← Назад · ← На главную · ← Назад к списку
[ADRN Issue Briefing] Опасности Конвенции ООН по киберпреступности для свободы слова и конфиденциальности: Глобальный картель правительств ради большей власти и данных
От редактора
Кён Син Пак, профессор Университета Корё и директор Open Net, рассматривает потенциальные угрозы, которые Конвенция ООН по киберпреступности представляет для свободы выражения мнений и права на конфиденциальность. Пак подчеркивает опасения, что проект Конвенции включает положения, которые могут непреднамеренно криминализировать законное выражение мнений, предписывать расширенное наблюдение без адекватных гарантий и разрешать обмен данными между государствами в обход мер защиты конфиденциальности. Кроме того, расплывчатые определения преступлений могут быть использованы авторитарными режимами для подавления инакомыслия. Пак призывает к существенным поправкам в договор, чтобы обеспечить его соответствие международным стандартам в области прав человека, подчеркивая необходимость надежных гарантий конфиденциальности и защиты законной онлайн-деятельности.
Конвенция ООН по киберпреступности, если она вступит в силу, будет многосторонним договором, по которому государства-участники обязуются криминализировать не только определенное поведение, похожее на кибератаки, но и определенное поведение, осуществляемое с помощью киберсредств, в соответствии со своими национальными законами (т.е. регулировать их как «киберпреступления»); (2) собирать, записывать, изымать и принуждать других сохранять электронные данные при расследовании любых преступлений различными способами, которые государства-участники ранее не были обязаны применять по международному праву; и (3) обмениваться таким образом полученными данными друг с другом для содействия расследованию киберпреступлений или «серьезных преступлений». Являясь одной из немногих норм, обязывающих правительства по всему миру усиливать ограничения на поведение отдельных лиц и их способность шпионить за своими гражданами, она вызывает обеспокоенность в области прав человека. Этот новый международный договор представляет опасность для свободы выражения мнений и конфиденциальности. Некоторые из действий, которые требуется криминализировать, могут включать законные высказывания; государственное наблюдение теперь является международным обязательством без четкого обязательства по защите конфиденциальности; а обмен данными между государствами не только удвоит или утроит масштабы нарушений конфиденциальности, но и обойдет существующие гарантии конфиденциальности, такие как требование ордера надлежащего конституционного качества. Соответственно, этот новый договор требует серьезных поправок, если он будет ратифицирован в будущем.
Риск для свободы выражения мнений: «То, что криминализировано офлайн, должно быть криминализировано и онлайн?»[1]
Прежде всего, любое предписание криминализировать определенное киберповедение неизбежно затронет свободу слова. Это связано с тем, что «киберповедение» по определению включает передачу и получение сообщений, которые составляют речь. Договоры о киберпреступности являются результатом осознания того, что, поскольку жизнь людей глубоко зависит от Интернета, некоторые виды высказываний или кибердеятельности могут нанести односторонний вред и поэтому требуют международного сотрудничества в предотвращении посредством правовых процедур. Следовательно, проект Конвенции, как и ее предшественница, Будапештская конвенция, обязывает государства-участники ограничивать определенные формы выражения мнений или киберповедения, обязывая их криминализировать их. Поэтому важно не пересекать границы между односторонне вредными высказываниями, такими как кибератаки, и обычными высказываниями, защищенными правами человека.
Нынешний список этих обязательных преступлений на первый взгляд кажется безобидным. Первые семь преступлений — это действия, похожие на кибератаки, взятые из Будапештской конвенции. К ним относятся несанкционированный доступ, несанкционированное перехватывание, вмешательство в данные, вмешательство в работу системы, злоупотребление устройствами, компьютерное подделывание и компьютерное мошенничество. Другие — это преступления, «совершенные с помощью киберсредств»: преступления, связанные с детской порнографией, также взяты из Будапештской конвенции, а три новых — подстрекательство или груминг несовершеннолетних, распространение интимных изображений без согласия и отмывание денег — не кажутся спорными.
Однако определение «мошенничества» в статье 13 было расширено таким образом, что позволяет использовать его для создания и применения преступлений, связанных с «фейковыми новостями». Они использовались как предлог для авторитарных правительств для подавления журналистов-диссидентов и правозащитников. Требуется криминализация «причинения имущественного ущерба другому лицу путем … любого обмана относительно фактических обстоятельств, совершенного с использованием [компьютерной системы] [устройства информационно-коммуникационных технологий], который побуждает лицо совершить или воздержаться от совершения чего-либо, что оно иначе не совершило бы или от чего не воздержалось бы». Понятия «обман» и «воздержание от совершения чего-либо» чрезвычайно расплывчаты и потенциально могут быть использованы для криминализации и преследования законной деятельности. Требование имущественного ущерба другому лицу может быть удовлетворено, если кто-либо понесет финансовый ущерб. Например, правозащитник, который инициирует онлайн-бойкот компании, поддерживающей военную диктатуру, может быть легко привлечен к ответственности по этому обвинению, если правоохранительные органы смогут выявить незначительные фактические неточности в литературе о бойкоте.
Кроме того, понятие «вмешательство в работу информационной и коммуникационной системы» согласно статье 10 проекта Конвенции, унаследованное от Будапештской конвенции, может препятствовать использованию технологий правозащитниками. Например, в Южной Корее политический активист был арестован и обвинен за комментирование и лайкирование массово в рамках явной кампании по поддержке определенных политических взглядов путем преувеличения их популярности (Пак, 2019). От других политических активистов его отличало то, что он использовал чужие киберидентичности, хотя и без согласия, и автоматизировал генерацию комментариев и лайков с помощью программного обеспечения. Ему было предъявлено обвинение по устаревшему закону о «вмешательстве в бизнес путем незаконного использования информационных и коммуникационных сетей», который являлся основным положением, используемым для наказания за кибервзлом. Однако право на анонимное общение, как подтверждено решением Конституционного суда Кореи 2012 года по Закону об именах в Интернете и делом Верховного суда США 1995 года Terry v. Ohio, позволяет людям использовать вымышленные или псевдонимные личности. Безусловно, реальные владельцы личностей не жаловались на какой-либо ущерб или отсутствие согласия. Тот факт, что он использовал автоматизацию, не должен быть основанием для незаконности. Автоматизация осуществления свободы слова не должна считаться преступлением, хотя она может рассматриваться как невежливая и шумная, подобно использованию громкоговорителей в классе. Если такие действия будут признаны преступными, то создание веб-сайта также будет считаться преступлением. Такое автоматизированное комментирование отличается от взлома, который действительно подрывает нормальное функционирование сети.
Исходя из приведенного выше примера, мы видим, как определение кибервзлома в Конвенции может быть расширено для подавления законной политической деятельности, опирающейся на цифровые технологии. Предписание криминализировать его в проекте Конвенции, как и в Будапештской конвенции, должно сопровождаться некоторыми гарантиями против превращения его в инструмент подавления демократии.
Более того, поскольку первоначальная цель договоров о киберпреступности заключалась в защите целостности информационных и коммуникационных систем, парадоксально, что ни Будапештская конвенция, ни новый проект Конвенции не предписывают исключений для законных исследователей безопасности (т. е. «белых хакеров»). Проект Конвенции лишь вскользь упоминает вклад этих исследователей в разделе, посвященном «превентивным мерам» против дальнейших киберпреступлений, признавая их значительную роль в повышении целостности систем.
Что еще более проблематично, так это то, что статья 4 проекта Конвенции требует от государств-участников распространить свои существующие уголовные законы, установленные международными договорами, на их онлайн-аналоги. Это предполагает принцип эквивалентности, согласно которому «то, что криминализировано офлайн, должно быть криминализировано и онлайн». Например, закон, криминализирующий угрозы физического насилия, может быть применен к активисту-диссиденту, который использует агрессивный язык против правителей своей страны через онлайн-публикацию (Freedom Online Coalition Advisory Network 2024). Проект Конвенции пытается решить эту проблему статьей 6, которая требует «соответствия» международному праву прав человека и запрещает любую интерпретацию, «допускающую подавление прав человека или основных свобод, включая … свободы выражения мнений, совести, мнения, религии или убеждений, мирных собраний и ассоциаций». Пока неизвестно, будет ли этого расплывчатого упоминания достаточно. Хотя большинство европейских правительств, по-видимому, удовлетворены (Министерство иностранных дел Нидерландов 2024), неудивительно, что действующие лица согласятся предоставить себе больше власти над (и больше данных о! — см. следующие разделы) своими подданными, чем хотели бы позволить себе ограничиваемые и контролируемые люди.
Наблюдение теперь является международным правовым обязательством: опасности договора о наблюдении при отсутствии договора о конфиденциальности
Во-вторых, государства-участники, ранее не обязанные проводить наблюдение, теперь будут обязаны проводить его в качестве долга по новому международному праву. Шесть обязательных мер наблюдения следующие: ускоренное сохранение хранящихся электронных данных, ускоренное сохранение и частичное раскрытие трафиковых данных (как часть сохраненных хранящихся электронных данных), ордер на производство, обыск и изъятие хранящихся электронных данных, сбор трафиковых данных в реальном времени и перехват данных содержания (ранее — то же, что и в Будапештской конвенции).[2] Например, ни одно государство ранее не было обязано принимать законодательство, разрешающее перехват данных содержания, требование, которое теперь закреплено в Конвенции. Такой долг возникает не только в отношении кибератак или преступлений, «совершенных с помощью киберсредств», но и в отношении всех преступлений. Поразительно, но в настоящее время не существует международного договора, защищающего конфиденциальность, кроме Международного пакта о гражданских и политических правах (МПГПП), и его статья 17 о конфиденциальности очень кратка и не была полностью реализована в ограничении стремления мировых правительств к наблюдению за своими гражданами или гражданами других стран. В отличие от этого, статья 19 МПГПП о свободе выражения мнений, по которой Комитет ООН по правам человека, орган, ответственный за мониторинг соблюдения государствами-участниками МПГПП, выпустил общее замечание (Общее замечание 34) в 2011 году, относительно недавно, после усвоения уроков цифровой эпохи с момента появления Интернета в начале 1990-х годов. Генеральная Ассамблея ООН также назначила и воспользовалась услугами Специального докладчика по вопросу о свободе мнений и их выражения, который десятилетиями совершенствовал и конкретизировал нормы свободы слова через свои тематические доклады и доклады о визитах в страны. Конкретные правила клеветы, отключения Интернета, сетевого нейтралитета, вещания, освобождения от ответственности посредников были разработаны для конкретного применения в различных спорах о свободе слова по всему миру.
Однако в вопросе конфиденциальности было предпринято сравнительно мало действий. Законы о защите данных стали популярными и распространились на все большее число стран, некоторые из которых создали, возможно, единственный международный договор о конфиденциальности, а именно Конвенцию 108/108+. Однако внутренние и международные нормы защиты данных обычно включают значительные исключения для функций государственных органов, таких как наблюдение и обработка данных, разрешенная законом, что делает их неэффективными для регулирования сбора данных правительствами в целях уголовного расследования. Сторонники проекта Конвенции, по-видимому, не осознают последствий договора, который поощряет, если не требует, глобальные правительства ограничивать конфиденциальность людей в отсутствие встречного договора, который защищает и продвигает ее.
Все это повсеместное нарушение конфиденциальности может быть оправдано, если договор о киберпреступности будет ограничен серьезными преступлениями, имеющими универсальное значение. К сожалению, однако, как в Будапештской конвенции, так и в новом проекте Конвенции, предписание мер наблюдения применяется ко всем преступлениям. Ограничение «серьезными преступлениями» применяется только к международному обмену данными, который будет обсуждаться позже. Хотя эти обязательные меры наблюдения должны быть смягчены существующими национальными законами (такими как конституционное право, защищающее права лиц, за которыми ведется наблюдение) в соответствии с пунктом 1 статьи 24, нет никакой гарантии, что эти национальные законы действуют в направлении защиты конфиденциальности. В то время как Будапештская конвенция явно ссылается на МПГПП и другие договоры по правам человека, которым должны соответствовать эти национальные законы, проект Конвенции лишь упоминает «международное право прав человека».
К счастью, пункт 2 статьи 24 (как и аналогичное положение Будапештской конвенции) включает «судебный или иной независимый пересмотр, право на эффективное средство правовой защиты, основания, оправдывающие применение, и ограничение объема и продолжительности такой власти или процедуры», что соответствует судебным ордерам во многих демократиях. Можно было надеяться, что многие страны, где наблюдение проводилось без судебного разрешения, теперь будут обязаны внедрить требования судебного разрешения для будущего наблюдения. Однако пункт 2 статьи 24 развеивает эту надежду, вводя ограничение: «[в] соответствии с национальным законодательством каждого государства-участника и во исполнение его».[3] Конечно, национальное законодательство должно «обеспечивать защиту прав человека в соответствии с его обязательствами по международному праву прав человека» согласно пункту 1, но, как мы обсуждали ранее, оно страдает от отсутствия конкретики. В отсутствие конкретного договора, требующего судебного разрешения на наблюдение, положения пункта 2 статьи 24 остаются неэффективными.
Тот факт, что эти меры наблюдения, хотя и уже добровольно применяются многими правительствами, становятся обязательными по международному праву, вызывает обеспокоенность, когда риск морального риска среди действующих правительств, быстро соглашающихся предоставить себе больше данных, не хеджируется встречным договором, защищающим конфиденциальность.
Наблюдение удвоено и непроверено: мы должны иметь право на то, чтобы ордера на наш обыск проверялись судьями, обязанными уважать нашу конфиденциальность
В-третьих, обмен результатами наблюдения между государствами-участниками естественным образом ограничивает конфиденциальность лица, за которым ведется наблюдение. Если одно правоохранительное ведомство проводит обыск и изъятие у физического лица и делится полученной информацией с другим правоохранительным ведомством, это равносильно тому, что два разных ведомства проводят свои соответствующие мероприятия наблюдения за этим лицом. Такое удвоение ограничения конфиденциальности может произойти так же, когда национальности двух правоохранительных органов различны, как в типичном сценарии, предусмотренном проектом Конвенции.
Международное право прав человека и конституционное уголовное судопроизводство фокусируются на моменте, когда частные данные пересекают границу между частной сферой лица и правоохранительными органами, но не столько на том, что происходит с данными впоследствии. Законодательство о защите данных может регулировать использование или передачу данных, полученных в результате мероприятий наблюдения. Однако это может быть обойдено любым законом, разрешающим такой обмен, поскольку большинство норм защиты данных делают исключения для законодательных предписаний или использования в государственных функциях. Теперь проект Конвенции требует обмена полученными данными между государствами-участниками.
Такой обмен данными не только количественно подрывает интерес к конфиденциальности лица, за которым ведется наблюдение, поскольку к данным теперь будет иметь доступ более чем одно государство-участник, но и страдает от существенного недостатка конституционного качества: получение данных принимающим государством-участником не проверяется кем-либо на предмет баланса между необходимостью такого наблюдения и конфиденциальностью субъекта. Это означает, что принимающее государство-участник может получать информацию по причинам, которые не оправдывают ограничение конфиденциальности, от которого пострадало лицо. Более зловещий сценарий — когда диссидент-журналист, проживающий в Государстве А, подвергается обыску и изъятию его почтового сервера, расположенного в Государстве Б, правоохранительными органами последнего, например, за нарушение авторских прав, и Государство Б делится результатами обыска и изъятия с Государством А, которое затем может использовать эту информацию для расследования его политического преступления на родине. В этом сценарии не было нейтрального магистрата, который взвесил бы и обосновал нарушение конфиденциальности необходимостью и пропорциональностью уголовного расследования Государством А. Судья Государства Б, не имея никакого конституционного долга уважать конфиденциальность журналиста, проживающего в Государстве А, взвесил бы только конфиденциальность оператора почтового сервера против необходимости Государства Б расследовать нарушение авторских прав. Конечным результатом является то, что конфиденциальность журналиста будет ограничена без надлежащих гарантий. Призывы статьи 24 к «независимому судебному пересмотру» как гарантии прав человека становятся пустым криком.
Будапештская конвенция смягчает такой риск, позволяя государствам-участникам отказывать в передаче данных, если запрашивающие государства-участники требуют их для расследования «политического преступления». В проекте Конвенции такого ограничения нет. Единственное ограничение заключается в том, что это должно быть одно из киберпреступлений, определенных в проекте Конвенции, или «серьезные преступления (преступления, за которые предусмотрено наказание в виде лишения свободы на срок более 4 лет)». Это означает, что если государство-участник, наказывающее гомосексуальность или политическое инакомыслие лишением свободы на срок 4 года, сделает запрос данных, то государство-отвечающее обязано сотрудничать в соответствии с проектом Конвенции. Двойная криминализация (т. е. требование, чтобы преступление, по которому делается запрос данных, также было преступлением в государстве-отвечающем), если бы она была обязательным условием такого обмена данными, смягчила бы вышеупомянутый вред конфиденциальности, но она была сделана необязательной. Сторонники проекта Конвенции утверждают, что государства-участники имеют право отклонить запрос данных на основании двойной криминализации или по другим причинам. Однако такой ответ может быть действительным с точки зрения национального суверенитета, но закрывает глаза на тот факт, что сам обмен данными подрывает и наносит ущерб конфиденциальности лица, за которым ведется наблюдение, как показано выше, поскольку такой отказ находится на усмотрение государства-участника. Помните, что лицо, в отношении которого осуществляется обмен данными, никогда не было включено в то, что может оказаться картелизацией между действующими правительствами, ищущими больше данных! ■
Ссылки
Коалиция «Свобода в Интернете» (Freedom Online Coalition Advisory Network). 2024. «Проактивные рекомендации: Конвенция ООН против киберпреступности». 16 сентября.https://freedomonlinecoalition.com/foc-advisory-network-proactive-advice-un-convention-against-cybercrime/?hilite=UN+Convention+Against+Cybercrime (Accessed December 16, 2024)
Парк, Кён-син. 2019. «Политика и Интернет — неизбежно взрывоопасная смесь: случай манипулирования общественным мнением в Интернете». Open Net. 13 апреля.http://old.opennetkorea.org/en/wp/2540 (Accessed December 16, 2024)
Министерство иностранных дел Нидерландов. 2024. «Ответ председателя Коалиции «Свобода в Интернете» на проактивные рекомендации FOC-AN по Договору ООН о киберпреступности».
[1] Эта знаменитая фраза является игрой слов с часто повторяемыми резолюциями Совета ООН по правам человека с 2012 года. Оригинал гласит: «То, что защищено офлайн, должно быть защищено и онлайн».
[2] Существуют и другие обязательные меры, недавно добавленные в Конвенцию, такие как конфискация доходов от преступлений, защита свидетелей и помощь жертвам, которые я здесь не буду обсуждать.
[3] Статья 24. Условия и гарантии
1. Каждое государство-участник обеспечивает, чтобы установление, применение и осуществление полномочий и процедур, предусмотренных в настоящей главе, подпадали под условия и гарантии, предусмотренные его национальным законодательством, которое предусматривает защиту прав человека в соответствии с его обязательствами по международному праву прав человека, и которое включает принцип пропорциональности.
2. В соответствии с национальным законодательством каждого государства-участника и во исполнение его, такие условия и гарантии, как это уместно, учитывая характер соответствующей процедуры или полномочий, включают, среди прочего, судебный или иной независимый пересмотр, право на эффективное средство правовой защиты, основания, оправдывающие применение, и ограничение объема и продолжительности таких полномочий или процедур. (выделено)
■ Kyung Sin Park является профессором юридического факультета Университета Корё и директором Open Net.
■ Под редакцией Hansu Park, научный сотрудник
По вопросам: 02 2277 1683 (доб. 204) | hspark@eai.or.kr
*Этот текст — AI-перевод оригинала, написанного на английском. Возможны неточности перевода или утрата нюансов.