Některým americkým zákonům předchází barvitá předehra. Zákon o sledování zahraničních zpravodajských služeb FISA (Foreign Intelligence Surveillance Act) z roku 1978 je jedním z takových. Přijetím FISA Act reagovali američtí zákonodárci na znepokojivé výsledky senátní komise vedené senátorem za Idaho Frankem Churchem. Ta v letech 1975 a 1976 zkoumala vládní operace v souvislosti se zpravodajskou činností od 40. let do 70. let. Nejvíce mediální pozornosti vzbudila angažovanost CIA v drogové oblasti zlatého trojúhelníku a skryté vojenské operace v zemích třetího světa.
Senátorovi Franku Churchovi šlo primárně o vlastenecké cíle. O stanovení zákonných rámců působnosti zpravodajských služeb a jejich technických schopností. V jednom pořadu na NBC k tomu mimo jiné uvedl:
Kdyby se tato vláda někdy proměnila v tyranii, kdyby se v této zemi někdy ujal moci diktátor, technologické možnosti, které vládě poskytly zpravodajské služby, by jí mohly umožnit nastolit naprostou tyranii a nebylo by možné se proti tomu bránit, protože i ten nejopatrnější pokus o spojení sil za účelem odporu proti vládě, ať už by se odehrával jakkoli v soukromí, by vláda mohla odhalit. Takové jsou možnosti této technologie.
Bezesporu nadčasové myšlenky. Ale možná zde byla i částečně osobní motivace, proč se senátor Frank Church ve své komisi angažoval. Špionážní Project MINARET, který se na konci šedesátých let mimo jiné zaměřoval na mírové aktivisty a odpůrce amerického angažmá ve Vietnamu. Senátor Frank Church byl znám svými protiválečnými postoji. Zda-li byl sám také cílem projektu MINARET s jistotou nevíme, ale z rekonstrukcí různých zdrojů vyplynulo, že Jane Fonda, Martin Luther King Jr., Muhammad Ali a mnoho tisíců dalších osob cílem projektu MINARET nebo programu COINTELPRO) bylo. Záchyt komunikace pro projekt MINARET zajišťovala americká NSA (National Security Agency) s britskou GCHQ (Government Communications Headquarters) a příjemcem byly zejména třípísmenkové agentury a Ministerstvo obrany.
Přichází FISA Act
Jak se při šetření nepřekvapivě ukázalo, sběr informací ve zpravodajských programech jako Project MINARET nebo SHAMROCK byl na hraně a za hranou právního systému platného ve Spojených státech. Dozvuky mccarthismu z poválečných let přiživené nedávnou aférou Watergate vytvořily poptávku po institucionálním zakotvení pravidel pro sledování komunikace, zejména elektronických odposlechů (wiretapping). Výsledkem byl FISA Act přijatý v roce 1978, který stanovil právní rámec sledování komunikace a zavedl systém soudních příkazů a soudního přezkumu skrze specializovaný soud FISC (Foreign Intelligence Surveillance Court).
Podle FISA Act bylo stanoveno, že cílem sledování může být pouze zahraniční moc nebo její agent. Sledování amerických občanů je možné za přísných podmínek, které zahrnují pravděpodobný důvod (probable cause) činnosti pro cizí moc. Může jít typicky o prokázání kontaktů, stran komunikace nebo financování. Pod pojmem "pravděpodobný důvod" si zjednodušeně představme více než podezření a méně než důkaz. Samotné Povolení ke sledování vydává specializovaný soud FISC. Dále byla stanovena kontrola a dohled Kongresu nad zpravodajskými službami. Zpravodajské služby musí reportovat své aktivity nově vzniklým trvalým výborům zřízeným Kongresem pro dohled nad tajnými službami.
FISA Act právně ukotvil podmínky sběru informací. Navázal na strukturální zákon National Security Act z roku 1947 definující základy národní bezpečnosti Spojených států, zejména institucionální.
Doplňování FISA Act v průběhu let
FISA Act byl v průběhu následujících let několikrát novelizován, avšak ne všechny změny jsou trvalého charakteru. Zjednodušeně můžeme říct, že změny reagující na technologický nebo organizační vývoj, např. záznam metadat (trap and trace), jsou trvalého charakteru. Naopak změny reagující na aktuální bezpečnostně-politickou situaci, např. některá ustanovení Patriot Act požadující výrazný zásah do soukromí, jsou dočasného charakteru (sunset provisions), ačkoliv mohou být opakovaně prodlužovány.
Doplněk PATRIOT Act (2001)
PATRIOT Act přijatý v roce 2001 od počátku kombinoval trvalá ustanovení a dočasné pravomoci (sunset provisioning). Klíčové části, například sledování napříč zařízeními (roving wiretaps), sběr širokého spektra záznamů od třetích stran dle §215 (business records) nebo sledování jednotlivců ("lone wolf" provision) měly původně vypršet v roce 2005, ale byly opakovaně prodlužovány. V původní podobě už je dnes nenajdeme.
Nyní k trvalým změnám. Klíčovým přínosem PATRIOT Act je propojení zpravodajských a trestních složek. Zákon odstranil dřívější bariéry mezi institucemi, jako jsou FBI a CIA, a umožnil sdílení informací v širším rozsahu. Současně upravil pravidla FISA tak, aby zpravodajské sledování mohlo mít nejen čistě zpravodajský, ale i trestněprávní účel. Došlo také ke vzniku nových administrativních nástrojů, například výrazné rozšíření tzv. National Security Letters (NSL), které umožňují získávat data od soukromých subjektů bez klasického soudního řízení, byť jejich použití bylo později legislativně omezeno. Dalšími změnami bylo například definování nových trestných činů a definic související s terorismem a větší zaměření proti praní špinavých peněz (AML).
Doplněk Protect America Act (2007)
Protect America Act byl krátkodobý dodatek k Foreign Intelligence Surveillance Act reagující na technologický vývoj, kdy mezinárodní komunikace často procházela přes USA. Zákon umožnil sledování neamerických osob mimo USA bez individuálního soudního povolení a zavedl programové schvalování místo jednotlivých warrantů. Specializovaný soud FISC tak posuzoval spíše obecné postupy než konkrétní cíle. Protect America Act byl dočasný a stal se přechodem k trvalejší úpravě v navazujícím FISA Amendments Act následujícího roku
Doplněk FISA Amendments Act (2008)
FISA Amendments Act legalizoval spolupráci s technologickými firmami na sběru dat a poskytl zpětnou imunitu telekomunikačním společnostem za předchozí spolupráci s vládou.
Klíčovým prvkem ale je zavedení dočasného §702, který umožňuje sledování neamerických osob nacházejících se mimo USA bez individuálního soudního příkazu. Tím byl položen právní základ pro NSA programy a nástroje jako PRISM, XKeyscore a sběr na vstup (upstream collection), které byly odhaleny a zpopularizovány Edwardem Snowdenem. Britskou obdobou PRISM je program GCHQ Tempora.
Ačkoliv §702 má dočasnou platnost, je opakovaně prodlužována, takže v současné době stále platí. Nejhlasitějším odpůrcem §702 jsou američtí lidskoprávní aktivisté jako organizace EFF, ACLU a množství jednotlivců. Z jejich zjištění totiž vyplývá, že §702 je pravděpodobně používán pro masový sběr informací, který nezohledňuje strany komunikace.
Doplněk FREEDOM Act (2015)
USA FREEDOM Act byl přijat jako reakce na odhalení Edwarda Snowdena a představoval omezení některých pravomocí zavedených po roce 2001. Hlavní změnou bylo ukončení hromadného sběru telefonních metadat podle §215 Patriot Act. Data již nebyla centrálně ukládána NSA, ale zůstala u telekomunikačních operátorů. Vláda k nim mohla přistupovat pouze cíleně a se souhlasem FISC, např. na konkrétní číslo.
Zákon také posílil transparentnost tím, že zavedl možnost účasti nezávislého experta (amicus curiae) u FISC a umožnil firmám zveřejňovat agregované informace o vládních žádostech. FREEDOM Act znamenal částečný návrat k omezenější a více kontrolované podobě sledování, aniž by zásadně zrušil systém vytvořený přes PATRIOT Act.
Doplněk RISAA legalizoval sběr přes CPU (2024)
Aby toho nebylo málo, novelizace RISAA (Reforming Intelligence and Securing America Act) sice na jednu stranu zpřísnila využívání sběru dat, na druhou stranu zařadila výrobce hardwaru mezi poskytovatele elektronických komunikačních služeb. Nástroje běžící přímo v čipech pod operačním systémem, tzv. Ring -3, jako Intel Management Engine (ME) nebo AMD Platform Security Processor (PSP) tím automaticky spadají do technických prostředků oprávněných ke sběru dat. Hovořit o suverénním cloudu bez suverénního CPU pak nedává smysl. Evropa chtě nechtě musí do zamýšlené suverenity zahrnout také vlastní hardware na úrovni CPU, podobně jako Čína začala se svým procesorem Loongson.
FISA není jediná sledovací pravomoc
Hodí se zmínit, že FISA Act není jediný právní zdroj, o který se mohou sledovací aktivity opřít. Dalším je prezidentský výnos (executive order) číslo EO 12333 z roku 1981 v novelizacích EO 13355 (2004) a EO 13470 (2008), který dává pravomoc NSA shromažďovat a pracovat se zachycenými informacemi ze zahraničních signálních zpravodajských zdrojů. Nezakládá žádné povinnosti ani práva pro soukromé subjekty, ale umožňuje sledování osob, které nejsou občasny USA.
Závěrem
Současná podoba Foreign Intelligence Surveillance Act představuje kompromis mezi ochranou občanských práv a rozšířenými možnostmi zpravodajského sběru dat v digitálním prostředí. V rámci režimů jako je opakovaně prodlužovaný §702 podle FISA Amendments Act, mohou být předmětem sledování neamerické osoby mimo území USA bez individuálního soudního povolení. Evropské právní nástroje jako Data Privacy Framework nahrazující torpédovaný Safe Harbor a Privacy Shield, GDPR a Listina základních práv Evropské unie tomu sice formálně brání, ale vymahatelnost těchto práv vůči systému národním zájmům Spojených států je dlouhodobě mizivá.
