Článek k mimořádnému vydání našeho podcastu Odposlech, ve kterém si Josef Šlerka povídá s Janem Cibulkou, novinářem, průkopníkem datové žurnalistiky v Česku a členem správní rady investigace.cz, a s Janem Vobořilem, advokátem a výkonným ředitelem Iuridicum Remedium, o shromažďování dat telefonními operátory a proč je to problém.
Slovní spojení data retention používáme už řadu let pro shromažďování metadat o elektronické komunikaci.
Mobilní operátor má ze zákona povinnost půl roku uchovávat informace o tom, s kým si uživatel psal, s kým a jak dlouho si volal, a hlavně kde se pohyboval se svým telefonem. K těmto datům pak mají přístup bezpečnostní složky státu a měly by jim pomáhat v boji s kriminalitou.
Co jsou metadata a proč je jejich sběr problém
Metadata poskytují data o datech. Jsou to informace, jež popisují jakoukoli komunikaci, aniž zaznamenávají její obsah.
Příznivci sběru metadat proto argumentují, že ohrožení soukromí je zanedbatelné. Tento argument je však hluboce zavádějící.
Znalost obsahu hovoru může být pro zjištění konkrétní hrozby samozřejmě klíčová. Na druhou stranu samotná metadata mohou poskytnout mimořádně podrobný obraz o nejintimnějších spojeních a zájmech konkrétní osoby, z technologického hlediska je proto mnohem snazší prohledávat obrovské množství metadat než poslouchat miliony telefonních hovorů. Jak řekl generální poradce americké National Security Agency (NSA) Stewart Baker: „Metadata vám o něčím životě řeknou naprosto všechno. Pokud máte dostatek metadat, obsah vlastně nepotřebujete.“
Když nic špatného nedělám, tak se přece nemusím bát
Mobil se přihlašuje k síti téměř neustále. Operátor vždy přesně ví, ke kterému vysílači se připojil a jaká byla síla signálu. Ve městě jako Praha jsou vysílače skoro na každém kroku, proto je přesnost určení pohybu telefonu docela vysoká. Operátor tak například ví, kde uživatel zrovna spí, zda je sám, či s někým, což pozná podle toho, že na tom samém místě se nacházejí další telefonní čísla.
Přístup mají bezpečnostní složky státu a ČNB
V České republice se metadata začala používat přibližně před patnácti lety. V EU tehdy vznikla směrnice o data retention, kterou pak přijala i česká legislativa. Evropský soudní dvůr ale směrnici v dubnu 2014 zrušil v reakci na žalobu podanou organizací Digital Rights Irlenad, podle níž plošné shromažďování údajů porušuje Listinu základních práv EU, zejména právo na svobodu pohybu a soukromí. V Česku však tento zákon platí dál.
V datech od Komise pro kontrolu použití odposlechu tak můžeme vidět, že například v roce 2019 bylo v tomto směru podáno přes 91 tisíc žádostí od českých bezpečnostních složek, jež se zajímaly převážně o lokalizační služby. Policie na základě těchto dat ale nevyšetřovala organizovanou zločinnost, nýbrž běžné kriminální věci jako například distribuci drog nebo krádeže aut. Jak data retention naopak využívají specializované bezpečnostní služby, samozřejmě nevíme, neboť obdobné informace neposkytují.
Hlavnímu úkolu, tedy vyšetřování závažné kriminality, tento zákon přitom takřka nepomáhá. Porovnání údajů s lety, kdy se metadata během vyšetřování nepoužívala, a se současností ukazuje, že rozhodně nenastal nějaký výrazný nárůst objasněných kriminálních činů, zamýšlený efekt je tedy minimální.
Se zákonem o metadatech je v Česku nadto spojen jeden evropský unikát. K těmto informacím má přístup i Česká národní banka, jež si je může vyžádat při řešení podvodů spojených s finanční trhem, například kvůli praní špinavých peněz.
V minulosti o něco podobného usiloval i Antimonopolní úřad, ale neuspěl. Zmíněné instituci šlo to, aby mohla zjistit, zda úřadem podezřelí manažeři uzavřeli protimonopolní kartelovou dohodu a zda spolu ohledně toho komunikovali přes telefon, nebo se jejich telefony při osobních setkáních připojily ve stejný čas ke stejnému vysílači.
Chci svá data!
Monopol bezpečnostních služeb a České národní banky se otřásl v roce 2013, kdy si Jan Cibulka požádal o data, jež o něm jeho operátor shromažďoval.
Odpověděli mu, že tato data smazali a nemůžou mu vyhovět. Cibulkovi se to nezdálo a znovu se dožadoval dat týkajících se své osoby. Opět však narazil a T-Mobile použil zvláštní argumentaci:
„V zákoně jsou přesně vyjmenované subjekty, které na tyto data mají nárok, to znamená policie, tajné služby, ČNB, ale vy, pane Cibulko, tam uveden nejste. Takže vám je neukážeme.“
Jan Cibulka byl v České republice prvním, kdo o svá e-data operátora požádal. Úřad pro ochranu osobních údajů mu později dal za pravdu a od T-Mobilu tak obdržel CD se svými daty v tom samém provedení, které operátor předává v případě žádosti policii.
Na CD byly textové tabulky obsahující výpisy volání, SMS a lokalizační služby, přesněji řečeno v jaký čas a kde se jeho telefon připojoval a poté odpojoval do sítě operátora. Poněvadž neexistuje veřejná databáze vysílačů, jejichž polohy jsou dostupné pouze operátorům a bezpečnostním složkám, Cibulkova data na první pohled vypadala bezcenná. Díky amatérské databázi vysílačů (GSM web) ale Jan Cibulka nakonec dokázal skrze získaná data určit místa svého pohybu.
Od té doby se situace v České republice přece jen změnila. Klient mobilních operátorů momentálně nemusí absolvovat tolik útrap jako v roce 2013, aby získal svá data. Operátoři je už běžně poskytují za poplatek kolem 1 200 korun.
Zneužití se nabízí
Výše citovaný Stewart Baker tvrdí, že metadata vám o něčím životě řeknou naprosto všechno. Přístup k těmto informacím je proto mocnou zbraní nejen pro autoritativní režimy jako třeba v Bělorusku, kde je používají k identifikaci demonstrantů, ale i v demokratických státech. Prostřednictvím metadat jsou sledováni nepohodlní novináři v Polsku nebo v Maďarsku. Zneužít je však může i agilní jedinec. V roce 2009 a 2010 si český policejní vyšetřovatel vyžádal v souvislosti s šetřením trestného činu informace o celé řadě vysoce exponovaných lidí, včetně předsedy Ústavního soudu Pavla Rychetského. Tyto osoby s vyšetřovanou kauzou přitom neměly nic společného. Soud v Děčíně mu však přístup k informacím povolil, což tehdejší předseda této instituce Miroslav Kureš zdůvodnil slovy: „Byl to pro nás jen formální úkon, neměli jsme možnost si policistovy informace ověřit.“
A co dál?
Jak už bylo řečeno, Evropská unie svou směrnici zrušila, avšak český Ústavní soud stížnost podanou na zákon o metadatech v roce 2019 zamítl s tím, že všechno je v pořádku a v souladu s Listinou základních práv a svobod. Předseda soudu Pavel Rychetský, jenž se sám stal terčem zneužití těchto informací, dokonce prohlásil, že by podpořil i širší úpravu zákona, která by se vztahovala i na další komunikační prostředky, tedy nejen mobilní telefony, ale i aplikace jako Skype nebo WhatsApp.
Nadále je tak v České republice zcela legální například postup policie, která v případě, že odposlech určité osoby nevede k obvinění, a měla by proto dotyčného informovat o svém postupu, aby si eventuálně mohl stěžovat, takto postupovat nemusí, poněvadž může využít zákonem povolenou výjimku, že dotyčného člověka mají stále rozpracovaného. Z tohoto důvodu se tak odposlouchávaný nevinný člověk nemusí o svém špehování nikdy dovědět.
Více o tematice digitálních svobod a vlivu technologií na život se můžete dozvědět na festivalu Big Brother Film Festival, který se po dobu tří dnů věnuje třem aktuálním tématům – masovému biometrickému dohledu, moci technologických gigantů a digitální hygieně. Festivalu se můžete zdarma zúčastnit v září Praze. Festival pořádá organizace luRe/Digitální svobody ve spolupráci s Kinolabem. Více informací naleznete na stránkách festivalu.
Autor úvodní fotografie: Lukáš Nechvátal