Народному депутату України
ФЕДІЄНКУ О.П.
Вих. № 28
від 07.03.2023
Щодо направлення депутатського звернення до
Уповноваженого Верховної Ради України з прав людини
Шановний Олександре Павловичу!
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 230 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, значна частина яких є операторами електронних комунікацій, які надають послуги доступу до мережі Інтернет, висловлюємо Вам свою повагу та звертаємося з наступним.
Відповідно до Статуту, одним із напрямків діяльності ІнАУ є представництво та захист учасників в органах центральної та місцевої влади, інших державних та недержавних установах і організаціях з питань розвитку Інтернету, послуг в мережі Інтернет та ІКТ.
Національною комісією, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку на власному вебсайті опубліковано розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій (далі – НЦУ) від 30.01.2023 № 67/850 «Про впровадження системи фільтрації фішингових доменів» (далі – розпорядження НЦУ), див. за посиланням в мережі Інтернет https://nkrzi.gov.ua/index.php?r=site/index&pg=99&id=2580&language=uk.
Відповідно до цього розпорядження НЦУ, постачальники електронних комунікаційних мереж та послуг протягом 30 календарних днів повинні здійснити реєстрацію в системі фільтрації фішингових доменів та забезпечити подальше здійснення фільтрації фішингових доменів на рекурсивних DNS-серверах згідно з Регламентом роботи системи фільтрації фішингових доменів. Версія 1.0 (далі – Регламент).
Разом з цим, вважаємо, що розпорядження НЦУ та Регламент є такими, що містять ознаки порушення законодавства у сфері захисту персональних даних та повинні бути перевірені Уповноваженим Верховної Ради України з прав людини.
Попередня інформація щодо НЦУ.
НЦУ утворено та діє відповідно до розпорядження Кабінету Міністрів України від 27.03.2019 № 177-р у структурі Державної служби спеціального зв’язку та захисту інформації.
Відповідно до частини восьмої статті 32 Закону України «Про електронні комунікації», НЦУ в умовах надзвичайного або воєнного стану видає розпорядження щодо оперативно-технічного управління електронними комунікаційними мережами, які є обов’язковими для виконання постачальниками електронних комунікаційних мереж та/або послуг.
На сьогодні також є чинною постанова Кабінету Міністрів України від 29.06.2004 № 812 «Деякі питання оперативно-технічного управління телекомунікаційними мережами в умовах надзвичайних ситуацій, надзвичайного та воєнного стану» (зі змінами), яка визначає основні завдання та функції НЦУ.
Щодо ознак порушення законодавства у сфері захисту персональних даних.
У розділі 9 Регламенту зазначається таке:
«При переході на лендінгову сторінку у Системі зберігається технічна інформація, що включає дату і час, ІР адресу (підмережу), з якої здійснюється перехід, доменне ім’я або URL фішингової сторінки, на яку здійснюється перехід, user-agent тощо.
Система має інтерфейс для доступу до інформації щодо переходів на лендінгову сторінку.
Провайдерам DNS за запитом надається інформація щодо переходів на лендінгову сторінку з їх підмереж за умови надання списку їх підмереж (AS) під час реєстрації.
З метою аналізу та відповідного реагування уповноваженим державним органам надається доступ до інформації щодо переходів на лендінгову сторінку…»
Статтею 8 Європейської Конвенції з прав людини, ратифікованої Законом України № 475/97-ВР від 17.07.97, визнано, що кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права, за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров'я чи моралі або для захисту прав і свобод інших осіб.
Статтею 32 Конституції України встановлено, що не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Конфіденційною є інформація про фізичну особу, інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, а також інформація, визнана такою на підставі закону. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, якщо інше не встановлено законом (частина друга статті 21 Закону України «Про інформацію»).
До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження (частина друга статті 11 Закону України «Про інформацію»).
Персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (стаття 1 Закону України «Про захист персональних даних).
Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (частина шоста статті 6 Закону України «Про захист персональних даних»).
Відповідно до статті 119 Закону України «Про електронні комунікації», постачальники електронних комунікаційних послуг повинні забезпечувати і нести відповідальність за схоронність даних щодо кінцевого користувача, отриманих при укладенні договору про надання електронних комунікаційних послуг та наданні електронних комунікаційних послуг.
Інформація про електронні комунікаційні послуги, отримані кінцевим користувачем, може надаватися за наявності його попередньої згоди, вираженої у письмовій чи будь-якій іншій формі, що дає змогу зробити висновок про факт надання такої згоди або у порядку та відповідно до вимог Конституції України та законів України.
Крім цього, навіть при проведенні досудового розслідування в межах кримінального провадження, відповідно до статті 162 КПК України, доступ до охоронюваної законом таємниці, яка міститься в речах і документах, зокрема:
- конфіденційної інформації, в тому числі такої, що містить комерційну таємницю;
- інформації, яка знаходиться в операторів та провайдерів телекомунікацій, про зв’язок, абонента, надання телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тощо;
- персональних даних особи, що знаходяться у її особистому володінні або в базі персональних даних, яка знаходиться у володільця персональних даних
здійснюється виключно на підставі ухвали суду про тимчасовий доступ до речей і документів (стаття 164 КПК України).
Натомість, у розділі 9 Регламенту фактично встановлено положення, відповідно до яких буде можливість відслідковувати усі і будь-які запити кожного жителя країни в мережі Інтернет. Адже Система передбачає фільтрацію та збереження не лише доменних імен або URL фішингової сторінки, на яку здійснюється перехід, а й збереження технічної інформації, що включає дату і час, ІР адресу (підмережу), з якої здійснюється перехід. Тобто, Система зберігатиме дані про користувача мережі Інтернет, включаючи дату і час його запитів в мережі Інтернет. І хто із учасників Системи матиме доступ до персональних даних користувача мережі Інтернет, володітиме інформацією, яка ним запитувалась, взагалі невідомо, адже такий порядок доступу до інформації у Регламенті не встановлено.
Тобто, через Систему кожна особа в мережі Інтернет може бути конкретно ідентифікована, та доступ до даних такої особи, інформації, яка нам запитується в мережі Інтернет, може мати невизначене коло осіб, без згоди такої особи та не відповідно до випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Таким чином, положеннями розділу 9 Регламенту, вважаємо, повністю нівельовано законодавство у сфері захисту персональних даних, а також порушено права громадян країни щодо заборони збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, гарантоване статтею 8 Європейської Конвенції з прав людини, статтею 32 Конституції України, Законом України «Про захист персональних даних».
Звертаємо також увагу й на те, що, відповідно до розділу 9 Регламенту, уповноваженим державним органам надається доступ до інформації щодо переходів на лендінгову сторінку, а це – основні суб’єкти національної системи кібербезпеки, визначені Законом України «Про основні засади забезпечення кібербезпеки України», підрозділ Апарату РНБО України, який відповідає за забезпечення діяльності Національного координаційного центру кібербезпеки.
Відповідно до частини другої статті 8 Закону України «Про основні засади забезпечення кібербезпеки України» основними суб’єктами національної системи кібербезпеки є Державна служба спеціального зв’язку та захисту інформації України, Національна поліція України, Служба безпеки України, Міністерство оборони України та Генеральний штаб Збройних Сил України, розвідувальні органи, Національний банк України.
Відповідно до статті 5 Закону України «Про розвідку», розвідувальними органами України є Служба зовнішньої розвідки України; розвідувальний орган Міністерства оборони України; розвідувальний орган центрального органу виконавчої влади, що реалізує державну політику у сфері охорони державного кордону.
Таким чином, розділом 9 Регламенту створено умови, коли кожна особа (адже не визначено порядків і процедур доступу до Системи), яка працює в органах, вказаних у частині другій статті 8 Закону України «Про основні засади забезпечення кібербезпеки України», статті 5 Закону України «Про розвідку» зможе отримати інформацію із Системи про кожного користувача мережі Інтернет, зокрема, про дату і час, ІР адресу, з якої здійснювався перехід, тощо та, відповідно, інформацію, яка такою особою запитувалась.
Тому, фактично Регламентом, який є підзаконним нормативно-правовим актом, окрім порушень законодавства про захист персональних даних, фактично створено умови отримання інформації про особу, як користувача мережі Інтернет, попри навіть встановлений судовий доступ до охоронюваної законом інформації про особу в межах кримінального провадження. Крім цього, взагалі не зрозуміло зі змісту Регламенту, з якою метою така інформація про особу із Системи може запитуватись та як вона буде використана далі, адже в повноваженнях таких органів не має прав отримувати інформацію про особу із Системи, поза встановлений законом порядок, без згоди такої особи.
Відповідно до статті 16 Закону України «Про Уповноваженого Верховної Ради України з прав людини» підставами для провадження справ та призначення перевірок Уповноваженим Верховної Ради України з прав людини є відомості про порушення прав і свобод людини і громадянина, які отримує: за зверненнями громадян України, іноземців, осіб без громадянства чи їх представників; за зверненнями народних депутатів України; за власною ініціативою.
Враховуючи зазначене, в межах повноважень, встановлених статтею 16 Закону України «Про статус народного депутата України», просимо направити до Уповноваженого Верховної Ради України з прав людини депутатське звернення щодо перевірки додержання встановлених прав і свобод людини і громадянина Національним центром оперативно-технічного управління мережами телекомунікацій при прийнятті розпорядження від 30.01.2023 № 67/850 «Про впровадження системи фільтрації фішингових доменів» та Регламенту роботи системи фільтрації фішингових доменів. Версія 1.0, затвердженого цим розпорядженням.
Про результати розгляду цього звернення просимо повідомити письмово.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК