Страсти вокруг борьбы с киберпреступностью

Страсти вокруг борьбы с киберпреступностью

07 февраля 2010  09:42


Вокруг Закона о борьбе с преступностью в сфере компьютерной информации за последнюю неделю разгорелись нешуточные страсти. А, между тем, появление такого нормативного акта вполне закономерно, и, в целом, оправдано. Правда, составляя его, законодатели допустили ряд неточностей, которые, если не будут исправлены, снова дадут международным организациям повод говорить о несоблюдении в Молдове прав человека.
Закон о предупреждении и борьбе с преступностью в сфере компьютерной информации был принят в феврале 2009 года, а 26 января 2010 — опубликован в «Мониторул Офичиал». То есть он уже вступил в законную силу. А вместе с ним и самое спорное положение документа: об обязанности провайдеров предоставлять правоохранительным органам любые необходимые данные, сохранять их в течение 180 дней, а также, по требованию, проводить их раскодировку.

Еще один важный постулат закона — об обязательном учете провайдерами всех своих клиентов — вступает в силу 26 июля 2010 года.

Откуда ветер дует

Появление этого закона предусматривает Европейская конвенция по киберпреступлениям, одобренная Советом Европы в 2001 году. Молдова ратифицировала документ в декабре 2009-го и вместе с этим приняла на себя обязательство разработать Закон о борьбе с преступностью в сфере компьютерной информации и внести изменения во многие другие нормативные акты.

Такая необходимость обусловлена отнюдь не желанием «побеспредельничать», нарушая права человека. С каждым днем все в новые сферы проникают цифровые технологии, возможности которых позволяют с ювелирной точностью совершать корыстные преступления, не выходя из собственной квартиры. Примеров — масса. Достаточно вспомнить, как в 2008 году группа хакеров из восьми человек, один из которых — житель Молдовы, взломала систему RBS WorldPaу, занимавшуюся обслуживанием банковских карт. Хакеры получили и расшифровали информацию о клиентах и поступлениях на их счета, изготовили дубликаты карты и в течение 12 часов сняли 9,4 миллиона долларов в более чем двух тысячах банкоматов по всему миру.

Строго говоря, основная задача Конвенции — заставить государства, входящие в Совет Европы, принять законы, которые позволят предотвращать компьютерные преступления, своевременно раскрывать их, и существенно упростят уголовное преследование виновных.

Вот как комментирует ситуацию начальник Управления по борьбе с информационными преступлениями МВД РМ Юрие Кацер: «Принятый закон полностью соответствует Конвенции по киберпреступлениям, такие же методы контроля применяются в европейских странах. Присоединение к Конвенции многое дает нам: теперь Молдова — в числе стран, которые в любое время, круглосуточно и без выходных могут получать поддержку других государств в процессе расследования компьютерных преступлений. Это очень важно, потому что в таких расследованиях счет идет не на дни, как обычно, а на часы и минуты — ведь интересующая правоохранительные органы информация может быть оперативно уничтожена преступниками. К тому же, это новый и быстроразвивающийся тип преступлений: еще пять лет назад на Западе считали, что такие случаи будут единичными, но уже сейчас для их полиции это серьезная «головная боль».

О чем именно речь

Многие говорят о том, что новоиспеченный закон, по сути, не содержит главного — он не дал определения «компьютерному преступлению», подозрение в совершении которого ведет к рассекречиванию личных данных. Выглядит это утверждение устрашающе: вроде как рассекречивать информацию будут, наказывать за такие преступления — тоже, а что это — так никто и не определил.

Для начала стоит отметить, что все термины, определенные в статье 2 Закона о предотвращении и борьбе с преступностью в сфере компьютерной информации целиком и полностью взяты из Европейской конвенции по киберпреступлениям. И — ни в Конвенции, ни во многих, аналогичных нашему, европейских законах определения «компьютерных преступлений» нет. Более того, наш закон даже немного расширил принятую международным актом терминологию, введя понятие «меры безопасности».

Впрочем, дать в законе определение «компьютерных преступлений» было бы неплохо, но к рассекречиванию данных и наказанию за киберпреступления это не имеет отношения. Дело в том, что, появись такое понятие, оно стало бы родовым для всех преступлений, совершаемых в сфере информационных технологий. Как, например, кража, разбой, грабеж и мошенничество объединены в Уголовном Кодексе родовым названием «преступления против собственности». Именно так называется глава, в которой их будет искать каждый «почитывающий на досуге» Уголовный кодекс.

Сегодня «компьютерные преступления» называют и киберпреступлениями, и преступлениями в сфере информационных технологий, и преступлениями, совершенными в киберпространстве. Причем этот разброс терминов есть и в международных, и в национальных нормативных актах. Уголовный кодекс РМ, например, объединяет такие и некоторые другие деяния в главу с названием «Информационные преступления и преступления в области электросвязи». Кодекс о правонарушениях называет противоправные действия такого рода «правонарушениями в области электронных коммуникаций, почтовых отправлений и информационных технологий». Смысловая разница небольшая, но, конечно, с юридической точки зрения привести все это «к общему знаменателю» было бы неплохо. При этом стоит помнить, что наличие или отсутствие такого термина никоим образом не влияет на квалификацию деяния и применяемое наказание, потому что каждое из преступлений имеет давно определенные законодателем индивидуальное название, состав и санкцию.

Уголовный кодекс включает в список таких преступлений несанкционированный доступ к компьютерной информации, неправомерный перехват передачи информационных данных, информационное мошенничество, нарушение правил безопасности информационных систем и некоторые другие. Кодекс о правонарушениях относит к области информационных технологий, в частности, несанкционированное предоставление сетей или услуг электронных коммуникаций, почтовых отправлений или информационных технологий и несоблюдение в этих областях регламентирующих документов и технических норм.

Именно в этих двух кодексах содержится информация о преступлениях и правонарушениях, в случае обнаружения которых правоохранительные органы могут сделать провайдеру запрос о сохраненных персональных данных клиента.

Кто проконтролирует «контролеров»

Есть у закона и очевидные «минусы». В частности, вызывает опасения формулировка пунктов f) и g) статьи 7, которая, по сути, позволяет правоохранительным органам упростить процесс сбора доказательств о киберпреступлениях, заранее собирая информацию «обо всех на всякий случай». Похоже, законодатель забыл при этом о правах человека, и «немного» расширил сферу действия Конвенции, которая предусматривает не постоянную запись и 180-дневное хранение интернет-данных, а лишь запись по санкции правоохранительных органов и 90-дневный срок хранения.

На самом деле сбор необходимой для раскрытия преступлений информации должен осуществляться только одним способом, который, кстати, тоже отражен в законе. Нужно обязать провайдеров записывать данные только в случаях, когда их клиенты подозреваются в совершении компьютерного или какого-либо другого преступления. То есть прибегать к идентификации пользователя, изучению его интернет-предпочтений и отправляемой в мировую паутину информации только на основании решения судьи по уголовному преследованию, которое выдавалось бы после возбуждения уголовного дела. Ведь именно так, согласно Уголовно-процессуальному кодексу, сегодня подозреваемый «ставится на прослушку» телефонов — как стационарных, так и мобильных, на этом основании может вскрываться его корреспонденция и за его домом может быть установлено наблюдение.

«Только так и планируется применять новый закон, — говорит начальник Управления по борьбе с информационными преступлениями Юрие Кацер. — Сначала запрос прокурора, потом решение суда, и только затем — запись данных, относящихся к конкретному человеку, подозреваемому в совершении преступления».

Сделать это технически нелегко, но господин Кацер заверил, что «сотрудники правоохранительных органов для разработки механизма сотрудничества будут встречаться с провайдерами, и вопрос этот будет решен».

По его же словам, в полную силу нормативный акт начнет работать примерно через год, что обязательно приведет к увеличению показателя раскрываемости компьютерных преступлений.

У провайдеров закон не вызывает большого энтузиазма. И все же, даже предчувствуя грядущие затраты, они бодренько заявляют — «раз закон есть, будем его исполнять». Ничего другого не остается — это точно, хотя, собственно говоря, никто к непосредственному исполнению нормативного акта пока не приступил.

Общее мнение провайдеров по этому поводу выразил коммерческий директор кишиневского интернет-провайдера «Arax» Илья Федоров: «Конечно, и хранение данных, и их расшифровка потребуют от компаний дополнительных расходов, причем, чем крупнее компания, чем больше у нее клиентов, тем больше будут затраты. Это никому не нравится, особенно учитывая кризис. Но раз принят закон, конечно, всем придется это делать».

Увеличив срок хранения вдвое против указанного в Конвенции, законодатель автоматически увеличил количество информации, и особенно — затраты провайдеров на ее хранение. Что ж, нашим гражданам не привыкать: «спасение утопающих — дело рук самих утопающих».

Есть еще один спорный момент. Технически выполнить задачу по «слежке» за одним клиентом довольно сложно, но раз правоохранительные органы обещают совместно с провайдерами разработать такой механизм — как говорится, будем ждать. В то же время если речь, даже по решению суда, пойдет о записи данных всего трафика (что прямо следует из закона и более чем вероятно), то возникшая ситуация может считаться опасной с точки зрения нарушения прав человека.

Также вызывает опасения процесс уничтожения огромных архивов после 180-дневного срока хранения или в случае закрытия уголовных дел. Закон не оговаривает ни лиц, которые этим будут заниматься, ни систему учета и контроля в этой области. А, между тем, разглашение личной переписки человека, например, влечет за собой уголовную ответственность, поэтому процесс уничтожения архивов должен находиться под жестким контролем, чтобы не допустить утечки информации.

Кроме того, вполне обоснованные опасения у обычного человека вызывают и сами правоохранительные органы. Кто будет осуществлять контроль за тем, чтобы расшифровывались данные только одного определенного подозреваемого в преступлении человека? Или, скажем, группы лиц? Какую гарантию защиты своей личной переписки и других электронных действий частного характера может получить обычный законопослушный человек? Ответов на эти вопросы закон не дает.

А что с правами человека?

Делая выводы, важно не забыть, что вышеперечисленные риски нам создает государство. Поэтому они очень велики и действительно опасны. Хорошо бы все допускающие разночтения постулаты убрать из закона, как провоцирующие массовые нарушения прав человека. Ведь о защите личных данных говорят и наша Конституция, и кодексы, и международные документы, которые в иерархии законов находятся на несколько ступеней выше, чем «новоиспеченный» закон.

Совет Европы по этому поводу подчеркивает, что «любое нововведение такого рода должно соблюдать четкий баланс между интересами законности и уважением к фундаментальным правам человека».

Статья 8 Европейской конвенции о правах человека утверждает, что «каждый имеет право на уважение его личной и семейной жизни, его жилища и его корреспонденции». Там де отмечается, что публичные власти могут вмешиваться в реализацию этого права только в предусмотренных законом случаях: «в интересах национальной безопасности, общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц».

То же самое декларирует Конституция Молдовы в статье 28, обеспечивающей уважение и охрану «интимной, семейной и частной жизни, и в статье 30 «Тайна переписки». Похожие нормы и санкции содержатся в Уголовном кодексе в статьях 177 «Нарушение неприкосновенности личной жизни» и 178 «Нарушение тайны переписки», которые, помимо прочих наказаний, предусматривают также лишение свободы.

Сравнение этих нормативных актов и требований Закона о борьбе с преступностью в сфере компьютерной информации, приводит, увы, к неутешительным выводам. Похоже, указанный в законе принцип соблюдения прав и свобод человека на деле не особенно принимается во внимание. И сегодня можно с уверенностью сказать, что, если документ начнет применяться в том виде, в котором был опубликован 26 января, то вскоре список решений, вынесенных Европейским судом по правам человека против Молдовы пополнится делами и по 8 статье ЕКПЧ.

Terrawww.terra.md

+1
Поделиться
Запинить
Класснуть
Зацени-ка

Комментарии