Китайська хвороба України. Як наша влада хоче зарегулювати інтернет
Китайська хвороба України. Як наша влада хоче зарегулювати інтернет
Сьогодні інтернет-регулювання в Україні відбувається вкрай хаотично. Прозорих правил та чітко визначених гравців немає, що не заважає різним інституціям на власний розсуд спробувати себе в ролі маленького «Роскомнадзору», а судам — видавати вкрай сумнівні ухвали про тимчасове блокування.
Якщо раніше будь-які спроби щось заборонити чи обмежити в інтернеті сприймались як насадження диктатури («закони 16 січня»), то тепер під гаслом «національна безпека» можна просунути що завгодно.
Із моменту ухвалення Указу Президента про застосування санкцій у травні 2017-го не припиняються спроби надати державним органам практично неконтрольовані можливості із блокування веб-сайтів.
Клікніть для збільшення
Чому все так складно?
Заборони, контроль та обмеження доступу — методи, які держави століттями використовували для реалізації власних інтересів. Мотивуючі свої дії потребами захисту національної безпеки, стимулювання економіки, дотримання законності тощо, держави обмежували фізичне переміщення людей, товарів, фінансових ресурсів.
Регулювання обігу інформації підпадало під ті самі правила: цензурування змісту періодичних видань та книжкок, заборона на виготовлення та ввезення окремих видань, криміналізація самостійного виготовлення та поширення копій забороненої інформації.
Зіткнення з інтернетом стало неабияким випробуванням для практик державного контролю. Всесвітня мережа за своєю суттю є сферою, де достатньо важко заборонити доступ до певної інформації, технічні засоби для реалізації таких заборон є дорогими та складними, натомість методи обходу — порівняно легкі та доступні.
«Заблокувати сайт» складно значно мірою тому, що доступність веб-сайту для користувачів забезпечують одразу кілька учасників процесу. Фактично будь-який сайт — це набір файлів та папок.
Хостер розміщує ці файли та папки на своєму сервері, налаштованому так, щоби користувачі інтернету мали змогу сайт відкрити, а власник сайту — вносити до нього потрібні зміни.
Реєстратор домена забезпечує, щоб користувачі інтернету могли потрапити на певний сайт, увівши в браузері зручну адресу на кшталт «google.com» замість довгого та важкого для запам’ятовування набору цифр.
Провайдер надає користувачам можливість підключатися до інтернету, зокрема щоб відвідувати певні сайти.
Тож якщо ви хочете заблокувати сайт, є кілька шляхів:
- можна зобов’язати хостера вимкнути сайт у себе на сервері. Це складніше зробити, якщо хостером є іноземна компанія, що працює за законодавством іншої держави, до того ж власник сайту може порівняно легко змінити хостера;
- можна зобов’язати доменного реєстратора скасувати реєстрацію домену — знову ж таки, якщо реєстратор є іноземною компанією, це може бути досить проблематичним;
- можна заборонити провайдерам надавати доступ своїм клієнтам до сайту — і тоді провайдери мусять вирішувати технічні проблеми, яким чином забезпечити ефективність таких блокувань;
- зрештою, можна криміналізувати відвідування певних сайтів для користувачів та спробувати побудувати свою невеличку Північну Корею.
Українські реалії тепер
В українському законодавстві наразі є дві чіткі підстави зобов’язати провайдерів обмежити доступ до того чи іншого сайту.
Перша — стаття 39 Закону України «Про телекомунікації», яка зобов’язує провайдерів обмежити доступ до сайтів, що містять дитячу порнографію, лише за рішенням суду.
Друга — Указ Президента України №133/2017 «Про рішення Ради національної безпеки і оборони України від 28 квітня 2017 року "Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)"», який запам’ятався насамперед забороною доступу до російських соцмереж. Важливо розуміти, що попри бурхливі обговорення в соцмережах, обмеження стосується лише провайдерів, жодним чином не регламентуючи поведінку користувачів, зокрема використання ними технічних засобів для обходу блокувань.
Є також чітка норма, яка стосується хостерів. Так, стаття 52-1 Закону України «Про авторське право і суміжні права» зобов’язує хостера тимчасовово обмежити доступ до інформації, що порушує авторські права, на підставі заяви про припинення правопорушення від правовласника, без рішення суду. Втім, якщо протягом десяти днів не відкрито судове провадження про захист прав на об’єкт авторського права і суміжних прав, хостер може відновити доступ до сайту. Цією ж статтею визначено обов'язок власника веб-сайту блокувати доступ до такої інформації, навіть якщо він не є власником конкретної сторінки. Для такого блокування тимчасовість не передбачено.
«Листи щастя» від СБУ
Розмови про потреби блокування сайтів актуалізувалися на тлі російської збройної агресії проти України та потреби протидіяти агресору в інформаційній сфері. Єдиною вагомою юридичною підставою був згаданий вище Указ Президента про запровадження санкцій.
Втім, це не завадило державним інституціям спробувати пошукати обхідні шляхи для запровадження блокувань. Так, Служба безпеки України почала розсилати провайдерам лист із «проханнями» та «рекомендаціям» блокувати сепаратистські або проросійські сайти.
Скільки саме листів було надіслано, які провайдери їх отримували та які сайти входили до переліку, — невідомо. У відповідь на запит Лабораторії цифрової безпеки в СБУ повідомили, що списку сайтів, які вони рекомендують провайдерам блокувати, в СБУ не ведуть. Про сам факт існування подібних листів стало відомо після того, як Інтернет-асоціація України почала їх оприлюднювати на своєму сайті.
При цьому нормативні документи та рекомендації держінституцій, на які посилалася СБУ, змінювалися від одного листа до іншого.
Так, у листі до ІнАУ від 23 липня 2014 року фігурував висновок Національної експертної комісії з питань захисту суспільної моралі.
У листі до ТОВ “ЛОАД.МІ” від 25 вересня 2017 року із рекомендацією заблокувати доступ до сепаратистських сайтів, Служба безпеки апелювала вже до Указу Президента України «Про рішення Ради національної безпеки і оборони України від 6 травня 2015 року “Про стратегію національної безпеки України”», Указу Президента України «Про рішення Ради національної безпеки і оборони України від 29 грудня 2016 року “Про доктрину інформаційної безпеки України”», а також статті 25 Закону України «Про Службу безпеки України».
Лабораторія цифрової безпеки звернулася до СБУ із запитами отримати експертні висновки, на основі яких провайдерам було рекомендовано блокувати саме ці сайти. Однак виявилося, що ніяких таких висновків немає, а рішення, які саме сайти вважати сепаратистськими, приймав заступник начальника Головного управління СБУ М. А. Стасюк.
У листі до ІнаУ від 26 грудня 2017 СБУ посилалася на Доктрину інформаційної безпеки та рішення Нацради з питань телебачення та радіомовлення.
Закон «Про СБУ» (п. 2 ст. 25) справді дозволяє Службі безпеки України, її органам і співробітникам для виконання покладених на них обов'язків подавати органам державної влади, органам місцевого самоврядування, підприємствам, установам, організаціям усіх форм власності обов'язкові для розгляду пропозиції з питань національної безпеки. Також ми розуміємо, що протидія Росії в інформаційній війні є важливим завданням. Однак у ситуації, коли це відбувається непублічно, у формі листів із «проханнями та рекомендаціями», принцип формування списків сайтів є незрозумілим, а сама спецслужба не може визначитись із юридичними засадами для блокувань, така практика не може не непокоїти.
Списки МІП
Навесні 2017 року в переліку регулювальників інтернету з’явився новий гравець — Міністерство інформаційної політики України.
У березні 2017-го МІП розробило, а в червні оприлюднило перелік сайтів, «які містять інформацію, що має ознаки такої, що заборонена до розповсюдження нормами українського законодавства» (на думку МІП, переважно йшлося про розпалювання міжетнічної та міжнаціональної ворожнечі і заклики до повалення конституційного ладу). У діях МІП можна спостерігати перші спроби встановити процедуру блокування сайтів.
Запропонована ними модель мала б працювати так:
- робоча група МІП на основі моніторингу формує список сайтів-порушників;
- цей список має затвердити Експертна рада міністерства (зараз у неї входять як депутати й чиновники, так і представники деяких громадських організацій і науковці);
- СБУ та комітет Верховної Ради з питань свободи слова аналізують список та готують на його основі подання до суду;
- суд ухвалює рішення про блокування сайтів.
У порівнянні з листами від спецслужби, це крок уперед, однак юридичні засади таких кроків лишаються незрозумілими — МІП посилається на Доктрину інформаційної безпеки України, яка є декларативним документом. Керуючись якою законодавчою базою мають ухвалювати рішення суди — не зрозуміло.
Очевидно, що МІП явно має намір дотримуватися запропонованої практики, бо в березні 2018-го скерувало до СБУ вже другий список сайтів.
На територію блокувань частково зайшло і Міністерство освіти. 29 грудня 2017 року воно доручило навчальним установам обмежити доступ до доменних зон «.ru» і «.ру» з метою не допустити завдання «шкоди інтересам України в інформаційній безпеці». За даними «Української правди. Життя», всі міністерства отримали відповідні доручення від Кабміну.
Судові лайфхаки
Українська судова система винайшла свій «лайфхак» для блокування сайтів, яким можна скористатись, якщо вам пощастить із суддею. Мова про судові ухвали про забезпечення позову (застосування судом заходів для створення можливості виконання в майбутньому рішення суду про присудження у випадках, якщо їх невжиття може утруднити чи зробити неможливим виконання рішення). І справді, навіщо добиватись остаточного рішення суду, якщо сайт можна заблокувати тимчасово — доки триває розгляд позову, а розгляд цей у наших судах може тягнутися як завгодно довго.
Одним із найперших прикладів його застосування є ухвала Деснянського районного суду м. Києва від 10.02.2012 про забезпечення позову про захист честі, гідності, ділової репутації. Суддя, керуючись статтями 151-153 ЦПК України, зобов’язав хостера тимчасово зупинити роботу веб-сайту.
Втім, не треба думати, що подібна практика відійшла у минуле. Так, 25 серпня 2016 року Печерський суд на забезпечення позову про захист честі і гідності знову зобов’язав хостера тимчасово зупинити роботу веб-сайту.
Небезпеки такої тенденції очевидні: якщо корупціонеру не подобається, що про його махінації написало якесь онлайн-медіа, він подає позов про захист честі й гідності, добивається ухвали про тимчасову зупинку роботи сайту, а далі радісно спостерігає, як помирає ЗМІ, для якого навіть кількаденна відсутність у мережі є згубною. Очевидно, більшість українських ЗМІ це чудово розуміє, тому хоститься за кордоном.
Однак, як виявилося, цей судовий виверт можна поширити й на провайдерів. 20 березня 2018 року слідчий суддя Н. П. Чередніченко Голосіївського районного суду Києва видає неймовірно безграмотну з технічного погляду ухвалу «накласти арешт на майнові права інтелектуальної власності, які виникають у користувачів мережі інтернет при використанні веб-ресурсу “shopmiele.com.ua” та “premiumshop.com.ua” шляхом зобов'язання інтернет-провайдерів закрити до них доступ».
Цікавим цей випадок є одразу з кількох причин. По-перше, йдеться не про ухвалу суду, а про ухвалу слідчого судді, який здійснює судовий контроль у кримінальному провадженні на досудовому слідстві. По-друге, зобов’язують блокувати доступ до сайту вже не хостерів, а провайдерів. Незрозуміло, втім, який чином доносилася ця ухвала до самих провайдерів, однак її чомусь розмістила на своєму сайті Національна комісія, що здійснює державне регулювання у сфері зв'язку та інформатизації.
Однак і тут наш суд знайшов вихід. Уже 19 квітня 2018 року на забезпечення позову щодо заборони поширення інформації, яка порочить честь, гідність та ділову репутацію, Трускавецький міський суд ухвалив зобов’язати провайдерів тимчасово заблокувати доступ до згаданих у позові сайтів. Цього разу зоборона була більш продуманою: «Оскільки заборонити всім провайдерам на території України забезпечувати доступ до сайтів Mmgp.ru, ScamQuestra.com та Prochukhan.org технічно та організаційно не можливо, на думку Заявника найбільш доцільним способом забезпечення позову є заборона найбільшим провайдерам та операторам України, перелік яких Заявник навів в заяві». Ухвала містить перелік провайдерів телекомунікацій, які відтак зобов’язані заблокувати для своїх користувачів названі сайти.
Перші спроби законодавчого регулювання
Неврегульованість ситуації із блокуванням веб-сайтів є чи не головним аргументом із боку правоохоронних органів щодо нагальної необхідності ухвалення відповідного законодавства.
Одразу два законопроекти — №6676 та №6688 — було внесено народними депутатами в парламент у липні 2017 року. У них пропонувалося надати право слідчим та прокурорам здійснювати практично безконтрольне блокування веб-сайтів ще на етапі досудового розслідування, маючи на руках лише рішення слідчого судді за незмагальною процедурою.
Для контексту: слідчий суддя так само видає дозволи на обшуки, прослуховування та інші слідчі дії, ще до винесення обвинувального вироку чи навіть висунення звинувачень проти конкретних власників веб-сайтів.
Відповідно до пропонованих змін, «у виняткових невідкладних випадках» короткострокове блокування (до двох діб) навіть не потребувало б рішення слідчого судді.
На щастя, через активну позицію медіа та правозахисних організацій жоден із цих абсурдних законопроектів у раді не було внесено до порядку денного. Утім, один із них — №6688 — досі не відкликано і його розгляд можуть ініціювати в будь-який зручний для влади момент.
Ще один законопроект №2133а (автори — народні депутати з «Батьківщини», «Народного фронту» та БПП) був поданий у 2015 році й наразі перебуває на доопрацюванні в Комітеті ВР з питань законодавчого забезпечення правоохоронної діяльності.
Ним пропонують зобов’язати операторів телекомунікацій на підставі рішення НКРЗІ блокувати доступ абонентів до ресурсів, «через які здійснюється розповсюдження інформації, поширення якої суперечить закону, та поновлювати такий доступ на підставі відповідного рішення у разі видалення зазначеної інформації, або на підставі судового рішення, яким скасовано рішення щодо обмеження доступу абонентів до ресурсів мережі Інтернет».
«Чорні коробочки СБУ»
20 лютого 2018 року Нацкомісія з регулювання сфери зв'язку та інформатизації (НКРЗІ) погодила підготовлений Адміністрацією Державної служби спеціального зв’язку та захисту інформації (ДСЗІ) проект постанови Кабміну «Про реалізацію і моніторинг ефективності персональних спеціальних економічних та інших обмежувальних заходів (санкцій)». У проекті, зокрема, пропонувалося «забезпечити придбання технічних засобів... для моніторингу стану припинення надання послуг з доступу до інформаційних ресурсів…» і Держслужбі спецзв’язку спільно з СБУ «встановити технічні засоби на телекомунікаційних мережах».
Офіційно потреба у встановленні таких «чорних коробочок СБУ» обґрунтовувалася необхідністю моніторингу виконання указу про санкції. Утім, потенційні загрози приватності та свободі слова, а також широкі можливості для зловживань у разі ухвалення даної постанови викликали вкрай негативну реакцію у представників галузевих та громадських організацій.
Правозахисники та громадські активісти, зокрема, нагадували урядовцям, що встановлення засобів загального спостереження та / або перехоплення інформації в інтернеті прямо суперечить Рекомендаціям CM/Rec(2014)6 Комітету міністрів Ради Європи, відповідно до яких «на вас не повинні поширюватися заходи загального спостереження чи перехоплення інформації» (п. 4) та «сам факт існування законодавства, яке дозволяє здійснювати спостереження за телекомунікаціями, може вважатися втручанням у право на приватне життя» (п. 82).
Те, що пропонується цим документом, нагадує наявні російські практики з цензурування інтернету, зокрема сумнозвісну систему «Ревізор».
Лабораторія цифрової безпеки з’ясувала, що переліку характеристик до «технічних засобів моніторингу» на момент підтримки проекту постанови НКРЗІ не існувало. Самі ж ці «чорні коробочки» від СБУ та ДСЗІ з будь-якою начинкою легко можуть бути використані для несанкціонованого стеження за діями громадян в інтернеті, маніпуляцій із доступом до інформації в інтернеті (обмеження, блокування чи внесення змін у змістовну частину) та інших порушень прав людини.
У квітні СБУ відповіла на звернення громадських організацій і вказали, що їхні зауваження «будуть враховані у службовій діяльності відповідних підрозділів Служби безпеки України».
Блокування від Нацполіції
27 лютого 2018 НКРЗІ погодила ще один документ — підготований Національною поліцією проект закону «Про внесення змін до деяких законодавчих актів України щодо імплементації положень Конвенції про кіберзлочинність». Очікувано, зі згаданою в назві Конвенцією цей законопроект мав дуже мало спільного.
Натомість тепер уже від імені Кабінету Міністрів, а не окремих особливо творчих народних депутатів, пропонується зобов’язати інтернет-провайдерів блокувати веб-сайти за рішенням слідчого судді або й узагалі за простою примхою, тобто приписом цілої низки державних структур.
За винятком одиничних притомних пунктів, які врегульовують статус електронних доказів у судовому процесі, у першій частині законопроект практично повністю повторював положення раніше внесених депутатами законопроектів №6676 та №6688.
Блокувати веб-сайти, розташовані поза межами юрисдикції України, Нацполіція пропонує не лише з метою «попередження або припинення кримінального правопорушення», а й для «встановлення важливих обставин у кримінальному провадженні». Рішення про обмеження доступу до веб-сайтів, які має ухвалювати слідчий суддя за клопотанням прокурора або слідчого, ще до висунення будь-яких офіційних звинувачень проти власників або користувачів веб-ресурсу на термін до 90 днів із можливістю продовження блокування до трьох років.
У третій частині законопроекту пропонується внесення змін у Закон Про телекомунікації. І цими змінами в руки цілої низки державних органів передаються небачені можливості з контролю та маніпуляції інтернет-простором — повноваження, надавати які не додумалися навіть за часів Януковича.
По-перше, інтернет-провайдерів зобов’язують формувати та зберігати «списки кінцевих користувачів»: «Список кінцевих користувачів має містити всі необхідні дані, забезпечуючи однозначну та миттєву ідентифікацію особи кожного кінцевого користувача». При цьому в українському законодавстві немає терміна «кінцеві користувачі», і що законотворці мали на увазі, можна лише здогадуватися. Таким досвідом може поділитися Білорусь, де в інтернет ходять за паспортами.
По-друге, від провайдерів вимагається зберігати і передавати дані про рух трафіку та інші дані користувачів.
І головне — єдине, що потрібно для блокування будь-якого веб-ресурсу, — це «припис» одного із суб’єктів національної системи кібербезпеки. До їх переліку, згідно з ухваленим у жовтні 2017 році законом «Про основні засади забезпечення кібербезпеки», входять Державна служба спеціального зв'язку та захисту інформації України, Нацполіція, СБУ, Міноборони та Генштаб Збройних сил України, розвідувальні органи та Національний банк України.
Таким чином, керівник будь-якого з цих органів у разі ухвалення поданого законопроекту може в будь-який момент заблокувати для українських користувачів будь-який веб-сайт.
Якщо все вищенаведене досі не нагадало читачу про путінську систему контролю за інтернетом, то Перехідні положення законопроекту виправлять цю помилку. У них ідеться і про створення реєстру заборонених сайтів, і про технічні засоби контролю за їх блокуванням. Ласкаво просимо у світ Укркомнагляду, шановні користувачі українського інтернету.
То що ж робити?
Потреба чітких і прозорих правил є актуальною як ніколи, оскільки динаміка останніх місяців дає підстави припускати, що ситуацію буде лише погіршуватися.
Інтернет-регулювання є частиною публічної політики. А отже, ці правила мають розроблятися відкрито, за участі представників громадськості та індустрії. А також бути чіткими і зрозумілими, зафіксованими в нормативно-правових документах та не мінятися «на льоту».
Має бути зрозуміло, які саме державні інституції є суб’єктами інтернет-регулювання та на підставі чого вони ухвалюють відповідні рішення. Очевидно також, що всі рішення мають бути публічними.
Альтернатива цьому шляху — інвестування державних ресурсів у технічні засоби для контролю та блокування, які силові структури можуть використовувати в закритому непрозорому режимі. Це той шлях, за яким пішла Росія, і який не лише є загрозливим для громадянських свобод, але й жахливо неефективним, як показала історія зі спробами блокування сервісу Telegram.
Антон Кушнір, Вадим Гудима, Ірина Чулівська, Лабораторія цифрової безпеки, dslua.org
Фото: Blaise Alleyne, Flickr.com