Un nou proiect de lege privind securitatea cibernetica a Romaniei: Furnizorii de internet nu vor permite accesul la datele clientilor in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator
Detinatorii de infrastructuri cibernetice vor avea obligatia ‘sa nu permita accesul la datele de continut din infrastructurile detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii’, se arata intr-un nou proiect de lege privind securitatea cibernetica a Romaniei, supus dezbaterii publice pe site-ul Ministerului Comunicatiilor. Amintim ca o lege similara a fost declarata neconstitutionala in luna ianuarie a anului trecut, unul dintre motive fiind ca accesul la datele clientilor se putea face de catre SRI si alte autoritati fara mandat judecatoresc, lasand posibilitatea abuzurilor din partea autoritatilor.
Cum pot fi accesate datele clientilor de catre SRI si alte autoritati abilitate de lege
- „Prezentul act normativ contribuie la asigurarea protejarii, in spatiul cibernetic, a dreptului cetatenilor la viata intima, familiala si privata, in special a datelor cu caracter personal gestionate de catre detinatorii de infrastructuri cibernetice. De asemenea, prevede ca si garantie a respectarii drepturilor si libertatilor persoanei faptul ca accesul la datele de continut din infrastructurile cibernetice ale detinatorilor prevazuti de lege se va realiza in baza unei autorizatii emise de judecator, in conditiile legii. Totodata, persoana care se considera vatamata intr-un drept al sau prin aplicarea acestei legi poate contesta masurile dispuse de autoritatea de control”, se arata in expunerea de motive a noului proiect de lege privind securitatea cibernetica (n.a vezi atasat noul proiect al legii).
Totusi, in ciuda faptului ca in expunere se precizeaza ca este nevoie de emiterea unei autorizatii de judecator, in proiectul de lege exprimarea este putin mai confuza, respectiv:
Art. 20 – (1) Detinatorii de infrastructuri cibernetice prevazuti la art. 2 lit. a)-c) au urmatoarele obligatii:
(..)
d) sa nu permita accesul la datele de continut din infrastructurile cibernetice detinute sau aflate in competenta, in lipsa unei instiintari scrise din partea autoritatilor abilitate, privind existenta unei autorizatii emise de judecator, in conditiile legii”.
- Cine sunt detinatorii de infrastructuri cibernetice prevazuti la art. 2 lit. a)-c)
„Art. 2 – Prezenta lege se aplica:
a) autoritatilor si institutiilor publice, persoanelor juridice detinatoare de infrstructuri cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informationale, a caror afectare aduce atingere securitatii nationale sau prejudicii grave statului roman ori cetatenilor acestuia;
b)persoanelor juridice, detinatoare de infrstructuri cibernetice care prelucreaza date cu caracter personal;
c) furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului;”
- De subliniat ca, prezenta lege extinde aria detinatorilor de infrastructuri cibernetice carora li se aplica noile prevederi. Astfel, la Art. 2, unde se mentioneaza cui se aplica legea mai sunt doua litere:
d) furnizorilor de servicii de gazduire internet;
e) furnizorilor de servicii de securitate cibernetica;
Legea trebuie vazuta in ansamblul ei, si in acest sens trebuie mentionat ca proiectul de lege are articole speciale dedicate obligatiilor furnizorilor de servicii de gazduire de internet (unde se mentioneaza clar ca accesarea datelor se face in baza unui ordin judecatoresc) si furnizorilor de servicii de securitate cibernetica.
Astfel, la Art. 23 sunt urmatoarele prevederi:
- (1) furnizorii de servicii de gazduire de internet care desfasoara activitati pe teritoriul Romaniei au obligatia sa acorde sprijin autoritatilor competente, respectiv organelor de urmarire penala, pentru punerea in aplicare, potrivit legii, a oricarui act de autorizare a restrangerii temporare a exercitiului drepturilor si libertatilor persoanelor, emis de judecator.
- (2) furnizorii de servicii de gazduire internet au obligatia de a inregistra si stoca date de jurnalizare a activitatilor din sistemele informatice detinute care fac obiectul actului de autorizare de la alin. (1), pe toata perioada de valabilitate a acestuia.
- (3) Persoanele care sunt chemate sa acorde sprijin tehnic la punerea in executare a actelor de autorizare, precum si persoanele care iau cunostinta despre acestea au obligatia sa pastreze secretul operatiunii efectuate, sub sanctiunea legii penale”.
Definirea unor termeni: Ce inseamna infrastructura cibernetica, cine este detinator de infrastructura cibernetica sau furnizor de servicii de gazduire internet
Noul proiect de lege are urmatoarele definitii:
- infrastructuri cibernetice – infrastructuri de tehnologia informatiei, constand in sisteme informatice, aplicatii, aferente, retele de comunicatii electronice;
- Infrastructuri cibernetice de interes national – infratsructuri cibernetice detinute de persoane juridice de drept privat, care sustin servicii publice sau de interes public ori servicii ale societatii informationale, sau structuri cibernetice detinute de autoritati si institutii publice, a caror afectare aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia;
- detinatori de infrastructuri cibernetice – persoane juridice de drept public sau privat care au calitatea de proprietari, administratori sau operatori de infrastructuri cibernetice;
- furnizori de servicii de gazduire internet – orice persoana juridica ce desfasoara activitati pe teritoriul Romaniei, care pune la dispozitie infrastructuri cibernetice, fizice sau virtuale, pentru derularea de activitati si servicii ale societatii informationale;
- furnizor de servicii de securitate cibernetica – orice persoana juridica ce realizeaza, in vederea protejarii infrastructurilor cibernetice, cel putin una dintre urmatoarele activitati: implementare de politici, proceduri si masuri, auditare, evaluare, testare a masurilor implementate, management al incidentelor de securitate;
Curtea Constitutionala nu a fost de acord ca SRI sa fie autoritatea nationala in domeniul securitatii cibernetice/Ce atributii are acum SRI
In legea pe care a respins-o la inceputul anului trecut, Curtea Constitutionala a fost impotriva faptului ca SRI sa fie autoritate nationala in domeniul securitatii cibernetice si sa coordoneze practic printr-o structura militarizata aflata in subordine, respectiv prin Centrul National de Securitate Cibernetica (CNSC) toatele datele colectate.
Iata ce spunea cu privire la SRI Curtea Constitutionala in legea respinsa anterior:
- „In analiza Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a de turna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.
- Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in care Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar- administrativ, apare cu evidenta ca o atare entitate nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei”.
Iata ce spunea in vechea lege unul dintre articolule referitoare la SRI:
- Art. 10 – (1) Serviciul Roman de Informatii este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC (n.a Consiliul Operativ de Securitate Cibernetica), precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit in continuare CNSC”.
- Pentru detalii citeste si: De ce a cazut Legea securitatii cibernetice. Motivarea Curtii Constitutionale
COSC a ramas si in noua lege si este format din consilierul prezidential pentru probleme de securitate nationala, consilierul Primului-Ministru pe probleme de securitate nationala, Secretarul CSAT precum si reprezentanti ai MAPN, MAI, MAE, MSI, SRI, SIE, STS, SPP si ORNSS.
Ca si in vechea lege declarata neconstitutionala, coordonarea tehnica a activitatilor COSC este asigurata de SRI (vezi articolul 6 din proiectul de lege).
In acelasi timp, la art. 9 din proiectul de lege se precizeaza ca „SRI, prin CNSC, este desemnat autoritate competenta pentru coordonarea activitatilor in domeniul securitatii cibernetice organizate si desfasurate la nivelul infrastructurilor cibernetice de interes national, cu exceptia infrastructurilor cibernetice de interes national aflate in admisnitrarea sau responsabilitatea celorlalte autoritati prevazute la literele d) si e).
Litera d) stabileste ca ANCOM (autoritatea de reglemengare in comunicatii) este desemnata autoritate competenta pentru coordonarea activitatilor in domeniul securitatii cibernetice a furnizorilor de retele publice de comunicatii electronice sau furnizorilor de servicii de comunicatii electronice destinate publicului”.
La litera e) se mentioneaza: Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, ANCOM, SRI, SIE, STS si SPP sunt autoritati responsabile de securitate cibernetica cu rol in stabilirea de structuri si implementarea de masuri proprii privind coordonarea si controlul activitatilor referitoare la asigurarea securitatii cibernetice pentru infrastructurile cibernetice, inclusiv infrastructurile cibernetice de interes national, aflate in domeniul lor de activitate si responsabilitate.
Spre deosebire de vechea lege, in noul proiect, Ministerului pentru Societatea Informationala (MSI) i se confera rolul de autoritate de reglementare si control al implementarii masurilor referitoare la asigurarea securitatii cibernetice.
Pentru mai multe comparatii cititi documentele atasate.