Studii, opinii, interviuri ⁞⁞ RNSJ ⁞⁞ ESSENTIALSPovestim cărţi
 
 
Opinii
Înregistrările video sunt accesibile pentru membri şi parteneri. Cheltuială deductibilă fiscal. Reducere 39,6 euro pentru avocaţii din barourile Bucureşti, Ilfov, Dolj, Timiş, Prahova şi Sibiu. Se acordă 20 de puncte de pregătire profesională. UNBR încurajează extinderea naţională, detalii aici. Reducere 19,8 euro pentru executorii Camerei Executorilor Bucureşti, membrii UNELM şi notarii Camerei Notarilor Publici Bucureşti.
Abonare newsletter oficial JURIDICE.ro

Print Friendly, PDF & Email

Obţinerea de date informatice în cadrul anchetelor penale direct de la furnizorii de servicii de internet şi media străini

13.11.2018 | Alexandru FRUNZĂ-NICOLESCU
Alexandru Frunză-Nicolescu

Alexandru Frunză-Nicolescu

În urmă cu 20 de ani, anchetele penale se bazau preponderent pe mijloacele de probă administrate de către organele de urmărire penală, fie la faţa locului, fie într-o arie geografică relativ apropiată de locul comiterii faptei. Astăzi, datorită dezvoltării şi propagării cu rapiditate a tehnologiilor informaţiilor şi telecomunicaţiilor (ICTs), din ce în ce mai multe mijloace de probă necesare identificării, investigării, urmăririi penale şi condamnarii persoanelor care comit infracţiuni, se regăsesc sub forma unor date informatice (probe informatice), date care cel mai frecvent sunt controlate, localizate sau deţinute de către furnizori de servicii de internet (ISPs[1]) domiciliaţi în jurisdicţii străine, cu preponderenţă în Statele Unite ale Americii.

Dacă în cazul anchetelor unde mijloacele de probă erau localizate faptic între graniţele interne ale României, iar procedurile de conservare, ridicare sau utilizare a acestora erau binecunoscute şi la îndemâna organelor judiciare, nu acelaşi lucru este valabil când vine vorba despre procedurile legale şi modalităţile concrete de conservare, ridicare sau folosire de date informatice deţinute de ISPs străini.

Conservarea, ridicarea sau folosirea de date informatice deţinute de ISPs străini poate fi realizată de către organele judiciare din România prin două modalităţi, una reprezentată de cooperarea judiciară internaţională şi a doua reprezentată de cooperarea directă între organul judiciar român şi ISP, fără vreo intervenţie din partea autorităţilor competente din statul unde este stabilit providerul.

Acest articol urmează a trata într-un mod succint cea de-a doua modalitate descrisă mai sus, raportându-se doar la ISPs americani (Google, Facebook, Apple, Microsoft, Yahoo, Twitter etc.) dorindu-se a reprezenta un sprijin practic pentru organele de urmărire penală (procurori şi ofiţeri de poliţie judiciară) care efectuează urmărirea penală a infracţiunilor a căror probare necesită administrarea de mijloace de probă reprezentate de date informatice.

Dacă în cazul infracţiunilor comise împotriva confidenţialităţii, integrităţii şi disponibilităţii datelor sau sistemelor informatice şi al infracţiunilor comise cu ajutorul computerului, datele informatice reprezintă principalul mijloc de probă pentru dovedirea activităţii infracţionale a autorilor, nu rare sunt situaţiile în care, pentru investigarea unor infracţiuni de drept comun, este necesară administrarea unor mijloace de probă constând în date informatice stocate, deţinute sau controlate de furnizori de servicii de internet şi media stabiliţi în afara teritoriului României. Mai mult, în unele cazuri, obţinerea datelor infomatice este necesară pentru a preîntâmpina comiterea unor infracţiuni grave, cum ar fi un atac terorist sau o infracţiune de omor, sau pentru a salva viaţa unei persoane aflate în pericol.

Să luăm ca exemplu cazul unui copil răpit de persoane necunoscute, scopul răpirii fiind acela de agresare sexuală a minorului. Fără doar şi poate ne aflăm în situaţia în care organele judiciare au la îndemână un timp foarte scurt pentru a reuşi să prevină comiterea agresiunii sexuale şi să salveze integritatea fizică sau viaţa victimei. Din primele date strânse de organele de urmărire penală reiese că persoana suspectată că a răpit minorul utilizează adresa de email abc@gmail.com[2]. Este clar că având această informaţie, organul de cercetare penală trebuie să afle cât mai curând posibil cine este titularul acestei adrese de email pentru a efectua ulterior demersurile de localizare a acelei persoane. Datele primordiale pentru organul de urmărire penală sunt cele referitoare la „subscriber information”, repectiv la abonat, utilizator şi servicii prestate, mai precis datele de identitate cu care s-a înregistrat utilizatorul acelei adrese de email, numărul de telefon mobil cu care s-a înregistrat, alte adrese de email folosite la momentul înregistrării, adresa IP de la care a înregistrat contul etc.

Însă, adresa de email abc@gmail.com este o adresă înregistrată de furnizorul de servicii de mesagerie online Google, furnizor înregistrat şi stabilit în Statele Unite ale Americii. În mod normal, modalitatea clasică de obţinere a datelor menţionate mai sus ar fi reprezentată de întocmirea şi transmiterea unei cereri de asistenţă judiciară internaţională transmisă către autorităţile judiciare americane. După cum relevă numeroase studii în domeniu, o astfel de procedură poate dura de la şase luni la 2 ani[3]. E lesne de înţeles de ce o astfel de procedură nu ar fi fiabilă în contextul descris mai sus sau în orice altă procedură în care datele informatice sunt necesare de urgenţă.

Însă Google, la fel ca mare parte din marii furnizori de servicii de internet şi media americani[4], furnizează, în anumite condiţii, date despre abonaţi, utilizatori sau servicii furnizate („subscriber information”[5]), sau date de trafic („traffic data”[6]), iar în unele cazuri chiar date de conţinut (cum ar fi discuţiile purtate prin intermediul emailului, fotografii, etc), direct către organele judiciare din alte ţări.

Ca atare, în cazul descris mai sus, organele judiciare pot contacta direct Google, solicitându-i acestuia transmiterea datelor informatice necesare identificării şi prinderii autorului răpirii menţionate. În urma unei astfel de cereri există şanse mari ca Google să furnizeze datele solicitate de către organele judiciare într-un timp util anchetei.

Obţinerea de date informatice direct de la ISPs americani a început să fie o practică obişnuită pentru organele judiciare din ţările parte la Convenţia de la Budapesta[7], fapt relevat de rapoartele de transparenţă publicate bianual de către majoritatea marilor furnizori de servicii. Însă, aşa cum rezultă din cuprinsul aceloraşi rapoarte de transparenţă, organele judiciare din România folosesc foarte rar această procedură.

Conform unui raport întocmit de „Cloud Evidence Group[8] referitor la cooperarea directă între organele judiciare din 48 ţări membre ale Convenţiei de la Budapesta şi şase mari furnizori de servicii internet şi media americane (Apple, Facebook, Google, Microsoft, Twitter şi Yahoo), organele judiciare din aceste ţări au trimis în cursul anului 2014 peste 100.000 de cereri de furnizare de date informatice, în special „subscriber information” sau traffic data şi au primit date în peste 60% din cazuri. Din aceste peste 100.000 de cereri, mai puţin de 100 au fost trimise de către organele judiciare din România. În comparaţie, Portugalia, o ţară cu o populaţie de 10 milioane de oameni, a trimis în aceeaşi perioadă, peste 2000 de cereri de acest fel.

Nu este clar care sunt motivele pentru care organele judiciare din România folosesc atât de rar acest mijloc eficient de a obţine date informatice utile anchetelor penale, dar prima impresie este aceea că mare parte dintre organele judiciare nu sunt informate despre existenţa şi posibilitatea utilizării unor astfel de proceduri.

În ceea ce priveşte cadrul juridic care permite obţinerea de date informatice direct de la ISPs străini, România este una dintre ţările semnatare ale Convenţiei de la Budapesta, implementând aproape ad-literam prevederile Convenţiei, astfel că beneficiază de un cadru juridic adaptat realităţilor secolului 21 în ceea ce priveşte investigarea infracţiunilor comise prin intermediul noilor tehnologii în general şi obţinerii şi folosirii de date informatice în cadrul anchetelor penale în special.

Astfel, organele judiciare româneşti pot solicita date informatice direct de la furnizorii de servicii şi internet străini fie în temeiul articolului 170 alin. (2) lit. b) Cod Procedură Penală, în cazul în care se solicită doar date despre abonaţi, utilizatori sau serviciile prestate, fie în temeiul art. 152 Cod Procedură Penală, în cazul în care se solicită date cu privire la trafic. Legislaţia Statelor Unite ale Americii permite, sau mai precis, nu interzice furnizorilor de servicii de Internet şi media din Statele Unite să disemineze direct către autorităţi judiciare din alte ţări, cele două tipuri de date menţionate mai sus. În fapt, cu ocazia diferitelor reuniuni pe care le au cu omologii lor din alte ţări, reprezentanţii SUA încurajează folosirea metodei de comunicare directă cu ISPs americani, considerând-o în conformitate cu legislaţia penală americană.

În ceea ce priveşte diseminarea de date de conţinut, aşa numitele content data, acestea pot fi diseminate direct de către ISPs americani doar în anumite cazuri excepţionale, atunci când există o stare de necesitate sau o urgenţă absolută, cum ar fi un pericol grav pentru sănătatea sau viaţa unei persoane, iminenţa unui atc terorist etc. În ceea ce priveşte aceste date, temeiul legal de solicitare conform legislaţiei penale româneşti este art. 154 alin. (6) din Codul de Procedură Penală.

Niciunul dintre cele trei articole din Codul de Procedură Penală specificate mai sus nu face vreo referire la faptul că furnizorii de servicii de internet sau telecomunicaţii trebuie să se găsească pe teritoriul României, ca atare acestea sunt aplicabile şi pentru ISPs străini. Acolo unde legiuitorul a considerat că textul legal se va aplica doar persoanelor aflate pe teritoriul României, a specificat în mod clar[9] acest lucru.

După cum se poate constata din descrierea de mai sus, procedura ce trebuie îndeplinită pentru obţinerea de date de la un ISP strain este aceeaşi care se utilizează şi în cazul furnizorilor străini stabiliţi pe teritoriul României. Atâta timp cât legislaţia statului unde este stabilit[10] ISP-ul permite un astfel de procedură, nu există nici un impediment de natură de competenţă jurisdicţională[11], iar în ceea ce priveşte legalitatea procedurii din punctul de vedere al legislaţiei penale româneşti, nu există nicio prevedere legală care să interzică folosirea acesteia.

 Mai mult, articolul 13 alin. (2) din Codul de Procedură Penală specifică în mod neechivoc că «Legea procesuală română se aplică actelor efectuate şi măsurilor dispuse pe teritoriul României, cu excepţiile prevăzute de lege.» Astfel, dispoziţiile organelor judiciare sunt întocmite pe teritoriul României, în conformitate cu Codul de Procedură penală.

După primirea cererii de furnizare de date informatice, echipa specializată a ISP-ului o va analiza, verificând dacă aceasta respectă condiţiile de legalitate atât din perspectiva dreptului american cât şi al celui românesc. Bineînţeles, ceea ce interesează providerul este ca solicitarea să fie întocmită de o autoritate judiciară competentă, astfel că, unii dintre provideri pot efectua demersuri suplimentare pentru a stabili autenticitatea cererii.[12]

Totodată, trebuie înţeles faptul că ISPs americani furnizează datele solicitate în mod voluntar, ei neconsiderând în vreun fel că actul emis de organele judiciare are vreo putere de coerciţie asupra lor. De altfel, rata de 60% de răspunsuri pozitive la cererile organelor judiciare străine vine tocmai din faptul că ISPs consideră că sunt liberi să analizeze cererea de furnizare conform propriilor reguli şi să răspundă pozitiv doar cererilor care din punctul lor de vedere îndeplinesc condiţiile de legalitate necesare. De altfel, conform regulilor de drept public internaţional, organele judiciare străine nu au competenţe de jurisdicţie coercitivă asupra persoanelor ce nu se află pe teritoriul lor[13], ca atare nu există nici o posibilitate legală de obligare a ISPs de a furniza datele cerute, în lipsa acordului acestora. În lisa unui răspuns pozitiv din partea ISP-ului, singura soluţie care îi rămâne organului judiciar este cea a solicitării de asistenţă judiciară internaţională de la organele judiciare americane.

 Odată lămurit aspectul referitor la cadrul legal ce permite colaborarea directă cu furnizorul de servicii şi urmarea dată de ISP cererii de furnizare date infomatice, un aspect important pentru organul judiciar este acela de a cunoaşte modalitatea practică concretă în care acesta poate obţine, în timp util, datele informatice necesare începerii, continuării sau finalizării anchetei penale.

Câţiva paşi trebuie respectaţi cu stricteţe, indiferent că providerul de la care se solicită date se numeşte Facebook, Google, Yahoo, Apple, Microsoft, Twitter sau alt ISP stabilit în SUA:

– Identificarea datelor de contact ale ISP-ului unde acesta poate fi contactat; Cei mai mulţi dintre ISPs americani au portaluri dedicate cooperării directe cu forţele de ordine „law enforcement”, operabile 24/7. Printr-o simplă căutare pe Google prin folosirea cuvintelor de căutare „law enforcement/ portal/ nume ISP” organul judiciar va identifica rapid calea de stabilire contact cu providerul.

– Cunoaşterea limbii engleze de natură a-i permite organului judiciar purtarea unei conversaţii decente, inclusiv prin folosirea de termeni juridici sau tehnici, cu responsabilul din cadrul ISP-ului; Este necesar ca organul judiciar să aibă cunoştinţele necesare pentru a putea purta în condiţii optime, fie prin intermediul telefonului, în special atunci când este nevoie imediată de date, fie prin intermediul adresei de email, discuţii cu reprezentantul ISP-ului. În unele cazuri, ISP-ul are nevoie de date suplimentare din partea organului judiciar, în special când datele furnizate de organul judiciar nu sunt suficiente pentru individualizarea datelor informatice ce sunt solicitate, astfel că este necesar ca aceste informaţii să fie furnizate într-un mod clar şi neechivoc.

– Întocmirea prealabilă a actului de urmărire penală prin intermediul căruia se solicită furnizarea de date informatice; Organul judiciar trebuie să fi întocmit deja actul de urmărire penală prin care a dispus sau i s-a autorizat solicitarea datelor informatice, precum şi o traducere a acestuia în limba engleză (traducerea nu trebuie să fie una legalizată sau oficială, putând fi efectuată de organul judiciar el însuşi). Există anumite situaţii însă când ISP-ul solicită ca datele referitoare la cerere să fie introduse automat pe portalul specific, orice alt tip de cerere nefiind accesat şi procesat de către ISP. De aceea, este de preferat ca înainte de a efectua demersul de solicitare date, organul judiciar să se informeze cu privire la cerinţele ISP-ului fie prin accesarea paginii acestuia de internet fie prin contactarea postului telefonic de contact furnizat de către ISP.

– Specificarea clară că ISP-ului îi este interzis să informeze titular contului despre care se cer date informatice (clauză de non-disclosure) despre existenţa cererii de furnizare date. Este foarte important pentru buna desfăşurare a anchetei penale ca în cuprinsul ordonanţei procurorului sau încheierii instanţei de solicitare date să se specifice expres faptul că utilizatorul serviciului pentru care se solicită date să nu fie încunoştinţat referitor la solicitarea efectuată. Fără o astfel de specificaţie, în cele mai multe cazuri, în mod automat, providerul va încunoştinţa userul despre existenţa solicitării, fapt ce poate periclita bunul mers al anchetei şi aflării adevărului. Temeiul unei astfel dispoziţii date de organul judiciar este reprezentat de prevederile art. 152 alin. (3) Cod Procedură penală şi art. 154 alin. (8) Cod Procedură penală.

În concluzie, cooperarea directă cu ISPs americani, în vederea obţinerii de date informatice necesare în anchetele penale, poate reprezenta o soluţie eficientă pentru organele judiciare pentru aflarea adevărului. Folosirea acestei proceduri poate evita comiterea unor infracţiuni grave, poate facilita, în timp util, probarea activităţii infracţionale a unei persoane, putând totodată să prevină închiderea unor dosare penale din lipsă de probe şi, în consecinţă, proteja victimele în faţa unei posibile impunităţi a inculpatului.


[1] Internet Service Providers.
[2] Adresă de email fictivă.
[3] A se vedea “T-CY assessment report: The mutual legal assistance provisions of the Budapest Convention on Cybercrime”, p. 126, disponibil aici.
[4] A se vedea “Criminal justice access to data in the cloud: Cooperation with “foreign” service providers – Background paper prepared by the T-CY Cloud Evidence Group”, p. 4, disponibil aici.
[5] A se vedea articolul 18 alin. 3 din Convenţia de la Budapesta, disponibil aici.
[6] A se vedea articolul 1 lit. d) din Convenţia de la Budapesta, disponibil aici.
[7] Convenţia de la Budapesta despre criminalitate informatică este singurul instrument international obligatoriu în acest domeniu. În prezent 61 de ţări au ratificat sau accesat Convenţia, inclusiv Statele Unite ale Amercii şi România.
[8]Criminal justice access to data in the cloud: Cooperation with “foreign” service providers, disponibil aici.
[9] A se vedea art. 170 alin. (2) lit. a )din Codul de Procedură Penală.
[10] Locul unde este stabilit un ISP trebuie interpretat raportat la prevederile art. 18 alin. 1 lit. b din Convenţia de la Budapesta şi a Notei de îndrumare a Comitetului Convenţiei de la Budapesta (T-CY) nr. 10 din 01.03.2017, disponibil aici.
[11] Doar competenţă de prevedere şi de dispunere, nu şi competenţă de coerciţie
A se vedea în acest sens şi [11] A Osula, Transborder access and territorial sovereignty, Computer Law & Security Review, Elsevier Ltd, 2015, p. 732.
[12] Unii provideri solicită datele de contact ale superiorului organului judiciar, pentru a efectua un double-check referitor la veridicitatea cererii şi a faptului că a fost emisă de către o autoritate judiciară.
[13] A se vedea comentariul 11.


Alexandru Frunză-Nicolescu
Procuror la Parchetul de pe lângă Judecătoria Sectorului 1 Bucureşti


Aflaţi mai mult despre , , ,
JURIDICE.ro utilizează şi recomandă SmartBill pentru facturare.

Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important
Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile publicate sub numele real care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.


Irina Maria STANCU


Oana ISPAS


Radu Slăvoiu


Livia Dianu-Buja


Ștefania Stoica


Luminița Malanciuc


Ioana-Olivia Voicu


Eduard Toma-Apostol


Florina-Lăcrămioara Drăgan