Bartlomiej Kozek: Czy możesz wytłumczyć, czym właściwie jest Pegasus i dlaczego jego zastosowanie w charakterze narzędzia do inwigilacji budzi tyle kontrowersji? Czy jest używany w zasadny, proporcjonalny sposób?

Wojciech Klicki: Pegasus to oprogramowanie i usługa sprzedawana przez konkretną, izraelską firmę NSO Group. To produkt, który pozwala na przejęcie pełnej kontroli nad telefonami zaatakowanych osób. Agencje państwowe kupują to narzędzie i szkolą swych agentów w ich wykorzystywaniu. Po nabyciu kompetencji w tym zakresie mogą zaatakować wybrany przez siebie numer – i to na różne sposoby. Czasem wymaga to kliknięcia ze strony użytkownika, czasem dzieje się to niejako automatycznie. W efekcie telefon zmienia się w narzędzie szpiegowskie, które nosimy w kieszeni.

Wykorzystywanie zainfekowanego telefonu odbywa się na trzech poziomach. Pierwszym z nich jest typowy podsłuch, umożliwiający śledzenie rozmów. Drugim jest możliwość przeszukania urządzenia – dostęp do wszystkich zapisanych w telefonie informacji, takich jak zdjęcia czy wiadomości (także tych zaszyfrowanych, jak te z komunikatora signa), obejmuje to także możliwość śledzenia aktywności na facebooku czy w bankowości elektronicznej. Trzecia, najbardziej szokująca warstwa, to możliwość modyfikacji zapisanych w telefonie danych. Dzięki Pegasusowi można z niego coś usunąć, ale też podrzucić, na przykład obciążające materiały. Pegasus w rękach służb jest niczym bomba atomowa.

Widzimy, że pokusa używania tego typu potężnych narzędzi jest w wielu krajach ogromna. Za pomocą Pegasusa śledzono działania katalońskich aktywistów czy węgierskich dziennikarzy i polityków. Jego ofiarą padł nawet unijny komisarz odpowiedzialny za wymiar sprawiedliwości, Didier Reynders. Pokazuje to, że wykorzystywanie nowoczesnych technologii inwigilacji stanowi prawdziwie europejski problem.

Jak wygląda polski kontekst afery wokół Pegasusa? Jakie aspekty brzmią szczególnie niepokojąco?

Cofnijmy się do listopada roku 2021. Prokuratorka Ewa Wrzosek dostała od Apple informację, że jej telefon był obiektem zainteresowania służb. Niebawem kanadyjscy badacze z CitizenLab potwierdzili, że jej telefon był atakowany Pegasusem.

Od tego momentu sprawa nabrała rozpędu – szybko ogłoszono kolejne potwierdzone ataki. Jedną z zaatakowanych osób był Krzysztof Brejza, senator Platformy Obywatelskiej. Jego inwigilacja odbywała się w momencie, kiedy kierował on sztabem opozycyjnej Koalicji Obywatelskiej w trakcie kampanii parlamentarnej w roku 2019. Wrzosek z kolei starała się zachowywać niezależność w sytuacji, gdy trwała rządowa reforma sądownictwa. Zainfekowany tym oprogramowanie był też szef nowej inicjatywy politycznej, Agro-Unii, Michał Kołodziejczak, który uważany jest za potencjalnie odbierający głosy wiejskiego elektoratu rządzącemu Prawu i Sprawiedliwości.

Wszystko to odbywa się w warunkach braku silnej kontroli społecznej i politycznej nad służbami specjalnymi. Nawet jeśli służby zwracały się do sądu o zgodę na założenie podsłuchu (a nie jest to pewne), to sądy i tak nie wiedziały, że chodzi o wykorzystanie Pegasusa, na którego wykorzystanie polskie prawo nie pozwala.

Pamiętajmy, że mówimy tu nie o ludziach podejrzewanych o terroryzm, ale o osobach niepokornych wobec władzy. Dlatego ta sprawa doskonale pokazuje, że w przypadku niekontrolowanej inwigilacji stawką staje się tu nie tylko prywatność, ale też kwestia wolności i równości wyborów. Przecież w trakcie kampanii parlamentarnej za plecami czołowego polityka opozycji, za pośrednictwem jego komórki, stali politycy partii rządzącej! Nie trzeba mieć politycznych sympatii do tego czy innego ugrupowania, żeby widzieć, że coś tu jest nie tak.

Czy uważasz, że poziom inwigilacji za czasów rządów PiS – od 2015 roku – wzrósł drastycznie w porównaniu do wcześniejszego okresu, czy może mamy do czynienia z kontynuacją trendów z lat rządó koalicji PO-PSL (2007-2015)? To drugie stanowisko zdaje się wybrzmiewać w głosach polityków partii rządzącej.

Odpowiadając na to pytanie mam komfort tego, że niezależnie od tego kto rządzi nasz przekaz nie ulega zmianie. Naszym zdaniem w Polsce brakowało – i ciągle brakuje – porządnej jakości kontroli nad służbami. Tak było zarówno przed, jak i po roku 2015. Na początku lat 90. XX wieku dekomunizowaliśmy służby, ale nie zrobiono wówczas drugiego niezbędnego kroku – – nie zostały stworzone narzędzia niezależnej, apolitycznej kontroli nad służbami. Z czasem problem mści się coraz bardziej, choćby z powodu postępu technologicznego dającego im kolejne narzędzia do skutecznej inwigilacji.

W ostatnich latach jesteśmy świadkami poszerzania kompetencji służb specjalnych w Polsce. Po roku 2015 wprowadzone zostały zmiany legislacyjne, dające im więcej możliwości i wprowadzając zachęty do zdobywania dowodów popełnienia przestępstwa za wszelką cenę, choćby z naruszeniem prawa. Przy ich wprowadzaniu zapomina się, że obok prawa do bezpieczeństwa mamy też prawo do prywatności. W efekcie służby podsłuchują w Polsce ok. 10 tysięcy osób rocznie. Jedynie kilkanaście procent podsłuchów przynosi materiały wykorzystywane w postępowaniach karnych, pozostałe kończą się bez przekonujących wyników.

Naszym zdaniem, w Polsce brakowało – i nadal brakuje – przyzwoitej kontroli jakości usług ochroniarskich.

Czy wspomniane przez Ciebie poziomy inwigilacji da się w ogóle obronić jako zasadne?

Moim zdaniem niekoniecznie, bez względu na charakter sprawy, w której Pegasus miałby być wykorzystywany. Nie jest to wyłącznie moja opinia – Amnesty International proponuje na przykład wprowadzenie moratorium na stosowanie Pegasusa, argumentując swoją propozycję niedostosowaniem polskiej legislacji do możliwości kontrolowania skali jego wykorzystywania. Pegasus może zostać dopuszczony do używania z powrotem dopiero w momencie reformy służb.

Czy sprawa Pegasusa może być uznana za kolejny przykład naruszania przez obecny rząd zasad praworządności?

Polski kryzys praworządności do tej pory utożsamiany był głównie z reformami wymiaru sprawiedliwości. Teraz zobaczyliśmy, że ma on znacznie szerszy charakter. Podsłuchiwanie szefa sztabu partii opozycyjnej zaburza zasady państwa prawa, a wręcz demokracji, wolności i równości wobec prawa nawet przy sprawnie działających sądach.

Jakie kroki zostały już podjęte w sprawie Pegasusa, a jakich możemy się spodziewać? Gorąco dyskutowana jest chociażby kwestia powołania do życia komisji śledczej w polskiej izbie niższej – Sejmie.

Na początek warto krótko powiedzieć o funkcjonowaniu parlamentu w Polsce. Mamy tu dwie izby. Senat – izba wyższa, mniej istotna przy tworzeniu prawa – znajduje się dziś w rękach opozycji. Powstała tam komisja, mająca za zadanie wyjaśnianie zagadnień związanych z aferą. Wzywa ona kolejne inwigilowane osoby na swoje posiedzenia i bada wpływ podsłuchów senatora Brejzy na wynik wyborów. Ten drugi wątek stanowi moim zdaniem karkołomne zadanie, trudno bowiem udowodnić bezpośrednie powiązanie między pozyskaniem informacji z podsłuchu szefa sztabu partii opozycyjnej (senatora Brejzy) a działaniami PiS. Sytuacji nie ułatwia to, że przed komisją stawiają się wyłącznie osoby z opozycji lub niezwiązane z rządem. Przedstawiciele rządu lub powołani przez nich szefowie służb odmawiają udziału w obradach.

Komisja postawiła sobie za zadanie stworzenie projektu przepisów, wprowadzających niezależną kontrolę nad służbami oraz dających podsłuchiwanym prawo do uzyskania informacji na swój temat. Choć szansa na przyjęcie takich przepisów nie jest dziś duża, to byłyby one gotowe w momencie ewentualnej zmiany władzy. To ważne na wypadek gdyby nowi rządzący doszli do wniosku, że brak zmian byłby w ich interesie.

W wypadku Sejmu mamy do czynienia z klinczem, związanym z brakiem stabilnej większości przez rząd. Każde głosowanie wisi na szali pojedynczych posłów – w tym wypadku z ugrupowania muzyka Pawła Kukiza. Przy okazji tej dyskusji pojawił się pomysł, by taka komisja badała sprawy inwigilacji od roku 2005, czyli bardzo długiego, trudnego do ogarnięcia okresu. Moim zdaniem ten pomysł jest absolutnie niewykonalny.

Póki co prace komisji senackiej nieco spowolniły z powodu wojny w Ukrainie. Tworzy ona trudny kontekst. Mówienie o ograniczaniu uprawnień służb w czasach wojennych może być określone jako działanie na szkodę Polski. Uważam tymczasem, że jest odwrotnie. Dotychczasowe działania służb sprawiły, że utraciły one zaufanie zarówno społeczeństwa i organizacji społecznych, jak i zagranicznych partnerów. Przywrócenie niezbędnej kontroli pozwoliłoby na proces odbudowy tego zaufania, które jest niezbędne do współpracy ze społeczeństwem na rzecz wspólnego bezpieczeństwa.

Podsłuchiwanie szefa sztabu partii opozycyjnej zaburza zasady państwa prawa, a wręcz demokracji, wolności i równości wobec prawa nawet przy sprawnie działających sądach.

W sprawie Pegasusa niezwykle ważny jest również wątek europejski. Czy instytucje unijne powinny skupić się bardziej na konkretnym wątku Polski, czy może na szerszym kontekście demokratycznej kontroli nad służbami we wszystkich państwach członkowskich?

Unia Europejska ma tu do wykonania dużą pracę. W Parlamencie Europejskim powstała badająca ten temat komisja śledcza. Skutkiem prac ma być wypracowanie minimalnych wspólnych standardów dla służb wszystkich państw członkowskich.

Kwestie bezpieczeństwa długo pozostawały w wyłącznych kompetencjach państw członkowskich. Zaczęło się to zmieniać dzięki Traktatowi Lizbońskiemu i orzecznictwu Trybunału Sprawiedliwości UE. Na poziomie unijnym mamy również przepisy ograniczające eksportu technologii podwójnego zastosowania, czyli np. narzędzi szpiegowskich. Powstaje pytanie, czy nie czas na ściślejszą kontrolę nad ich importem.

Poziom europejski oddziałuje również na polski. Zmiana w naszym kraju będzie możliwa, gdy złoży się na nią wiele czynników. Unia nie ma czarodziejskiej różdżki, której użycie w magiczny sposób rozwiąże polski problem z niekontrolowaną inwigilacją. Presja na władze musi pochodzić z wielu kierunków, a Bruksela jest tu jednym z wielu kamyczków przyczyniających się do wzrostu świadomości konieczności zmian – już nie tylko w opinii publicznej, ale również wśród polityków.

Bieżące wydarzenia sprawiają, że temat inwigilacji i jej granic pozostaje aktualny. Czy masz wrażenie, że zakres jej stosowania zmienił się w trakcie pandemii? Czy na jej wpływ ma nośność tematów, takich jak wojna w Ukrainie czy zagrożenia dla cyberbezpieczeństwa? Jak działać, by nie zapomnieć o demokratycznych wartościach?

Kiedy zaczynała się pandemia były bardzo silne obawy o to, że jej efektem będzie wzrost nadzoru nad członkami społeczeństwa, że przyczyni się do objęcia większą kontrolą naszych ciała i stanu zdrowia. Technologie z początku wykorzystywane były właśnie w ten sposób, na przykład poprzez eksperymenty z wykorzystaniem aplikacji do śledzenia kontaktów. W praktyce okazało się to trudniejsze niż w teorii – z perspektywy czasu uważam, że pandemia pod tym względem nie uczyniła tak wielkich szkód, jakich można było się obawiać.

Myśląc o wojnie w Ukrainie przypomnieć sobie można, że w ubiegłym roku obchodziliśmy dwudziestolecie zamachu na WTC. Z perspektywy czasu widać, jak wielkie przyzwolenie na wzrost inwigilacji generują tego typu wydarzenia. Pokazał to Edward Snowden. Na dziś za wcześnie uznać, czy tak będzie i tym razem, czy posłuchamy wezwania do tego, by „oddać trochę wolności za bezpieczeństwo”.

W Polsce widać już pierwsze kroki, np. w Ustawie o obronie ojczyzny dopisane zostało uprawnienie wojska do dostępu do danych będących w zasięgu administracji publicznych, takich jak te z Zakładu Usług Społecznych czy szpitala. Takie regulacje udało się wpisać, wykorzystując do tego ducha zgody narodowej. Problem w tym, że różnego rodzaju rozwiązania przyjmowane w logice stanu wyjątkowego mają przykrą tendencję do „zadamawiania się” w naszej rzeczywistości.

Jak w takiej sytuacji zachować równowagę między prawem do prywatności a skutecznym działaniem różnego rodzaju służb? Wydaje się to szczególnie dużym wyzwaniem w sytuacji, gdy równocześnie potrzebujemy silnych regulacji, chroniących nas przed nadużywaniem naszych danych przez podmioty prywatne, jak i chroniących nas przed przekroczeniem uprawnień przez instytucje publiczne.

Czasem, szukając tego wymarzonego balansu, popełniamy błąd myślenia jednowektorowego – mówimy, że służby mają być słabe albo silne. Oprócz tego są też inne punkty odniesienia, na przykład wektor kontroli nad służbami. Dziś mamy w Polsce do czynienia z silnymi służbami pod słabą kontrolą. Alternatywa „prywatność albo bezpieczeństwo” jest fałszywa – prywatność dotyczy jednego wektora, bezpieczeństwo drugiego.

Jakie narzędzia do odpowiadania na tego typu wyzwania ma Unia Europejska – a jakie mieć powinna? Czy jednym z nich może stać się Akt o usługach cyfrowych (Digital Services Act)?

Unia Europejska wciąż wpada w pułapkę wprowadzania dalszych ograniczeń prawa do prywatności, uzasadniając to koniecznością ochrony innych ważnych wartości. Komisja Europejska zaproponowała niedawno regulację, która wprowadzałaby filtrowanie wszystkich wiadomości (takich jak e-maile czy czaty) pod kątem ochrony dzieci przed nadużyciami seksualnymi. W praktyce oznaczałoby to koniec szyfrowanej komunikacji narzędziami, takimi jak Signal czy WhatsApp.

Orzeczenia TSUE napawają z kolei optymizmem, studząc aspirację unijnego legislatora w tym zakresie poprzez uznawanie za niezgodne z prawem posunięć, prowadzących do nieproporcjonalnych poziomów inwigilacji (np. w wypadku regulacji dotyczących retencjonowania danych).

W kontekście nadzoru ze strony wielkich korporacji cyfrowych Unia jest na dobrym kursie. Zauważyła zagrożenia związane z tym, że dane dotyczące jej obywateli dają władzę, o którą obecnie trwa walka. O władzę tę starają się zarówno korporacje, jak i służby. Mamy dużo dowodów na to, że platformy już dziś mają taką władzę i ją wykorzystują. Niedawny wyciek Facebook Files, który doprowadził do wysłuchania publicznego w Parlamencie Europejskim, pokazał skalę wpływu cyfrowych gigantów na opinię publiczną.

Dostrzeżony został zatem problem – spór toczy się jednak o proponowane rozwiązania.

Działania wokół Aktu o usługach cyfrowych nie adresują w sposób bezpośredni kwestii realizowanego na masową skalę pozyskiwania danych przez państwa członkowskie. Zapisy, które mogłyby być adekwatne w tym kontekście (np. wprowadzenie zakazu zobowiązywania przez państwo pośredników internetowych do stosowania narzędzi monitorowania zachowań w sieci, zabronienie wprowadzania utrudnień dla szyfrowania czy anonimowości, przede wszystkim zaś zakaz magazynowania danych przez pośredników) zostały z DSA usunięte w procesie trialogu.

W rezultacie Akt skupia się przede wszystkim na wyzwaniu nadzoru korporacyjnego. Najważniejszymi zapisami są tu regulacje związane z kwestiami śledzenia pod kątem reklam i systemów rekomendacyjnych. Ich kształt jest daleki od ideału, ale w praktyce wiele zależeć będzie od tego, w jaki sposób zapisy te będą wdrażane przez firm oraz od determinacji organów nadzoru.

Problem został zatem dostrzeżony, ale już co rozwiązań diabeł tkwi w szczegółach. W brukselskich korytarzach krążą reprezentanci GAFA (Google, Amazon, Facebook, Apple), mający dużo większy dostęp do uszu decydentów niż zwykli obywatele i starający się zadbać o swoje interesy, choćby w przepisach dotyczących profilowania reklam. Musimy być tego świadomi, by móc lepiej walczyć o ochronę swego prawa do prywatności, kontroli danych na swój temat – oraz, koniec końców, naszej wolności do podejmowania świadomych decyzji.