La data de 21 ianuarie 2015, Plenul Curţii Constituţionale, în cadrul controlului anterior promulgării, a admis obiecția de neconstituționalitate a prevederilor Legii privind securitatea cibernetică a României şi a constatat că această lege este neconstituţională, în ansamblul ei.
Curtea a constatat neconstituţionalitatea mai multor prevederi ale legii, printre care cele privind:
– definirea noţiunii de „deţinători de infrastructuri cibernetice” (art.2 din lege),
– desemnarea Serviciului Român de Informaţii ca autoritate naţională în domeniul securităţii cibernetice (art.10),
– lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite accesul reprezentanţilor autorităţilor competente la datele deţinute, relevante în contextul solicitării (art.17),
– lipsa reglementării prin lege a criteriilor în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi a modalităţii prin care se stabilesc acestea (art.19),
– autoritatea care efectuează auditarea de securitate cibernetică (art.20 lit.c)) şi lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia (art.20 lit.c)),
– lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autorităţile competente şi care sunt susceptibile a prejudicia drepturi sau interese legitime (art.16-23),
– lipsa predictibilităţii normelor referitoare la procedurile de monitorizare şi control, respectiv a celor privind constatarea şi sancţionarea contravenţiilor (art.27, 28, 30),
– lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite autorităţilor competente să efectueze inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură (art.27 alin.(2)).
În considerentele Hotărârii, Curtea Constituţională face şi o serie de propuneri de lege ferenda privind modul în care ar trebui abordată o nouă lege a securităţii cibernetice, astfel încât să fie conformă cu cerinţele constituţionale.
1. Definirea echivocă a noţiunii de „deţinători de infrastructuri cibernetice”
Dispoziţiile art.2 prevăd sfera de incidenţă a legii, sub aspectul destinatarilor săi, arătând că persoanele juridice de drept public sau privat cărora le sunt aplicabile prevederile legale, intitulaţi generic deţinători de infrastructuri cibernetice, sunt: proprietarii, administratorii, operatorii sau utilizatorii de infrastructuri cibernetice, definite la art.5 lit.g) ca fiind infrastructuri din domeniul tehnologiei informaţiei şi comunicaţii, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice.
Cu privire la acest aspect al legii criticate, Curtea a arătat că includerea în sfera de incidenţă a legii a utilizatorilor de infrastructuri cibernetice, deci a tuturor persoanelor juridice care utilizează rețele și servicii de comunicații electronice, ridică probleme legate de modul în care acestea pot să-şi îndeplinească obligaţiile şi responsabilităţile prevăzute de lege, în condiţiile în care nu sunt proprietari, administratori sau operatori ai infrastructurilor cibernetice pe care le utilizează, iar legea face vorbire în cuprinsul art.16, despre infrastructuri cibernetice proprii sau aflate în responsabilitate. Mai mult, în măsura în care obligaţiile şi responsabilităţile cad atât în sarcina proprietarilor, administratorilor sau operatorilor infrastructurilor cibernetice, cât și a utilizatorilor acestor infrastructuri, iar legea nu stabilește sensul noțiunii de utilizator, rezultă că obligațiile și responsabilitățile se exercită în mod concurent la nivelul fiecărui sistem sau fiecărei rețele informatice.
În concluzie: întrucât noțiunile cu care operează legea nu delimitează în mod neechivoc sfera de incidență a normelor cuprinse în actul supus controlului de constituţionalitate, Curtea reţine că acesta nu are un caracter precis şi previzibil, și, prin urmare, dispozițiile art.2 contravin art.1 alin.(5) din Legea fundamentală.
2. Desemnarea SRI ca autoritate naţională în domeniul securităţii cibernetice nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată și la secretul corespondenţei.
Alt aspect criticat de Curtea Constituţională este desemnarea Serviciului Român de Informaţii ca autoritate naţională în domeniul securităţii cibernetice, calitate în care asigură organizarea şi executarea activităţilor care privesc securitatea cibernetică a României. În acest scop, în structura SRI funcţionează Centrul Naţional de Securitate Cibernetică (CNSC), care a fost constituit, organizat şi funcţionează deja în cadrul SRI, cu personal militar specializat, potrivit unor hotărâri ale Consiliului Suprem de Apărare a Ţării. Examinând legea supusă controlului, Curtea a observant că intră în competenţa CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atât din mediul public, cât şi din cel privat. Or, în condiţiile în care CNSC constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidență că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată și la secretul corespondenţei.
Împrejurarea că România desemnează o autoritate care nu ar îndeplini exigenţele actului normativ european, aflat în curs de adoptare (Directiva NIS) pune sub semnul întrebării atât o eventuală concordanţă a reglementării naţionale cu cea de drept european, cât şi cooperarea efectivă între instituţii care, deşi au acelaşi scop, nu se întemeiază pe o structură organizatorică similară şi nu funcţionează sub un control democratic.
Concluzie: Pentru toate aceste argumente, Curtea a constatat că dispozițiile art.10 alin.(1) din legea supusă controlului încalcă prevederile constituționale ale art.1 alin.(3) și (5) referitoare la statul de drept și principiul legalității, precum și cele ale art.26 și art.28 privind viaţă intimă, familială şi privată, respectiv secretul corespondenţei, din perspectiva lipsei garanțiilor necesare garantării acestor drepturi.
De lege ferenda:
Pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înființarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi rețelelor cibernetice, precum și a informației, care să constituie punctul de contact pentru relaţionarea cu organismele similare din străinătate (aşa cumprevede art.10 alin.(4) din lege), inclusiv al cooperării transfrontaliere la nivelul 20 Uniunii Europene, trebuie să vizeze un organism civil, care să funcționeze integral pe baza controlului democratic, iar nu o autoritate care desfășoară activități în domeniul informațiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii.
3. Lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite accesul reprezentanţilor autorităţilor competente la datele deţinute, relevante în contextul solicitării
Din analiza legii supuse controlului a reieşit că tuturor deţinătorilor de infrastructuri cibernetice le sunt aplicabile dispoziţiile art.16 (care stabilesc obligaţiile ce le incumbă), şi ale art.17 (care consacră responsabilităţile pe care aceştia trebuie să le îndeplinească). Printre responsabilităţile acestor persoane este şi aceea de a acorda sprijinul necesar, la solicitarea motivată a SRI, MAPN, MAI, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, SIE, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora, şi „să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării”
Curtea a observant că legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces și pot utiliza ulterior datele păstrate, şi nu stabileşte că accesul autorităților naționale la datele stocate este condiționat de controlul prealabil efectuat de către o instanță judecătorească, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă.
În opinia Curţii, limitarea exercițiului acestor drepturi personale în considerarea unor drepturi colective şi interese publice, ce vizează securitatea cibernetică rupe justul echilibru care ar trebui să existe între interesele şi drepturile individuale, pe de o parte, şi cele ale societăţii, pe de altă parte, legea criticată nereglementând garanții suficiente care să permit asigurarea unei protecții eficiente a datelor faţă de riscurile de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor cu caracter personal .
În concluzie, în condiţiile în care măsurile adoptate prin legea supusă controlului de constituţionalitate nu au un caracter precis şi previzibil, ingerinţa statului în exercitarea drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei, deşi prevăzută de lege, nu este formulată clar, riguros şi exhaustiv pentru a oferi încredere cetățenilor, caracterul strict necesar într-o societate democratică nu este pe deplin justificat, iar proporţionalitatea măsurii nu este asigurată prin reglementarea unor garanții corespunzătoare, considerăm că dispoziţiile art.17 alin.(1) lit.a) din Legea privind securitatea cibernetică a României încalcă prevederile art.1 alin.(5), art.26, art.28, şi art.53 din Constituţie.
4. Lipsa reglementării prin lege a criteriilor în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi a modalităţii prin care se stabilesc acestea (art.19),
Din coroborarea dispoziţiilor art.2 cu art.19 şi art.20 din lege, rezultă că, în cadrul deţinătorilor de infrastructuri cibernetice, se creează o subcategorie – deţinătorii de infrastructuri cibernetice de interes naţional (ICIN), care, potrivit art.2 lit.h) din lege, reprezintă infrastructurile cibernetice care susţin servicii publice sau de interes public, ori servicii ale societăţii informaţionale, a căror afectare poate aduce atingere securităţii naţionale, sau prejudicii grave statului român ori cetăţenilor acestuia.
Identificarea ICIN se realizează pe baza criteriilor de selecţie cuprinse în metodologia elaborată de Serviciul Român de Informaţii şi Ministerul pentru Societatea Informaţională şi este aprobată prin hotărâre de Guvern.
Cu privire la aceste aspecte, Curtea apreciază că modalitatea prin care se stabilesc criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional şi, implicit, a deţinătorilor ICIN, prin trimiteri la norme infralegale, cu grad sporit de instabilitate, nu respectă cerinţele de previzibilitate, certitudine şi transparenţă.
Or, dispoziţiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructure cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poate viza interesul naţional sau doar un interes de grup sau chiar particular. Pentru a evita impunerea unei sarcini disproporționate asupra micilor operatori, cerințele trebuie să fie proporționale cu riscurile la care sunt expuse rețeaua sau sistemul informatic în cauză și nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punct de vedere al interesului general.
În conluzie: Curtea a apreciat că dispoziţiile art.19 alin.(1) şi (3) din Legea securităţii cibernetice a României încalcă prevederile art.1 alin.(5) din Constituţie, întrucât nu respectă cerinţele de previzibilitate, stabilitate şi certitudine.
De lege ferenda:
– Atât criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi modalitatea prin care se stabilesc acestea trebuie prevăzute de lege, iar actul normativ de reglementare primară trebuie să conţină o listă cât mai completă a domeniilor în care sunt incidente prevederile legale.
– Obligaţiile ce decurg din Legea securităţii cibernetice a României trebuie să fie aplicabile în exclusivitate persoanelor juridice de drept public sau privat deţinătoare sau care au în responsabilitate ICIN (care includ, în baza legii, şi administraţiile publice), întrucât numai situaţiile de pericol cu privire la o infrastructură de interes naţional pot avea implicaţii asupra securităţii României, prin dimensiunea, dispersia şi accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate în funcţie de importanţa pierderilor economice şi/sau a degradării produselor sau serviciilor, prin efectele asupra populaţiei, evaluate în funcţie de impactul asupra încrederii acesteia sau perturbarea vieţii cotidiene, inclusiv prin pierderea unor servicii esenţiale.
5. Autoritatea care efectuează auditarea de securitate cibernetică şi lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia
Dispoziţiile art.20 şi art.21 alin.(2) din legea criticată prevăd obligaţiile care incumbă persoanelor juridice de drept public sau privat care deţin sau au în responsabilitate ICIN, printre care să efectueze anual auditări de securitate cibernetică sau să permită efectuarea unor astfel de auditări la solicitarea motivată a autorităţilor competente. Auditările sunt realizate de SRI sau de către furnizori de servicii de securitate cibernetică. Legea stabileşte că sunt exceptate de la aplicarea acestor dispoziţii Serviciul Român de Informaţii, Ministerul Apărării Naţionale, Ministerul Afacerilor Interne, Oficiul Registrului Naţional al Informaţiilor Secrete de Stat, Serviciul de Informaţii Externe, Serviciul de Telecomunicaţii Speciale şi Serviciul de Protecţie şi Pază.
Or, Curtea consideră nejustificată această exceptare în condiţiile în care şi autorităţile enumerate desfăşoară activităţi în domeniul securităţii naţionale, sunt deţinătoare de ICIN sau au în responsabilitate ICIN şi sunt susceptibile a face obiectul unor atacuri cibernetice.
Dispoziţiile legale sunt susceptibile de a genera o aplicare discreţionară, chiar abuzivă a legii, fiind nepermis ca toate atribuţiile din domeniul reglementat să fie concentrate în sarcina unei singure instituţii.
În ceea ce priveşte norma prevăzută de art.20 alin.(1) lit.h) şi anume obligaţia de a notifica imediat, după caz, CNSC, CERT-RO, ANCOM sau autorităţile desemnate, în condiţiile legii, în domeniul securităţii cibernetice cu privire la riscurile şi incidentele cibernetice, Curtea consideră că aceasta ar trebui să stabilească cu exactitate circumstanțele în care este necesară notificarea, precum și conținutul notificării.
În concluzie:Curtea constată că dispoziţiile art.20 alin.(1) lit.c) şi lit.h) coroborate cu art.20 alin.(2) sunt neconstituţionale, întrucât contravin prevederilor art.1 alin.(3) şi (5), art.26 şi art.28 din Constituţie.
De lege ferenda:
– Curtea apreciază că auditul trebuie să fie efectuat de auditori interni sau de un organism calificat independent care să verifice conformitatea aplicării politicilor de securitate cibernetică la nivelul infrastructurilor cibernetice și să transmită rezultatul evaluării efectuate autorității competente sau punctului unic de contact.
– Curtea consideră că obligaţia de a notifica autorităţile desemnate, în condiţiile legii, în domeniul securităţii cibernetice cu privire la riscurile şi incidentele cibernetice ar trebui să stabilească cu exactitate circumstanțele în care este necesară notificarea, precum și conținutul notificării, inclusiv tipurile de date cu character personal care ar trebui notificate, și, dacă este cazul, în ce măsură notificarea și documentele sale justificative vor include detalii privind datele cu character personal afectate de un incident specific de securitate (precum adresele IP).
– Este important să se țină seama de faptul că autorităților competente în domeniul securității rețelelor și informației ar trebui să li se permită să colecteze și să prelucreze date cu caracter personal în cadrul unui incident de securitate doar dacă este strict necesar pentru atingerea obiectivelor de interes public urmărite de lege, cu respectarea principiului proporționalității. De asemenea, legea trebuie să prevadă garanții adecvate pentru a se asigura protecția efectivă a datelor prelucrate de autoritățile competente privind securitatea cibernetică şi nu trebuie să excludă obligația de notificare a cazurilor de încălcare a protecției datelor cu caracter personal în temeiul legislației aplicabile în materie, potrivit art. 21 şi 22 din Legea nr.477/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date.
6. Lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autorităţile competente şi care sunt susceptibile a prejudicia drepturi sau interese legitime
Din analiza legii, Curtea reţine că aceasta omite să reglementeze posibilitatea subiecţilor cărora le este destinată legea, în sarcina cărora au fost instituite obligaţii şi responsabilităţi, de a contesta în justiţie actele administrative încheiate cu privire la îndeplinirea acestor obligaţii şi care sunt susceptibile a prejudicia un drept sau un interes legitim.
În concluzie: Curtea constată că lipsa oricărei prevederi în conţinutul legii prin care să se asigure posibilitatea persoanei ale cărei drepturi, libertăţi sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispoziţiile Legii privind securitatea cibernetică a României de a se adresa unei instanţe judecătoreşti independente şi imparţiale contravine prevederilor art.1 alin.(3) şi (5), art.21, precum şi art.6 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale.
Decizia Curţii Constituţionale
Decizia Curţii Constituţionale: Pentru toate argumentele prezentate, Curtea a constatat că Legea privind securitatea cibernetică a României este viciată în integralitatea ei astfel încât actul normative este neconstituţional în ansamblul său.
Curtea a reţinut că” întregul act normativ suferă de deficienţe sub aspectul respectării normelor de tehnică legislativă, coerenţă, claritate, previzibilitate, precum şi sub aspectul respectării procedurii legislative, prin lipsa avizului Consiliului Suprem de Apărare a Ţării, elemente de natură a determina încălcarea art.1 alin.(5) din Constituție, care consacră principiul legalității, şi a prevederilor art.119 din Legea fundamentală, referitoare la atribuţiile C.S.A.T.”
De asemenea, Curtea a constatat încălcarea dispoziţiilor constituţionale cuprinse în art.1 alin.(3), (4) şi (5) referitoare la principiul statului de drept, principiul separaţiei puterilor în stat, respectiv principiul legalităţii, în art.21 alin.(1) şi (3) referitor la accesul liber la justiţie şi dreptul la un proces echitabil, în art.26 privind viaţa intimă, familială şi privată şi în art.28 referitor la secretul corespondenţei, din perspectiva lipsei garanţiilor necesare respectării acestor drepturi, precum şi în art.53 privind restrângerea exerciţiului unor drepturi sau al unor libertăţi.