Nem véletlenül kapott igen nagy sajtóvisszhangot a Vodafone frissen – és valószínűleg az Edward Snowden által kirobbantott botrány miatt első ízben – kiadott, még összefoglalójában is terjedelmes átláthatósági jelentése, mely arról számol be, hogy a cég mikor, hogyan és milyen módon működött együtt a helyi hatóságokkal. Ugyanakkor érdemes alaposabban megnézni a jelentés szövegét, mely bizonyos szempontból korántsem akkora szenzáció, ahogy pl. a magyar lapok tudósításai igyekeztek ezt a szöveget beállítani, másrészt viszont valóban komoly aggodalmakra adhat okot. (A kevés higgadt és alapos tudósítás egyike a hwsw.hu beszámolója.)

Alapok

Hogy a kályhától induljunk el: az egyes országok hatóságai (főképp a bűnüldöző szervek, illetve a hírszerzés) törvény által biztosított joguknál fogva férhetnek hozzá szolgáltatói adatokhoz – bizonyos feltételek teljesülése esetén. A szabályozások (általában) szigorú kereteket nyújtanak ehhez: a korlátozott időtartamú szolgáltatói adatmegőrzés az Európai Unióban is előírás – ennek racionális indoka, hogy bűncselekmények esetén segítsék a bűnüldöző szervek munkáját. Ám ezekkel az adatokkal a legtöbb esetben nem lehet korlátlanul élni, sőt, a hozzájutás is feltételekhez van kötve (megalapozott gyanú, melyet az ügyészség vagy a bíróság bírál el, majd ezek alapján ad ki megfigyelési engedélyeket, szigorúan dokumentált, később visszakereshető módon).

Az ilyen szabályozások országról országra változóak a világon, illetve az EU-ban. Az olyan, globálisan is működő szolgáltatók, mint a Vodafone, akkor járnak el törvényesen, ha az adott piacon a helyi törvényeknek megfelelően viselkednek  – vagyis az egyik országban ilyen, a másikban olyan kötelezettségeknek kell eleget tenniük.

És itt jönnek a nagy különbségek. A „nemzetbiztonság” varázsszava ugyanis az egyik államban kevésbé súlyos, a másikban pedig mindenható. Ezzel egy fura helyzetbe kényszerítik az olyan magáncéget, mint a Vodafone: egyrészt meg kell felelni a helyi törvényeknek, másrészt viszont piaci érdekük diktálja a minél nagyobb szintű átláthatóságot (ez elengedhetetlen az ügyfelek bizalmának elnyeréséhez), vagyis az céges szempontból nem nagy gond, hogy a hatóságok adatokat kérnek, ám a vállalatnak az a jó, ha mindezekről egyértelműen és világosan tudja tájékoztatni előfizetőit.

Igen ám, de a nemzetbiztonsági ügynökségek és a rendőrök arról sem szívesen adnak ki információt, hogy adatokat kértek és nyertek el egy cégtől. Ezért az ilyen vállalkozások folyton kötéltáncot járnak, hogy mindkét oldalnak megfeleljenek: ha nem engedelmeskednek a törvényeknek vagy a hatalmi nyomásnak, kirúghatják őket a piacról, de ha túlságosan behódolnak, létrejön egy bizalmi válság, és akkor a fogyasztók hagyják ott őket.

De mit is mond a Vodafone?

A folytatást is ígérő jelentésben 29 leányvállalat adatai szerepelnek, olyanok (és csak olyanok), ahol adatokat kértek tőlük a hatóságok 2013 áprilisa és 2014 márciusa között. Sokféle kérés érkezett ezekről a helyekről (például blokkolási kérelem is), de a jelentésben kizárólag az információkéréseket dolgozták fel (és már itt felmerül egy kulcsprobléma: vannak országok, ahol ezeknek az alapadatoknak a nyilvánosságra hozatala is tiltott).

A jelentés leszögezi azt a nyilvánvaló tényt, hogy gyakorlatilag nem lehet egységes szempontrendszert találni az adatkérések szolgáltatói oldalról történő feldolgozásához, mivel annyira különbözők az egyes országok szabályozásai – így csak kísérletet tesznek az adatok valamilyen értelmezhető csoportosítására (és itt jön egy hosszadalmas indoklás a jelentésben, hogy miért is nem tudnak világos statisztikát adni). A Vodafone közli, hogy bár igyekeznek az elvárásoknak megfelelni, véleményük szerint az ilyen átláthatósági jelentéseket nem a szolgáltatóknak, hanem a kormányoknak kellene elkészíteniük.

Ezek után részletezik a felmerülő problémákat – hogy csak a legkézenfekvőbbet említsük: ha a hatóság egy IP alapján nyomoz, akkor nagyon nehezen tisztázható, hogy ki is az a felhasználó, aki arról az IP-ről tevékenykedett, és ez máris jogi gondokat okoz –, de ennél sokkal bonyolultabb helyzetek is előállhatnak a mindennapi használat során, aminek következtében a szolgáltató egyetlen lehallgatási vagy adatkérési kérelem esetén is több tíz, vagy akár száz különböző helyzetet kéne elemezzen jogi szempontból.

Épp ezért a jelentés némi kétségbeesést sugároz – ha jóindulatúak vagyunk a céggel szemben –: nem igazán tudják, hogy miképpen feleljenek meg a különböző elvárásoknak, és hiányolják a nyilvánosságot: egyes országokban mindenféle statisztika publikálása tiltott, máshol egy részéé, megint máshol nem világosak a szabályok.

De elég a szócséplésből, a lényegre!

A Vodafone jelentése bizonyos szempontokból azért még töredékes formájában is „történelmi jelentőségű”.

A jelentés legfontosabb kijelentése, hogy hat – meg nem nevezett – országban a cég csak úgy tud működni a helyi törvényeknek megfelelően, hogy közvetlen hozzáférést kell adnia az általa bonyolított hálózati forgalomhoz. Ez konkrétan azt jelenti, hogy a hatóságok direktben telepítenek, telepíthetnek a szolgáltató által nem kontrollálható eszközöket hozzájuk, amelyeket szigorú titoktartással kell üzemeltetni – a hwsw.hu szakértőkre hivatkozva írja le, ez miképp történhet.

Ez mindenképp döbbenetes beismerés: a cég közli, hogy a működés érdekében olyan szabályokat is elfogad, amelyek olyasmikre kötelezik, mely tettek más országban akár börtönnel is büntethetőek lennének.

A másik, félelmetesnek is mondható statisztika már minket is érint: a kimutatás szerint kilenc olyan ország van, ahol a helyi törvények tiltják a megfigyelésekkel kapcsolatos adatok nyilvánosságra hozatalát: Albánia, Dél-Afrika, Egyiptom, Katar, India, Málta, Románia és Törökország mellett Magyarország is ezek között szerepel.

Vagyis a Vodafone – ha szándékában is áll egy teljesebb átláthatósági jelentés készítése – Magyarországról nem adhat ki egyebet, mint most: a hatóságok az elemzett egyéves időszakban kb. 76 ezer esetben kértek tőlük információkat – és ebből azt sem tudni, hogy hányszor voltak kíváncsiak metaadatokra, illetve hányszor konkrét tartalomra, ahogy egyébként azt sem, hogy melyik hatóság milyen célból kért adatokat (akárcsak az adatvédelemre egyébként sokkal kevésbé kényes Egyesült Államokban sem).