Лист № 32/1-8 від 01.03.2018 щодо проекту Закону України «Про внесення змін до деяких законодавчих актів України щодо імплементації положень Конвенції про кіберзлочинність»

Вихідні реквізити
Вих. № 32/1-8 від 01.03.2018
Відправник
ІнАУ, Інтернет Асоціація України
Отримувач
Прем'єр-міністр України
Національна поліція України
РНБОУ, Рада національної безпеки і оборони України
Міністерство юстиції України
Генеральна прокуратура України
СБУ, Служба безпеки України
Міністерство економічного розвитку і торгівлі України
ДССЗЗІ, Державна служба спеціального зв’язку та захисту інформації України

Прем’єр-Міністру України

ГРОЙСМАНУ В.Б.

вул. Грушевського, 12/2, м. Київ, 01008

 

Голові Національної поліції України

Князєву С.М.

вул. Академіка Богомольця, 10, м. Київ, 01601

 

Рада національної безпеки і оборони України

вул. Петра Болбочана, 8, м. Київ, 01601

 

Міністру юстиції України

Петренку П.Д.

вул. Городецького, 13, м. Київ, 01001

 

Генеральному прокурору України

Луценку Ю.В.

вул. Різницька, 13/15, м. Київ, 01011

 

Голові Служби безпеки України

Грицаку В.С.

вул. Володимирська, 33, м. Київ, 01034

 

Першому Віце-прем’єр-міністру України –

Міністру економічного розвитку і торгівлі

Кубіву С.І.

вул. М. Грушевського, 12/2, м. Київ, 01008

 

Голові Державної служби спеціального

зв’язку та захисту інформації

Євдоченку Л.О.

вул. Солом’янська, 13, м. Київ, 03110

 

Копія: Національна комісія, що здійснює

державне регулювання у сфері

зв’язку та інформатизації

вул. Хрещатик, 22, м. Київ, 01001

Вих. № 32/1-8

від 01 березня 2018 р.

 

Щодо проекту Закону України «Про внесення

змін до деяких законодавчих актів України

щодо імплементації положень Конвенції

про кіберзлочинність»

 

Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 190 підприємств сфери інформаційно-комунікаційних технологій України, серед яких, в переважній більшості, оператори та провайдери телекомунікацій України, висловлює Вам свою повагу та звертається з приводу наступного.

27 лютого 2018 року на своєму засіданні Національною комісією, що здійснює державне регулювання у сфері зв’язку та інформатизації погоджено із зауваженнями проект Закону України «Про внесення змін до деяких законодавчих актів України щодо імплементації положень Конвенції про кіберзлочинність» (далі – проект Закону), надісланий Національною поліцією України.

Як зазначено, проект Закону розроблено на виконання рішення РНБО України від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», уведеного в дію Указом Президента України від 13.02.2017 № 32/2017. Зокрема, підпунктом «в» підпункту 3 пункту 2 Рішення РНБО Кабінету Міністрів України доручено винести на розгляд Верховної Ради України законопроекти щодо імплементації положень Конвенції про кіберзлочинність, ратифікованої Законом України від 07.09.2005 № 2824-IV (далі – Конвенція). Метою проекту Закону є імплементація окремих норм Конвенції про кіберзлочинність у вітчизняне законодавство з метою вдосконалення протидії кримінальним правопорушенням, які вчиняються з використанням комп’ютерних систем, шляхом визначення повноважень, необхідних для досягнення цієї мети, дотримання балансу між правоохоронними інтересами та повагою до основних прав людини.

За умовами Конвенції, держава взяла на себе зобов’язання вживати законодавчі та інші заходи, які можуть бути необхідними для визначення повноважень і процедур, з метою конкретних кримінальних розслідувань або переслідувань, що здійснюються з використанням комп’ютерних систем, та направлених на:

- термінове збереження визначених комп’ютерних даних, включаючи дані про рух інформації, які зберігалися за допомогою комп’ютерної системи;

- термінове збереження і часткове розкриття даних про рух інформації;

- порядок представлення комп’ютерних даних, якими особа володіє або контролює, і які зберігаються у комп’ютерній системі або на комп’ютерному носії інформації;

- надання повноважень компетентним органам для обшуку або подібного доступу до комп’ютерної системи або її частини і комп’ютерних даних, які зберігаються в ній та комп’ютерного носія інформації, на якому можуть зберігатися комп’ютерні дані; арештовувати або вчиняти подібні дії щодо комп’ютерних даних, до яких був здійснений доступ;

- збирання комп’ютерних даних про рух інформації у реальному масштабі часу;

- перехоплення даних змісту інформації.

Проте, проектом Закону пропонується доповнити КПК України та Закон України «Про телекомунікації» положеннями, які не встановлені Конвенцією, натомість, вищезазначені процедури взаємодії між правоохоронними органами та операторами, провайдерами телекомунікацій, так і залишаться не врегульованими. Зокрема, проектом Закону запропоновано:

- доповнити статтю 84 КПК України поняттям «інформація у цифровій (електронній) формі;

- доповнити статтю 131 КПК України додатковим видом заходів забезпечення кримінального провадження, як «тимчасове обмеження (блокування) доступу до визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу) з інформацією, розповсюдження якої містить ознаки діяння, передбаченого Кримінальним кодексом України». Порядок та процедуру цієї процесуальної дії пропонується визначити шляхом доповнення Глави 16 КПК України;

- доповнити статтю 39 Закону України «Про телекомунікації» підпунктами 18³ - 185 та встановити додаткові обов’язки для операторів, провайдерів телекомунікацій, зокрема, у вигляді: 1) надання допомоги суб’єктам національної системи кібербезпеки у визначених ними межах та способах, використовуючи наявні технічні та організаційні можливості, в обмеженні доступу своїх абонентів до визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу), адреси в мережі Інтернет, веб-сайту, веб-сторінки, через які розповсюджується або з використанням яких вчиняються певні дії (за визначеним у проекті Закону переліком); 2) формувати список кінцевих користувачів, яким надаються телекомунікаційні послуги, та обов’язкове їх надання на вимогу суб’єктів національної системи кібербезпеки (*взагалі юридично не визначений та не зрозумілий механізм виконання);

- доповнити статтями 39ˡ - 395 Закон України «Про телекомунікації», якими пропонується визначити порядок та процедуру дій оператора, провайдера телекомунікацій при обмеженні доступу до визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу).

Тобто, перелік процедурних дій та заходів, який розробником запропоновано у проекті Закону, суттєво збільшено кількісно та не відповідає переліку процедурних заходів, виконання яких взяла на себе держава за положеннями Конвенції з метою забезпечення конкретних розслідувань кримінальних правопорушень з використанням комп’ютерних систем та у протидії кіберзлочинності.

Конвенція не містить зобов’язань щодо тимчасового обмеження (блокування) провайдерами, операторами телекомунікацій передачі інформації з/на визначений (ідентифікований) інформаційний ресурс (інформаційний сервіс).

Таким чином, проект Закону не відповідає його меті та завданням, а також положенням Конвенції, оскільки, переважно, направлений лише на врегулювання відносин, пов’язаних із забезпеченням національної безпеки. З огляду на мету проекту Закону, положення про тимчасове обмеження (блокування) доступу до визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу) та запропоновані окремі обов’язки операторів, провайдерів телекомунікацій, не можуть бути предметом даного проекту Закону.

Крім того, зазначаємо, що окремі основні положення проекту Закону, які, як на наш погляд, прямо суперечать чинному законодавству, у разі їх застосування, можуть призвести до порушення прав та законних інтересів операторів, провайдерів телекомунікацій та конституційних прав і свобод громадян.

Додатково, звертаємо увагу і на наступне.

Відповідно до положень проекту Закону тимчасовому обмеженню (блокуванню) підлягає інформаційний ресурс (інформаційний сервіс), а не заборонена інформація. Зазначене може призвести до блокування законної інформації або іншого інформаційного ресурсу, на якому розміщена не заборонена інформація і який використовує зазначену ІР адресу (домен) спільно з можливим правопорушником.

Статтею 10 Конвенції про захист прав людини і основоположних свобод, ратифікованої Законом України № 475/97-ВР від 17.07.1997, встановлено, що кожен має право на свободу вираження поглядів. Це право включає свободу дотримуватися своїх поглядів, одержувати і передавати інформацію та ідеї без втручання органів державної влади і незалежно від кордонів.

Як зазначено в тексті, Конвенція спрямована на забезпечення належного балансу між правоохоронними інтересами і повагою до основних прав людини, як це передбачено Конвенцією Ради Європи про захист прав людини і основних свобод 1950 р., Міжнародною Хартією ООН про громадянські і політичні права 1966 р. та іншими відповідними міжнародними угодами з прав людини, які підтверджують право кожного безперешкодно дотримуватись поглядів, а також право на свободу слова, включаючи право на пошук, отримання і передачу будь-якої інформації та ідей, незважаючи на кордони, а також права на повагу до приватного життя; право на захист особистої інформації, як це передбачено Конвенцією Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних 1981 р.

У розділі 2 Конвенції наведено вичерпний перелік правопорушень, задля запобігання яких та, у разі виявлення, держава зобов’язалась вжити ефективних заходів.

Проте, перелік правопорушень, викладений у проекті Закону з пропозицією доповнення частини першої статті 39 Закону України «Про телекомунікації» підпунктом 18-3, суттєво відрізняється від переліку правопорушень, визначених у розділі 2 Конвенції.

З окремих положень, якими пропонується доповнити Закон України «Про телекомунікації», вбачається і намагання розробника проекту Закону ввести для операторів, провайдерів телекомунікацій обов’язки, що можуть межувати із Законом України «Про основні засади забезпечення кібербезпеки України».

Зазначене вказує на невідповідність тексту проекту Закону меті його розроблення та Конвенції.

ІнАУ підтримує виключно положення, що обмеження доступу до визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу) має здійснюватися на підставі ухвали слідчого судді, суду.

Проте, запропонована редакція статей 39ˡ - 395 та доповнення до статті 40 Закону України «Про телекомунікації» несуть ризики продовження практики порушення прав та законних інтересів операторів, провайдерів телекомунікацій при вчиненні процесуальних дій правоохоронними органами.

Конвенцією (стаття 16 – термінове збереження комп’ютерних даних) не передбачено такої дії оператора, провайдера телекомунікацій, як «невідкладне фіксування та подальше зберігання комп’ютерних даних» (див. у проекті Закону ст. 39³ Закону України «Про телекомунікації»).

Отже, запропоновані зміни до Закону України «Про телекомунікації» не відповідають змісту ст. 16 Конвенції.

Також, має місце нечітке формулювання та такі, що не відповідають законодавству України, окремі зобов’язання, які має виконати Кабінет Міністрів України відповідно до п.п.4 частини другої розділу ІІ Прикінцеві та перехідні положення проекту Закону.

Також, вчергове звертаємо увагу, що, починаючи з 2014 року, Рада Європи здійснювала заходи щодо підтримки процесу імплементації Конвенції про кіберзлочинність у законодавче поле держав-членів Ради Європи. В рамках проекту «Кіберзлочинність@Східне партнерство», який здійснюється і фінансується Радою Європи і Європейським Союзом, групою фахівців – експертів Ради Європи, представників відповідних державних інституцій України, вітчизняних науковців, а також представників ринку телекомунікацій завершується велика фахова робота з підготовки проекту змін до КПК України щодо імплементації у вітчизняне кримінальне законодавство норм Конвенції про кіберзлочинність. У цьому контексті викликає сумніви доцільність паралельної розробки законодавчих пропозицій щодо імплементації норм Конвенції про кіберзлочинність Національною поліцією України, фахівці якої також залучені до роботи у рамках проекту «Кіберзлочинність@Східне партнерство».

Для виконання завдання щодо імплементації Конвенції про кіберзлочинність у вітчизняне законодавство пропонуємо використати законодавчі пропозиції, розроблені групою експертів Ради Європи та вітчизняних фахівців в рамках проекту «Кіберзлочинність@Східне партнерство».

Враховуючи наведене, просимо проект Закону не погоджувати та не подавати на розгляд до Верховної Ради України у редакції, запропонованій Національною поліцією України, оскільки, проект Закону потребує суттєвого доопрацювання з обов’язковим залученням представників органів управління та державного регулювання у сфері телекомунікацій, а також профільних асоціацій, об’єднань та учасників ринку телекомунікацій з метою опрацювання ґрунтовних положень закону, направлених, зокрема, на наступне:

1) положення проекту Закону привести у повну відповідність до Конвенції про кіберзлочинність;

2) передбачити механізм інформування провайдерів телекомунікацій, споживачів, стосовно видів забороненої інформації та заходів щодо запобігання її поширення;

3) забезпечити гарантовані Конституцією України та міжнародним законодавством права на свободу думки і слова, вільне вираження своїх поглядів і переконань, отримання, зберігання та передачу будь-якої не забороненої інформації, захист особистої інформації, таємницю листування, повагу до приватного життя.

 

З повагою

Голова Правління Інтернет Асоціації України                                            О. Федієнко