Сбор цифровых данных, генерируемых глобальными корпорациями, в качестве доказательств в рамках уголовного правосудия стал основным вопросом международного сотрудничества
Цифровое будущее наступило уже несколько лет назад: вопросы кибербезопасности, защиты информации на цифровых носителях, правильного ее хранения и использования стоят на повестке дня многих корпораций. Однако сейчас они выходят за рамки безопасности одной конкретно взятой компании и касаются даже не государственной безопасности, а глобальной защиты данных. И если украинский бизнес только начинает вникать в такие проблемы и часто спрашивает: «Что такого, если я зайду в интернет по рабочему вопросу через публичную сеть?», то европейские и международные регуляторы бьют тревогу как в контексте защиты данных, так и в аспекте их использования для достижения целей уголовной юстиции.
25–27 февраля 2019 года в Бухаресте (Румыния) состоялась конференция «Уголовная юстиция в киберпространстве 2019», организованная председательствующим в Совете Европейского Союза представительством Румынии в сотрудничестве с Советом Европы. В ней приняли участие более 100 экспертов в области уголовного правосудия, представляющих государственный и частный секторы, примерно из 40 стран, а также члены международных организаций.
Участники конференции сформулировали несколько месседжей, которые должны стать ориентиром в применении уголовной ответственности в киберпространстве на ближайшее время. Говорили о том, например, что вопрос о цифровых доказательствах затрагивает основные интересы правительств, организаций частного сектора и физических лиц. Для его решения необходимо найти баланс между интересами этих субъектов, что является сложной задачей. Участники признали, что Будапештская конвенция (Конвенция о киберпреступности от 23 ноября 2001 года) остается наиболее актуальным международным соглашением относительно киберпреступности и электронных доказательств, а сторонам необходимо максимально использовать этот договор и воплощать его положения во внутреннем законодательстве. При этом Будапештская конвенция обновляется в руководящих указаниях и протоколах, а нынешние переговоры по Второму дополнительному протоколу о расширении международного сотрудничества и доступе к доказательствам в «облаке» еще больше обеспечат участвующие и будущие Стороны Будапештской конвенции средствами для более эффективной поддержки верховенства права в киберпространстве.
Юрий Котляров, партнер юридической фирмы Asters, возглавляющий практику ТМТ, считает, что международная координация при сборе цифровых доказательств — «головная боль» правосудия.
«Известное уравнение о противоречиях между интересами национальной безопасности и правами человека следует дополнить компонентом о правах и обязанностях частного бизнеса. Политика глобальных корпораций, которые агрегируют данные о пользователях, вынужденно балансирует в данном уравнении, с одной стороны, перед органами безопасности, судебной системой, с другой — перед частными лицами», — отмечает г-н Котляров, добавляя, что в глобальные частные корпорации из США поступает множество запросов от правоохранительных органов по всему миру на получение данных. Очень часто в силу юридической неопределенности получение правоохранительными органами информации зависит от волеизъявления таких компаний. В свою очередь, частные компании вполне обоснованно обеспокоены тем, что могут столкнуться с противоречивыми между собой обязательствами, вытекающими из различных правовых систем. При этом, по словам эксперта, ситуация для правоохранителей из разных стран усугубляется сложностью систем и длительностью процедур международного взаимодействия. «Сегодня, к примеру, более половины всех уголовных расследований сопровождаются трансграничными запросами именно на доступ к цифровым доказательствам. В этой связи решение «головной боли» правосудия в виде международной координации при сборе цифровых доказательств — один из основных вопросов в системе национальной безопасности, прямо затрагивающих права человека и частного бизнеса», — комментирует Юрий Котляров.
При этом незадолго до настоящей конференции, 5 февраля 2019 года, Европейская комиссия предложила начать международные переговоры о трансграничном доступе к цифровым доказательствам в рамках расследования уголовных правонарушений. Согласно выводам ЕС, сделанным в октябре 2018 года, Комиссия представила два набора директив для ведения переговоров: один — для переговоров с США и один — для переговоров о принятии Второго дополнительного протокола к Будапештской конвенции, чтобы облегчить и ускорить для правоохранительных и судебных органов получение электронных доказательств, которые им необходимы для расследования и в конечном итоге для судебного преследования преступников и террористов. Их суть, как поясняет г-н Котляров, сводится к следующему:
— следует создать оперативный обеспечительный механизм — предписание об обеспечении сохранности данных (European Production Order), другими словами, распоряжение «не удалять данные», что позволит судебным органам получать цифровые доказательства (электронные письма, переписку в месенджерах для выявления правонарушителя на первых этапах) непосредственно от сервис-провайдеров и/или их официальных представительств в другом государстве-члене в течение десяти дней или шести часов в экстренных случаях. Для сравнения: сейчас процедура предусматривает 120 дней в случае наличия постановления о проведении расследования (European Investigation Order) или в среднем десять месяцев по процедуре о взаимной правовой помощи;
— наличие такого предписания об обеспечении сохранности данных позволит судебным органам в одном государстве потребовать, чтобы поставщик услуг или его законный представитель в другом государстве сохранили конкретные данные с учетом последующего запроса на получение таких данных либо по процедуре взаимной правовой помощи, либо путем выдачи предписания об обеспечении сохранности данных/постановления о проведении расследования;
— необходимо предоставить надежные гарантии защиты фундаментальных прав, включая права на защиту персональных данных. Поставщики услуг и лица, чьи данные запрашиваются, будут в свою очередь иметь возможность использовать различные гарантии и правовые средства защиты для эффективной борьбы с правонарушениями в этой части;
— следует обязать поставщиков услуг назначить законного представителя в ЕС, чтобы гарантировать, что все поставщики, которые предлагают услуги в ЕС, подчиняются одинаковым обязательствам, даже если их штаб-квартира находится в третьей стране.
— нужно обеспечить юридическую определенность для поставщиков услуг: сегодня правоохранительные органы часто зависят от волеизъявления поставщиков услуг в вопросе предоставления им доказательств. В будущем применение одних и тех же правил доступа ко всем поставщикам услуг внесет правовую определенность.
«Существующая сегодня проблема с международной координацией при сборе цифровых доказательств требует разрешения. Обсуждаемые европейским сообществом инициативы потребуют внимания всех государств — участников Конвенции Совета Европы о киберпреступности, включая Украину. Принятие директивы как для ведения переговоров с США, так и для принятия Второго дополнительного протокола к Будапештской конвенции Совета Европы о киберпреступности станет прорывом в международном сотрудничестве при сборе цифровых доказательств», — считает Юрий Котляров.
По всей видимости, такие международные меры заставят украинские компании, прежде всего провайдеров цифровых услуг, существенно пересмотреть вопросы кибербезопасности. Сегодня, как поясняет Виктор Шульга, комплаенс-офицер, юрист практики безопасности бизнеса ЮК Juscutum, де-факто бизнес не защищен. Системы киберзащиты отечественных компаний в подавляющем большинстве нуждаются в модернизации, и это касается не только технической стороны усовершенствования ІТ-инфраструктуры, но и права на защиту от кибератак.
«В Европе киберпреступность признали проблемой, с которой необходимо бороться, и бороться сообща, взвешивая интересы государства, частного бизнеса и частных лиц. Это касается и Украины. У правоохранительных органов сегодня нет эффективных средств для обеспечения электронных доказательств. Провайдеры, хостинги, компании, связанные с облачными вычислениями, в основном находятся в США. Нынешняя процедура получения такой информации сложная, действует исключительно в рамках международных договоров, а все запросы аккумулируются и обрабатываются Генеральной прокуратурой Украины. Практика показывает, что такой механизм должным образом не налажен, и помимо сложных процессуальных и бюрократических моментов теряется в первую очередь ценный временной ресурс. Скорость развития киберпреступности и технологий прямо пропорциональна снижению уровня доверия к верховенству права в связи с неразрешенностью проблемы сбора электронных доказательств в уголовных процессах по кибератакам, согласования правительственными учреждениями и частным сектором ключевых законодательных вопросов, касающихся доказательств кибератак», — отмечает г-н Шульга. В этой связи, по его словам, прежде всего нужно развивать международное сотрудничество: угрозы киберпреступности, с которыми сталкивается человечество, похожи во всех регионах мира. Многие нападения случаются извне, «прилетают» из других государств, регионов. Чтобы понять эти угрозы и противостоять им, необходимо выйти за пределы отдельных стран и регионов. Киберпреступность является поперечной угрозой, и поэтому межведомственное, государственное/частное и международное сотрудничество чрезвычайно важно.
