Голові Комітету з питань правоохоронної діяльності
Монастирському Д.А.
Голові Комітету з питань цифрової трансформації
Крячку М.В.
Голові Комітету з питань правової політики
Костіну А.Є.
Вих. № 107/1-3
від 10.09.2020
Щодо зауважень та пропозицій до
законопроекту (№ 4003 від 01.09.2020)
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 220 підприємств галузі інформаційно-комунікаційних технологій, висловлює Вам свою повагу та звертається з приводу наступного.
1 вересня 2020 року у Верховній Раді України за № 4003 зареєстровано проект Закону про внесення змін до Кримінального процесуального кодексу України та Кодексу України про адміністративні правопорушення щодо підвищення ефективності протидії кібератакам (далі – проект Закону), ініціатором якого є народні депутати України Монастирський Д.А., Мінько С.А. та інші.
Як вказано у Пояснювальній записці, проект Закону розроблено з метою імплементації положень Конвенції про кіберзлочинність в кримінальне процесуальне законодавство України та підвищення ефективності протидії кібератакам.
ІнАУ, здійснивши аналіз положень проекту Закону, надає зауваження та пропозиції до окремих положень, які просимо врахувати при розгляді у вашому комітеті та прийнятті висновку.
1. Доповненням до Кодексу України про адміністративні правопорушення статтею 18514 пропонується встановити адміністративну відповідальність за невиконання законної постанови прокурора, слідчого про термінове збереження інформації, про тимчасовий доступ до терміново збереженої інформації.
Разом з цим, у тексті цього положення застосовується вираз «законна постанова прокурора, слідчого», що, в свою чергу, вже ставить під сумнів зміст таких постанов, в силу того, що вони можуть бути «незаконними».
Крім того, будь-які дії щодо зобов’язання операторів, провайдерів телекомунікацій про термінове збереження інформації, про тимчасовий доступ до терміново збереженої інформації особою, вважаємо, мають відбуватися тільки і лише на підставі рішення (ухвали) суду (!).
Таким чином, вважаємо, що за своїм змістом, вказані доповнення до КУпАП за своєю суттю, аж ніяким чином не направлені на законодавче вирішення питання імплементації положень Конвенції про кіберзлочинність в кримінальне процесуальне законодавство України, та, звісно, ніяк не сприятимуть протидії кібератакам. Фактично, це створення чергового механізму негативного управління операторами, провайдерами телекомунікаціями, втручання в їх господарську діяльність, як це іноді відбувається, коли правоохоронні органи, ігноруючи положення кримінального процесуального законодавства, вилучають телекомунікаційне обладнання.
Відтак, пропонуємо доповнення до КУпАП (статті 185ˡ⁴, 221, 255) щодо встановлення адміністративної відповідальності за невиконання законної постанови прокурора, слідчого про термінове збереження інформації, виключити із тексту проекту Закону.
Крім того, що Конвенцією про кіберзлочинність такі положення, тобто, про притягнення до адміністративної відповідальності за невиконання законної постанови прокурора, слідчого про термінове збереження інформації, про тимчасовий доступ до терміново збереженої інформації, не встановлено. Так, у частині другій статті 16 Конвенції про кіберзлочинність передбачається положення про вжиття законодавчих та інших заходів, які можуть бути необхідними для того, щоб зобов’язати таку особу зберігати і підтримувати цілісність таких комп’ютерних даних протягом такого періоду, який буде необхідним для того, щоб компетентні органи мали можливість отримати дозвіл на їхнє розкриття, з максимальним терміном у 90 днів з можливим продовженням такого терміну. Проте, можливо, на державному рівні потрібно визначити механізми співпраці, партнерства та компенсації витрат операторам, провайдерам телекомунікацій, а не вдаватись до адміністративного тиску у вигляді притягнення до адміністративної відповідальності.
Відтак, вказані вище пропозиції у проекті Закону протирічить задекларованій меті його прийняття.
З урахуванням цього, підлягають виключенню і доповнення до Кримінального процесуального кодексу України, запропоновані у статті 164ˡ. Постанова прокурора, слідчого про тимчасовий доступ до терміново збереженої інформації та статті 165ˡ. Виконання постанови прокурора, слідчого про тимчасовий доступ до терміново збереженої інформації.
2. У пропозиціях доповнень до статей 159, 162 Кримінального процесуального кодексу України застосовується вираз «за таких фізичних чи юридичних умов, при яких учасники спілкування можуть розраховувати на захист інформації від втручання інших осіб».
Проте, у змісті проекту Закону не розкрито, що саме та які саме це «фізичні та юридичні умови». Тобто, створюється підґрунтя для різного та суб’єктивного застосування вказаних положень, якщо такий закон буде прийнято.
Таким чином, запропоновані зміни повинні бути чітко конкретизовані з метою недопущення перевищення повноважень працівників правоохоронних органів та порушення прав та законних інтересів громадян та людини, гарантованих Конституцією України.
3. Змінами до частини шостої статті 236. Виконання ухвали про дозвіл на обшук житла чи іншого володіння особи Кримінального процесуального кодексу України запропоновано, що слідчий, прокурор під час проведення обшуку має право відкривати закриті приміщення, сховища, речі, долати системи логічного захисту, якщо особа, присутня при обшуку, відмовляється їх відкрити, чи зняти системи логічного захисту або обшук здійснюється за відсутності осіб, зазначених у частині третій цієї статті.
Крім того, взагалі не узгоджуються із положеннями Конвенції про кіберзлочинність пропозиції ініціаторів проекту Закону, сформовані як доповнення абзацами другим та третім частини шостої статті 236 Кримінального процесуального кодексу України. А також, застосовуються нечіткі формулювання, наприклад, що слід розуміти під виразом «володіти інформацією про функціонування електронних інформаційних систем або їх частин, мобільних терміналів систем зв’язку…», а також, хто саме розуміється у виразі «особи, які володіють»?
По-перше, з пропозиції доповнення до статті 236 Кримінального процесуального кодексу України не зрозуміло, що саме ініціатори проекту Закону розуміють під поняттями «долати системи логічного захисту», «зняти системи логічного захисту» та як саме практично (які дії, їх етапність тощо) реалізовуватимуться ці законодавчі положення та виконання цих дій слідчими, прокурорами, які, фактично, не є фахівцями у сфері телекомунікацій, захисту інформації, без шкоди як інформації та комп’ютерним даним, які містяться в інформаційно-телекомунікаційних системах, так і без матеріальної шкоди операторам, провайдерам телекомунікацій.
По-друге. В той час, коли держава вже роками декларує впровадження «МАСКИ-ШОУ СТОП» відносно недопустимості незаконних посягань на власність операторів, провайдерів телекомунікацій та незаконного, необґрунтованого втручання в роботу інформаційно-телекомунікаційних систем, в даному випадку, запропоновано виконання безпрецедентних дій. При тому, таких механізмів та обсягу прав слідчих та прокурорів не передбачено Конвенцією про кіберзлочинність, яка імплементується, як це заявлено ініціаторами проекту Закону.
Відтак, зміни до статті 236 Кримінального процесуального кодексу України пропонуємо виключити, як такі, що не відповідають положенням Конвенцією про кіберзлочинність, державній політиці щодо недопущення негативного впливу та проявів правоохоронних органів на функціонування інформаційно-телекомунікаційних систем та призведе до порушення прав та законних інтересів як операторів, провайдерів телекомунікацій, так і їх абонентів.
Крім того, положеннями щойно виданого Указу Президента України В. Зеленського від 03.09.2020 №371/2020 «Про заходи щодо створення сприятливих умов для розвитку ІТ-індустрії в Україні» передбачено протилежну мету, якою Кабінету Міністром України доручено вдосконалення порядку здійснення процесуальних дій під час кримінального провадження з метою унеможливлення необґрунтованого втручання у діяльність юридичних осіб, що здійснюють діяльність у сфері інформаційних технологій (!).
4. Доповненнями до статті 39. Обов’язки операторів і провайдерів телекомунікацій Закону України «Про телекомунікації» запропоновано, що оператори телекомунікацій зобов’язані:
18-3) зберігати інформацію в електронній (цифровій) формі із забезпеченням її цілісності, щодо наданих користувачу послуг, у тому числі даних про рух інформації (трафіку) у такому обсязі, який достатній для ідентифікації абонента, а також достатньому для визначення джерела походження інформації (трафіку) та маршруту її передачі впродовж 12 місяців;
18-4) за постановою прокурора, слідчого здійснювати термінове збереження інформації в порядку, визначеному Кримінальним процесуальним кодексом України.
Проте, що це за «обсяг, який достатній для ідентифікації абонента, а також достатньому для визначення джерела походження інформації (трафіку) та маршруту її передачі» та чому саме оператор телекомунікацій, принаймні із змісту сформульованого проекту положення, повинен самостійно встановлювати та визначати такі дані. Чому саме запропоновано строк «впродовж 12 місяців» і з чого саме, тобто якої події, повинен відбуватись облік такого строку. Таким чином, положення проекту Закону, запропоновані як доповнення пунктом 18-3 статті 39 Закону України «Про телекомунікації» вважаємо сформульовані вкрай некоректно.
До того ж, як «тимчасове збереження інформації», так і «тимчасовий доступ до терміново збереженої інформації» це процесуальні дії, які визначаються Кримінальним процесуальним кодексом України. Відтак, вважаємо, що обов’язки, які ініціатори проекту Закону пропонують закріпити за операторами телекомунікацій, краще прописати саме як заходи кримінально-процесуального характеру, а не відносити до переліку обов’язків, які встановлюють та регулюють інші відносини, які визначені Законом України «Про телекомунікації», а саме, щодо визначення повноваження держави щодо управління та регулювання діяльності у сфері телекомунікацій, а також права, обов’язки та засади відповідальності фізичних і юридичних осіб, які беруть участь у даній діяльності або користуються телекомунікаційними послугами.
Відтак, положеннями Конвенції про кіберзлочинність передбачено опрацювання положень у національному законодавстві, які б передбачали виконання таких заходів, як термінове збереження комп’ютерних даних, які зберігаються (стаття 16), термінове збереження і часткове розкриття даних про рух інформації (стаття 17). Разом з тим, вважаємо, що запропоновані положення у проекті Закону занадто розширюють повноваження правоохоронних органів, що, відповідно, матиме наслідком порушення прав та законних інтересів операторів, провайдерів телекомунікацій та людей. Також, у проекті Закону застосовуються нечіткі положення, які можуть призвести до неоднозначного їх застосування.
Враховуючи наведене, за результатом розгляду вашим комітетом проекту Закону, просимо ухвалити висновок про доцільність суттєвого доопрацювання його положень та повернути суб’єктам права законодавчої ініціативи на доопрацювання.
З повагою
Голова Правління
Інтернет Асоціації України А. Пятніков