují některý z aspektů soukromého života, Soud přihlíží ke kontextu, v němž byly informace zaznamenány a uchovávány, povaze záznamů, způsobu, jakým jsou používány a
zpracovávány, a
výsledkům, které mohou být získány (
, č.
30562/04 a
30566/04, rozsudek velkého senátu ze dne 4.
prosince 2008, § 67).
Podle Soudu uchovávání obsahu komunikace a souvisejících údajů Telegramem zasáhlo do práva stěžovatele na respektování soukromého života a korespondence (
Ekimdzhiev a další proti Bulharsku
, č. 70078/12, rozsudek ze dne 11. ledna 2022, § 372–373). Není relevantní, zda úřady měly či neměly ke komunikaci a údajům přístup; uchovávání, byť provázené soukromým subjektem, vyžadoval zákon, zásah tedy byl přičitatelný státu. Dále Soud posuzoval, zda je stěžovatel obětí zásahu do práv podle článku 8 Úmluvy jen kvůli existenci předpisů, které úřadům umožňují přístup k informacím, byť neexistoval důkaz, že k tomu u něj došlo. Protože osoby nemohou s jistotou vědět, zda k jejich datům v Telegramu měly úřady přístup, Soud využil stejná kritéria jako u utajeného sledování osob (tamtéž, §
375–376). V tomto ohledu dříve shledal, že kvůli tajné povaze sledování, širokým možnostem využití, dopadajícím na všechny uživatele komunikačních sítí, a neexistenci účinných prostředků nápravy může již samotná právní úprava zasahovat do soukromého života osoby (
Roman Zakharov proti Rusku
, č.
47143/06, rozsudek velkého senátu ze dne 4. prosince 2015, § 170–79). U stěžovatele se přístup k uchovávané komunikaci a souvisejícím údajům řídil stejným právním režimem. Už samotná existence právní úpravy proto představovala zásah do výkonu práv stěžovatele podle článku 8 Úmluvy (srov.
Ekimdzhiev a další proti Bulharsku
, cit. výše, § 383–84). Stran povinnosti Telegramu dešifrovat komunikaci se Soud zaměřil jen na komunikaci prostřednictvím tajných chatů za využití šifrování „end-to-end“. Z dostupných podkladů, včetně vyjádření Telegramu na vnitrostátní úrovni, přitom vyplynulo, že není technicky možné poskytnout úřadům šifrovací klíče spojené s konkrétními uživateli aplikace. Musela by se oslabit šifrovací technologie, což nelze omezit na konkrétní osoby, ale postihlo by to všechny uživatele bez rozdílu. Soud měl tedy za to, že stěžovatel mohl být i tomto ohledu dotčen.
Podle Soudu proto povinnost Telegramu nepřetržitě uchovávat internetovou komunikaci stěžovatele a související údaje a umožnit na vyžádání úřadům přístup k těmto informacím, včetně usnadnění dešifrování, představovala zásah do práv stěžovatele podle článku 8 Úmluvy. Jelikož byly informace uchovávány za účelem umožnit úřadům provádět cílený utajený dohled nad internetovou komunikací, Soud zdůraznil, že uchovávání informací a tajné sledování byly v dané věci úzce propojeny.
2.
K
oprávněnosti zásahu
Soud opět posuzoval situaci nejen optikou uchovávání osobních údajů stěžovatele, ale zohlednil i judikaturu k tajnému sledování. Připomněl, že zákon musí poskytovat účinné záruky proti riziku zneužití a zásah do práv musí být podle čl. 8 odst. 2 Úmluvy v souladu se zákonem, sledovat legitimní cíl a být nezbytný v demokratické společnosti (tamtéž, § 291–93 a 395). Shledal, že uchovávání komunikace a souvisejících údajů mělo základ v příslušném zákoně. Zdůraznil také, že technologie značně zvýšily objem komunikace přes internet, čímž narostly i hrozby pro státy a jejich občany, včetně terorismu, obchodu s drogami či s lidmi a sexuálního vykořisťování dětí. Původci mnohých z nich jsou mezinárodní sítě aktérů s přístupem k sofistikovaným technologiím umožňujícím jim nepozorovaně komunikovat. Právní úprava tak sledovala i legitimní cíle ochrany národní bezpečnosti, předcházení nepokojům a trestné činnosti a ochrany práv a svobod druhých. Zbývalo proto posoudit, zda vnitrostátní právo obsahovalo i přiměřené a účinné záruky, aby splňovalo požadavky na kvalitu zákona a
nezbytnosti.
i) K uchovávání internetové komunikace a souvisejících komunikačních údajů
V dané věci právní úprava vyžadovala nepřetržité automatické uchovávání obsahu veškeré internetové komunikace po dobu šesti měsíců a souvisejících údajů po dobu jednoho roku. Dopadala na internetové služby sloužící k přenosu hlasové, textové, vizuální, zvukové, obrazové nebo jiné elektronické komunikace. Týkala se všech uživatelů internetové komunikace, byť u nich neexistovalo důvodné podezření z účasti na trestné činnosti nebo činnosti ohrožující národní bezpečnost, ani jiný důvod se domnívat, že uchovávání může přispět k boji proti závažné trestné činnosti nebo k ochraně národní bezpečnosti. Vztahovala se tedy na obsah veškeré komunikace a související údaje bez vymezení rozsahu opatření co do územní nebo časové působnosti nebo kategorií osob, u nichž mohou být osobní údaje uchovávány. Zásah tak zde byl mimořádně rozsáhlý a závažný (srov. tamtéž, § 394). Tím spíše musí předpisy poskytovat přiměřené a dostatečné záruky proti zneužití v souvislosti s možným přístupem úřadů.
ii) K možnému přístupu úřadů k uchovávaným informacím pro účely cíleného utajeného sledování
Soud zdůraznil, že umožnění přístupu v konkrétních případech musí doprovázet stejné záruky jako u tajného sledování osob (tamtéž, § 395). Podle předpisů ale úřady neměly povinnost předložit poskytovateli zapsanému v rejstříku soudní povolení před získáním přístupu ke komunikaci osoby. Poskytovatelé museli již po vydání příkazu úřady instalovat zařízení umožňující úřadům přímý přístup k uloženým datům. Úřady tak získaly vzdálený přístup ke všem internetovým komunikacím a souvisejícím údajům. Požadavek předložit soudní povolení ještě před získáním přístupu ke komunikaci osoby je přitom pro Soud důležitou zárukou proti zneužití. Zajišťuje, že ve všech případech utajeného sledování je získáno řádné povolení. Zde to ale právní režim umožňoval úřadům obcházet. Měly tak přímý přístup k internetové komunikaci každého občana a souvisejícím údajům bez předložení soudního povolení. Systém zde tedy byl obzvláště náchylný ke zneužití. Potřeba záruk proti svévoli a zneužití byla proto mimořádně velká (
Roman Zakharov proti Rusku
, cit. výše, § 269–70).
Nadto vláda potvrdila, že se přístup k internetové komunikaci a souvisejícím údajům řídil stejným právním režimem jako odposlechy mobilní telefonní komunikace. Zde Soud už dříve shledal, že právní úprava nesplňovala požadavek na „kvalitu zákona“, když neposkytovala přiměřené a účinné záruky proti svévoli a riziku zneužití, resp. neumožňovala udržet zásahy na úrovni nezbytné v demokratické společnosti. Zároveň okolnosti, za kterých úřady mohly použít opatření utajeného sledování za účelem odhalování, prevence a vyšetřování trestných činů nebo ochrany národní, vojenské, hospodářské nebo ekologické bezpečnosti, nebyly vymezeny dostatečně jasně. Ve výsledku tak povolovací režimy nemohly zajistit přijetí opatření pouze, je-li to v demokratické společnosti nezbytné. Dohled nesplňoval požadavky na nezávislost a na pravomoci, které by byly dostatečné pro provádění účinné a průběžné kontroly, veřejné kontroly a účinnosti v praxi. Možnost domáhat se účinně nápravy byla dále oslabena tím, že utajený dohled nebyl osobě nikdy oznámen, ani nebyl zajištěn odpovídající přístup k dokumentům týkajícím se dohledu (tamtéž, § 243-305).
Soud proto konstatoval, že vnitrostátní právo neposkytovalo přiměřené a dostatečné záruky proti zneužití stran umožnění přístupu úřadů k internetové komunikaci a souvisejícím údajům osob.
iii) K požadavku na dešifrování komunikace
Dále se Soud zabýval povinností Telegramu poskytnout úřadům informace nezbytné k dešifrování komunikace. Z odborných podkladů vyplynulo, že šifrování poskytuje silné technické záruky proti neoprávněnému přístupu k obsahu komunikace. Proto je široce využíváno jako prostředek ochrany práva na respektování soukromého života a korespondence online. Technická řešení pro zabezpečení a ochranu soukromí komunikace, včetně šifrování, také přispívají k zajištění výkonu dalších práv, jako je svoboda projevu. Nadto šifrování pomáhá osobám bránit se proti zneužívání informačních technologií, jako jsou hackerské útoky, krádeže identity a osobních údajů, podvody a neoprávněné zveřejňování důvěrných informací. Uvedené proto musel Soud zohlednit při posuzování opatření oslabující šifrování.
Soud měl za to, že umožnění dešifrování komunikace chráněné šifrováním „end-to-end“, jako je komunikace prostřednictvím „tajných chatů“ Telegramu, by znamenalo oslabení šifrování pro všechny uživatele. Toto opatření údajně nelze omezit na konkrétní osoby, a postihlo by tedy všechny bez rozdílu, včetně osob, které nepředstavují hrozbu. Oslabení by také zřejmě umožnilo provádět běžný, všeobecný a neselektovaný dohled nad osobní elektronickou komunikací. Využít by toho mohly i zločinecké sítě a vážně ohrozit bezpečnost elektronické komunikace všech uživatelů. Soud neopomněl, že šifrování mohou používat i zločinci, což může komplikovat vyšetřování trestných činů (
Yüksel Yalçınkaya proti Turecku
, č. 15669/20, rozsudek velkého senátu ze dne 26. září 2023, § 312). Na druhou stranu podle Europolu, Agentury EU pro kybernetickou bezpečnost a Úřadu vysokého komisaře OSN pro lidská práva existují alternativní řešení dešifrování bez oslabení ochranných mechanismů, a to jak prostředky práva, tak i prostřednictvím neustálého technického vývoje.
Podle Soudu tedy povinnost dotčených provozovatelů dešifrovat „end-to-end“ komunikaci vedla k oslabení šifrovacího mechanismu pro všechny uživatele, a nebyla proto přiměřená sledovaným legitimním cílům.
iv) Závěr
Vzhledem k výše uvedenému Soud konstatoval, že předpisy uloženou povinnost uchovávat veškerou internetovou komunikaci všech uživatelů, přímý přístup úřadů k uchovávaným datům bez odpovídajících záruk proti zneužití a požadavek na dešifrování „end-to-end“ komunikace, nelze považovat za nezbytné v demokratické společnosti. V rozsahu, v němž právní úprava umožňuje úřadům všeobecný přístup k obsahu elektronických komunikací bez dostatečných záruk, narušuje samotnou podstatu práva na respektování soukromého života. Stát zde překročil jakýkoli přijatelný prostor pro uvážení.
Soud proto rozhodl, že došlo k
porušení článku 8 Úmluvy.
III.
Oddělené stanovisko
Soudce Serghides se v
částečně nesouhlasném stanovisku ohradil proti závěru, že nebylo nutné zkoumat stížnost ve vztahu k článku 13 Úmluvy a že konstatování porušení Úmluvy představuje dostatečné spravedlivé zadostiučinění za případnou nemajetkovou újmu utrpěnou stěžovatelem. Měl za to, že stěžovateli měla být přiznána peněžitá náhrada; zároveň Soud nemůže stěžovateli poskytnout účinnou ochranu, pokud se stížností nezabýval z hlediska článku 13 Úmluvy.