Czy rząd bezprawnie używa oprogramowania szpiegowskiego aby śledzić obywateli?
Czy rząd bezprawnie używa oprogramowania szpiegowskiego aby śledzić obywateli?
Oprogramowanie szpiegowskie zwykle kojarzone ze światem wywiadu jest używane przez 13 departamentów i agencji federalnych, zgodnie z umowami uzyskanymi w ramach przepisów dotyczących dostępu do informacji, udostępnionymi Radio-Canada.
Radio-Canada dowiedziało się również, że wykorzystanie oprogramowania szpiegującego przez te departamenty nie zostało poddane ocenie wpływu na prywatność, zgodnie z wymogami dyrektyw rządu federalnego. Narzędzia te pozwalają na odzyskanie i analizę danych znalezionych na komputerach, tabletach i telefonach komórkowych, w tym informacji zaszyfrowanych i chronionych hasłem. Może to obejmować wiadomości tekstowe, kontakty, zdjęcia i historię podróży. Określone oprogramowanie może być również wykorzystywane do uzyskiwania dostępu do danych użytkownika w chmurze, ujawniania jego historii wyszukiwania w Internecie, usuniętych treści i aktywności w mediach społecznościowych. Radio-Canada dowiedziało się, że różne departamenty otrzymały w przeszłości niektóre z tych narzędzi, ale twierdzą, że już z nich nie korzystają.
Evan Light, profesor nadzwyczajny ds. komunikacji na kampusie Glendon na Uniwersytecie York w Toronto oraz ekspert w dziedzinie technologii prywatności i nadzoru, powiedział, że jest zszokowany powszechnym stosowaniem tego rodzaju oprogramowania szpiegującego w rządzie federalnym. „To niepokojące i niebezpieczne” – stwierdził Light, który złożył pierwotny wniosek o dostęp do informacji, aby dowiedzieć się więcej o tym, w jaki sposób policja w Kanadzie korzysta z tej technologii. „Myślałem, że znajdę po prostu tych, kórych można podejrzewać o korzystanie z tych urządzeń, np. policję, czy to RCMP, albo CBSA [Kanadyjska Agencja Służb Granicznych]. Jednak używa ich kilka dziwacznych departamentów” – powiedział.
Zgodnie z dokumentami, które Light udostępnił Radio-Canada, Shared Services Canada zakupiło sprzęt i oprogramowanie dla użytkowników końcowych od dostawców Cellebrite, Magnet Forensics i Grayshift. (Dwie ostatnie firmy połączyły się na początku tego roku). Jak podaje ich strona internetowa, firmy twierdzą, że opracowały rygorystyczne kontrole, aby zapewnić, że ich technologie są wykorzystywane zgodnie z prawem.
Dyrektywa Treasury Board of Canada Secretariat (TBS) wymaga, aby wszystkie instytucje federalne przeprowadziły tak zwaną ocenę wpływu na prywatność (PIA) przed rozpoczęciem jakiejkolwiek działalności związanej z gromadzeniem danych osobowych lub przetwarzaniem ich w celu zidentyfikowania zagrożeń dla prywatności oraz sposobów ich ograniczania lub eliminowania.
Zgodnie z dyrektywą, która weszła w życie w 2002 r. i została zmieniona w 2010 r., departamenty federalne muszą następnie dostarczyć kopię swoich PIA do TBS i Biura Komisarza ds. Prywatności.
Radio-Canada zapytało każdą instytucję federalną korzystającą z oprogramowania szpiegującego, czy przeprowadziła najpierw ocenę wpływu na prywatność. Z ich pisemnych odpowiedzi wynika, że nikt tego nie zrobił. Departament Rybołówstwa i Oceanów oświadczył, że ma taki zamiar.
Fakt, że takich ocen nigdy nie przeprowadzono, „pokazuje, że zjawisko to po prostu się unormowało i że dostanie się do czyjegoś telefonu komórkowego nie stwarza żadnego problemu” – stwierdził Light. „Nastąpiła normalizacja tej naprawdę ekstremalnej możliwości inwigilacji”.
Niektóre departamenty stwierdziły, że PIA nie jest konieczna, ponieważ uzyskały już zezwolenia sądowe, takie jak nakazy przeszukania, które nakładają rygorystyczne warunki na konfiskatę urządzeń elektronicznych. Inni twierdzili, że wykorzystują te materiały wyłącznie na urządzeniach rządowych – na przykład w sprawach dotyczących pracowników podejrzanych o molestowanie.
Jednakże według kanadyjskiego komisarza ds. ochrony prywatności Philippe’a Dufresne’a zezwolenie sądowe nie znosi wymogu przeprowadzenia PIA. „Kiedy te narzędzia są nowe, bardzo wydajne i potencjalnie inwazyjne, nawet w systemie, w którym istnieje kontrola sądowa, ważna jest ocena ich wpływu na prywatność” – powiedział Dufresne komisji parlamentarnej badającej wykorzystanie oprogramowania szpiegującego przez RCMP w zeszłym roku.
PIA wskaże, czy wydział może uzyskać potrzebne informacje mniej inwazyjnymi środkami, wyjaśnił Dufresne. Możemy dojść do wniosku, że narzędzie jest inwazyjne, ale konieczne do użycia. Jednak tymi kwestiami należy się zająć – stwierdził. Light nazywa wykorzystywanie oprogramowania szpiegującego przez takie organizacje, jak agencja regulacyjna Kanadyjskiej Komisji ds. Radia, Telewizji i Telekomunikacji (CRTC), „przesadą”. „CRTC używa broni nuklearnej do walki ze spamem” – powiedział. „To trochę śmieszne, ale także niebezpieczne”.
Niektóre działy twierdzą, że wykorzystują te narzędzia do prowadzenia wewnętrznych dochodzeń, na przykład w przypadku pracowników podejrzewanych o oszustwo lub molestowanie w miejscu pracy. Twierdzą, że dane są pobierane wyłącznie z urządzeń wydanych przez rząd, zgodnie z wewnętrznymi protokołami regulującymi gromadzenie i przechowywanie danych osobowych w celu zapewnienia ich ochrony. Jednak TBS potwierdziło Radio-Canada, że jego dyrektywa w sprawie PIA ma również zastosowanie w takich przypadkach, dodając, że rząd „poważnie podchodzi do praw Kanadyjczyków do prywatności, w tym praw swoich pracowników”.
Canada Revenue Agency stwierdziła, że wykorzystuje te narzędzia „do analizy danych związanych z domniemanymi przestępstwami podatkowymi”, natomiast Kanadyjska Rada Bezpieczeństwa Transportu stwierdziła, że wykorzystuje je „do gromadzenia i analizowania danych związanych z incydentami”. Agencje podały kilka innych szczegółów. Na pytanie, czy przeprowadzały także PIA, departamenty skierowały Radio-Canada do Shared Services Canada, sygnatariusza umów z dostawcami. Shared Services potwierdziło, że nie przeprowadziło takich ocen.
Prezes Zarządu Treasury Board Anita Anand odrzuciła prośbę Radia-Canada o udzielenie wywiadu. Według jej biura każda instytucja federalna jest odpowiedzialna za egzekwowanie przepisów i zasad dotyczących prywatności, ale jej biuro nie poinformowało, co się stanie, jeśli instytucje te nie wypełnią tych obowiązków.
Ochrona prywatności powinna być kluczowym elementem „przed przyjęciem narzędzi technologicznych wysokiego ryzyka do gromadzenia danych osobowych” – napisał komisarz ds. prywatności w e-mailu do Radio-Canada. Dufresne powtórzył również, że chciałby, aby rząd federalny uczynił PIA „wiążącym obowiązkiem prawnym” zgodnie z ustawą o ochronie prywatności.
Light powiedział, że jest zawiedziony, że nikt w rządzie federalnym nie ponosi odpowiedzialności za użycie oprogramowania szpiegującego, które mogłoby mieć „dramatyczny” wpływ na życie ludzi. „Mamy prawo do prywatności. To nie jest koncepcja abstrakcyjna” – powiedział.