Σάββατο 18 Μαρτίου 2017

Άρση απορρήτου όταν αντικείμενο έρευνας αποτελούν δεδομένα που είναι αποθηκευμένα στο νέφος (cloud storage)

ΣυμβΠλημΑθ 613/2016

Με τη διάταξη του Συμβουλίου κρίθηκε το ζήτημα αν θα πρέπει να ακολουθηθεί η διαδικασία περί άρσης απορρήτου των επικοινωνιών (Ν. 2225/1994) για την ανεύρεση και χρήση σε δίκη αρχείων πορνογραφίας ανηλίκων αποθηκευμένα σε μια υπηρεσία αποθήκευσης στο νέφος (cloud storage), όπως dropbox, skydrive, google drive κτλ, με τα οποία ήταν συνδεδεμένοι υπολογιστές και κινητά τηλέφωνα υπόπτου για διακίνηση υλικού παιδικής πορνογραφίας. 

Το ερώτημα αυτό τίθεται διότι στην περίπτωση της νεφοϋπολογιστικής τα δεδομένα αποθηκεύονται σε έναν απομακρυσμένο, εξωτερικό, σκληρό δίσκο, στον οποίο ωστόσο αυτά αποστέλλονται μέσω δικτύου. Η αποστολή δεδομένων στο νέφος, συνεπώς, συνιστά επικοινωνία και συνεπώς, τίθεται θέμα άρσης του απορρήτου της επικοινωνίας που προστατεύονται συνταγματικά βάσει του άρθρου 19 Συντ., αντίθετα απ' ό,τι υποστηρίζεται από τη μειοψηφία στην άνω διάταξη: 
 (...) Δηλαδή, όπως στην περίπτωση ενός εξωτερικού σκληρού δίσκου ή άλλου υλικού φορέα, ο οποίος ανήκει στον ύποπτο τέλεσης ορισμένου εγκλήματος, οι διωκτικές Αρχές έχουν π.χ. το δικαίωμα κατάσχεσης και ελέγχου αυτού, έτσι και στην περίπτωση του λογαριασμού του δράστη σε υπολογιστικό νέφος, οι διωκτικές Αρχές νομιμοποιούνται να έχουν άμεση πρόσβαση σε αυτόν, χωρίς να απαιτείται άρση του απορρήτου των επικοινωνιών, αφού, οι υπηρεσίες αποθήκευσης, από μόνες τους δεν συνιστούν μορφή επικοινωνίας, με αποτέλεσμα, για την εργαστηριακή επεξεργασία των στοιχείων αυτών να μην απαιτείται η διαδικασία άρσης του απορρήτου των επικοινωνιών.

Κρίσιμη για το υπό κρίση ζήτημα είναι η Γνωμοδότηση υπ' αριθ. 6/2008 του Εισαγγελέα του Αρείου Πάγου, στην οποία αναφέρονται τα εξής: 
(...) ο σκληρός δίσκος ενός υπολογιστή, εξαρτήματα και σύνεργα αυτού ως και πειστήρια ήχου, δεν αποτελούν είδος επικοινωνίας. Κατ' ακολουθίαν τούτου, τα στοιχεία τα οποία βρίσκονται αποθηκευμένα στο σκληρό δίσκο ηλεκτρονικών υπολογιστών, σε εξαρτήματα αυτών, σε ψηφιακή φωτογραφική μηχανή ή σε άλλο φορέα που ανήκει στον ύποπτο τέλεσης ορισμένου εγκλήματος και τα οποία δεν αναφέρονται σε κάποιας μορφής ανταπόκριση ή επικοινωνία με οποιονδήποτε τρόπο, δεν εμπίπτουν στη προστατευτική σφαίρα του απορρήτου της επικοινωνίας με αποτέλεσμα, για την εργαστηριακή επεξεργασία των στοιχείων αυτών, να μην απαιτείται η διαδικασία άρσης του απορρήτου των επικοινωνιών. Εάν όμως τα αποθηκευμένα στοιχεία αναφέρονται σε κάποιας μορφής ανταπόκρισης ή επικοινωνίας, το απόρρητο των επικοινωνιών καταλαμβάνει και τα στοιχεία αυτά και τότε για την επεξεργασία και χρήση των στοιχείων αυτών απαιτείται η τήρηση των όρων και της διαδικασίας της άρσης του απορρήτου των επικοινωνιών, όπως προβλέπονται στο Ν. 2225/1994, το Ν. 3115/2003 και το ΠΔ 47/2005.

Συνακόλουθα, η διάταξη δέχθηκε κατά πλειοψηφία ότι πρέπει να τηρηθεί η διαδικασία των άρθρων 4 παρ. 4 και 5 του Ν. 2225/1994 και διέταξε την άρση του απορρήτου των επικοινωνιών, κάνοντας ορισμένες κρίσιμες επισημάνσεις. Προηγουμένως, θα πρέπει να σημειωθεί ότι σε σχέση με το ζήτημα αν το απόρρητο καλύπτει τα εξωτερικά δεδομένα επικοινωνίας, αναφέρεται ως επικρατούσα η άποψη ότι τα εξωτερικά δεδομένα ταυτοποίηση προστατεύονται ως απόρρητη επικοινωνία (βλ. ΑΠ 924/2009, contra ΓνωμΕισΑΠ 9/2011). Επιπλέον, η προστασία του απορρήτου των επικοινωνιών αναφέρεται όχι μόνο σε επιστολές, αλλά και σε ηλεκτρονικά (και άλλα) μηνύματα, όπως δέχθηκε η πρόσφατη, υπ' αριθ. 1/2017 απόφαση του Αρείου Πάγου: "η προστασία του απορρήτου αφορά όχι μόνο τα γραπτά μηνύματα (επιστολές) αλλά και οποιαδήποτε μορφή ιδιωτικής, δηλαδή μη δημόσιας επικοινωνίας, όπως τηλεγραφήματα, τηλεφωνήματα, τηλεομοιοτυπικά μηνύματα, ηλεκτρονικά μηνύματα (e-mails), που είναι η σύγχρονη μορφή των επιστολών. Και τούτο, είτε η επικοινωνία πραγματοποιείται από την κατοικία είτε από τον χώρο εργασίας των επικοινωνούντων."

Σχετικά με το κύριο ζήτημα της άρσης απορρήτου αναφορικά με δεδομένα που αποθηκεύονται στο cloud, αναφέρονται κατά λέξη τα εξής:
(...)και σε αυτές τις περιπτώσεις πρέπει καταρχήν να τηρηθεί η διαδικασία των άρθρων 4 παρ. 4 και 5 του Ν 2225/1994 (βλ. άρθρο 253Α παρ. 1 εδ. γ΄ του ΚΠΔ). Και τούτο διότι πρωτίστως όλες οι πολιτικές απορρήτου των παρόχων των υπηρεσιών αποθήκευσης, δηλαδή των ιδιοκτητών ή μισθωτών των διακομιστών (servers), δεν εξασφαλίζουν την άμεση πρόσβαση προς χρήση όλων αυτών των αρχείων - δεδομένων, αλλά παρατηρείται ακριβώς το αντίθετο. Ειδικότερα σε όλες τις περιπτώσεις οι πάροχοι [ιδιοκτήτες ή μισθωτές των διακομιστών (servers)] ενημερώνουν το χρήστη ότι ναι μεν δεν μπορεί να ανεβάζει, να διατηρεί και να διακινεί παράνομο περιεχόμενο, ωστόσο η κύρωση από τη μη τήρηση αυτών των όρων είναι το κλείσιμο του λογαριασμού του χρήστη από τον πάροχο. Οι πάροχοι ενημερώνουν ότι μπορούν να δώσουν στοιχεία σε περίπτωση υποβολής νομότυπου αιτήματος και ότι η ικανοποίηση άλλων αιτημάτων επαφίεται στη διακριτική τους ευχέρεια (βλ. ηλεκτρονικές σελίδες www.apple.com/leaal/internetservices/icloud/en/term.html για το icloud, https://support.google.com/drive/answer/ και www.google.com/policies/privacy/ για το google drive και www.drop.com/privacy για το dropbox). Το τελευταίο δεν είναι απλά αποθηκευτικός χώρος αλλά χρησιμοποιείται κυρίως για μεταφορά αρχείων μεγάλης χωρητικότητας και στην πολιτική απορρήτου του ο πάροχος δηλώνει ρητά ότι αντιτίθεται στη διαρροή οποιουδήποτε μέρους τεχνογνωσίας προκειμένου να γίνει χρήση ακόμη και από κρατικές υπηρεσίες και ότι δεν ικανοποιεί κυβερνητικά αιτήματα που αναφέρονται σε μεγάλο αριθμό προσώπων και τα οποία δεν σχετίζονται με συγκεκριμένη έρευνα.
(...) Όταν επομένως έχει μεσολαβήσει η δημιουργία λογαριασμού και η χρήση κωδικών πρόσβασης για τη χρήση της υπηρεσίας αποθήκευσης στο διακομιστή (server) του παρόχου, είναι αμφίβολο το αν μπορεί το υπολογιστικό αυτό νέφος (cloud storage) που ενδεχομένως βρίσκεται και σε άλλη ήπειρο να θεωρηθεί τμήμα υπολογιστή και ακολούθως να θεωρηθεί νόμιμη η χωρίς τις εγγυήσεις των άρθρων 253 και 253Α του ΚΠΔ χρήση των δεδομένων αυτών σε δίκη. Μετά την τήρηση της διαδικασίας άρσης απορρήτου θα θεωρείται ότι τα αποκτηθέντα δεδομένα θα εξασφαλίζουν τις εγγυήσεις περί δίκαιης δίκης, αν ληφθούν υπόψη και οι επιφυλάξεις που έχουν διατυπωθεί ως προς το άρθρο 2 Ν 4267/2014 λόγω της αλόγιστης επέκτασης της έννοιας της «ημεδαπής».  
Η κρίση αυτή του Συμβουλίου είναι, ασφαλώς, ορθή, διότι για την αποθήκευση δεδομένων στο νέφος πρέπει να προηγηθεί μια επικοινωνία από τον υπολογιστή του χρήστη προς έναν κεντρικό διακομιστή της υπηρεσίας νεφοϋπολογιστικής, η οποία εμπίπτει ασφαλώς στο απόρρητο της επικοινωνίας, η οποία προστατεύεται με βάση τις διατάξεις του ν. 3471/2006 και συγκεκριμένα, τις διατάξεις του άρθρου 4 του νόμου αυτού. 

Διαφορετικό είναι, βέβαια, το ζήτημα αν η πληρούται η αντικειμενική υπόσταση της κατοχής υλικού παιδικής πορνογραφίας όταν τα σχετικά δεδομένα αποθηκεύονται στο υπολογιστικό νέφος. Σχετικά υποστηρίζεται ότι ο χρήστης που διατηρεί πορνογραφικά δεδομένα αποθηκευμένα στο υπολογιστικό νέφος έχει τις ίδιες εξουσίες που θα είχε και εάν τα αποθήκευε σε ένα τοπικό αποθηκευτικό μέσο, καθώς μπορεί να τα διαχειριστεί κατά τη βούλησή του, εφόσον όμως έχει πλήρη δικαιώματα πρόσβασης στην τοποθεσία αυτή του νέφους (βλ. Π. Ανδρεάδη-Παπαδημητρίου, Η πορνογραφία ανηλίκων στην εποχή του υπολογιστικού νέφους, ΠοινΔικ 5/2015, σ. 460). Αυτό είναι σχεδόν αυτονόητο, διότι άλλως δεν θα μπορούσε ο χρήστης να χρησιμοποιήσει τις υπηρεσίες του υπολογιστικού νέφους. Εν πάση περιπτώσει, αν ένας χρήστης έχει αποθηκεύσει πορνογραφικά δεδομένα σε μια υπηρεσία απομακρυσμένης πρόσβασης και δεν έχει πλήρη δεδομένα πρόσβασης, η συμπεριφορά αυτή θα θεωρείται ως απόκτηση πρόσβασης σε πορνογραφικό υλικό που τιμωρείται επίσης, σύμφωνα με το άρθρο 348Α παρ. 5 ΠΚ.









Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου