Hermes – kolejny grecki rozdział w polskiej prokuraturze

  1. Tło wydarzeń

Imię Hermesa[1] (greckiego boga – patrona dróg, podróżnych, kupców pasterzy, złodziei oraz handlu) było odmieniane przez wszystkie przypadki w dniu 4 marca 2024 roku – po publikacji Gazety Wyborczej pt. „’Wyborcza’ ujawnia. Hermes, czyli Pegasus bis w Prokuraturze Krajowej[2]” na temat zakupu i wykorzystywania przez Prokuraturę Krajowa oprogramowania o tej nazwie. Podkreślić należy, gwoli ścisłości, ze do nabycia Hermesa miało dojść w 2021 roku, za kwotę 15 milionów złotych – w czasie, gdy Prokuratorem Generalnym/Ministrem Sprawiedliwości był Zbigniew Ziobro, zaś Prokuratorem Krajowym był Bogdan Świeczkowski. Przytoczona publikacja wywołała zarówno dyskusje, jak i falę komentarzy oraz ocen na temat tego czy polska prokuratura (oraz de facto opinia publiczna) będzie miała do czynienia ze sprawa pokroju Pegasusa[3], czy tez może być ona przysłowiowym i tak zwanym medialnym “kapiszonem”. Oczywiście, jak pokazuje doświadczenie życiowe – na polskiej scenie publicystycznej zdania są podzielone.

Trzeba w tym miejscu podkreślić, że pierwsze informacje, jakie docierały do opinii publicznej były niezwykle niepokojące. Zgodnie z nimi, Hermes miał stanowić oprogramowanie bardziej zaawansowane niż Pegasus i być niczym „kombajn, pozwalający wykonywać elementy informatyki śledczej (…) jak śledzić na bieżąco telefon[4]. W opozycji do doniesień Gazety Wyborczej stanął portal internetowy zaufanatrzeciastrona.pl, na łamach, którego Adam Haertle przedstawił stanowisko – zgodnie, z którym Hermes ma być faktycznie instrumentem analitycznym i stanowić:

„narzędzie do automatyzacji procesów zbierania z otwartych źródeł tzw.. OSINT, (…) Jeśli podamy mu dane obiektu naszego zainteresowania, przejrzy informacje dostępne publicznie w sieci (wyszukiwarki, serwisy społecznościowe, fora, serwisy specjalistyczne) i pobierze z nich wszystko, co na temat danego imienia, nazwiska i pseudonimu znajdzie. Zebrane dane pozwoli zapisać w celu dalszej analizy, bo sam z nich wniosków nie wyciągnie[5].”

W dalszej części przytoczonej publikacji Adam Haertle zauważa nadto:

„Co ciekawe, istnieje wiele darmowych narzędzi o podobnych możliwościach. Dlaczego Prokuratura Krajowa postanowiła wydać miliony na narzędzie komercyjne. To dużo ciekawszy temat śledztwa dla prawdziwych dziennikarzy[6]

Na temat Hermesa wypowiedział się również Mirosław Maj, który wskazał, że:

“Wszystko wskazuje na to, że jest to narzędzie zupełnie innego typu niż Pegasus. Określa się je mianem narzędzia typu OSINT, czyli białego wywiadu, który polega na zbieraniu danych ze źródeł ogólnodostępnych, otwartych, na przykład dostępnych w Internecie.(…) To nie jest narzędzie, które służy do tego, by włamywać się na czyjś telefon i przejmować informacje czy łamać zabezpieczenia. W końcu korzysta ze źródeł otwartych, do których włamywać się nie trzeba. Najprostsze narzędzia OSINT to może być nawet wyszukiwarka Google. (…) Ja nie znam dokładnie funkcjonalności tego narzędzia, więc powiem tak: musiałoby ono robić niesamowite rzeczy, które są bardzo wysoce zaawansowaną analityką, żeby było sens płacić za nie aż tyle. W Internecie jest pełno narzędzi tego typu, które są dostępne nawet za darmo. Każdy może sobie to zainstalować u siebie i korzystać (…). Te 15 mln zł to olbrzymia suma.[7]

  1. Co na to sami zainteresowani? 

Publikacja Gazety Wyborczej uruchomiła dalszy ciąg wydarzeń oraz oświadczeń, zaś cała sprawa, co już teraz nie budzi większych wątpliwości, winna być przedmiotem oceny, a nadto dalszej rzetelnej dyskusji. W tym miejscu należy zauważyć, że komentarza do sprawy odmówił były Prokurator Krajowy Bogdan Świeczkowski, który również nie udzielił żadnej konkretnej i relewantnej odpowiedzi na którekolwiek z zadanych mu przez dziennikarzy GW pytań[8].

Rzeczywiście pierwsze oświadczenie, które pozwoliło rzucić nowe światło na sprawę (z innej niż dziennikarska perspektywy) zostało wydane przez Zastępcę Prokuratora Generalnego – prokuratora Michała Ostrowskiego (opublikowane na profilu prowadzonym na portalu „X” przez Stowarzyszenie
„Ad Vocem”, w którym wskazano, że „Hermes stanowi formę zaawansowanej wyszukiwarki internetowej. Stanowi narzędzie OSINT-owe z zakresu analizy kryminalnej oraz nie przełamuje żadnych zabezpieczeń”.

Ostatecznie odpowiedzi na kluczowe, a zarazem kolokwialne pytanie, „na czym stoimy?” – udzieliła Prokuratura Krajowa, która w swoim komunikacie poinformowała, że z jednej strony (…) będą prowadzone czynności procesowe zmierzające do weryfikacji zasadności zakupu i sposobu wykorzystywania(…) profesjonalnego narzędzia do automatyzacji procesu gromadzenia informacji z otwartych źródeł OSINT (Open Source Intelligence) (…) System ten umożliwia pozyskiwanie i przetwarzanie informacji
z szeregu  dostępnych źródeł  (m.in. informacji z portali społecznościowych, stron internetowych, danych zamieszczanych na forach internetowych oraz ujawnianych w publikowanych bazach danych). (…)

Do przeprowadzenia postępowania przygotowawczego, mającego na celu wyjaśnienie wszystkich okoliczności związanych z  procesem decyzyjnym zmierzającym do nabycia tego systemu, trybem dokonanego zakupu oraz użytkowaniem oprogramowania dla analiz danych typu OSINT, wyznaczono Prokuraturę Regionalną w Rzeszowie[9]. 

  1. Konkluzje

Niezależnie od tego, po której stronie przedmiotowego sporu stanąć, nie ulega wątpliwości, ze decyzja dotycząca uznania za konieczne zweryfikowanie kwestii związanych zarówno z samym zakupem, jak i następnie wykorzystywaniem Hermesa nie budzi wątpliwości i jawi się nie tylko, jako racjonalna, ale wręcz konieczna. Wniosek ten wynika z jednej strony z uwagi na to, że zakup urządzenia był wydatkowany z pieniędzy publicznych, – co samo w sobie uzasadnia nie tylko państwową, ale także społeczną/ dziennikarską kontrolę tego rodzaju działań, jak również z drugiej strony – dotyczy urządzenia, którego możliwości ingerowania w prywatność obywateli nie zostały dotychczas do końca wyjaśnione ani przedstawione. Co wręcz w tym zakresie wydaje się znamienne – nawet osoby, które obiektywne można określić mianem specjalistów w zakresie cyberbezpieczeństwa nie byli w stanie jednoznacznie określić pełnego zakresu możliwości Hermesa. Wypowiadając się w tym samym tonie, nie sposób zarzucać dziennikarzom (in concreto Gazety Wyborczej), że opublikowali oni uzyskane przez nich informacje.
Wręcz przeciwnie, biorąc pod uwagę doświadczenia związane z Pegasusem, poruszenie tego tematu,
a tym samym przedstawienie opinii publicznej Hermesa było nieodzowne. Nie bez przyczyny z resztą pozostają silnew niniejszej sprawie związki jednego oprogramowania z drugim (i nie wynika to tylko ze źródła pochodzenia ich nazw), gdyż obok weryfikacji okoliczności dotyczących zakupu, nie mniejsze znaczenie ma pytanie, jak praktycznie, a zatem kiedy Hermes był wykorzystywany.

Kończąc wątek wydatkowania środków publicznych, należy w tym miejscu podkreślić, że jako bezsporna jawi się kwestia (widoczna de facto we wszystkich wypowiedziach publicystycznych) wątpliwości, co do zasadności wydania kwoty 15 milionów złotych na urządzenie, które (przynajmniej według części oświadczeń) miało służyć tylko i wyłącznie do analizy OSINT, w sytuacji, gdy dostępne są urządzenia do tego służące, a które są zdecydowanie tańsze (a nawet bezpłatne). Stąd też, o ile kwestią nieulegającą najmniejszych wątpliwości jest to, że odpowiednie organy ścigania winny mieć dostęp i możliwość korzystania z najlepszych urządzeń, o tyle zawsze zakup licencji do nich podlega kontroli pod kątem jego racjonalności, użyteczności i zasadności.

Wydatek szacowanej kwoty pieniędzy to jeden z esencjalnych wątków. Co jednak nie może uciec niczyjej uwadze, to również wątpliwości natury prawnej, – na które właśnie prawnicy (a tym bardziej prokuratorzy, – którzy mają obowiązek stać na straży praworządności) powinni być najbardziej wyczuleni. O ile sama analiza oraz gromadzenie informacji z otwartych i powszechnie dostępnych źródeł są legalne i nie wymagają żadnych dodatkowych uwarunkowań procesowych[10], o tyle kluczowym warunkiem dopuszczalności tak uzyskanego materiału jest to, że dochodzi do jego uzyskania bez naruszenia żadnych zasad i regulacji dotyczących ochrony prywatności. Przenosząc powyższy problem na grunt proceduralny, stwierdzić należy, że wykorzystanie dowodu uzyskanego w ramach tzw. białego wywiadu będzie w pełni legalne i dopuszczalne (a tym samym nie będzie narażało Państwa na zarzut naruszenia powszechnie obowiązującego prawa) w sytuacji, jeżeli organy ścigania będą w stanie wykazać, a z praktycznego punktu widzenia powtórzyć „ścieżkę” uzyskania takiego dowodu – bez konieczności przełamywania jakichkolwiek zabezpieczeń[11]. Tym samym, działanie w ramach białego wywiadu można porównać do analizy i zbioru danych przez Policję (lub inny organ ścigania) w otwartym i powszechnie dostępnym miejscu, jakim jest np. rynek miejski lub ulica, nie zaś prywatna posesja (niezależnie od tego, jak bardzo dostęp do niej byłby utrudniony).

Przenosząc owe rozważania na rzeczywistość cyfrową, koniecznym jawi się zweryfikowanie i ustalenie, czy wykonując swoją pracę, Hermes zbiera wyłącznie dane i informacje, które dostępne są z poziomu każdego użytkownika sieci – wówczas brak będzie podstaw do uznania, że wykracza on w jakimkolwiek wypadku poza OSINT – zaś de facto jedynym pytaniem, na jakie pozostaje udzielić wówczas odpowiedzi „czy był on wart zapłaconej ceny?”.

Jeżeli natomiast jego użycie dopuszczać lub wiązać się będzie z możliwością zebrania danych, które w jakimkolwiek stopniu objęte są ograniczającymi regulacjami, odnoszącymi się do ochrony prywatności jak np. informacjami z prywatnych grup w mediach społecznościowych, danymi normalnie niedostępnymi (na skutek wyłączenia ich jawności przez samego użytkownika), czy stanowiącymi tajemnice prawnie chronione (dane telekomunikacyjne), wówczas takie działanie będzie musiało być uznane za ingerujące
w prawa i wolności obywatelskie w takim stopniu, że nie będzie dopuszczalne jego stosowanie, bez zachowania odpowiednich warunków. Należy w tym miejscu wskazać, że kwestia prywatności nie może stanowić w demokratycznym państwie prawnym tylko i wyłącznie sloganu. Pomijając kwestię, że prawo do ochrony życia prywatnego zostało uregulowane w artykule 47 Konstytucji Rzeczpospolitej Polskiej[12], to prawo to podlega ochronie w oparciu o regulacje prawa europejskiego. Warto w tym miejscu nadmienić, że Trybunał Sprawiedliwości Unii Europejskiej wielokrotnie wypowiadał się, że działania Państwa  członkowskiego ,które dotykają praw i wolności obywatelskich, nie mogą być arbitralne, lecz winny odbywać się z zachowaniem zasady proporcjonalności[13].

Dziś wydaje się, że zarówno opinia publiczna, jak i sama prokuratura dysponują za małą ilością danych, żeby ostatecznie odpowiedzieć na pytanie, czy Hermes stanowi (bądź nie) zagrożenie dla prywatności użytkowników sieci, co tym samym musi prowadzić do wniosku, że poddanie jego działania ocenie przez niezależny organ – jest konieczne[14].

Osobiście jestem zwolennikiem dążeń prokuratury i organów ścigania do doskonalenia swoich technik,
a tym samym poszukiwania, co raz to nowszych (a tym samym wielokrotnie) lepszych rozwiązań do walki
z szeroko pojętą przestępczością. Niewątpliwie technologia, której tempo rozwoju z początkiem XXI w. nabrało niespotykanego dotychczas rozpędu może z jednej strony stanowić fenomenalne wsparcie w tym zakresie, z drugiej zaś strony zawsze należy mieć na uwadze, że jej wykorzystanie może wiązać się
z ingerencją w prawa i wolności obywatelskie, co wówczas nie może być w demokratycznym państwie prawnym działalnością dowolną i nieskrepowaną – przed czym chroni polskiego obywatela nie tylko prawo stanowione przez organy państwowe, ale również europejskie.

Autor: prok. Bolesław Laszczak
członek Stowarzyszenia Prokuratorów Lex Super Omnia


[1] W dalszej części publikacji, określenie Hermes – będzie odnosiło się wyłącznie do oprogramowania, nie zaś do terminologii mitologii greckiej.

[2] https://wyborcza.pl/7,75398,30758731,wyborcza-ujawnia-hermes-czyli-pegasus-bis-w-prokuraturze.html – dostęp 5 marca 2024 roku

[3] Zob. Uchwała Sejmu Rzeczypospolitej Polskiej z dnia 17 stycznia 2024 r. w sprawie powołania Komisji Śledczej do zbadania legalności, prawidłowości oraz celowości czynności operacyjno-rozpoznawczych podejmowanych m.in. z wykorzystaniem oprogramowania Pegasus przez członków Rady Ministrów, służby specjalne, Policję, organy kontroli skarbowej oraz celno-skarbowej, organy powołane do ścigania przestępstw i prokuraturę w okresie od dnia 16 listopada 2015 r. do dnia 20 listopada 2023 r., M. P. 2024, poz. 70

[4] Tamże.

[5]https://zaufanatrzeciastrona.pl/post/bzdury-wyborczej-czyli-dlaczego-hermes-nie-jest-bardziej-zaawansowanym-pegasusem/ – dostęp 5 marca 2024 roku.

[6] Tamże.

[7] https://www.fakt.pl/polityka/jak-dziala-hermes-ekspert-od-cyberbezpieczenstwa-wyjasnia/hdxmwqg – dostęp 5 marca 2024 roku.

[8] https://wyborcza.pl/7,75398,30758731,wyborcza-ujawnia-hermes-czyli-pegasus-bis-w-prokuraturze.html – dostęp 5 marca 2024 roku.

[9] https://www.gov.pl/web/prokuratura-krajowa/oswiadczenie-w-sprawie-oprogramowania-analitycznego-o-nazwie-hermes – dostęp 5 marca 2024 roku

[10] Na marginesie rozważań należy zaznaczyć, że nawet Konwencja Rady Europy o Cyberprzestępczości z dnia 23 listopada 2001 roku sporządzona w Budapeszcie (tekst polski Dz. U. 2015 poz. 728) przewiduje niezależny od geograficznej lokalizacji, ponadgraniczny dostęp do danych powszechnie dostępnych.

[11] W sytuacji gdyby takie wątpliwości pojawiłyby się po stronie Sądu orzekającego lub na skutek zarzutu ze strony oskarżonego.

[12] Konstytucja RP z dnia 2 kwietnia 1997 roku, Dz. U. 1997 nr 78, poz. 483.

[13] Przykładem takiego orzeczenia – odnoszącego się de facto m. in. do regulacji zobowiązujących dostawców usług łączności elektronicznych do wdrożenia w ich sieciach środków umożliwianych zautomatyzowaną analizę danych (polegającą na filtrowaniu wszystkich danych o ruchu i danych o lokalizacji zatrzymywanych przez dostawców usług łączności elektronicznej, dokonywanym przez nich na wniosek właściwych organów krajowych i na podstawie określonych przez nie parametrów) jest wyrok Trybunału Sprawiedliwości UE z dnia 6 października 2020 roku – dotyczący połączonych spraw C- 511/18, C-512/18 oraz C-520/18, w którym Trybunał uznał, że tego rodzaju działanie stanowi szczególnie poważną ingerencję i może spełniać wymóg proporcjonalności jedynie w sytuacjach, w których państwo członkowskie stoi w obliczu poważnego zagrożenia dla bezpieczeństwa narodowego, które jest rzeczywiste i aktualne lub przewidywalne, oraz pod warunkiem, że okres ich zatrzymywania jest ograniczony do tego, co ściśle niezbędne.

[14] Co nawet bardziej kluczowe – nie sposób prawa do takiego zbadania odmówić organowi, jakim jest prokuratura.

Lex Super Omnia
Stowarzyszenie Prokuratorów "Lex Super Omnia" to polska organizacja, skupiająca niezależnych prokuratorów. Jej celem jest promowanie wartości niezależności prokuratury oraz utrzymanie standardów etycznych w służbie sprawiedliwości. W ostatnich latach stowarzyszenie aktywnie uczestniczyło w działaniach na rzecz niezależności prokuratury w Polsce, angażując się m.in. w inicjatywy wspierające akcję pomocy sędziom.