Az amerikai hatóságok néhány órával a szeptemberi terrortámadások után kezdték telepíteni a "húsevő" nevű lehallgatóberendezéseket az internetszolgáltatóknál, és május végén az EU is módosította elektronikus megfigyelési irányelveit, megkönnyítve így a lehallgatók dolgát. Az internet állami lehallgatására már Magyarországon is adottak a jogi és műszaki lehetőségek: az előző kormány titokminisztere elismerte a lehallgatóberendezések telepítésének tényét.Az internetlehallgatásról a fejlett országokban kibontakozott társadalmi vitában a tavalyi terrortámadások után alulmaradtak a polgári szabadságjogok és az információs önrendelkezés korlátozását ellenzők fenntartásai. A tragédia után két nappal elfogadott antiterrorista törvénycsomag keretében elsőként az Egyesült Államokban kapták meg a szükséges törvényi támogatást az interneten zajló privát kommunikációt is állami ellenőrzés alá helyező technológiák, elsősorban a carnivore, azaz "húsevő" kódnéven elhíresült e-mail megfigyelő rendszer, amelyet ekkor már két éve fejlesztett a Szövetségi Nyomozóiroda. A húsevő tömeges bevetésére korábban alkotmányossági problémák miatt nem kerülhetett sor az amerikai neten.
A kémtechnológiák kifejlesztésében élen járó Egyesült Államokban rendkívül szigorúan szabályozták a belföldön zajló privát kommunikáció lehallgatását: miközben a második világháború óta, brit közreműködéssel fejlesztett Echelon műholdas kémrendszer (lásd: Fülelős vezetés, Magyar Narancs, 1998. augusztus 6.) világszerte ellenőrzi, rögzíti és szűri a kommunikáció teljes spektrumát, az országon belül - legalábbis a terrortámadásig - meg volt kötve a hatóságok keze. Amikor 2000-ben nyilvánosságra került, hogy az FBI belföldi e-mail megfigyelő technológiát fejleszt és tesztel, kongresszusi botrány lett az ügyből, mert a "húsevő" az Echelonnál már bevált módszerrel, a teljes adatforgalom rögzítésével, illetve kulcsszavak szűrésével operál, tehát aligha tekinthető eseti és célzott megfigyelőeszköznek.
Fölöslegesen és alkotmányellenesen
Az EPIC (Electronic Privacy Information Center) kibernetikus polgárjogi szervezet a közérdekű adatok nyilvánosságát garantáló Freedom of Information Act alapján kérvényt nyújtott be az igazságügyi minisztériumhoz: hozzák nyilvánosságra a húsevő működési elvét és műszaki paramétereit. Amikor a kérvény válasz nélkül maradt, a szervezet bírósághoz fordult, amely kisvártatva kötelezte a Szövetségi Nyomozóirodát a dokumentumok nyilvánosságra hozatalára. Az FBI által ezután kiadott dokumentumokról azonban az EPIC úgy vélte, hogy visszatartották a feleslegesen és alkotmányellenesen kiterjedt adatgyűjtést igazoló részeket, és 2001 augusztusában újra bírósághoz fordult. Miután az EPIC állítása helytállónak bizonyult, a bíróság idén májusban további dokumentumok nyilvánosságra hozatalát rendelte el, amelyek alátámasztották a jogvédők gyanúját.
"A szoftvert bekapcsolták, de nem működött megfelelően. Az FBI-szoftver nemcsak az FBI elektronikus megfigyelése alatt álló #### e-mailjeit fogta el, hanem megfigyelés alatt nem álló célpontok e-mailjeit is. Az FBI technikai szakemberét annyira feldúlta mindez, hogy megsemmisítette az elfogott e-maileket, #### e-mailjeivel együtt. ####-nak az a benyomása, hogy senki sem volt jelen az FBI-tól, aki felügyelte volna a technikai szakembert. Az FBI technikai szakemberei jelenleg új kísérleti szoftvert szeretnének futtatni a szolgáltatónál, hogy kiderüljön, az működik-e" - áll az egyik nyilvánosságra hozott iratban. A nemzetbiztonsági okból kisatírozott nevű szakember ebben azt írja le, hogy a nemzetközi terrorizmussal foglalkozó operatív egység (ITOS) Uszáma bin Ládinnal és terrorszervezetével foglalkozó szakcsoportjának (UBL) hogyan sikerült elfognia, majd alkotmányossági aggályoktól vezérelve megsemmisítenie a célszemély e-mailjeit - jóval a terrortámadások előtt.
Az e-mailt lehallgató berendezés telepítésére tavaly szeptemberig csak a szövetségi bíróság eseti hozzájárulásával kerülhetett sor: a begyűjtött elektronikus leveleket és más jellegű adatforgalmat néhány büntetőjogi ügyben bizonyítékként fogadta el a bíróság, és mint a fenti példa mutatja, nemzetbiztonsági célokra is felhasználták a technológiát. Polgárjogi szervezetek mégis a kezdetek óta támadják, és a totális kontroll eszközének tartják a húsevőt. Az ACLU (American Civil Liberties Union) polgárjogi szervezet tavaly nyáron egész oldalas fizetett hirdetésekkel tiltakozott a digitális kormányzati lehallgatórendszerek ellen, és azzal vádolta az angolszász országokat, hogy globális adatgyűjtést folytatnak, alkotmányellenesen. A szervezet célja az internetmegfigyelő és telefonlehallgató rendszerek feletti társadalmi kontroll erősítése volt - Echelon-ügyben egyébként az EU is vizsgálódni kezdett, mivel felmerült a gyanú, hogy az Egyesült Államok gazdasági előnyszerzésre is felhasználja a birtokába került információkat.
Fordulat Európában
Szeptember 11. után azonban az EU-ban is felülkerekedtek a lehallgatáspártiak. Az Európai Parlament május végén elfogadta a magánjellegű adatok elektronikus védelméről szóló 1997-es irányelv 15. bekezdésének megváltoztatását. A két legnagyobb képviselőcsoport - az Európai Néppárt és az Európai Szocialisták Parlamenti Csoportja - kompromisszuma nyomán megszavazott szabályozás szerint a jövőben a magántitok védelme bűnügyi nyomozás, illetve a nemzet- vagy közbiztonság védelme érdekében felfüggeszthető, amennyiben az "a demokratikus társadalmi rendből következően szükséges, helyénvaló és arányos intézkedés". A hatóságok birtokába jutott személyes adatok tárolásának idejével kapcsolatban a tagországok maguk rendelkeznek az Európai Unió alapszerződésének hatodik bekezdésében megfogalmazott alapelveknek és az Európai Emberjogi Bíróság döntéseinek megfelelő módon.
Az irányelv módosítása ellen negyven civil szervezet nyújtotta be tiltakozását, köztük a berlini Chaos Computer Club, az osztrák internetezők szövetsége, a Statewatch polgárjogi információs központ és a holland XS4ALL internetszolgáltató. A Reporters Sans Frontiers újságíró-szervezet ugyancsak tiltakozott a véleményük szerint sajtószabadságot korlátozó és az ártatlanság vélelmével összeegyeztethetetlen szabályozás ellen. A német STOP1984 online petícióját tizenhatezren írták alá.
Húsevő Magyarországon is?
Magyarországon egyelőre nem volt szükség törvénymódosításra: az 1995-ös nemzetbiztonsági törvény a külső engedélyhez nem kötött titkos információgyűjtés kategóriájába sorolta a hatósági engedélyhez kötött távközlési rendszerekből és egyéb adattároló eszközökből történő információgyűjtést. Ez azt jelenti, hogy a titkosszolgálatok öntevékenyen, bírósági engedély nélkül is lehallgathatják az internetszolgáltatókon átmenő adatforgalom egy részét - a magánüzenetek lehallgatásához azonban az interneten is szükséges a bírósági engedély. Az Index értesülése szerint a Nemzetbiztonsági Szakszolgálat feltehetően erre a célra megfelelő berendezéseket telepített a magyar internetszolgáltatók hálózataira.
"Öltönyös urak érkeztek, és kértek egy transzparens portot a BIX, illetve a nemzetközi vonal felé. Ezekre olyan számítógépeket csatlakoztattak, amikhez mi hozzá sem nyúlhatunk" - állítja egy budapesti internetszolgáltató rendszergazdája. Mindez néhány hónapja történt, de egy másik, névtelenséget kérő informátorunk szerint a berendezések telepítése nem mostanában kezdődött: a Nemzetbiztonsági Hivatal minden internetszolgáltatóval szerződést köt a műszaki hozzáférésről, a lehallgatóberendezéseket pedig a Nemzetbiztonsági Szakszolgálat telepíti. "Az utóbbi években sokat fejlődtek technológiailag is, és el kell ismerni: van stílusuk" - me-séli harmadik informátorunk: ő jól kijön a titkosszolgákkal, akik utasítgatás helyett szakítanak időt az érintettek meggyőzésére is. A szolgáltatók a szerződésben teljes titoktartást vállalnak, de amúgy sem érdekük a lehallgatás tényének vagy mértékének nyilvánosságra hozatala, mert az nem tesz jót az üzletnek.
Az általunk megkeresett internetszolgáltatók - Axelero, GTS-Datanet, PSINet, Telnet - hivatalosan sem megerősíteni, sem cáfolni nem óhajtották a lehallgatóberendezések telepítésének tényét, ugyanakkor többen hangsúlyozták: a törvény lehetőséget biztosít ilyesmire, egy rendes vállalatnak pedig be kell tartania a törvényeket. Az ORFK Számítógépes Bűnözés Elleni Csoportja nem tud a lehallgatóberendezésekről (vagy szintén nem beszélhet róla). Demeter Ervin, az előző kormány titokminisztere sokáig vonakodott tájékoztatást adni az Index ez irányú érdeklődésére, a választások előtt tartott utolsó sajtótájékoztatóján az internetes újság kérdésére válaszolva azonban gyakorlatilag elismerte a lehallgatóberendezések telepítésének tényét: hosszan fejtegette, hogy a bűnözői körök mindig előrébb járnak az új technológiák használatában, mint a hatóságok. "A Nemzetbiztonsági Szakszolgálatnak sikerült ezt az előnyt leszűkíteni" - fogalmazott Demeter, de nem bocsátkozott részletekbe az internetlehallgatás technológiájáról. "A szakszolgálatok a törvényes keretek fennállása esetén ellenőrizni tudják a kommunikáció különböző módozatait, így az internetet is" - szögezte le a volt titokminiszter.
Célzott vagy tömeges adatgyűjtés?
A lehallgatás műszaki feltételeinek megteremtésére irányuló erőfeszítések törvényes volta kétségbevonhatatlan: titkosszolgálati lehallgatóberendezések üzemelnek minden vezetékes- és mobiltelefon-szolgáltatónál is. A nagy kérdés az, milyen mértékű hozzáférést biztosítanak ezek az eszközök a felhasználók személyes adataihoz, hiszen a műszaki lehetőség az interneten sem korlátozódik egyes beszélgetések, levélváltások célzott figyelésére. A belföldi, illetve a nemzetközi forgalmat bonyolító vonalakon gyakorlatilag az összes információ áthalad, ami egy internetszolgáltatónál egyáltalán megfordulhat: a weboldallekéréseken túl az elektronikus levelek, a csevegőfórumokon elhangzó publikus vagy magánbeszélgetések egyaránt, a felhasználókra vonatkozó személyes adatokkal és az őket azonosító IP-címekkel együtt.
Ha az internet a törvény által lehetővé tett lehallgatása az "amerikai módszerrel", tömeges adatgyűjtés és az eredmény számítógépes kiértékelése formájában valósul meg, vagyis nem eseti vagy specifikus, hanem totális jellegű, a begyűjtött információtömeg feldolgozásának és kiértékelésének, magánszemélyekre vagy cégekre vonatkozó akták összeállításának csak a lehallgató technológia fejlettsége, az adatokat feldolgozó számítógépek kapacitása szabhat határt.
Gulyás Csaba, az adatvédelmi biztos munkatársa szerint az internet általános, totális lehallgatását a magyar törvények nem teszik lehetővé. Az adatvédelmi törvény értelmében a lehallgatásnak mindig célhoz kötöttnek kell lennie - akkor is, ha nincs hozzá szükség külső engedélyre. Ami az elektronikus levelezést illeti, a nemzetbiztonsági és a rendőrségi törvény is külső engedélyhez köti a közcélú telefonvezetéken, vagy azt helyettesítő távközlési szolgáltatás útján továbbított közlemény megismerését és rögzítését. Az elektronikus levélváltás, kapcsolattartás tényét tehát engedély nélkül is rögzíthetik a titkosszolgálatok, a levelek tartalmának lehallgatását azonban csak az igazságügy-miniszter vagy az erre kijelölt bíró engedélyezheti, eseti jelleggel. A felhasználó által látogatott weboldalak címét rögzítő szervernapló lehallgatása viszont például nem engedélyköteles, de mivel ez egy teljesen új terület, az ilyen kérdésekben többféle jogértelmezés is lehetséges.
Ami a szolgáltatókat illeti, Gulyás szerint joguk és kötelességük, hogy tudjanak arról, milyen adatokat rögzítenek rendszereikben a titkosszolgálatok, és nem kötelesek szabad kezet adni a célhoz nem kötött lehallgatáshoz. Az újságírói vizsgálódást nehezíti viszont, hogy a szolgáltató és a Nemzetbiztonsági Hivatal között létrejött szerződés ténye és tartalma államtitok.
Gentlemen´s agreement
Székely Iván, az adatvédelmi biztos volt munkatársa szerint nem véletlen, hogy még a legfelkészültebb adatvédelmi szakemberek és a legelkötelezettebb privátszféra-aktivisták sem tudnak egyszerű receptet mondani a titkosszolgálatok feletti társadalmi kontroll gyakorlásának mikéntjére, ugyanis a világon mindenhol úgy van kitalálva a titkosszolgálatok működése és törvényi szabályozása, hogy a tevékenységükről még azok sem kaphatnak megbízható és teljes körű információt, akik döntenek róla.
"Mondok egy hazai példát: X. úr úgy gondolja, hogy lehallgatják, és szeretne erről meggyőződni. Be is megy a hivatalba, és az adatvédelmi törvény alapján tájékoztatást kér saját adatainak kezeléséről, sőt szeretne betekinteni saját aktájába. Ha azonban X. úr veszélyes gonosztevő, és a hivatal megmondaná az igazat, akkor két eset lehetséges: vagy azt mondja, hogy >>Uram, önről nincs nálunk adat>Uram, önt valóban lehallgatjuk, de természetesen nem mutathatjuk meg önnek az aktáját, erre törvényi felhatalmazásunk van>Uram, az ön esetében jogellenes adatkezelés nem történt.>X. úr esetében jogellenes adatkezelés nem történt.Székely Iván szerint az internetes lehallgatóberendezések esetében nem egyedi, hanem tömeges megfigyelésről van szó: "A carnivore (vagy későbbi, kevésbé beszédes nevén DCS-1000) és a hasonló, tömeges lehallgatást végző rendszerek korábban is léteztek, csak a szeptember 11-e utáni politikai és közhangulatban kaptak valószínűleg túlzott létjogosultságot. Az ugyanis bebizonyosodott, hogy a terrortámadás nem a szükséges titkosszolgálati információk hiánya miatt következhetett be, hanem azok nem kellő felhasználása miatt. A tragédia pedig kapóra jött azoknak, akiknek már eddig is útban voltak az információs jogok és szabadságok. Csakhogy ellenőrzés nélkül a titkosszolgálatok az eredetileg legitim feladatuk logikáját követve végül éppen ellenkező célt érnek el: nem a társadalom normális működését biztosítják, hanem korlátozzák azt. Ha nem működnének a szolgálatok, nyilván nem lehetne fenntartani egy modern demokráciát. Ha meg túlságosan is működnek, akkor sem."
Ami a praktikus ellenőrizhetőséget illeti, Székely csak valamilyen közvetett megoldást tudna elképzelni, például hogy egymástól független (egymásról nem is tudó) szakértőkkel elemeztetnék a ma létező vagy feltételezhetően létező rendszereket az alkotmányossági kritériumok alapján. E vélemények birtokában a szóba jöhető néhány személy valamelyikének, mondjuk a nemzetbiztonsági bizottság elnökének vagy az adatvédelmi biztosnak megmondanák, netán megmutatnák, hogy milyen rendszer is van telepítve az internetszolgáltatóknál. E két információból az elnök vagy a biztos levonja konkrét következtetését, de azt - X. úr ügyéhez hasonlóan - nem hozhatja nyilvánosságra. Ha mindent rendben talál, nem mondja meg, hogy mi is az és miért van rendben; ha pedig alkotmányellenes eszközökre vagy módszerekre bukkan, akkor csak megígérheti: azon lesz, hogy mielőbb alkotmányosan működjön a rendszer.
Hogyan védekezzünk?
Amíg viszont mindenféle társadalmi kontroll nélkül működnek a kémtechnológiák, nem árt, ha tudjuk, hogy a lehallgatás elleni védekezésnek van két módja is: jogi és technológiai. A törvénytelen lehallgatásra, jogtalan adatkezelésre gyanakvó állampolgár hivatalosan a Nemzetbiztonsági Hivatalnál, a polgári titkosszolgálatokat felügyelő tárca nélküli miniszternél, az adatvédelmi biztosnál, végső esetben az Országgyűlés nemzetbiztonsági bizottságánál élhet panasszal. Az adatvédelmi biztosnak egy-egy konkrét ügyben jogában áll betekinteni a titkosszolgálati dossziékba is, az Országgyűlés nemzetbiztonsági bizottsága pedig akkor is kivizsgálja az elé került ügyet, ha a bizottság többsége ellene szavaz.
Emellett természetesen léteznek olyan technológiai módszerek, amelyek magát a lehallgatást akadályozzák, vagy teszik lehetetlenné: ide sorolhatók a különféle titkosítótechnológiák, kriptográfiai eljárások, amelyek segítségével például egy elektronikus levél tartalmát csak a címzett ismerheti meg. A piacon forgalomban lévő, illetve az interneten hozzáférhető titkosítószoftverek különböző szintű titkosítást tesznek lehetővé: van olyan, amelynek a feltörése nem okoz különösebb gondot egy komolyabb technikával rendelkező kíváncsiskodónak, de léteznek és hozzáférhetőek szinte feltörhetetlen eljárások is (bővebben lásd: Prímszámháború, Magyar Narancs, 1997. szeptember 11.).
A terrortámadások az Egyesült Államokban egy időre eldöntötték az internetlehallgatásról zajló hangos társadalmi vitát - Magyarországon a dobozok már a helyükön vannak, pedig a vita még el sem kezdődött. A társadalmi ellenőrzés lehetősége gyakorlatilag a nullával egyenlő, noha az európai példa azt mutatja, hogy ezt lehetővé kell tenni valamilyen formában: a briteknél például a Home Office (vagyis a belügyminisztérium) 1999-ben létrehozta a lehallgatásfelügyeleti biztosok hivatalát (Office of Surveillance Commissioners), amelynek kifejezetten a titkos adatgyűjtést végző hatóságok és szervezetek működésének ellenőrzése a feladata.
Bodoky Tamás