ÎNAPOI LA REZULTATE CtEDO

Sursă originală

CtEDO 19.11.2018 Auto

PRIVACY INTERNATIONAL AND OTHERS v. THE UNITED KINGDOM

RESPONDENT

GBR

HOTĂRÂRE

19.11.2018

Pe scurt

Instanță: CtEDO
Concluzie: Communicated

RĂSFOIEȘTE: CtEDO · 2018
DESCARCĂ: PDF · DOCX 🔒 Pro

Citează această cauză

PRIVACY INTERNATIONAL AND OTHERS v. THE UNITED KINGDOM (CtEDO, 2018)

HUDOC · oficial

Comunicat la 19 noiembrie 2018 PRIMEA SECȚIUNE Cerere nr. 46259/16 Privacy International and All contra Regatul Unit (a se vedea lista anexată) DECLARAREA FACTELOR O listă a reclamanților este prezentată în apendice. Faptele cazului pot fi rezumate după cum urmează. Primul reclamant, Privacy International, este o ONG înregistrată la Londra. Al doilea reclamant, GreenNet Limited, este un furnizor de servicii de internet înregistrat la Londra. Al treilea reclamant, Chaos Computer Club E.V., este o asociație de „hacktivista” înregistrată în Germania. A patra și a cincea solicitanți, Media Jumpstart Inc. și Riseup Networks Inc., sunt companii înregistrate în Statele Unite care furnizează, respectiv, servicii de internet și comunicații. A șasea solicitantă, Coreea Progressive Network Jinbonet, este un furnizor de servicii de internet înregistrat în Coreea de Sud. Reclamanții consideră că echipamentele lor au fost supuse interferenței cunoscute sub numele de exploatarea rețelei informatice sau de interferencia de echipamente, pentru a spune coloquial „hacked”, pe o perioadă nedefinită de Sediul Guvernului de Comunicații al Regatului Unit (“GCHQ”) și/sau Serviciul Secret de Informații (“SIS”). Acestea consideră că GCHQ și/sau SIS au obținut autorizații pentru a efectua această interferență cu echipamente în temeiul articolului 7 din Legea privind serviciile de informații din 1994 („ISA”). Secțiunea 7 permite secretarului de stat să autorizeze o persoană să întreprindă (și să le scutească de răspundere pentru) un act în afara Insulelor Britanie în ceea ce privește care ar fi responsabil dacă s-ar face în Regatul Unit (a se vedea punctul 21 de mai jos). În parte iv din raportul său anual pentru 2015, comisarul Serviciilor de Informații a descris Interferența de echipamente: „... Echipament Interference (EI) este orice interferență, la distanță sau altfel, cu calculatoare, servere, router, laptops, telefoane mobile și alte dispozitive pentru a obține informații de la echipament. Informațiile obținute pot include conținutul și datele de comunicare, precum și informațiile privind echipamentul pentru a permite unui serviciu de informații să examineze sau să modifice echipamentul sau să efectueze supravegherea. ...” Privacy International consideră că convingerea că a fost supusă interferinței echipamentelor este rezonabilă deoarece este o organizație care campanie împotriva supravegherii ilegale a statului. Ceilalți solicitanți consideră că convingerile lor sunt rezonabile pentru că au acces la comunicațiile multor persoane, sau pentru că angajații lor au acces la codul sursă sau la un alt software de interes pentru Guvernul Regatului Unit. Tribunalul Powers Investigatory Reclamanții s-au plâns Tribunalului puterilor investigatorii („IPT”) că au fost supuși unei interferințe privind echipamentele și că acest lucru a fost încălcat legislația internă și în încălcarea articolelor 8 și 10 din Convenție. În aceste proceduri s-au plâns că erau supuși unei interferințe privind echipamente atât în interior, cât și în afara Regatului Unit. IPT a organizat o audiere care a durat trei zile în timpul cărora a auzit argumente de la reprezentanții legali ai părților și a preluat dovezi de la martorii experți. A rendu hotărârea sa la 12 februarie 2016. La începutul deciziei sale, IPT a explicat abordarea sa bine stabilită: „2... face ipoteze cu privire la faptele semnificative în favoarea reclamanților și ajunge la concluzii pe această bază, și numai o dată în care se încheie dacă, în cazul în care faptele presupuse au fost stabilite, comportamentul acestuia ar fi ilegal, pentru a lua în considerare poziția ulterior în sesiunea închisă. Această procedură a permis Tribunalului în ceea ce este acum o serie de ocazii, să țină deschisă interpartes audieri, fără posibile daune la securitatea națională, în timp ce se păstrează, dacă este cazul, poziția corectă a contestanților, nici confirmată, nici negată.” Procedura a continuat pe baza unei presupuneri în favoarea reclamanților și nu s-a desfășurat într-o sesiune închisă în orice moment. Cu toate acestea, în cursul procedurii, guvernul a acceptat (sau avocat) utilizarea interferinței echipamentelor și a publicat, de asemenea, Codul de practică al interferinței echipamentelor (a se vedea punctul 22 de mai jos). Examinarea în primul rând a regimului juridic intern, IPT a concluzionat că actele de interferență a echipamentelor care ar fi ilegale în temeiul Legii privind miziunea informatică din 1990 („CMA”), au fost legalizate în cazul în care un mandat sau autorizația de efectuare a interferenței a echipamentelor au fost obținute în temeiul secțiunilor 5 sau 7 din ISA, respectiv. Având în vedere legislația internă, IPT s-a întors în mod expres la argumentele din Convenția și a stabilit concluziile sale privind autorizațiile secțiunea 7 (în ceea ce privește actele efectuate în afara Insulelor Britanie) la alineatele 53 și 63 din decizia sa. 10. Acesta a luat în considerare în primul rând problema competenței și dacă interferencia de echipamente întreprinsă în afara Regatului Unit va intra în domeniul de aplicare al Convenției. 11. IPT a remarcat că nu există posibilitatea de a emite un cod de practică pentru secțiunea 7, dar că Codul de practică între echipamente a indicat în sine: „49... SIS și GCHQ ar trebui să aplice în mod de politică dispozițiile codului în orice caz în cazul în care interferența cu echipamente este autorizată sau a fost autorizată în temeiul articolului 7 din Actul de 1994 în ceea ce privește echipamentele situate în afara Insulelor Britanie.” Cu toate acestea, IPT a observat că codul includea o nota de subsol care a afirmat că „să nu aducă atingere argumentelor privind aplicabilitatea CEDO”. IPT a continuat să reamintească că art. 7 a autorizat acte ilegale „în afara Insulelor Britanie”. Acesta a contrast acest lucru cu obligația statelor membre de a asigura tuturor „în jurisdicția lor” drepturile și libertățile prevăzute în Convenție. Cu privire la jurisprudența Curții, acesta a observat că jurisdicția în temeiul Convenției este în consecință teritorială și este numai în circumstanțe excepționale care iese jurisdicția extraterritorială. Prin urmare, IPT a remarcat acordul părților că, în circumstanțe obișnuite, nu va exista competență și, în cazurile în care cineva care face obiectul unei autorizații se află în străinătate, a fost dificil să argumenteze că o astfel de persoană se află în domeniul teritorial al Convenției și că ar exista un număr foarte limitat de circumstanțe în care urma să existe o încălcare a Convenției. Părțile au convenit, de asemenea, că ar putea fi în unele circumstanțe că un reclamant individual ar putea solicita o încălcare a drepturilor lor de la art. 8 sau 10 ca urmare a unei autorizații de la secțiunea 7, dar acest lucru nu a însemnat că regimul secțiunea 7 în ansamblu nu era conforme cu articolele respective. „53 ... ne rezervăm pentru o examinare viitoare în cazul în care și atunci când apar fapte specifice și poziția competenței de a contesta un mandat s.7 poate fi și a fost deplin argumentat, dacă un reclamant individual poate fi în măsură să monteze o cerere ... avem o bază de fapt insuficientă pentru a ajunge la orice concluzie utilă.” 14. IPT s-a întors apoi să examineze plângerea cu privire la „Bulk CNE [Interferencia de Echipament]”. În ceea ce privește regimul secțiunea 7 încheiat cu privire la ceea ce a fost atunci legislația viitoare (a se vedea punctul 24 mai jos): 62. Ambele aspecte ale plângerilor dlui Jaffey [reclamantului reprezentant] par să fi fost luate în cadrul proiectului de lege privind IP. În titlul „Powers BULK” „în Ghidul însoțitor se menționează, la punctul 42, că atunci când conținutul datelor unei persoane din Marea Britanie, achiziționat în cadrul interceptării în vrac și a puterilor de interferență în echipamentele în vrac, va trebui să fie examinat un mandat de interceptare sau de interferență în echipamente vizate. În ceea ce privește problema prezenței în Insulele Britanice, este prevăzut în mod specific în proiectul de clauză 147, în capitolul care se referă la " Mandate de interferență privind echipamentele masive ", și anume prin clauza 147 alineatul (4), că trebuie să existe o salvgardare similară cu cea din punctul 16 din RIPA în ceea ce privește selecția materialului de examinare care se referă la o persoană cunoscută ca fiind în Insulele Britanie la momentul respectiv. 63. Se pare clar că aceste critici sunt probabil în primul rând legate de Bulk CNE realizate, dacă este realizată, în conformitate cu o autorizație s.7 (de exemplu punctul 7.4 din Codul E I). Exemplul dlui Jaffey a fost de hackingul unui mare furnizor de servicii de internet într-o țară străină și de deviarea tuturor datelor către GCHQ, în loc de a intercepta acest material " peste o țeavă " care ar putea fi criptată, astfel încât să facă accesul prin intercepție în vrac obișnuită dificil, dacă nu imposibil. La fel ca în cazul emiterii 5 [secțiunea Convenției], dl Jaffey a acceptat în mod specific (ziua 2/46) că, în cazul în care Bulk CNE a avut loc, și în cazul în care, înainte de modificările menționate mai sus, ar fi trebuit să existe măsuri de protecție insuficiente, care nu fac ca întregul sistem CNE să fie ilegal. Ca în cazul ediției 5, ne rezervăm pentru a fi luate în considerare, la fapte specifice și atunci când se examinează chestiunile de competență, dacă un reclamant individual ar putea fi în măsură să întocmească o cerere.” 15. IPT a examinat apoi întrebarea dacă regimul secțiunea 5 (în ceea ce privește actele efectuate în principal în Marea Britanie) este conforme cu art. 8 din Convenție înainte și după publicarea Codului de Interferință a echipamentelor în februarie 2015, în cursul (și aparent ca urmare a) procedurii. Înainte de a face acest lucru, el a subliniat că, având în vedere concluziile sale privind competența în temeiul articolului 7 (a se vedea punctele 12-13 de mai sus), nu era necesar ca acesta să examineze secțiunea 7, dar că, în orice caz, răspunsul privind competența în ceea ce privește secțiunea 5 ar fi la fel ca în cazul secțiunea 7, adică, în mod normal, nu ar exista competență (a se vedea punctul 12). După examinarea îndeaproape a jurisprudenței acestei Curte a concluzionat că aceasta era conformă cu Convenția, atât înainte, cât și după publicarea Codului. Numărul 1 [S.10 din CMA]: Un act (CNE) care ar fi o infracțiune în temeiul art.3 din CMA este legalizat de un mandat de s.5 sau de autorizare s.7 și modificarea s.10 CMA a fost pur și simplu confirmatoare de acest fapt. (ii) Ediția 2 [Jurisdicția territorială în ceea ce privește ss.5/7] : Un act în străinătate în conformitate cu ss.5 sau 7 din ISA care ar fi altfel o infracțiune în temeiul ss.1 și/sau 3 din RMC nu ar fi ilegal. ... (v) Numărul 5 [Scopia Convenției]: S-ar putea să existe circumstanțe în care un reclamant individual ar putea să poată solicita o încălcare a drepturilor articolului 8/10 ca urmare a unei autorizații s.7, dar acest lucru nu duce la o concluzie că regimul s.7 nu este în conformitate cu articolele 8 sau 10. ... vii) Ediția 7 [Bulk CNE]: Dacă informațiile au fost obținute în vrac prin utilizarea CNE, ar putea exista circumstanțe în care un reclamant individual ar putea fi în măsură să depună o cerere, dar în principiu CNE este legal. (viii) Ediția 8 [S.5 după februarie 2015 ( Weber ... 4) până la (6)]: Regimul s.5 din februarie 2015 este în conformitate cu articolele 8/10. (ix) Ediția 9 [S.5 înainte de februarie 2015] : Regimul s.5 înainte de februarie 2015 a fost conforme cu articolele 8/10. ... 90. Utilizarea CNE [Echipment Interference] de către GCHQ, acum avocat, a ridicat în mod evident o serie de întrebări serioase, pe care le-am făcut tot posibilul pentru a rezolva în prezenta hotărâre. În mod clar, aceasta subliniază din nou cerința de a obține un echilibru între nevoia urgentă a agențiilor de informații de a proteja publicul și protecția vieții private și/sau a libertății de exprimare a unei persoane. Suntem mulțumiți că, cu noul Cod de Interferință a Echipei și orice rezultat al examinării parlamentare a proiectului de lege a IP, se stabilește un echilibru adecvat în ceea ce privește chestiunile pe care ni le-a fost cerut să le analizăm.” 17. La 9 martie 2016 IPT a trimis reclamanților o „să nu determine scrisoarea” care a citit după cum urmează: „Tribunul Puterii Investigatoare a luat în considerare cu atenție plângerile clienților și pretinde Actul privind drepturile omului, având în vedere toate dovezile relevante și în conformitate cu procedurile sale normale.Tribunul mi-a cerut să vă informez că nu s-a făcut nici o decizie în favoarea voastră, fie în favoarea plângerilor dvs., ... Pentru evitarea îndoielilor, Tribunalul nu a fost obligat să ia în considerare, și nu a luat în considerare, chestiunile rămase deschise la punctele 53 și 63 din hotărârea privind confidențialitatea/Greennet.” Secțiunile 1 și 3 din lege fac acces ilegal neautorizat la materiale informatice și acte neautorizate cu intenție de a afecta, sau cu nesăbușire în ceea ce privește afectarea, funcționarea computerelor etc. Potrivit IPT, un act al CNE ar constitui o infracțiune în temeiul articolului 1 și 3 din lege. 19. Secțiunea 10 din legea a fost modificată la 3 mai 2015 pentru a prevede în mod expres că o persoană care acționează în temeiul unui mandat sau a unei autorizații acordate în temeiul articolelor 5 sau 7 respectiv al Legii privind serviciile de informații din 1994 (a se vedea mai jos) nu comite o infracțiune. „Nici o intrare sau interferență cu proprietatea sau cu telegrafia fără fir nu este ilegală dacă este autorizată de un mandat eliberat de secretarul de stat în temeiul prezentei secțiuni.” Secțiunea 7 alineatul (1) din ISA citește după cum urmează: Autorizarea actelor din afara Insulelor Britanie. „Dacă, în afară de această secțiune, o persoană ar fi responsabilă în Regatul Unit pentru orice act efectuat în afara Insulelor Britanie, el nu va fi atât de responsabil dacă actul este unul autorizat să fie realizat în temeiul unei autorizații acordate de secretarul de stat în temeiul prezentei secțiuni.” Codul a fost publicat la 6 februarie 2015. În urma unei perioade de consultare, a fost pus în vigoare la 14 ianuarie 2016. În introducerea Codul prevede: „1.1 Acest cod de practică oferă orientări privind utilizarea de către Servicii de Inteligență a secțiunii 5 din Legea privind serviciile de informații din 1994 pentru a autoriza interferența cu echipamentele la care se aplică codul. Acesta oferă orientări cu privire la procedurile care ar trebui urmate înainte ca interferența echipamentului să poată avea loc în temeiul acestei dispoziții, precum și cu privire la prelucrarea, reținerea, distrugerea și divulgarea oricărei informații obținute prin intermediul acestei interferențe. ... 1.4 Secretarul de stat nu are competența de a emite coduri de practică în ceea ce privește competențele și obligațiile din secțiunea 7 din ISA. Cu toate acestea, [Serviciile Secrete de Inteligență] SIS și GCHQ ar trebui să respecte dispozițiile prezentului cod în orice caz în cazul în care interferența cu echipamente este de a fi sau a fost autorizată în conformitate cu secțiunea 7 din ISA în ceea ce privește echipamentele situate în afara Insulelor Britanie. ... 7.4 În cazul în care un membru al SIS sau al GCHQ dorește să interfereze cu echipamentele situate în străinătate, dar se știe că subiectul operațiunii este în Insulele Britanie, ar trebui să se ia în considerare dacă un mandat de intercepție secțiunea 8 alineatul (1) sau o secțiune 16(3) Certificarea (în legătură cu unul sau mai multe mandate existente de la art. 8 alineatul (4)) în temeiul Actului 2000 ar trebui obținută înainte de începerea operațiunii autorizate în temeiul articolului 7. În cazul în care orice echipament situat în străinătate este adus în Insulele Britanice în timpul monedei autorizației secțiunea 7, și actul este unul care este capabil de a fi autorizat de un mandat de la secțiunea 5, interferența este acoperită de o „perioada de grață” de 5 zile lucrătoare (a se vedea secțiunea 7(10) la 7(14). Această perioadă ar trebui utilizată fie pentru obținerea unui mandat în temeiul sectiunii 5 fie pentru a înceta interferența (cu excepția cazului în care echipamentul este eliminat din Insulele Britanie înainte de sfârșitul perioadei). ...” 23. Prin nota de subsol, Codul explică că abordarea descrisă în punctul 1.4 mai sus este: „fără a aduce atingere argumentelor privind aplicabilitatea CEDO.” Codul descrie interferența echipamentelor după cum urmează: „1.6 ... orice interferență (în mod remoto sau altfel) de către serviciile de informații sau persoanele care acționează în numele lor sau în sprijinul acestora, cu echipamente care produc emisii electromagnetice, acustice și alte, și (ii) informații derivate din orice astfel de interferență, care urmează să fie autorizate în temeiul articolului 5 din Legea [ISA] din 1994, pentru a face oricare dintre următoarele: (a) Obținerea de informații de la echipamentele care urmăresc cerințele de informații; (b) obținerea de informații cu privire la proprietatea, natura și utilizarea echipamentelor care urmăresc cerințele de informații; (c) localizarea și examinarea, eliminarea, modificarea sau înlocuirea hardware-ului sau software-ului de echipament care este capabil să furnizeze informații cu privire la tipul descris în a) și b); (d) să permită și să faciliteze activitatea de supraveghere prin intermediul echipamentelor.” Legea privind puterile investigatoare 2016 IPA a devenit legea la 29 octombrie 2016. Unele părți din Act sunt deja în vigoare, se pare că altele, inclusiv partea 5 (a se vedea mai jos), vor fi puse în vigoare prin reglementări. Pentru o prezentare detaliată a IPA vezi Big Brother Watch și alții c. Regatul Unit, (nus. 58170/13, 62322/14 și 24960/15 , §§ 196-202, CEHR, 13 septembrie 2018). 25. Partea 5 a APP se referă la interferența echipamentelor vizate. Acesta stabilește dispoziții pentru eliberarea mandatelor vizate, inclusiv cerința că acestea sunt aprobate de un comisar judiciar înainte de a fi acordate de secretarul de stat. Actul va solicita că mandatele de intercepție în vrac și de interferență cu echipamentele în vrac pot fi emise numai în cazul în care scopul principal al intercepției este de a obține informații referitoare la persoanele din afara Regatului Unit, chiar și în cazul în care comportamentul se întâmplă în Regatul Unit. În mod asemănător, interferența cu intimitatea persoanelor din Regatul Unit va fi permisă numai în măsura în care este necesară în acest scop. Va introduce, de asemenea, un „dublu-bloc” pentru cele mai intruzive competențe de supraveghere, ceea ce înseamnă că un mandat emis de Secretarul de stat va solicita, de asemenea, aprobarea unuia dintre comisarii judiciari desemnați. De asemenea, vor exista noi protecții pentru materialul jurnalistic și privilegiat din punct de vedere juridic, inclusiv o cerință de autorizare judiciară pentru achiziționarea de date de comunicare care identifică surse jurnaliștilor; sancțiunile dure pentru abuzul de competențe, inclusiv crearea unor noi infracțiuni penale; și un drept de recurs din partea IPT cu privire la un punct de drept, la Curtea de Apel din Anglia și Wales sau la Curtea de Sesiune (Scotland). La 13 februarie 2017 a intrat în vigoare partea 8 a IPA care prevede numirea comisarului pentru competențe investigatorii și a altor comisari judiciari. La 17 mai 2018, comisarul a anunțat că comisarii judiciari au fost desemnați, personalul de asistență tehnică recrutat și că organizația este pregătită să înceapă noul regim de garanție. De asemenea, comisarul a anunțat că birourile sale desemnează un nou regim unificat de inspecție care se va baza pe practicile dezvoltate în temeiul celor trei predecesori: Intercepția comisarului pentru comunicații, Comisarul Serviciilor de Inteligență și Comisarul Principal pentru Supraveghere. Comisarul Serviciilor de Inteligență 27. Oficiul Comisarului Serviciilor de Informații a fost creat în temeiul statutului. Rolul principal al comisarului a fost să se asigure că agențiile de informații ale Regatului Unit și părțile Ministerului Apărării utilizează în mod legal și corespunzător competențele intrusive care le sunt disponibile. Supravegherea comisarului a fost efectuată în parte prin verificarea mandatelor și autorizațiilor emise de secretarii de stat și autorizațiile interne care permit agențiilor de informații să își desfășoare funcțiile, verificând faptul că s-a luat în considerare necesitatea, proporționalitatea și rezonabilitatea. 28. Oficiul Comisarului Serviciilor de Informații a fost înlocuit la 1 septembrie 2017 de Oficiul Comisarului Powers Investigatory, un organism creat în cadrul IPA (a secțiunea 4 de mai sus). În partea v. din Raportul său anual pentru 2014, comisarul Serviciilor de Informații a explicat utilizarea autorizațiilor secțiunea 7, după cum urmează: „În conformitate cu secțiunea 7 din ISA, secretarul de stat (normal secretarul de externe) poate autoriza activitatea în afara Regatului Unit necesară pentru agențiile să desfășoare în mod corespunzător una dintre funcțiile lor. Autorizațiile pot fi pentru o anumită operație sau pot fi legate de o clasă mai largă de operațiuni [autorizări de clasă]. ... Autorizațiile de clasă acoperă afacerile esențiale și de rutină ale SIS și GCHQ. Din nou, acestea îndeplinesc două funcții. În primul rând, acestea oferă protecție pentru răspundere în temeiul legislației britanice și, în al doilea rând, oferă aprobarea politică pentru activitățile autorizate de autorizație de clasă.” 29. În raportul său anual pentru 2016, în parte iii. commentează: „Acest domeniu de activitate [interferencia echipamentului] este în prezent autorizat sub autoritatea mandatelor sau a autorizațiilor secțiunii 7 din secțiunea ISA, dar va cădea în viitor în cadrul IPA Partea 5. ... În raportul meu 2015, am descris procesul de supraveghere al IE, inclusiv modul în care lucrez cu agențiile pentru a asigura supraveghere și am explicat faptul că se acordă o atenție specială atunci când o operațiune este susceptibilă să obțină informații personale confidențiale, materiale jurnalistice confidențiale, comunicații supuse privilegiului legal sau comunicații între un deputat și o altă persoană în domeniul afacerilor electorale. Am subliniat faptul că interferența actuală nu prevede autorizații pentru IE în vrac, altele decât în secțiunea 7. Partea 6 Capitolul 3 din Legea privind IP stabilește noi competențe pentru obținerea mandatelor pentru IE în vrac. Este vital ca orice autorizații efectuate în acest domeniu să stabilească o analiză deplină a principiilor privind necesitatea și proporționalitatea și să mențină o manipulare adecvată a datelor confidențiale. Evaluarea mea globală Codul IE în temeiul RIPA a fost finalizat în ianuarie 2016. Acest cod a făcut publice competențele și garanțiile care existau anterior. Cred că modificările aduse în temeiul Legii privind puterile de anchetă vor oferi o mai mare claritate. Am fost încântat să văd că agențiile se implică în mod proactiv în recomandările pe care le-am făcut în trecut și iau măsuri pentru îmbunătățirea respectării Codului de practică. În general, sunt convinsă că sunt luate în considerare cu atenție considerațiile privind necesitatea și proporționalitatea și că cazul de intruziune în intimitate este clarificat ordonatorului în ceea ce privește autorizațiile pentru IE.” Alte dispoziții relevante 30. Pentru un rezumat al unui raport al Comisiei Europene pentru Democrație prin Lege (Comisia de la Veneția) și altor texte internaționale relevante, vezi Szabó și Vissy v. Ungaria , nr. 37138/14, §§ 25, 12 ianuarie 2016. COMPLAINTE 31. Reclamanții se plâng în temeiul articolelor 8 și 10 din Convenție că puterea în temeiul articolului 7 din Legea privind serviciile de informații de 1994 nu este în conformitate cu legea în absența unui cod de practică care reglementează utilizarea acestuia. În plus, se plâng că această secțiune nu conține nicio cerință de autorizare judiciară; nu există informații în domeniu public privind modul în care ar putea fi utilizate pentru autorizarea interferinței echipamentelor; și nu există nici o cerință de filtrare pentru a exclude material nerelevant. 32. Reclamanții au susținut, de asemenea, în temeiul articolului 13 că IPT nu a furnizat un remediu eficace, deoarece nu a reglementat asupra regimului secțiunea 7 în litigiul intern. Reclamanții au epuizat toate căile de recurs interne eficace, astfel cum se prevede la art. 35 § 1 din Convenție? În special, având în vedere scrisoarea „nu hotărâre” din partea Tribunalului puterilor investigatorii, reclamanții au invocat în fața autorităților naționale cel puțin în substanță, problema competenței Regatului Unit? Reclamanții au invocat în fața autorităților naționale, cel puțin în fond, drepturile în temeiul articolului 13 pe care acestea doresc acum să se bazeze în fața Curții? A existat vreo ingerință în dreptul reclamanților la respectarea vieții lor private, în sensul articolului 8 § 1 din Convenție? Dacă este cazul, a fost că interferența în conformitate cu legea și este necesară în sensul articolului 8 § 2? A existat vreo interferență cu libertatea de exprimare a reclamanților, în sensul articolului 10 § 1 din Convenția? Dacă da, a fost că interferența prescrisă de lege și necesară în temeiul articolului 10 § 2? A avut reclamanții la dispoziția lor un remediu intern eficace pentru plângerile sale din Convenția, conform articolului 13 din Convenția? Apendice Privacy International este o ONG înregistrată la Londra și este reprezentată de Bhatt Murphy Sollicitors. GreenNet Limited este un furnizor de servicii de internet înregistrat în Londra și este reprezentat de Bhatt Murphy Sollicitors. Chaos Computer Club E.V. este o asociație a „hactiviștilor” înregistrat în Germania și este reprezentat de Bhatt Murphy Sollicitors. Media Jumpstart Inc. este o companie care furnizează servicii de internet înregistrate în Statele Unite și este reprezentată de Bhatt Murphy Sollicitors. Riseup Networks Inc. este o companie care furnizează servicii de comunicații înregistrate în Statele Unite și este reprezentată de Bhatt Murphy Sollicitors. Coreea Progressive Network Jinbonet este un furnizor de internet înregistrat în Coreea de Sud și este reprezentată de Bhatt Murphy Sollicitors.

Communicated on 19 November 2018

FIRST SECTION

Application no. 46259/16

Privacy International and Others

against the United Kingdom

(see list appended)

STATEMENT OF FACTS

A list of the applicants is set out in the Appendix.

The facts of the case may be summarised as follows.

Background circumstances

The first applicant, Privacy International, is an NGO registered in London. The second applicant, GreenNet Limited, is an internet service provider registered in London. The third applicant, Chaos Computer Club

E.V., is an association of ‘hacktivists’ registered in Germany. The fourth and fifth applicants, Media Jumpstart Inc. and Riseup Networks Inc., are companies registered in the United States providing internet services and communications services respectively. The sixth applicant, Korean Progressive Network Jinbonet, is an internet service provider registered in South Korea.

The applicants believe that their equipment has been subject to interference known as Computer Network Exploitation or Equipment Interference, to say colloquially ‘hacked’, over an undefined period by the United Kingdom Government Communications Headquarters (“GCHQ”) and/or the Secret Intelligence Service (“SIS”). They consider that GCHQ and/or SIS obtained authorisations to conduct that Equipment Interference under section 7 of the Intelligence Services Act 1994 (“ISA”). Section

7 allows the Secretary of State to authorise a person to undertake (and to exempt them from liability for) an act outside the British Islands in relation to which they would be liable if it were done in the United Kingdom (see paragraph

21 below).

In part iv of his Annual report for 2015 the Intelligence Services Commissioner described Equipment Interference:

“...

Equipment Interference (EI) is any interference, remotely or otherwise, with computers, servers, routers, laptops, mobile phones and other devices in order to obtain information from the equipment. Information obtained may include communications content and communications data, and information about the equipment to allow an intelligence service to examine or modify the equipment, or to conduct surveillance.

...”

Privacy International considers the belief it has been subject to Equipment Interference to be reasonable because it is an organisation which campaigns against unlawful state surveillance. The other applicants consider their belief reasonable because they have access to the communications of many individuals, or because their employees have access to source code or other software of interest to the United Kingdom Government.

The Investigatory Powers Tribunal

The applicants complained to the Investigatory Powers Tribunal (the “IPT”) that they had been subject to Equipment Interference and that this was in breach of domestic law and in violation of Articles 8 and 10 of the Convention. In those proceedings they complained about being subject to Equipment Interference both inside and outside the United Kingdom. The IPT held a hearing which lasted for three days during which it heard argument from the parties’ legal representatives and took evidence from expert witnesses. It gave its judgment on 12 February 2016.

At the outset of its decision the IPT explained its well-established approach to:

“2...make assumptions as to the significant facts in favour of claimants and reach conclusions on that basis, and only once it is concluded whether or not, if the assumed facts were established, the respondent’s conduct would be unlawful, to consider the position thereafter in closed session. This procedure has enabled the Tribunal on what is now a number of occasions, to hold open

inter partes

hearings, without possible damage to national security, while preserving, where appropriate the Respondents proper position of Neither Confirmed Nor Denied.”

The proceedings went ahead on the basis of an assumption in favour of the applicants and were not held in closed session at any point. However, during the course of the proceedings the Government accepted (or avowed) the use of Equipment Interference. They also published the Equipment Interference Code of Practice (see paragraph 22 below).

Examining first the domestic legal regime, the IPT concluded that acts of Equipment Interference which would be unlawful under the Computer Misuse Act 1990 (“CMA”), were rendered lawful where a warrant or authorisation to conduct Equipment Interference had been obtained under sections 5 or 7 of the ISA, respectively.

Having considered domestic lawfulness, the IPT turned expressly to the Convention arguments and set out its conclusions concerning section

7 authorisations (in relation to acts done outside the British Islands) in paragraphs 53 and 63 of its decision.

10.

It considered first the question of jurisdiction and whether Equipment Interference undertaken outside the United Kingdom would come within the scope of the Convention.

11.

The IPT noted that there was no possibility to issue a code of practice for section 7 but that the Equipment Interference Code of Practice itself indicated:

“49... SIS and GCHQ should as a matter of policy apply the provisions of [the] code in any case where equipment interference is to be, or has been, authorised pursuant to section 7 of the 1994 Act in relation to equipment located outside the British Islands.”

The IPT observed however that the Code included a footnote which said it was “without prejudice as to arguments regarding the applicability of the ECHR”. The IPT went on to recall that section 7 authorised unlawful acts “outside the British Islands”. It contrasted this with the member states’ obligation to secure to everyone “within their jurisdiction” the rights and freedoms set out in the Convention. With reference to the Court’s case-law it observed that jurisdiction under the Convention is accordingly territorial and it is only in exceptional circumstances that extraterritorial jurisdiction arises.

The IPT then noted the parties’ agreement that in ordinary circumstances there would be no jurisdiction and, in cases where someone who is the subject of a section 7 authorisation is abroad, it was difficult to argue that such a person is within the territorial scope of the Convention and there would be a very limited number of circumstances in which there was going to be a breach of the Convention.

The parties also agreed that it might be in some circumstances that an individual claimant could claim a breach of their Article 8 or 10 rights as a result of a section 7 authorisation but that did not mean that the section

7 regime as a whole was non-compliant with those Articles. The IPT concluded on the question of jurisdiction by reserving its position commenting:

“53 ... we reserve for future consideration if and when particular facts arise and the position of jurisdiction to challenge a s.7 warrant can be and has been fully argued, whether an individual complainant may be able to mount a claim ... we have an insufficient factual basis to reach any useful conclusion.”

14.

The IPT then turned to examine the complaint about “bulk CNE [Equipment Interference]”. So far as it concerned the section 7 regime the IPT concluded with reference to what was then future legislation (see paragraph 24 below):

“

62.

Both aspects of Mr Jaffey [the claimants representative]’s complaints appear to have been taken up in the IP Bill. Under the heading "

BULK POWERS

" in the accompanying Guide, it is stated, at paragraph 42, that where the content of a UK person’s data, acquired under bulk interception and bulk equipment interference powers, is to be examined, a targeted interception or equipment interference warrant will need to be obtained. As for the question of presence in the British Islands, it is specifically provided in draft clause 147, within the Chapter dealing with "

Bulk Equipment Interference Warrants

", namely by clause 147(4), that there is to be a similar safeguard to that in s.16 of RIPA in relation to the selection of material for examination referable to an individual known to be in the British Islands at the time.

63.

It seems to us clear that these criticisms are likely primarily to relate to Bulk CNE carried out, if it is carried out at all, pursuant to a s.7 authorisation (hence paragraph 7.4 of the E I Code). Mr Jaffey’s own example was of the hacking of a large internet service provider in a foreign country, and the diversion of all of the data to GCHQ, instead of intercepting that material "

over a pipe

" which might be encrypted, so as to render access by ordinary bulk interception difficult if not impossible. As with Issue 5 [scope of the Convention], Mr Jaffey specifically accepted (Day 2/46) that, if Bulk CNE were taking place, and if, prior to any changes such as discussed above, there were to be insufficient safeguards in place, that does not render the whole CNE scheme unlawful. As with Issue 5, we reserve for consideration, on particular facts and when questions of jurisdiction are examined, whether an individual complainant might be able to mount a claim.”

15.

The IPT then considered the question whether the section 5 regime (in relation to acts mainly done inside the United Kingdom) was compliant with Article 8 of the Convention before and after the publication of the Equipment Interference Code in February 2015 during (and apparently as a result of) the proceedings. Before doing so it underlined that in light of its conclusions concerning jurisdiction under section 7 (see paragraphs

12-13 above), there was no need for it to examine section 7 but that in any event the answer concerning jurisdiction for section 5 would be the same as for section 7, that is to say ordinarily there would be no jurisdiction (see paragraph 12). It then went on to examine the section 5 regime and following a close examination of this Court’s case-law concluded that it had been compliant with the Convention both before and after the publication of the Code.

16.

The IPT concluded:

“89.

...

(i)

Issue 1 [S.10 of the CMA]: An act (CNE) which would be an offence under s.3 of the CMA is made lawful by a s.5 warrant or s.7 authorisation, and the amendment of s.10 CMA was simply confirmatory of that fact.

(ii)

Issue 2 [

Territorial jurisdiction in respect of ss.5/7]

: An act abroad pursuant to ss.5 or 7 of the ISA which would otherwise be an offence under ss.1 and/or 3 of the CMA would not be unlawful.

...

(v)

Issue 5 [Scope of the Convention]: There might be circumstances in which an individual claimant might be able to claim a breach of Article 8/10 rights as a result of a s.7 authorisation, but that does not lead to a conclusion that the s.7 regime is non

‑

compliant with Articles 8 or 10.

...

(vii)

Issue 7 [

Bulk CNE]

: If information were obtained in bulk through the use of CNE, there might be circumstances in which an individual complainant might be able to mount a claim, but in principle CNE is lawful.

(viii)

Issue 8 [

S.5 post-February 2015 (

Weber ...

4) to (6)]

: The s.5 regime since February 2015 is compliant with Articles 8/10.

(ix)

Issue 9 [

S.5 prior to February 2015]

: The s.5 regime prior to February 2015 was compliant with Articles

8/10.

...

90.

The use of CNE [Equipment Interference] by GCHQ, now avowed, has obviously raised a number of serious questions, which we have done our best to resolve in this Judgment. Plainly it again emphasises the requirement for a balance to be drawn between the urgent need of the Intelligence Agencies to safeguard the public and the protection of an individual’s privacy and/or freedom of expression. We are satisfied that with the new [Equipment Interference] Code and whatever the outcome of the Parliamentary consideration of the IP Bill, a proper balance is being struck in regards to the matters we have been asked to consider.”

17.

On 9 March 2016 the IPT sent the applicants a “no determination letter” which read as follows:

“The Investigatory Powers Tribunal has carefully considered your clients’ complaints and Human Rights Act claims in the light of all relevant evidence and in accordance with its normal procedures. The Tribunal has asked me to inform you that no determination has been made in your favour either on your complaints or your Human Rights Act claims.

...

For the avoidance of doubt the Tribunal has not been required to consider, and has not considered, the matters left open in paragraphs 53 and 63 of the Privacy/Greennet judgment.”

Relevant domestic law and practice

The Computer Misuse Act 1990

18.

Sections 1 and 3 of the Act make unlawful unauthorised access to computer material, and unauthorised acts with intent to impair, or with recklessness as to impairing, operation of computers etc. According to the IPT, an act of CNE would constitute an offence under sections 1 and 3 of the Act.

19.

Section 10 of the Act was amended on 3 May 2015 to expressly provide that a person acting under a warrant or authorisation granted under section 5 or 7 respectively of the Intelligence Services Act 1994 (see below) does not commit an offence.

The Intelligence Services Act 1994

20.

Section 5 (1) of ISA reads as follows:

Warrants: general.

“No entry on or interference with property or with wireless telegraphy shall be unlawful if it is authorised by a warrant issued by the Secretary of State under this section.”

Section 7 (1) of ISA reads as follows:

Authorisation of acts outside the British Islands.

“If apart from this section, a person would be liable in the United Kingdom for any act done outside the British Islands, he shall not be so liable if the act is one which is authorised to be done by virtue of an authorisation given by the Secretary of State under this section.”

The Equipment Interference Code of Practice

The Code was published on 6 February 2015. Following a consultation period it was brought into force on 14 January 2016.

In the introduction the Code states:

“1.1

This code of practice provides guidance on the use by the Intelligence Services of section 5 of the Intelligence Services Act 1994 to authorise equipment interference to which the code applies. It provides guidance on the procedures that should be followed before equipment interference can take place under that provision, and on the processing, retention, destruction and disclosure of any information obtained by means of that interference.

...

1.4

There is no power for the Secretary of State to issue codes of practice in relation to the powers and duties in section 7 of ISA. However, [the Secret Intelligence Services] SIS and GCHQ should as a matter of policy ... comply with the provisions of this code in any case where equipment interference is to be, or has been authorised pursuant to section 7 of ISA in relation to equipment located outside the British Islands.

...

7.4

If a member of SIS or GCHQ wishes to interfere with equipment located overseas but the subject of the operation is known to be in the British Islands, consideration should be given as to whether a section 8(1) interception warrant or a section

16(3) certification (in relation to one or more extant section 8(4) warrants) under the 2000 Act should be obtained in advance of commencing the operation authorised under section 7. In the event that any equipment located overseas is brought to the British Islands during the currency of the section 7 authorisation, and the act is one that is capable of being authorised by a warrant under section 5, the interference is covered by a ‘grace period’ of 5 working days (see section 7(10) to

7(14)). This period should be used either to obtain a warrant under section 5 or to cease the interference (unless the equipment is removed from the British Islands before the end of the period).

...”

23.

By way of footnote, the Code explains that the approach outlined in its paragraph 1.4 set out above is:

“without prejudice as to arguments regarding the applicability of the ECHR.”

The Code describes equipment interference as follows:

“1.6 ... any interference (whether remotely or otherwise) by the Intelligence Services, or persons acting on their behalf or in their support, with equipment producing electromagnetic, acoustic and other emissions, and (ii) information derived from any such interference, which is to be authorised under section 5 of the 1994 Act [ISA], in order to do any or all of the following:

(a)

obtain information from the equipment in pursuit of intelligence requirements;

(b)

obtain information concerning the ownership, nature and use of the equipment in pursuit of intelligence requirements;

(c)

locate and examine, remove, modify or substitute equipment hardware or software which is capable of yielding information of the type described in a) and b);

(d)

enable and facilitate surveillance activity by means of the equipment.”

The Investigatory Powers Act 2016

The IPA became law on 29 October 2016. Some parts of the Act are already in force, it appears that others including Part 5 (see below), are to be brought into force by regulations. For a detailed overview of the IPA see

Big Brother Watch and Others v. the United Kingdom,

(nos.

58170/13, 62322/14 and 24960/15

, §§ 196-202, ECHR, 13 September 2018).

25.

Part 5 of the IPA concerns targeted equipment interference. It sets out provisions for issuing targeted warrants, including the requirement that they are approved by a Judicial Commissioner before being granted by the Secretary of State. The Act will require that bulk interception and bulk equipment interference warrants may only be issued where the main purpose of the interception is to acquire intelligence relating to individuals outside the United Kingdom, even where the conduct occurs within the United Kingdom. Similarly, interference with the privacy of persons in the United Kingdom will be permitted only to the extent that it is necessary for that purpose. It will also introduce a “double-lock” for the most intrusive surveillance powers, meaning that a warrant issued by the Secretary of State will also require the approval of one of the appointed Judicial Commissioners. There will also be new protections for journalistic and legally privileged material, including a requirement for judicial authorisation for the acquisition of communications data identifying journalists’ sources; tough sanctions for the misuse of powers, including the creation of new criminal offences; and a right of appeal from the IPT on a point of law, to the Court of Appeal in England and Wales or the Court of Session (Scotland).

On 13 February 2017 Part 8 of the IPA providing for the appointment of the Investigatory Powers Commissioner and other Judicial Commissioners came into force. On 17 May 2018, the Commissioner announced that the Judicial Commissioners had been appointed, technical support staff recruited and that the organisation was ready to commence the new warranty regime. The Commissioner also announced that his offices are designing a new, unified inspection regime that will build on the practices developed under its three predecessors: the Interception of Communications Commissioner, the Intelligence Services Commissioner and the Chief Surveillance Commissioner.

The Intelligence Services Commissioner

27.

The Office of the Intelligence Services Commissioner was created under statute. The Commissioner’s primary role was to ensure that the United Kingdom intelligence agencies and parts of the Ministry of Defence lawfully and appropriately use the intrusive powers available to them. The Commissioner’s oversight was in part conducted by checking warrants and authorisations issued by Secretaries of State and the internal authorisations that enable the Intelligence Agencies to carry out their functions, checking that proper consideration has been given to necessity, proportionality and reasonableness.

28.

The Office of the Intelligence Services Commissioner was replaced on 1 September 2017 by the Investigatory Powers Commissioner’s Office, a body created under the IPA (see section 4 above). In part v. of his Annual Report for 2014, the Intelligence Services Commissioner explained the use of Section

7 authorisations as follows:

“Under Section 7 of ISA the Secretary of State (normally the Foreign Secretary) may authorise activity outside of the United Kingdom necessary for the agencies to properly discharge one of their functions. Authorisations may be for a particular operation or may be related to a broader class of operations [class authorisations].

...

Class authorisations cover the essential and routine business of SIS and GCHQ. Again, they fulfil two functions. First they give protection for liability under UK law and second they provide political approval for activities authorised by the class authorisation.”

29.

In his Annual report for 2016, in part iii. he comments:

“This area of activity [equipment interference] is currently authorised under the authority of ISA section 5 warrants or section 7 authorisations but will fall under the IPA Part 5 in the future.

...

In my 2015 report I outlined the oversight process for EI, including how I work with the agencies to provide oversight and I explained that particular consideration is given where an operation is likely to obtain confidential personal information, confidential journalistic material, communications subject to legal privilege or communications between an MP and another person on constituency business. I highlighted that the current interference does not provide for bulk EI authorisations other than under section

Part 6 Chapter 3 of the IP Act sets out new powers to obtain bulk EI warrants. It is vital that any authorisations made in this area set out full consideration of necessity and proportionality principles, and maintain appropriate handling of confidential data.

My overall assessment

The EI code under RIPA was finalised in January 2016. That code made public the powers and safeguards that existed previously. I believe that changes brought in under the Investigatory Powers Act will provide greater clarity. I have been pleased to see that the agencies are proactively engaging with recommendations I have made in the past and taking steps to improve compliance with the Code of Practice. In general, I am satisfied that necessity and proportionality considerations are carefully considered, and that the case for intrusion into privacy is made clear to the authorising officer in relation to EI authorisations.”

Other relevant provisions

30.

For a summary of a report by the European Commission for Democracy through Law (the Venice Commission) and other relevant international texts see

Szabó and Vissy

v. Hungary

, no. 37138/14, §§

‑

25, 12

January 2016.

COMPLAINTS

31.

The applicants complain under Articles 8 and 10 of the Convention that the power under section 7 of the Intelligence Services Act 1994 is not in accordance with the law in the absence of a code of practice governing its use. Moreover, they complain that that section contains no requirement for judicial authorisation; there is no information in the public domain about how it might be used to authorise Equipment Interference; and there is no requirement for filtering to exclude irrelevant material.

32.

The applicants also argued under Article 13 that the IPT did not provide an effective remedy as it did not rule on the Section 7 regime in the domestic litigation.

QUESTIONS TO THE PARTIES

Can the applicants claim to be victims of a violation of the Convention, within the meaning of Article 34 in particular in light of

Roman

Zakharov

Russia

[GC], no. 47143/06, §§ 170-172, ECHR 2015?

Have the applicants exhausted all effective domestic remedies, as required by Article 35 § 1 of the Convention?

In particular, in light of the “no determination” letter from the Investigatory Powers Tribunal did the applicants invoke before the national authorities at least in substance, the question of the jurisdiction of the United Kingdom?

Did the applicants invoke before the national authorities, at least in substance, the rights under Article 13 on which they now wish to rely before the Court?

Did the facts of which the applicants complain in the present case occur within the jurisdiction of the United Kingdom?

Has there been an interference with the applicants’ right to respect for their private life, within the meaning of Article 8 § 1 of the Convention?

If so, was that interference in accordance with the law and necessary in terms of Article 8 § 2?

Has there been an interference with the applicants’ freedom of expression, within the meaning of Article 10 § 1 of the Convention?

If so, was that interference prescribed by law and necessary in terms of Article 10 § 2?

Did the applicants have at their disposal an effective domestic remedy for her Convention complaints, as required by Article 13 of the Convention?

APPENDIX

Privacy International

is an NGO registered in London and is represented by Bhatt Murphy Solicitors.

GreenNet Limited

is an internet service provider registered in London and is represented by Bhatt Murphy Solicitors.

Chaos Computer Club E.V.

is an association of ‘hactivists’ registered in Germany and is represented by Bhatt Murphy Solicitors.

Media Jumpstart Inc.

is a company providing internet services registered in the United States and is represented by Bhatt Murphy Solicitors.

Riseup Networks Inc.

is a company providing communications services registered in the United States and is represented by Bhatt Murphy Solicitors.

Korean Progressive Network Jinbonet

is an internet provider registered in South Korea and is represented by Bhatt Murphy Solicitors.

§ Cauze similare

Grupate prin similitudine semantică

5 cauze

CtEDO 2017-01-03

0,91

PRIVACY INTERNATIONAL v. THE UNITED KINGDOM

Communicated on 3 January 2017 FIRST SECTION Application no. 60646/14 PRIVACY INTERNATIONAL against the United Kingdom lodged on 4 September 2014 STATEMENT OF FACTS The applicant, Privacy International, is a charity registered in the United

CtEDO 2015-01-05

0,90

BUREAU OF INVESTIGATIVE JOURNALISM AND ALICE ROSS v. THE UNITED KINGDOM

IJ. She specialises in national security, conflict, counter-terrorism and foreign policy and in the course of her investigations is likely to speak to individuals and organisations of interest to the United Kingdom’s intelligence services.

CtEDO 2014-01-07

0,90

BIG BROTHER WATCH AND OTHERS v. THE UNITED KINGDOM

nce, or may be the subject of surveillance by other countries’ security services which may pass such information to the United Kingdom security services (and vice-versa). Open Rights Group (the third applicant) is a limited company, based i

CtEDO 2022-05-19

0,90

PRIVACY INTERNATIONAL v. THE UNITED KINGDOM

FOURTH SECTION DECISION Application no. 60646/14 PRIVACY INTERNATIONAL against the United Kingdom (see appended table) The European Court of Human Rights (Fourth Section), sitting on 19 May 2022 as a Committee composed of: Armen Harutyunyan

CtEDO 2021-09-01

0,90

WIEDER v. THE UNITED KINGDOM

In this regard, they state that they “reasonably believe” that their communications have been intercepted, extracted, filtered, stored, analysed and disseminated by the United Kingdom intelligence agencies or accessed by those agencies purs

Sursă