Cảnh sát Đột nhập Nghìn Chiếc Điện thoại. Pháp lý Có Hợp lý Không?

Trong một tuần vào tháng 10 năm 2020, khách hàng tiềm năng của Christian Lödden chỉ muốn nói về một điều. Mỗi người mà luật sư bảo vệ tội phạm người Đức nói chuyện đều đã sử dụng mạng điện thoại được mã hóa EncroChat và lo lắng rằng thiết bị của họ có thể đã bị hack, có thể làm lộ tội ác họ có thể đã phạm. “Tôi đã có 20 cuộc họp như vậy,” Lödden nói. “Sau đó tôi nhận ra—ôi trời ơi—đợt lụt này đang đến.”

Vài tháng trước đó, cảnh sát trên khắp châu Âu, do lực lượng Pháp và Hà Lan dẫn đầu, tiết lộ họ đã tấn công vào mạng EncroChat. Phần mềm độc hại mà cảnh sát lén lút đặt vào hệ thống được mã hóa đã lấy đi hơn 100 triệu tin nhắn, làm trần truồng cơ cấu hoạt động bên trong thế giới ngầm tội phạm. Người ta mở lời nói về giao dịch ma túy, bắt cóc tổ chức, kế hoạch giết người, và nhiều hơn thế.

Vụ hack, một trong những cuộc tấn công lớn nhất từng được thực hiện bởi cảnh sát, là một mỏ vàng tình báo—với hàng trăm người bị bắt giữ, nhà bị đột kích, và hàng nghìn kilogram ma túy bị thu giữ. Nhưng đó chỉ là khởi đầu. Chỉ cần nhìn về phía trước hai năm, và hàng nghìn người dùng EncroChat trên khắp châu Âu—bao gồm cả ở Anh, Đức, Pháp, và Hà Lan—đang ngồi tù. 

Tuy nhiên, số lượng thách thức pháp lý đang ngày càng nổi lên, đặt câu hỏi về hoạt động hack. Luật sư cho rằng cuộc điều tra bị sai lầm và tin nhắn bị hack không nên được sử dụng làm bằng chứng tại toà, vì cho rằng các quy tắc về chia sẻ dữ liệu đã bị vi phạm và sự bí mật trong việc hack có nghĩa là các nghi can không có phiên tòa công bằng. Đến cuối năm 2022, một vụ án tại Đức đã được gửi đến tòa án cao nhất của châu Âu. Nếu thành công, thách thức có thể đe dọa hủy bỏ các kết án tội phạm trên khắp châu Âu. Và các chuyên gia nói rằng hậu quả này ảnh hưởng đến việc mã hóa end-to-end trên toàn thế giới.

“Ngay cả những người xấu cũng có quyền lợi trong hệ thống pháp lý của chúng ta vì chúng ta tự hào về nguyên tắc pháp luật của mình,” Lödden nói. “Chúng tôi không bảo vệ tội phạm hoặc bảo vệ tội ác. Chúng tôi bảo vệ quyền lợi của những người bị buộc tội.”

Hack EncroChat

Khoảng 60,000 người đã đăng ký sử dụng mạng điện thoại EncroChat, được thành lập vào năm 2016, khi bị cảnh sát phanh phui. Người đăng ký trả hàng nghìn đô la để sử dụng một chiếc điện thoại Android được tùy chỉnh có thể, theo trang web công ty EncroChat, “đảm bảo ẩn danh.” Các tính năng bảo mật của điện thoại bao gồm cuộc trò chuyện, ghi chú và cuộc gọi được mã hóa, sử dụng một phiên bản của giao thức Signal, cũng như khả năng “xóa nhanh” mọi thứ trên điện thoại và hỗ trợ khách hàng trực tiếp. Camera, micro và chip GPS của nó có thể được tháo rời.

Cảnh sát hack mạng điện thoại không có vẻ vi phạm mã hóa của nó mà thay vào đó tấn công vào máy chủ EncroChat tại Roubaix, Pháp, và cuối cùng đưa malware vào thiết bị. Mặc dù ít biết về cách thức hack diễn ra hoặc loại malware được sử dụng, theo tài liệu tòa án, 32,477 trong số 66,134 người dùng của EncroChat bị ảnh hưởng ở 122 quốc gia. Tài liệu thu được bởi Motherboard cho thấy tất cả dữ liệu trên điện thoại có thể bị thu gom bởi các nhà điều tra. Dữ liệu này đã được chia sẻ giữa các cơ quan thực thi pháp luật tham gia điều tra. (EncroChat đã tuyên bố là một công ty hợp pháp và đóng cửa sau vụ hack.)

Trên khắp châu Âu, thách thức pháp lý đang ngày càng tích tụ. Ở nhiều quốc gia, các tòa án đã quyết định rằng tin nhắn từ EncroChat có thể được sử dụng làm bằng chứng. Tuy nhiên, những quyết định này đang bị tranh cãi. Các vụ án, nhiều trong số đó đã được báo cáo chi tiết bởi Computer Weekly, là phức tạp: Mỗi quốc gia có hệ thống pháp luật riêng với các quy tắc riêng về loại bằng chứng có thể sử dụng và các quy trình mà các công tố viên cần tuân theo. Ví dụ, ở Anh, nó chủ yếu không cho phép bằng chứng “được chặn” được sử dụng tại tòa; trong khi đó, Đức có một rào cản cao đối với việc cài đặt malware trên điện thoại.

Thách thức đáng chú ý nhất cho đến nay đến từ các luật sư tại Đức. Vào tháng 10, một tòa án khu vực tại Berlin đã gửi một đơn kháng cáo EncroChat đến Tòa án Công lý của Liên minh châu Âu (CJEU), một trong những tòa án cao nhất của châu lục. Thẩm phán đã yêu cầu tòa án đưa ra quyết định về 14 điểm liên quan đến cách dữ liệu được chuyển qua châu Âu và cách nó được sử dụng trong các vụ án hình sự. Tòa án Berlin nhấn mạnh tính bí mật của cuộc điều tra. “Chi tiết kỹ thuật về cách hoạt động của phần mềm Trojan và lưu trữ, gán và lọc dữ liệu của các cơ quan Pháp và Europol không biết,” phiên bản dịch của quyết định tòa án nói. “Việc hoạt động của phần mềm Trojan nằm dưới sự bảo mật quân sự Pháp.”

Lödden, người không liên quan đến vụ án đã đạt tới CJEU nhưng đang phối hợp với khoảng mười luật sư khác liên quan đến các vụ án EncroChat ở châu Âu, nói rằng mọi người được đề xuất những giao dịch tốt bởi các thẩm phán và chấp nhận mức án nhẹ hơn khi thú nhận tội trong một số vụ án đầu tiên mà ông làm việc. Kể từ đó, ông đã sử dụng nhiều đường linh hoạt. Thách thức của ông thường liên quan đến việc đặt câu hỏi về cơ sở pháp lý nào được sử dụng để chứng minh việc thu thập dữ liệu từ thiết bị của mọi người. Một phương thức khác liên quan đến việc đặt câu hỏi về dữ liệu chính nó. “Bạn không biết Pháp đã lấy dữ liệu như thế nào,” ông nói. “Điều duy nhất rõ ràng là đó không phải là toàn bộ dữ liệu, vì có những khoảng trống, và dữ liệu họ có không được giải mã đầy đủ.”

Hiện chưa có ngày cụ thể cho Tòa án Châu Âu xem xét vụ án; mặc dù trong một thách thức pháp lý nổi bật khác, hai người sử dụng EncroChat người Anh đã đưa vụ án của họ đến Tòa án nhân quyền cao nhất châu Âu. Tuy nhiên, một vụ án ở Pháp, dự kiến sẽ được quyết định trong tháng này, có thể tạo ra sự khác biệt cho các vụ án khác trên khắp châu Âu. Tháng 10, Tòa án Pháp Cassation cuestiona các quyết định pháp lý EncroChat trước đó và nói rằng chúng cần được xem xét lại. “Thẩm phán đã cho phép biện pháp này không phải là người chịu trách nhiệm cho 60,000 cuộc điều tra, mà chỉ là một, và do đó đã ra lệnh một hành động không cân đối,” luật sư Robin Binsard và Guillaume Martine nói, họ đang thách thức việc thu thập dữ liệu. “Chúng tôi phải bảo vệ khách hàng của mình mà không biết nhà điều tra đã làm thế nào,” họ nói.

Bất kể những thách thức pháp lý, lực lượng cảnh sát trên khắp châu Âu đã ca ngợi vụ hack EncroChat và cách nó đã giúp đưa tội phạm vào tù. Khi vụ hack được công bố vào tháng 6 năm 2020, hàng trăm người bị bắt giữ trong các hoạt động cảnh sát lớn. Cảnh sát Hà Lan đã phát hiện ra các container vận chuyển đang được sử dụng như “phòng hành hình” bởi tội phạm.

Kể từ đó, có một loạt các vụ án EncroChat đến tòa và nhiều người bị tù vì một số tội phạm nghiêm trọng nhất. Dữ liệu từ EncroChat đã là một đòn bằng thực sự cho lực lượng thực thi pháp luật—số lượng bắt giữ tội phạm tổ chức tăng 17% tại Đức sau các đợt bắt giữ cảnh sát, và ít nhất 2,800 người đã bị bắt giữ tại Anh.

Các vụ án ở Anh đã thấy hai người lên kế hoạch thực hiện một cuộc bắn trả thù bị kết án 18 năm tù mỗi người, một nhà buôn ma túy bị kết án 14 năm tù vì cung cấp 8 kilogram cocaine và heroin, và sáu người bị kết án tổng cộng 140 năm tù sau khi lên kế hoạch đưa ma túy ecstasy quốc tế bên trong cánh tay của máy đào. Và vào tháng 6 năm ngoái, cảnh sát ở Cộng hòa Dominica báo cáo đã bắt giữ những người đứng đằng sau hệ thống EncroChat chính nó.

Cảnh sát quân đội Quốc gia Pháp, Cơ quan Toàn quốc chống tội phạm của Anh và Cơ quan cảnh sát điều tra liên bang của Đức, Bundeskriminalamt, từ chối bình luận về các vụ án pháp lý đang diễn ra. Jan Op Gen Oorth, người phát ngôn cho Europol, cho biết cuộc điều tra được tiến hành như là một phần của một đội điều tra chung liên quan đến nhiều cơ thể EU và các lực lượng cảnh sát quốc gia. “Dữ liệu trong vụ án này được thu thập dựa trên quy định của pháp luật Pháp và với sự ủy quyền của tòa án, thông qua các khuôn khổ hợp tác tư pháp và cảnh sát quốc tế,” Oorth nói.

Cuộc Chiến Mã Hóa

EncroChat không phải là mạng điện thoại được mã hóa duy nhất mà cảnh sát đã hack hoặc phá hủy. Các hoạt động thực thi pháp luật chống lại Ennetcom, Sky ECC và Anom—FBI một cách âm thầm kiểm soát và điều hành mạng này—nhấn mạnh sự căng thẳng rộng lớn xung quanh mã hóa. Trong nhiều năm, cảnh sát đã than phiền rằng mã hóa ngăn họ tiếp cận dữ liệu, trong khi đồng thời có nhiều cách thức thay thế để vượt qua mã hóa. Ở châu Âu và Hoa Kỳ, đã có các đề xuất luật lệ có thể làm yếu đi mã hóa khi công nghệ trở thành mặc định.

Phá vỡ các mạng điện thoại được quảng cáo là được mã hóa và an toàn—một số có thể hợp pháp, trong khi các mạng khác có vẻ đen tối—đặt ra câu hỏi về chiến thuật của cảnh sát và tính minh bạch. “Điều chúng ta đang thấy là các cơ quan chức năng và cơ quan thực thi pháp luật đang hiệu quả hóa một thực hành cảnh sát mà tạo ra một tiền lệ nguy hiểm về giám sát,” nói Laure Baudrihaye-Gérard, giám đốc pháp lý cho châu Âu của tổ chức công lý tư pháp tội phạm Fair Trials.

Cerian Griffiths và Adam Jackson, giáo sư pháp tại Đại học Northumbria ở Anh, người đã phân tích vấn đề pháp lý của EncroChat, nói rằng có một “sự mong chờ của tòa án” để sử dụng dữ liệu thu thập được để kết án tội phạm, nhưng quy trình đúng phải được tuân theo, vì những vụ án như vậy có thể xảy ra trong tương lai. “Bạn muốn người xấu bị truy cứu trách nhiệm vì những điều xấu xa mà họ sẽ làm,” họ nói. “Bạn chỉ muốn đảm bảo rằng nó được thực hiện đúng đắn, một cách có căn cứ chứng cứ. Và điều đó có nghĩa là họ không được kháng cáo sau này làm suy yếu những kết án đó.”

Một tòa án ở Phần Lan đã quyết định rằng dữ liệu do FBI thu thập từ Anom không thể được sử dụng—mức độ nghiêm trọng của tội ác được cho là không chứng minh cách dữ liệu được truy cập, theo báo cáo địa phương. Trong khi đó, Tòa án Tối cao Ý đã nói rằng các phương thức sử dụng để truy cập tin nhắn Sky ECC nên được tiết lộ.

Hơn 100 luật sư Hà Lan đã cảnh báo rằng sự thiếu minh bạch về những vụ hack có thể tạo ra một đường dốc trơn trượt. Trong tương lai, các luật sư viết trong một lá thư mở, Signal hoặc WhatsApp có thể bị nhắm đến. “Những dịch vụ này cũng đã được đặt trong một góc độ nghi ngờ hoặc có khả năng sẽ đến đó, trong khi sự nghi ngờ chỉ dựa trên việc sử dụng mã hóa mạnh và bảo vệ quyền riêng tư cá nhân.”

Jessica Shurson, giảng viên pháp tại Đại học Sussex và người đại diện cựu công tố viên Hoa Kỳ, nói rằng những vụ hack nên được bao gồm trong cuộc tranh luận lớn về sự quan trọng của mã hóa đối với an ninh của người dân. “Họ đang tìm cách tiếp cận các hệ thống được mã hóa, thông qua hack, thông qua phần mềm độc hại của họ,” Shurson nói. “Liệu chúng ta có thể thực sự nói rằng lực lượng thực thi pháp luật đang ‘mất tăm’ vì dữ liệu được mã hóa khi chúng ta thấy những vụ án này xuất hiện mỗi vài năm một lần chỉ ra rằng, thực sự, họ có thể tiếp cận các hệ thống được mã hóa?”