DURA LEX, SED LEX

Операция «Перехват»: тотальный рентген

25 мая Большая палата суда вынесла 200-страничное решение по делу «Биг Бразер Уотч и другие против Соединенного Королевства» (Big Brother Watch and Others v. the United Kingdom), в котором рассматривался вопрос правомерности действий спецслужб, установивших тотальный контроль за интернет-трафиком. Забегая вперед, отметим, что правовой системе Великобритании был нанесен чувствительный удар: Большая палата единогласно признала знаменитый акт RIPA нарушающим право на уважение частной жизни и свободу выражения мнений.

Заявителями по делу выступили 16 правозащитных и журналистских организаций, считавших, что их электронная переписка систематически перехватывалась британскими спецслужбами в рамках программы Tempora, о которой в свое время рассказал экс-сотрудник ЦРУ Эдвард Сноуден. Кроме того, по утверждению заявителей, часть сообщений британцы получали от коллег из США, где действовали аналогичные программы PRISM и Upstream.

Заявители инициировали несколько судебных разбирательств, в которых оспорили целый ряд норм британского законодательства, регулирующего деятельность спецслужб, включая легендарную МИ-6. В ходе этих процессов специализированный суд Великобритании признал, что в некоторых случаях закон и практика перехвата сообщений создавали угрозу правам заявителей (например, содержимое электронной почты организации Amnesty International хранилось в архиве спецслужб дольше положенного) и требовали больше прозрачности. Но в целом оспариваемые нормы были признаны соответствующими основным принципам внутригосударственного и международного права.

Чтобы понять, что именно не устраивало заявителей, необходимо сказать несколько слов о законодательстве Соединенного Королевства. Действовавший в редакции до 2018 года Акт о регулировании следственных полномочий (RIPA) предоставлял компетентному министру право выдавать ордер на перехват любых сообщений, если это было необходимо в интересах нацио­нальной безопасности, экономического процветания или для расследования серьезных преступлений. На основании таких ордеров в руках спецслужб оказывались любые данные интернет-трафика, идентифицирующие вовлеченных лиц, используемые ими компьютерные программы, материалы, адреса и т. д. Кроме того, правоохранительные органы могут получать интересующую их информацию от иностранных коллег и непосредственно от поставщиков услуг связи.

Выдаваемые министром ордера делятся на два типа: целевые (то есть «привязанные» к конкретному лицу или почтовому адресу) и нецелевые – дающие право перехватывать вообще весь трафик, проходящий через указанный в ордере канал или кабель. По сути, ордера второго типа являлись не столько инструментом расследования, сколько неизбирательным способом получения информации. В связи с этим закон рекомендовал для работы с большими объемами данных использовать автоматизированные системы поиска (селекторы), чтобы не привлекать людей к фильтрации всего перехваченного материала.

Механизм выдачи ордеров работал почти безотказно. Так, только в 2016 году британские разведка и полиция получили от министра более 3 000 разрешений на перехват данных, и лишь в пяти случаях им было отказано.

При этом закон требовал, чтобы государство свело последствия перехвата трафика до необходимого минимума, начиная с количества имеющих доступ к переписке агентов и заканчивая числом сделанных копий. Кроме того, при рассмотрении запроса на выдачу ордера министр должен был в каждом случае оценивать соразмерность вмешательства в тайну переписки преследуемой цели и отказывать в выдаче, если эта цель могла быть достигнута без перехвата сообщений. Также предлагалось принимать во внимание риск «сопутствующего вторжения», то есть перехвата информации, относящейся к особо охраняемой тайне – религиозной, медицинской, адвокатской, журналистской и т. п. Наконец, закон содержал требование о парламентском контроле, независимом надзоре и периодическом аудите данной деятельности спецслужб на предмет соблюдения всех перечисленных (и многих других) правил.

Следует также отметить, что британский закон, оберегая конфиденциальность методов работы спецслужб, прямо запрещал использовать полученные данные в судебных разбирательствах, в том числе в качестве доказательств по уголовным делам.

В 2018 году в Великобритании состоялась правовая реформа, в ходе которой ранее засекреченные нормы о сборе данных связи впервые были предметом общественного обсуждения. В основе большинства изменений лежали рекомендации, сделанные специальной парламентской комиссией в ходе глобального изу­чения возможностей спецслужб по перехвату интернет-трафика.

Заявители утверждали, что массовый перехват сообщений, в принципе, не является ни необходимым, ни соразмерным с точки зрения права на уважение частной жизни. По их мнению, далеко не все, что является полезным для работы спецслужб, полезно для общества в целом. Вопреки утверждениям государства-ответчика, заявители настаивали, что перехваченные данные представляют собой не столько «бесформенную магму», сколько индексированный каталог, позволяющий быстро найти любую информацию.

Также заявители критиковали качество британского закона: по их мнению, он был настолько сложным, что истинный характер государственного вмешательства стал понятен только после откровений Сноудена. Отсутствие необходимости получать санкцию суда на доступ к трафику делало процедуру непрозрачной, неопределенной и неподконтрольной обществу.

В свою очередь правительство Великобритании утверждало, что оспариваемый механизм имел решающее значение для национальной безопасности страны. Из-за технических особенностей электронной связи невозможно организовать точечный перехват только определенных данных, поскольку они передаются пакетами и направляются разными физическими маршрутами. Следует также учитывать, что подавляющее большинство перехваченных данных на практике никогда не извлекается для ознакомления и удаляется после кратковременного хранения. При этом, по утверждению британских влас­тей, процедура отбора нужных данных находилась под постоянным контролем и сопровождалась адекватной отчетностью.

Кроме того, государство-ответчик настаивало, что получение судебного или даже административного ордера на перехват каждого сообщения потребовало бы рассмотрения тысяч запросов в неделю, и спецслужбы просто не успевали бы корректировать свои действия в условиях быстро меняющейся обстановки.

Эти доводы поддержали вступившие в дело в качестве третьей стороны правительства Франции, Норвегии и Нидерландов.

Специальный докладчик ООН и ряд правозащитных организаций, напротив, считали, что тотальный перехват сообщений угрожает не только праву на уважение частной жизни, но и связанному с ним праву на выражение мнения, поскольку зачастую страх раскрытия онлайн-деятельности препятствует доступу к информации. Кроме того, деятельность спецслужб позволяет им получать доступ как к контенту, так и к метаданным, которые могут рассказать о человеке даже больше, чем содержание его сообщений.

Приступая к рассмотрению жалобы, ЕСПЧ напомнил, что ранее в прецедентной практике по похожим делам выработал шесть минимальных гарантий для предотвращения злоупотребления властью. Это означает, что в национальном законе должно быть четко изложено следующее: по каким правонарушениям может применяться перехват сообщений, в отношении каких лиц, максимальная продолжительность перехвата, процедура исследования перехваченных данных, меры предосторожности против попадания данных третьим лицам и, наконец, правила их уничтожения.

Вместе с тем ранее суд сталкивался в большей степени с целевыми перехватами информации, направленными на отдельных лиц для расследования конкретных преступлений. В отличие от них, массовые перехваты чаще используются для целей внешней разведки и обнаружения новых неизвестных угроз, что требует более высокой степени секретности. В то же время некоторые угрозы современному обществу (например, кибератаки) существуют преимущественно или даже целиком в цифровой среде и поэтому могут быть отражены только посредством цифровых методов.

Большая палата отметила, что массовый перехват интернет-трафика – это последовательный процесс, в котором интенсивность вмешательства в частную жизнь граждан нарастает от этапа к этапу: сначала государство перехватывает и сохраняет данные связи, потом применяет к ним специальные автоматизированные селекторы и анализирует выбранные сообщения, а впоследствии хранит и использует «конечный продукт». Защита прав граждан должна осуществляться на каждом этапе с учетом упомянутого возрастания угрозы частной жизни.

Так, традиционное требование предсказуемости закона в подобных случаях нельзя понимать буквально – как дающее каждому лицу возможность предвидеть, что он станет объектом негласного перехвата сообщений. Скорее, речь должна идти о четких, ясных и подробных правилах, исключающих произвол компетентных органов. При этом перехват данных во всех случаях должен отвечать критерию необходимости и пропорциональности, а также находиться под эффективным контролем. Последнее тем более важно, что такой контроль, по понятным причинам, не может осуществляться самим затронутым лицом (оно, как правило, вообще остается в неведении).

Другой важный аспект – это проблема так называемых «связанных данных», то есть сведений, которые не относятся к содержанию перехваченного сообщения, но могут раскрывать массу личной информации об отправителе: от его местонахождения до используемого им оборудования.

С учетом этих особенностей суд отметил, что к массовому перехвату трафика очень сложно применить традиционные правовые гарантии – например, точно указать перечень преступлений, для расследования которых его можно применять. Точно так же в данном случае не работает критерий «разумного подозрения», который позволяет получать ордер в отношении точно идентифицированного лица. Проблема в том, что массовый перехват часто используется в разведывательных и превентивных целях.

И тем не менее весь процесс массового перехвата интернет-трафика должен сопровождаться сквозными гарантиями, то есть на каждом этапе соразмерность и необходимость принимаемых мер подлежат независимой оценке. В частности, начало операции возможно только после получения санкции – если не судебной, то в любом случае независимой от исполнительной власти. Также важно сопровождать каждое решение обоснованным документированием, чтобы обеспечить возможность последующей проверки. Наконец, любой, кто подозревает, что его сообщения были перехвачены разведывательными службами, должен иметь эффективное средство правовой защиты, чтобы оспорить законность предполагаемого перехвата. Более того, если речь идет о международном обмене данными, то государство обязано удостовериться, что другая сторона гарантирует аналогичный уровень защиты частной жизни граждан.

Применяя все эти соображения к рассматриваемому делу, суд указал, что оспариваемая заявителями практика опиралась на национальное законодательство, которое отвечало критерию доступности. Вместе с тем процедура выдачи ордера на перехват трафика зависела от решения компетентного министра, которого трудно признать независимой инстанцией. Кроме того, в запросах на выдачу ордера британские спецслужбы не указывали, какие селекторы для поиска нужной информации они планируют использовать. Соответственно, министр даже при желании не мог адекватно оценить соразмерность вмешательства государства в частную жизнь. Наконец, суд отметил, что само описание подлежащих перехвату данных, которое содержалось в запросах на имя министра, было слишком общим и неконкретным (например, «материалы, представляющие собой разведывательные данные о терроризме»). Следовательно, на практике могли возникнуть проблемы с чрезмерно широким толкованием полученных от министра полномочий.

И хотя предпринятый судом сложный восьмиступенчатый анализ британского закона не выявил других недостатков, этих нескольких «мелочей» хватило, чтобы Большая палата единогласно проголосовала за нарушение Великобританией статьи 8 конвенции. Соединенное Королевство поплатилось за низкое качество своего закона, который, по мнению ЕСПЧ, не обеспечил должного уровня защиты частной жизни граждан.

Ряд судей Большой палаты выступили с особыми мнениями. Так, бельгиец Лемменс, босниец Вехабович и словенец Бошняк посчитали, что статью 8 также нарушает практика получения государством информации от иностранных разведок. Во вступ­лении они отмечали, что конфиденциальность в современном мире крайне важна для здоровья человека: простое ощущение того, что за вами постоянно наблюдают, может подрывать психическое и физическое благополучие. В такой ситуации люди склонны резко менять свое социальное поведение в сторону конформизма, отказываясь от индивидуальности, что, в свою очередь, угрожает основам демократического общества.

Далее трое судей указали, что сама процедура отбора из огромного массива перехваченной информации той, которая заслуживает внимания спецслужб, является абсолютно непрозрачной. Непонятно, какими критериями при этом руководствуются компетентные органы, что само по себе поднимает серьезные вопросы о предсказуемости национального законодательства. Более того, именно на этой стадии, когда внимание спецслужб фокусируется на конкретных лицах (почтовых ящиках, аккаунтах, IP-адресах), требуется независимый конт­роль, в идеале – судебный, а не внутренний. Трудно понять, как человек, имеющий организационную связь с органом, из которого исходит запрос, может изучить его со всей справедливостью и объективностью.

В итоге судьи пришли к выводу, что Большая палата суда не в полной мере воспользовалась возможностью установить высокие стандарты защиты прав личности в деле, имеющем решающее значение для будущего Европы.

Португалец Альбукерке также считал, что суду следовало признать нарушением статьи 8 конвенции получение британскими властями огромного количества данных, перехваченных спецслужбами США. Кроме того, он выдвинул еще ряд соображений в пользу заявителей. Например, Альбукерке отметил, что массовый нецелевой перехват интернет-трафика прямо или косвенно запрещен в 23 европейских государствах, где он признан и опасным, и неэффективным. По сути, провозглашенный судом отказ от концепции «обоснованного подозрения» ставит под угрозу частную жизнь любого человека, даже абсолютно далекого от криминала или вопросов национальной безопасности. Между тем любой объект перехвата должен быть идентифицирован на основе каких-то объективных фактов. В некоторых случаях британский закон приводит к парадоксальным ситуациям: если житель Лондона отправляет другому жителю Лондона сообщение в Twitter через расположенный в США сервер, для перехвата этого сообщения разведке МИ-6 нужен подписанный министром ордер. Однако если это же сообщение перехвачено спецслужбами США, то они могут передать его британским коллегам без всякой санкции. Получается, что различие в уровне защиты персональных данных обусловлено чистой случайностью.

В целом португальский судья подверг своих коллег довольно жесткой и эмоциональной критике, посчитав, что суд излишне лояльно отнесся к доводам государства-ответчика.

На что нужно обратить внимание в этом, безусловно, знаковом судебном решении?

Разгоревшиеся в Страсбурге дискуссии еще раз подтвердили: вопрос защиты частной жизни и ее элементов на наших глазах превращается в главную юридическую проблему современности. Она, как это часто бывает, осознается далеко не всеми и далеко не сразу, но это не меняет сути дела. Забота о персональных данных до сих пор воспринимается многими как некое модное увлечение, блажь скучающего от сытости «золотого миллиарда». Причем разговоры о необходимости держать государство под строгим общественным контролем дружно стихают после каждого резонансного теракта, которые, к сожалению, даже в благополучной Европе происходят регулярно (Париж, Брюссель, Ницца, Берлин, Манчестер, Лондон, Барселона). В самом деле, как можно ограничивать спецслужбы, если преступники пользуются все более изощренными технологиями, и на кону стоят жизни людей?

Но проблема гораздо глубже. Персональные данные буквально за несколько лет превратились в главный политический и экономический актив. Социологи, работавшие на команду Дональда Трампа, доказали: анализа 68 лайков в Фейсбуке достаточно, чтобы с точностью 95% угадать цвет кожи пользователя, его сексуальную ориентацию и принадлежность к той или иной политической партии. Это позволило политтехнологам организовать рассылку десятков тысяч уникальных мотивирующих сообщений, максимально соответствующих психологическому портрету каждого избирателя. О том, что такое таргетированная реклама, практически каждый из нас знает не понаслышке: стоит один раз набрать в поисковике интересующий тебя товар, как соответствующие предложения будут преследовать твои профили на всех ресурсах. Почти как у Оруэлла: «Аппарат этот (он назывался телекран) притушить было можно, полностью же выключить – нельзя».

Более того, наша личная жизнь подвергается опасности не только со стороны государства и бизнеса, но и со стороны гражданского общества. Возможно, кого-то радуют периодические увольнения чиновников из-за неосторожно выложенных видео из бань и рес­торанов, но лично я вижу в этом и вторую сторону, а именно – полное пренебрежение чужой частной жизнью.

Необратимый процесс цифровизации делает это пренебрежение крайне опасным. Никто не спорит, что тотальный рентген интернет-трафика открывает уникальные возможности для борьбы с преступностью, коррупцией и экстремизмом. Но он же приводит к экспотенциальному росту сбора персональных данных с перспективой манипулировать огромными массами людей гораздо эффективнее, чем тупая назойливая пропаганда. Усердно вскармливаемый государством «цифровой зверь» вполне способен взбунтоваться и превратиться из движка социального прогресса в его тормоз.

Ну а главное, что необходимо вынести из решения ЕСПЧ по британскому делу – это идею о том, что растущие возможности компетентных органов должны уравновешиваться усилением независимого (судебного и парламентского) контроля, созданием подробной и доступной законодательной базы. Поверьте, в Соединенном Королевстве со всем этим дело обстоит очень неплохо: оспоренная в ЕСПЧ практика была предметом очень строгой, порой вызывавшей профессиональное восхищение, проверки со стороны законодательной и судебной властей. И если даже при этом государство-ответчик проиграло, что называется, в одну калитку, нам всем есть о чем задуматься.

Автор:
Тимур Ерджанов, юрист-международник
17:53, 3 Июня 2021
0
7139
Подписка
Скопировать код

Читайте также

Популярное