Европол должен удалить большой архив персональных данных из-за нарушения порядка их сбора
Полицейское агентство ЕС, Европол, будет вынуждено удалить большую часть обширного хранилища персональных данных, которые, как было установлено надзорным органом ЕС по защите данных, были незаконно собраны. Беспрецедентный вывод Европейского инспектора по защите данных (EDPS) нацелен на то, что эксперты по конфиденциальности называют "ковчегом больших данных", содержащим миллиарды байт информации. Конфиденциальные данные в ковчеге были взяты из отчетов о преступлениях, взломаных зашифрованных телефонных служб и собраны у потенциальных претендентов на статус беженца, никогда не причастных к какому-либо преступлению.
Согласно внутренним документам, с которыми ознакомились журналисты Guardian, кэш Европола содержит не менее 4 петабайт, что эквивалентно 3 млн компакт-дисков или пятой части всего содержимого Библиотеки Конгресса США. Сторонники защиты данных говорят, что объем информации, хранящейся в системах Европола, равнозначен массовой слежке и является шагом на пути к тому, чтобы стать европейским аналогом Агентства национальной безопасности США (АНБ), организации, чей тайный онлайн-шпионаж был раскрыт разоблачителем Эдвардом Сноуденом.
Среди квадриллионов хранящихся байтов есть конфиденциальные данные по крайней мере о четверти миллиона нынешних или бывших подозреваемых в терроризме и серьезных преступлениях, а также о множестве других людей, с которыми они вступали в контакт. Архив информации был получен от органов национальной полиции за последние шесть лет в виде серии дампов данных из неизвестного количества уголовных расследований.
Наблюдательный орган приказал Европолу стереть данные, которые хранились более шести месяцев, и дал ему год на то, чтобы разобраться, что можно хранить на законных основаниях.
Конфронтация противопоставляет надзорный орган ЕС по защите данных мощному агентству безопасности, которое стремится стать центром машинного обучения и искусственного интеллекта в полиции.
Постановление также выявляет глубокие политические разногласия среди лиц, принимающих решения в Европе, по поводу компромиссов между безопасностью и конфиденциальностью. Конечный результат их противостояния имеет значение для будущего конфиденциальности в Европе и за ее пределами.
Комиссар ЕС по внутренним делам Илва Йоханссон выступила в защиту Европола. "Правоохранительные органы нуждаются в инструментах, ресурсах и времени для анализа данных, которые передаются им на законных основаниях", - сказала она. "В Европе Европол является платформой, которая поддерживает органы национальной полиции в решении этой сложнейшей задачи".
Комиссия заявляет, что юридические проблемы, поднятые EDPS, создают "серьезную проблему" для способности Европола выполнять свои задачи. В прошлом году были предложены радикальные изменения в правилах, лежащих в основе полномочий Европола. В случае принятия закона предложения могут фактически задним числом легализовать кеш данных и сохранить его содержимое в качестве испытательного полигона для новых инструментов искусственного интеллекта и машинного обучения.
Европол отрицает какие-либо правонарушения и заявил, что наблюдательный орган, возможно, интерпретирует действующие правила непрактичным образом: "Регламент Европола не задумывался законодателем как требование, которое не может быть выполнено контролером данных [т. е. Европолом] "
Европол работал с EDPS, чтобы "найти баланс между обеспечением безопасности ЕС и безопасностью его граждан при соблюдении самых высоких стандартов защиты данных", говорится в сообщении агентства.
Европол, созданный как координирующий орган для национальных полицейских сил в ЕС со штаб-квартирой в Гааге, был предложен некоторыми государствами-членами как решение проблемы терроризма после терактов в Батаклане в 2015 году и призвал собирать данные по нескольким направлениям.
Теоретически Европол подлежит жесткому регулированию в отношении того, какие персональные данные он может хранить и как долго. Входящие записи должны строго классифицироваться и обрабатываться или сохраняться только в том случае, если они имеют потенциальное отношение к важной работе, такой как борьба с терроризмом. Но полное содержание того, что в нем содержится, неизвестно, отчасти из-за того, что EDPS обнаружила, что Европол обрабатывает данные бессистемно.
Лишь небольшое число европейцев узнало, что их собственные данные хранятся в архиве, и никто из них, как известно, не смог добиться раскрытия информации. Франк ван дер Линде, которого вместе с родственниками из Нидерландов включили в список террористов, а затем удалили, является одним из редких примеров такого обращения с конфиденциальными данными.
Политический активист, чьи единственные серьезные столкновения с полицией сводились к разбиванию окна, чтобы проникнуть в здание и создать сквот для бездомных, был исключен властями Нидерландов из списка наблюдения только в 2019 году. Но за год до этого он переехал в Берлин, что побудило голландскую полицию поделиться его данными с немецкими коллегами и Европолом. О своих данных в архиве Европола активист узнал только тогда, когда увидел частично рассекреченное досье в мэрии Амстердама.
Чтобы добиться удаления своих личных данных из любых международных баз данных, он обратился в Европол. Активист был удивлен, когда в июне 2020 года он получил официальный ответ, что у него нет ничего, к чему он "имеет право доступа". Активист обратился с жалобой в ЭДП. "Я не знаю, удалили ли они данные после того, как голландские власти обновили их, [что] они не считают меня экстремистом... Европол - это черн ая дыра".
"Легкость попадания в такой список просто ужасна", - говорит Ван дер Линде. "Шокирует то, как легко полиция делится информацией через границы, и ужасает, как трудно удается удалить себя из этих списков".
Осведомленность об обращении Европола с конфиденциальными данными побудила наблюдательный орган поднять собственные вопросы в 2019 году. Его первоначальные выводы, сделанные в сентябре того же года, показали, что наборы данных, которыми поделились с Европолом, хранились без надлежащих проверок, чтобы убедиться, что люди, содержащиеся в них, должны отслеживаться или их данные просто там хранятся. Доступ к "ковчегу" разрешен только уполномоченному персоналу, и большая часть его содержимого была исследована, очищена и использована на законных основаниях.
Когда Европол не смог убедительно ответить на опасения наблюдательного органа, EDPS в сентябре 2020 года публично предупредил полицейское управление, разъяснив, что поставлено на карту: "Субъекты данных рискуют быть неправомерно связанными с преступной деятельностью на территории ЕС, со всеми возможными последствиями, в том числе потенциальным ущерб ом их личной и семейной жизни, свободе передвижения и занят остью".
Последовавший за этим конфликт отражен в ряде внутренних документов, полученных в соответствии с законами о свободе информации. В них видно, как Европол тянет время, а наблюдательный орган сообщает им, что им не удалось устранить "правонарушение". Полицейское агентство, похоже, настаивает на новом законодательстве ЕС, чтобы обеспечить ретроспективное прикрытие того, что оно делало без правовых оснований в течение шести лет.
Нервозности Европейской комиссии по поводу публичного столкновения было достаточно, чтобы привлечь Моник Париа, генерального директора ЕС по внутренним делам, на встречу между двумя агентствами в декабре 2021 года.
Но глава EDPS Войцех Веверовски сказал в интервью Guardian, что встреча была "последним моментом для Европола, чтобы добавить некоторую информацию, которая не была добавлена в их последних ответах на наше письмо".
Поскольку встреча не дала результатов в отношении опасений по поводу законности хранения данных, "для нас не было другого способа решить проблему, - сказал он, - кроме как принять решение об удалении данных, срок действия которого превышает шесть месяцев".
Ниови Вавула, эксперт по правовым вопросам Лондонского университета королевы Марии, сказал: "Новый закон на самом деле является попыткой обмануть систему. Европол и комиссия в течение многих лет пытались постфактум исправить незаконное хранение данных. Но введение новых правил не решает законным образом ранее незаконное поведение. Это не то, как работает верховенство права".
Опасения экспертов не ограничиваются нарушением Европолом правил хранения данных. Они также видят правоохранительный орган, который стремится проводить массовые операции по слежке за личностью.
Члены комитета по гражданским свободам, правосудию и внутренним делам Европейского парламента во время слушаний в июне 2021 года сравнили агентство с АНБ. Веверовски удивил присутствующих, поддержав сравнение с практикой Европола по хранению данных. Он указал, что Европол использует те же аргументы, что и АНБ для защиты операций по сбору больших объемов данных и массовой слежки, как показал Сноуден.
"АНБ сказало европейцам после того, как начался скандал с Prism, что они не обрабатывают данные, они просто собирают их и будут обрабатывать только в том случае, если это необходимо для расследования, которое они проводят", - сказал Веверовски членам Европарламента. "Это то, что не соответствует европейскому подходу к обработке персональных данных".
Эрик Топфер, эксперт по наблюдению из Немецкого института прав человека, изучил предлагаемые новые правила Европола и сказал, что они предполагают, что агентство будет получать данные непосредственно из банков, авиакомпаний, частных компаний и по электронной почте. "Если Европолу нужно будет запрашивать только определенные виды информации, чтобы они были поданы на блюдечке с голубой каемочкой, то мы приближаемся к созданию агентства, подобного АНБ со сверхполномочиями".
Борьба с EDPS из-за хранения данных является последним свидетельством того, что Европол отдает предпочтение технологическим решениям проблем безопасности, а не правам на неприкосновенность частной жизни. Босс Европола, ранее глава полиции Бельгии, в июле 2021 года утверждал, что потребности правоохранительных органов для извлечения данных из смартфонов оправдываются соображениями общей безопасности и не угоржают нарушению конфиденциальности. В его статье аргументируется законное право на ключи ко всем службам шифрования.
Не было упоминания о разоблачениях шпионского ПО Pegasus, которые показали, что многие правительства, в том числе некоторые в Европе, активно пытались перехватить сообщения правозащитников, журналистов и юристов, для которых шифрование является единственной защитой.
В 2020 году Европол раструбил о своей причастности вместе с французской и голландской полицией к взлому зашифрованного телефонного сервиса EncroChat, в результате чего поток личных данных попал в архив. Когда секретная операция была раскрыта Европолом и его коллегами из Евроюста, она была воспринята как один из самых больших успехов в борьбе с организованной преступностью в истории Европы. Только в Великобритании к августу 2021 года было взято под стражу около 2600 человек, и Никки Холланд, директор по расследованиям Национального агентства по борьбе с преступностью Великобритании, сравнила взлом с "наличием крота в каждой высшей организованной преступной группировке в стране".
Европол скопировал данные, извлеченные из 120 миллионов сообщений EncroChat и десятков миллионов записей звонков, изображений и заметок, а затем передал их национальной полиции. Поток доказательств незаконного оборота наркотиков и других преступлений заглушил опасения по поводу последствий операции. Хакерская операция, которая превратила телефоны EncroChat в мобильных шпионов, действующих против их пользователей, имеет важные сходства с вредоносными программами для шпионажа, такими как Pegasus.
Юристы из Германии, Франции, Швеции, Ирландии, Великобритании, Норвегии и Нидерландов, представляющие интересы клиентов, оказавшихся под стражей в результате последствий слежки, встретились в Утрехте в ноябре 2021 года. "Следователи и прокуроры скрывали или искажали факты", - заявил немецкий адвокат Кристиан Ледден. "Мы все согласны с тем, что это не самые лучшие люди в мире, но чем мы готовы пожертвовать, чтобы осудить еще одного человека?"
Среди клиентов EncroChat были не только преступники, но и законопослушные граждане: юристы, журналисты и бизнесмены. Голландский адвокат Харун Раза был одним из них и сказал, что купил телефонную трубку EncroChat в магазине Роттердама. Он потребовал, чтобы его данные были стерты. "Насколько я понял, копия до сих пор лежит в базах данных Европола, где она может остаться навсегда".
Французский адвокат Робен Бинсар убежден, что вся операция равносильна массовой слежке. Он сказал: "Демонтаж всей системы связи похож на то, как полиция обыскивает все квартиры в доме, чтобы найти доказательства преступления: это нарушает неприкосновенность частной жизни и просто незаконно".
С 2016 года Европол также проводит программу массовой проверки в лагерях беженцев в Италии и Греции, собирая данные о десятках тысяч просителей убежища в поисках предполагаемых иностранных боевиков и террористов. Согласно частично рассекреченному отчету об инспекции EDPS, полученному в соответствии с законами о свободе информации, "плановые проверки" Европолом мигрантов, пересекающих границы ЕС, "не разрешены", поскольку для такой программы "нет законных оснований". Проверка могла привести к тому, что личные данные мигрантов были сохранены в криминальной базе данных, независимо от того, были ли обнаружены какие-либо связи с преступностью или терроризмом. Европол отказался раскрыть какие-либо оперативные подробности.
Внутренние документы ясно показывают, что к весне 2020 года Европол разрабатывал собственную программу машинного обучения и искусственного интеллекта, в то время как надзорный орган ЕС наступал ему на пятки. Оказавшись с растущим кешем данных, агентство обратилось к алгоритмам, чтобы разобраться во всем этом. Через месяц после того, как инспектор по обработке данных публично уведомил Европол, агентство вернулось с вопросом: если оно хочет обучать алгоритмы на данных, о сохранении которых оно уже получило предупреждение, может ли оно начать процесс оценки воздействия на защиту данных для этого без надзора со стороны EDPS?
В запросе четко указано, что алгоритмы, включающие средства распознавания лиц, не будут разрабатываться и использоваться для получения конфиденциальных данных, таких как состояние здоровья, этническая принадлежность, сексуальная или политическая ориентация, хотя, как признал Европол, такие данные неизбежно будут обрабатывается с помощью инструментов: "Мы признаем, что полученные результаты будут содержать конфиденциальные данные, и их обработка будет соответствовать Регламенту Европола".
Когда регулятор не дал зеленый свет, Европол фактически решил отстранить EDPS и продолжить работу, несмотря ни на что, подтвердив это в письме от января 2021 года.
В ответ наблюдательный орган заявил, что откроет официальную процедуру мониторинга. К концу февраля 2021 года Европол приостановил свою программу машинного обучения. Европол сообщил журналистам Guardian, что на сегодняшний день он "не использовал собственные модели машинного обучения для оперативного анализа, а также не проводил "обучение" на архиве персональных данных".
Но есть явные признаки того, что скоро тормоза отпустят. Европол уже начал набор экспертов для помощи в разработке ИИ и интеллектуального анализа данных.
Возникающая форма Европола вызывает тревогу у некоторых депутатов Европарламента, таких как Саския Брикмонт из Бельгии. "Во имя борьбы с преступностью и терроризмом у нас есть эволюция агентства, которое выполняет очень важные миссии, но они не выполняются должным образом. Это приведет к проблемам", - сказала она.
Хлоя Бертелеми, эксперт Европейской сети НПО по цифровым правам, сказала, что, хотя Европол отстает от США с точки зрения технологических возможностей, он идет по тому же пути, что и АНБ.
"Возможность Европола собирать огромные объемы данных и накапливать их в том, что можно было бы назвать ковчегом больших данных, после чего почти невозможно узнать, для чего они используются, превращает его в черную дыру".
По материалам: The Guardian.
Авиакомпании Германия Депутаты Европа Правительство Правоохранители США Университеты