Rojszczak Marcin, Ochrona prywatności w cyberprzestrzeni z uwzględnieniem zagrożeń wynikających z nowych technik przetwarzania informacji

Po niemal trzydziestu latach transformacji Polska w wielu obszarach zrównała się z rozwojem cywilizacyjnym państw Europy Zachodniej. W ten sposób marzenie poprzednich pokoleń o możliwości wychowywania swoich dzieci w kraju wolnym i demokratycznym stało się rzeczywistością. Miarą tego sukcesu jest akcesja do Unii Europejskiej oraz możliwość partnerskiego uczestnictwa w projekcie wspólnego społeczeństwa europejskiego, dla którego wolność i godność jednostki stanowi fundament, na bazie którego budowana jest wspólna przyszłość.

Prywatność jest emanacją wolności. Jednostka pozbawiona prywatności nie może być wolna. Przytoczony jako motto fragment dzieła M. Foucaulta wskazuje na uniwersalny charakter tej myśli. J. Bentham, tworząc w XVIII w. koncepcję więzienia idealnego – Panoptykonu – nie mógł przewidzieć, że ponad sto pięćdziesiąt lat później jego wizja zostanie przedstawiona jako ogólna koncepcja kontroli społecznej, a jeszcze później – u progu XXI stulecia – stanie się trafnym opisem możliwości nadzoru realizowanego wobec całych społeczeństw w cyberprzestrzeni. Osiemnastowieczna koncepcja więzienia opisuje bliski nam model demokracji.

Zaprezentowane w niniejszej pracy poglądy są wyrazem moich przemyśleń i opinii, a także głębokiego przekonania, że każda forma zinstytucjonalizowanego nadzoru i kontroli wypacza ideały, które stanowią podstawę naszego społeczeństwa. Nic w tym zakresie nie straciły na aktualności poglądy J. S. Milla, który wskazywał na wolność myśli jako jedną z fundamentalnych swobód człowieka: „żadne społeczeństwo, w którym swobody te nie są, na ogół biorąc, szanowane, nie jest wolne, bez względu na formę jego rządu; i żadne społeczeństwo nie jest całkowicie wolne, jeżeli nie są one w nim uznawane bez żadnych absolutnie zastrzeżeń” .

W uchwalonej w 1948 r. Powszechnej Deklaracji Praw Człowieka po raz pierwszy wyróżniono i nazwano potrzebę prawnej ochrony sfery prywatności jako jedno z podstawowych praw człowieka. Niemal siedemdziesiąt lat później, w 2018 r., w nauce prawa nadal nie wypracowano uniwersalnej i powszechnie akceptowanej definicji prywatności ani standardów jej ochrony. Pomimo przyjęcia licznych deklaracji, rezolucji i wytycznych gremiów międzynarodowych, nie wyłączając tak poważanych, jak Organizacja Narodów Zjednoczonych czy Rada Europy, nadal aktualny jest problem poszanowania prywatności, zarówno w relacjach wertykalnych, jak i horyzontalnych. Problematyka ta zyskuje na znaczeniu wraz z coraz powszechniejszym wykorzystywaniem nowoczesnych środków komunikacji i przetwarzania danych w kolejnych sferach życia. Fenomen cyberprzestrzeni i związany z nią brak terytorialności, pozorna anonimowość i łatwość w dystrybucji informacji skutkują potrzebą ponownej analizy, czy normy prawne ustanowione kilkadziesiąt lat wcześniej są wystarczające i adekwatne do ochrony prywatności w odniesieniu do nowych zagrożeń technologicznych.

Od połowy lat 70. XX w. rośnie ponadto znaczenie legislacji międzynarodowej dotyczącej przetwarzania danych osobowych. Przepisy stanowione w tym obszarze miały przeciwdziałać potencjalnym nadużyciom związanym z przetwarzaniem dużej ilości danych osobowych w systemach informatycznych. Aby cel ten mógł być osiągnięty, funkcja ochronna przepisów została uzupełniona o rozwiązania publicznoprawne i nadanie szeregu nowych praw podmiotom danych, dzięki czemu możliwa była lepsza kontrola nad realizowanymi procesami przetwarzania. O ile w przypadku ochrony prywatności normy międzynarodowe miały prowadzić do ochrony przed arbitralnością władzy krajowej, o tyle w przypadku ochrony danych osobowych miały zapewnić stosowanie tych samych standardów i reżimów przetwarzania na płaszczyźnie ponadnarodowej. W ten sposób przeniesienie wiążących zobowiązań na grunt prawnomiędzynarodowy miało z jednej strony usunąć bariery w międzynarodowym transferze danych, a z drugiej – stworzyć bezpieczną przestrzeń do przetwarzania danych. Niestety cel ten nie został nigdy w pełni osiągnięty. Po części stało się tak z uwagi na odmienne rozumienie i definiowanie prywatności – różne w poszczególnych kręgach kulturowych. Ponadto, nawet jeśli uznawano prywatność za uniwersalną potrzebę człowieka, pojawiała się trudność w zdefiniowaniu granic potrzebnej ochrony, a w konsekwencji i sytuacji uzasadniających możliwą ingerencję. Odmienne spojrzenie na znaczenie prawa do prywatności skutkowało wprowadzaniem przepisów różnej rangi w poszczególnych systemach prawnych. Klasycznym przykładem może być odmienne spojrzenie na prywatność w amerykańskiej i europejskiej nauce prawa. W efekcie skoro w gronie państw demokratycznych, zbudowanych w oparciu o te same wartości i podstawy ustrojowe, nie sposób było osiągnąć zgodności co do rozpoznania prawa do prywatności jako jednego z podstawowych praw człowieka, jest oczywiste, że różnice te tylko narastały w odniesieniu do państw niedemokratycznych.

Upowszechnienie Internetu oraz dynamiczny rozwój technik przetwarzania informacji, w tym pojawienie się zupełnie nowych modeli przetwarzania, takich jak chmura obliczeniowa czy analizy Big Data, zwiększyło potrzebę wprowadzenia skutecznych mechanizmów ochrony praw w cyberprzestrzeni. Możliwość gromadzenia i przetwarzania dużych zbiorów danych, pozyskanych z wielu rozproszonych baz danych i ich swobodne, globalne przetwarzanie doprowadziło do powstania rynku brokerów danych – przedsiębiorców posiadających bazy danych na temat setek milionów osób, w których uwzględniono informacje na temat ich stanu zdrowia, indywidualnych preferencji, sytuacji finansowej czy przynależności do określonych mniejszości. Profilowanie – a więc budowanie opisu jednostki w oparciu o informacje pozyskiwane z wielu elektronicznych baz danych – stało się skuteczną techniką marketingu produktów i usług, ale również badania i przewidywania zachowań ludzi albo całych społeczności, a w wariancie bardziej rozbudowanym – skutecznym narzędziem inwigilacji. W ten sposób już dzisiaj możliwe jest określenie, jaka część uczestników festiwalu muzycznego Open’er to kobiety starające się o dziecko, a jaka – przedstawiciele mniejszości seksualnych . Z kolei amerykańska sieć handlowa Target może określać zaawansowanie ciąży swoich klientek, a także precyzyjnie przewidywać planowany termin porodu – i w ten sposób odpowiednio dobierać promowane produkty . Wszystko to w oparciu o dane pozyskane dzięki nowoczesnym środkom przetwarzania danych, bez pytania osób zainteresowanych o konkretne fakty i zdarzenia z ich życia. W efekcie normy prawne i możliwości techniczne coraz częściej postrzegane są w kategoriach dychotomii, pozostawiając jednocześnie nierozstrzygniętymi formułowane wątpliwości etyczne i moralne. Jest to błędna diagnoza, pomijająca znaczenie nowoczesnych form przetwarzania informacji dla dalszej ewolucji w kierunku społeczeństwa opartego na wiedzy. Europejski Inspektor Ochrony Danych zauważył, że „nigdy wcześniej podstawowe prawa do prywatności i ochrony danych osobowych nie były tak istotne dla ochrony godności człowieka. Dają one człowiekowi możliwość rozwijania własnej osobowości, prowadzenia niezależnego życia, wykazywania się innowacyjnością oraz korzystania z innych praw i wolności. Technologia nie powinna narzucać wartości i praw, jednak relacji tej nie należy również sprowadzać do błędnej dychotomii. Z rewolucją cyfrową wiążą się obietnice korzyści w takich obszarach jak zdrowie, środowisko, międzynarodowy rozwój i efektywność ekonomiczna” .

Te same technologie, które prywatni przedsiębiorcy wykorzystują do swoich działań komercyjnych, władze państwowe starają się wykorzystywać w obszarze szeroko pojętego bezpieczeństwa narodowego. Analityka predykcyjna – termin określający możliwość typowania zdarzeń w oparciu o zaawansowane algorytmy i duże, wieloaspektowe zbiory danych – jest już dzisiaj wykorzystywana do wskazywania osób podejrzanych o najpoważniejsze przestępstwa. Ponieważ termin „najpoważniejsze przestępstwa” jest chętnie używany w deklaracjach i oświadczeniach politycznych, ale nie został zdefiniowany na gruncie norm prawnych w sposób powszechnie akceptowany, to w sposób oczywisty pojawia się poważne ryzyko nadużycia władzy. Ta sama technologia może zostać wykorzystana do gromadzenia informacji na temat przeciwników politycznych czy stworzenia stałego systemu nadzoru nad społeczeństwem. Stale rozbudowywane programy masowej inwigilacji, bazujące na gromadzeniu hurtowych i nieukierunkowanych informacji na temat wszystkich użytkowników sieci łączności elektronicznej każą ponownie zadać pytanie o skuteczność istniejących prawnych mechanizmów ochrony prywatności – krajowych, regionalnych oraz międzynarodowych. Problem ten został dostrzeżony także przez Parlament Europejski, który w odniesieniu do istniejących mechanizmów ochrony prywatności stwierdził, że „traktaty międzynarodowe oraz prawodawstwo UE i Stanów Zjednoczonych, a także krajowe mechanizmy nadzoru, nie zdołały zagwarantować niezbędnych kontroli i równowagi ani demokratycznej rozliczalności” .

W polskiej literaturze brakuje kompleksowego opracowania dotyczącego problematyki ochrony prywatności w cyberprzestrzeni. Dominują ujęcia ukierunkowane na przedstawienie prywatności jako elementu prawa międzynarodowego lub systemów ochrony praw człowieka . W ostatnich latach na skutek większego zainteresowania negatywnymi zjawiskami mającymi miejsce w cyberprzestrzeni publikowane są opracowania dotyczące cyberprzestępczości oraz cyberbezpieczeństwa – rozumianego głównie w wymiarze zapewnienia ochrony infrastruktury systemów i sieci przed atakami .

W krajowym prawodawstwie, z racji funkcjonowania Polski zarówno w systemie europejskiej konwencji, jak i członkostwa w Radzie Europy oraz Unii Europejskiej, funkcjonują trwałe i wielostopniowe mechanizmy prawnej ochrony prywatności. Powstaje jednak pytanie: na ile są to rozwiązania skuteczne i adekwatne do rodzajów ryzyka obecnych w cyberprzestrzeni? Czy brak granic, swoboda dostępu i wymiany informacji – różniąca cyberprzestrzeń od przestrzeni fizycznej – nie tworzy z praw i gwarancji wynikających z praw o krajowym lub regionalnym zakresie stosowania norm tworzących zaledwie pozory ochrony prywatności?

Oddzielnym zagadnieniem jest ocena rozwiązań prawnomiędzynarodowych wprowadzanych przez organizacje o zasięgu regionalnym, takie jak Unia Europejska czy Rada Europy. Przyczyną opracowania przez UE własnych regulacji związanych z ochroną prywatności oraz danych osobowych było przekonanie, że w przeciwnym przypadku nie powiedzie się projekt związany z budową nowoczesnego społeczeństwa opartego na informacji. Tylko zniesienie barier w swobodnej wymianie informacji może przyczynić się do nieskrępowanego rozwoju nowoczesnych usług świadczonych w sieciach takich, jak Internet. O ile więc projekt budowy europejskiego modelu ochrony danych można z dzisiejszego punktu widzenia ocenić jako udany, to w szerszej perspektywie jego sukces unaocznił ryzyka i niedoskonałości wynikające z braku wspólnych, ponadregionalnych regulacji związanych z badaną problematyką. Internet nie ma granic, w przeciwieństwie do prawodawstwa, w tym także stanowionego przez organizację ponadnarodową, taką jak UE. Problem ten trafnie podsumowała Grupa Robocza Art. 29, wskazując, że „zgodnie z prawem UE, prawo do ochrony danych osobowych to prawo podstawowe, podlegające ochronie na mocy art. 8 Karty Praw Podstawowych UE. W innych częściach świata potrzeba ochrony danych jest uznawana, niekoniecznie jednak ma status prawa podstawowego. UE i jej państwa członkowskie winny zagwarantować to podstawowe prawo każdej osobie objętej ich jurysdykcją. W zglobalizowanym świecie oznacza to, że obywatele mogą również żądać ochrony, jeśli ich dane są przetwarzane poza terytorium UE” .

Pogląd o niepełnej skuteczności istniejących regulacji prawnych mających na celu ochronę przed zagrożeniami dla prywatności wynikającymi z nowoczesnych technik przetwarzania danych nie powinien prowadzić do mylnego przekonania, że głównym zagrożeniem dla ochrony prywatności jest postęp techniki. Jeżeli bowiem uznać taką hipotezę za prawdziwą, to w konsekwencji celem wprowadzanych norm prawnych powinno być przeciwdziałanie temu zjawisku, a więc de facto próba powstrzymania lub znacznego ograniczenia upowszechnienia się nowoczesnych technik przetwarzania informacji. Jest to podejście błędne, wynikające zapewne z pozanaukowego przekonania, że technologia może mieć cechy przypisywane działaniom ludzi. W rzeczywistości technika jest narzędziem o konkretnych możliwościach i funkcjach, bardziej lub mniej doskonałych – ale cały czas nie stanowi samodzielnego bytu w przestrzeni społecznej. To ludzie kształtują sposób, w jaki nowoczesna technika jest wykorzystywana. Sposobem ograniczania lub kontrolowania jej zastosowań jest między innymi wprowadzanie skutecznych norm prawnych. Celem prawodawcy nie powinno być hamowanie postępu techniki poprzez wprowadzanie archaicznych, niedopasowanych przepisów, ale kształtowanie go we właściwy sposób, zgodny z wartościami stojącymi u podstaw funkcjonowania współczesnych społeczeństw. Wprowadzanie tego typu regulacji – i to nie czekając na pojawienie się negatywnych skutków związanych z ich brakiem – jest zadaniem trudnym, zwłaszcza że obszary zastosowania niektórych technologii (np. Big Data czy IoT ) nie są jeszcze gruntownie rozpoznane. Nie zmienia to jednak faktu, że – jak zauważyła KE – tylko synergia pomiędzy normami prawnymi oraz rozwiązaniami technologicznymi może zaowocować pomyślną transformacją w kierunku społeczeństwa opartego na wiedzy i informacji .

Zakreślony powyżej problem badawczy jest złożony i wieloaspektowy. Jego badanie wykracza poza przestrzeń nauki prawa, nie może bowiem pomijać aspektów technicznych związanych z funkcjonowaniem cyberprzestrzeni i zagrożeń w niej występujących. Rozważania dotyczące skuteczności norm prawnych bez odniesienia i omówienia technologii, które normy te mają regulować, są obarczone ryzykiem, że przedstawione wnioski będą niepełne i wybiórcze. W efekcie duża część rozważań przedstawionych w niniejszej pracy służy omówieniu i wyjaśnieniu, dlaczego istniejące lub proponowane przepisy prawne są i będą nieskuteczne w odniesieniu do technologii, którą mają regulować. Rozstrzygając tę kwestię, podjęto także próbę wskazania warunków brzegowych, jakie powinny zostać spełnione i uwzględnione, aby będąca efektem prac umowa międzynarodowa prowadziła do skutecznej ochrony prywatności w cyberprzestrzeni.

Rozważając problem niedopasowania norm prawnych do zastosowań technicznych, które mają one regulować, wyróżnić może kilka problemów szczegółowych, wymagających odrębnej analizy:

Istotnym elementem pracy jest także analiza orzecznictwa, w tym międzynarodowych organów sądowych i kontrolnych. Z uwagi na znaczenie norm prawnomiędzynarodowych dla badanej problematyki szczególną uwagę poświęcono analizie orzecznictwa Europejskiego Trybunału Praw Człowieka oraz Trybunału Sprawiedliwości Unii Europejskiej. W pracy wykorzystano też informacje udostępnione przez krajowe organy władzy publicznej na podstawie przepisów ustawy o dostępie do informacji publicznej .

Próba odpowiedzi na pytanie o przyczyny nieskuteczności istniejących regulacji prawnych wymaga w pierwszej kolejności wprowadzenia i wyjaśnienia podstawowych pojęć i terminów – takich jak „prywatność” i związane z nią „prawo do prywatności”, a także „cyberprzestrzeń” oraz wzajemna relacja pomiędzy ochroną danych osobowych a ochroną prywatności. Zagadnienia te zostały przedstawione w rozdziale 1. Szczególną uwagę zwrócono na wyjaśnienie uniwersalnej roli prywatności jako potrzeby warunkującej prawidłowy rozwój osobowości człowieka. Jest to kwestia o fundamentalnym znaczeniu, nadal bowiem – również w dyskursie prawniczym – spotyka się opinie sugerujące, że prywatność stanowi wytwór współczesnej cywilizacji państw wysoko rozwiniętych, a w efekcie próba przeniesienia mechanizmów jej prawnej ochrony na płaszczyznę ponadnarodową musi się spotkać z zarzutem narzucania innym własnych wartości.

W rozdziale 2 przedstawiono analizę i omówienie najważniejszych systemów ochrony praw człowieka funkcjonujących w polskim porządku prawnym i wprowadzających normy ochronne związane z prawem do prywatności. Pokazano ewolucję postrzegania prywatności na gruncie prawodawstw różnych organizacji międzynarodowych (w szczególności Organizacji Narodów Zjednoczonych, Rady Europy i Unii Europejskiej). Rozważania dotyczące prawa materialnego uzupełniono analizą skuteczności środków ochrony prawnej – w szczególności powołanych organów kontrolnych i sądowych, a także znaczenia wydawanych przez nie rozstrzygnięć dla sytuacji prawnej jednostek na gruncie przepisów krajowych. W rozdziale tym przedstawiono również analizę najważniejszych norm konstytucyjnych mających wpływ na badaną problematykę, wraz z ich porównaniem ze standardami ochrony wynikającymi z traktatów międzynarodowych.

Rozdział 3 poświęcono przedstawieniu najważniejszych aktów prawnomiędzynarodowych, w większości o charakterze niewiążącym, wprowadzających wytyczne dotyczące ochrony danych osobowych. Regulacje te miały znaczący wpływ na ukształtowanie norm prawa krajowego wielu państw, ale również norm ponadnarodowych – takich jak prawo UE. Chociaż cechują się one o wiele bardziej szczegółowym i technicznym charakterem – zwłaszcza w porównaniu z ogólną treścią norm wynikających z systemów ochrony praw człowieka – to de facto w dużej części wpłynęły na ukształtowanie dzisiejszego europejskiego modelu ochrony danych.

W kolejnym, czwartym rozdziale przedstawiono najważniejsze akty prawne oraz obszary regulacji związane z prawem UE. Prawodawstwo unijne jest powszechnie uznawane za modelowe w zakresie podnoszenia standardów ochrony prywatności w cyberprzestrzeni. Jest też często przytaczane w literaturze przedmiotu jako przeciwieństwo podejścia funkcjonującego w systemie prawnym Stanów Zjednoczonych. Reforma unijnych przepisów o ochronie danych to doskonały moment nie tylko na ocenę, na ile wprowadzane oraz dyskutowane regulacje mogą stanowić kompleksowe rozwiązanie problemu ochrony prywatności w cyberprzestrzeni, ale również – na ile proponowany przez prawodawcę unijnego sposób budowania bezpiecznej przestrzeni przetwarzania informacji w relacjach z państwami trzecimi (nienależącymi do UE/EOG) jest realny i możliwy do zastosowania.

W rozdziale 5 omówiono przepisy krajowe oraz rolę krajowego prawodawcy w obszarze ochrony prywatności w cyberprzestrzeni. Uwzględniając funkcjonowanie Polski w kilku systemach praw człowieka (MPPOiP, EKPC, KPP) oraz pamiętając o istotnej roli przepisów stanowionych przez UE w zakresie ochrony prywatności, interesujące było zbadanie, czy i w jakim zakresie krajowy prawodawca dysponuje przestrzenią do stanowienia dodatkowych regulacji kształtujących prawne granice prywatności. W ten sposób poza wskazaniem wniosków de lege lata i de lega ferenda przeprowadzono także ocenę istniejących rozwiązań prawnomiędzynarodowych, w szczególności ocenę ich skuteczności w przypadku, gdy władze publiczne nie realizują odpowiednio swoich pozytywnych lub negatywnych obowiązków wynikających z treści traktatów.

W kolejnych trzech rozdziałach omówiono wybrane zagadnienia dotyczące najważniejszych, zdaniem autora, problemów związanych z ochroną prywatności w cyberprzestrzeni. Każde z przedstawionych zagadnień nie tylko może posłużyć do zobrazowania różnych słabości istniejących modeli ochrony prywatności, ale także prowadzi do konieczności rozważenia, czy w ogóle przyjęte założenia doktrynalne leżące u podstaw prawnej ochrony prywatności i danych osobowych są prawidłowe i aktualne. W rozdziale 6 omówiono przetwarzanie informacji w modelu chmury obliczeniowej, w rozdziale 7 przeprowadzono analizę dużych zbiorów danych (Big Data), a w rozdziale 8 rozważono obecne możliwości władzy publicznej związane z prowadzeniem masowych programów inwigilacji. Wszystkie rozdziały części drugiej przygotowano w podobny sposób, w szczególności określono w nich podstawową terminologię, wyjaśniono technologie i zastosowania będące przedmiotem badania, a także dokonano analizy prawnej wraz z odwołaniem się w podsumowaniu i wnioskach do wpływu danej technologii na płaszczyznę ochrony prywatności użytkowników w cyberprzestrzeni. Jednocześnie w każdym z rozdziałów części drugiej przedstawiono analizowany problem z innej perspektywy, dając możliwość zrozumienia wieloaspektowości badanej problematyki.

Monografię kończy podsumowanie, w którym zebrano wnioski cząstkowe, na podstawie których określono, czy i w jaki sposób normy prawnomiędzynarodowe powinny tworzyć ramy ochronne i regulacyjne w zakresie prawa do prywatności w cyberprzestrzeni.