Ηλεκτρονικές παρακολουθήσεις κινητών τηλεφώνων: Ευρωπαίος Επόπτης vs «Πήγασος»

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (mult.), CIPP/E, CIPM

Τι μαθαίνουμε από τις πρόσφατες Προκαταρκτικές Παρατηρήσεις του Ευρωπαίου Επόπτη Προστασίας Δεδομένων (ΕΕΠΔ) για τα σύγχρονα εργαλεία ηλεκτρονικής παρακολούθησης και συγκεκριμένα για το «Πήγασος» («Pegasus»).

Α. Εισαγωγή

Σύμφωνα με σειρά δημοσιευμάτων, το λογισμικό κατασκοπίας «Πήγασος» («Pegasus»), ισραηλινής εταιρείας, φέρεται να χρησιμοποιήθηκε για παρακολουθήσεις των «έξυπνων» κινητών  τηλεφώνων, μεταξύ άλλων, δικηγόρων, πολιτικών, δημοσιογράφων, διπλωματών και ακτιβιστών σε διάφορες χώρες ανά τον κόσμο. Η ισραηλινή εταιρεία αρνείται τις κατηγορίες, υποστηρίζει ότι τηρεί το ισχύον νομικό πλαίσιο και ότι το λογισμικό είναι αποκλειστικά προορισμένο για την αντιμετώπιση βαριάς εγκληματικότητας και τρομοκρατίας. Υπογραμμίζει μάλιστα ότι δεν ευθύνεται για τυχόν καταχρήσεις του λογισμικού της. Λόγω των καταγγελιών πάντως για χρήση του και εντός της Ευρωπαϊκής Ένωσης (ΕΕ), το θέμα απασχόλησε πρόσφατα και τον ΕΕΠΔ, ο οποίος εξέδωσε Προκαταρκτικές Παρατηρήσεις. Σκοπός αυτών η συμμετοχή στο δημόσιο διάλογο για το κατά πόσον εργαλεία παρακολούθησης αυτής της φύσεως έχουν θέση σε μια δημοκρατική κοινωνία.

Β. Οι Προκαταρκτικές Παρατηρήσεις του ΕΕΠΔ

Θυμίζουμε ότι ο ΕΕΠΔ αποτελεί την ανεξάρτητη αρχή προστασίας προσωπικών δεδομένων της Ευρωπαϊκής Ένωσης (ΕΕ). Οι αρμοδιότητές του συνίστανται: α) στην εποπτεία της εφαρμογής του πλαισίου προστασίας προσωπικών δεδομένων από τις υπηρεσίες της ΕΕ, β) στην παροχή συμβουλών στα όργανα και τους οργανισμούς της ΕΕ για θέματα προστασίας προσωπικών δεδομένων, γ) στη διεκπεραίωση συναφών καταγγελιών και διενέργεια συναφών ερευνών, δ) στη συνεργασία με τις εθνικές αρχές των κρατών μελών για σχετικά ζητήματα και ε) στην παρακολούθηση νέων τεχνολογιών με επιπτώσεις στην προστασία των προσωπικών δεδομένων.

Στις 15 Φεβρουαρίου, λοιπόν, ο ΕΕΠΔ εξέδωσε τις Προκαταρκτικές Παρατηρήσεις του για το θέμα των σύγχρονων εργαλείων ηλεκτρονικής παρακολούθησης και συγκεκριμένα για το «Πήγασος». Με αυτές δίδονται απαντήσεις στα ερωτήματα που ακολουθούν. Στο παρόν ενημερωτικό άρθρο οι απαντήσεις εκτίθενται συνοπτικά, με επιλογή συγκεκριμένων σημαντικών, κατά την άποψη του γράφοντα, σημείων. Το πλήρες έγγραφο του ΕΕΠΔ είναι διαθέσιμο στη διεύθυνση https://edps.europa.eu/data-protection/our-work/publications/papers/edps-preliminary-remarks-modern-spyware_en.

  1. Τι είναι το «Πήγασος» και πώς λειτουργεί;

Το «Πήγασος» είναι ένα λογισμικό ηλεκτρονικής παρακολούθησης, σχεδιασμένο να μπορεί να επιτεθεί με επιτυχία σχεδόν σε οποιοδήποτε «έξυπνο» κινητό τηλέφωνο. Αρκεί να είναι διαθέσιμη συγκεκριμένη πληροφορία για τον στόχο, όπως ο αριθμός τηλεφώνου του. Δίχως να γίνεται αντιληπτό, κατόπιν επίθεσης η οποία μπορεί να είναι επιτυχής χωρίς να απαιτείται καμία ενέργεια από την πλευρά του χρήστη -π.χ. είναι δυνατό να μην απαιτείται να γίνει click σε παραπλανητικό link-, η συσκευή κινητού τηλεφώνου μετατρέπεται σε συσκευή παρακολούθησης επί 24ώρου βάσεως. Ο επιτιθέμενος αποκτά πλήρη πρόσβαση στο «έξυπνο» κινητό τηλέφωνο, άνευ περιορισμών. Ενδεικτικά, αυτός μπορεί να: α) διαβάσει, αποστείλει ή λάβει μηνύματα, β) πραγματοποιήσει λήψη όλων των αποθηκευμένων φωτογραφιών, γ) παρακολουθήσει και καταγράψει κλήσεις/βιντεοκλήσεις, δ) ενεργοποιήσει την κάμερα, ώστε να παρακολουθήσει δρώμενα και άτομα πλησίον του τηλεφώνου, ε) ενεργοποιήσει το μικρόφωνο, ώστε να παρακολουθήσει συζητήσεις που διεξάγονται πλησίον του τηλεφώνου, στ) αποκτήσει πρόσβαση στα δεδομένα γεωεντοπισμού του τηλεφώνου, ώστε να γνωρίζει ανά πάσα στιγμή το που αυτό βρίσκεται.

  1. Μπορεί ένα λογισμικό ηλεκτρονικής παρακολούθησης, όπως το «Πήγασος», να οδηγήσει σε καταχρήσεις;

Τη δεδομένη στιγμή υφίστανται αποδείξεις ότι το «Πήγασος» χρησιμοποιήθηκε και εντός της ΕΕ για την παρακολούθηση ιδίως δημοσιογράφων, δικηγόρων, πολιτικών και ακτιβιστών. Κυβερνήσεις εντός της ΕΕ έχουν αναγνωρίσει ότι προέβησαν στην αγορά του εν λόγω λογισμικού.

  1. Ποιο είναι το εφαρμοστέο νομικό πλαίσιο για τη στοχευμένη παρακολούθηση;

Το εφαρμοστέο νομικό πλαίσιο εντός της ΕΕ για τη στοχευμένη παρακολούθηση συντίθεται πρωτίστως από τις εθνικές νομοθεσίες των κρατών μελών. Στην περίπτωση κατά την οποία η στοχευμένη παρακολούθηση υπηρετεί σκοπούς επιβολής του νόμου καλείται σε εφαρμογή  και το ενωσιακό δίκαιο, ιδίως ο Χάρτης Θεμελιωδών Δικαιωμάτων της ΕΕ (ΧΘΔΕΕ), η Οδηγία ePrivacy (2002/58/EK) και η Αστυνομική Οδηγία (2016/680/EE). Οι νομικές προϋποθέσεις και οι απαιτούμενες εγγυήσεις για την ηλεκτρονική παρακολούθηση και την παρακολούθηση επικοινωνιών έχουν περαιτέρω  αναλυθεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) και το Ευρωπαϊκό Δικαστήριο των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ). Στην περίπτωση ηλεκτρονικής παρακολούθησης για σκοπούς εθνικής ασφάλειας, ακόμη και όταν δεν καλείται σε εφαρμογή το ενωσιακό δίκαιο, εφαρμόζεται το συνταγματικό δίκαιο του εκάστοτε κράτους και το σχετικό νομικό πλαίσιο του Συμβουλίου της Ευρώπης, ιδίως η Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου (ΕΔΔΑ). Σημειώνεται ότι και η Σύμβαση 108, νυν Σύμβαση 108+, του Συμβουλίου της Ευρώπης, εφαρμόζεται στην επεξεργασία προσωπικών δεδομένων για σκοπούς κρατικής ασφάλειας, συμπεριλαμβανόμενης της άμυνας.

  1. Μπορεί κατά το ενωσιακό δίκαιο το «Πήγασος» να χρησιμοποιηθεί νομίμως;

Η αντιμετώπιση της τρομοκρατίας και του οργανωμένου εγκλήματος μπορούν να δικαιολογήσουν περιορισμούς στην άσκηση θεμελιωδών δικαιωμάτων και ελευθεριών, στο πλαίσιο πάντα του άρθρου 52 παρ. 1 του ΧΘΔΕΕ, εφόσον αυτοί είναι αναλογικοί και αναγκαίοι. Σύμφωνα με το ΔΕΕ, σοβαρή απειλή σε βάρος της εθνικής ασφάλειας μπορεί υπό προϋποθέσεις να δικαιολογήσει αντίστοιχους περιορισμούς.

Η αναγκαιότητα συνεπάγεται, μεταξύ άλλων, τον έλεγχο του κατά πόσον το μέτρο με το οποίο εισάγεται ο περιορισμός είναι ολιγότερο παρεμβατικό σε σχέση με άλλες εναλλακτικές επιλογές για την επίτευξη του ίδιου στόχου. H απουσία επαρκών, δημοσιευμένων και επιβεβαιωμένων πληροφοριών ως προς τις ακριβείς λειτουργίες του «Πήγασος» καθιστούν όμως δύσκολο το να διαπιστωθεί σε ποια έκταση δεν θα μπορούσε στη θέση του να χρησιμοποιηθεί ένα άλλο, ολιγότερο παρεμβατικό μέσο. Περαιτέρω, υπό το πρίσμα της αναλογικότητας, πρέπει να ληφθεί υπόψη ότι τα «έξυπνα» κινητά τηλέφωνα γνωρίζουν πλέον τα πάντα για εμάς, καθώς γνωρίζουν τα δεδομένα μας, μπορούν να μας ακούσουν και να μας δουν, γνωρίζουν πού βρισκόμαστε και με ποιον συνομιλούμε. Είναι επομένως εξαιρετικά απίθανο ένα λογισμικό ηλεκτρονικής παρακολούθησης όπως ο «Πήγασος», με την πλήρη πρόσβαση που αποκτά σε προσωπικά δεδομένα, να συμβαδίζει με τις απαιτήσεις της αναλογικότητας. ‘Ετσι, ο βαθμός της παρέμβασης στο δικαίωμα της ιδιωτικότητας είναι τόσο έντονος, ώστε το άτομο επί της ουσίας στερείται αυτής. Μέσω του «Πήγασος» μάλιστα δεν προσβάλλεται μόνο το δικαίωμα στην ιδιωτικότητα του στόχου, αλλά και όσων έρχονται σε επικοινωνία μαζί του ή βρίσκονται πλησίον του, όπως άτομα που κάθονται δίπλα του σε ένα εστιατόριο.

Σε κάθε περίπτωση, δεν μπορεί να αποκλειστεί η πιθανότητα ότι συγκεκριμένες λειτουργίες του «Πήγασος» μπορεί να είναι νόμιμες σε ορισμένες περιπτώσεις πολύ σοβαρής απειλής, όπως επικείμενης τρομοκρατικής επίθεσης. Εν τούτοις, αυτές οι εξαιρετικές περιπτώσεις δεν μπορούν να δικαιολογήσουν την ευρύτερη ή συστηματική χρήση του.

Ο ΕΕΠΔ καταλήγει, λοιπόν, ότι η τακτική χρήση του «Πήγασος» ή αντίστοιχης τεχνολογίας υψηλού βαθμού παρέμβασης έρχεται σε αντίθεση με το ενωσιακό δίκαιο. Σημειώνει επίσης ότι τίθεται εν αμφιβόλω κατά πόσον οι πληροφορίες που αποκτώνται μέσω του «Πήγασος» μπορούν να χρησιμοποιηθούν ως αποδεικτικά μέσα σε ποινική δίκη, με αποτέλεσμα να δύναται να εγερθεί και ζήτημα προσβολής του δικαιώματος στη δίκαιη δίκη  του άρθρου 47 ΧΘΔΕΕ.

  1. Τι μπορεί και πρέπει να κάνει η ΕΕ;

Η απαγόρευση της ανάπτυξης και χρήσης λογισμικού ηλεκτρονικής παρακολούθησης με τις ιδιότητες του «Πήγασος» στην ΕΕ αποτελεί το πιο αποτελεσματικό μέτρο για την προστασία των θεμελιωδών δικαιωμάτων και ελευθεριών. Σε περίπτωση κατ’ εξαίρεσης χρήσης του, π.χ. για την αντιμετώπιση ενός πολύ σοβαρού, επικείμενου κινδύνου, επιβάλλεται η λήψη των ακόλουθων προτεινόμενων μέτρων, ώστε να αποτραπεί η παράνομη χρήση του: α) ενίσχυση της δημοκρατικής εποπτείας επί των μέτρων παρακολούθησης, β) αυστηρή εφαρμογή του ενωσιακού πλαισίου προστασίας των προσωπικών δεδομένων, γ) ουσιαστικός δικαστικός έλεγχος εκ των προτέρων και εκ των υστέρων, δ) ενίσχυση της παρεχόμενης προστασίας από τους κανόνες ποινικής δικονομίας, ε) μείωση του κινδύνου δεδομένα κτηθέντα κατ’ αυτό τον τρόπο να εντάσσονται στις βάσεις δεδομένων της ΕΕ και των κρατών μελών, στ) στοπ στη(ν) (κατά)χρηση σκοπών εθνικής ασφάλειας για τη νομιμοποίηση πολιτικά υποκινούμενης παρακολούθησης, ζ) αντιμετώπιση των προβλημάτων του κράτους δικαίου, η) ενίσχυση του ρόλου της κοινωνίας των πολιτών, ώστε να προωθηθεί η ευαισθητοποίηση και ο δημόσιος διάλογος.

Γ. Επίμετρο

Το συνοπτικά και κατ’ επιλογή σημείων ως άνω εκτεθέν έγγραφο του ΕΕΠΔ κινείται σε γενικές γραμμές στο ίδιο μήκος κύματος με προηγούμενες ενέργειες άλλων οργάνων διεθνών οργανισμών και κρατών ειδικά για το «Πήγασος». Ενδεικτικά, επισημαίνονται: α) η από 19 Ιουνίου 2021 δήλωση της Ύπατου Αρμοστή του Οργανισμού Ηνωμένων Εθνών για τα Δικαιώματα του Ανθρώπου, όπου τονίσθηκε η ανάγκη ρύθμισης της διάθεσης, χρήσης και εξαγωγής τεχνολογίας παρακολούθησης, β) το από 12 Αυγούστου 2021 κάλεσμα των Εμπειρογνωμόνων των Ειδικών Διαδικασιών του Συμβουλίου Ανθρωπίνων Δικαιωμάτων του Οργανισμού Ηνωμένων Εθνών για την επιβολή ενός μορατόριουμ στην πώληση και μεταφορά τεχνολογίας παρακολούθησης έως ότου υιοθετηθεί αποτελεσματική ρύθμιση και γ) η ένταξη τον Νοέμβριο του 2021 σε ειδική «μαύρη λίστα» εμπορικών συναλλαγών της ισραηλινής εταιρείας που είναι υπεύθυνη για το «Πήγασος» από το Υπουργείο Εμπορίου των ΗΠΑ. Ο σχετικός δημόσιος διάλογος βρίσκεται σε πλήρη εξέλιξη, ενώ συνεχίζονται οι δημοσιογραφικές αποκαλύψεις. Ο δρόμος φαίνεται, λοιπόν, πως είναι ακόμη μακρύς για την πλήρη διαλεύκανση της υπόθεσης και την αποκρυστάλλωση της δέουσας προσέγγισης, στο δε τέρμα αυτού τρεμοπαίζει η σκιά της ρυθμιστικής παρέμβασης.