O TECHNICKÝCH A PROVOZNÍCH PODMÍNKÁCH A BODECH PRO PŘIPOJENÍ KONCOVÉHO TELEKOMUNIKAČNÍHO ZAŘÍZENÍ PRO ODPOSLECH A ZÁZNAM ZPRÁV

Úvodní ustanovení

Odposlech s aktivací v síti nebo službě

Odposlech s instalací zařízení oprávněného orgánu v připojovacím bodě

(1) Uživatelskou adresou je identifikátor koncového připojení nebo uživatele služby elektronických komunikací (dále jen „služba“), zejména
Zájmovou uživatelskou adresou je uživatelská adresa určená k odposlechu a záznamu zpráv (dále jen „odposlech“).

a) účastnické číslo,

b) mezinárodní identifikátor mobilního účastníka – IMSI,

c) mezinárodní identifikátor mobilní stanice – IMEI,

f) identifikátor poštovní schránky,

g) identifikátor síťového zařízení používaný protokoly internetové vrstvy – IP adresa,

e) adresa elektronické pošty,

d) uživatelské jméno nebo identifikátor přístupu k síti elektronických komunikací (dále jen „síť“),

i) identifikátor vytáčeného připojení.

h) identifikátor síťového zařízení používaný protokoly spojové vrstvy – MAC adresa, nebo

(2) Aktivitou uživatelské adresy je proces, při kterém se přenášejí provozní a lokalizační údaje nebo obsah zpráv mezi zařízením identifikovaným touto adresou a zařízením sítě nebo služby nebo při kterém síť nebo služba přenáší nebo zpracovává zprávy pocházející od této uživatelské adresy nebo k této uživatelské adrese směřující.

(3) Rozhraním pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv je

a) výstup sloužící k přenosu provozních a lokalizačních údajů a obsahu zpráv zájmové uživatelské adresy ze sítě nebo služby do zařízení policie, Bezpečnostní informační služby²) nebo Vojenského zpravodajství³) (dále jen „oprávněný orgán“), nebo

b) připojovací bod pro zařízení oprávněného orgánu v místech předpokládaného výskytu projevů aktivity zájmové uživatelské adresy.

(1) Právnická nebo fyzická osoba zajišťující veřejnou komunikační síť nebo poskytující veřejně dostupnou službu elektronických komunikací (dále jen „provozovatel“) vybavuje síť nebo službu rozhraním pro připojení zařízení pro odposlech na základě žádosti oprávněného orgánu.

(2) Pokud provozovatel buduje novou síť nebo službu, rozšiřuje nebo podstatně obměňuje stávající síť nebo službu, vyzve oprávněný orgán ke vznesení žádosti o vybavení sítě nebo služby rozhraním pro připojení zařízení pro odposlech. Pokud provozovatel předpokládá provést technické zhodnocení zařízení pro odposlech, vyzve oprávněný orgán ke vznesení žádosti o provedení tohoto zhodnocení. Oprávněný orgán uplatní žádost do patnácti dnů ode dne doručení výzvy, v opačném případě se má za to, že žádost v danou chvíli neuplatňuje. Tím není dotčena možnost postupu podle odstavce 1.

(3) Na základě žádosti uplatněné podle odstavce 1 nebo 2 zpracuje provozovatel ve spolupráci s oprávněným orgánem návrh možných variant řešení, včetně jejich odůvodnění a stanovení výše nákladů na jejich realizaci.

(4) Vybraná varianta a parametry řešení se uvedou v záznamu zpracovaném společně oprávněným orgánem a provozovatelem, jehož součástí je i vymezení výše finančních nákladů, způsob a harmonogram jejich úhrady a způsob, postup a harmonogram realizace vybraného řešení včetně uvedení okamžiku rozhodného pro zahájení fakturace nákladů. V případě, kdy nebude vybrána žádná varianta, uvede se do záznamu důvod a nástin dalšího postupu.

(1) Zahájení odposlechu se provádí

a) aktivací odposlechu u zájmové uživatelské adresy, čímž se síť nebo služba uvede do stavu, ve kterém se informace o každé aktivitě zájmové uživatelské adresy přenáší na výstup, nebo

b) instalací zařízení oprávněného orgánu v připojovacím bodě a jeho aktivací.

(2) Ukončení odposlechu se provádí deaktivací odposlechu u zájmové uživatelské adresy v síti nebo službě nebo v zařízení oprávněného orgánu.

(3) Možnost zahájení a ukončení odposlechu je zajišťována nepřetržitě.

(4) Pokud je v některé části sítě nebo služby obsah zpráv provozovatelem upraven šifrováním nebo kódováním, poskytuje se vždy z té části sítě nebo služby, kde takto upraven není. Pokud je obsah zpráv prokazatelně ve všech částech sítě nebo služby upraven šifrováním nebo kódováním a provozovatel k potřebnému klíči prokazatelně nemá přístup, poskytuje se obsah zpráv v takové formě, ve které je k dispozici.

b) v ostatních případech neprodleně po jejich zjištění.

(5) Údaje o změně sítě nebo služby, která by mohla ovlivnit odposlech, předá provozovatel oprávněnému orgánu

a) u předpokládaných změn před jejich provedením,

(1) Odposlech s aktivací v síti nebo službě k získávání obsahu zpráv a s nimi spojených vybraných provozních a lokalizačních údajů nebo vybraných provozních a lokalizačních údajů bez obsahu zpráv je umožněn u uživatelské adresy,

a) která může mít k síti nebo službě koncové připojení, nebo

b) jejíž zprávy nebo provozní a lokalizační údaje síť nebo služba přenáší nebo zpracovává a údaje o uživatelské adrese má síť nebo služba k dispozici.

(2) Vybraným provozním a lokalizačním údajem je

a) datum, čas zahájení, délka trvání, popř. čas ukončení aktivity zájmové uživatelské adresy, a to i tehdy, nedojde-li k přenosu obsahu zpráv; u sítě nebo služby, kde ke zpracování zpráv nemusí docházet v reálném čase a zprávy v sobě nenesou údaje o době svého vzniku, se za čas ve smyslu tohoto ustanovení považuje čas, kdy dochází ke zpracování zpráv sítí nebo službou,

b) určení druhu aktivity zájmové uživatelské adresy,

c) veškeré údaje identifikující zájmovou uživatelskou adresu, které síť nebo služba má k dispozici při aktivitě zájmové uživatelské adresy, bez ohledu na to, zda podle nich byl odposlech aktivován,

e) údaj o určení místa koncového připojení zájmové uživatelské adresy u veřejné mobilní telefonní sítě,

d) údaje identifikující všechny uživatelské adresy, ke kterým aktivita zájmové uživatelské adresy směřuje a od kterých směřuje aktivita k zájmové uživatelské adrese, údaje identifikující všechny uživatelské adresy tvořící řetězec přesměrování a údaje identifikující všechny uživatelské adresy konferenčního spojení; tyto údaje nemusí být uvedeny v případě, že je sítě nebo služby prokazatelně neposkytují,

f) údaj o přesném určení kanálu použitého pro přenos obsahu zpráv do zařízení oprávněného orgánu, je-li to k identifikaci přenášené zprávy potřebné,

g) údaje o přihlášení uživatele identifikovaného zájmovou uživatelskou adresou k prostředku sítě nebo služby a

h) identifikátor zdroje údajů v případě jejich předávání společným kanálem z více uzlů sítě nebo služeb.

(3) Minimální počet uživatelských adres, které síť nebo služba umožňuje současně aktivovat k odposlechu je dán vztahem:
a = 1 pro pevné sítě s komutací okruhů,
Y = a.x^0,4
a je koeficient specifický pro daný druh sítě nebo služby, volí se
a = 4 pro mobilní sítě s komutací okruhů.
x je celková kapacita počtu uživatelů sítě nebo služby,
Kde Y je minimální počet uživatelských adres, které síť nebo služba umožňuje současně aktivovat k odposlechu,
a = 2 pro službu elektronické pošty a jiné služby se záznamem přepravovaných zpráv,
a = 3 pro sítě s komutací paketů,

(1) Pokyn k aktivaci, deaktivaci a ověření aktivace odposlechu u zájmové uživatelské adresy se provádí z pracoviště oprávněného orgánu dálkovým přístupem pomocí programového vybavení dodaného oprávněným orgánem. Pokud není možné v odůvodněném případě tento dálkový přístup použít, zajistí provozovatel aktivaci, deaktivaci nebo ověření aktivace na základě požadavku uplatněného v písemné listinné podobě.

(2) Provozovatel po dobu šesti měsíců uchovává za účelem kontroly pokyny k aktivaci a deaktivaci odposlechu a informace o jejich provedení, a to způsobem nedovolujícím jejich změnu.

(1) Počet a kapacita výstupů určených oprávněným orgánem se stanoví tak, aby byl umožněn plynulý přenos obsahu zpráv a vybraných provozních a lokalizačních údajů od souběžně komunikujících zájmových uživatelských adres, jejichž počet odpovídá nejméně 15 % z hodnoty stanovené podle § 9 odst. 3, přičemž vypočtený výsledek se zaokrouhluje na nejbližší vyšší násobek čísla dvě.

(2) Všechny typy zpráv se při komunikaci zájmové uživatelské adresy přenášejí na výstup takovým způsobem, aby bylo možno rekonstruovat celý jejich obsah.

(3) Vybrané provozní a lokalizační údaje i obsah zprávy se na výstup předávají formou srozumitelnou bez nutnosti použít specializovaného zařízení dodávaného pouze určitým dodavatelem nebo pouze dodavatelem technologie sítě nebo služby.

(4) Provozovatel oprávněnému orgánu předá podrobný, úplný a srozumitelný popis komunikačních protokolů a formátů použitých k předávání obsahů zpráv a vybraných provozních a lokalizačních údajů na výstupy.

(1) Výstup sítě nebo služby se provádí pevným okruhem s rozhraním podle doporučení G. 703 Mezinárodní telekomunikační unie ITU-T. Přenos hlasu se provádí pulzně kódovou modulací s kompresní charakteristikou podle doporučení G. 711 – typ A Mezinárodní telekomunikační unie ITU-T.

(2) Jako komunikační protokol pro řízení přenosu zpráv předávaných na výstup se užívá signalizace SS7 nebo signalizace DSS1. Do signalizace se vkládá úplná informace o zájmových uživatelských adresách aktuálně přenášených zpráv. Signalizace se umisťuje zpravidla v šestnáctém kanálovém intervalu výstupu.

(3) V případě nutnosti použití adresy signalizačního bodu na straně oprávněného orgánu se použije adresa z rozsahu adres provozovatele.

(4) U datových přenosů zpráv se používají samostatné kanálové intervaly pro přenos dopředného a zpětného směru komunikace zájmové uživatelské adresy.

(5) Vybrané provozní a lokalizační údaje se přenášejí datovým kanálem se standardizovaným komunikačním protokolem TCP/IP nebo X. 25 umístěným zpravidla v jednom nebo několika k tomu vyhrazených kanálových intervalech výstupu podle odstavce 1, nebo se přenášejí signalizací podle odstavce 2.

(6) Výstup sítě nebo služby umožňuje nastavit počet používaných kanálových intervalů podle kapacitních požadavků oprávněného orgánu. Při dynamickém obsazování kanálových intervalů jednotlivými relacemi se zpravidla použije kanálový interval nejdéle neobsazený.

(7) Výstup sítě nebo služby se umisťuje v bodech shodně určených oprávněným orgánem a provozovatelem.

(1) Výstup sítě nebo služby se provádí

a) pevným datovým spojem, nebo

b) zabezpečeným virtuálním kanálem v síti Internet se standardizovaným komunikačním protokolem FTP, se serverem na straně oprávněného orgánu a klientem na straně provozovatele.

(2) Zasílaná datová jednotka je opatřena identifikátorem zájmové uživatelské adresy a pořadovým číslem nebo časovou značkou. Integrita dat je zajištěna vytvořením otisku souboru pomocí hašovací funkce SHA-1.

(3) Při odposlechu zpráv elektronické pošty lze se souhlasem oprávněného orgánu a provozovatele zasílat kopie zpráv protokolem pro přenos zpráv elektronické pošty SMTP na vyhrazený poštovní server oprávněného orgánu.

(1) Síť nebo služba, u které není možné nebo účelné provádět odposlech s aktivací v síti nebo službě, se vybavuje na žádost oprávněného orgánu připojovacími body pro zařízení oprávněného orgánu.

(2) Na základě žádosti oprávněného orgánu vypracuje provozovatel návrh umístění připojovacích bodů s odůvodněním každého z nich. Na základě předloženého návrhu oprávněný orgán vymezí počet připojovacích bodů a jejich umístění.

(3) Provozovatel oprávněnému orgánu poskytuje informace nezbytné k vytvoření podmínek potřebných pro odposlech pomocí zařízení oprávněného orgánu, zejména pro instalaci a provoz zařízení oprávněného orgánu v místě připojovacího bodu.

a) vhodné umístění,

c) zálohované napájení a

(4) Pro zařízení oprávněného orgánu, která jsou z technologických důvodů umístěna v prostorách provozovatele, provozovatel dále zajišťuje

b) přenosový kanál pro nepřetržitý dálkový přístup oprávněného orgánu k datům,

d) nejméně jednou denně možnost přístupu příslušníků oprávněného orgánu za účelem obsluhy.

b) připojovací bod do místa, kde se informace o dynamicky přidělovaných adresách vyskytují.

(5) K identifikaci provozovatelem dynamicky přidělovaných adres provozovatel oprávněnému orgánu poskytuje

a) výstup dávající v reálném čase informaci o právě přidělených dynamických adresách, nebo

(1) Je-li součástí služby záznam přepravovaných zpráv (hlasová schránka, elektronická pošta a přenos multimediálních zpráv MMS v mobilních sítích), nemusí služba splňovat podmínky uvedené v § 8 odst. 1 a 2 a § 10 odst. 1 v případě, kdy je oprávněnému orgánu neprodleně po vznesení požadavku umožněno nejméně jednou denně získávat vybrané provozní a lokalizační údaje a obsah všech zpráv pocházejících od zájmové uživatelské adresy a zpráv k zájmové uživatelské adrese směřujících. Ostatní ustanovení vyhlášky se v tomto případě užijí přiměřeně.

(2) U služby podle odstavce 1 se informace o aktivitě zájmové uživatelské adresy předávají přes běžně používané nosiče dat nebo rozhraní.