Rzecznik praw obywatelskich skierował 6 stycznia 2023 r. pismo do ministra spraw wewnętrznych i administracji, w którym odniósł się do stwierdzonych przez laboratorium Citizens Lab przypadków stosowania w Polsce oprogramowania szpiegowskiego Pegasus. Zwrócił uwagę, że w świetle standardów Konstytucji RP i prawa międzynarodowego do kontroli operacyjnej nie można wykorzystywać środków, które nie zostały wskazane w ustawie.
W polskim prawie nie ma natomiast przepisów, które dopuszczałyby wykorzystywanie programów działających jak wspomniany Pegasus. Rzecznik zauważa, że wartość dowodowa materiałów pozyskanych za pomocą tego systemu jest dyskusyjna. Włamanie się do urządzenia za pomocą Pegasusa pozwala bowiem na zmianę przechowywanych na nim plików, a ewentualnej manipulacji nimi nie da się wiarygodnie zweryfikować w sądzie. To zdaniem RPO kolejny argument za tym, by narzędzia tego nie stosować. Przejęcie całkowitej kontroli nad sprawdzanym urządzeniem sprawia, że kontrolujący organ w praktyce przejmuje pełną kontrolę nad życiem człowieka – uzyskuje bowiem dostęp do wszystkich serwisów i usług, do jakich zalogowany jest na urządzeniu jego użytkownik.
Czytaj więcej
Komisja śledcza ds. Pegasusa powstała by ocenić legalność oraz celowość zakupu Pegasusa. Jej doty...
Zainfekowany nieświadomie
Tak daleko idąca ingerencja w prywatność obywateli jest zdaniem RPO niemożliwa do pogodzenia z art. 47, 49 i 51 ust. 2 konstytucji oraz art. 8 europejskiej konwencji praw człowieka i podstawowych wolności (konwencja). Przypomnieć należy, że system Pegasus jest oprogramowaniem posiadającym zdolności szpiegujące (system spyware). Może być zainstalowany na urządzeniach elektronicznych korzystających z systemu (oprogramowania) iOS i Android, w tym głównie na telefonach komórkowych. Instalacja Pegasusa odbywa się zdalnie, bez ingerencji fizycznej (mechanicznej, namacalnej) w sprzęt. Posiadacz urządzenia jest nieświadomy ani zagrożenia, ani samego zainfekowania urządzenia.
Zainfekowanie sprzętu umożliwia ingerującemu nieograniczony dostęp do znajdujących się na nim danych, takich jak: wiadomości e-mail, esemesy, śledzenie pozycji urządzenia (GPS), historia przeglądania stron internetowych, zapisanych kontaktów, social media, aparat i galeria urządzenia. Może on ponadto modyfikować istniejące pliki na urządzeniu, pozyskiwać pliki z urządzenia (w tym usunięte), instalować własne pliki, dokonywać wpisów bądź zmian w kalendarzu czy nagrywać dźwięk. Z kolei w uchwale z 26 kwietnia 2023 r. SN stwierdził, że art. 17 ust. 5 o CBA czy art. 19 ust. 6 ustawy o policji, jak też przepisy normujące działalność innych służb ochrony porządku publicznego oraz służb specjalnych opisują zasadniczo rodzaje informacji lub danych, jakie mogą być pozyskiwane w trybie kontroli operacyjnej, a następnie wykorzystane jako dowody w postępowaniu karnym, nie wskazują środków technicznych, które miałyby zapewnić ich uzyskanie.
Wydaje się, że w dobie szybkiego postępu technologicznego wyliczenie w ustawie takich środków technicznych nie jest możliwe. Przykładowo można wskazać rozwój w obszarze tzw. oprogramowań szpiegujących, niewymagających współpracy z operatorem GSM, pozwalających poprzez ,,infekowanie telefonów” na kopiowanie wysyłanych lub odbieranych wiadomości, zbieranie zdjęć, nagrywanie rozmów, aktywowanie mikrofonu, aby podsłuchać rozmowy, uruchamianie kamery, aby nagrywać to, co dzieje się wokół danej osoby, umożliwiających dostęp do tzw. materiałów historycznych, czyli z okresu przed zainstalowaniem takiego oprogramowania, posiadających opcję ,,samozniszczenia”, czyli niepozostawiających śladów w zainfekowanym urządzeniu.
Testowanie uczciwości
Jak wynika z informacji przedstawionych przez RPO i zawartych w uzasadnieniu uchwały SN, działanie programu Pegasus charakteryzuje się wysokim poziomem ofensywności, swego rodzaju agresywnością. Nie mamy tutaj do czynienia z monitorowaniem i „obserwowaniem” poddanego inwigilacji urządzenia, ale z możliwością manipulowania tym urządzeniem. Wskazane funkcje programu nakazują podchodzić do uzyskanych za jego pomocą informacji i materiałów z daleko posuniętą ostrożnością, zwłaszcza jeżeli chodzi o ich ewentualne dowodowe wykorzystanie.
Przywołane właściwości Pegasusa powodują, że dość powszechnie porównuje się go do „broni antyterrorystycznej”. Jeżeli pozwala na przełamanie zabezpieczeń określonego urządzenia (hakowanie), a następnie zdolny jest do zmiany przechowywanych na tym urządzeniu plików, to nieuchronnie może dojść do manipulacji, której prawdopodobnie nie będzie można zweryfikować w toku czynności procesowych, w tym przed sądem. Dochodzi tutaj do ewidentnego przekroczenia granic, które zostały ustanowione przez ustawodawcę dla kontroli operacyjnej.
Wykorzystywanie oprogramowania dającego szerokie możliwości manipulowania materiałem dowodowym podczas stosowania kontroli operacyjnej przypomina nielegalne przekraczanie granic transakcji pozornej (zakupu kontrolowanego, kontrolowanego wręczenia lub przyjęcia korzyści majątkowej), kiedy służby „zastawiają sieć” na figuranta i nakłaniają go do złamania prawa. Mamy wówczas do czynienia z nielegalnym „testowaniem” uczciwości obywateli. Wobec powyższego procesowe wykorzystanie oprogramowania Pegasus wydaje się wątpliwe.
Zasada prawdy materialnej
Wykorzystanie dowodu, który może podlegać jakiejkolwiek manipulacji, uderza w kluczową zasadę polskiego procesu karnego – prawdę materialną – zakodowaną w treści art. 2 § 2 k.p.k. Zasada prawdy stanowi dyrektywę adresowaną do organu procesowego, aby wszelkie wydawane w postępowaniu decyzje opierał na ustaleniach faktycznych zgodnych z rzeczywistym stanem rzeczy, a więc na ustaleniach prawdziwych.
Zasada ta ma centralne znaczenie w systemach procesowych państw demokratycznych, gdzie represja karna ma dosięgnąć rzeczywistego sprawcę. Dowód, co do którego istnieje wątpliwość, że mógłby zostać zmanipulowany (spreparowany), nie powinien być elementem ustalania odpowiedzialności karnej. Przeniknięcie takiego dowodu do przestrzeni postępowania karnego jest szkodliwe.
Zasada prawdy materialnej obowiązuje we wszystkich etapach postępowania, także w toku czynności operacyjno-rozpoznawczych, których wyniki wprowadzane są do procesu. Opieranie rozstrzygnięć sądowych na prawdziwych ustaleniach faktycznych dotyczy nie tylko wyroków skazujących, lecz także wyroków uniewinniających. Przed zastosowaniem oprogramowania szpiegowskiego Pegasus należy ponadto udzielić odpowiedzi na pytanie, czy może on uzyskać certyfikację przewidzianą w art. 2 pkt 11 ustawy z 5 sierpnia 2010 r. o ochronie informacji niejawnych.
Certyfikacja oznacza proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do ochrony informacji niejawnych. Uzyskane w wyniku stosowania kontroli operacyjnej informacje i materiały muszą być tak zabezpieczone, aby nie można było ingerować w ich treść. Nie mogą być również udostępnione osobom nieuprawnionym, dla których dane te nie zostały przewidziane. Informacjom nadawana jest odpowiednia klauzula, która ma chronić przed niekontrolowanym wyciekiem informacji. Poufność danych zapewnia ponadto wydane na podstawie art. 49 ust. 9 u.o.i.n. rozporządzenie prezesa Rady Ministrów z 20 lipca 2011 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego.
Biorąc pod uwagę powyższe regulacje oraz to, że: producentem systemu Pegasus jest izraelska spółka NSO Group Technologies Ltd.; o zainfekowaniu systemem nie wiedzą dostawcy usługi internetowej; kontrolę nad oprogramowaniem ma licencjodawca; dystrybucją licencji zajmuje się Ministerstwo Obrony Izraela, jest prawdopodobne, że system Pegasus nie powinien otrzymać wymaganej polskim prawem certyfikacji, gdyż od strony technicznej nie jest możliwy do realnej weryfikacji bezpieczeństwa, w tym szczególnie ingerencji obcych państw.
Można zatem uznać, że w polskiej przestrzeni prawnej nie wolno używać w ramach działań operacyjnych programów komputerowych, które nie mogą uzyskać stosownej certyfikacji zapewniającej bezpieczeństwo informacjom niejawnym.
Europejskie standardy
Zgodnie z linią orzeczniczą Europejskiego Trybunału Praw Człowieka w prawie wewnętrznym poszczególnych państw powinny być precyzyjnie określone podstawy i zakres stosowania środków inwigilacji obywateli. W orzecznictwie dotyczącym podsłuchów rozmów, a także przechwytywania informacji stanowiących integralny element procesu komunikowania się ETPC wskazał, że minimalnym standardem konwencyjnym regulacji tej materii jest określenie w prawie rodzaju środka niejawnego pozyskiwania informacji, który musi być określony przez prawo w momencie jego zastosowania.
W sprawie Heglas przeciwko Czechom ETPC stwierdził naruszenie art. 8 konwencji, gdyż w chwili zarządzenia podsłuchu zamontowanego na ciele osoby środek taki nie był przewidziany przez obowiązujące wówczas prawo.
Nawet jeżeli SN ma rację, twierdząc, że system Pegasus może być używany w kontroli operacyjnej, to pozostaje problem wiarygodności dowodów pozyskanych za jego pośrednictwem. Jeżeli nie ma pewności, że zawartość kontrolowanego urządzenia nie została zmodyfikowana, pozyskane tą drogą dowody mogą być mało wiarygodne.
Należy odróżnić kwestię dopuszczalności stosowania określonego programu szpiegującego od kwestii wiarygodności dowodów uzyskanych za jego pomocą.
Końcowo należy podkreślić, że autor powyższego tekstu nie miał dostępu do dokumentacji związanej z systemem Pegasus.
Przedstawiona w tekście opinia oparta została głównie na materiałach sporządzonych przez specjalistów na potrzeby funkcjonowania komisji nadzwyczajnej ds. wyjaśnienia przypadków nielegalnej inwigilacji, ich wpływu na proces wyborczy w Rzeczypospolitej Polskiej oraz reformy służb specjalnych.
Autor jest prokuratorem Prokuratury Regionalnej w Krakowie delegowanym do Krajowej Szkoły Sądownictwa i Prokuratury
