«Роскомнадзор» по-українськи. Як кіберполіція підставила уряд

Кіберполіція
Фото: 24 канал

Законопроект, який підготували правоохоронці і схвалили у Нацкомісії з регулювання зв’язку, списаний у росіян?

Скандальний законопроект щодо кіберзлочинності, який ще навіть не зареєстрований у Раді, вже наробив галасу. Нещодавно Нацкомісія з регулювання зв'язку та інформатизації схвалила законопроект, який частково дублює пункти скандального російського «пакету Ярової». Нині ця ініціатива гуляє Кабміном. Нагадаємо, російські закони зобов’язують інтернет-провайдерів та мобільних операторів зберігати дані про користувачів протягом півроку та надавати на вимогу правоохоронців.

Назва українського законопроекту – «Про внесення змін до деяких законодавчих актів України щодо імплементації положень Конвенції про кіберзлочинність». Проте, за словами експертів, документ жодним чином не пов’язаний з виконанням Конвенції . Громадські організації, експерти, оператори зв’язку та деякі чиновники вже б’ють на сполох. Документ порушує чималу кількість міжнародних стандартів щодо забезпечення права особи на приватність.

Так само, як і в російських законах, згідно з законопроектом правоохоронні органи зможуть через інтернет-провайдерів та операторів мобільного зв’язку збирати інформацію щодо громадян та зберігати її. Крім того документ значно спрощує процедуру блокування будь-якого веб-сайту та інтернет-ресурсу на невизначений термін.

Скандальну ініціативу розробили у кіберполіції, хоча відомо, що там працювали і над іншим, набагато ліберальнішим законопроектом щодо кібербезпеки. Чому ж у підсумку з надр відомства виринув зовсім інший документ, нині цікавить багатьох. За інформацією джерел «Главкома», на такому варіанті наполягли у МВС. «Час від часу Кабмін намагався просунути схожі проекти, але тоді їм не давали ходу. І це вже третя спроба, і вона просунулась далі попередніх», - говорить глава Інтернет асоціації України Олександр Федієнко.

За словами глави кіберполіції Сергія Демедюка, проект закону понад рік обговорювали у профільних асоціаціях. Мета законопроекту – встановити правила гри та базові норми, які характерні для європейських країн. Глава кіберполіції зазначає, що Нацполіція має намір допрацьовувати проект, враховуючи зауваження учасників ринку. Демедюк переконує, норми законопроекту, зокрема щодо блокування сайтів, вже працюють в європейських країнах і незабаром будуть внесені до Конвенції.

«Усі думають, що ми пишемо цей законопроект в своїх інтересах. Але це не так. Я вам чесно скажу: нас задовольняє вже існуюча ситуація. Але чомусь бізнес не влаштовувало, наприклад, коли правоохоронці приходили, робили обшуки і, згідно із законодавством, були змушені забирати всю техніку. Це тому, що так в законі було написано, а інших правил не було. Так і тут», - розповідає Сергій Демедюк.

За словами голови ради асоціації операторів зв'язку «Телас» Леоніда Ошерова, представники операторів спільно з Нацполіцією і Службою безпеки України дійсно працювали над цим законопроектом, однак їхні пропозиції не були враховані у фінальній версії документу.

Після схвалення Нацкомісії з регулювання зв'язку та інформатизації законопроект відправиться до уряду, а потім – до Ради.

Документ про кіберзлочинність йде фактично у парі з постановою Кабміну, яка має урегулювати технічну перевірку блокувань сайтів з санкційного списку (на кшталт, «ВКонтакте», «Одноклассники» та «Яндекс», що були заборонені в Україні минулого року) і яку також нещодавно погодила Нацкомісія. Простими словами – українські спецслужби матимуть право встановлювати технічні засоби стеження на потужностях українських інтернет-провайдерів. Це відкриє для них неймовірні можливості для збору інформації про всіх, хто користується інтернетом та мобільним зв’язком. Проект постанови розробили у Держспецзв’язку.

«Главком» дізнавався, чому гравці ринку переконують, що запропонована ініціатива може перетворити Україну в поліцейську державу, та чи дійсно всевидюще око може слідкувати за громадянами.

Цензура інтернету?

Варто сказати, що законопроект складається з декількох частин, які частково суперечать одна одній. Перша частина передбачає зміни до деяких законів, друга – до Кримінального кодексу України, третя – до закону «Про телекомунікації».

Найсуперечливіша норма законопроекту – можливість блокування веб-сайтів слідчим суддею без змагальної процедури. Сьогодні правоохоронні органи, щоб заблокувати сайт, мають отримати рішення суду за участю другої сторони, тобто, наприклад, власника сайту, який хочуть заблокувати. Згідно з законопроектом, слідчий суддя може ухвалити блокування сайту без участі у засіданні власника. Правоохоронці навіть не зобов’язані проінформувати про судове засідання власника ресурсу. Слідчий суддя зможе блокувати веб-ресурс на строк до 90 днів з можливістю подовжити його до трьох років, а власник сайту навіть не буде попереджений про такі дії.

За словами експерта Лабораторії цифрової безпеки Вадима Гудими, така норма законопроекту створює широке поле для зловживання владою та введення жорсткої цензури під егідою поліції. «За цим законом схема блокування веб-сайтів стає дуже простою. Слідчий може обґрунтувати «замороження» сайту не лише тим, що треба припинити кримінальне правопорушення (як наприклад у випадку дитячої порнографії), але навіть для того, щоб з’ясувати важливі обставини у кримінальному провадженні. Але навіщо для цього блокувати ресурс?!», - дивується спеціаліст.

У третій частині документу знову йде мова про блокування, але вже не на підставі рішення слідчого судді, а лише за приписом «суб’єктів національної системи кібербезпеки», а до цього переліку входять Національна поліція, СБУ, Міноборони, Держспецзв’язку, Служба зовнішньої розвідки України та навіть Нацбанк. І вже у цій частині закону будь-які згадки про строки блокування сайтів відсутні, а значить їх зможуть заблокувати безстроково. Тобто будь-хто з цих органів може надіслати до інтернет-провайдера «лист щастя» з вимогою заблокувати певний веб-ресурс, і провайдер повинен буде виконати цю вимогу. «Хоча провайдер і не несе відповідальності за контент, який поширюється через його мережі, але у випадку ігнорування таких листів він буде автоматично співвідповідальним за контент, про який йдеться у цьому листі», - резюмує юрист «Платформи прав людини» Олександр Бурмагін.

Варто сказати, у Нацкомісії, що здійснює державне регулювання у сфері зв'язку та інформатизації  хоч підтвердили законопроект, але вважають, що блокувати потрібно тільки заборонену інформацію, а не весь ресурс, на якому цю інформацію розміщено, як передбачається в законопроекті. Адже так може бути заблокована законна інформація або інший ресурс, який використовує один домен спільно з правопорушником, нарікає регулятор.

Тотальне стеження?

За законопроектом, оператори зв’язку будуть зобов’язані формувати «кінцевий список користувачів» (такого терміну в українському законодавстві не існує, це, за словами експертів, ще одна колізія – «Главком») зберігати його та надавати правоохоронцям, якщо вони того вимагатимуть. Швидше за все, мається на увазі перелік користувачів інтернету та мобільного зв’язку з інформацією про їхні персональні дані.

За словами експертів, під поняттям «кінцевий список користувачів» можуть розумітися не лише персональні дані користувачів (які, до речі, мають бути захищені публічною офертою, яку укладають користувач і провайдер), а й весь інтернет-трафік людини, тобто все, що вона шукала і робила у мережі. Ці дані оператор змушений буде зберігати від 90 днів з можливістю подовжити цей строк до трьох років. Чому саме такий термін, у законопроекті не пояснюється.

До того ж, згідно з проектом постанови Кабміну, оператори будуть змушені встановити у себе технічні засоби контролю, які вже дехто називає «скриньками СБУ». Що це за пристрої – невідомо, бо це там не прописано. Згідно з документом, пристрої будуть моніторити виконання рішень щодо блокування сайтів з санкційного списку («ВКонтакте», «Одноклассники»), а по факту можуть бути ще одним рівнем стеження за громадянами. «Немає ніяких технічних вимог до цих засобів контролю. У ті скриньки зможуть встановити все, що завгодно», - говорить Вадим Гудима. Таким чином, влада отримає величезний обсяг приватних даних громадян, які може використовувати у своїх цілях.

У  Нацкомісії, що здійснює державне регулювання у сфері зв'язку та інформатизації стверджують , що норму, яка зобов'язує провайдерів формувати список кінцевих користувачів, потрібно переглянути. Зараз український користувач не зобов'язаний проходити письмову реєстрацію в оператора.

Ризик корупції

Страждатимуть від закону не лише прості користувачі, але і власники сайтів та ті, хто заробляє у мережі. Закон створить величезне поле для корупції.

«Якщо я заробляю гроші на рекламі або роблю якийсь контент, то навіть сама загроза того, що хтось напише мені зі спецслужб припис і заблокує мою роботу на кілька днів, вже є приводом йти і домовлятись із цими людьми у незаконний спосіб», - пояснює Гудима.

Щоб зібрати та зберігати інформацію про користувачів, операторам і провайдерам доведеться впроваджувати обладнання DPI (Deep Packet Inspection), що коштує мільйони доларів.

Наприклад, голова Інтернет асоціації України Олександр Федієнко припускає, що для ефективного впровадження обмежень конкретних ресурсів потрібні саме системи DPI на мережах операторів, що купують російський трафік. Ці рішення можуть аналізувати трафік (в тому числі і з VPN і проксі-серверів) і вибірково блокувати його, тобто блокувати лише ті сайти, які знаходяться у санкційних списках.

Поки що незрозуміло на чиї плечі може лягти фінансове навантаження – на державу чи на самих провайдерів. У законопроекті цього не прописано, так само, як і чіткого механізму блокування сайтів. В Україні офіційно зареєстровані 6 тисяч провайдерів, придбати дорогу технологію DPI зможуть лише одиниці.

У Росії, наприклад, спершу говорили про те, що провайдери змушені будуть  закуповувати дорогу технологію , а з державного бюджету кошти на реалізацію «пакета Ярової» виділятися не будуть. Пізніше з’явились заяви російської держкорпорації «Ростех», в яких йшла мова, що практично виконувати закон будуть вони. За деякими підрахунками, держкорпорації це може коштувати близько $156 мільярдів. Тож, якщо, керуватись подібними схемами впровадження законопроекту в Україні, лазівка для корупції залишається.

Порушення  європейських стандартів

Громадські організації говорять про те, що законопроект суперечить рекомендаціям Комітету міністрів Ради Європи щодо прав інтернет-користувачів, які базуються на Європейській конвенції про захист прав людини.

Встановлення засобів загального спостереження та/або перехоплення інформації в мережі інтернет прямо суперечить Рекомендаціям CM/Rec(2014)6 Комітету міністрів Ради Європи.  «На вас не повинні поширюватися заходи загального спостереження чи перехоплення інформації» (п. 4), «сам факт існування законодавства, яке дозволяє здійснювати спостереження за телекомунікаціями, може вважатися втручанням у право на приватне життя» (п. 82), - йдеться у рекомендаціях комітету міністрів Ради Європи.

Йдеться про те, що держава не може встановлювати механізми та загальний контроль над громадянами, а на порушення у кіберпросторі має регувати точково – закривати лише певний сайт або слідкувати лише за певною людиною, яка підозрюється у вчиненні злочину.

Звідки взявся скандальний законопроект?

Хоча деякі гравці ринку та есперти говорять, що законопроект кіберполіції та Кабміну про кіберзлочинність виринув ніби нізвідки, він має доволі цікаву передісторію.

У липні 2017 року у Верховній Раді було зареєстровано дві законодавчі ініціативи, схожі між собою, немов близнюки. Мова йде про законопроекти 6688 та 6676 – обидва мали однакові назви та за змістом частково дублювати один одного, проте реєструвались у Раді як окремі документи. Автори законопроектів Андрій Тетерук та Іван Вінник з «БПП», Дмитро Тимчук та Тетяна Чорновол з «Народного фронту». Вінник, до речі, долучився до розробки обох ініціатив.

Законотворці, розробляючи документи, мотивували свої ініціативи «удосконаленням системи боротьби з тероризмом у кіберпросторі». До того ж у документах пропонувались механізми реалізації указу президента та РНБО про санкції щодо російських сайтів, в тому числі, можливе блокування веб-ресурсів. Наприклад, законопроект 6688 мав на меті узаконити можливість тимчасового блокування доступу до інформаційних ресурсів і сервісів в інтернеті за рішенням не лише суду, а й прокурора, слідчого та Ради національної безпеки і оборони України. Тобто рішення суді у справі блокування будь-якого веб-ресурсу в Україні, згідно з законом, мало би бути зовсім необов’язковим.  Обидва документи передбачали нові обов’язки операторів і провайдерів та нові штрафи для них, а також нові повноваження державних органів – зокрема, ведення єдиного реєстру заблокованих ресурсів.

Після публічної дискусії та шквалу критики на адресу ініціатив, проект 6676 був відкликаний з Ради, а от, найнебезпечніший для свободи слова, на думку нардепа та першого заступника парламентського комітету зі свободи слова Ольги Червакової, №6688, досі залишається у Раді, хоча і був знятий з порядку денного.

«Ці законопроекти передбачали позасудове блокування сайтів. До речі, така норма не була передбачена навіть «диктаторськими законами» 16 січня. У них було введене поняття «інформаційний екстремізм», але механізмом блокування залишалось судове рішення». Депутати Ради 8-го скликання перевершили своїх колег у потугах і подали два законопроекти, які передбачали позасудове блокування сайтів. Ці два законопроекти йшли через парламентський комітет з питань нацбезпеки та оборони, як через головний. Коли такі ініціативи потрапляли до нашого комітету, то в кращому разі ми рекомендували не включати їх до порядку денного, в гіршому – висміювали їх у соцмережах», - розповіла під час конференції «Виклики регулювання інтернету в Україні»  Ольга Червакова.

На думку народного депутата, подібні «законодавчі потуги» зявляються в українських парламентарів через відсутність саморегуляції українських медіа та загалом неврегульованість кіберпростору в Україні.

Ольга Червакова не прокоментувала новий законопроект кіберполіції, але, на її думку, він дуже схожий на №6676, який був відкликаний.

Народний депутат та голова комітету з питань інформатизації та зв’язку Олександр Данченко, який нещодавно повернувся з кіберсаміту у Будапешті, переконаний, що бити  у дзвони дещо зарано, адже, швидше за все, новий скандальний документ про кіберзлочинність врешті-решт можуть навіть не зареєструвати у Верховній Раді. «Він може бути поданий в інакшому вигляді, або взагалі не поданий, або буде представлений альтернативний законопроект, який я зараз готую», – депутат не виключає такі сценарії розвитку подій щодо скандального законопроекту.

За словами парламентаря, ймовірність того, що документ потрапить у Раду у нинішньому вигляді без радикальних правок Національної комісії, що здійснює державне регулювання у сфері зв’язку та інформатизації, доволі мала. «Звичайно, у нинішній версії проекту є неприйнятні норми. Блокування сайтів повинне відбуватися за рішенням суду, зі змагальною процедурою. Така норма у залі точно не пройде, - коментує нинішню редакцію проекту Данченко. – Тут потрібно просто підійти до кінцевої редакції, необхідно дискутувати, тому що це питання не повинно порушувати захист персональних даних», - резюмує нардеп.

Юлія Тунік, «Главком»