БЕЗ ПРАВА НА ПРИВАТНІСТЬ?

На сайті Служби безпеки України (СБУ) www.sbu.gov.ua поміщено текст законопроекту «Про моніторинг телекомунікацій», у якому описано правові й організаційні основи моніторингу телекомунікацій під час проведення оперативно-розшукової, контррозвідувальної та розвідувальної діяльності з метою забезпечення безпеки громадян, суспільства й держави. Моніторинг телекомунікацій у законопроекті означає спостереження, відбір за певними ознаками, обробка та реєстрація сеансу зв’язку в мережах телекомунікацій із використанням системи моніторингу телекомунікацій. Він здійснюється виключно як засіб оперативно-розшукової, контррозвідувальної та розвідувальної діяльності. Технічні засоби системи моніторингу й засоби доступу до неї розміщують провайдери — оператори систем телекомунікацій, а засоби управління системою моніторингу розміщує спеціально уповноважений орган — СБУ, який і здійснює моніторинг.

Загалом до системи моніторингу ставляться досить високі вимоги, зокрема вона повинна забезпечити можливість гарантованого доступу в режимі реального часу до сеансу зв’язку користувача мережі, що є об’єктом моніторингу, ідентифікувати, скопіювати й оформити зміст сеансу його зв’язку й надати скопійованим повідомленням вигляду, в якому їх було надіслано. Система моніторингу повинна впроваджуватися практично на всіх мережах телекомунікацій загального користування, і після впровадження процес моніторингу є прерогативою СБУ й цілком відмежовується від провайдера. При цьому передбачається: провайдер придбає або забезпечить розробку системи моніторингу за власний кошт.

Відвідувачів сайта СБУ запрошують давати свої коментарі, пропозиції та доповнення до законопроекту. Правда, самих коментарів на сайті не розміщують, і це дуже дивно. Залишається припустити: або їх не надсилають, або СБУ не вважає за потрібне поділитися ними. В інших джерелах коментарів було чимало, і всі, за моїми спостереженнями, негативні. Пишуть переважно про два моменти: по-перше, не погоджуються з тим, що провайдери повинні витрачати власні кошти на придбання необхідного для моніторингу устаткування, а по-друге, вважають, що СБУ вільно, без будь-яких обмежень контролюватиме кореспонденцію всіх, кого захоче.

Навіщо потрібен моніторинг?

Це запитання здається риторичним. Нові інформаційні технології несуть не тільки небачені можливості для інтелектуального і технічного прогресу, а й несподівані засоби та способи скоєння злочинів. Злочинність стала набагато вигадливішою, взявши на озброєння інформаційні технології. Як показало недавнє дослідження, проведене компанією Gartner Group, фінансових махінацій в Інтернеті у 12 разів більше, ніж у «реальній» банківській системі США. За даними Європейської комісії, 2000 року з кредитних карток європейців украдено 553 млн. доларів, причому близько половини злочинців діяли через Інтернет.

Природно, спецслужби повинні мати адекватні можливості для запобігання й розслідування таких злочинів. Розростання організованої злочинності, тероризму, наркобізнесу потребує неординарних дій спецслужб із недопущення й розкриття злочинів, а для цього необхідні дедалі досконаліші методи та способи одержання інформації. Для цього й з’являються такі системи контролю комунікацій, як міжконтинентальний проект Echelon (США, Великобританія, Канада, Австралія і Нова Зеландія), проект Європейського Союзу Enfopol, російський СОРМ тощо. Проте в усіх без винятку країнах відсутність реального нагляду за діями спецслужб неминуче призводить до зловживань і до стеження за тими, хто здається владі небезпечним.

Сьогодні понад 90 країн практикують незаконний контроль над інформацією опозиції, правозахисників, журналістів, профспілкових діячів, просто нешаблонно мислячих людей. Тож проекти контролю комунікацій повсюди наштовхуються на опір. Приміром, сенат США недавно відмовився фінансувати проект, який передбачав створення електронної системи для збору різноманітних даних про американців: від їхніх електронних листів до результатів медичних обстежень і банківських трансакцій. У країнах колишнього СРСР, де стеження за інакодумцями в минулому було нормою життя й де контроль над діями спецслужб сьогодні вкрай слабкий або взагалі відсутній, побоювання стосовно недоторканності своєї кореспонденції цілком природні. Не став винятком і законопроект СБУ про моніторинг телекомунікацій. Проблема тут лежить у площині довіри або недовіри спецслужбам. Ну, не вірять українці, що СБУ діятиме законно. Тож або протестують проти ухвалення закону взагалі, або, визнаючи, що моніторинг потрібен для успішної боротьби зі злочинністю, вимагають встановити в законі надійні гарантії проти зловживань.

Хто ж може постраждати від реалізації цього закону? Ясна річ, усі, хто без достатніх підстав стане об’єктом моніторингу. Але першими постраждають провайдери.

Чому провайдери зобов’язані оплачувати встановлення системи моніторингу телекомунікацій? Природно вважати, що це питання повинен регламентувати закон, тим паче що йдеться про значні фінансові витрати (комплект устаткування й засобів зв’язку коштує, за різними оцінками, від 20 до 30 тисяч доларів США). Цей фінансовий тягар законопроект покладає саме на провайдерів. Українські спецслужби не самотні у своєму прагненні перекласти видатки держави на плечі бізнесу. В англійському законопроекті «Про слідчі органи» також передбачалася оплата провайдерами витрат на організацію моніторингу. Проте в результаті це все-таки робить уряд. Те ж саме було й у Німеччині.

А що ж наш законопроект? Відповідно до положень статей 7 і 8, провайдери купують систему моніторингу або забезпечують її розробку за узгодженням із СБУ, технічні засоби системи «є власністю провайдера й передаються на безоплатній основі СБУ в оборот для цільового використання (забезпечення і здійснення моніторингу телекомунікацій)». І все, більше нічого з цього приводу не сказано. На наш погляд, рішення про фінансування провайдерами впровадження системи моніторингу порушує право власності і свободу підприємництва, захищені статтями 41 і 42 Конституції України. Тож практика вичавлювання грошей у провайдерів для фінансування роботи СБУ бачиться незаконною, і її можна було б оскаржити в Конституційному суді. Здається також незаперечним, що порушується стаття 1 Першого протоколу Європейської конвенції про захист прав людини й основних свобод (право безперешкодно користуватися своїм майном).

Відповідно до ч.1 статті 7 законопроекту, система моніторингу має впроваджуватися практично на всіх мережах телекомунікацій загального користування і подвійного призначення (у частині виконання функцій мережі загального призначення). Ця вимога здається мені надмірною. Кому потрібні системи моніторингу в локальних мережах, у малих провайдерів, що за гігантоманія? Впровадження системи моніторингу в провайдера з кількома десятками клієнтів просто розорить його, і він піде з ринку. А таких більшість.

У цієї теми є ще один аспект: держава хоче вибрати провайдерів, які надаватимуть доступ в Інтернет усім, хто працює з інформацією, що є державною власністю, і саме цим провайдерам передусім доручити впровадження системи моніторингу (див. сумно відомий наказ Держкомзв’язку №122 від 17.06.02). Вже названо двох «любимчиків» — Global Ukraine й СП «Інфоком», і, хоча закон про моніторинг телекомунікацій ще не ухвалено, Global Ukraine із гордістю демонструє на своєму сайті сертифікат про введення в дію системи моніторингу.

Відповідно до ч.1 статті 5 законопроекту про моніторинг, він «здійснюється з метою пошуку та фіксування фактичних даних про протиправні діяння окремих осіб і груп, розвідувально-підривну діяльність спеціальних служб іноземних держав та організацій, а також отримання інформації, пов’язаної з безпекою громадян, суспільства й держави». Це дуже розмите визначення уточнюється застереженням, що моніторинг здійснюється виключно як засіб оперативно-пошукової, контррозвідувальної та розвідувальної діяльності на підставі відповідних законів. Моніторинг може бути здійснений тільки за рішенням суду у випадках тяжких або особливо тяжких злочинів, тоді СБУ забезпечує відповідному органу доступ до системи моніторингу. А таких органів чимало — це підрозділи МВС, СБУ, Державної прикордонної служби, Управління державної охорони, органів державної податкової служби, органів та установ Державного департаменту з питань виконання покарань; розвідувального органу Міністерства оборони.

Подання про дозвіл на моніторинг надсилається в суд керівником відповідного оперативного підрозділу чи його заступником. Про процедуру видачі судом санкції на зняття інформації з каналу зв’язку, санкції на продовження зняття інформації ні в законопроекті, ні в законі про ОРД не йдеться. Нічого не зазначається й про те, що містить ухвала суду. Процедура судового розгляду здійснюється на підставі листа Верховного суду України від 19 листопада 1996 р. № 16/6 «Про тимчасовий порядок розгляду матеріалів про дачу дозволу на проникнення в житло чи інше володіння особи, накладення арешту на її кореспонденцію та виїмку в поштово-телеграфних установах і зняття інформації з каналів зв’язку (телефонних розмов, телеграфної та іншої кореспонденції)». Характерно, що цього листа немає у поширених комп’ютерних правових системах, таких як «Ліга: Закон», «Рада» тощо.

Гарантії дотримання законності під час здійснення моніторингу, на мій погляд, недостатні. Незалежний нагляд за законністю відсутній. Ст.10 наказує знищувати інформаційні повідомлення, зняті помилково. Інших повідомлень про зберігання знятої інформації немає, а є лише вказівка, що порядок ведення, зберігання та використання протоколу моніторингу визначається Кабінетом міністрів України. У статті 12 зазначено, що не підлягає розголошенню інформація про приватне життя, честь і гідність особи, яка стала відомою в процесі здійснення моніторингу. У кожному випадку наявності підстав для проведення ОРД заводиться оперативно-пошукова справа. Без заведення цієї справи ОРЗ забороняються. При цьому виноситься ухвала, в якій зазначаються місце і час її винесення, посада й ім’я особи, котра її підписала, підстави й мета заведення оперативно-пошукової справи.

При порушеннях прав і свобод людини чи юридичних осіб у процесі ОРД, а також якщо причетність до правопорушення особи, стосовно якої проводилися ОРЗ, не підтвердилася, підрозділи, які проводили ОРЗ, повинні негайно відновити порушені права і відшкодувати моральну й матеріальну шкоду. Громадяни України та інші особи мають право у встановленому законом порядку одержати від органів, які проводили ОРЗ, письмові пояснення з приводу обмеження своїх прав і свобод та оскаржити ці дії. Відомості, отримані внаслідок ОРЗ, що стосуються особистого життя, честі й гідності особи, якщо вони не містять інформації про скоєння заборонених законом дій, зберіганню не підлягають і повинні бути знищені.

Очевидно, гарантії законності в законопроекті і законі про ОРД мають бути узгоджені. Але й останні, на мій погляд, слабо захищають від зловживань, особливо якщо їх порівнювати з гарантіями законності в німецькому чи угорському законах, які передбачають парламентський нагляд за законністю перехоплення повідомлень з допомогою спеціальних органів.

До цих органів може звернутися зі скаргою кожен, хто вважає, що його кореспонденція контролюється спецслужбами незаконно. Цікаво, що німецький комітет G-10 інформується міністром про всі дозволені ним обмежувальні заходи до того, як перехоплення розпочалися. Комітет має право скасувати наказ міністра, після чого перехоплення негайно припиняється, якщо через терміновість його почали до отримання дозволу. По закінченні перехоплення особа, чиї повідомлення перехоплювалися, сповіщається про це, «якщо це не ставить під загрозу мету розслідування». Вся непотрібна надалі документація має бути знищена.

На мій погляд, як законопроект про моніторинг телекомунікацій, так і більш загальний закон про оперативно-розшукову діяльність незадовільні з погляду гарантій права на приватність і суперечать міжнародним стандартам у цій сфері, оскільки містять у собі потенційні порушення статті 8 Європейської конвенції про захист прав людини та основних свобод.

Перехоплення повідомлень
у прецедентах Євросуду

Перша частина статті 8 Конвенції чітко встановлює, що «кожна людина має право на повагу її особистого та сімейного життя, її житла і таємниці її кореспонденції». Друга частина статті 8 формулює обмеження цього права: «Не допускається втручання державних органів у здійснення цього права, за винятком випадків, коли це передбачено законом і необхідне в демократичному суспільстві в інтересах державної безпеки, громадського порядку чи економічного добробуту країни, для підтримки порядку і запобігання злочинам, захисту здоров’я та моралі чи захисту прав і свобод інших осіб».

Виходячи з аналізу практики Європейського суду з прав людини по статті 8 у частині перехоплення повідомлень, було сформульовано низку принципів, яким повинен відповідати закон, що регулює контроль комунікацій.

Перехоплення повідомлень має здійснюватися на підставі закону доступного (тобто громадянин повинен мати можливість переконатися, що перехоплення відповідає законодавчим нормам, які використані в цьому конкретному випадку). Зокрема закон повинен містити список злочинів, за скоєння яких може бути призначене перехоплення повідомлень; санкціонувати перехоплення тільки на підставі мотивованої письмової заяви певної високої посадової особи; дозволяти перехоплення повідомлень тільки після отримання санкції органу чи посадової особи, котра не належить до виконавчої влади, бажано судді. Крім того, обов’язкові вимоги: встановлення обмеження тривалості перехоплення і перелік запобіжних заходів проти обміну цими матеріалами між різними державними органами, визначення обставин, за яких записи можна або потрібно знищити.

Перехоплення повідомлень має також здійснюватися в демократичному суспільстві, тобто «лише в такій мірі, яка необхідна для безпеки демократичних інститутів», і «за виключних умов, необхідних у демократичному суспільстві в інтересах національної безпеки і/або запобігання заворушенням чи злочинам».

Нарешті, будь-яка особа в країні, де діє закон про таємне перехоплення повідомлень, може вимагати визнати себе жертвою без жодного обов’язку наводити докази чи навіть на підставі голослівного твердження, що спостереження справді велося.

Українське законодавство

Позитивні моменти, які будуть схвалені судом: процедура має базу в національному законодавстві, передбачувана, санкція на зняття інформації з каналів зв’язку дається судом і тільки в тому разі, коли «в інший спосіб неможливо добути фактичні дані для забезпечення захисту суспільства і держави від злочинних зазіхань». Крім того, існує чітка вказівка про знищення отриманих у результаті ОРД відомостей, які стосуються особистого життя, честі та гідності людини.

Однак суд навряд чи вважатиме процедуру задовільною. Суд навряд чи визнає, що втручання держави у приватне життя «необхідне в демократичному суспільстві», оскільки перелік злочинів, при яких воно допускається — тяжкі й особливо тяжкі, — надто широкий. Як відзначив суд у справі Класса, право на таємне стеження за громадянами характерне для поліцейських держав, а в демократичних державах, відповідно до Конвенції, таке стеження може бути терпиме лише у разі крайньої необхідності для збереження демократичних інститутів.

Суд зможе визнати законодавство недостатньо доступним через те, що процедура отримання санкції на зняття інформації з каналів зв’язку регулюється малодоступними відомчими інструкціями. Ця процедура має бути чітко описана в законі про ОРД при проведенні ОРЗ у вигляді зняття інформації з каналів зв’язку для запобігання та припинення тяжких і особливо тяжких злочинів і в кримінально-процесуальному кодексі при проведенні слідства після порушення кримінальної справи, а законопроект про моніторинг повинен містити відповідні відсильні норми.

Крім того, українське законодавство явно не відповідає критерію «якості закону». Воно не містить достатньо ефективних гарантій проти зловживань. По-перше, нічого не вказано про тривалість процедури моніторингу, по-друге, майже нічого не сказано про передачу, використання та зберігання зібраних матеріалів, про упорядкування підсумкових доповідей, по-третє, незалежний нагляд за законністю явно недостатній, особливо якщо порівнювати його з німецькою чи угорською процедурою парламентського контролю.

Законопроект про моніторинг комунікацій передбачає надмірні повноваження СБУ, перекладає фінансовий тягар із впровадження системи моніторингу на провайдерів, не дає ясних і чітких правових підстав для проведення моніторингу і не містить надійних гарантій проти зловживань. У цілому законопроект загрожує порушенням прав людини й основних свобод, і насамперед права на приватність. Тому доцільно розробити цей законопроект наново з урахуванням норм законопроекту про захист персональних даних (при цьому необхідне й узгоджене внесення змін до закону про ОРД) і наступних рекомендацій.

Перелік злочинів, при яких дозволене зняття інформації з каналів зв’язку, має бути звужений, їх необхідно чітко перелічити в законі.

Необхідно доповнити закон описом процедури отримання та продовження санкції на перехоплення повідомлень судом, нормою про обмеження тривалості перехоплення. Бажано при цьому забезпечити передачу рішення суду з комп’ютера судді, уповноваженого давати санкцію на перехоплення, безпосередньо в систему моніторингу, а також отримання суддею результатів моніторингу за запитом безпосередньо із системи при розгляді питання про продовження санкції.

Слід доповнити закон правилами зберігання, використання та знищення зібраних матеріалів, зокрема правилами обміну зібраними матеріалами між різними органами та правилами складання підсумкового звіту.

Необхідно зробити процедуру зняття інформації з каналів зв’язку прозорішою, запровадивши норму про обов’язкове інформування особи, чиї повідомлення перехоплювалися, по закінченні перехоплення й ознайомленні особи з перехопленими матеріалами, котрі не містять даних, що становлять державну таємницю (схожі норми містяться в законах Німеччини, Австрії та інших країн). За таких умов положення закону про оскарження незаконних дій служб, які здійснюють ОРД, зможуть бути реалізовані.

Для інформування громадськості про масштаби таємного перехоплення повідомлень необхідно запровадити норму про публікацію річного звіту, що містить інформацію про кількість санкцій на перехоплення з зазначенням видів злочинів, за якими було прийнято рішення про перехоплення, кількості відмов у видачі санкції та іншої інформації. Така практика існує у США і в багатьох європейських країнах.

Необхідно запровадити інститут незалежного нагляду за законністю зняття інформації з каналів зв’язку. Ці функції міг би виконувати відділ секретаріату уповноваженого Верховної Ради України з прав людини, відповідальний за дотримання права на захист інформації про особу.

Питання фінансування розробки та впровадження системи моніторингу має вирішуватися на основі договору між СБУ і провайдером з урахуванням антимонопольного законодавства та практики Європейського суду за статтею 1 Першого протоколу Європейської конвенції про захист прав людини та основних свобод.

Вихідний код програмного забезпечення системи моніторингу й алгоритм моніторингу мають бути відкритими (зауважимо: вихідний код та інші подробиці аналогічної системи у США — Carnivore — були опубліковані під тиском громадськості восени 2000 р., приблизно через півроку після того, як стало відомо про її функціонування).