13 лютого 2024 року Європейський суд з прав людини (надалі — ЄСПЛ) виніс рішення у справі Podchasov v Russia, яка стосується законодавчої вимоги щодо зберігання всіх комунікаційних даних, а також надання доступу до відповідних даних правоохоронним органам разом з інформацією щодо розшифрування зашифрованих повідомлень. Заявник скаржився, що оспорювана вимога суперечить статті 8 Конвенції (право на повагу до приватного і сімейного життя).
Проаналізувавши факти справи, ЄСПЛ обрав сторону заявника, дійшовши висновку, що вищезгадане законодавче положення не містило належних гарантій та запобіжників та фактично надавало національним органам прямий доступ до всіх комунікаційних даних. Крім того, Суд зазначив, що потенційне розшифрування комунікацій створить так званий «бекдор» (backdoor, несанкціонований обхід стандартних процедур), який може впливати на всіх користувачів без розбору, тягнучи за собою загрозу невибіркового таємного стеження за електронними комунікаціями кожного користувача.
Про що йдеться?
Заявник є користувачем Телеграму — безкоштовного додатку для обміну повідомленнями, що використовується по всьому світу. Як вказано на офіційному веб-сайті додатку, Телеграм не містить наскрізного шифрування (методу, за якого тільки користувачі, що беруть участь у спілкуванні, мають доступ до повідомлень) за замовчуванням. Натомість використовується спеціально створена схема шифрування «сервер-клієнт» (метод, за якого треті особи не мають доступу до повідомлень). Водночас наскрізне шифрування може бути реалізовано у випадку активації функції «секретний чат».
28 червня 2017 року компанія Telegram Messenger була внесена у спеціальний публічний реєстр як «організатор розповсюдження інформації в мережі Інтернет» (надалі — організатор). Відповідно до національного Інформаційного Закону 2006 року, організатором є фізична або юридична особа, яка забезпечує функціонування інформаційних систем та/або програм для електронних пристроїв з метою отримання, передачі, доставки та/або обробки електронних комунікацій в Інтернеті. У контексті зобовʼязань Закон вимагає від організаторів зберігати на російській території всі комунікаційні дані, створені користувачами Інтернету, протягом 1 року, та вміст усіх повʼязаних комунікацій — протягом 6 місяців. Крім того, організатор повинен передавати вказані дані правоохоронним органам або службам безпеки за обставин, визначених законом. Він також повинен надати будь-яку інформацію, необхідну для розшифровування електронних повідомлень у випадку їх шифрування, протягом 10 днів з моменту предʼявлення такої вимоги правоохоронним органом.
Повертаючись до фактів справи, Федеральна служба безпеки (надалі — ФСБ) Російської Федерації вимагала у компанії Телеграм розкриття технічної інформації, яка уможливила б «розшифрування повідомлень від 12 липня 2017 року щодо користувачів Телеграм, підозрюваних в терористичній діяльності». Відповідно до наказу ФСБ, що містив шість телефонних номерів, асоційованих з Телеграмом, та стільки ж судових рішень, Телеграм був зобовʼязаний надати інформацію, включаючи IP-адресу, номер порту TCP/UDP та «ключовий матеріал», необхідний для здійснення розшифрування.
Телеграм відмовився виконувати наказ про розкриття інформації: оскільки всі шість користувачів увімкнули функцію «секретного чату», компанія заявляла, що виконати наказ технічно неможливо без заподіяння ризику послаблення механізму шифрування для всіх користувачів. Внаслідок судових проваджень на компанію було накладено штраф, а власне додаток Телеграм наказано заблокувати в Росії.
Пізніше заявник разом із 34 особами оскаржив наказ про розкриття інформації перед судом. Скаржники стверджували, що надання ключів шифрування ФСБ дозволить розшифрувати повідомлення всіх користувачів, порушуючи їх право на приватність та конфіденційність спілкування. Більше того, за умови отримання ключів шифрування ФСБ матиме технічну можливість отримати доступ до всіх комунікацій без судового наказу, якого вимагає російське законодавство. Районний суд відхилив скаргу, визнавши її неприйнятною, а подальші судові інстанції підтримали таке рішення. У свою чергу додаток Телеграм продовжує функціонувати на території Російської Федерації.
Позиція ЄСПЛ
Передовсім ЄСПЛ підкреслив, що власне зберігання організатором (тобто Телеграмом) усіх комунікаційних даних заявника становить втручання у його право на приватність. Оскільки таке зберігання вимагалося національним законом, Суд заключив, що втручання було здійснено з боку держави. Крім того, Суд зазначив, що оскаржуване втручання стосувалося не лише зберігання, а й доступу до даних правоохоронними органами. Посилаючись на аналогічні прецеденти, серед яких Roman Zakharov v Russia (стосовно таємного перехоплення мобільного телефонного звʼязку) та Ekimdzhiev and Others v Bulgaria (стосовно таємного стеження за електронними комунікаціями), ЄСПЛ вказав, що власне наявність законодавства, яке дозволяє таємне спостереження, і, як наслідок, доступ до комунікаційних даних, становить втручання у приватне життя користувача. Суд також підтримав доводи заявника щодо неможливості виконати вимогу ФСБ та розшифрувати кореспонденцію без послаблення технології шифрування Телеграм для інших користувачів.
Насамкінець Суд підкреслив, що поточна справа тісно повʼязана з питанням таємного стеження, оскільки «… персональні дані зберігаються з метою надання компетентним національним органам можливості проводити цілеспрямоване таємне стеження за Інтернет-комунікаціями» (пункт 59 рішення).
Аналізуючи виправданість оспорюваного втручання у приватність, Суд наголосив на необхідності законодавчих гарантій та запобіжників, особливо у випадку використання автоматизованих засобів та інших технологій. «Захист, наданий статтею 8 Конвенції, був би неприйнятно послаблений, якби використання сучасних технологій у системі кримінального правосуддя було дозволено будь-якою ціною та без належного балансування потенційної користі від широкого використання таких технологій та важливих інтересів приватного життя» (пункт 62 рішення). Крім того, національне законодавство повинне гарантувати, що збережені дані є релевантними та не надмірними щодо цілей, для яких вони зберігаються. У контексті таємного спостереження Суд зазначив, що національний закон повинен містити чітку інформацію про обставини та умови, за яких держава може вдаватися до подібних заходів. Більше того, закон повинен окреслювати обсяг дискреції національних органів для уникнення свавільного втручання у права людини.
ЄСПЛ визнав, що утримання та зберігання даних заявника було передбачено національним законодавством (тобто Інформаційним Законом 2006 року), а оспорювані положення переслідували ряд легітимних цілей. Після цього ЄСПЛ перейшов до сукупного аналізу «якості права» національного закону та критерію необхідності втручання у демократичному суспільстві.
Зберігання Інтернет-комунікацій та комунікаційних даних. Суд зазначив, що в часи постійної цифровізації оскаржуване законодавство вимагає безперервного автоматичного утримання та зберігання вмісту всіх Інтернет-комунікацій протягом 6 місяців, а повʼязаних комунікаційних даних — протягом 1 року. Така вимога застосовується до всіх комунікаційних послуг, впливає на всіх користувачів Інтернет-комунікацій (навіть за відсутності підозри в причетності до злочинної діяльності), а також охоплює зміст усіх повідомлень та їх даних без будь-яких обмежень. Суд дійшов висновку, що строки зберігання даних у такому випадку є надмірно широкими, а втручання у права — серйозним та масштабним.
Потенційний доступ до збережених даних з метою цілеспрямованого таємного спостереження. ЄСПЛ підкреслив, що доступ правоохоронних органів до комунікаційних даних повинен супроводжуватися такими ж гарантіями, як і таємне спостереження. Суд зауважив, що такою гарантією може вважатися наявність судового наказу. Водночас ЄСПЛ визнав, що судовий наказ не потребується у випадку доступу до даних правоохоронними органами, а тому останні мають прямий віддалений доступ до всіх Інтернет-комунікацій та пов’язаних комунікаційних даних у Росії. «Хоча ймовірність неналежних дій, вчинених нечесною, недбалою чи надмірно старанною посадовою особою, ніколи не може бути повністю виключена незалежно від системи, Суд вважає, що система на кшталт російської, яка дозволяє секретним службам отримувати прямий доступ до Інтернет-комунікацій кожного громадянина та не вимагає від них надання дозволу на перехоплення даних постачальнику послуг зв’язку чи будь-кому іншому, є особливо сприятливою до зловживань» (пункт 73 рішення). Посилаючись на справу Roman Zakharov, яка містила аналогічний правовий режим щодо перехоплення телефонних комунікацій, Суд дійшов висновку, що в поточній справі національне законодавство не передбачає належних та достатніх гарантій проти зловживань щодо доступу до комунікаційних даних правоохоронними органами.
Законодавчі вимоги щодо розшифрування повідомлень. Аналізуючи вимогу ФСБ до Телеграму щодо надання інформації, необхідної для розшифрування повідомлень, Суд зауважив, що технологія шифрування надає суттєві технічні гарантії проти незаконного доступу до вмісту комунікацій, тому широко використовується як засіб захисту права на приватність та конфіденційності листування в Інтернеті. Більше того, у цифрову еру, заходи щодо шифрування додатково сприяють реалізації права на свободу вираження поглядів. ЄСПЛ визнав, що для розшифрування комунікацій, здійснених у «секретному чаті», необхідно буде послабити шифрування для всіх користувачів, включаючи тих, які не становлять загрози державній безпеці. Суд підкреслив, що послаблення шифрування шляхом створення бекдорів уможливлює загальне та невибіркове стеження за особистими електронними комунікаціями. Крім того, такі бекдори можуть бути використані злочинними мережами, ставлячи під загрозу безпеку всіх електронних комунікацій користувачів. Натомість ЄСПЛ закликає держави вдаватися до альтернативних законодавчих або технічних методів розшифруванню, які не послаблювали б захисних механізмів даних.
ЄСПЛ заключив, що законодавча вимога щодо утримання комунікаційних даних всіх користувачів, прямого доступу секретних служб до відповідних даних, а також вимога щодо розшифрування повідомлень не містила належних законодавчих гарантій та не відповідає критерію необхідності в демократичному суспільстві. Таким чином, ЄСПЛ визнав порушення права на приватність, захищеного статтею 8 Конвенції.
Значення для українського контексту
ЄСПЛ вкотре наголосив на важливості захисту приватності та таємниці листування, особливо якщо йдеться про Інтернет-комунікації, що безумовно є позитивним прецедентом у практиці Суду. Крім того, ЄСПЛ підкреслив необхідність належних законодавчих гарантій для уникнення зловживання доступом до даних з боку національних органів.
Говорячи про значення справи для України, дане рішення слугує орієнтиром для українських законотворців, особливо у контексті розробки нового законодавства щодо захисту персональних даних. Наприклад, чинний Закон України «Про захист персональних даних» не містить переліку способів, які гарантували б безпеку комунікацій користувачів (як-от шифрування) та захист від несанкціонованого доступу. Натомість проєкт Закону №8153 у статті 35 передбачає можливість псевдонімізації та шифрування персональних даних як заходів з забезпечення безпеки. Наразі проєкт очікує розгляду Комітетом ВРУ з питань прав людини, деокупації та реінтеграції тимчасово окупованих територій України, національних меншин і міжнаціональних відносин, та підлягає подальшим доопрацюванням.