26 жовтня 2020 року члени профільного Комітету з питань національної безпеки, оборони та розвідки до Верховної Ради України подали нову редакцію проєкту Закону України “Про Службу безпеки України” разом з іншими змінами до законодавства, спрямованими на реформування спецслужби. Цей законопроєкт, що зареєстрований за № 3196-д, містить низку суттєвих загроз для цифрових прав в Україні. Юристи Лабораторії Цифрової Безпеки проаналізували його.
- Обмеження доступу до інформаційних ресурсів
- Стеження за електронними комунікаціями
- Доступ до персональних даних
- Інші порушення
- Висновки
І хоча стаття 7 оновленого Проєкту Закону “Про Службу безпеки України” декларує, що обмеження прав і свобод людини допускається виключно на підставах та в порядку, визначених Конституцією і законами України, за нагальної необхідності і в обсязі, необхідному для виконання завдань Служби безпеки України та співрозмірному рівню небезпеки загрози, а здійснення заходів, що обмежують права та свободи людини, має бути негайно припинене, якщо мета застосування таких заходів досягнута або немає необхідності подальшого їх застосування, ефективних механізмів контролю над законністю дій СБУ щодо цифрових прав у законопроєкті бракує.
Обмеження доступу до інформаційних ресурсів
Зміни до Закону України “Про контррозвідувальну діяльність”, що вносяться законопроєктом, включають повноваження СБУ “здійснювати обмеження доступу до визначених (ідентифікованих) інформаційних ресурсів (сервісів) з метою недопущення терористичного акту або вчинення розвідувально-підривної діяльності на шкоду Україні, протидії проведенню проти України спеціальних інформаційних операцій, спрямованих на підрив конституційного ладу, порушення суверенітету і територіальної цілісності України, загострення суспільно-політичної та соціально-економічної ситуації, тих які використовуються для організації, підготовки, вчинення, фінансування, сприяння або приховування акту несанкціонованого втручання в діяльність об’єктів критичної інформаційної інфраструктури, з використанням технічних засобів, що встановлюються операторами, провайдерами телекомунікацій та іншими суб’єктами господарювання”.
Обмеження доступу до ресурсів (однак лише “з метою недопущення терористичного акту або вчинення розвідувально-підривної діяльності на шкоду Україні”) відбуватиметься у судовому порядку на підставі матеріалів кримінального провадження, оперативно-розшукової або контррозвідувальної справи.
У невідкладних випадках дозвіл на таке блокування може надати уповноважений заступник голови апеляційного суду, в межах територіальної юрисдикції якого перебуває Центральне управління або відповідний регіональний орган Служби безпеки України, але строком не більше ніж на 7 днів, протягом яких матеріали мають бути подані до суду. Розгляд клопотань про надання дозволу на проведення контррозвідувальних заходів здійснюється в закритому судовому засіданні без застосування технічних засобів фіксації, протягом 6 годин з моменту отримання такого клопотання, а рішення за результатами такого розгляду не вноситься до Єдиного державного реєстру судових рішень.
У чому тут проблеми?
По-перше, категорія випадків, у яких СБУ надаються повноваження з обмеження доступу до сайтів, є надмірною та може тлумачитися надзвичайно широко. Зокрема, обмеження доступу до ресурсів з метою недопущення загострення суспільно-політичної та соціально-економічної ситуації може бути застосоване до ситуацій, коли на тому чи іншому інформаційному ресурсі закликатимуть вийти на протест або ж опублікують розслідування про статки можновладців. На потребі в чіткості категорій протиправного контенту, внаслідок якого можуть бути застосовані заходи з обмеження доступу до сайтів наголошував ЄСПЛ у нещодавній серії справ проти Росії, зокрема у справі Engels v Russia.
По-друге, варто пам’ятати, що Комітет ООН з прав людини, Спеціальні доповідачі міжнародних організацій з захисту свободи вираження поглядів та Європейський суд з прав людини неодноразово наголошували на тому, що блокування доступу до всього ресурсу є надзвичайним заходом, який може застосовуватися у виняткових випадках. Проєкт запропонованих положень не враховує цього та не вводить стадійну процедуру обмеження, яка б спочатку орієнтувалася на обмеження доступу безпосередньо до протиправного контенту.
По-третє, із зареєстрованого тексту випливає, що судова процедура обмеження доступу до ресурсів застосовуватиметься лише до двох з перелічених підстав. Це створює правовий вакуум та невизначеність щодо процедури застосування цього заходу. Наприклад, якщо СБУ вважає, що обмеження доступу необхідне зі згаданою вище метою недопущення загострення суспільно-політичної та соціально-економічної ситуації.
Це також створює ризик застосування позасудової процедури обмежень доступу до ресурсів, що суперечить найкращим практикам у цій сфері та може призвести до ситуації, коли запобіжників для власників ресурсів не буде, а можливість апеляції рішення відсутня. Аналогічні зауваження стосуються і можливості обмежувати доступ до ресурсів на 7 днів за рішенням одного судді апеляційного суду, що є надмірним строком для тимчасовості блокувань без повноцінного рішення суду або іншого незалежного органу.
Насамкінець, усвідомлюючи потребу в збереженні таємниці контррозвідувальних заходів, можна припустити, що розгляд відповідних клопотань у режимі закритого судового засідання є виправданим. Втім, Європейський суд з прав людини також наголошував, що власникам ресурсів, доступ до яких обмежується, слід надати можливість висловити власні аргументи стосовно підстав блокування, залучаючи їх до процесу.
У справі Vladimir Kharitonov v Russia було встановлено порушення статті 10 Конвенції зокрема через те, що заявник не мав змоги віднайти інформації про підставу блокування його сайту та потенційної можливості оскаржити його.
Стеження за електронними комунікаціями
Проєкт Закону №3196-д пропонує наділити СБУ загальними повноваженнями впроваджувати устаткування, необхідне для здійснення заходів зі зняття інформації з транспортних телекомунікаційних мереж та здійснювати технічне регулювання засобів негласного отримання інформації та контроль за їх обігом. Детальніше ці повноваження розкриваються пропонованими змінами до Закону України «Про контррозвідувальну діяльність».
Так, під час контррозвідувальної діяльності СБУ може отримувати від операторів та провайдерів телекомунікацій технологічну та іншу інформацію про функціонування мереж, зокрема з обмеженим доступом, на умовах, визначених володільцем цієї інформації та уповноваженим підрозділом Служби безпеки України.
Окремо законопроєкт встановлює, що зняття інформації з телекомунікаційних мереж, а також пошук, доступ, відбір і фіксація даних, що містяться в електронних інформаційних мережах (системах) або її частинах, доступ до яких обмежується її власником, володільцем, утримувачем або пов’язаний з подоланням системи логічного захисту, можуть здійснюватися виключно за рішенням суду, крім невідкладних випадків, коли зволікання може спричинити знищення необхідних в інтересах контррозвідувальної діяльності фактичних даних або зумовити неможливість їх отримання. У цьому разі, керівництво СБУ можуть самостійно прийняти рішення, яке, однак, протягом 24 годин має бути передане на затвердження до суду. У разі відмови суду – отримана інформація має бути знищена.
Водночас, розширення повноважень СБУ щодо стеження не супроводжується належними запобіжниками від зловживань та порушень прав людини, встановлених, зокрема, Конвенцією про захист прав людини та основоположних свобод та практикою ЄСПЛ.
По-перше, на відміну від регулювання процедур зняття інформації в порядку кримінального провадження, застосування заходів стеження в процесі контррозвідки не передбачає встановлення чітких підстав, категорій та прав суб’єктів щодо яких застосовуються такі заходи. Так, законопроєкт суттєво розширює сферу контррозвідувальної діяльності, а однією з цілей стає протидія підривній діяльності, яка тлумачиться досить широко як «вплив на суспільні відносини, що становить чи може становити загрозу державній безпеці та/або підвищує ризики державної безпеки». Відсутність чіткого порядку реалізації повноважень стеження при здійсненні контррозвідки також не враховує посилені гарантії таємниці комунікацій для окремих категорій осіб, таких як адвокати, журналісти, лікарі тощо.
По-друге, хоча у порівнянні з попередньою версією законопроєкту, нові положення не передбачають надання безпосереднього доступу органам СБУ до електронних комунікаційних мереж, вказуючи на потребу сприяння провайдерів в організації та проведенні контррозвідувального заходу, закон «Про телекомунікації» пропонується доповнити вимогою про те, що «технічні засоби для зняття інформації з каналів зв’язку та інші технічні засоби негласного отримання інформації, що встановлюються для здійснення відповідними органами оперативно-розшукових та контррозвідувальних заходів, повинні відповідати стандартам і технічним регламентам, які розробляє уповноважений на це законом державний орган». Тобто, СБУ.
Таким чином, технічні умови здійснення доступу до електронних комунікацій у будь-якому разі визначатимуться виключно СБУ і можливість автоматичного віддаленого доступу до перехоплення комунікацій законопроєкт не виключає. Про небезпеки і неможливість ефективного контролю над законністю застосування подібних засобів, зокрема, наголошував ЄСПЛ у справі Roman Zakharov v Russia.
По-третє, ухвала про надання дозволу на проведення контррозвідувального заходу або про відмову в наданні такого дозволу до Єдиного державного реєстру судових рішень не вноситься, а відповідні матеріали мають зберігатися з дотриманням вимог законодавства про охорону державної таємниці. Хоча така вимога може бути виправданою на час проведення контррозвідувальних заходів, після їх завершення, статус документів має бути переглянутий, а доступ до інформації відкритий відповідно до норм Закону України «Про доступ до публічної інформації».
Доступ до персональних даних
Законопроєкт №3196-д наділяє СБУ необмеженим доступом до будь-яких персональних даних громадян, зокрема тих, що зберігаються не лише в державних реєстрах, але і у приватних базах даних та збираються за допомогою систем відеоспостереження. При цьому, СБУ може створювати на їх основі власні бази та банки даних, інформаційні масиви, інформаційні та інформаційно-телекомунікаційні системи, вести спеціальний оперативний облік. Жодних вимог чи деталей щодо порядку внесення та зберігання персональної інформації у таких базах даних СБУ законопроєкт не містить.
Натомість, зміни до законодавства пропонують наділити СБУ прямим доступом до автоматизованих інформаційних, довідкових систем, обліків (зокрема до бази даних МВС та інших правоохоронних органів), реєстрів, банків і баз даних, держателем (адміністратором) яких є органи державної влади, органи місцевого самоврядування, державні та підприємства, установи, організації, або одержання копій інформаційних фондів зазначених систем з їх оновленням у режимі реального часу для завантаження у відомчі інформаційно-телекомунікаційні системи.
Крім цього, «з метою встановлення ідентичності осіб або отримання іншої необхідної для виконання покладених на неї завдань інформації Служба безпеки України має право на підставі запиту одержувати на безоплатній основі безпосередній доступ до матеріальних носіїв інформації, що належать фізичним особам та/або підприємствам, установам, організаціям недержавної форми власності – за їх згодою або з дозволу суду».
Варто зауважити, що такий запит може бути адресований як безпосередньому володільцю (держателю) відповідних систем чи ресурсів, так і особі, яка має право користування чи доступу до нього.
Таким чином, СБУ отримає безперешкодний доступ до величезних масивів персональних даних осіб, безвідносно до того, чи є підстави здійснювати щодо таких осіб контррозвідувальні, оперативно-розшукові чи інші заходи, які належать до компетенції СБУ.
При цьому, законопроєкт обмежує право особи отримувати інформацію про передання її персональних даних за запитами органів, що здійснюють оперативно-розшукову або контррозвідувальну діяльність та боротьбу з тероризмом. Хоча зміни до Закону «Про доступ до публічної інформації» передбачають, що таке обмеження має діяти до прийняття рішення за результатами зазначеної діяльності або заходів.
Порядок доступу СБУ до державних баз персональних даних пропонується визначити указами Президента України та постановами Кабміну Міністрів України. Такий підхід суперечить вимогам закону «Про захист персональних даних», який передбачає, що зазначений порядок має регулюватися законом та відповідати принципам законності, пропорційності, мінімізації, підзвітності обробки даних і т.д. Отримання доступу до персональних даних особи, що зберігаються приватними суб’єктами за їх згодою, також суперечитиме принципам обробки персональних даних, зокрема, меті та підставі, з якою вони збирались. Умови та порядок передачі такої інформації мають бути чітко врегульовані законом.
Інші порушення
Необхідно окремо звернути увагу і на низку інших норм, що створюють значні ризики для прав людини у цьому законопроєкті. Зокрема, він пропонує внести до Закону України “Про телебачення і радіомовлення” таку категорію забороненого контенту як «пропаганда тероризму, сепаратизму, диверсійної чи розвідувально-підривної діяльності або інших дій, спрямованих на порушення недоторканності державного кордону України, проти основ національної безпеки, миру, безпеки людства та міжнародного правопорядку».
Подання СБУ щодо того, що ліцензіат здійснює відповідну діяльність, є підставою для анулювання ліцензії на мовлення за рішенням Національної ради України з питань телебачення і радіомовлення. Хоча таке подання може бути оскаржене у судовому порядку, надання СБУ повноважень з розробки таких подань є невластивим відповідному органу та може призвести до анулювання ліцензії мовника без оцінки шкідливого впливу поширеного ним контенту. Так само це може призвести до фактичного припинення діяльності мовника та непропорційного обмеження свободи вираження поглядів.
Подібні повноваження СБУ отримує і в межах виборчого законодавства: подання СБУ буде достатньо для того, аби Центральна виборча комісія відмовила у реєстрації кандидатам від партії, щодо якої внесено подання. Незважаючи на можливість оскарження такого подання в суді, таке повноваження фактично робить з СБУ арбітра, який може вирішувати питання щодо недопуску політичних партій до участі у виборчих процесах.
Варто окремо згадати про норму, яка дозволяє СБУ брати участь у перевірці походження інвестицій з метою недопущення процесу укладання і реалізації операторами (власниками) об’єктів критичної інфраструктури угод, що можуть негативно вплинути на безпеку, цілісність, стійкість та безперервність функціонування об’єктів критичної інфраструктури, або спроб використання об’єктів критичної інфраструктури у фінансуванні терористичної та розвідувально-підривної діяльності.
Не заперечуючи потреби захисту критичної інфраструктури державою, слід зазначити, що така норма може бути використана для надмірного втручання у свободу ведення підприємницької діяльності власників відповідних недержавних об’єктів.
Висновки
Законопроєкт № 3196-д «Про внесення змін до Закону України “Про Службу безпеки України” щодо удосконалення організаційно-правових засад діяльності Служби безпеки України» не містить достатніх запобіжників від порушень прав людини, що передбачені міжнародним та національним законодавством, зокрема в частині захисту свободи вираження поглядів та права на повагу до приватного життя.
Зважаючи на це, законопроєкт потребує суттєвого доопрацювання: вилучення норм, які суперечать функціям СБУ, деталізації порядку реалізації повноважень, пов’язаних із втручанням в права людини, встановлення обмежень та дієвих механізмів нагляду і контролю над законністю, пропорційністю та обґрунтованістю втручання, посилення підзвітності щодо застосування контррозвідувальних та інших заходів, віднесених до компетенції СБУ та ін.