Recomandari UE pentru cooperarea impotriva criminalitatii informatice - Securitatea Informatica

Recomandari UE pentru cooperarea impotriva criminalitatii informatice

Adoptate in cadrul Conferintei internationale “Cooperarea impotriva Criminalitatii Informatice”
Consiliul Europei, Strasbourg, 1-2 aprilie 2008

Introducere

  1. Construirea unei societati informatice necesita consolidarea increderii in tehnologia informatiei si comunicatiilor (ICT), protectia datelor cu caracter personal si a dreptului la viata privata, precum si promovarea unei culturi mondiale a sigurantei informatice in contextul in care societatile din intreaga lume depind din ce in ce mai mult de ICT si sunt astfel vulnerabile la criminalitatea informatica;
  2. Prima si cea de-a doua Reuniune Mondiala la Nivel Inalt cu privire la Societatea Informatica (Geneva 2003, Tunis 2005) – printre altele – au relevat angajamentul de a construi o societate informatica toleranta in care toate persoanele sa poata crea, accesa, utiliza si face schimb de informatii si cunostinte, sa isi poata realiza potentialul si imbunatati calitatea vietii, plecand de la premisa reprezentata de obiectivele si principiile Cartei Natiunilor Unite si cu respectarea si sustinerea integrala a Declaratiei Universale a Drepturilor Omului, ceea ce necesita noi forme de parteneriat si cooperare intre institutiile statului, sectorul privat, societatea civila si organizatiile internationale;
  3. Furnizorii de servicii de Internet (ISP) si autoritatile de aplicare a legii (AAL) joaca un rol crucial in realizarea acestei viziuni;
  4. Legislatia nationala armonizata cu prevederile Conventiei Consiliului Europei privind criminalitatea informatica (“Conventia de la Budapesta”) permite tarilor sa creeze o baza juridica solida pentru cooperarea intre sectoarele public si privat, organele de cercetare, precum si pentru cooperarea internationala;
  5. Recomandarile nu sunt menite sa inlocuiasca instrumentul juridic existent, ci pleaca de la premisa ca exista cadrul juridic adecvat care asigura un sistem echilibrat de instrumente de cercetare, precum si garantiile procesuale aferente pentru protejarea drepturilor fundamentale ale omului, cum ar fi libertatea de exprimare, respectarea vietii private, a domiciliului si a corespondentei, precum si dreptul la protectia datelor. Se recomanda asadar ca statele sa adopte reglementari in dreptul lor national care sa implementeze integral dispozitiile procedurale prevazute de Conventia privind criminalitatea Informatica, care sa stabileasca competentele organelor de cercetare si obligatiile autoritatilor de aplicare a legii, cu respectarea conditiilor si garantiile prevazute la Articolul 15 din Conventie. Acestea vor:
  6. - asigura eficienta activitatii autoritatilor de aplicare a legii;
    - proteja furnizorii de servicii de Internet de a oferi aceste servicii;
    - asigura alinierea reglementarilor nationale cu standardele mondiale;
    - promova standarde mondiale in locul solutiilor izolate de la nivel national;
    - contribui la garantarea sigurantei juridice si a primatului legii, inclusiv principiile legalitatii, proportionalitatii si necesitatii;

  7. In sensul prezentelor recomandari, vom folosi definitia furnizorului de servicii prevazuta de Conventia privind criminalitatea informatica, respectiv Articolul 1, care defineste “furnizorul de servicii” in termeni generali, avand urmatorul inteles:
  8. - orice entitate publica sau privata care ofera utilizatorilor serviciilor sale posibilitatea de a comunica prin intermediul unui sistem informatic, si
    - orice alta entitate care prelucreaza sau stocheaza date informatice pentru acest serviciu de comunicatii sau pentru utilizatorii sai;

  9. Pentru a spori siguranta informatica, a reduce la minimum utilizarea serviciilor in scopuri ilegale si pentru a consolida increderea in ICT, este esential ca furnizorii de servicii de Internet si autoritatile de aplicare a legii sa coopereze in mod eficient, luand in considerare rolul fiecaruia, costul cooperarii si drepturilor cetatenilor;
  10. Scopul prezentelor recomandari este de a ajuta autoritatile de aplicare a legii si pe furnizorii de servicii de Internet sa isi organizeze interactiunile in domeniul criminalitatii informatice. Ele se bazeaza pe bunele practici existente si ar trebui sa fie aplicabile in orice tara din lume in conformitate cu legislatia nationala si cu respectarea libertatii de exprimare si a dreptului la viata privata, precum si a dreptului la protectia datelor cu caracter personal si a altor drepturi fundamentale ale cetatenilor;
  11. Asadar, se recomanda ca statele, autoritatile de aplicare a legii si furnizorii de servicii de Internet sa ia urmatoarele masuri la nivel national:
  12. Recomandari comune

  13. Autoritatile de aplicare a legii si furnizorii de servicii de Internet sa efectueze schimb de informatii in vederea consolidarii capacitatii de a depista si combate noile tipuri de criminalitate informatica. Autoritatile de aplicare a legii ar trebui sa fie incurajate sa ii informeze pe furnizorii de servicii cu privire la tendintele din evolutia criminalitatii informatice;
  14. Autoritatile de aplicare a legii si furnizorii de servicii de Internet sa promoveze cooperarea – si nu confruntarea – inclusiv prin schimbul de bune practici. Sunt incurajate intalniri periodice pentru schimb de experienta si solutionarea eventualele probleme;
  15. Autoritatile de aplicare a legii si furnizorii de servicii sa fie incurajati sa elaboreze o procedura scrisa pentru cooperare. Daca este posibil, ambele parti sa fie incurajate sa isi trimita reciproc puncte de vedere structurate referitoare la astfel de proceduri;
  16. Sa fie avuta in vedere crearea de parteneriate formale dintre autoritatile de aplicare a legii si furnizorii de servicii, in vederea stabilirii unor relatii pe termen lung, cu garantii adecvate pentru ambele parti, referitoare la faptul ca parteneriatul nu va incalca nici un drept legal din cadrul industriei si nici nu va impiedica exercitarea competentelor legale de catre autoritatile de aplicare a legii;
  17. Atat autoritatile de aplicare a legii cat si furnizorii de servicii de Internet sa apere drepturile fundamentale ale cetatenilor potrivit standardelor Natiunilor Unite si altor standarde europene si internationale aplicabile, cum ar fi Conventia din 1950 a Consiliului Europei pentru apararea drepturilor omului si a libertatilor fundamentale, Pactul din 1966 al Natiunilor Unite cu privire la Drepturile Civile si Politice, Conventia din 1981 a Consiliului Europei pentru protejarea persoanelor fata de prelucrarea automatizata a datelor cu caracter personal si potrivit dreptului national. Astfel se creeaza limite acceptabile pentru nivelul posibil de cooperare;
  18. Autoritatile de aplicare a legii si furnizorii de servicii de Internet sunt incurajati sa coopereze in vederea aplicarii normelor nationale cu privire la respectarea vietii private si protectia datelor, insa si cu privire la fluxurile transfrontaliere de date. La nivelul Consiliului Europei si al OECD se stabilesc liniile directoare in aceasta privinta;
  19. Ambele parti sa aiba in vedere costurile cererilor si raspunsurilor la cererile primite. Sa fie concepute o serie de proceduri care sa aiba in vedere impactul financiar al acestor activitati si aspectele legate de suportarea cheltuielilor sau acordarea de compensatii echitabile partilor in cauza.
  20. Masurile recomandate autoritatilor de aplicare a legii

  21. Cooperare ampla si strategica – Autoritatile de aplicare a legii sa sprijine furnizorii de servicii prin desfasurarea unei cooperari ample si strategice cu industria respectiva, care sa includa organizarea de seminarii periodice de pregatire tehnica si juridica, precum si transmiterea de reactii cu privire la cercetarile desfasurate in baza plangerilor depuse de catre furnizorii de servicii sau in baza informatiilor colectate pornind de la activitatile infractionale cunoscute care au fost raportate de catre furnizorii de servicii;
  22. Procedurile pentru cererile obligatorii – Autoritatile de aplicare a legii sa fie incurajate sa elaboreze proceduri scrise, care sa cuprinda masuri adecvate referitoare la celeritatea si straduinta de formulare si indeplinire a cererilor obligatorii, precum si sa se asigure ca cererile sunt indeplinite in conformitate cu procedurile convenite;
  23. Pregatirea profesionala – Autoritatile de aplicare a legii sa fie incurajate sa asigure pregatirea profesionala pentru personal propriu privind aplicarea procedurilor respective, inclusiv modul de obtinere a inregistrarilor de la furnizorii de servicii si modul de prelucrare a informatiilor primite, instruire asupra tehnologiilor de internet si a impactului acestora in general, precum si modul de respectare a sigurantei juridice si a drepturilor fundamentale ale persoanelor;
  24. Resurse tehnice – Personalul de aplicare a legii care raspunde de cooperarea cu furnizorii de servicii sa dispuna de resursele tehnice necesare, inclusiv acces la Internet, o adresa de posta electronica emisa de institutia in cadrul careia lucreaza, numele institutiei fiind indicat in textul adresei, precum si alte resurse tehnice care sa le permita sa primeasca informatii in siguranta, pe cale electronica, de la furnizorii de servicii;
  25. Personalul desemnat si punctele de contact – Interactiunea dintre autoritatile de aplicare a legii si furnizorii de servicii sa se limiteze la personalul specializat. Autoritatile de aplicare a legii sa fie incurajate sa desemneze puncte de contact pentru cooperarea cu furnizorii de servicii;
  26. Autoritatea pentru cereri – Autoritatile de aplicare a legii sa fie incurajate sa stabileasca clar, in cadrul unor proceduri scrise, persoanele care pot autoriza fiecare tip de masura si de cerere catre furnizorii de servicii de Internet, precum si care este modul de validare/autentificare a acestor cereri de catre furnizorii de servicii de Internet;
  27. Autoritatile de aplicare a legii sa fie incurajate sa puna la dispozitie informatii furnizorilor de servicii de Internet cu privire la proceduri si, in masura posibilului, cu privire la persoanele care raspund de cooperarea cu furnizorii de servicii de Internet, precum si functiile acestora;
  28. Verificarea provenientei cererii – Provenienta unei cereri formulate de catre o autoritate de aplicare a legii sa poata fi verificata de catre furnizorii de servicii:
  29. - Toata corespondenta sa cuprinda numele, numarul de telefon si adresa de posta electronica a autoritatii de aplicare a legii care solicita transmiterea de inregistrari, pentru ca furnizorul de servicii sa il poata contacta pe solicitant daca apar probleme
    - furnizorilor de servicii nu ar trebui sa li se solicite sa corespondeze cu o autoritate de aplicare a legii prin adresa personala de posta electronica a acestuia, ci printr-un cont de posta electronica adecvat, asigurat de institutia in cadrul careia acesta isi desfasoara activitatea
    - toate scrisorile sa fie transmise cu antetul departamentului, iar toata corespondenta sa cuprinda numarul centralei telefonice a institutiei si adresa paginii de Internet a institutiei, pentru ca furnizorii de servicii sa ia masuri in vederea verificarii autenticitatii cererilor, daca considera ca acest lucru este necesar;

  30. Cererile – Cererile formulate de autoritatile de aplicare a legii catre furnizorii de servicii sa fie formulate in scris (sau in alt mod electronic acceptabil din punct de vedere juridic) si sa lase dovada scrisa. In cazuri foarte urgente, atunci cand sunt acceptate si cererile formulate verbal, acestea trebuie urmate imediat de transmiterea documentatiei scrise (sau in alta metoda electronica acceptabila);
  31. Formatul standard al cererii – La nivel national, si in masura posibilului la nivel international, autoritatile de aplicare a legii sa fie incurajate sa creeze un standard structurat pentru formatul folosit la transmiterea cererilor, precum si la transmiterea raspunsurilor la cereri. Cererile ar trebui sa cuprinda cel putin urmatoarele informatii:
  32. - Numar de inregistrare
    - Precizarea temeiului juridic
    - Precizarea informatiilor solicitate
    - Informatii care permit verificarea provenientei cererii;

  33. Precizia si corectitudinea cererilor – Autoritatile de aplicare a legii sa fie incurajate sa se asigure ca cererile sunt formulate in mod exact, complet si clar, si ca au furnizat suficiente detalii pentru a permite furnizorilor de servicii sa identifice datele cerute. Ele sunt incurajate sa se asigure ca cererile sunt trimise furnizorului de servicii care detine inregistrarile respective. Este recomandat sa se evite formularea de cereri pentru furnizarea de date multiple si neprecizate;
  34. Autoritatile de aplicare a legii sa fie incurajate sa furnizeze cat mai multe informatii privind investigatia pe care o desfasoara, in masura in care acest lucru nu prejudiciaza cercetarile sau vreun drept fundamental, pentru a permite furnizorilor de servicii sa identifice datele solicitate;
  35. Autoritatile de aplicare a legii sa fie incurajate sa ofere explicatii si asistenta furnizorilor de servicii privind tehnicile de investigatie, fara referiri concrete la spete, pentru a ii ajuta sa inteleaga modul in care cooperarea lor va contribui la eficientizarea cercetarilor impotriva criminalitatii si la asigurarea unei mai bune protectii a cetatenilor;
  36. Stabilirea nivelului de prioritate – Autoritatile de aplicare a legii sa fie incurajate sa stabileasca nivelul de prioritate pentru cereri, mai ales pentru cele care se refera la cantitati mari de date, pentru a permite furnizorilor de servicii sa indeplineasca mai intai cele mai importante dintre cereri. Stabilirea prioritatilor este cel mai bine realizata in mod consecvent la nivel national in randul tuturor autoritatilor de aplicare a legii, si daca este posibil la nivel international;
  37. Formularea de cereri corespunzatoare – Autoritatile de aplicare a legii sa fie incurajate sa tina cont de cheltuielile cauzate furnizorilor de servicii in indeplinirea cererilor si sa le acorde furnizorilor de servicii timp suficient pentru a raspunde. Ele ar trebui sa aiba in vedere faptul ca este posibil ca furnizorii de servicii sa mai trebuiasca sa raspunda si altor cereri formulate de alte autoritati, si ar trebui incurajate sa monitorizeze cu atentie volumul cererilor formulate;
  38. Confidentialitatea datelor – Autoritatile de aplicare a legii sa asigure confidentialitatea datelor primite;
  39. Evitarea cheltuielilor care nu sunt necesare si evitarea tulburarii operatiunilor economice – Autoritatile de aplicare a legii sa fie incurajate sa evite cheltuielile care nu sunt necesare si de asemenea sa evite tulburarea desfasurarii operatiunilor economice de catre furnizorii de servicii si a altor activitati;
  40. Autoritatile de aplicare a legii sa fie incurajate sa limiteze utilizarea serviciului punctelor de contact pentru cazuri de urgenta la cazuri de extrema urgenta, pentru a se evita abuzurile;
  41. Autoritatile de aplicare a legii sa fie incurajate sa se asigure ca masurile conservatorii si alte masuri provizorii sunt urmate la timp de emiterea de dispozitii de dezvaluire a datelor; in caz contrar furnizorul de servicii de internet ar trebui sa fie informat la timp cu privire la faptul ca datele conservate nu mai sunt necesare;
  42. Cererile internationale – Pentru cererile adresate unor furnizori de servicii de internet care se afla in alta tara, autoritatile nationale de aplicare a legii sa fie incurajate sa nu adreseze cererile direct furnizorilor de servicii de internet aflati in strainatate, ci sa utilizeze procedurile prevazute in tratatele internationale, de exemplu Conventia privind criminalitatea informatica si reteaua punctelor de contact 24/7 pentru masuri urgente, inclusiv cererile sau dispozitiile de conservare a datelor;
  43. Cererile de asistenta judiciara internationala – Autoritatile de aplicare a legii si autoritatile de justitie penala sa fie incurajate sa ia masurile necesare pentru a se asigura ca cererile referitoare la luarea de masuri provizorii sunt urmate de initierea procedurii internationale de asistenta judiciara, in caz contrar furnizorul de servicii de internet sa fie informat la timp cu privire la faptul ca datele conservate nu mai sunt necesare;
  44. Coordonarea dintre organele de aplicare a legii – Autoritatile de aplicare a legii sa fie incurajate sa isi coordoneze cooperarea cu furnizorii de servicii de internet si sa faca schimb de bune practici la nivel national si international. La nivel international, sa utilizeze institutiile internationale de reprezentare competente in acest scop;
  45. Programele de cooperare in domeniul penal – Autoritatile de aplicare a legii sa fie incurajate sa isi organizeze interactiunile mentionate mai sus cu furnizorii de servicii sub forma unui program cuprinzator si sa le ofere o descriere a acestui program furnizorilor de servicii, care sa cuprinda:
  46. - Informatiile necesare pentru a contacta personalul din cadrul autoritatii de aplicare a legii desemnat pentru indeplinirea programului respectiv, precum si orele intre care personalul respectiv este disponibil
    - Informatiile necesare pentru ca furnizorii de servicii sa transmita documentele personalului desemnat
    - Alte informatii referitoare la personalul desemnat (spre exemplu, daca autoritatea de aplicare a legii coopereaza cu mai multe tari, eventual limba in care trebuie traduse documentele, etc.);

  47. Auditul sistemului cooperare in domeniul penal – Autoritatile de aplicare a legii sa fie incurajate sa monitorizeze si sa realizeze un audit al sistemului de prelucrare a cererilor pentru scopuri de statistica, pentru a identifica punctele forte si cele slabe si sa publice rezultatele, daca este cazul;
  48. Masurile recomandate furnizorilor de servicii

  49. Cooperarea in vederea reducerii la minimum a utilizarii serviciilor in scopuri ilegale – Sub rezerva drepturilor si libertatilor aplicabile, cum ar fi libertatea de expresie, respectarea vietii private si prevederilor legale nationale sau internationale, precum si a acordurilor incheiate cu utilizatorii, furnizorii de servicii ar trebui sa fie incurajati sa coopereze cu autoritatile de aplicare a legii pentru a contribui la reducerea la minimum utilizarii serviciilor in scopul desfasurarii unor activitati infractionale potrivit legii;
  50. Furnizorii de servicii sa fie incurajati sa semnaleze autoritatilor de aplicare a legii orice incidente de natura infractionala care ii afecteaza sau de care au luat la cunostinta. Acest lucru nu obliga pe furnizorii de servicii sa caute in mod activ fapte sau imprejurari care constituie indicii ale desfasurarii unor activitati ilegale;
  51. Furnizorii de servicii sa fie incurajati sa sprijine autoritatile de aplicare a legii in ceea ce priveste educarea, pregatirea profesionala si in alte moduri in ceea ce priveste serviciile si operatiunile pe care le desfasoara.
  52. Raspunsul la cererile venite din partea autoritatilor de aplicare a legii – Furnizorii de servicii sa fie incurajati sa faca toate eforturile rezonabile pentru a ajuta autoritatile de aplicare a legii executand cererea;
  53. Procedura de a raspunde la cereri – Furnizorii de servicii sa fie incurajati sa elaboreze proceduri scrise, care sa cuprinda masuri adecvate de celeritate si straduinta, pentru indeplinirea cererilor, si sa se asigure ca raspunsurile la cereri sunt conforme cu procedura convenita;
  54. Pregatirea profesionala – Furnizorii de servicii sa fie incurajati sa asigure pregatire corespunzatoare membrilor personalului lor care raspund de punerea in aplicare a acestor proceduri;
  55. Personalul desemnat si punctele de contact – Furnizorii de servicii sa fie incurajati sa desemneze personal pregatit in mod corespunzator ca puncte de contact pentru cooperarea cu autoritatile de aplicare a legii;
  56. Asistenta in regim de urgenta – Furnizorii de servicii sa fie incurajati sa stabileasca modul in care autoritatile de aplicare a legii pot lua legatura cu personalul lor care raspunde de programele de cooperare in domeniul penal si in afara orelor de program, in cazuri de urgenta. Furnizorii de servicii ar trebui sa fie incurajati sa asigure informatii pertinente autoritatilor de aplicare a legii referitor la asistenta in regim de urgenta;
  57. Resursele – Furnizorii de servicii sa fie incurajati sa asigure punctelor de contact sau personalului care raspunde de cooperarea cu autoritatile de aplicare a legii resursele necesare pentru a le permite sa indeplineasca cererile formulate de autoritatile de aplicare a legii;
  58. Programele de respectare a legii penale – Furnizorii de servicii sa fie incurajati sa isi organizeze cooperarea cu autoritatile de aplicare a legii sub forma unor programe cuprinzatoare de respectare a legii penale, si sa ofere autoritatilor de aplicare a legii o descriere detaliata a acestor programe, care sa cuprinda:
  59. - Informatiile necesare pentru a contacta personalul din cadrul furnizorului de servicii care a fost desemnat pentru programul de cooperare in domeniul penal, precum si orele intre care personalul respectiv este disponibil
    - Informatiile necesare pentru ca autoritatile de aplicare a legii sa poata furniza documente catre personalul desemnat
    - Alte detalii referitoare la personalul desemnat (cum ar fi masura in care furnizorul de servicii activeaza in mai multe tari, eventual limba in care trebuie traduse documentele, etc.);
    - Pentru a permite autoritatilor de aplicare a legii sa formuleze cereri precise si corespunzatoare, furnizorii de servicii sa fie incurajati sa furnizeze informatii cu privire la tipul de servicii oferit utilizatorilor, inclusiv adrese de Internet pentru accesarea acestor servicii si obtinerea de informatii suplimentare, precum si datele de contact pentru obtinerea de informatii suplimentare;
    - Daca este posibil, furnizorul de servicii de Internet sa fie incurajat sa ofere, la cerere, o lista a tipurilor de date care ar putea fi pusa la dispozitie autoritatilor de aplicare a legii pentru fiecare serviciu, la primirea unei cereri referitoare la dezvaluirea de date, autoritatea de aplicare a legii fiind constienta de faptul ca nu toate aceste date vor fi disponibile in cercetarile penale;

  60. Verificarea provenientei cererilor – Furnizorii de servicii sa fie incurajati sa ia masuri pentru verificarea autenticitatii cererilor primite de la autoritatile de aplicare a legii, in masura posibilului si a necesitatilor pentru a se asigura ca evidentele referitoare la clientii lor nu sunt dezvaluite unor persoane neautorizate;
  61. Raspunsurile – Furnizorii de servicii sa fie incurajati sa raspunda in scris la cererile primite din partea autoritatilor de aplicare a legii (sau in alt mod electronic acceptabil) si sa se asigure ca ramane o dovada in documente privind cererile si raspunsurile, recunoscand faptul ca aceasta nu poate sa cuprinda nici un fel de date cu caracter personal;
  62. Formatul standard de raspuns – Avand in vedere formatul cererilor utilizat de autoritatile de aplicare a legii, furnizorii de servicii sa fie incurajati sa stabileasca un format standard pentru transmiterea datelor si informatiilor catre autoritatile de aplicare a legii;
  63. Furnizorii de servicii sa fie incurajati sa solutioneze cererile la timp, in conformitate cu procedurile scrise pe care le-au stabilit si sa asigure recomandari autoritatilor de aplicare a legii cu privire la intarzierile inregistrate in activitatea de indeplinire a cererilor;
  64. Validarea informatiilor transmise – Furnizorii de servicii sa fie incurajati sa se asigure ca datele si informatiile transmise autoritatilor de aplicare a legii sunt complete, corecte si protejate;
  65. Confidentialitatea cererilor – Furnizorii de servicii sa asigure confidentialitatea cererilor primite;
  66. Explicatiile pentru informatiile sau datele care nu au fost furnizate – Furnizorii de servicii sa fie incurajati sa ofere explicatii autoritatilor de aplicare a legii care au transmis o cerere, in cazul in care cererea este respinsa sau informatiile nu pot fi furnizate;
  67. Auditul sistemului de cooperare in domeniul penal – Furnizorii de servicii sa fie incurajati sa monitorizeze si sa realizeze un audit al sistemului de solutionare a cererilor, in scopuri de statistica, pentru a identifica punctele forte si cele slabe, si sa publice rezultatele, daca este cazul;
  68. Coordonarea dintre furnizori – tinand cont de reglementarile anti-trust/privind concurenta, furnizorii de servicii sa fie incurajati sa isi coordoneze cooperarea cu autoritatile de aplicare a legii si sa faca schimb de bune practici si sa foloseasca in acest scop asociatiile furnizorilor de servicii.
Twitter Digg Delicious Stumbleupon Technorati Facebook


Nici un comentariu inca... Fii primul care lasa un comentariu!

Lasa un raspuns

This site is protected by Comment SPAM Wiper. This site is protected by WP-CopyRightPro