Лист № 47 від 08.05.2023 ВРУ щодо пропозицій до проекту Закону про внесення змін до Закону України «Про електронні комунікації» (щодо протидії фішингу), реєстр. № 9250 від 28.04.2023

Вихідні реквізити
Вих. № 47 від 08.05.2023
Відправник
ІнАУ, Інтернет Асоціація України
Отримувач
ВРУ, Верховна Рада України
Комітет Верховної Ради України з питань антикорупційної політики
Комітет Верховної Ради України з питань гуманітарної та інформаційної політики
Комітет Верховної Ради України з питань національної безпеки, оборони та розвідки
Комітет Верховної Ради України з питань правової політики
Комітет Верховної Ради України з питань правоохоронної діяльності
Комітет Верховної Ради України з питань свободи слова
Комітет Верховної Ради України з питань цифрової трансформації

Голова Верховної Ради України

 

Комітет Верховної Ради України з питань

антикорупційної політики

 

Комітет Верховної Ради України з питань

гуманітарної та інформаційної політики

 

Комітет Верховної Ради України з питань

національної безпеки, оборони та розвідки

 

Комітет Верховної Ради України

з питань правової політики

 

Комітет Верховної Ради України

з питань правоохоронної діяльності

 

Комітет Верховної Ради України

з питань свободи слова

 

Комітет Верховної Ради України

з питань цифрової трансформації

 

Фракція ПОЛІТИЧНОЇ ПАРТІЇ «СЛУГА НАРОДУ»

 

Фракція політичної партії

«ВСЕУКРАЇНСЬКЕ ОБ'ЄДНАННЯ «БАТЬКІВЩИНА»

 

Фракція політичної партії «Європейська Солідарність»

 

Фракція політичної Партії «ГОЛОС»

Вих. № 47

від 08.05.2023

 

Щодо проекту Закону реєстр. № 9250 від 28.04.2023

 

     Інтернет Асоціація України (ІнАУ), яка об’єднує понад 220 підприємств галузі інформаційно-комунікаційних технологій, висловлюємо Вам свою повагу та звертаємося з приводу наступного.

     Відповідно до Проекту Закону про внесення змін до Закону України «Про електронні комунікації» (щодо протидії фішингу) № 9250 від 28.04.2023 (https://itd.rada.gov.ua/billInfo/Bills/Card/41815) пропонується:

     1) дати визначення:

     «140¹) фішинг – неправомірні дії в мережі Інтернет, наслідком яких є або може бути виманювання персональних даних та інших даних абонентів, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо;

     «140²) фішинґовий вебсайт – це ресурс у мережі Інтернет, який створений та використовується в неправомірних цілях з метою виманювання у абонентів персональних даних та інших даних, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо;»

     2) повноваження центрального органу виконавчої влади у сферах електронних комунікацій та радіочастотного спектра доповнити наступним:

     «12¹) розроблення та затвердження на підставі пропозицій Національного банку України правил протидії фішингу та фішинговим вебсайтам, встановлення прав та обов’язків постачальників DNS;».

 

     Таким чином, законопроєктом № 9250 від 28.04.2023 встановлюється новий, не передбачений Конституцією, вид неправомірного діяння, яке не відноситься ні до злочину, ні до адміністративного або дисциплінарного правопорушення.

     При цьому засади відповідальності за таке правопорушення будуть визначатися не законами, а підзаконними актами Держспецзв’язку.

     І перше, і друге суперечить п. 22) ст. 92 Конституції України, яка визначає, що виключно законами України визначаються засади цивільно-правової відповідальності; діяння, які є злочинами, адміністративними або дисциплінарними правопорушеннями, та відповідальність за них.

 

     Якщо автори законопроєкту № 9250 мали на увазі, що фішинг є кримінальним протиправним діянням, тоді такий вид злочину та його кримінально-правові наслідки повинні бути визначені Кримінальним кодексом України, частина третя статті 3 якого встановлює:

     «3. Кримінальна протиправність діяння, а також його караність та інші кримінально-правові наслідки визначаються тільки цим Кодексом».

     Крім того, надання Держспецзв’язку повноважень «розроблення та затвердження правил протидії фішингу та фішинговим вебсайтам, встановлення прав та обов’язків постачальників DNS» порушує також норми статті 1 Кримінального процесуального кодексу України, яка встановлює:

     «1. Порядок кримінального провадження на території України визначається лише кримінальним процесуальним законодавством України.

     2. Кримінальне процесуальне законодавство України складається з відповідних положень Конституції України, міжнародних договорів, згода на обов'язковість яких надана Верховною Радою України, цього Кодексу та інших законів України.

     3. Зміни до кримінального процесуального законодавства України можуть вноситися виключно законами про внесення змін до цього Кодексу та/або до законодавства про кримінальну відповідальність, та/або до законодавства України про адміністративні правопорушення».

     До того ж, Розділом ІІ Кримінального процесуального кодексу України передбачено заходи забезпечення кримінального провадження і підстави їх застосування, серед яких немає такого виду забезпечення, як блокування чи заборона доступу до інтернет-сайту тощо. А встановлення такого виду забезпечення кримінального провадження може відбуватися лише шляхом внесення змін до Кримінального процесуального кодексу України, а не шляхом «розроблення та затвердження на підставі пропозицій Національного банку України правил протидії фішингу та фішинговим вебсайтам, встановлення прав та обов’язків постачальників DNS».

     Зауважимо, що у 2014 році законопроєктом № 1272 від 05.12.2014 про внесення змін до Кримінального кодексу України (щодо посилення відповідальності за неправомірний обіг засобів платежу) (http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_2?pf3516=1272&skl=9) було запропоновано ввести такий вид злочину як фішинг. Проте, Головне науково-експертне управління Апарату Верховної Ради України надало свій висновок від 08.05.2015, у якому зазначило, що пропозиція проекту щодо встановлення кримінальної відповідальності за фішинг є сумнівною та юридично необґрунтованою, адже за вчинення вказаного діяння чинним КК вже передбачена кримінальна відповідальність у статтях 361 та 361-1 або ж за сукупністю злочинів, передбачених статтями 200, 185, 190 та 361 або 361-1 КК, отже, чинний КК повною мірою врегульовує питання кримінальної відповідальності за вчинення відповідних злочинних дій.

     Надане у законопроєкті № 9250 від 28.04.2023 поняття діяльності з фішингу також підпадає під ознаки сукупності злочинів, передбачених статтями 200, 185, 190 та 361 або 361-1 діючого Кримінального кодексу України. Тобто провадження стосовно фішингу повинно здійснюватися відповідно до Кримінального процесуального кодексу України, як того вимагає частина перша статті 1 КПКУ, і у жодному разі не може здійснюватися на підставі якихось підзаконних актів, як те пропонується у законопроєкті № 9250 від 28.04.2023.

 

     Якщо ж автори законопроєкту № 9250 мали на увазі, що фішинг є адміністративним правопорушенням, тоді:

     По-перше, про це повинно бути прямо зазначено у законопроєкті.

     По-друге, провадження за такими правопорушеннями повинні здійснюватися відповідно до Кодексу України про адміністративні правопорушення, частина третя статті 2 якого встановлює, що положення цього Кодексу поширюються і на адміністративні правопорушення, відповідальність за вчинення яких передбачена законами, ще не включеними до Кодексу.

     По-третє, як зазначалося вище, поняття фішингу підпадає під ознаки сукупності злочинів відповідно до діючого Кримінального кодексу України, і воно не може одночасно бути і злочином, і адміністративним правопорушенням.

 

     Якщо ж автори законопроєкту № 9250 мали на увазі, що фішинг є якимось іншим видом правопорушень (неправомірного діяння), не передбаченим ст. 92 Конституції України, тоді вони б мали ініціювати внесення змін до Конституції України.

 

     Окремо слід наголосити, що законопроєкт № 9250 вочевидь має на меті легалізувати вже побудовану та, на нашу думку, незаконно функціонуючу під управлінням НКЦК РНБОУ систему блокування доменів.

     ІнАУ неодноразово (копія одного з листів додається) наголошувала про ризики, які несе вказана система:

     1) ризики для кібербезпеки держави, коли агресор, отримавши незаконний доступ до даної системи, може заблокувати в Україні доступ до вебресурсів мережі Інтернет;

     2) корупційні ризики, оскільки рішення про включення того чи іншого сайту до переліку заблокованих доменів приймаються пересічними чиновниками, що може призвести до блокування будь-яких сайтів з метою вимагання, рейдерства, іншого тиску;

     3) ризики для свободи слова, оскільки цей механізм може бути використаний для блокування будь-яких онлайн-медіа;

     4) ризики незаконного збору персональних даних.

 

     Просимо Вас розглянути вказаний законопроєкт № 9250 та надати йому відповідну оцінку, приймаючи до уваги вищезазначене.

     За протреби можемо делегувати представників ІнАУ для участі у розгляді вказаного законопроєкту.

 

     Додатки:

     1) висновок Головного науково-експертного управління Апарату Верховної Ради України від 08.05.2015;

     2) копія листа ІнАУ №  25/1-5 від 28.02.2023 ОПУ, РНБО, СБУ, ГШ ЗСУ та ГУР МО щодо неприйнятних ризиків для національної безпеки України у розпорядженні НЦУ від 30.01.2023 № 67/850.

 

З повагою

Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ                           Олександр САВЧУК