Голові Верховної Ради України
СТЕФАНЧУКУ Р.О.
Голові Комітету Верховної Ради України з питань
національної безпеки, оборони та розвідки
ЗАВІТНЕВИЧУ О.М.
Голові Комітету Верховної Ради України
з питань правоохоронної діяльності
ІОНУШАСУ С.К.
Голові Комітету Верховної Ради України
з питань цифрової трансформації
КРЯЧКУ М.В.
Голові Комітету Верховної Ради України
з питань антикорупційної політики
РАДІНІЙ А.О.
Вих. № 116/1-5
від 07.12.2022
Щодо проекту Закону (№ 7684-д від 29.11.2022)
Інтернет Асоціація України, яка об’єднує понад 230 підприємств галузі інформаційно-комунікаційних технологій, висловлюємо Вам свою повагу та звертаємося з приводу наступного.
29 листопада 2022 року у Верховній Раді України за № 7684-д зареєстровано проект Закону про внесення змін до деяких законів України щодо удосконалення контррозвідувальної діяльності та посилення інституційної спроможності суб’єктів її здійснення під час відсічі збройної агресії проти України (далі – проект Закону), ініціаторами якого є народні депутати України Завітневич О.М., Безугла М.В. та інші.
ІнАУ, листом від 30.08.2022 №77/1-4, вже надавала зауваження та пропозиції до проекту Закону про внесення змін до деяких законодавчих актів України щодо посилення спроможності суб’єктів контррозвідувальної діяльності у протидії широкомасштабній військовій агресії Російської Федерації проти України (№ 7684 від 19.08.2022), частину з яких враховано у тексті проекту Закону, як доопрацьованого.
Разом з цим, звертаємось до Вас з проханням повторно розглянути наші зауваження та пропозиції до окремих положень проекту Закону та врахувати у його тексті наступне.
1. Із проекту змін до статті 1 Закон України «Про контррозвідувальну діяльність» виключити визначення терміну «спеціальна інформаційна операція» та застосування такого поняття у пункті 3 статті 7.
За положеннями проекту Закону спеціальна інформаційна операція – це контррозвідувальний захід, який реалізується в інформаційній сфері або сфері кібербезпеки, спрямований на попередження або припинення загроз інформаційній безпеці України. У проекті Закону надається поняття, що таке «контррозвідувальний захід», а також функції та повноваження, заходи, що можуть проводитись у межах контррозвідувального заходу. Відтак, незрозуміла законодавча ініціатива та її ціль шляхом виокремлення контррозвідувального заходу у вигляді спеціальної інформаційної операції. Крім того, по тексту проекту Закону не розкриваються ніякі особливості проведення спеціальної інформаційної операції, відмінні від контррозвідувальних заходів.
2. У проекті змін до пункту 2 статті 6 Закону України «Про контррозвідувальну діяльність» пропонується встановити, що підставами для здійснення контррозвідувальної діяльності є виконання визначених законом завдань щодо, зокрема, забезпечення власної безпеки, у тому числі співробітників органів та підрозділів, що здійснюють контррозвідувальну діяльність, членів їх сімей та осіб, які допомагають і сприяють у здійсненні контррозвідувальної діяльності, забезпечення безпеки власних баз та банків даних, інформаційних масивів, інформаційних та інформаційно-телекомунікаційних систем, оперативних обліків.
Разом з цим, це положення у проекті Закону сформульовано нечітко, оскільки незрозуміло, про які/чиї саме інформаційні масиви, інформаційні та інформаційно-телекомунікаційні системи йдеться, тобто, власні чи існуючі в країні в цілому.
Відтак, пропонуємо слова «забезпечення безпеки власних баз та банків даних, інформаційних масивів, інформаційних та інформаційно-телекомунікаційних систем, оперативних обліків» змінити та викласти у редакції: «забезпечення безпеки власних баз, банків даних, інформаційних масивів, власних інформаційних та інформаційно-телекомунікаційних систем, оперативних обліків».
3. Пунктом 5-1 статті 7 Закону України «Про контррозвідувальну діяльність» пропонується в ході контррозвідувальної діяльності органи, підрозділи та співробітників Служби безпеки України уповноважити правом отримувати від постачальників електронних комунікаційних послуг та/або мереж технологічну та іншу інформацію про функціонування мереж, у тому числі з обмеженим доступом, крім конфіденційної інформації, на умовах, визначених володільцем цієї інформації та підрозділом Служби безпеки України, який уповноважений проводити оперативно-технічні заходи.
ІнАУ у листі від 30.08.2022 №77/1-4 детально вказувала про невідповідності цієї законодавчої ініціативи законодавству. Відтак, повторно, наголошуємо, що законодавча ініціатива:
- не встановлює поняття, що таке «технологічна інформація». Тому, вважаємо, з цієї причини у постачальників електронних комунікаційних мереж та/або послуг може бути затребувана будь-яка інформація під цим поняттям, в т.ч., і не виключно, що й інформація, яка охороняється законом;
- не встановлює способів і механізмів реалізації положень закону, зокрема, щодо порядку направлення листів (запитів тощо) та збору інформації, хто і як визначає потребу збору такої інформації, строків надання та продовження надання інформації, перелік інформації, яка не може вимагатись із посиланням на цю норму закону тощо;
- не узгоджується із статтями 119, 121 Закону України «Про електронні комунікації».
Відповідно до статті 19 Конституції України правовий порядок в Україні ґрунтується на засадах, відповідно до яких ніхто не може бути примушений робити те, що не передбачено законодавством.
У проекті Закону також не запропоновано способів і механізмів реалізації положень про порядок та процедуру проведення перевірок походження інвестицій, що, відповідно, може мати наслідком порушення прав та законних інтересів суб’єктів господарювання.
Відповідно до статті 6 ГК України одним із принципів господарювання в Україні є заборона незаконного втручання органів державної влади та органів місцевого самоврядування, їх посадових осіб у господарські відносини.
Отже, пункт 5-1 статті 7 Закону України «Про контррозвідувальну діяльність» у редакції, запропонованій у проекті Закону, оскільки ініціаторами проекту Закону не визначено механізми реалізації такого положення, пропонуємо змінити та викласти у редакції:.
«5-1) отримувати від постачальників електронних комунікаційних послуг та/або мереж технологічну та іншу інформацію про функціонування мереж, у тому числі з обмеженим доступом, крім конфіденційної інформації, на умовах, визначених володільцем цієї інформації та відповідно до закону, отримувати від операторів (власників) об’єктів критичної інфраструктури інформацію про угоди, що можуть негативно вплинути на безпеку, цілісність, стійкість та безперервність функціонування об’єктів критичної інфраструктури, або спроб використання об’єктів критичної інфраструктури чи ланцюгів постачання у фінансуванні терористичної та розвідувально-підривної діяльності;».
4. У частині третій статті 8-2 Закону України «Про контррозвідувальну діяльність» виключити слова «знищення необхідних фактичних даних, документів або зумовить неможливість їх отримання у майбутньому», оскільки зазначеним можна буде обґрунтувати будь-яку потребу та оминати встановлений законом порядок здійснення контррозвідувальних заходів з дозволу суду (тобто, виключно за наявності судового рішення).
Крім цього, у проекті статті 8-2 Закону України «Про контррозвідувальну діяльність» пропонується у ряді виняткових випадків та за рішенням Голови Служби безпеки України (особи, яка виконує його обов’язки) або його заступника проводити контррозвідувальні заходи, передбачені частиною першою цієї статті, до ухвалення рішення суду з подальшим поданням до суду клопотання про надання дозволу на проведення контррозвідувальних заходів. Серед переліку таких заходів є зняття інформації з електронних комунікаційних мереж та зняття інформації з електронних інформаційних систем.
Вважаємо, що положення, запропоноване ініціаторами у проекті Закону, не враховує статтю 31 Конституції України, відповідно до якої кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігти злочинові чи з’ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо.
Крім цього, по аналогії з законом, статтею 263 КПК України встановлено, що зняття інформації з електронних комунікаційних мереж можливе лише на підставі ухвали слідчого судді. Ця стаття кодексу також містить вимоги і до такої ухвали слідчого судді, у разі втручання у приватне спілкування, а саме: ідентифікаційні ознаки, які дозволять унікально ідентифікувати абонента спостереження, електронну комунікаційну мережу, кінцеве (термінальне) обладнання, на якому може здійснюватися втручання у приватне спілкування.
Проте, така конкретизація відсутня у проекті статті 8-3 Закону України «Про контррозвідувальну діяльність», та, вважаємо, потребує доопрацювання та врахування за аналогією з метою недопущення порушення конституційних прав громадян, які не є і не мають жодного відношення до об’єктів та суб’єктів, відносно яких проводяться контррозвідувальні заходи.
Враховуючи зазначене, частину третю статті 8-2 Закону України «Про контррозвідувальну діяльність» доопрацювати та прийняти у редакції:
«У виняткових випадках, коли невжиття невідкладних заходів може призвести до вчинення злочину проти основ національної безпеки України, проти миру, безпеки людства та міжнародного правопорядку, терористичного акту, кібератаки, Голова Служби безпеки України (особа, яка виконує його обов’язки) або його заступник мають право прийняти документально оформлене рішення щодо проведення контррозвідувальних заходів, передбачених частиною першою цієї статті (окрім зняття інформації з електронних комунікаційних мереж, зняття інформації з електронних інформаційних систем), до ухвалення рішення суду.».
5. У проекті Закону пункт 1 частини четвертої статті 25-3 Закону України «Про Службу безпеки України» змінити та викласти у редакції:
«1) інформацію, що знаходиться в постачальників електронних комунікаційних послуг та/або мереж, про зв'язок, абонента, надання електронних комунікаційних послуг, у тому числі про отримання послуг, їх тривалість, зміст, маршрути передавання у порядку, встановленому законом».
У запропонованій редакції слово «телекомунікаційних» замінено словами «електронних комунікаційних», як це визначено у Законі України «Про електронні комунікації».
Положення, запропоноване ініціаторами у проекті Закону, також не враховує статтю 31 Конституції України.
Звертаємо увагу й на те, що у цьому положенні проекту Закону не розкрито порядок та спосіб отримання інформації від постачальників електронних комунікаційних мереж та/або послуг, адже частина друга статті 25-3 буде застосовуватись лише до порядку отримання Службою безпеки України інформації на підставі запиту, адресованого органам державної влади.
Відповідно до частини шостої статті 6 Закону України «Про захист персональних даних» не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту і прав людини.
У частині першій статті 119 Закону України «Про електронні комунікації», яка повністю узгоджується із Законом України «Про захист персональних даних» та статтею 31 Конституції України, встановлено, що постачальники електронних комунікаційних послуг повинні забезпечувати і нести відповідальність за схоронність даних щодо кінцевого користувача, отриманих при укладенні договору про надання електронних комунікаційних послуг та наданні електронних комунікаційних послуг, у тому числі щодо:
1) персональних даних споживача;
2) факту отримання кінцевим користувачем електронних комунікаційних послуг;
3) змісту інформації, що передається та/або отримується кінцевим користувачем;
4) обсягу, змісту, маршрутів передачі інформації (даних), у тому числі даних, що обробляються з метою передачі інформації в електронних комунікаційних мережах або оплати електронних комунікаційних послуг;
5) даних про місцезнаходження, до яких відносяться будь-які дані, що обробляються постачальником електронних комунікаційних послуг при наданні послуг електронних комунікацій, у тому числі щодо розташування термінального обладнання. Ця вимога не поширюється на випадок передачі даних про місцезнаходження абонента, що здійснює виклик до служби екстреної допомоги за номером 112;
6) даних про спроби виклику між певними кінцевими точками електронної комунікаційної мережі, в тому числі про невдалі спроби виклику (таких, що були ініційовані і не отримали відповіді) або перерване з’єднання.
Крім того, законодавство не встановлює право будь-якого державного чи-то правоохоронного органу, як виключення, визначати умови надання суб’єктами господарювання будь-якої інформації. Такого права та повноважень немає, в т.ч. і Служба безпеки України.
Статтею 121 Закону України «Про електронні комунікації» встановлено, що доступ до інформації про споживача, факти надання електронних комунікаційних послуг, у тому числі до даних, що обробляються з метою передачі такої інформації в електронних комунікаційних мережах, здійснюється виключно на підставі рішення прокурора, суду, слідчого судді у випадках та порядку, передбачених законом.
Відтак, інформація про зв'язок, абонента, надання електронних комунікаційних послуг, у тому числі про отримання послуг, їх тривалість, зміст, маршрути передавання тощо (*у проекті Закону взагалі не розкрито, що слід розуміти у слові «тощо» і, відповідно, може породжувати дискреційні повноваження Служби безпеки України), відповідно до статті 31 Конституції України та з урахуванням перелічених норм законодавства, може бути отримана Службою безпеки України у постачальника електронних комунікаційних послуг та/або мереж лише на підставі рішення суду.
6. Статтю 121 Закону України «Про електронні комунікації» пропонуємо залишити без змін.
Проте, у разі незадоволення такої пропозиції, пропонуємо у частині третій статті 121 цього Закону, після слів «розвідувальних заходів та негласних слідчих (розшукових) дій» доповнити словами: «у порядку, встановленому законом» (обґрунтування див. вище).
7. Змінами до статті 15 Закону України «Про боротьбу з тероризмом» пропонується встановити, що у районі проведення антитерористичної операції посадові особи, залучені до операції, матимуть право здійснювати безпосередній доступ до стаціонарних та рухомих систем та приладів радіоконтролю, аудіо-, відео- та аудіо-/відеоспостереження, автоматизованих інформаційних, довідкових систем, обліків, реєстрів, банків або баз даних, документів, інших матеріальних носіїв інформації, що належать або знаходяться у використанні державних органів, органів місцевого самоврядування, утворених відповідно до законів України військових формувань, державних підприємств, установ, організацій та/або що належать фізичним особам, юридичним особам недержавної форми власності.
Схожі положення запропоновані і у частині шостій статті 25-3 Закону України «Про Службу безпеки України».
Разом з цим, дані положення потребують уточнення, оскільки, із запропонованих законодавчих змін незрозуміло, що таке «безпосередній доступ», тобто, що така дія в себе може включати – огляд, перегляд, вилучення, що, відповідно, може бути порушенням прав та законних інтересів громадян та суб’єктів господарювання.
8. Звертаємо увагу і на те, що проект Закону, з огляду на його назву, направлений на удосконалення контррозвідувальної діяльності та посилення інституційної спроможності суб’єктів її здійснення під час відсічі збройної агресії проти України. Тобто, проект Закону має певний часовий проміжок його застосування – під час відсічі збройної агресії проти України. Проте, майже усі положення проекту Закону матимуть сферу поширення і у мирний час та, відповідно, можуть не стосуватись проведення контррозвідувальних заходів лише щодо колаборантів, зрадників тощо, а також розшуку зниклих осіб.
У пояснювальній записці також зазначено, що проект Закону підготовлено з метою удосконалення контррозвідувальної діяльності, посилення спроможності суб’єктів її здійснення щодо протидії розвідувально-підривній та терористичній діяльності спеціальних служб держави-агресора та її «прибічників» саме під час дії правового режиму воєнного стану, у тому числі з використанням гібридних форм та методів (колаборантів, зрадників, кримінальних елементів тощо) ведення підривної діяльності проти України, її органів державної влади, об’єктів критичної інфраструктури, Збройних Сил України та інших військових формувань, утворених відповідно до законів України, а також розшук осіб, зниклих безвісти за особливих обставин, у тому числі, у зв’язку із збройним конфліктом, воєнними діями.
Відповідно до частини третьої статті 18 Закону України «Про електронні комунікації» постачальники електронних комунікаційних мереж та/або послуг зобов’язані дотримуватися умов загальної авторизації, серед яких, зокрема:
- здійснювати захист персональних даних при замовленні та наданні електронних комунікаційних послуг відповідно до Закону України «Про захист персональних даних»;
- здійснювати захист конфіденційності електронних комунікацій відповідно до Конституції України та закону.
За невиконання цих умов та відповідно до статті 126 Закону України «Про електронні комунікації» регуляторний орган (НКЕК) може притягнути постачальника електронних комунікаційних мереж та/або послуг до відповідальності у вигляді адміністративно-господарських санкцій.
Відтак, текст проекту Закону потребує доопрацювання з метою зазначення в усіх запропонованих змінах, що вони будуть застосовуватись виключно у період відсічі збройної агресії проти України.
Враховуючи наведене, проект Закону потребує доопрацювання окремих його положень, з метою їх приведення у відповідність до норм чинного законодавства та з метою забезпечення гарантій, встановлених Конституцією України.
З повагою
Голова Правління Інтернет Асоціації України Олександр Савчук