Twoja poczta, twoje zdjęcia, twoje dokumenty, twoje lokalizacje, twój kalendarz, twój dysk w chmurze. Jeśli korzystasz z amerykańskich usług — a korzystasz, bez względu na to, czy o tym wiesz — te dane są dostępne dla czternastu agencji rządu Stanów Zjednoczonych. Legalnie. Bez twojej zgody. I bez informowania cię o tym.
Ten artykuł nie jest teorią spiskową. Jest opisem zawartości dwóch aktów prawnych — FISA 702 oraz Cloud Act — oraz praktyki, którą firmy takie jak Google, Microsoft, Apple, Meta i Amazon musiały przyjąć, żeby legalnie operować na terenie USA. Prawo amerykańskie zobowiązuje je do przekazywania danych niezależnie od tego, gdzie fizycznie znajdują się serwery. Twoje maile w Gmailu na serwerze w Dublinie? Obejmuje. Twoje iPhone'owe kopie zapasowe? Obejmuje. OneDrive z umową SLA podpisaną w Warszawie? Też obejmuje.
Czternaście agencji, nie jedna
W dyskursie publicznym zwykle przywołuje się NSA. To jest skrót myślowy, który zaciemnia skalę. Realna lista agencji mających dostęp do zbioru danych zbieranych na podstawie FISA 702 obejmuje m.in. FBI, CIA, DEA, DHS, IRS-CI, ICE, ATF, Secret Service, State Department, DoD, Treasury, OFAC, oraz dwie mniejsze jednostki wywiadu finansowego. Każda z nich ma własny mandat i własny zakres zainteresowań — a dostęp do bazy odbywa się przez zwykłą procedurę query, nie przez nakaz sądu.
To nie jest nadużycie systemu. To jest system działający zgodnie z jego konstrukcją.
Dlaczego polskie firmy to dotyczy — nawet jeśli wydają się niezwiązane
Polska firma używa Google Workspace. Klient tej firmy — zagraniczna spółka — pisze umowę na Gmaila. Jeden z podwykonawców zaczyna być obiektem zainteresowania amerykańskiego Departamentu Handlu z powodu ograniczeń eksportowych. Cała korespondencja polskiej firmy z tej sprawy staje się automatycznie dostępna dla amerykańskich agencji. Nikt nikomu nic nie musi przekazywać. Dane już tam są.
Dla kancelarii prawnej, dla firmy konsultingowej, dla startupu pracującego nad własnością intelektualną — to nie jest abstrakcyjne ryzyko. To jest realna perspektywa, która już się zmaterializowała w przypadku kilku głośnych spraw europejskich. Najciekawsze wypadki nie są w mediach, bo tajemnica postępowania.
„Nie mam nic do ukrycia" — argument dla ludzi bez doświadczenia
Standardowa odpowiedź osoby, która nie przeszła przez poważne postępowanie: nie mam nic do ukrycia, więc nie boję się inwigilacji. Ta odpowiedź ma dwa problemy.
Po pierwsze — to nie jest kwestia tego, co ty ukrywasz. To jest kwestia tego, co można z twoich danych wyinterpretować wbrew tobie. Twoja rozmowa z lekarzem przed wejściem w procedurę ubezpieczeniową. Twoja rozmowa z prawnikiem przed negocjacjami biznesowymi. Twoja lokalizacja w miejscu, które potem okaże się kontrowersyjne politycznie. Algorytmy nie analizują twoich intencji — analizują korelacje.
Po drugie — prywatność to nie jest tarcza dla kłamców. To jest podstawa autonomii decyzyjnej. Osoba, która wie, że jest obserwowana, podejmuje inne decyzje niż osoba, która tego nie wie. To jest udokumentowane w psychologii społecznej od dziesięcioleci jako efekt Hawthorne'a i jego pochodne.
Co realnie można zrobić — bez paranoi, bez foliowej czapki
Celem nie jest zniknięcie z internetu. Celem jest świadoma segmentacja — rozumienie, jakie dane trzymasz, gdzie i kto ma do nich dostęp.
Poczta wrażliwa — poza USA. Proton, Tutanota, Mailfence, Posteo. Usługi podlegające wyłącznie prawu szwajcarskiemu, niemieckiemu, belgijskiemu. Nie są anonimowe wobec lokalnych organów ścigania — ale nie są dostępne na query dla 14 agencji bez twojej wiedzy.
Dyski — ze szyfrowaniem po stronie klienta. Cryptomator na iCloud/Google Drive, Tresorit, Sync.com, Kdrive, pCloud Crypto. Zasada jest prosta: jeśli dostawca usługi nie ma klucza, nie może go przekazać nikomu. To jest jedyna gwarancja, której warto ufać — nie obietnica „nie przekażemy twoich danych".
Komunikatory — Signal, nie Messenger. End-to-end encryption po stronie klienta jest dziś standardem. Dobre są też Wire, Threema, Session. Telegram — tylko w trybie „tajny czat". WhatsApp technicznie E2E, ale metadane (kto z kim rozmawia, kiedy, jak długo) Meta widzi i przekazuje.
Hasła — menedżer lokalny, nie chmura. KeePassXC z synchronizacją przez własny serwer lub szyfrowany katalog. Bitwarden, jeśli koniecznie chmura — ma self-hosted opcję. Nigdy natywne rozwiązania Google czy Apple dla czegokolwiek ważnego.
OSINT o samym sobie — ćwiczenie, które zmienia perspektywę
Kiedy po raz pierwszy zrobisz rzetelny OSINT o samym sobie — swoje maile, swoje zdjęcia na Google Photos, swoją historię lokalizacji, wyciąg z Timeline, pliki na Google Drive sprzed pięciu lat — zobaczysz, że dane, które dawno już zapomniałeś, są skatalogowane lepiej, niż sam potrafiłbyś je opisać.
Ten moment — to jest pierwszy prawdziwy wgląd w to, co wiedzą o tobie systemy. I jeśli ty możesz to sobie wygenerować w 20 minut z publicznego interfejsu, wyobraź sobie, co ma do dyspozycji ktoś z dostępem przez FISA 702.
Praktyczna ścieżka: trzy poziomy higieny cyfrowej
Poziom podstawowy (dla każdego, kto cokolwiek zarabia): Signal zamiast Messengera, Proton Mail do spraw prywatnych obok Gmaila, Cryptomator na kluczowe dokumenty.
Poziom zawodowy (dla ludzi z odpowiedzialnością zawodową): Pełne przeniesienie stack'u biznesowego na europejskie usługi, wyjście z Google Workspace i Microsoft 365 dla procesów wrażliwych, szyfrowane kopie zapasowe na własnym NAS-ie.
Poziom ekspercki (dla osób z ekspozycją publiczną/biznesową): Self-hosted Nextcloud, własny serwer VPN, e-mail na własnej domenie z własnym MX, segmentacja urządzeń (urządzenie osobiste ≠ zawodowe), OSINT samego siebie co kwartał.
Nie ma wersji darmowej tej listy. Jest wersja za 0 zł z pełnym podglądem twoich danych przez 14 agencji, i jest wersja za 30–100 zł miesięcznie z realną prywatnością. Wybór należy do ciebie — dopóki jeszcze go masz.