Η πρόταση για κατάργηση της ανωνυμίας στις πλατφόρμες και η υποχρεωτική ταυτοποίηση των χρηστών

Ο κυβερνητικός εκπρόσωπος, Παύλος Μαρινάκης, μιλώντας στο κυβερνητικό Alitheia Forum έθεσε ευθέως ζήτημα ταυτοποίησης των χρηστών των κοινωνικών δικτύων και άλλων ψηφιακών πλατφορμών από τις ίδιες τις πλατφόρμες, προκειμένου αυτές να έχουν το δικαίωμα λειτουργίας στην Ελλάδα. Όπως δήλωσε χαρακτηριστικά, εκφράζοντας, όπως διευκρίνισε, προσωπική θέση την οποία θα παλέψει να κάνει πλειοψηφική:

«Θεωρώ ότι για να πρέπει να λειτουργήσουν, για να μπορούν να λειτουργήσουν οι πλατφόρμες στη χώρα […] Θες να κάνεις κύριε έναν λογαριασμό οπουδήποτε στην Ελλάδα; […] πάρα πολύ ωραία, θα ξέρει η πλατφόρμα, όχι όλοι εμείς, ποιος είσαι».

Η δήλωση αυτή περιγράφει το μοντέλο της «πολιτικής πραγματικού ονόματος» (real-name registration policy). Με βάση αυτό, το X (πρώην Twitter), το Facebook, το TikTok και άλλες πλατφόρμες θα υποχρεούνται να συλλέγουν επίσημα στοιχεία ταυτοποίησης (π.χ. ταυτότητα, συνδεδεμένο αριθμό τηλεφώνου με ονομαστικοποιημένη SIM) πριν επιτρέψουν τη δημιουργία λογαριασμού σε Έλληνες χρήστες ή θα πρέπει υποχρεωτικά κάθε λογαριασμός να συνδέεται με αριθμό κινητής που ταυτοποιείται με κρατική ταυτότητα.

Πού ισχύει η υποχρεωτική ταυτοποίηση;

Η αναζήτηση χωρών όπου εφαρμόζεται καθολικά η «πολιτική πραγματικού ονόματος» οδηγεί σχεδόν αποκλειστικά σε κράτη με αυστηρό έλεγχο του διαδικτύου και αυταρχικά καθεστώτα. Στις φιλελεύθερες δημοκρατίες, τέτοια μέτρα δεν αποφεύγονται απλώς, συνήθως καταδικάζονται.

Στην Κίνα, κάθε λογαριασμός κοινωνικής δικτύωσης είναι υποχρεωτικά συνδεδεμένος με τον αριθμό εθνικής ταυτότητας του χρήστη, δια νόμου.

Αντίστοιχα στο Ιράν, η πρόσβαση στις εγχώριες πλατφόρμες απαιτεί πλήρη ταυτοποίηση.

Στη Ρωσία, η εθνική νομοθεσία υποχρεώνει τα social media και τις εφαρμογές messaging να ταυτοποιούν τους χρήστες μέσω του αριθμού τηλεφώνου τους, ο οποίος στη Ρωσία εκδίδεται μόνο με την επίδειξη διαβατηρίου.

Την υποχρεωτική ταυτοποίηση όλων των χρηστών σε εγχώριες και ξένες πλατφόρμες νομοθέτησε πιο πρόσφατα και το Βιετνάμ για να τους επιτρέπεται να κάνουν αναρτήσεις.

Κάτι παρόμοιο είχε επιχειρήσει, βέβαια, και η Νότια Κορέα το 2007, όταν επέβαλε δια νόμου την ταυτοποίηση πολιτών μέσω του «Εθνικού Αριθμού Μητρώου» για τον σχολιασμό στο διαδίκτυο, με στόχο την πάταξη της «τοξικότητας».

Το μέτρο δεν δούλεψε. Τα κακόβουλα σχόλια μειώθηκαν λιγότερο από 1%, οι πλατφόρμες έγιναν τεράστιοι στόχοι κυβερνοεπιθέσεων και υποκλοπών προσωπικών δεδομένων εκατομμυρίων πολιτών. Τελικά, το 2012, το Ανώτατο Συνταγματικό Δικαστήριο της χώρας κατήργησε τον νόμο ομόφωνα, κρίνοντάς τον αντισυνταγματικό και επικίνδυνο για τα προσωπικά δεδομένα.

Η Ευρωπαϊκή Πραγματικότητα: Το μοντέλο του DSA

Στην Ευρωπαϊκή Ένωση, η υποχρεωτική ταυτοποίηση όλων των χρηστών προσκρούει ευθέως στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και στο ευρωπαϊκό κεκτημένο για την ελευθερία της έκφρασης, που προστατεύει και την ψευδωνυμία, δεδομένου ότι αυτή κρίνεται απαραίτητη σε δημοσιογράφους, ευάλωτους, πληροφοριοδότες, όσους φοβούνται το στίγμα και τη στοχοποίηση.

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων απαγορεύει ρητά το μαζικό «φακέλωμα» που προτείνεται, βασιζόμενος σε δύο θεμελιώδεις αρχές:

Άρθρο 5 – Αρχή της ελαχιστοποίησης των δεδομένων (Data Minimization): Τα προσωπικά δεδομένα πρέπει να είναι «κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο μέτρο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία». Η απαίτηση ταυτότητας/ΑΦΜ για τη δημιουργία ενός απλού προφίλ στο διαδίκτυο θεωρείται από τις ευρωπαϊκές αρχές δυσανάλογη και παράνομη συλλογή. Μια ιδιωτική εταιρεία δεν νομιμοποιείται να κατέχει ταυτότητες εκατομμυρίων πολιτών με τη δικαιολογία της «πρόληψης μελλοντικών αδικημάτων».

Αρχή της αναλογικότητας: Ο GDPR επιτρέπει τη συλλογή δεδομένων μόνο όταν το μέτρο είναι ανάλογο του επιδιωκόμενου σκοπού. Το να εκτεθούν τα δεδομένα εκατομμυρίων νομοταγών πολιτών σε κίνδυνο διαρροής (data breach) για να εντοπιστούν λίγοι παραβάτες, παραβιάζει αυτή την αρχή.

Επιπλέον, με τον Κανονισμό για τις Ψηφιακές Υπηρεσίες – DSA που ισχύει από το 2024, η ΕΕ επέλεξε έναν εντελώς διαφορετικό δρόμο για να «καθαρίσει» το διαδίκτυο από παράνομες πράξεις, χωρίς να φακελώσει τον γενικό πληθυσμό:

1. Μηχανισμοί Αναφοράς, όχι Προληπτική Ταυτοποίηση: Οι πλατφόρμες δεν ελέγχουν προληπτικά ποιος είσαι. Είναι όμως νομικά υπόλογες (με πρόστιμα-μαμούθ) να κατεβάζουν άμεσα το παράνομο περιεχόμενο όταν αυτό αναφέρεται (Notice and Action), ειδικά αν η αναφορά έρχεται από «Αξιόπιστους Φορείς» (Trusted Flaggers), όπως η Δίωξη Ηλεκτρονικού Εγκλήματος.

2. Στοχευμένη Άρση Απορρήτου (IP Tracking): Όταν τελεστεί ένα αδίκημα (π.χ. εκβιασμός, απάτη, ακραία συκοφαντία), οι πλατφόρμες υποχρεούνται –κατόπιν εισαγγελικής παραγγελίας– να παραδώσουν στις Αρχές την IP διεύθυνση, τα log files και όποια στοιχεία διαθέτουν. Η αστυνομία, μέσω των παρόχων ίντερνετ, εντοπίζει τον δράστη. Ο νόμος στοχεύει τους παραβάτες, όχι τους πάντες.

3. Ταυτότητα μόνο για εμπόρους: Το DSA απαιτεί αυστηρή ταυτοποίηση (με επίσημα έγγραφα) μόνο για όσους χρησιμοποιούν τις πλατφόρμες για εμπορικές συναλλαγές (Marketplaces), ώστε να πατάσσονται οι απάτες κατά των καταναλωτών.

4. Άμεση δράση σε κίνδυνο ζωής: Αν εντοπιστεί απειλή για τη ζωή (π.χ. τρομοκρατία), οι πλατφόρμες οφείλουν να ειδοποιήσουν αυτεπάγγελτα την αστυνομία με όλα τα διαθέσιμα στοιχεία.

Επαρκές το ελληνικό πλαίσιο

Σε ό,τι αφορά το υπάρχον ελληνικό πλαίσιο, ενδεικτικό είναι το σχόλιο του δικηγόρου, Βασίλη Σωτηρόπουλου, με πλούσια εμπειρία σε ζητήματα προσωπικών δεδομένων και νομολογίας για το διαδίκτυο:

«Διαβάζω ότι ο υφυπουργός επιθυμεί να ‘καταργηθεί η ανωνυμία στο διαδίκτυο. Να βγάλουμε δηλαδή τις ‘κουκούλες’ από το διαδίκτυο. […]  Όταν θέλεις να πάρεις ένα κινητό, μπορείς να πάρεις και έναν και δύο και τρεις και πέντε και δέκα αριθμούς, δίνεις την ταυτότητά σου. Και ξέρει η κάθε εταιρεία, όχι όλοι εσείς που μας βλέπετε, ότι το κινητό αυτό, από πίσω από το κινητό είναι το όνομά μου, αντίστοιχα και τα δικά σας. Διαδίκτυο: θεωρώ ότι για να πρέπει να λειτουργήσουν, για να μπορούν να λειτουργήσουν οι πλατφόρμες στη χώρα, το ξαναλέω είναι δική μου θέση αυτή, μην υπάρξει παρεξήγηση, θα παλέψω να γίνει και όσο γίνεται πλειοψηφική θέση, όσο παραπάνω μπορώ. Θέλεις να κάνεις κύριε ένα λογαριασμό οπουδήποτε στην Ελλάδα; Αυτό έχει να κάνει και με τις πλατφόρμες, για αυτό είναι δύσκολο και θέλει συζήτηση, πάρα πολύ ωραία, θα ξέρει η πλατφόρμα, όχι όλοι εμείς, ποιός είσαι’.

Εδώ μας λέει δηλ. ο κ. Μαρινάκης ότι θα επιβάλλει η Ελληνική νομοθεσία στους κολοσσούς του Διαδικτύου, στο «X» πρώην twitter, το Facebook / Instagram / Threads της Μeta και στο ΤikTok ότι, για να δραστηριοποιηθούν στην Ελλάδα θα οφείλουν ως προϋπόθεση να έχουν μητρώο με φωτοτυπίες αστυνομικών ταυτοτήτων των χρηστών τους, όπως η Vodafone, η Νova και η Cosmote.

Και αν δεν συμμορφωθούν οι πλατφόρμες, τί θα κάνει η Ελλάδα;

Θα περιοριστεί στα πρόστιμα στους κολοσσούς ή θα τους απαγορεύσει με τεχνικό τρόπο και τη λειτουργία τους στον ελληνικό χώρο;

Αυτά έχει πολλές φορές προσπαθήσει να τα κάνει η Νέα Δημοκρατία. Θυμόμαστε και αντίστοιχη ομάδα εργασίας της Κυβέρνησης Καραμανλή το 2008 – 2009, η οποία γνωρίζουμε ποια κατάληξη είχε: καμία.

Εδώ δεν μπορείτε να πείσετε τις ΗΠΑ να υπογράψουν μια Mutual Legal Assistance Treaty (MLAT) ώστε να δίνουν στοιχεία στην Ελληνική Αστυνομία για λογαριασμούς στο «Χ» που διαπράττουν συκοφαντική δυσφήμηση. Διότι, κατά το Αμερικανικό Σύνταγμα και την γνωστή 1η Τροπολογία (First Amendment) δεν επιτρέπεται η άρση του απορρήτου για εγκλήματα κατά της τιμής.

Σε αυτή τη συζήτηση, κακώς εμπλέκεται το phising και κακώς αναφέρει ο κ. Μαρινάκης: ‘οι κουκούλες στο Διαδίκτυο είναι αυτές οι οποίες έχουν κάνει phising πολλές φορές, έχουν πάρει τα λεφτά των συγγενών μας, φίλων μας, έχουν εξαπατήσει τα παιδιά μας και μπορεί αύριο μεθαύριο να προκαλέσουν μεγάλες, μεγάλες αναστατώσεις και απειλές’.

Μα, αυτό δεν αφορά την ‘ανωνυμία στο Διαδίκτυο’, καθώς η άρση του απορρήτου για το ποινικό αδίκημα της απάτης ήδη προβλέπεται!

Συγκεκριμένα, στο άρθρο 4 του Ν. 2225/1994 προβλέπεται ξεκάθαρα ότι ‘επιτρέπεται η άρση του απορρήτου για τη διακρίβωση των εγκλημάτων (…) του άρθρου 386 και του άρθρου 386Α του Ποινικού Κώδικα.’

Το 386 είναι η απάτη ‘σκέτη’, το 386Α είναι η απάτη με υπολογιστή!

Είναι γνωστό ότι καθημερινά δικάζονται στα Ελληνικά δικαστήρια κατηγορούμενοι και καταδικάζονται όταν κρίνονται ένοχοι για phising αφού προηγουμένως έχει γίνει άρση του απορρήτου με βάση τον Ν.2225/1994 και επιπλέον, τα αστικά δικαστήρια υποχρεώνουν και τις Τράπεζες που δεν έχουν λάβει τα επαρκή μέτρα ασφαλείας να αποζημιώσουν τους πολίτες που έπεσαν θύματα phising!

Εμείς οι δικηγόροι έχουμε φέρει εις πέρας αποζημιώσεις πολιτών από τις τράπεζες για απατηλές αφαιρέσεις χρηματικών ποσών, καθώς οι τράπεζες ήταν εκείνες που δεν είχαν λάβει επαρκή μέτρα ασφαλείας. Δεν έφταιγε ‘η ανωνυμία στο Διαδίκτυο’.

Όσον αφορά τώρα τα ανώνυμα τρολ κι εκεί υπάρχουν δικαστικές αποφάσεις που από συσχετισμούς έχουν ταυτοποιηθεί χρήστες και έχουν καταλογιστεί ευθύνες ποινικές και αστικές, χωρίς καμία άρση του απορρήτου. Την πρώτη τέτοια υπόθεση για ψευδώνυμο λογαριασμό στο Facebook χειρίστηκα στο Πρωτοδικείο Θεσσαλονίκης το 2009, όταν βγάλαμε την κουκούλα από το τρολ χωρίς καμία άρση απορρήτου, μόνο από τους συσχετισμούς. Η ταυτοποίηση επιβεβαιώθηκε από όλα τα δικαστήρια, αστικά και ποινικά και από τα εφετεία τους!

Βέβαια, εάν θέλει η Νέα Δημοκρατία να αφαιρέσει τις κουκούλες από τα τρολ που την υποστηρίζουν δολοφονώντας χαρακτήρες και προσβάλλοντας παράνομα προσωπικότητες, δεν θα είχαμε καμία αντίρρηση. Ας δώσει μόνη της το καλό παράδειγμα».