Recomandarea 2659/11-oct-2024 privind orientările referitoare la exportul produselor de supraveghere cibernetică în temeiul articolului 5 din Regulamentul (UE) 2021/821 al Parlamentului European şi al Consiliului
Acte UE
Jurnalul Oficial seria L
În vigoare Versiune de la: 16 Octombrie 2024
Recomandarea 2659/11-oct-2024 privind orientările referitoare la exportul produselor de supraveghere cibernetică în temeiul articolului 5 din Regulamentul (UE) 2021/821 al Parlamentului European şi al Consiliului
Dată act: 11-oct-2024
Emitent: Comisia Europeana
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcţionarea Uniunii Europene, în special articolul 292,
întrucât:
(1)Regulamentul (UE) 2021/821 al Parlamentului European şi al Consiliului (1) instituire un regim al Uniunii pentru controlul exporturilor, serviciilor de intermediere, asistenţei tehnice, tranzitului şi transferului de produse cu dublă utilizare.
(1)Regulamentul (UE) 2021/821 al Parlamentului European şi al Consiliului din 20 mai 2021 de instituire a unui regim al Uniunii pentru controlul exporturilor, serviciilor de intermediere, asistenţei tehnice, tranzitului şi transferului de produse cu dublă utilizare (JO L 206, 11.6.2021, p. 1, ELI: http://data.europa.eu/eli/reg/2021/821/oj).
(2)Regulamentul (UE) 2021/821 abordează riscul ca produsele de supraveghere cibernetică să fie utilizate în legătură cu represiunea internă şi/sau cu comiterea de încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar.
(3)În temeiul articolului 5 alineatul (2) şi al articolului 26 alineatul (1) din Regulamentul (UE) 2021/821, Comisia şi Consiliul pun la dispoziţie orientări pentru exportatori cu privire la produsele de supraveghere cibernetică neincluse pe listă, având în vedere necesitatea de a asigura eficienţa regimului de control al exporturilor din Uniune în ceea ce priveşte securitatea cibernetică şi implementarea consecventă a Regulamentului (UE) 2021/821.
(4)Prezenta recomandare şi orientările anexate la aceasta au ca scop să sprijine exportatorii în aplicarea controalelor privind produsele de supraveghere cibernetică neincluse pe listă, inclusiv, printre altele, măsurile de diligenţă necesară care evaluează riscurile legate de exportul unor astfel de produse.
(5)Orientările anexate la prezenta recomandare au făcut obiectul unor consultări ample în cadrul Grupului de experţi privind tehnologia de supraveghere, în 2022 şi 2023, şi au luat în considerare observaţiile primite în cursul unei consultări publice (2) desfăşurate în al doilea trimestru al anului 2023.
(2)https://policy.trade.ec.europa.eu/consultations/guidelines-export-cyber-surveillance-items-under-article-5-regulation-eu-no-2021821_en.
(6)Ar trebui reamintit faptul că prezenta recomandare şi orientările anexate nu au caracter obligatoriu. Prin urmare, exportatorilor le revine în continuare responsabilitatea de a-şi respecta obligaţiile în temeiul Regulamentului (UE) 2021/821, iar Comisia ar trebui să se asigure că prezenta recomandare rămâne relevantă în timp,
ADOPTĂ PREZENTA RECOMANDARE:
-****-
Se recomandă ca autorităţile competente şi exportatorii din statele membre să ţină seama de orientările prevăzute în anexa la prezenta recomandare pentru a-şi îndeplini obligaţiile în temeiul articolului 5 alineatul (2) din Regulamentul (UE) 2021/821.
-****-
Adoptată la Bruxelles, 11 octombrie 2024.
Pentru Comisie Valdis DOMBROVSKIS Vicepreşedinte executiv |
ANEXĂ:
CUPRINS
Introducere | 4 |
1. | Dispoziţii juridice, definiţii şi concepte-cheie relevante | 4 |
1.1. | Prezentare generală a dispoziţiilor juridice relevante | 4 |
1.2. | Definiţii-cheie | 5 |
1.2.1. | "Special concepute" | 5 |
1.2.2. | "Supraveghere sub acoperire" | 6 |
1.2.3. | "Persoane fizice" | 6 |
1.2.4. | "Monitorizarea, extragerea, colectarea, analizarea datelor" | 6 |
1.2.5. | "Din sistemele informatice şi de telecomunicaţii" | 7 |
1.2.6. | "Are cunoştinţă" şi "sunt destinate" | 7 |
1.3. | Represiunea internă, încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar | 7 |
1.3.1. | Represiunea internă | 8 |
1.3.2. | Comiterea de încălcări flagrante ale drepturilor omului | 8 |
1.3.3. | Comiterea de încălcări flagrante ale dreptului internaţional umanitar | 9 |
2. | Domeniul tehnic de aplicare | 9 |
2.1. | Produse de supraveghere cibernetică incluse pe listă | 9 |
2.2. | Produse de supraveghere cibernetică potenţială neincluse pe listă | 9 |
2.2.1. | Tehnologia de recunoaştere facială şi emoţională | 10 |
2.2.2. | Dispozitive de localizare şi urmărire | 10 |
2.2.3. | Sisteme de supraveghere video | 10 |
3. | Măsuri de diligenţă necesară | 10 |
Cerinţe prevăzute la articolul 5 alineatul (2) din Regulamentul (UE) 2021/821 | 12 |
4. | Apendice | 12 |
Produse de supraveghere cibernetică incluse pe listă care fac obiectul controlului în temeiul anexei I la Regulamentul (UE) 2021/821 | 12 |
Sisteme de interceptare a telecomunicaţiilor (5A001.f.) | 12 |
Sisteme de supraveghere a internetului (5A001.j.) | 13 |
"Produse software de intruziune" (4A005, 4D004 şi sisteme de control conexe în temeiul 4E001.a. şi 4E001.c.) | 13 |
Produse software de monitorizare a comunicaţiilor (5D001.e.) | 14 |
Produse utilizate pentru efectuarea criptanalizei (5A004.a.) | 14 |
Instrumente criminalistice/de investigare (5A004.b., 5D002.a.3.b. şi 5D002.c.3.b.) | 14 |
INTRODUCERE
Cadrul Uniunii de control al exporturilor instituit prin Regulamentul (UE) 2021/821 (denumit în continuare "regulamentul") urmăreşte să asigure respectarea obligaţiilor şi angajamentelor internaţionale ale Uniunii şi ale statelor sale membre, inclusiv în ceea ce priveşte pacea, securitatea şi stabilitatea regională, precum şi respectarea drepturilor omului şi a dreptului internaţional umanitar. Prin urmare, Uniunea şi statele sale membre au pus în aplicare deciziile luate în cadrul regimurilor multilaterale de control al exporturilor şi au actualizat în consecinţă lista de control a Uniunii în anexa I la regulament (1). În plus, înainte de intrarea în vigoare a articolului 5 din regulament, autorităţile competente din statele membre controlaseră deja exportul anumitor produse incluse pe listă care pot avea aplicaţii de supraveghere (2), luând în considerare riscurile de utilizare abuzivă în anumite circumstanţe specifice. În cazul unor circumstanţe extrem de grave, Uniunea a impus sancţiuni care restricţionează exportul anumitor echipamente de supraveghere (3).
(1)A se vedea, în special, controalele referitoare la sistemele de interceptare a telecomunicaţiilor (5A001.f), la sistemele de supraveghere a internetului (5A001.j.), la produsele software de intruziune (4A005, 4D004 şi la controalele aferente prevăzute la 4E001.a şi 4E001.c) şi la produsele software de monitorizare a aplicării legii (5D001.e). A se vedea, de asemenea, pe baza unei evaluări de la caz la caz, controalele legate de anumite instrumente criminalistice/de investigare (5A004.b 5D002.a.3.b şi 5D002.c.3.b).
(2)În special sistemele de securitate a informaţiilor.
(3)A se vedea Regulamentul (CE) nr. 765/2006 al Consiliului din 18 mai 2006 privind măsuri restrictive având în vedere situaţia din Belarus şi implicarea Belarusului în agresiunea Rusiei împotriva Ucrainei (JO L 134, 20.5.2006, p. 1, ELI: http://data.europa.eu/eli/reg/2006/765/oj); Regulamentul (UE) nr. 359/2011 al Consiliului din 12 aprilie 2011 privind măsuri restrictive împotriva anumitor persoane, entităţi şi organisme având în vedere situaţia din Iran (JO L 100, 14.4.2011, p. 1, ELI: http://data.europa.eu/eli/reg/2011/359/oj); Regulamentul (UE) nr. 36/2012 al Consiliului din 18 ianuarie 2012 privind măsuri restrictive având în vedere situaţia din Siria şi de abrogare a Regulamentului (UE) nr. 442/2011 (JO L 16, 19.1.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/36/oj); Regulamentul (UE) nr. 401/2013 al Consiliului din 2 mai 2013 privind măsuri restrictive având în vedere situaţia din Myanmar/Birmania şi de abrogare a Regulamentului (CE) nr. 194/2008 (JO L 121, 3.5.2013, p. 1, ELI: http://data.europa.eu/eli/reg/2013/401/oj); şi Regulamentul (UE) 2017/2063 al Consiliului din 13 noiembrie 2017 privind măsuri restrictive având în vedere situaţia din Venezuela (JO L 295, 14.11.2017, p. 21, ELI: http://data.europa.eu/eli/reg/2017/2063/oj).
Regulamentul reflectă angajamentul Uniunii de a aborda în mod eficace riscul ca produsele de supraveghere cibernetică să fie utilizate în legătură cu represiunea internă şi/sau cu comiterea de încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar. În special, regulamentul introduce noi dispoziţii privind controlul exportului produselor de supraveghere cibernetică neincluse pe listă, inclusiv obligaţia exportatorilor de a notifica autoritatea competentă atunci când au cunoştinţă, în conformitate cu constatările lor rezultate din îndeplinirea obligaţiei de diligenţă, că produsele de supraveghere cibernetică neincluse pe listă pe care exportatorii propun să le exporte sunt destinate, integral sau parţial, utilizării în legătură cu represiunea internă şi/sau comiterea unor încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar. Regulamentul invită, de asemenea, Comisia şi Consiliul să pună la dispoziţia exportatorilor orientări pentru a sprijini punerea în aplicare eficace a noilor controale pentru produsele de supraveghere cibernetică care nu sunt incluse pe listă.
Prin urmare, prezentele orientări vizează sprijinirea exportatorilor în ceea ce priveşte aplicarea controalelor cu privire la produsele de supraveghere cibernetică neincluse pe listă, inclusiv, printre altele, măsurile de diligenţă necesară care evaluează riscurile legate de exportul unor astfel de produse către utilizatorii finali şi utilizările finale în temeiul noilor dispoziţii ale regulamentului.
1.DISPOZIŢII JURIDICE, DEFINIŢII ŞI CONCEPTE-CHEIE RELEVANTE
1.1.Prezentare generală a dispoziţiilor juridice relevante
Regulamentul introduce noi dispoziţii care prevăd în mod specific controlul exportului produselor de supraveghere cibernetică care nu sunt enumerate în anexa I la regulament şi care sunt sau pot fi destinate, integral sau parţial, utilizării în legătură cu represiunea internă şi/sau cu comiterea de încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar. Considerentele şi articolele relevante sunt:
(a)considerentul 8: "Pentru a limita riscul ca anumite produse de supraveghere cibernetică neincluse pe listă exportate de pe teritoriul vamal al Uniunii să fie utilizate în mod abuziv de persoane complice sau responsabile de orchestrarea ori de comiterea unor încălcări grave ale drepturilor omului sau ale dreptului internaţional umanitar, este oportun să se controleze exportul unor astfel de produse. Riscurile asociate se referă, în special, la cazurile în care produsele de supraveghere cibernetică sunt special concepute pentru a permite intruziunea sau inspectarea aprofundată a pachetelor în sistemele informatice şi de telecomunicaţii pentru a efectua supravegherea sub acoperire a persoanelor fizice prin monitorizarea, extragerea, colectarea sau analizarea datelor, inclusiv a datelor biometrice, din respectivele sisteme. În general, se consideră că produsele utilizate exclusiv în scopuri comerciale, cum ar fi facturarea, comercializarea, serviciile de calitate, satisfacţia utilizatorilor sau securitatea reţelei, nu implică astfel de riscuri.";
(b)considerentul 9: "În vederea consolidării controlului eficace al exporturilor de produse de supraveghere cibernetică neincluse pe listă, este esenţial să se armonizeze în continuare aplicarea procedurii «catch-all» în respectivul domeniu. În acest scop, statele membre se angajează să sprijine astfel de controale prin schimbul de informaţii între ele şi cu Comisia, în special în ceea ce priveşte evoluţiile tehnologice ale produselor de supraveghere cibernetică şi prin exercitarea vigilenţei în aplicarea unor astfel de controale pentru a promova un schimb la nivelul Uniunii.";
(c)articolul 2 punctul 20, care prevede o definiţie a produselor de supraveghere cibernetică ca fiind "produse cu dublă utilizare special concepute pentru a permite supravegherea sub acoperire a persoanelor fizice prin monitorizarea, extragerea, colectarea sau analizarea datelor din sistemele informatice şi de telecomunicaţii";
(d)articolul 5, care introduce o cerinţă de autorizare pentru exportul de produse de supraveghere cibernetică care nu sunt incluse pe listă în cazul în care exportatorul a fost informat de către autoritatea competentă că produsele în cauză sunt sau pot fi destinate, integral sau parţial, unei utilizări legate de represiunea internă şi/sau de comiterea unor încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar [articolul 5 alineatul (1)]. În plus, acesta impune exportatorilor obligaţia să notifice autoritatea competentă în cazul în care au cunoştinţă, conform constatărilor lor rezultate din îndeplinirea obligaţiei de diligenţă, de faptul că produsele sunt destinate, integral sau parţial, utilizării în legătură cu represiunea internă şi/sau cu comiterea unor încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar [articolul 5 alineatul (2)]. Autoritatea competentă respectivă decide cu privire la impunerea unei autorizaţii pentru exportul în cauză; şi
(e)articolul 5 alineatul (2), care prevede, de asemenea, că "Comisia şi Consiliul pun la dispoziţie orientări pentru exportatori, astfel cum se menţionează la articolul 26 alineatul (1)."
1.2.Definiţii-cheie
Regulamentul conţine considerente şi dispoziţii specifice care clarifică termenii specifici relevanţi pentru controlul exportului produselor de supraveghere cibernetică neincluse pe listă şi pe care este important ca exportatorii să le înţeleagă în mod clar pentru a efectua diligenţa necesară şi a pune în aplicare controalele în mod eficace. O definiţie de o importanţă deosebită se regăseşte la articolul 2 punctul 20, care include următoarea definiţie precisă a "produselor de supraveghere cibernetică": "produse cu dublă utilizare special concepute pentru a permite supravegherea sub acoperire a persoanelor fizice prin monitorizarea, extragerea, colectarea sau analizarea datelor din sistemele informatice şi de telecomunicaţii".
În sensul prezentelor orientări, ar trebui clarificate aspecte specifice ale definiţiei respective.
1.2.1."Special concepute"
Un produs este conceput pentru supraveghere sub acoperire atunci când caracteristicile sale tehnice sunt adecvate pentru supravegherea sub acoperire a persoanelor fizice şi o permit în mod obiectiv. Prin urmare, termenul "special concepute" înseamnă că supravegherea sub acoperire a persoanelor fizice trebuie să fi fost principalul scop al dezvoltării şi conceperii produsului. Cu toate acestea, un astfel de termen nu prevede ca produsul să poată fi utilizat exclusiv pentru supravegherea sub acoperire a persoanelor fizice.
Astfel cum s-a clarificat în considerentul 8 din regulament, produsele utilizate pentru aplicaţii pur comerciale, cum ar fi facturarea, comercializarea, serviciile de calitate, satisfacţia utilizatorilor sau securitatea reţelei, nu sunt special concepute pentru supravegherea sub acoperire a persoanelor fizice şi, prin urmare, nu se încadrează în definiţia produselor de supraveghere cibernetică. De exemplu, chiar dacă produsele pentru supravegherea sistemelor de operare din industrie sau pentru monitorizarea traficului utilizatorilor ar putea fi utilizate în scopuri de supraveghere, aceste produse nu sunt produse de supraveghere cibernetică conform definiţiei, deoarece nu sunt special concepute pentru a permite supravegherea sub acoperire a persoanelor fizice.
1.2.2."Supraveghere sub acoperire"
Produsele permit supravegherea sub acoperire, în special în cazul în care supravegherea nu este în mod evident perceptibilă pentru persoana fizică afectată. Acest lucru ar fi valabil atunci când persoanele în cauză nu au cunoştinţă de prezenţa şi/sau acţiunea produselor de supraveghere cibernetică şi, prin urmare, nu au posibilitatea de a se sustrage de la supravegherea respectivă sau cel puţin de a-şi adapta comportamentul în consecinţă. Chiar dacă supravegherea este efectuată prin intermediul unor produse instalate sau care funcţionează în spaţiul public, obţinerea datelor poate fi considerată, în anumite cazuri, relevantă pentru supravegherea sub acoperire; în special, datele colectate pot fi deturnate, evaluate sau prelucrate în alte scopuri decât cele cu privire la care persoana fizică afectată este informată. Cu alte cuvinte, atunci când o persoană fizică nu se poate aştepta în mod obiectiv să se afle sub supraveghere, supravegherea poate fi considerată ca fiind sub acoperire, în conformitate cu articolul 2 punctul 20 din regulament.
1.2.3."Persoane fizice"
Termenul "persoană fizică" se referă la o fiinţă umană vie prin opoziţie faţă de o persoană juridică sau o entitate, care, prin urmare, nu face obiectul dispoziţiilor. Termenul nu se referă la supravegherea obiectelor, a locurilor sau a maşinilor ca atare.
1.2.4."Monitorizarea, extragerea, colectarea, analizarea datelor"
Potrivit Oxford English Dictionary, cuvintele "monitorizare, extragere, colectare şi analiză" au următoarea semnificaţie lingvistică:
- "monitorizare": observare; supraveghere, ascultare;
- "extragere": a obţine;
- "colectare": a reuni, a strânge;
- "analiză": a diferenţia sau a determina elementele unui ansamblu (complex) pentru a determina structura sau natura acestuia şi, prin urmare, pentru a explica sau a înţelege acest ansamblu; a examina îndeaproape şi metodic în scopul interpretării; a supune unei analize critice sau computaţionale.
Aceşti termeni implică faptul că elementele utilizate pentru supraveghere ar trebui să aibă capacităţi tehnice precise pentru prelucrarea datelor în vederea monitorizării, colectării, extragerii sau analizării datelor, cum ar fi, de exemplu, următoarele elemente:
(a)produse utilizate pentru monitorizarea datelor din sistemele informatice şi de telecomunicaţii (4) (de exemplu, dimensiunea fişierelor sau traficul de pachete privind datele care sunt transmise în cadrul unui astfel de sistem);
(4)A se vedea punctul 1.2.5 de mai jos pentru definiţie.
(b)produse care extrag date din sistemele informatice şi de telecomunicaţii prin efectuarea de intruziuni şi extragere (de exemplu, software de intruziune);
(c)produse care permit o analiză a datelor extrase din sistemele informatice şi de telecomunicaţii, inclusiv cele care pot prelucra imaginile camerei stocate în sistemele respective (de exemplu, anumite tipuri de tehnologii de analiză a datelor utilizate ca parte a sistemelor de recunoaştere facială).
Produsele utilizate pentru a monitoriza pur şi simplu sistemele informatice sau pentru a urmări populaţia prin intermediul camerelor de supraveghere video şi care permit captarea conversaţiilor, a schimburilor de date, a deplasărilor şi a comportamentelor individuale nu ar fi considerate produse de supraveghere cibernetică în sensul definiţiei din regulament, deoarece nu sunt special concepute în acest scop şi trebuie să colaboreze cu alte tehnologii, cum ar fi inteligenţa artificială sau volumele mari de date. Cu toate acestea, întregul sistem (conlucrând cu alte tehnologii, cum ar fi inteligenţa artificială sau tehnologiile cu volume mari de date) ar putea fi un produs de supraveghere cibernetică în sensul definiţiei de la articolul 2 punctul 20 din regulament.
Este important de remarcat faptul că, deşi oferă câteva exemple utile în scopuri ilustrative, definiţia şi domeniul de aplicare al produselor de supraveghere cibernetică nu sunt limitate de aceste exemple, deoarece obiectivul articolului 5 este de a permite un control eficace al exportului produselor care nu sunt incluse pe listă.
După cum reiese din utilizarea conjuncţiei "sau" în definiţie, capacităţile tehnice enumerate trebuie considerate alternative şi nu este necesar ca un produs să aibă toate aceste capacităţi tehnice pentru monitorizarea, extragerea, colectarea sau analizarea datelor. Cu alte cuvinte, este suficient ca un produs să aibă una dintre aceste capacităţi tehnice pentru a se încadra în definiţia produsului de supraveghere cibernetică de la articolul 2 punctul 20.
1.2.5."Din sistemele informatice şi de telecomunicaţii"
Aceşti termeni se referă la sistemele care prelucrează electronic informaţii, de exemplu programare/codificare, operaţiuni ale sistemelor PC (hardware) şi alte servicii de administrare a informaţiilor, inclusiv tehnologia software, tehnologia web, tehnologia de calcul, tehnologia de stocare etc., precum şi la unele sisteme care transmit informaţii la distanţă, de exemplu sistemele tehnice care transmit sunete, semnale, text, alte semne, imagini atât prin canale cu fir, cât şi fără fir, prin fibre optice, radio şi alte sisteme electromagnetice. Împreună, aceste două concepte includ o gamă largă de sisteme de transmitere sau prelucrare a informaţiilor. Ar trebui remarcat faptul că sintagma se referă la sisteme şi nu la echipamente.
1.2.6."Are cunoştinţă" şi "sunt destinate"
În temeiul articolului 5 alineatul (2) din regulament, un exportator informează autoritatea competentă în cazul în care acesta "are cunoştinţă [...] de faptul că produsele de supraveghere cibernetică [...] sunt destinate [...] [unei utilizări legate de represiunea internă şi/sau de comiterea unor încălcări flagrante ale drepturilor omului sau ale dreptului internaţional umanitar]".
Termenul "cunoştinţă" nu este un concept juridic nou, ci a fost utilizat în legătură cu cerinţele de autorizare privind utilizarea finală (aşa-numitele controale "catch-all") în temeiul articolelor 4, 6, 7 şi 8 din regulament. "A avea cunoştinţă" înseamnă că exportatorul are informaţii pozitive cu privire la utilizarea abuzivă avută în vedere. Simpla posibilitate a unui astfel de risc nu este suficientă pentru a stabili gradul de cunoştinţă. Cu toate acestea, termenul "cunoştinţă" nu poate fi asimilat pasivităţii: acesta presupune ca exportatorul să fi luat măsuri pentru a obţine informaţii suficiente şi adecvate pentru a evalua riscurile legate de export şi pentru a asigura conformitatea cu regulamentul.
Indicaţia că produsele trebuie să fie "destinate" unei utilizări finale sensibile relevante presupune faptul că exportatorul ar trebui să evalueze utilizarea finală de la caz la caz, având în vedere circumstanţele specifice ale cazului respectiv. A contrario, un risc teoretic, şi anume care nu se bazează pe o evaluare factuală a cazului, ca produsele să poată fi utilizate într-un mod care încalcă drepturile omului nu ar fi suficient pentru a presupune că acestea "sunt destinate" unei utilizări abuzive specifice în temeiul articolului 5.
1.3.Represiunea internă, încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar
În temeiul articolului 15 din regulament, care stabileşte consideraţiile pentru evaluarea unei autorizaţii, statele membre trebuie să ia în considerare toate consideraţiile relevante, inclusiv cele care fac obiectul Poziţiei comune 2008/944/PESC a Consiliului (5).
(5)Poziţia comună 2008/944/PESC a Consiliului din 8 decembrie 2008 de definire a normelor comune care reglementează controlul exporturilor de tehnologie şi echipament militar (JO L 335, 13.12.2008, p. 99, ELI: http://data.europa.eu/eli/compos/2008/944/oj).
- Articolul 5 din regulament extinde controalele la exportul produselor de supraveghere cibernetică neincluse pe listă, având în vedere riscul ca acestea să fie utilizate în legătură cu represiunea internă şi/sau cu comiterea unor încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar. Poziţia comună 2008/944/PESC şi ghidul de utilizare a acestei poziţii comune (6) oferă orientări utile în acest sens.
(6)A se vedea Ghidul de utilizare a Poziţiei comune 2008/944/PESC a Consiliului de definire a normelor comune care reglementează controlul exporturilor de tehnologie şi echipament militar, https://www.consilium.europa.eu/media/40659/st12189-en19.pdf.
1.3.1.Represiunea internă
În temeiul articolului 2 alineatul (2) din Poziţia comună 2008/944/PESC, "represiunile interne includ, printre altele, tortura şi alte tratamente sau pedepse crude, inumane şi degradante, execuţii sumare sau arbitrare, dispariţii, detenţii arbitrare şi alte încălcări majore ale drepturilor omului şi libertăţilor fundamentale, astfel cum au fost stabilite de instrumentele internaţionale relevante în domeniul drepturilor omului, inclusiv Declaraţia universală a drepturilor omului şi Pactul internaţional cu privire la drepturile civile şi politice" (PIDCP). Ghidul de utilizare a Poziţiei comune 2008/944/PESC oferă orientări cu privire la elementele care trebuie luate în considerare în evaluarea exportatorului, inclusiv "antecedentele actuale şi anterioare ale utilizatorului final propus în ceea ce priveşte respectarea drepturilor omului şi ale ţării beneficiare în general".
1.3.2.Comiterea de încălcări flagrante ale drepturilor omului
Utilizarea abuzivă a produselor de supraveghere cibernetică neincluse pe listă poate avea un impact negativ asupra unui spectru larg de drepturi ale omului şi aduce atingere în mod direct dreptului la viaţă privată şi la protecţia datelor. Supravegherea arbitrară sau ilegală poate încălca, de asemenea, alte drepturi ale omului, cum ar fi dreptul la libertatea de exprimare, de asociere şi de întrunire, libertatea de gândire, de conştiinţă şi de religie, precum şi dreptul la egalitate de tratament sau la interzicerea discriminării şi dreptul la alegeri libere, egale şi secrete. În cazuri speciale, supravegherea, inclusiv monitorizarea sau colectarea de informaţii ale persoanelor fizice, cum ar fi apărătorii drepturilor omului, activiştii, personalităţile politice, populaţiile vulnerabile şi jurnaliştii, poate duce la intimidare, reprimare, detenţie arbitrară, tortură sau chiar la execuţii extrajudiciare. Prin urmare, exportatorii ar trebui să includă în evaluările lor aceste aspecte legate de încălcări flagrante ale drepturilor omului.
Practica internaţională arată că orice restricţie privind drepturile omului trebuie să fie "adecvată" şi în conformitate cu standardele internaţionale privind drepturile omului. În practică, aceasta înseamnă că există garanţii adecvate pentru a se asigura că restricţiile sunt prevăzute prin lege şi pentru a menţine esenţa drepturilor. Sub rezerva principiului proporţionalităţii, pot fi impuse restricţii numai dacă acestea sunt necesare şi servesc efectiv unui scop legitim - de exemplu, siguranţa naţională sau publică, ordinea publică, protecţia sănătăţii publice sau protecţia drepturilor şi libertăţilor celorlalţi.
Produsele de supraveghere cibernetică pot include instrumente legitime şi reglementate pentru aplicaţiile de asigurare a aplicării legii, cum ar fi pentru prevenirea, investigarea, depistarea sau urmărirea penală a infracţiunilor, inclusiv în domeniul combaterii terorismului sau al executării pedepselor în dreptul penal. În acelaşi timp, produsele de supraveghere cibernetică pot fi, de asemenea, utilizate în mod abuziv pentru a comite încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar atunci când sunt exportate către regimuri represive sau către utilizatori finali privaţi şi/sau în zone de conflict.
Acest lucru necesită o evaluare de la caz la caz a circumstanţelor unui caz, inclusiv aplicarea reglementărilor relevante în lumina oricăror rapoarte privind încălcări flagrante ale drepturilor omului ale organismelor competente, de exemplu, Organizaţia Naţiunilor Unite, Uniunea Europeană sau Consiliul Europei. Un indiciu privind "caracterul flagrant al" încălcărilor drepturilor omului poate fi găsit în recunoaşterea acestor încălcări în informaţiile publicate de organismele competente ale Organizaţiei Naţiunilor Unite, de Uniune sau de Consiliul Europei. Aceasta nu este o necesitate absolută pentru o astfel de recunoaştere explicită de către aceste organisme, ci este un factor important pentru îndeplinirea criteriilor.
În conformitate cu articolul 5, încălcarea drepturilor omului trebuie să fie "gravă". Orientări utile pentru clasificarea posibilelor încălcări ale drepturilor omului ca fiind "grave" pot fi găsite în Ghidul de utilizare a Poziţiei comune 2008/944/PESC. Potrivit acestui ghid, natura şi consecinţele încălcării sunt determinante. Încălcările sistematice şi/sau larg răspândite ale drepturilor omului sunt considerate în mod regulat ca fiind grave; dar şi încălcările care nu sunt sistematice sau larg răspândite pot fi considerate "grave" - de exemplu, din cauza gravităţii intervenţiei pentru persoanele afectate.
- Anexa II la Ghidul de utilizare a Poziţiei comune 2008/944/PESC prevede o listă neexhaustivă a principalelor instrumente internaţionale şi regionale din domeniul drepturilor omului, inclusiv Convenţia internaţională cu privire la drepturile civile şi politice (PIDCP), Convenţia împotriva torturii şi altor pedepse ori tratamente cu cruzime, inumane sau degradante, Convenţia europeană a drepturilor omului (denumită în continuare "convenţia") şi Carta drepturilor fundamentale (Carta), care pot oferi orientări importante pentru interpretarea şi aplicarea criteriilor în sprijinul unor evaluări solide ale drepturilor omului. Aceste instrumente, împreună cu protocoalele lor adiţionale respective, constituie principalele norme şi standarde internaţionale în domeniul drepturilor omului şi al libertăţilor fundamentale.
1.3.3.Comiterea de încălcări flagrante ale dreptului internaţional umanitar
Dreptul internaţional umanitar (denumit, de asemenea, "Convenţiile de la Geneva" sau "Dreptul conflictelor armate") a fost dezvoltat printr-o serie de tratate internaţionale, în special prin Regulamentele de la Haga, Convenţiile de la Geneva şi cele două protocoale adiţionale la acestea din 1977, şi identifică norme care, în perioade de conflict armat, servesc la protejarea persoanelor care nu participă sau nu mai participă la ostilităţi (de exemplu, civili şi combatanţi răniţi, bolnavi sau capturaţi) şi impun părţilor beligerante limitări în ceea ce priveşte mijloacele şi metodele de război ("Convenţiile de la Haga").
Utilizarea produselor de supraveghere cibernetică neincluse pe listă ar trebui să respecte dreptul internaţional umanitar atunci când acestea sunt utilizate ca mijloace şi metode de război în contextul unui conflict armat. În astfel de circumstanţe, riscul unor încălcări flagrante ale dreptului internaţional umanitar este luat în considerare în temeiul regulamentului şi, în ceea ce priveşte comiterea unor încălcări flagrante ale drepturilor omului, ar trebui evaluat în funcţie de destinaţia finală preconizată a produselor în cazul respectiv. Ghidul de utilizare a Poziţiei comune 2008/944/PESC oferă orientări cu privire la elementele care trebuie luate în considerare, inclusiv antecedentele trecute şi actuale ale destinatarului în ceea ce priveşte respectarea dreptului internaţional umanitar, intenţiile destinatarului exprimate prin angajamente formale şi capacitatea acestuia de a se asigura că echipamentele sau tehnologiile transferate sunt utilizate în conformitate cu dreptul internaţional umanitar şi nu sunt deturnate sau transferate către alte destinaţii în care ar putea fi utilizate pentru încălcări flagrante ale acestei legi.
În conformitate cu articolul 5, încălcarea dreptului internaţional umanitar trebuie să fie "flagrantă". Orientări pot fi găsite în Ghidul de utilizare a Poziţiei comune 2008/944/PESC, unde se recunoaşte că "incidentele izolate de încălcări ale dreptului internaţional umanitar nu indică neapărat atitudinea ţării beneficiare faţă de dreptul internaţional umanitar" şi că "în cazul în care se poate identifica un anumit model de încălcări sau ţara beneficiară nu a luat măsurile adecvate pentru a sancţiona încălcările, acest lucru ar trebui să constituie un motiv serios de îngrijorare". Comitetul Internaţional al Crucii Roşii (CICR) a furnizat orientări cu privire la evaluarea încălcărilor dreptului internaţional umanitar în scopul controlului exporturilor. Potrivit CICR, "încălcările dreptului internaţional umanitar sunt flagrante dacă pun în pericol persoane protejate (de exemplu, civili, prizonieri de război, răniţi şi bolnavi) sau obiecte (de exemplu, obiecte sau infrastructuri civile) sau dacă încalcă valori universale importante". Crimele de război, de exemplu, constituie încălcări flagrante ale dreptului internaţional umanitar. CICR menţionează, de asemenea, factori similari care trebuie consideraţi, cum ar fi Ghidul de utilizare a Poziţiei comune 2008/944/PESC, inclusiv angajamentele formale de a aplica normele dreptului internaţional umanitar, măsurile adecvate de asigurare a tragerii la răspundere pentru încălcările dreptului internaţional umanitar, formarea în domeniul dreptului internaţional umanitar pentru personalul militar şi interzicerea recrutării de copii pentru forţele armate.
2.DOMENIUL TEHNIC DE APLICARE
2.1.Produse de supraveghere cibernetică incluse pe listă
Apendicele la acest ghid oferă informaţii privind produsele de supraveghere cibernetică enumerate în anexa I la regulament, pentru a ajuta exportatorii să identifice produsele de supraveghere cibernetică potenţiale care nu sunt incluse pe listă.
2.2.Produse de supraveghere cibernetică potenţială neincluse pe listă
Deşi, prin definiţie, este imposibil să se furnizeze o listă exhaustivă a produselor care pot fi controlate ca "articole neincluse în listă" în temeiul articolului 5, următoarele articole ar putea avea un potenţial de supraveghere şi ar putea justifica o vigilenţă deosebită în temeiul regulamentului.
Astfel cum s-a clarificat în considerentul 8 din regulament, în general, se consideră că produsele utilizate exclusiv în scopuri comerciale, cum ar fi facturarea, comercializarea, serviciile de calitate, satisfacţia utilizatorilor sau securitatea reţelei, nu implică riscuri de utilizare abuzivă, astfel cum sunt relevante în temeiul dispoziţiilor privind încălcările flagrante ale drepturilor omului sau ale dreptului internaţional umanitar şi, prin urmare, nu fac, în general, obiectul controlului în temeiul articolului 5. Multe dintre aceste produse au funcţionalităţi de securitate a informaţiilor (criptografice sau chiar criptanalitice) care îndeplinesc parametrii de control din categoria 5 partea 2 din textul de control din anexa I la regulament. Echipamentele reţelelor de securitate - inclusiv routere, switchuri sau relee, în cazul cărora funcţionalitatea de "securitate a informaţiilor" se limitează la sarcinile legate de "operare, administrare sau întreţinere" ("OAM") care utilizează numai standarde criptografice publicate sau comerciale - nu sunt incluse în definiţia "produselor de supraveghere cibernetică", deşi exportatorii ar trebui să rămână vigilenţi, având în vedere diferitele rapoarte privind utilizarea abuzivă a unor astfel de produse în contextul încălcării drepturilor omului.
2.2.1.Tehnologia de recunoaştere facială şi emoţională
Tehnologiile de recunoaştere facială şi emoţională au utilizări multiple, altele decât supravegherea cibernetică - de exemplu, pentru identificare sau autentificare - şi nu s-ar încadra automat în definiţie. Cu toate acestea, în anumite circumstanţe, tehnologiile de recunoaştere facială şi emoţională pot intra sub incidenţa articolului 2 punctul 20 din regulament.
Tehnologiile de recunoaştere facială şi emoţională care pot fi utilizate pentru monitorizarea sau analizarea imaginilor video stocate ar putea intra în domeniul de aplicare al definiţiei produsului de supraveghere cibernetică. Cu toate acestea, chiar dacă sunt îndeplinite criteriile menţionate anterior, trebuie să se examineze cu atenţie dacă produsul software este conceput special pentru supraveghere sub acoperire.
2.2.2.Dispozitive de localizare şi urmărire
Dispozitivele de localizare permit urmărirea localizării fizice a unui dispozitiv de-a lungul timpului, iar unele tehnologii de localizare sunt utilizate de mai mult timp de către autorităţile de aplicare a legii şi serviciile de informaţii. Potenţialul lor de supraveghere ţintită şi în masă a evoluat considerabil, deoarece tehnologiile de urmărire au devenit mai avansate - inclusiv urmărirea localizării prin satelit, urmărirea localizării pe bază de antenă-releu, transceiver Wi-Fi şi Bluetooth - şi deoarece "dispozitivele de urmărire", cum ar fi telefoanele inteligente şi alte dispozitive electronice (de exemplu, sistemele încorporate la bordul vehiculelor) au devenit larg răspândite.
Dispozitivele de localizare sunt utilizate de autorităţile de aplicare a legii şi de serviciile de informaţii, de exemplu pentru a colecta probe în cursul unei investigaţii sau pentru a urmări suspecţii, dar şi de către societăţi în scopuri comerciale, de exemplu raportarea cu privire la tiparele de mişcare agregate pe străzile comerciale, urmărirea angajaţilor care lucrează în afara amplasamentului sau pentru publicitatea bazată pe localizare.
2.2.3.Sisteme de supraveghere video
Pentru a-i ajuta pe exportatori să identifice o potenţială supraveghere cibernetică, este, de asemenea, util să se clarifice ce produse nu ar fi acoperite de definiţie. În acest sens, de exemplu, sistemele de supraveghere video şi camerele de luat vederi - inclusiv camerele de înaltă rezoluţie - utilizate pentru filmarea persoanelor în spaţiile publice nu intră sub incidenţa definiţiei produselor de supraveghere cibernetică, deoarece nu monitorizează şi nu colectează date din sistemele informatice şi de telecomunicaţii.
3.MĂSURI DE DILIGENŢĂ NECESARĂ
Potrivit considerentului 7 al regulamentului, "contribuţia exportatorilor [...] la obiectivul general de control al comerţului este esenţială. Pentru ca aceştia să poată acţiona în conformitate cu prezentul regulament, evaluarea riscurilor legate de tranzacţiile vizate de prezentul regulament trebuie efectuată prin intermediul unor măsuri de examinare a tranzacţiilor, cunoscute şi ca principiul obligaţiei de diligenţă, ca parte a unui program intern de conformitate (PIC)".
Punctul 21 de la articolul 2 defineşte "programul intern de conformitate" sau "PIC" ca fiind "politici şi proceduri revizuite permanent, eficace, corespunzătoare şi proporţionale, adoptate de exportatori pentru a facilita respectarea dispoziţiilor şi obiectivelor prezentului regulament şi a clauzelor şi condiţiilor autorizaţiilor prevăzute de prezentul regulament, inclusiv, printre altele, măsuri de diligenţă necesară care evaluează riscurile legate de exportul produselor către utilizatorii finali şi utilizările finale".
Recomandarea (UE) 2019/1318 a Comisiei (7) oferă un cadru care să ajute exportatorii să identifice, să gestioneze şi să atenueze riscurile asociate controalelor schimburilor comerciale cu produse cu dublă utilizare şi să asigure conformitatea cu legile şi reglementările relevante ale UE şi de la nivel naţional.
(7)Recomandarea (UE) 2019/1318 a Comisiei din 30 iulie 2019 privind programele interne de asigurare a conformităţii pentru controalele schimburilor comerciale cu produse cu dublă utilizare în temeiul Regulamentului (CE) nr. 428/2009 (JO L 205, 5.8.2019, p. 15, ELI: http://data.europa.eu/eli/reco/2019/1318/oj).
Aceste orientări pot sprijini exportatorii atunci când efectuează măsuri de examinare a tranzacţiilor, cunoscute şi sub denumirea de principiul diligenţei necesare, ca parte a unui PIC.
În temeiul articolului 5 alineatul (2) din Regulamentul (UE) 2021/821, exportatorii produselor de supraveghere cibernetică neincluse pe listă au obligaţia de a exercita diligenţa necesară prin intermediul unor măsuri de examinare a tranzacţiilor, ceea ce înseamnă că iau măsuri cu privire la clasificarea produselor şi la evaluarea riscurilor legate de tranzacţii. Practic, exportatorii sunt încurajaţi să reexamineze următoarele:
3.1.Să verifice dacă produsul neinclus pe listă care urmează să fie exportat ar putea fi un "produs de supraveghere cibernetică", adică conceput special pentru a permite supravegherea sub acoperire a persoanelor fizice prin monitorizarea, extragerea, colectarea sau analizarea datelor din sistemele informatice şi de telecomunicaţii.
Această etapă se referă la determinarea produsului în conformitate cu dispoziţiile care se aplică produselor de supraveghere cibernetică. Aceasta include o examinare a caracteristicilor tehnice ale produselor, pe baza parametrilor tehnici stabiliţi în anexa I la regulament pentru produsele incluse pe listă şi având în vedere termenii şi conceptele specifice din definiţia produselor de supraveghere cibernetică pentru produsele neincluse pe listă, precum şi clasificarea ulterioară a produsului (bunuri, tehnologie sau software).
3.2.Să examineze capacităţile produsului în cauză de a stabili potenţialul de utilizare abuzivă în legătură cu represiunea internă şi/sau comiterea unor încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar de către utilizatorii finali străini.
Exportatorii ar trebui să efectueze o evaluare pentru a stabili dacă produsul ar putea fi utilizat în mod abuziv pentru a comite represiuni interne, pentru a încălca sau a abuza de drepturile omului, inclusiv dreptul la viaţă, dreptul de a nu fi supus torturii, tratamentelor inumane şi degradante, dreptul la viaţă privată, dreptul la libertatea de exprimare, dreptul la asociere şi întrunire, dreptul la libertatea de gândire, de conştiinţă şi de religie, dreptul la egalitatea de tratament sau interzicerea discriminării sau dreptul la alegeri libere, egale şi secrete.
Aceasta include, de asemenea, o evaluare pentru a stabili dacă produsul ar putea fi utilizat ca parte sau componentă a unui sistem care ar putea duce la aceleaşi încălcări şi/sau utilizări necorespunzătoare.
Exportatorii ar trebui să utilizeze în evaluarea lor aşa-numitele semnale de alertă care se referă la orice circumstanţe anormale într-o tranzacţie care indică faptul că exportul poate fi destinat unei utilizări finale, unui utilizator final sau unei destinaţii inadecvate.
Semnale de alertă:
(a)produsul este comercializat cu informaţii referitoare la utilizarea sa potenţială pentru supraveghere sub acoperire;
(b)informaţiile indică faptul că un produs similar a fost utilizat în mod abuziv în legătură cu represiunea internă şi/sau cu comiterea unor încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar (a se vedea secţiunea 1.3);
(c)informaţii care indică faptul că articolul a fost utilizat în mod ilegal în activităţi de supraveghere îndreptate împotriva unui stat membru sau în legătură cu supravegherea ilegală a unui cetăţean al UE;
(d)informaţiile indică faptul că tranzacţia include produse care ar putea fi utilizate pentru instituirea, personalizarea sau configurarea unui sistem despre care se cunoaşte că este utilizat în mod abuziv în legătură cu represiunea internă şi/sau cu comiterea de încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar (a se vedea secţiunea 1.3);
(e)articolul sau un articol similar se găseşte pe lista publicată în seria C a Jurnalului Oficial al Uniunii Europene, în conformitate cu articolul 5 alineatul (6) din regulament.
3.3.Să examineze, în sprijinul autorităţilor competente, părţile interesate implicate în tranzacţie (inclusiv utilizatorul final şi destinatarii, cum ar fi distribuitorii şi revânzătorii).
În sprijinul autorităţilor competente şi în măsura posibilului, exportatorii ar trebui:
(a)înainte şi în timpul oricărei tranzacţii, să verifice modul în care destinatarii şi/sau utilizatorii finali intenţionează să utilizeze produsul sau serviciul, pe baza declaraţiilor privind utilizarea finală;
(b)să se familiarizeze cu situaţia de la destinaţia relevantă a produselor, în special cu starea generală a drepturilor omului, deoarece acest lucru oferă un indicator important al riscului de încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar legate de un export;
(c)să revizuiască riscurile ca produsul sau serviciul să fie deturnat către un alt utilizator final neautorizat, pe baza semnalelor de alertă enumerate mai jos.
Semnale de alertă:
a)utilizatorul final are o relaţie evidentă cu un guvern străin care are antecedente de comitere a represiunilor interne şi/sau a încălcărilor flagrante ale drepturilor omului şi ale dreptului internaţional umanitar;
b)utilizatorul final face parte din punct de vedere structural din forţele armate sau din alt grup implicat într-un conflict armat care au implicat măsuri de represiune internă şi/sau încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar în trecut;
c)utilizatorul final a exportat în trecut produse de supraveghere cibernetică către ţări în care utilizarea unor astfel de produse a condus la măsuri de represiune internă şi/sau la încălcări flagrante ale drepturilor omului şi ale dreptului internaţional umanitar.
3.4.Să utilizeze constatările privind diligenţa necesară pentru a elabora planuri de prevenire şi atenuare a potenţialelor efecte negative viitoare.
Exportatorii ar trebui, pe baza constatărilor lor privind diligenţa necesară, să întrerupă activităţile care provoacă sau contribuie la un impact negativ legat de drepturile omului, precum şi să elaboreze şi să pună în aplicare un plan de măsuri corective. Aceste opţiuni pot include:
(a)actualizarea politicilor întreprinderii pentru a oferi orientări cu privire la evitarea şi abordarea impactului negativ în viitor şi a asigura punerea lor în aplicare;
(b)analizarea constatărilor evaluării riscurilor pentru a actualiza şi a consolida sistemele de gestionare pentru a urmări mai bine informaţiile şi a semnala riscurile înainte de producerea efectelor negative;
(c)colectarea de informaţii pentru a înţelege riscurile de impact negativ la nivel înalt legate de sector;
(d)notificarea autorităţilor competente ale statelor membre în ceea ce priveşte constatările privind diligenţa necesară pentru a facilita fluxul de informaţii cu privire la anumite produse, utilizatori finali şi destinaţii.
Cerinţe prevăzute la articolul 5 alineatul (2) din Regulamentul (UE) 2021/821
4.APENDICE
Produse de supraveghere cibernetică incluse pe listă care fac obiectul controlului în temeiul anexei I la Regulamentul (UE) 2021/821
- Sisteme de interceptare a telecomunicaţiilor (5A001.f.)
În majoritatea ţărilor, inclusiv în statele membre, confidenţialitatea comunicaţiilor este protejată prin lege, dar supravegherea electronică sub acoperire a comunicaţiilor de către autorităţile guvernamentale poate fi autorizată într-un cadru juridic [aşa-numita interceptare legală (IL)]. Cu toate acestea, era digitală a permis utilizarea tehnologiilor de interceptare la scară largă. Utilizarea instrumentelor de interceptare de către regimul libian a evidenţiat potenţialul de a implementa aceste tehnologii la scară largă şi a stimulat introducerea controlului exporturilor în ceea ce priveşte sistemele de interceptare a telecomunicaţiilor în 2012.
Acest control se aplică echipamentelor concepute pentru extragerea conţinutului unei comunicaţii (voce sau date), precum şi a identificatorilor abonaţilor sau a altor metadate care sunt transmise prin intermediul comunicaţiilor fără fir, precum şi echipamentelor de monitorizare a frecvenţelor radio. Acest control se aplică, de exemplu, dispozitivelor IMSI-catcher (International Mobile Subscriber Identity - Identitate internaţională de abonat mobil) care interceptează traficul telefonului mobil şi monitorizează circulaţia utilizatorilor de telefoane mobile sau echipamentelor care creează puncte de acces Wi-Fi false care pot extrage numere IMSI de pe un telefon, precum şi anumitor tipuri de produse special concepute pentru a permite "inspectarea aprofundată a pachetelor" în sistemele de telecomunicaţii. Echipamentele de bruiaj al telecomunicaţiilor mobile nu intră în domeniul de aplicare al produselor de supraveghere cibernetică, deoarece nu colectează date.
Deşi tehnologia de uz general poate fi utilizată pentru a construi astfel de sisteme, capacităţile lor de interceptare la scară largă se vor baza pe piese şi componente specifice, inclusiv, de exemplu, pe FGPA (cipuri) specifice software-ului şi aplicaţiilor, pentru a creşte numărul de pachete sau sesiuni de comunicare care pot fi prelucrate pe secundă.
- Sisteme de supraveghere a internetului (5A001.j.)
Deşi multe comunicaţii bazate pe internet sunt în prezent criptate în mod implicit, interceptarea datelor de trafic (metadate) referitoare la comunicaţii - cum ar fi adresele IP şi frecvenţa şi dimensiunile schimbului de date - poate fi utilizată în continuare pentru a identifica legăturile dintre persoane şi numele de domeniu. Guvernele pot utiliza aceste sisteme în mod legal şi sub supravegherea instanţelor judecătoreşti, în scopuri legitime, cum ar fi pentru identificarea persoanelor care vizitează domenii asociate cu conţinut infracţional sau cu caracter terorist. Cu toate acestea, monitorizarea şi analiza traficului de internet pe baza caracterizării etnice, religioase, politice sau sociale pot conduce la o cartografiere umană şi socială cuprinzătoare a unei ţări pentru controlul şi reprimarea populaţiei, precum şi în alte scopuri, de exemplu pentru identificarea dizidenţilor politici. Pe lângă aspectele legate de drepturile omului şi de represiunea internă, aceste produse pot contribui, de asemenea, la consolidarea capacităţilor militare şi de securitate.
Controlul prevăzut la punctul 5A001.j se aplică sistemelor de control al internetului care operează pe o "reţea de protocol internet (IP) de nivel transport (de exemplu, reţeaua de bază IP naţională)" pentru a efectua analiza, extragerea şi indexarea conţinutului de metadate transmise (voce, video, mesaje, fişiere ataşate) pe baza unor "selectorilor stricţi" şi pentru a cartografia reţeaua relaţională a persoanelor. Acestea sunt produse care efectuează "supraveghere sub acoperire" deoarece persoanele vizate nu au cunoştinţă de interceptarea comunicaţiilor. În schimb, controalele nu vizează sistemele în care există o acţiune sau o interacţiune cu un utilizator sau un abonat şi, de exemplu, nu se aplică reţelelor sociale sau motoarelor de căutare comerciale. În plus, controalele se aplică sistemelor care prelucrează date provenite de la o reţea centrală a unui furnizor de internet şi nu se aplică reţelelor sociale sau motoarelor de căutare comerciale care prelucrează date furnizate de utilizatori.
- "Produse software de intruziune" (4A005, 4D004 şi controalele aferente menţionate la 4E001.a. şi 4E001.c.)
Produsele software de intruziune permit operatorului său să obţină în mod disimulat acces de la distanţă la un dispozitiv electronic, cum ar fi un telefon inteligent, un laptop, un server sau un dispozitiv al internetului obiectelor, să obţină date stocate pe dispozitiv, să intercepteze prin intermediul unei camere video sau al unui microfon din dispozitiv sau conectat la dispozitiv şi să utilizeze dispozitivul ca bază pentru a efectua atacuri asupra echipamentelor la care se conectează dispozitivul sau împotriva contactelor utilizatorului ("piraterie informatică prin intermediul dispozitivelor terţilor"). Deşi există utilizări legitime (8) ale produselor software de intruziune, de exemplu, "software de acces de la distanţă" utilizat pentru asistenţa de la distanţă acordată de departamentele TI, natura disimulată a supravegherii şi amploarea informaţiilor care ar putea fi colectate prezintă un risc ridicat de încălcare a dreptului la viaţă privată şi la protecţia datelor cu caracter personal şi pot submina în mod grav dreptul la libertatea de exprimare.
(8)Din motive de claritate, produsele de supraveghere cibernetică enumerate în anexa I la Regulamentul privind produsele cu dublă utilizare ar necesita o autorizaţie pentru a fi exportate către ţări terţe, indiferent dacă utilizarea produsului este legitimă sau nu.
Controlul prevăzut la punctul 4A005 şi următoarele include produse software, precum şi sisteme, echipamente, componente şi tehnologii conexe, special concepute sau modificate pentru generarea, comanda şi controla sau furniza "produse software de intruziune", dar nu se aplică "produselor software de intruziune" efective, astfel cum sunt definite în anexa I la regulament. Aceste instrumente cibernetice sunt controlate având în vedere perturbările şi daunele potenţiale pe care le pot cauza dacă sunt utilizate şi executate cu succes, dar controalele nu au ca scop să afecteze activitatea cercetătorilor în domeniul securităţii cibernetice şi a industriei, de exemplu, deoarece aceştia din urmă trebuie să facă schimb de informaţii referitoare la produsele software de intruziune pentru a putea dezvolta soluţii pentru produsele lor şi pentru a le pune în aplicare înainte de lansarea publică a unei vulnerabilităţi.
- Produse software de monitorizare a comunicaţiilor (5D001.e.)
Aceste produse software sunt concepute pentru monitorizarea şi analizarea de către autorităţile de aplicare a legii autorizate a datelor colectate prin intermediul măsurilor de interceptare specifice solicitate de la un furnizor de servicii de comunicaţii. Aceste produse software permit efectuarea de căutări pe baza "selectorilor stricţi" în ceea ce priveşte conţinutul comunicaţiilor sau metadatele, prin utilizarea unei interfeţe pentru interceptarea legală şi cartografierea reţelei relaţionale sau urmărirea deplasării persoanelor vizate pe baza rezultatelor căutărilor. Aceste produse software sunt destinate "supravegherii sub acoperire", deoarece utilizează date colectate din interceptarea comunicaţiilor fără ca persoanele să aibă cunoştinţă de acestea. În plus, "analizează" datele colectate prin intermediul "sistemelor de telecomunicaţii". Produsul software este instalat în infrastructura autorităţii guvernamentale [de exemplu, instalaţia de monitorizare a aplicării legii (IMAL)], iar controlul nu se aplică sistemelor de conformitate a interceptării legale (IL) (de exemplu, sisteme de gestionare a IL şi dispozitive de mediere) care sunt dezvoltate comercial şi instalate în spaţiul furnizorului de servicii de comunicaţii (de exemplu, integrate în reţeaua de comunicaţii) şi pe care furnizorul de servicii le exploatează şi le întreţine. Astfel cum se clarifică în textul de control, controalele nu se aplică "produselor software" special concepute sau modificate în scopuri pur comerciale, cum ar fi facturarea, calitatea serviciului (QoS), calitatea experienţei (QoE), dispozitivele de mediere sau plăţile mobile sau utilizarea serviciilor bancare.
- Produse utilizate pentru efectuarea criptanalizei (5A004.a.)
Acest control se aplică produselor concepute să dejoace mecanisme criptografice pentru a obţine variabile confidenţiale sau informaţii importante, inclusiv text în clar, parole sau chei criptografice. Criptografia este utilizată pentru a proteja confidenţialitatea informaţiilor aflate în tranzit şi în repaus. Criptanaliza este utilizată pentru a anula această confidenţialitate şi, prin urmare, această tehnologie "permite" supravegherea sub acoperire prin monitorizarea, extragerea, colectarea sau analizarea datelor din sistemele informatice şi de telecomunicaţii.
- Instrumente criminalistice/de investigare (5A004.b., 5D002.a.3.b. şi 5D002.c.3.b.)
Instrumentele criminalistice/de investigare sunt concepute pentru a extrage date brute dintr-un dispozitiv (de exemplu, dispozitive de calcul sau comunicare), astfel încât datele să nu fie modificate sau corupte şi să poată fi utilizate în scopuri judiciare, şi anume în cadrul unei anchete penale sau al unei proceduri în faţa unei instanţe judecătoreşti. Aceste produse eludează controalele de "autentificare" sau de autorizare a unui dispozitiv, astfel încât datele brute să poată fi extrase din dispozitiv. Aceste produse sunt utilizate de guvern şi de autorităţile de aplicare a legii, dar şi de forţele militare pentru a extrage şi analiza date din dispozitivele confiscate. Deşi au utilizări legitime, ele pot fi totuşi utilizate în mod abuziv şi, prin urmare, pot prezenta un risc pentru datele sensibile sau comerciale.
Cu toate acestea, instrumentele criminalistice/de investigare care nu sunt "special concepute" pentru supravegherea sub acoperire nu se încadrează în definiţia produselor de supraveghere cibernetică de la articolul 2 punctul 20. De asemenea, instrumentele criminalistice/de investigare care extrag numai date ale utilizatorilor sau în cazul în cărora datele nu sunt protejate pe dispozitiv nu sunt incluse în textul de control de la 5A004.b. şi urm. În acelaşi timp, controalele nu se aplică echipamentelor de producţie sau de testare ale producătorului, instrumentelor de administrare a sistemului sau produselor destinate exclusiv sectorului comerţului cu amănuntul, de exemplu produselor de deblocare a telefoanelor mobile. Prin urmare, având în vedere varietatea acestor tipuri de tehnologii, aplicarea controalelor depinde de o evaluare de la caz la caz a fiecărui produs.
În cele din urmă, se subliniază că există alte produse legate de supraveghere enumerate în anexa I la regulament care nu ar trebui considerate ca făcând obiectul definiţiei produselor de supraveghere cibernetică, cum ar fi echipamentele de bruiaj a telecomunicaţiilor mobile (5A001.f.) concepute pentru deteriorarea sau perturbarea comunicaţiilor sau a sistemelor, produsele software de intruziune care modifică un sistem (4D004) şi echipamentele de detecţie acustică cu laser (6A005.g.) care colectează date audio cu un laser sau care permit ascultarea conversaţiilor la distanţă (denumit uneori "microfon «laser» "). În mod similar, utilizarea vehiculelor aeriene fără pilot incluse în listă în scopuri de supraveghere nu ar presupune includerea acestor produse în definiţia produselor de supraveghere cibernetică.
Publicat în Jurnalul Oficial seria L din data de 16 octombrie 2024