Một ‘hố đen’ dữ liệu: Europol ra lệnh xóa kho dữ liệu cá nhân khổng lồ

Cơ quan cảnh sát EU bị cáo buộc nắm giữ thông tin bất hợp pháp và mong muốn trở thành cơ quan giám sát hàng loạt kiểu Cơ quan An ninh Quốc gia Hoa Kỳ (NSA).

Cơ quan cảnh sát của EU, Europol, sẽ buộc phải xóa phần lớn kho dữ liệu cá nhân khổng lồ mà cơ quan giám sát bảo vệ dữ liệu của khối đã phát hiện là đã tích lũy bất hợp pháp. Phát hiện chưa từng có từ Cơ quan giám sát bảo vệ dữ liệu châu Âu (EDPS) nhắm vào thứ mà các chuyên gia về quyền riêng tư đang gọi là “kho dữ liệu lớn” chứa hàng tỷ điểm thông tin. Dữ liệu nhạy cảm trong hòm đã được lấy từ các báo cáo tội phạm, bị tấn công từ các dịch vụ điện thoại được mã hóa và lấy mẫu từ những người xin tị nạn không bao giờ liên quan đến bất kỳ tội phạm nào.

Theo các tài liệu nội bộ mà Guardian nhìn thấy, bộ nhớ đệm của Europol chứa ít nhất 4 petabyte – tương đương với 3m CD-Rom hoặc 1/5 toàn bộ nội dung của Thư viện Quốc hội Hoa Kỳ. Những người ủng hộ bảo vệ dữ liệu cho biết khối lượng thông tin được lưu giữ trên các hệ thống của Europol tương đương với việc giám sát hàng loạt và là một bước trên con đường trở thành đối tác của châu Âu với Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), tổ chức có hành vi gián điệp trực tuyến bí mật được tiết lộ bởi người tố giác Edward Snowden.

Trong số hàng nghìn tỷ byte được lưu giữ có dữ liệu nhạy cảm về ít nhất một phần tư triệu nghi phạm khủng bố và tội phạm nghiêm trọng hiện tại hoặc trước đây và vô số người khác mà họ đã tiếp xúc. Nó đã được tích lũy từ các cơ quan cảnh sát quốc gia trong sáu năm qua, trong một loạt các dữ liệu từ một số vụ điều tra tội phạm không xác định.

Cơ quan giám sát đã ra lệnh cho Europol xóa dữ liệu được lưu giữ trong hơn sáu tháng và cho nó một năm để phân loại những gì có thể được lưu giữ hợp pháp.

Cuộc đối đầu khiến cơ quan giám sát bảo vệ dữ liệu của Liên minh châu Âu chống lại một cơ quan bảo mật quyền lực được cho là trung tâm của máy học và AI trong việc lập chính sách.

Phán quyết cũng cho thấy sự chia rẽ chính trị sâu sắc giữa những người ra quyết định của châu Âu dựa trên sự đánh đổi giữa an ninh và quyền riêng tư. Kết quả cuối cùng của cuộc đối đầu giữa họ có ý nghĩa đối với tương lai của quyền riêng tư ở châu Âu và hơn thế nữa.

Ủy viên các vấn đề nội vụ của EU, Ylva Johansson đã xuất hiện để bảo vệ Europol. Bà nói: “Các cơ quan thực thi pháp luật cần các công cụ, nguồn lực và thời gian để phân tích dữ liệu được truyền cho họ một cách hợp pháp. “Ở châu Âu, Europol là nền tảng hỗ trợ các cơ quan cảnh sát quốc gia thực hiện nhiệm vụ cực kỳ quan trọng này.”

Ủy ban cho biết những lo ngại pháp lý do EDPS nêu ra đặt ra “một thách thức nghiêm trọng” đối với khả năng của Europol trong việc thực hiện các nhiệm vụ của mình. Năm ngoái, nó đã đề xuất những thay đổi sâu rộng đối với quy định làm cơ sở cho quyền hạn của Europol. Nếu được đưa ra thành luật, các đề xuất có thể hợp pháp hóa hồi tố bộ nhớ cache dữ liệu và bảo tồn nội dung của nó như một nền tảng thử nghiệm cho các công cụ học máy và AI mới.

Europol phủ nhận bất kỳ hành vi sai trái nào và cho biết cơ quan giám sát có thể đang giải thích các quy tắc hiện hành theo cách không thực tế: “Quy định của [Europol] không được nhà lập pháp dự định như một yêu cầu mà cơ quan kiểm soát dữ liệu [tức là Europol] không thể đáp ứng được thi hành.”

Europol đã làm việc với EDPS “để tìm ra sự cân bằng giữa việc giữ an toàn cho EU và công dân của mình trong khi tuân thủ các tiêu chuẩn cao nhất về bảo vệ dữ liệu”, cơ quan này cho biết.

Được thành lập như một cơ quan điều phối lực lượng cảnh sát quốc gia ở EU và có trụ sở chính tại The Hague, Europol đã được một số quốc gia thành viên thúc đẩy như một giải pháp cho những lo ngại về khủng bố sau các cuộc tấn công Bataclan năm 2015 và được khuyến khích thu thập dữ liệu trên nhiều mặt.

Về lý thuyết, Europol phải tuân theo quy định chặt chẽ về những loại dữ liệu cá nhân mà nó có thể lưu trữ và trong thời gian bao lâu. Hồ sơ đến có nghĩa là phải được phân loại nghiêm ngặt và chỉ được xử lý hoặc lưu giữ khi chúng có khả năng liên quan đến công việc có giá trị cao như chống khủng bố. Nhưng nội dung đầy đủ của những gì nó nắm giữ vẫn chưa được biết, một phần là do cách thức phức tạp mà EDPS nhận thấy Europol đang xử lý dữ liệu.

Chỉ một số ít người châu Âu nhận thức được rằng dữ liệu của họ đang được lưu trữ và không ai được biết là có thể buộc tiết lộ. Frank van der Linde, người được đưa vào danh sách theo dõi khủng bố ở quê hương Hà Lan và sau đó bị loại bỏ, là một trong những sợi dây hiếm hoi có thể nhìn thấy được trong một mạng lưới không thể nhìn thấy được.

Nhà hoạt động chính trị, người có vụ đụng độ nghiêm trọng duy nhất với cảnh sát đến mức phá cửa sổ để vào một tòa nhà và tạo chỗ ngồi cho người vô gia cư, đã bị chính quyền Hà Lan loại khỏi danh sách theo dõi vào năm 2019. Nhưng một năm trước khi loại bỏ này, anh ta đã chuyển đến Berlin, nơi mà Van der Linde không biết vào thời điểm đó, khiến cảnh sát Hà Lan chia sẻ dữ liệu của anh ta với các đối tác Đức và Europol. Nhà hoạt động này chỉ phát hiện ra sự vướng mắc của mình với Europol khi ông nhìn thấy một hồ sơ đã được giải mật một phần tại tòa thị chính Amsterdam.

Để xóa dữ liệu cá nhân của mình khỏi bất kỳ cơ sở dữ liệu quốc tế nào, anh ấy đã chuyển sang Europol. Anh ấy đã rất ngạc nhiên khi vào tháng 6 năm 2020, nó trả lời rằng nó không có gì mà anh ấy “được quyền tiếp cận”. Nhà hoạt động đã đưa đơn khiếu nại của mình lên EDPS. “Tôi không biết liệu họ có xóa dữ liệu sau khi chính quyền Hà Lan cập nhật hay không [rằng] họ không coi tôi là một kẻ cực đoan… Europol là một hộp đen.”

Van der Linde nói: “Việc dễ dàng lọt vào danh sách như vậy thật là kinh khủng. “Thật là kinh ngạc khi cảnh sát chia sẻ thông tin qua biên giới một cách dễ dàng và thật đáng kinh ngạc về việc quản lý việc xóa bản thân khỏi những danh sách này thật khó khăn.”

Những lo ngại về việc Europol xử lý dữ liệu nhạy cảm đã khiến cơ quan giám sát đặt ra các câu hỏi riêng của mình vào năm 2019. Phát hiện ban đầu vào tháng 9 năm đó cho thấy rằng các tập dữ liệu được chia sẻ với Europol đã được lưu trữ mà không có sự kiểm tra thích hợp để xác minh xem mọi người có nên lấy chúng hay không được giám sát hoặc dữ liệu của họ được giữ lại. Quyền truy cập vào hòm bị hạn chế đối với những người có thẩm quyền và rất nhiều nội dung của nó đã được kiểm tra, làm sạch và sử dụng hợp pháp.

Khi Europol không thể trả lời một cách thuyết phục những lo ngại của cơ quan giám sát, EDPS đã công khai cảnh cáo cơ quan cảnh sát vào tháng 9 năm 2020 làm rõ những gì đang bị đe dọa: “Các đối tượng dữ liệu có nguy cơ bị liên kết sai với một hoạt động tội phạm trên toàn EU, với tất cả khả năng thiệt hại cho cuộc sống cá nhân và gia đình, quyền tự do đi lại và nghề nghiệp của họ mà điều này gây ra. ”

Cuộc tranh cãi diễn ra sau đó được ghi lại trong một loạt các tài liệu nội bộ có được theo luật tự do thông tin. Họ cho thấy Europol bị đình trệ trong thời gian và cơ quan giám sát nói với họ rằng họ đã không giải quyết được “vi phạm pháp luật”. Cơ quan cảnh sát dường như đang chờ đợi luật mới của EU để cung cấp vỏ bọc truy cứu những gì họ đã làm mà không có cơ sở pháp lý trong sáu năm.

Sự lo lắng của Ủy ban châu Âu về một cuộc đụng độ công khai đủ để kéo Monique P Ban, Tổng giám đốc EU về các vấn đề gia đình, tham gia một cuộc họp giữa hai cơ quan vào tháng 12 năm 2021. Các nguồn tin cho biết cơ quan giám sát đã được khuyến khích “giảm nhẹ” những lời chỉ trích công khai của họ về Europol.

Nhưng người đứng đầu EDPS, Wojciech Wiewiórowski, nói với Guardian rằng cuộc họp là “thời điểm cuối cùng để Europol bổ sung một số thông tin chưa được bổ sung trong thư trả lời cuối cùng của họ cho bức thư của chúng tôi”.

Vì cuộc họp không làm gì để giải đáp những lo ngại của Wiewiórowski về việc lưu giữ dữ liệu hợp pháp nên “không có cách nào khác để giải quyết vấn đề, đối với chúng tôi”, ông nói, “ngoài việc đưa ra quyết định xóa dữ liệu đã hơn sáu tháng”.

Niovi Vavoula, một chuyên gia pháp lý tại Đại học Queen Mary ở London, cho biết: “Luật mới thực sự là một nỗ lực để đánh lừa hệ thống. Europol và ủy ban đã cố gắng cải chính việc lưu giữ dữ liệu bất hợp pháp trong nhiều năm. Nhưng việc đưa ra các quy định mới không giải quyết được hành vi bất hợp pháp trước đó một cách hợp pháp. Đây không phải là cách hoạt động của nhà nước pháp quyền ”.

Mối quan tâm của các chuyên gia không chỉ giới hạn ở việc Europol đưa ra các quy tắc về lưu giữ dữ liệu. Họ cũng thấy một cơ quan thực thi pháp luật có nguyện vọng tiến hành các hoạt động giám sát hàng loạt.

Các thành viên của ủy ban tự do dân sự, tư pháp và nội vụ của nghị viện châu Âu trong một phiên điều trần vào tháng 6 năm 2021 đã so sánh cơ quan này với NSA. Wiewiórowski đã khiến những người tham dự ngạc nhiên khi tán thành sự so sánh liên quan đến hoạt động lưu giữ dữ liệu của Europol. Ông chỉ ra rằng Europol đang sử dụng các lập luận tương tự như những lập luận được NSA sử dụng để bảo vệ các hoạt động thu thập dữ liệu hàng loạt và giám sát hàng loạt như Snowden tiết lộ.

“Những gì NSA nói với người châu Âu sau khi vụ bê bối Prism bắt đầu là họ không xử lý dữ liệu, họ chỉ đang thu thập và chỉ xử lý trong trường hợp cần thiết cho cuộc điều tra mà họ đang thực hiện,” Wiewiórowski nói với MEPs. “Đây là điều không tuân thủ cách tiếp cận của Châu Âu để xử lý dữ liệu cá nhân.”

Eric Topfer, một chuyên gia giám sát tại Viện Nhân quyền Đức, đã nghiên cứu đề xuất quy định mới của Europol và cho biết cơ quan này dự đoán cơ quan này sẽ lấy dữ liệu trực tiếp từ các ngân hàng, hãng hàng không, công ty tư nhân và email. “Nếu Europol sẽ chỉ phải yêu cầu một số loại thông tin nhất định để họ phục vụ trên đĩa bạc, thì chúng tôi đang tiến gần hơn đến việc có một cơ quan giống như NSA.”

Cuộc đấu tranh với EDPS trong việc lưu trữ dữ liệu là bằng chứng mới nhất về việc Europol ủng hộ các giải pháp công nghệ đối với những lo ngại về bảo mật đối với quyền riêng tư. Ông chủ của Europol, trước đây là cảnh sát hàng đầu của Bỉ, đã đồng viết một bài báo vào tháng 7 năm 2021, trong đó lập luận rằng nhu cầu của các cơ quan thực thi pháp luật để trích xuất bằng chứng từ điện thoại thông minh sẽ vượt trội hơn các cân nhắc về quyền riêng tư. Bài báo tranh luận về quyền hợp pháp đối với các khóa của tất cả các dịch vụ mã hóa.

Không có đề cập nào được tiết lộ về phần mềm gián điệp Pegasus cho thấy rằng nhiều chính phủ, bao gồm một số ở châu Âu, đang tích cực cố gắng ngăn chặn liên lạc của những người bảo vệ nhân quyền, nhà báo và luật sư, những người mà mã hóa cung cấp sự bảo vệ duy nhất cho họ.

Vào năm 2020, Europol đã tuyên bố sự tham gia của mình cùng với cảnh sát Pháp và Hà Lan trong việc hack dịch vụ điện thoại được mã hóa EncroChat, giải phóng một loạt dữ liệu cá nhân vào hòm. Khi hoạt động bí mật được tiết lộ bởi Europol và đối tác tư pháp của nó, Eurojust, nó đã được ca ngợi là một trong những thành công lớn nhất trong cuộc chiến chống tội phạm có tổ chức trong lịch sử châu Âu. Riêng tại Vương quốc Anh, khoảng 2.600 người đã bị bắt giữ vào tháng 8 năm 2021 và Nikki Holland, giám đốc điều tra tại Cơ quan Tội phạm Quốc gia Anh, đã so sánh vụ tấn công này với việc “có một người trong cuộc trong mọi nhóm tội phạm có tổ chức hàng đầu trong nước”.

Europol đã sao chép dữ liệu trích xuất từ 120 triệu tin nhắn EncroChat và hàng chục triệu bản ghi âm cuộc gọi, hình ảnh và ghi chú, sau đó chuyển nó cho lực lượng cảnh sát quốc gia. Lũ bằng chứng về buôn bán ma túy và các tội danh khác đã làm át đi nỗi lo lắng về tác động của hoạt động này. Hoạt động hack đã biến điện thoại EncroChat thành gián điệp di động chống lại người dùng của họ có những điểm tương đồng quan trọng với phần mềm độc hại giám sát như Pegasus.

Các luật sư từ Đức, Pháp, Thụy Điển, Ireland, Anh, Na Uy và Hà Lan, tất cả đại diện cho các khách hàng bị vướng vào hậu quả, đã gặp nhau tại Utrecht vào tháng 11 năm 2021. Họ phát hiện ra rằng các vụ việc đang được xây dựng trên khắp châu Âu dựa trên bằng chứng của các cơ quan chức năng không muốn tiết lộ xuất xứ. Luật sư người Đức Christian Löised cho biết: “Các nhà điều tra và công tố viên đã che giấu hoặc làm sai lệch sự thật. “Tất cả chúng ta đều đồng ý rằng đây không phải là những người giỏi nhất trên thế giới, nhưng chúng ta sẵn sàng hy sinh những gì để kết tội thêm một người nữa?”

Nhóm khách hàng của EncroChat bao gồm những người không phải là tội phạm, những người như luật sư, nhà báo và doanh nhân. Luật sư Hà Lan Haroon Raza là một trong số họ và cho biết anh ta đã mua một thiết bị cầm tay EncroChat tại một cửa hàng điện thoại ở Rotterdam. Anh ta yêu cầu xóa dữ liệu của mình. “Theo những gì tôi có thể hiểu, một bản sao vẫn nằm trong cơ sở dữ liệu của Europol, nơi nó có thể tồn tại mãi mãi.”

Luật sư người Pháp Robin Binsard tin rằng toàn bộ hoạt động này là để giám sát hàng loạt. Ông nói: “Việc tháo dỡ toàn bộ hệ thống liên lạc giống như việc cảnh sát lục soát tất cả các căn hộ trong một khu nhà để tìm bằng chứng phạm tội: nó vi phạm quyền riêng tư và đơn giản là bất hợp pháp.”

Kể từ năm 2016, Europol cũng đã tiến hành một chương trình sàng lọc hàng loạt tại các trại tị nạn ở Ý và Hy Lạp, thu thập dữ liệu từ hàng chục nghìn người xin tị nạn để tìm kiếm những kẻ bị cáo buộc là chiến binh và khủng bố nước ngoài. Theo một báo cáo thanh tra EDPS đã được giải mật một phần thu được theo luật tự do thông tin, “việc kiểm tra định kỳ” của Europol đối với những người di cư qua biên giới EU “không được phép” vì “không có cơ sở pháp lý” cho một chương trình như vậy. Việc sàng lọc có thể dẫn đến việc dữ liệu cá nhân của người di cư được lưu trữ trên cơ sở dữ liệu tội phạm bất kể có bất kỳ liên kết nào được phát hiện với tội phạm hoặc khủng bố. Europol đã từ chối tiết lộ bất kỳ chi tiết hoạt động nào.

Các tài liệu nội bộ cho thấy rõ rằng vào mùa xuân năm 2020, Europol đã phát triển chương trình học máy và AI của riêng mình, ngay cả khi cơ quan giám sát dữ liệu của EU đang bắt kịp. Nhận thấy chính mình với bộ nhớ cache dữ liệu ngày càng tăng, cơ quan đã chuyển sang các thuật toán để hiểu tất cả. Một tháng sau khi cơ quan giám sát dữ liệu công khai khuyến cáo Europol, cơ quan này đã quay lại với một câu hỏi: nếu muốn đào tạo các thuật toán trên dữ liệu mà họ đã được yêu cầu giữ lại, liệu họ có thể bắt đầu quá trình đánh giá tác động bảo vệ dữ liệu cho việc này mà không có sự giám sát của EDPS không?

Yêu cầu nêu rõ rằng các thuật toán, bao gồm các công cụ nhận dạng khuôn mặt, sẽ không được thiết kế cũng như không được sử dụng để truy xuất dữ liệu nhạy cảm như tình trạng sức khỏe, nền tảng dân tộc, khuynh hướng tình dục hoặc chính trị, mặc dù như Europol thừa nhận, những dữ liệu đó chắc chắn sẽ được xử lý bằng các công cụ: “Chúng tôi nhận thấy rằng kết quả được tạo ra sẽ chứa dữ liệu nhạy cảm và việc xử lý dữ liệu đó sẽ tuân theo Quy định của Europol.”

Khi cơ quan giám sát không bật đèn xanh, Europol có hiệu lực quyết định loại bỏ EDPS và tiếp tục bất kể, xác nhận nhiều như vậy trong một bức thư vào tháng 1 năm 2021.

Cơ quan giám sát đã trả lời bằng cách nói rằng họ sẽ mở một thủ tục giám sát chính thức. Vào cuối tháng 2 năm 2021, Europol đã dừng lại chương trình máy học của mình. Europol nói với Guardian rằng, cho đến nay, nó “không sử dụng các mô hình học máy của riêng mình để phân tích hoạt động và cũng không thực hiện‘ đào tạo ’học máy”.

Nhưng có những dấu hiệu rõ ràng cho thấy phanh sẽ sớm được tung ra. Europol đã bắt đầu một vòng tuyển dụng các chuyên gia để giúp phát triển AI và khai thác dữ liệu.

Hình dạng mới nổi của Europol đang báo động một số MEP như Saskia Bricmont của Bỉ. “Nhân danh cuộc chiến chống tội phạm và khủng bố, chúng tôi có sự phát triển của một cơ quan, cơ quan này thực hiện các nhiệm vụ rất quan trọng, nhưng họ không được thực hiện theo đúng cách thức. Điều này sẽ dẫn đến các vấn đề, ”cô nói.

Chloé Berthélémy, một chuyên gia của mạng lưới các tổ chức phi chính phủ về Quyền Kỹ thuật số của Châu Âu, cho rằng Europol tụt hậu so với Mỹ về năng lực công nghệ, nhưng nó lại đi cùng con đường với NSA.

“Khả năng của Europol trong việc thu thập một lượng lớn dữ liệu và tích lũy nó, trong cái có thể được gọi là kho dữ liệu lớn, sau đó hầu như không thể biết chúng được sử dụng để làm gì, khiến nó trở thành một lỗ đen”.

(Theo the Guardian)