На сайте Службы безопасности Украины (СБУ) www.sbu.gov.ua помещен текст законопроекта «О мониторинге телекоммуникаций», в котором описаны правовые и организационные основы мониторинга телекоммуникаций во время проведения оперативно-розыскной, контрразведывательной и разведывательной деятельности с целью обеспечения безопасности граждан, общества и государства. Под мониторингом телекоммуникаций законопроект подразумевает наблюдение, отбор по определенным признакам, обработку и регистрацию сеанса связи в сетях телекоммуникаций с использованием системы мониторинга телекоммуникаций. Он осуществляется исключительно как средство оперативно-розыскной, контрразведывательной и разведывательной деятельности. Технические средства системы мониторинга и средства доступа к ней размещают провайдеры — операторы систем телекоммуникаций, а средства управления системой мониторинга размещает специально уполномоченный орган — СБУ, который и осуществляет мониторинг.
В целом к системе мониторинга предъявляются достаточно высокие требования, в частности она должна обеспечить возможность гарантированного доступа в режиме реального времени к сеансу связи пользователя сети, являющегося объектом мониторинга, идентифицировать, копировать и оформить содержание сеанса его связи и придать скопированным сообщениям вид, в котором они были посланы. Система мониторинга должна внедряться практически на всех сетях телекоммуникаций общего пользования, и после внедрения процесс мониторинга является прерогативой СБУ и полностью отделяется от провайдера. При этом предполагается: провайдер приобретет или обеспечит разработку системы мониторинга за счет собственных средств.
Посетителей сайта СБУ приглашают давать свои комментарии, предложения и дополнения к законопроекту. Правда, сами комментарии на сайт не помещаются, что выглядит весьма странно. Остается предположить: либо их не прислали, либо СБУ не считает нужным поделиться ними. В других источниках комментариев было немало, и все, по моим наблюдениям, негативные. Пишут преимущественно о двух моментах: во-первых, не соглашаются с тем, что провайдеры должны потратить собственные средства для покупки необходимого для мониторинга оборудования, а во-вторых, полагают, что СБУ будет свободно, без каких-либо ограничений контролировать корреспонденцию всех, кого захочет.
Зачем нужен мониторинг?
Этот вопрос кажется риторическим. Новые информационные технологии несут не только невиданные возможности для интеллектуального и технического прогресса, но и неожиданные средства и способы совершения преступлений. Преступность стала гораздо изощренней, взяв на вооружение информационные технологии. Как показало недавнее исследование, проведенное компанией Gartner Group, число финансовых махинаций в Интернете в 12 раз больше, чем в «реальной» банковской системе США. По данным Европейской комиссии, в 2000 году с кредитных карточек европейцев было украдено 553 млн. долларов, причем около половины преступников действовало через Интернет.
Естественно, спецслужбы должны владеть адекватными возможностями для предупреждения и расследования таких преступлений. Рост организованной преступности, терроризма, наркобизнеса требует неординарных действий спецслужб по пресечению и раскрытию преступлений, а для этого необходимы все более совершенные методы и средства получения информации. Вследствие этого и появляются такие системы контроля коммуникаций, как межконтинентальный проект Echelon (США, Великобритания, Канада, Австралия и Новая Зеландия), проект Европейского Союза Enfopol, российский СОРМ и другие. Однако во всех без исключения странах отсутствие реального надзора за действиями спецслужб неизбежно приводит к злоупотреблениям и к слежке за теми, кто кажется власти опасными.
Сегодня более 90 стран практикуют незаконный контроль за информацией оппозиции, правозащитников, журналистов, профсоюзных деятелей, просто нешаблонно мыслящих людей. Поэтому проекты контроля коммуникаций всюду встречают сопротивление. Например, сенат США отказался недавно финансировать проект, который предполагал создание электронной системы для сбора всяческих данных об американцах: от их электронных писем до результатов медицинских обследований и банковских транзакций. В странах бывшего СССР, где слежка за инакомыслящими в прошлом была нормой жизни и где контроль за действиями спецслужб сегодня крайне слаб или вообще отсутствует, опасения за неприкосновенность своей корреспонденции кажутся вполне естественными. Не стал исключением и законопроект СБУ о мониторинге телекоммуникаций. Проблема здесь лежит в плоскости доверия либо недоверия к спецслужбам. Ну, не верят украинцы, что СБУ будет действовать законно. И либо протестуют против принятия закона вообще, либо, признавая, что мониторинг необходим для успешной борьбы с преступностью, требуют установить в законе надежные гарантии против злоупотреблений.
Кто же может пострадать от реализации этого закона? Конечно, все, кто без достаточных оснований станет объектом мониторинга. Но первыми пострадают провайдеры.
Почему провайдеры обязаны оплачивать установку системы мониторинга телекоммуникаций? Естественно полагать, что этот вопрос должен быть регламентирован законом, тем более речь идет о расходовании значительных финансовых средств (комплект оборудования и средств связи стоит по разным оценкам от 20 до 30 тысяч долларов США). Это финансовое бремя законопроект возлагает именно на провайдеров. Украинские спецслужбы не одиноки в своем желании переложить расходы государства на плечи бизнеса. В английском законопроекте «О следственных органах» также предусматривалась оплата провайдерами расходов по организации мониторинга. Однако в результате это все же делает правительство. То же самое было и в Германии.
А что же наш законопроект? Согласно положениям статей 7 и 8, провайдеры приобретают систему мониторинга либо обеспечивают ее разработку по согласованию с СБУ, технические средства системы «являются собственностью провайдера и передаются на безвозмездной основе СБУ в обращение для целевого использования (обеспечения и осуществления мониторинга телекоммуникаций)». И все, ничего больше по этому поводу не сказано. На наш взгляд, решение о финансировании провайдерами внедрения системы мониторинга нарушает право собственности и свободу предпринимательства, защищаемые статьями 41 и 42 Конституции Украины. Поэтому практика выдавливания денег у провайдеров для финансирования работы СБУ представляется незаконной и могла бы быть оспорена в Конституционном суде. Представляется также несомненным, что нарушается статья 1 Первого протокола Европейской конвенции о защите прав человека и основных свобод (право беспрепятственно пользоваться своим имуществом).
Согласно ч.1 статьи 7 законопроекта система мониторинга должна внедряться практически на всех сетях телекоммуникаций общего пользования и двойного назначения (в части исполнения функций сети общего назначения). Это требование кажется мне избыточным. Кому нужны системы мониторинга в локальных сетях, у мелких провайдеров, что за гигантомания? Внедрение системы мониторинга у провайдера с несколькими десятками клиентов попросту разорит его, и он уйдет с рынка. А ведь таковых большинство.
У этой темы есть еще один аспект: государство хочет выбрать провайдеров, которые будут предоставлять доступ в Интернет всем, кто работает с информацией, являющейся государственной собственностью, и именно этим провайдерам в первую очередь поручить внедрение системы мониторинга (см. печально известный приказ Госкомсвязи №122 от 17.06.02). Уже названы два «любимчика» — Global Ukraine и СП «Инфоком», и, хотя закон о мониторинге телекоммуникаций еще не принят, Global Ukraine с гордостью демонстрирует на своем сайте сертификат о введении в действие системы мониторинга.
Согласно ч.1 статьи 5 законопроекта о мониторинге, он «осуществляется с целью поиска и фиксирования фактических данных о противоправных деяниях отдельных лиц и групп, разведывательно-подрывной деятельности специальных служб иностранных государств и организаций, а также получения информации, связанной с безопасностью граждан, общества и государства». Это весьма размытое определение уточняется благодаря упоминанию, что мониторинг осуществляется исключительно как средство оперативно-розыскной, контрразведывательной и разведывательной деятельности на основании соответствующих законов. Мониторинг может быть осуществлен только по решению суда в случаях тяжких или особо тяжких преступлений, тогда СБУ обеспечивает соответствующему органу доступ к системе мониторинга. А таких органов немало — это подразделения МВД, СБУ, Государственной пограничной службы, Управления государственной охраны, органов государственной налоговой службы, органов и учреждений Государственного департамента по вопросам исполнения наказаний; разведывательного органа Министерства обороны.
Представление о разрешении на мониторинг подается в суд руководителем соответствующего оперативного подразделения или его заместителем. О процедуре выдачи судом санкции на снятие информации с канала связи, санкции на продление снятия информации ни законопроект, ни закон об ОРД не говорят ничего. Также ничего не говорится о том, что указывается в решении суда. Процедура судебного рассмотрения осуществляется на основании письма Верховного суда Украины № 16/6 от 19 ноября 1996 г. «О временном порядке рассмотрения материалов о даче разрешения на проникновение в жилище или иное владение лица, наложение ареста на его корреспонденцию и выемку в почтово-телеграфных учреждениях и снятие информации с каналов связи (телефонных разговоров, телеграфной и иной корреспонденции»)». Характерно, что это письмо отсутствует в распространенных компьютерных правовых системах, таких, как «Лига: Закон», «Рада» и других.
Гарантии соблюдения законности во время осуществления мониторинга, на мой взгляд, совершенно недостаточны. Независимый надзор за законностью отсутствует. Ст.10 предписывает уничтожать информационные сообщения, снятые ошибочно. Иных сообщений о хранении снятой информации нет, а есть только указание, что порядок ведения, хранения и использования протокола мониторинга определяется Кабинетом министров Украины. В статье 12 указано, что не подлежит разглашению информация о частной жизни, чести и достоинстве лица, которая стала известна в процессе осуществления мониторинга. В каждом случае наличия оснований для проведения ОРД заводится оперативно-розыскное дело. Без заведения этого дела ОРМ запрещаются. При этом выносится постановление, в котором указываются место и время ее вынесения, должность и имя лица, ее подписавшего, основания и цель заведения оперативно-розыскного дела.
При нарушениях прав и свобод человека или юридических лиц в процессе ОРД, а также в случае, когда причастность к правонарушению лица, в отношении которого проводились ОРМ, не подтвердилась, подразделения, которые проводили ОРМ, должны безотлагательно восстановить нарушенные права и возместить причиненный моральный и материальный ущерб. Граждане Украины и другие лица имеют право в установленном законом порядке получить от органов, которые проводили ОРМ, письменные объяснения по поводу ограничения своих прав и свобод и обжаловать эти действия. Сведения, полученные вследствие ОРМ, касающиеся личной жизни, чести и достоинства лица, если они не содержат информации о совершении запрещенных законом действий, хранению не подлежат и должны быть уничтожены.
Очевидно, гарантии законности в законопроекте и законе об ОРД должны быть согласованы. Но и последние, на мой взгляд, слабо защищают от злоупотреблений, особенно если их сравнивать с гарантиями законности в германском или венгерском законах, предусматривающих парламентский надзор за законностью перехвата сообщений посредством работы специальных органов.
В эти органы может обратиться с жалобой каждый, кто полагает, что его корреспонденция контролируется спецслужбами незаконно. Любопытно, что германский комитет G-10 информируется министром обо всех разрешенных им ограничительных мерах до того, как перехват начали осуществлять. Комитет имеет право отменить приказ министра, после чего перехват немедленно прекращается, если по причине срочности он был начат до получения разрешения. После окончания перехвата лицо, чьи сообщения перехватывались, уведомляется об этом, «если это не ставит под угрозу цель расследования». Вся ненужная в дальнейшем документация должна быть уничтожена.
На мой взгляд, как законопроект о мониторинге телекоммуникаций, так и более общий закон об оперативно-розыскной деятельности неудовлетворительны с точки зрения гарантий права на приватность и противоречат международным стандартам в этой области, поскольку таят в себе потенциальные нарушения статьи 8 Европейской конвенции о защите прав человека и основных свобод.
Перехват сообщений в прецедентах Евросуда
Первая часть статьи 8 Конвенции ясно устанавливает, что «каждый человек имеет право на уважение его личной и семейной жизни, его жилища и тайны его корреспонденции». Вторая часть статьи 8 указывает ограничения этого права: «Не допускается вмешательство государственных органов в осуществление этого права, за исключением случаев, когда это предусмотрено законом и необходимо в демократическом обществе в интересах государственной безопасности, общественного порядка или экономического благосостояния страны, для поддержания порядка и предотвращения преступлений, защиты здоровья и морали или защиты прав и свобод других лиц.»
Исходя из анализа практики Европейского суда по правам человека по статье 8 в части перехвата сообщений, были сформулированы ряд принципов, которым должен удовлетворять закон, регулирующий контроль коммуникаций.
Перехват сообщений должен осуществляться на основании закона доступного (т.е. гражданин должен иметь возможность убедиться, что перехват соответствует законодательным нормам, которые использованы в данном конкретном случае). В частности, закон должен указывать список преступлений, совершение которых может привести к перехвату сообщений; санкционировать перехват только на основании мотивированного письменного заявления определенного высокого должностного лица; разрешать перехват сообщений только после получения санкции органа или должностного лица, не принадлежащего к исполнительной власти, желательно, судьи. Кроме того, обязательные требования: установление ограничения длительности перехвата и перечень мер предосторожности против обмена этими материалами между различными государственными органами, определение обстоятельств, при которых записи можно или нужно уничтожить.
Перехват сообщений должен также осуществляться в демократическом обществе, т.е. «только в такой мере, которая необходима для безопасности демократических институтов», и «при исключительных условиях, необходимых в демократическом обществе в интересах национальной безопасности и/или предупреждения беспорядков или преступления».
Наконец, любое лицо в стране, где действует закон о тайном перехвате сообщений, может требовать признания себя жертвой без какой-либо обязанности приводить доказательства или даже на основании голословного утверждения, что слежение действительно велось.
Украинское законодательство
Положительные моменты, которые будут одобрены Судом: процедура имеет основу в национальном законодательстве, предсказуема, санкция на снятие информации с каналов связи дается судом и только в том случае, когда «другим способом невозможно добыть фактические данные для обеспечения защиты общества и государства от преступных посягательств». Кроме того, существует четкое указание об уничтожении полученных в результате ОРД сведений, касающихся личной жизни, чести и достоинства человека.
Тем не менее, Суд вряд ли сочтет процедуру удовлетворительной. Суд вряд ли признает, что вмешательство государства в частную жизнь «необходимо в демократическом обществе», поскольку перечень преступлений, при которых оно допускается, — тяжкие и особо тяжкие — чрезмерно широк. Как отметил суд в деле Класса, право на секретное наблюдение за гражданами характерно для полицейских государств, а в демократических государствах, согласно Конвенции, такое наблюдение может быть терпимо только в случае крайней необходимости для сохранения демократических институтов.
Суд сможет признать законодательство недостаточно доступным из-за того, что процедура получения санкции на снятие информации с каналов связи регулируется малодоступными ведомственными инструкциями. Эта процедура должна быть четко описана в законе об ОРД при проведении ОРМ в виде снятия информации с каналов связи с целью предотвращения и пресечения тяжких и особо тяжких преступлений и в Уголовно-процессуальном кодексе при проведении следствия после возбуждения уголовного дела, а законопроект о мониторинге должен содержать соответствующие отсылочные нормы.
Кроме того, украинское законодательство явно не отвечает критерию «качества закона». Оно не содержит достаточно эффективных гарантий против злоупотреблений. Во-первых, отсутствуют какие-либо указания о длительности процедуры мониторинга, во-вторых, почти ничего не сказано о передаче, использовании и хранении собранных материалов, о составлении итоговых докладов, в-третьих, независимый надзор за законностью явно недостаточен, особенно если сравнивать его с немецкой или венгерской процедурой парламентского контроля.
Законопроект о мониторинге коммуникаций предусматривает чрезмерные полномочия СБУ, перекладывает финансовое бремя по внедрению системы мониторинга на провайдеров, не дает ясные и четкие правовые основания для проведения мониторинга и не содержит надежных гарантий против злоупотреблений. В целом законопроект чреват нарушением прав человека и основных свобод и прежде всего права на приватность. Поэтому целесообразно разработать этот законопроект заново с учетом норм законопроекта о защите персональных данных (при этом необходимо также и согласованное внесение изменений в закон об ОРД) и следующих рекомендаций.
Перечень преступлений, при которых разрешено снятие информации с каналов связи, должен быть сужен, их необходимо четко перечислить в законе.
Необходимо дополнить закон описанием процедуры получения и продления санкции на перехват сообщений судом, нормой об ограничении длительности перехвата. Желательно при этом обеспечить передачу решения суда с компьютера судьи, уполномоченного давать санкцию на перехват, непосредственно в систему мониторинга, а также получение судьей результатов мониторинга по запросу непосредственно из системы при рассмотрении вопроса о продлении санкции.
Следует дополнить закон правилами хранения, использования и уничтожения собранных материалов, в частности правилами обмена собранными материалами между различными органами и правилами составления итогового отчета.
Необходимо сделать процедуру снятия информации с каналов связи более прозрачной, введя норму об обязательном информировании лица, чьи сообщения перехватывались, после окончания перехвата и ознакомлении лица с перехваченными материалами, которые не содержат сведений, составляющих государственную тайну (подобные нормы содержатся в законах Германии, Австрии и других стран). При таком условии положения Закона об обжаловании незаконных действий служб, осуществляющих ОРД, смогут быть реализованы.
Для информирования общественности о масштабах тайного перехвата сообщений необходимо внести норму о публикации годового отчета, содержащего информацию о количестве санкций на перехват с указанием видов преступлений, по которым было принято решение о перехвате, количестве отказов в выдаче санкции и другой информации. Такая практика существует в США и многих европейских странах.
Необходимо ввести институт независимого надзора за законностью снятия информации с каналов связи. Эти функции мог бы выполнять отдел секретариата уполномоченного Верховной Рады Украины по правам человека, ответственный за соблюдение права на защиту информации о лице.
Вопрос о финансировании разработки и внедрения системы мониторинга должен решаться на основе договора между СБУ и провайдером с учетом антимонопольного законодательства и практики Европейского суда по статье 1 Первого протокола Европейской конвенции о защите прав человека и основных свобод.
Исходный код программного обеспечения системы мониторинга и алгоритм мониторинга должны быть открытыми (заметим: исходный код и другие подробности аналогичной системы в США — Carnivore — были опубликованы под давлением общественности осенью 2000 г., примерно через полгода после того, как стало известно о ее функционировании).