Голові Комітету Верховної Ради України
з питань цифрової трансформації
КРЯЧКУ М.В.
Вих. № 51
від 23.05.2023
Про надання інформації на лист
від 18.05.2023 № 04-33/03-2023/105599
Шановний Михайле Валерійовичу!
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 220 підприємств галузі інформаційно-комунікаційних технологій, висловлюємо Вам свою повагу та, у відповідь на Ваш лист від 18.05.2023 № 04-33/03-2023/105599, повідомляємо наступне.
I. Щодо проекту Закону про внесення змін до Закону України «Про електронні комунікації» (щодо протидії фішингу) (реєстр. № 9250 від 28.04.2023) ІнАУ вже висловила позицію у листі від 08.05.2023 № 47 (копія додається), який було направлено і до Комітету Верховної Ради України з питань цифрової трансформації.
II. Щодо проекту Закону про внесення змін до Закону України «Про електронні комунікації» (щодо вдосконалення регулювання електронної комунікаційної послуги визначення місцезнаходження домену в мережі Інтернет та протидії фішингу) (реєстр. № 9250-1 від 15.05.2023) зауважуємо на наступному.
Зокрема, даний проект Закону пропонує доповнити Закон України «Про електронні комунікації» рядом термінів та встановити визначення:
«83¹) послуга визначення місцезнаходження домену в мережі Інтернет (послуга DNS) - електронна комунікаційна послуга, що дає змогу шляхом використання сервера доменних імен отримувати інформацію про адресний запис домену в мережі Інтернет для здійснення міжмашинної взаємодії.
140¹) фішинг – неправомірні дії в мережі Інтернет, наслідком яких є або може бути виманювання персональних даних та інших даних абонентів, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо;
140²) фішинговий веб-сайт – це ресурс у мережі Інтернет, який створений та використовується в неправомірних цілях з метою виманювання у абонентів персональних даних та інших даних, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо».
На нашу думку, такі зміни мають наступні недоліки:
1. Вказаний законопроект позиціонується як такий, що вносить зміни «щодо вдосконалення регулювання електронної комунікаційної послуги визначення місцезнаходження домену в мережі Інтернет та протидії фішингу».
При цьому не пропонує жодного механізму протидії фішингу, а лише прописує поняття фішингу та встановлює зобов’язання усіх власників DNS-серверів надіслати у НКЕК повідомлення про наявність у них DNS-серверів. Що відбуватиметься після отримання НКЕК таких повідомлень та після проведення останнім «перепису» власників DNS-серверів, автори законопроекту залишили неврегульованим.
Зауважимо, що у 2014 році законопроектом № 1272 від 05.12.2014 про внесення змін до Кримінального кодексу України (щодо посилення відповідальності за неправомірний обіг засобів платежу) (http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_2?pf3516=1272&skl=9) було запропоновано ввести такий вид злочину як фішинг. Проте, Головне науково-експертне управління апарату Верховної Ради України надало свій висновок від 08.05.2015, у якому зазначило, що пропозиція проекту щодо встановлення кримінальної відповідальності за фішинг є сумнівною та юридично необґрунтованою, адже за вчинення вказаного діяння чинним КК вже передбачена кримінальна відповідальність у статтях 361 та 361-1 або ж за сукупністю злочинів, передбачених статтями 200, 185, 190 та 361 або 361-1 КК, отже, чинний КК повною мірою врегульовує питання кримінальної відповідальності за вчинення відповідних злочинних дій.
2. Відповідно до частини другої статті 16 діючої редакції Закону України «Про електронні комунікації», «суб'єкти господарювання, які мають намір здійснювати господарську діяльність як постачальники електронних комунікаційних мереж та/або послуг, повинні протягом місяця від початку такої діяльності надіслати до регуляторного органу повідомлення про початок здійснення діяльності у сфері електронних комунікацій (далі - повідомлення). Подальше здійснення діяльності у сфері електронних комунікацій без подання повідомлення про початок здійснення діяльності у сфері електронних комунікацій забороняється».
Таким чином, у випадку внесення вказаних змін, самого факту наявності DNS-серверу буде достатньо для того, щоб особа, яка ним володіє або у якої з'явиться намір ним володіти, повинна буде подати до НКЕК повідомлення про встановлення DNS-серверу.
Таке визначення суперечить природі поняття «послуга», яке встановлено частиною першою статті 901 Цивільного кодексу України, відповідно до якої послуга надається виконавцем замовнику за завданням останнього та споживається останнім в процесі вчинення певної дії або здійснення певної діяльності.
Таким чином, діяльність із надання «послуги визначення місцезнаходження домену в мережі Інтернет (послуги DNS)» має передбачати, що є виконавець, який надає замовнику «інформацію про адресний запис домену в мережі Інтернет», і є замовник, який не лише споживає цю послугу (тобто отримує інформацію про адресний запис домену в мережі Інтернет), а і замовляє таку послугу.
Це підтверджується також визначенням електронної комунікаційної послуги, яке дає п. 27) частини першої статті 2 Закону України «Про електронні комунікації»: «27) електронна комунікаційна послуга - послуга, що полягає в прийманні та/або передачі інформації через електронні комунікаційні мережі».
Як бачимо, у даному випадку передбачено саме факт надання послуги, а не можливість її надання.
Виходячи із сказаного, було б логічним у законопроекті дати таке визначення:
«83¹) послуга визначення місцезнаходження домену в мережі Інтернет (послуга DNS) - електронна комунікаційна послуга, що полягає у наданні замовнику шляхом використання сервера доменних імен інформації про адресний запис домену в мережі Інтернет для здійснення міжмашинної взаємодії».
Проте, з огляду на пункт перший, наполягаємо на тому, що законопроект не має бути прийнято.
3. Пропоновані зміни зобов’язують подавати повідомлення про початок здійснення діяльності у сфері електронних комунікацій не лише інтернет-провайдерів (тобто осіб, які дійсно надають своїм клієнтам інформацію про адресний запис домену в мережі Інтернет), але й осіб, які утримують та використовують DNS-сервери виключно для власних господарських цілей, не надаючи третім особам послуг доступу до мережі Інтернет (наприклад, власники інтернет-ресурсів із власними дата-центрами). Таким чином, виникне ситуація, коли у особи можливість надавати інформацію про адресний запис домену в мережі Інтернет є, саму таку інформацію вона нікому не надає і не має наміру надавати, проте все одно вона повинна надати повідомлення про початок здійснення діяльності у сфері електронних комунікацій.
Вказаний недолік усувається пропозиціями із другого та із четвертого пункту.
4. Зазначені зміни покладають на інтернет-провайдерів надлишкові, подвійні зобов’язання подавати повідомлення про початок здійснення діяльності у сфері електронних комунікацій.
Саме інтернет-провайдери є тими особам, хто володіє майже усіма DNS-серверами. При цьому інтернет-провайдери, як постачальники електронних комунікаційних послуг, вже зобов’язані, відповідно до частини другої статті 16 діючої редакції Закону України «Про електронні комунікації», подавати вказане повідомлення. У випадку ж включення в закон поняття послуги DNS, як електронної комунікаційної послуги, інтернет-провайдери змушені будуть подавати повідомлення повторно.
Виходячи із сказаного, було б логічним у законопроекті додати пункт 3 наступного змісту:
«Абзац 3 частини другої статті 16 викласти в такій редакції:
«Обов'язок з надання повідомлення не поширюється на надання:
- послуг міжособистісних електронних комунікацій без використання ресурсу нумерації;
- послуг DNS у складі інших електронних комунікаційних послуг;
- використання DNS-серверів у власних господарських цілях без надання третім особам інформації про адресний запис домену в мережі Інтернет».
Пункти 3 та 4 законопроекту пронумерувати відповідно 4 та 5».
Проте, з огляду на пункт перший, наполягаємо на тому, що законопроект не має бути прийнято.
Отже, вважаємо, що положеннями проекту Закону за реєстр. № 9250-1 від 15.05.2023 не розкрито те, на вирішення якої проблеми він ініційований, та яку проблему та яким чином ним може бути вирішено.
Додаток: копія листа ІнАУ від 08.05.2023 № 47.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК