Σύμφωνα με ανακοίνωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, πραγματοποιήθηκαν στη χώρα μας πάρα πολλές απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού (Predator) προς πολυάριθμους χρήστες κινητής τηλεφωνίας

Όπως αναφέρεται στην ανακοίνωση, η Αρχή εντόπισε περισσότερα από 350 μηνύματα SMS μέσω του emvolio.gov τα οποία αποσκοπούσαν στην εγκατάσταση του συγκεκριμένου λογισμικού.

Η Αρχή αναφέρει ότι έχει ενημερώσει τις αρμόδιες εισαγγελικές αρχές, προσθέτοντας ότι δεν προκύπτει περιστατικό διαρροής δεδομένων από τους επίσημους φορείς της διαδικασίας εμβολιασμού.

Η ανακοίνωση της Αρχής:

Η Αρχή κίνησε από τα τέλη Ιουλίου 2022 αυτεπάγγελτη έρευνα σε σχέση με δραστηριότητες εγκατάστασης και χρήσης κατασκοπευτικού λογισμικού στην Ελλάδα, ιδίως σε σχέση με το λογισμικό παρακολούθησης που αναφέρεται ως «Predator». Η Αρχή συσχέτισε κατά την ερευνά της και τις καταγγελίες-αναφορές που υποβλήθηκαν από πέντε φυσικά πρόσωπα.

Η αρμοδιότητα της Αρχής σε τέτοιες περιπτώσεις πηγάζει τόσο από τον Γενικό Κανονισμό Προστασίας Δεδομένων (ΕΕ) 2016/679 (ΓΚΠΔ), όσο και από την ειδική νομοθεσία (e-privacy) για την προστασία των προσωπικών δεδομένων στις ηλεκτρονικές υπηρεσίες. Συγκεκριμένα, οι δραστηριότητες εγκατάστασης και χρήσης λογισμικού παρακολούθησης σε τερματικές συσκευές κινητής τηλεφωνίας χρηστών, εν αγνοία τους, συνιστούν παραβίαση της οικείας νομοθεσίας (άρθρο 4 παρ. 5 του ν. 3471/2006, όπως έχει τροποποιηθεί και ισχύει ‒ ο εν λόγω νόμος μεταφέρει στο εθνικό δίκαιο την οδηγία 2002/58/ΕΚ μετά και την τροποποίησή της από την οδηγία 2009/136/ΕΚ), ενώ και η τυχόν συνακόλουθη συλλογή και επεξεργασία των προσωπικών δεδομένων, τα οποία συλλέγονται από τέτοιο λογισμικό, εμπίπτει εντός του πεδίου εφαρμογής του ΓΚΠΔ, στον βαθμό που τα συλλεγόμενα δεδομένα σχετίζονται με τις ενέργειες ενός συνδρομητή ή χρήστη φυσικού προσώπου (υποκειμένου των δεδομένων).

Η Αρχή συνέστησε ομάδα έρευνας για την εν λόγω υπόθεση και έχει προβεί σε συγκεκριμένες ενέργειες, με βάση τα ευρήματα που προέκυψαν κατά την εξέλιξη της έρευνάς της, στις οποίες συγκαταλέγονται η έκδοση προσωρινών διαταγών για την αναστολή διαγραφής προσωπικών δεδομένων, η διενέργεια ερευνών και επιτόπιων ελέγχων σε ιδιωτικές εταιρείες και δημόσιους φορείς, η συλλογή στοιχείων και πληροφοριών από εταιρείες και φορείς εντός και εκτός Ελλάδας (όπως ενδεικτικά από την Εθνική Αρχή Διαφάνειας (ΕΑΔ), την Ανεξάρτητη Αρχή Δημοσίων Εσόδων (ΑΑΔΕ), το Citizen Lab, την Google, τη Meta, εταιρείες παροχής υπηρεσιών αποστολής μηνυμάτων SMS μέσω διαδικτύου, εταιρείες παροχής υπηρεσιών φιλοξενίας ιστοσελίδων), η έκδοση απόφασης επιβολής προστίμου σε μία από τις ελεγχόμενες εταιρείες, λόγω μη συνεργασίας με την Αρχή, και η ενημέρωση των εισαγγελικών αρχών επί των ευρημάτων στον αντίστοιχο χρόνο εντοπισμού τους.

Με βάση τα έως τώρα στοιχεία, έχει διαπιστωθεί ότι πραγματοποιήθηκαν απόπειρες εγκατάστασης κατασκοπευτικού λογισμικού προς πολυάριθμους χρήστες κινητής τηλεφωνίας στην Ελλάδα. Μια τέτοια απόπειρα πραγματοποιείται μέσω αποστολής μηνύματος SMS προς τον αριθμό κινητού τηλεφώνου ενός αποδέκτη-στόχου. Τα μηνύματα SMS αυτού του είδους περιέχουν σύντομο κείμενο και σύνδεσμο σε ιστοσελίδα, ο οποίος είναι παραπλανητικός, καθώς έχει μεγάλη ομοιότητα με μια πραγματική ιστοσελίδα.

Στην περίπτωση κατά την οποία ο αποδέκτης του μηνύματος SMS ενεργοποιήσει τον σύνδεσμο που περιέχεται σε αυτό, επιλέγοντάς τον, τότε λαμβάνει χώρα εγκατάσταση του κατασκοπευτικού λογισμικού στη συσκευή του. Τα μηνύματα SMS έχουν αποσταλεί μέσω υπηρεσιών διαδικτύου (Web to SMS) με χρήση προπληρωμένων καρτών. Επισημαίνεται ειδικά ότι σε αυτά τα μηνύματα SMS διαπιστώθηκε ότι τα στοιχεία του αποστολέα υπήρξαν τροποποιημένα και ότι δεν αντιστοιχούν στον πραγματικό αποστολέα, προκειμένου να παραπλανάται ο παραλήπτης τους για να ενεργοποιεί τον περιεχόμενο σύνδεσμο ιστοσελίδας και με τον τρόπο αυτό να εγκαθίσταται το κατασκοπευτικό λογισμικό.

Κατά τις έρευνές της η Αρχή εντόπισε πάνω από 350 μηνύματα SMS τα οποία σχετίζονται με τις παραπάνω απόπειρες, εκ των οποίων πάνω από 220 περιείχαν παραπλανητικό σύνδεσμο ιστού. Πάνω από 120 μηνύματα πιθανολογείται ότι έχουν σταλεί για λόγους δοκιμής προς αταυτοποίητα κινητά προσωρινής, σύντομης χρήσης (“burner phones”). Η Αρχή έχει ήδη αποστείλει αναλυτική ενημέρωση προς τους συνδρομητές και χρήστες 92 τηλεφωνικών αριθμών οι οποίοι έλαβαν μήνυμα SMS με τα παραπάνω χαρακτηριστικά.

Επισημαίνεται, ειδικά, ότι ολιγάριθμα μηνύματα SMS φάνηκε αρχικά να σχετίζονται με την ηλεκτρονική εφαρμογή εμβολιασμού της ελληνικής Κυβέρνησης. Η ομάδα ελέγχου της Αρχής διενήργησε επιτόπιο έλεγχο στην εν λόγω εφαρμογή, από τον οποίο διαπιστώθηκε ότι τα παραπλανητικά αυτά μηνύματα δεν εστάλησαν εν τέλει από αυτή την εφαρμογή. Εξετάζοντας τα διαθέσιμα στοιχεία, η Αρχή έκρινε ότι δεν προκύπτει περιστατικό παραβίασης (διαρροής) δεδομένων από τους επίσημους φορείς της διαδικασίας εμβολιασμού.

Η Αρχή έχει ενημερώσει και θα συνεχίζει να ενημερώνει τις εισαγγελικές αρχές για τα ευρήματα της έρευνάς της, όσο αυτή είναι σε εξέλιξη. Στην παρούσα φάση, η Αρχή δεν διαθέτει στοιχεία, από τα οποία να είναι δυνατή η ταυτοποίηση συγκεκριμένου υπευθύνου επεξεργασίας (φυσικού ή νομικού προσώπου) για τις δραστηριότητες εγκατάστασης και χρήσης του υπό διερεύνηση κατασκοπευτικού λογισμικού, αλλά επισημαίνει ότι τόσο οι έρευνές της, όσο και η εξέταση της υπόθεσης, βρίσκονται ακόμα σε εξέλιξη.

Επιπλέον, η Αρχή, στο πλαίσιο των αρμοδιοτήτων της που απορρέουν από τον Γενικό Κανονισμό (ΕΕ) 2016/679 για την Προστασία Δεδομένων έχει κινήσει τις διαδικασίες συνεργασίας με τις εποπτικές αρχές άλλων κρατών μελών για τη διερεύνηση της υπόθεσης και τον έλεγχο των εταιρειών και φορέων που ενδέχεται να εμπλέκονται σε αυτή και βρίσκονται εντός Ε.Ε., αλλά εκτός Ελλάδας.

Συγκεκριμένα, ο πρόεδρος της PEGA Γιερούν Λενάερς ανέφερε ότι αποφασίστηκε να καλέσουν τον πρόεδρο της ΑΔΑΕ και τον πρόεδρο της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για «ανταλλαγή απόψεων στην επιτροπή».

Την εξέλιξη την είχε προαναγγείλει η εισηγήτρια της επιτροπής PEGA στο Ευρωκοινοβούλιο Σόφι Ιντ’Φελντ.

Όπως είχε αναφέρει την περασμένη Παρασκευή σε ανάρτησή της στο Twitter, «η ελληνική Αρχή Προστασίας Δεδομένων βρήκε στοιχεία ότι 20 τηλέφωνα έχουν στοχοποιηθεί με το Predator. Υπόψιν, ότι η χρήση του spyware είναι παράνομη σε κάθε περίπτωση. Έχω ζητήσει ακρόαση της PEGA με την ελληνική ΑΠΔ και την ΑΔΑΕ το συντομότερο δυνατό».

Υπενθυμίζεται ότι η PEGA στο πόρισμά της για την Ελλάδα έκανε 10 αυστηρές συστάσεις:

• Επειγόντως να αποκαταστήσει και να ενισχύσει τις θεσμικές και νομικές διασφαλίσεις, συμπεριλαμβανομένων αποτελεσματικού προληπτικού και κατασταλτικού ανεξάρτητου μηχανισμού ελέγχου και εποπτείας·
• Να καταργήσει επειγόντως όλες τις άδειες εξαγωγής που δεν συνάδουν με τη νομοθεσία αγαθών διπλής χρήσης, να διερευνήσει τις καταγγελίες για παράνομες εξαγωγές, μεταξύ άλλων προς το Σουδάν·
• Να διασφαλίζει ότι οι αρχές μπορούν ελεύθερα και ανεμπόδιστα να διερευνήσουν όλους τους ισχυρισμούς της χρήσης spyware·
• Να αποσύρει επειγόντως την τροπολογία 826/145 του ν. 2472/1997 που καταργούσε τη δυνατότητα της ΑΔΑΕ να ειδοποιεί τους πολίτες για την άρση του απορρήτου των επικοινωνιών·
• Να αποκαταστήσει την πλήρη ανεξαρτησία του δικαστικού σώματος και όλων των σχετικών εποπτικών οργάνων, όπως ο Συνήγορος του Πολίτη και οι αρχές για την προστασία των προσωπικών δεδομένων. Τα εποπτικά όργανα να απολαμβάνουν πλήρη συνεργασία και πρόσβαση σε πληροφορίες και να παρέχουν πλήρη ενημέρωση σε όλα τα θύματα
• Να ανατρέψει τη νομοθετική αλλαγή του 2019 που έθεσε την ΕΥΠ υπό τον άμεσο έλεγχο του Πρωθυπουργού·
• Να εφαρμόσει επειγόντως την Οδηγία για την προστασία των μαρτύρων δημοσίου συμφέροντος·
• Να διασφαλίσει την ανεξαρτησία της ηγεσίας της ΑΔΑΕ
• Να ξεκινήσει επειγόντως αστυνομική έρευνα μετά την φερόμενη κατάχρηση του κακόβουλου κατασκοπευτικού λογισμικού και να κατασχέσει τα φυσικά στοιχεία πληρεξούσιων, εταιριών μεσαζόντων και όσων εμπορεύονται λογισμικά που συνδέονται με μολύνσεις από λογισμικό υποκλοπής spyware·
• Καλεί την Europol να συμμετάσχει αμέσως στις έρευνες.

του ΔΗΜΗΤΡΙΟΥ Π.ΦΑΚΑ

Η Clearview AI είναι μια εταιρεία που εδρεύει στη Ν. Υόρκη. Η επιχειρηματική της πρακτική συνίσταται στη συλλογή φωτογραφιών προσώπων από δημόσια διαθέσιμες πηγές του Διαδικτύου (ιστοσελίδες, μέσα κοινωνικής δικτύωσης, ιστολόγια κ.α.), χωρίς κάποιο γεωγραφικό ή άλλο περιορισμό. Δυνητικά αφορά οποιαδήποτε φωτογραφία καταχωρείται δημόσια στο Διαδίκτυο. 

Η εταιρεία επεξεργάζεται τις φωτογραφίες με ειδικές τεχνικές, «μετατρέποντας» κάθε ανθρώπινο πρόσωπο σε μια ξεχωριστή αλληλουχία αριθμών. Με τον τρόπο αυτό ένα πρόσωπο μπορεί να αναγνωριστεί μέσω σύγκρισης της αποθηκευμένης αλληλουχίας και μιας νέας αλληλουχίας, η οποία προκύπτει από την επεξεργασία νέων φωτογραφιών που υποβάλλουν οι ενδιαφερόμενοι πελάτες της εταιρείας. 

Εκτός των προσώπων, η εταιρεία συλλέγει και τα μεταδεδομένα των φωτογραφιών, όπως τη γεωγραφική θέση λήψης, τη διεύθυνση (url) στην οποία εντοπίστηκε, την ημερομηνία λήψης κλπ. .

Σύμφωνα με όσα έχουν γίνει γνωστά, μεταξύ των πελατών της Clearview ΑΙ είναι αστυνομικές αρχές και ιδιωτικές επιχειρήσεις, ενώ η ίδια δηλώνει ότι δραστηριοποιείται σε δεκάδες χώρες του κόσμου, συμπεριλαμβανομένης της Ελλάδας και άλλων χωρών της Ε.Ε. .

Η καταγγελία

Το Μάιο του 2021 η ελληνική Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής η Αρχή) επελήφθη καταγγελίας που υπέβαλλε η Αστική μη Κερδοσκοπική Εταιρεία με την επωνυμία «Ηomo Digitalis» για λογαριασμό ενός φυσικού προσώπου. Η καταγγελία στηριζόταν στο γεγονός ότι η εταιρεία Clearview AI δεν απάντησε σε αίτημα άσκησης δικαιωμάτων που απορρέουν από το Γενικό Κανονισμό Προστασίας Δεδομένων (εφεξής ΓΚΠΔ) που υποβλήθηκε προς αυτή από την καταγγέλλουσα.

Η απόφαση της Αρχής

Η Αρχή επέβαλλε στην Clearview AI το μεγαλύτερο πρόστιμο από συστάσεώς της (20.000.000 ευρώ), ενώ παράλληλα της επέβαλε απαγόρευση επεξεργασίας και έδωσε εντολή διαγραφής των δεδομένων προσωπικού χαρακτήρα υποκειμένων ευρισκομένων στην ελληνική επικράτεια. Ανάλογες αποφάσεις έλαβαν το Μάρτιο του 2022 η GPDP (η Ιταλική Αρχή Προστασίας) και το Μάιο του 2022 ο ICO (η Αρχή Προστασίας του Ηνωμένου Βασιλείου) επιβάλλοντας αντίστοιχα υψηλά πρόστιμα στην Clearview.

Η σημασία της απόφασης 

Η απόφαση της Αρχής παρουσιάζει υψηλό ενδιαφέρον, όχι μόνο σε επίπεδο κυρώσεων, αλλά και αναφορικά με το σκεπτικό της. 

1. Η Αρχή επέβαλλε τα παραπάνω σε μια εταιρεία η οποία έχει την έδρα της στις ΗΠΑ, χρησιμοποιώντας ένα εργαλείο που παρέχει ο ΓΚΠΔ: το «κριτήριο στόχευσης». Δηλαδή, όταν μια επεξεργασία προσωπικών δεδομένων (και εν προκειμένω η συλλογή φωτογραφιών προσώπων από το διαδίκτυο, η εξαγωγή βιομετρικών στοιχείων και η διάθεσή τους), στοχεύει πρόσωπα που βρίσκονται στο έδαφος της Ε.Ε., τότε εφαρμόζεται ο ΓΚΠΔ και οι προστατευτικές του διατάξεις. 

Ο ευρωπαίος νομοθέτης, λαμβάνοντας υπόψη τις παγκόσμιες διαστάσεις που λαμβάνει η επεξεργασία προσωπικών δεδομένων μέσω της χρήσης του Διαδικτύου  και τους κινδύνους που προκύπτουν αυτή, αποφάσισε ότι όσα πρόσωπα βρίσκονται στην επικράτεια της Ε.Ε. (και όχι μόνο οι ευρωπαίοι πολίτες), πρέπει να προστατεύονται αποτελεσματικά.

2. Η Αρχή επίσης έκρινε ότι λόγω των χαρακτηριστικών της υπόθεσης, είχε αυτοτελή αρμοδιότητα να ελέγξει τη συγκεκριμένη δραστηριότητα, χωρίς να πρέπει να χρησιμοποιήσει το συχνά δυσκίνητο μηχανισμό συνεργασίας με άλλες εποπτικές Αρχές. Συνεπώς, κάθε πρόσωπο που βρίσκεται στην Ε.Ε. μπορεί να προσφύγει κατά των πρακτικών της εν λόγω εταιρείας απευθυνόμενο στην αντίστοιχη Αρχή του τόπου συνήθους διαμονής του. 
3. Η Αρχή αναγνώρισε ότι η δραστηριότητα της Clearview AI, συνιστά κατάρτιση προφίλ και παρακολούθηση δραστηριότητας στο διαδίκτυο. Το στοιχείο αυτό ελήφθη ιδιαιτέρως υπόψη σε σχέση με την ένταση των επιβληθέντων κυρώσεων. Και βεβαίως έδωσε το ανάλογο μήνυμα σε όσους τυχόν διατηρούν παρόμοιες δραστηριότητες υπό τις ίδιες (ανύπαρκτες) προϋποθέσεις. 

Η συγκεκριμένη απόφαση της Αρχής, υπενθύμισε σε όλους μας ότι η δημοσιοποίηση μιας προσωπικής πληροφορίας, δεν καθιστά νόμιμη τη συλλογή και περαιτέρω χρήση της. Σε νομικό επίπεδο, η δημοσιοποίηση μιας πληροφορίας δεν υποδηλώνει παραίτηση από δικαιώματα που συνδέονται με αυτή. 

Η δυνατότητα δε αναγνώρισης φυσικών προσώπων μέσω του προσώπου τους, συνιστά μια διαρκή και ιδιαίτερη απειλή, ιδίως αν λάβει υπό κανείς τα εξής: το βαθμό διάχυσης φωτογραφιών στο Διαδίκτυο, τις εκτεταμένες δυνατότητες συλλογής από άλλες πηγές (πχ συστήματα βιντεοεπιτήρησης) και την αδυναμία αλλοίωσης του ανθρώπινου προσώπου ώστε να μην μπορεί να αναγνωριστεί. Τα βιομετρικά δεδομένα, συνδέονται με την ανθρώπινη φυσιολογία, μας ταυτοποιούν με μοναδικό τρόπο και γι’ αυτό προστατεύονται αυστηρότερα. 

Η αναγνώριση ενός προσώπου μέσω της εικόνας, μπορεί να  οδηγήσει στον ψηφιακό εντοπισμό του (πχ σε μέσα κοινωνικής δικτύωσης) και στη σύνδεσή του με στενά προσδιορισμένες προτιμήσεις και συνήθειες. Ενώνοντας τις τελείες των διαδικτυακά δημοσιευμένων φωτογραφιών ενός προσώπου (και των μεταδεδομένων αυτών), σχηματίζεται το μοτίβο ζωής του (πιθανόν και της μελλοντικής του συμπεριφοράς), καθιστώντας το ευάλωτο σε κάθε είδους χειραγώγηση, έλεγχο ή απειλή. 

Οι εξελίξεις γύρω από την υπόθεση Clearview, εγείρουν πολλά ερωτήματα. Κάποια από αυτά αφορούν το κατά πόσο η Clearview ΑΙ λειτουργεί περισσότερο ως «διαμεσολαβητής» τρίτων παρά για δικό της λογαριασμό. Με άλλα λόγια: θα μπορούσε η δραστηριότητα της Clearview να διεξαχθεί νομίμως από κρατικές υπηρεσίες ασφαλείας ; Θα ήταν επιτρεπτό δηλαδή κρατικές αρχές να εξάγουν μαζικά βιομετρικά δεδομένα από κάθε δημόσια αναρτημένη φωτογραφία παρακολουθώντας διαρκώς τη ζωή πολιτών, χωρίς να παραβιάζουν το υφιστάμενο νομικό πλαίσιο; Αν όχι, μήπως τελικά η Clearview είναι (μεταξύ πολλών άλλων και) το όχημα εξυπηρέτησής τους;  

Η ανεξήγητη μέχρι τώρα αδράνεια στη λήψη αποτελεσματικών μέτρων άμεσου τερματισμού της συγκεκριμένης δραστηριότητας και η έλλειψη συνεργασίας σε διεθνές επίπεδο, αφήνει περιθώριο για πολλές ερμηνείες. 

Το βέβαιο είναι ότι η απώλεια του ελέγχου των δημοσιοποιούμενων πληροφοριών στο Διαδίκτυο, που συμβαίνει ήδη με τον τρόπο λειτουργίας των μέσων κοινωνικής δικτύωσης, τείνει να καταστεί μια αφόρητη πραγματικότητα.

Ο Δημήτριος Π. Φάκας είναι Δικηγόρος, με ειδίκευση στο δίκαιο προστασίας προσωπικών δεδομένων και ιδιωτικότητας.

Το κείμενο που αναρτήθηκε αναφερόταν στο “οξύ κοινωνικό και δημογραφικό πρόβλημα”, το οποίο κατά την ιστοσελίδα δημιουργεί το μεταναστευτικό πρόβλημα. Η ιστοσελίδα παρέθετε χωρίς καμία κάλυψη αρχείο ονομάτων, στο οποίο οι αλλοδαποί μαθητές είναι η πλειονότητα στην τάξη.

Την επίμαχη ανάρτηση αναδημοσίευσε σε μέσο κοινωνικής δικτύωσης ο βουλευτής της ΝΔ, Κωνσταντίνος Μπογδάνος, ενώ μετά το θόρυβο που δημιουργήθηκε, η ιστοσελίδα “κατέβασε” τον κατάλογο αναφέροντας ότι επρόκειτο περί λάθους και εκ παραδρομής αναρτήθηκε η λίστα.

Όπως αναφέρεται στη σχετική ανακοίνωση της Αρχής: “Η Αρχή Προστασίας Δεδομένων, με αφορμή δημοσιεύματα σχετικά με την ανάρτηση της ενημερωτικής ιστοσελίδας «mea culpa» με τίτλο «Ο σοκαριστικός κατάλογος μαθητών νηπιαγωγείου της Αθήνας» και τη δημοσίευση του καταλόγου με τα ονόματα μαθητών και της δασκάλας του εν λόγω νηπιαγωγείου, αλλά και σχετικές αναφορές που έλαβε για το εν λόγω θέμα, κίνησε διαδικασία αυτεπάγγελτου ελέγχου της υπόθεσης από την άποψη της νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα”.
Να θυμίσουμε ότι την Πέμπτη (16/09) έγινε γνωστό ότι ποινική προκαταρκτική έρευνα ξεκινά η εισαγγελία Πρωτοδικών για το θέμα της δημοσιοποίησης των ονομάτων παιδιών που είναι εγγεγραμμένα και φοιτούν σε νηπιαγωγείο του κέντρου της Αθήνας, και μετά τις διαστάσεις που πήρε το θέμα.