Голові Комітету ВРУ з питань
національної безпеки, оборони та розвідки
ЗАВІТНЕВИЧУ О.М.
Голові Комітету ВРУ з питань правоохоронної діяльності
МОНАСТИРСЬКОМУ Д.А.
Голові Комітету ВРУ з питань цифрової трансформації
КРЯЧКУ М.В.
Вих. № 20/1-3
від 27 лютого 2020 року
Щодо зауважень та пропозицій
до законопроекту (№ 3080 від 18.02.2020)
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 220 підприємств галузі інформаційно-комунікаційних технологій, висловлює Вам свою повагу та звертається з приводу наступного.
18 лютого 2020 року у Верховній Раді України за № 3080 зареєстровано проект Закону про Службу безпеки України (далі – проект Закону), ініціаторами якого є народні депутати України Бурміч А.П., Кожем’якін А.А. та інші.
ІнАУ, здійснивши аналіз положень законопроекту, надає окремі зауваження та пропозиції, які просимо врахувати при розгляді вашим Комітетом проекту Закону та ухваленні висновку.
1. Частиною другою статті 3 проекту Закону пропонується встановити, що законами України на Службу безпеки України може покладатися виконання інших функцій.
Пунктом 22 статті 85 Конституції України визначено, що до повноважень Верховної Ради України належить, зокрема, визначення функцій Служби безпеки України. Крім того, як зазначено в Пояснювальній записці, проект Закону розроблено відповідно та з урахуванням положень Закону України «Про національну безпеку України», який набрав чинності з 08.07.2018, та який чітко розмежовує повноваження системи органів безпеки і оборони.
Відтак, пропонуємо, вичерпно визначити перелік усіх повноважень та функцій Служби безпеки України та встановити їх у єдиному законі.
З урахуванням наведеного, пропонуємо частину другу із статті 3 проекту Закону виключити.
2. Пунктом 16 частини першої статті 16 проекту Закону пропонується встановити, що Служба безпеки України, її органи, уповноважені підрозділи та співробітники з метою виконання покладених на них завдань та здійснення визначених цим Законом функцій визначають порядок та здійснює контроль над порядком приєднання мереж операторів міжміського й міжнародному зв'язку до точки обміну Інтернет-трафіком, здійснюють обмеження та блокування доступу до об’єктів і ресурсів, які використовуються для організації, підготовки, вчинення, фінансування, сприяння або приховування акту несанкціонованого втручання в діяльність об’єктів критичної інфраструктури, у тому числі до визначеного (ідентифікованого) інформаційного ресурсу (сервісу) з використанням технічних засобів, що встановлюються операторами, провайдерами телекомунікацій та іншими суб’єктами господарювання, а також в інших передбачених законом випадках.
Пропонуємо зазначене положення виключити із тексту проекту Закону, як таке, що неможливо реалізувати та суперечить нормативно-правовим актам у сфері телекомунікацій:
- в першу чергу зазначаємо, що приєднання мереж операторів телекомунікацій до точок обміну Інтернет-трафіком фактично вже відбулось і встановлення будь-яких вимог до звичайних господарських відносин суб’єктів господарювання на рівні Служби безпеки України, тим більше, без будь-якого обґрунтування, вважаємо недоцільним та таким, що може розцінюватись як втручання в господарську діяльність;
- ІнАУ вже неодноразово звертала увагу та обґрунтовувала позицію щодо некоректності з технічної точки зору та неефективності блокування доступу до об’єктів і ресурсів в мережі Інтернет саме на доступі операторами, провайдерами телекомунікацій. Блокування на доступі, як показав досвід інших країн, а також вітчизняний досвід виконання указу Президента України № 133/2017 від 15.05.2017, здатне лише частково зменшити відвідуваність сайтів. Тому блокування на доступі ефективне лише з огляду цензури, і абсолютно неефективне з огляду протидії злочинності. Навіть навпаки – блокування на доступі створює цілий ряд нових загроз кібербезпеці. Коректне і ефективне блокування інтернет-ресурсів можливе лише власником (володільцем) вебсайту, або постачальником послуг хостингу (дата-центром), або реєстрантом відповідного доменного імені, за яким здійснюється доступ до вебсайту;
- взаємоз’єднання телекомунікаційних мереж загального користування врегульовані відповідними нормативно-правовими актами національного регулятора у сфері телекомунікацій (НКРЗІ);
- формулювання запропонованих положень не узгоджується із термінами та положеннями, викладеними у нормативно-правових актах у сфері телекомунікацій.
3. Пунктом 19 частини першої статті 16 проекту Закону пропонується встановити, що Служба безпеки України, її органи, уповноважені підрозділи та співробітники з метою виконання покладених на них завдань та здійснення визначених цим Законом функцій здійснюють контррозвідувальне забезпечення процесу укладання і реалізації операторами (власниками) об’єктів критичної інфраструктури угод, спрямованих на підвищення рівня надійності, стійкості та безпечного функціонування об’єктів критичної інфраструктури; беруть участь у перевірці походження інвестицій з метою недопущення спроб використання об’єктів життєзабезпечення у фінансуванні терористичної та іншої протиправної діяльності.
Пропонуємо зазначене положення виключити із тексту проекту Закону, оскільки, по-перше, не зрозуміло, що таке на законодавчому рівні «контррозвідувальне забезпечення процесу». Принаймні, ані законодавство, ані положення проекту Закону не розкривають таке поняття, а також складових діяльності працівників Служби безпеки України у цьому «процесі». З положень господарського та цивільного законодавства, суспільству відомо, що укладення договору – це домовленість (волевиявлення) сторін, спрямована на встановлення, зміну або припинення певних цивільних чи господарських відносин. Тому такого юридичного поняття як «процес укладання і реалізації» договору не існує. Відтак, ініціатори проекту Закону пропонують покласти на Службу безпеки України виконання незрозумілих та нечітких функцій, що буде звичайним втручанням в господарську діяльність суб’єктів господарювання та, не виключено, наслідком може бути і перевищення власних повноважень співробітниками цієї правоохоронної служби.
4. Пунктом 28 частини першої статті 16 проекту Закону пропонується встановити, що Служба безпеки України, її органи, уповноважені підрозділи та співробітники з метою виконання покладених на них завдань та здійснення визначених цим Законом функцій витребовують за підписом начальника, заступника начальника функціонального підрозділу Центрального управління або регіонального органу Служби безпеки України та одержують на безоплатній основі в установленому законом порядку інформацію, зокрема, від підприємств, установ, організацій незалежно від форм власності та фізичних осіб. Суб’єкти, яким адресовано зазначений запит, зобов’язані невідкладно, але не більше ніж протягом трьох робочих днів, надати відповідну інформацію. Крім того, запропонована процедура продовження строку надання інформації на такий запит.
Пропонуємо зазначене положення виключити із тексту проекту Закону, оскільки, вважаємо, що подання суб’єктами господарювання будь-якої інформації працівникам Служби безпеки має відбуватись відповідно до встановленого порядку та виключно на підставі судового рішення (ухвали).
5. Пунктом 35 частини першої статті 16 проекту Закону пропонується встановити, що Служба безпеки України, її органи, уповноважені підрозділи та співробітники з метою виконання покладених на них завдань та здійснення визначених цим Законом функцій здійснюють із застосуванням програмно-технічних засобів пошук інформації, зокрема, без розкриття відомчої належності та персональних даних осіб, що здійснюють такий пошук, в мережі “Інтернет”, у матеріалах засобів масової інформації та з інших відкритих джерел, накопичення, зберігання, обробку, аналіз та використання такої інформації в інтересах забезпечення державної безпеки та кримінального судочинства.
Пропонуємо зазначене положення виключити із тексту проекту Закону. Ініціатори проекту Закону у Пояснювальній записці не розкривають доцільності та механізмів реалізації такої законодавчої пропозиції. Відтак, відсутні гарантії неухильного дотримання прав, законних інтересів та свобод громадян внаслідок виконання таких функцій працівниками Служби безпеки України.
6. Пунктом 44 частини першої статті 16 проекту Закону пропонується встановити, що Служба безпеки України, її органи, уповноважені підрозділи та співробітники з метою виконання покладених на них завдань та здійснення визначених цим Законом функцій здійснюють безпосереднє використання технічних засобів для негласного пошуку, контролю, відбору, фіксації та обробки відомостей у межах оперативно-розшукових, контррозвідувальних справ і кримінальних проваджень; впровадження устаткування, необхідного для здійснення заходів зі зняття інформації з транспортних телекомунікаційних мереж на технічних засобах телекомунікацій для використання всіма органами досудового розслідування та уповноваженими законом оперативними підрозділами.
Пропонуємо зазначене положення суттєво доопрацювати. Ініціатори проекту Закону у Пояснювальній записці не розкривають доцільності та механізмів реалізації законодавчої пропозиції, зокрема, в частині «безпосереднього використання технічних засобів» та «впровадження устаткування». Тобто, де саме та за чий рахунок такі засоби будуть встановлюватись, хто саме і яким чином буде їх обслуговувати тощо. Якщо такі технічні засоби планується встановлювати з використанням телекомунікаційних мереж, які є власністю операторів, провайдерів телекомунікацій, то, окремо необхідно передбачити технічні вимоги до таких технічних засобів, забезпечення невтручання до потоку трафіку у зв’язку з використанням таких технічних засобів, забезпечення цілісності та конфіденційності інформації, яка отримується/передається громадянами щодо яких не застосовуються оперативно-розшукові, контррозвідувальні заходи, механізми взаємодії між органами Служби безпеки України та операторами, провайдерами телекомунікацій тощо. Відтак, у запропонованій законодавчій ініціативі відсутні гарантії неухильного дотримання прав, законних інтересів та свобод громадян внаслідок виконання таких функцій працівниками Служби безпеки України. Крім того, ані в цьому положенні, ані по тексту проекту Закону не розкрито джерела фінансування реалізації таких заходів.
7. Пунктом 45 частини першої статті 16 проекту Закону пропонується встановити, що Служба безпеки України, її органи, уповноважені підрозділи та співробітники з метою виконання покладених на них завдань та здійснення визначених цим Законом функцій отримують інформацію, яка знаходиться в операторів та провайдерів телекомунікацій, про зв’язок, абонента, надання телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тощо.
Пропонуючи таку редакцію проекту законодавчого положення, вважаємо, його ініціатори не врахували вимоги статей 3, 31, 32 та 64 Конституції України. А також, вимог статті 9, частини другої статті 41 Закону України «Про телекомунікації».
Зокрема, у частині другій статті 32 Конституції України гарантовано, що збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини, не допускається.
Відповідно до частини першої статті 9 Закону України «Про телекомунікації», охорона таємниці телефонних розмов, телеграфної чи іншої кореспонденції, що передаються технічними засобами телекомунікацій, та інформаційна безпека телекомунікаційних мереж гарантуються Конституцією та законами України. А, частиною другою статті 41 цього Закону встановлено, що персонал оператора, провайдера телекомунікацій несе відповідальність за порушення вимог законодавства України щодо збереження таємниці телефонних розмов, телеграфної чи іншої кореспонденції, що передаються засобами зв’язку або через комп’ютер, а також інформації з обмеженим доступом щодо організації та функціонування телекомунікаційних мереж в інтересах національної безпеки, оборони та охорони правопорядку.
Враховуючи наведене, впроваджуючи запропоновані законодавчі норми, вважаємо, буде порушено вищеназвані положення нормативно-правових актів, а також Закон України «Про захист персональних даних», оскільки таке формулювання законодавчого положення буде порушувати порядок збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди.
Отже, пропонуємо пункт 45 статті 16 проекту Закону суттєво доопрацювати та доповнити положенням, відповідно до якого інформація операторами, провайдерами телекомунікацій надається відповідно до судового рішення (ухвали).
8. Ініціатори проекту Закону пропонують внести зміни до статті 114-1 Кримінального кодексу України та встановити кримінальну відповідальність за перешкоджання законній діяльності Служби безпеки України або розвідувальних органів.
Крім того, пропонується Кодекс України про адміністративні правопорушення доповнити новою статтею 185-14 та встановити адміністративну відповідальність за невиконання законних вимог співробітника Служби безпеки України або перешкоджання здійсненню Службою безпеки України визначених законом функцій або повноважень.
Вважаємо впровадження кримінальної та адміністративної відповідальності для громадян невиправданим та необґрунтованим. Ініціаторами проекту Закону в Пояснювальній записці до нього не розкрито, чим саме викликано намір впровадження відповідальності, як це узгоджується з нормами європейського законодавства. Тому, пропонуємо виключити пропозиції доповнення до статті 144-1 Кримінального кодексу України та статті 185-14 Кодексу України про адміністративні правопорушення.
9. Ініціатори проекту Закону пропонують статтю 361 Кримінального кодексу України доповнити частинами третьою та четвертою, якими встановити кримінальну відповідальність за несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж чи мереж електрозв’язку, якщо такі дії вчинені стосовно об’єкта критичної інфраструктури. А також, пропонується доповнення до статей 361-1, 361-2, 362, 363, 363-1 Кримінального кодексу України, якими пропонується або змінити (посилити) межі кримінальної відповідальності або доповнити чинні статті новими видами кримінальної відповідальності, направлені на порушення цілісності об’єктів критичної інфраструктури.
Пропонуємо виключити зазначені пропозиції доповнень та змін до названих статей Кримінального кодексу України, оскільки, як зазначено у Пояснювальній записці до проекту Закону, метою його прийняття є підвищення інституційної спроможності Служби безпеки України із забезпечення державної безпеки та приведення законодавства України, що регулює діяльність Служби безпеки України, у відповідність до положень ряду нормативно-правових актів. Метою проекту Закону не визначено посилення захисту об’єктів критичної інфраструктури та встановлення відповідальності за несанкціоновані втручання. Тобто, пропозиції доповнення та змін до статей 361, 361-1, 361-2, 362, 363, 363-1 Кримінального кодексу України не співвідносяться із відносинами, на врегулювання яких направлено положення проекту Закону.
10. На наш погляд, є сумнівними і пропозиції, виражені ініціаторами проекту Закону, як доповнення до статті 7 Закону України «Про контррозвідувальну діяльність», зокрема, щодо надання органам, підрозділам та співробітникам Служби безпеки України права:
зняття інформації з транспортних телекомунікаційних мереж, яке полягає у проведенні відбору та фіксації змісту інформації, яка передається особою;
зняття інформації в електронних інформаційних системах, яке полягає у пошуку, виявленні, фіксації відомостей або даних, що містяться в електронній інформаційній системі або її частині, шляхом доступу до такої системи або її частини без відома її власника, володільця або утримувача.
Наразі, Главою 21 КПК України передбачено право органів досудового розслідування, до яких, в т.ч. віднесено і органи безпеки, проводити такі негласні слідчі (розшукові) дії, як-то зняття інформації з транспортних телекомунікаційних мереж (стаття 263) та зняття інформації з електронних інформаційних систем (стаття 264).
Ініціатори проекту Закону в Пояснювальній записці не розкривають підстави необхідності внесення таких змін до Закону України «Про контррозвідувальну діяльність», виокремлюючи проведення таких процесуальних дій органами Служби безпеки України. Формулювання вказаних положень у проекті Закону, на наш погляд, у разі прийняття та застосування, як законодавчих положень, може призвести до порушення прав та законних інтересів операторів, провайдерів телекомунікацій, охоронюваних Конституцією України їх прав власності, а також до порушення ряду гарантованих громадянам України прав та свобод відповідно до Конституції України.
У Пояснювальній записці до проекту Закону є посилання на те, що цей проект Закону розроблено на виконання Рекомендацій Парламентської Асамблеї №№ 1402 (1999) та 1713 (2005).
Так, у Резолюції 1466 (2005) Парламентської Асамблеї Ради Європи «Про виконання обов’язків та зобов’язань Україною» від 05.10.2005, органи влади України закликано реформувати Службу безпеки України відповідно до стандартів Ради Європи, зокрема Рекомендацій Парламентської Асамблеї №№ 1402 (1999) та 1713 (2005). Разом з цим, у цьому документі вказано і на необхідність встановлення ефективного контролю за перехопленням комунікацій правоохоронними органами та схвалити із цією метою спеціальне законодавство, що відповідатиме стандартам захисту приватності і національної безпеки.
Вважаємо, що проведення органами досудового розслідування процесуальних дій у ході розслідування злочинів у всіх сферах, в т.ч. захисту національної безпеки, повинні бути єдиними та визначатись у єдиному спеціальному законі, як це, наразі, закріплено у КПК України. Тобто, вважаємо за недоречне та невиправдане, коли кожен орган досудового розслідування здійснюватиме процесуальні дії відповідно до окремих законодавчих приписів.
Відтак, вказані положення, а також положення про право проведення ряду процесуальних дій у ході досудового розслідування, перелік яких наведено як пропозиції доповнення до статті 7 Закону України «Про контррозвідувальну діяльність» та в статті 16 проекту Закону, пропонуємо виключити, оскільки, такі положення не співвідносяться із метою цього Закону, та повинні включатись до іншого спеціального закону, після їх ретельного доопрацювання.
11. Звертаємо вашу особливу увагу, що ініціатори проекту Закону пропонують внести зміни до частини четвертої статті 39 Закону України «Про телекомунікації», яка була внесена до цього Закону відповідно до Закону від 16 січня 2014 року № 721-VII, який втратив чинність відповідно до Закону України від 28.01.2014 № 732-VII «Про визнання такими, що втратили чинність, деяких законів України» з змінами.
Крім того, відповідно до пункту 2.3 розділу 2 Правил оформлення проектів законів та основні вимоги законодавчої техніки (Методичні рекомендації) нормативні положення закону не повинні містити зайвої деталізації…Мова викладення нормативного матеріалу має бути чітка та однозначна…Для полегшення застосування норм і виключення різнотлумачень кожне нормативне положення має бути чітко викладено та сформульовано таким чином, щоб не виникало сумніву щодо строку дії в часі.
На наш погляд, більша частина положень проекту Закону не відповідають вказаним вимогам та є нечіткими, незрозумілими для однозначного їх сприйняття та застосування в подальшому. Текст законопроекту перезавантажений зайвими положеннями, які не розкривають змісту того, що ініціатори намагались внести. Тому, вважаємо, текст проекту Закону перезавантажений надлишковим словами, реченнями, внаслідок чого, його положення є нечіткими та не досконалими.
Враховуючи наведене, за результатом розгляду проекту Закону вашим Комітетом, просимо ухвалити висновок щодо недоцільності включення цього законопроекту до порядку денного та повернення суб’єктам законодавчої ініціативи на доопрацювання.
Крім того, наша пропозиція також полягає в тому, що для опрацювання положень ефективного дієвого Закону про забезпечення функціонування правоохоронного органу та забезпечення при цьому дотримання прав і свобод громадян, врахування рекомендацій ПАРЕ, в обов’язковому порядку долучити до розроблення проекту Закону науковців у сфері права.
З повагою
Голова Правління Інтернет Асоціації України А. Пятніков