Ще з травня 2021 року країни — члени ООН ведуть переговори щодо міжнародної угоди про протидію кіберзлочинності. Її розгляд заплановано на найближчому засіданні Спеціального комітету Генасамблеї, яке відбудеться наприкінці серпня цього року. Якщо Генеральна Асамблея ООН ухвалить документ у нинішньому вигляді, він буде першим зобов’язальним документом організації, що стосуватиметься кіберзлочинів. Договір може стати глобальною правовою основою міжнародної співпраці щодо запобігання та розслідування кіберзлочинів.
Водночас у тексті є занадто багато суперечливих формулювань. Є й такі, що, імовірно, ставлять під загрозу права людини, зокрема цифрові. Авторитарні уряди можуть зловживати окремими положеннями, щоб переслідувати правозахисників і журналістів. Також документ може сприяти масовому стеженню й безперешкодному доступу правоохоронних органів країн до особистої інформації та персональних даних.
Лише самого переліку держав, які на самому початку підтримали договір, достатньо, щоби стривожитися. Резолюцію про розроблення договору спочатку підтримала Росія, а потім до неї приєдналися Білорусь, Камбоджа, Китай, Північна Корея, М’янма, Нікарагуа та Венесуела.
Обговорення документа зайняло тривалий час. Розбіжності стосуються сфери застосування договору, гарантій прав людини, заборони на масове стеження та низки юридичних тонкощів, наприклад, як договір узгоджується з іншими нормативними документами.
Що таке кіберзлочинність і чому про неї говорять саме тепер
Потреба ухвалити такий глобальний документ пояснюється прогалинами в законодавстві держав, що стосується цифрових злочинів і кібербезпеки загалом.
Загального визначення кіберзлочинності немає. Зазвичай використовують дві категорії понять — кіберзалежні злочини та кіберспроможні злочини.
Кіберзалежні злочини — це злочини, які можуть бути скоєні лише за допомогою інформаційно-комунікаційних технологій. До них, наприклад, можна віднести поширення програм-вимагачів (ransomware) — власне створення таких програм, поширення та злам організацій або пристроїв, шифрування й вимагання викупу за розшифровування даних. Іншими словами, у системі кіберзлочинами називають дії, які передбачають незаконне отримання доступу до комп’ютерних систем, втручання в їхню роботу, перехоплення (підміну) даних.
Читайте також: Глобальні й небезпечні
Кіберспроможні злочини — це так звані традиційні злочини, швидкість і масштаби яких змінилися завдяки використанню інформаційних технологій. До них можна віднести, наприклад, шахрайство з онлайн-банкінгом, крадіжку особистих даних, сексуальну експлуатацію дітей в інтернеті.
Завдяки розвитку інформаційних технологій, цифрових інструментів і соціальних мереж діяльність зловмисників, які використовують ці засоби для скоєння злочинів, стала ширшою та простішою водночас.
Жертвами кіберзлочинців стають окремі люди, компанії та навіть країни. Цифрові злочини ще 2020 року стали причиною смерті людини, яку не змогли прийняти в лікарні через атаку вірусу. Кібернапади на об’єкти критичної інфраструктури трирічної давнини, які спричиняли перебої в постачанні палива чи труднощі в роботі підприємств — виробників м’яса, трансформувалися в атаки на енергетичні компанії та державні реєстри у 2022–2023 роках.
Винуватці таких нападів різні — від хакерів-одинаків до транснаціональних угруповань кіберзлочинців і навіть спонсорованих державою акторів. Саме тому назріла потреба не лише в юридичних формулюваннях, але й у взаємодії та координації зусиль для протидії між різними державами.
Два табори держав
Деякі держави виступають за угоду, яка криміналізує широкий спектр кіберзлочинів, зокрема те, що пов’язано з контентом.
На одному боці виступають такі країни, як Росія, Білорусь, Китай, Нікарагуа чи Куба.
Їхні представники озвучували дуже суперечливі пропозиції щодо криміналізації «підбурювання до підривної чи збройної діяльності», «поширення дезінформації» та «примушування до самогубства» за допомогою інформаційних технологій. Китай запропонував увести кримінальну відповідальність за «поширення неправдивої інформації… що може призвести до серйозного соціального безладдя».
Інші держави, включно з країнами — членами ЄС, США, Великою Британією, Японією та Австралією, хочуть унести в договір обмежену кількість кіберзлочинів, які були радикально трансформовані цифровими технологіями.
Головним прикладом є злочини, пов’язані із сексуальним насильством та експлуатацією дітей (CSAM). Ці держави стверджують, що довгий список правопорушень, пов’язаних із діяльністю в ІТ-просторі, ризикує стати основою зловживань або неправильних тлумачень.
Дозвіл на масове стеження?
У проєкті угоди є багато проблемних моментів, серед них — нечіткі формулювання й потенційні компроміси щодо порушень конфіденційності звичайних громадян.
Учасники Chaos Computer Club — найбільшої європейської організації хакерів — висловили занепокоєння можливою легітимізацією масового стеження з боку правоохоронних органів нібито для боротьби з кіберзлочинами. Як приклад вони навели можливі заходи щодо аналізу трафіку в режимі реального часу або навіть вимогу до операторів і провайдерів реагувати на користувацький контент, наприклад видаляти заборонені повідомлення. Саме такий підхід нині реалізують у законопроєктах у Великій Британії та США. Він передбачає вимогу видаляти суперечливий контент, що означає заборону наскрізного (кінцевого) шифрування як такого.
Читайте також: Індустрія цифрового шпигунства. Що таке spyware та як країни намагаються врегулювати галузь
Свої побоювання проблемними моментами нової угоди про кіберзлочинність висловили й захисники цифрових прав з організації EFF (Electronic Frontier Foundation). Вони вимагають прибрати з договору всі положення щодо збору й перехоплення даних у режимі реального часу, заборонити вторгнення в кінцеві пристрої та, найголовніше, пам’ятати про верховенство права й пропорційність обмежувальних заходів і відповідних ризиків.
Ризики для журналістів
Ще одну проблему нового договору про кіберзлочинність розповіла Барбора Буковська, експертка правозахисної організації Article 19: «Ця угода стосується набагато більшого спектру питань, ніж боротьба з онлайн-шахрайством, кібератаками й іншими злочинами, скоєними за допомогою цифрових технологій. Проєкт угоди є прикладом законів про кіберзлочинність, які використовують для нападу на свободу вираження поглядів, що може мати реальні наслідки для журналістів, дисидентів, правозахисників і громадянського суспільства».
Такі випадки можуть стати реальністю, якщо в угоді про кіберзлочини міститимуться положення, що стосуються поширення контенту й покарання за ці дії. Якщо йдеться про поширення небезпечного вмісту, наприклад посилань на заражені сайти чи небезпечне програмне забезпечення, то це часто відбувається без відома жертви й після зламу. Людина, чиї акаунти зламано й використано для поширення вірусів, не може відповідати за ці дії, вона сама є жертвою кіберзлочину.
Водночас можна назвати кіберзлочином поширення недостовірної інформації (фейків). А така практика особливо небезпечна не лише через те, що знову-таки людина може не підозрювати, що вона поширює фейк. Проблема такого підходу в тому, що норму можуть використовувати для боротьби із журналістами, а не кіберзлочинцями.
Світова практика використання законів про кіберзлочинність проти журналістів посилилась останнім часом. Деякі такі закони, ухвалені нібито для боротьби з тероризмом, поширенням дезінформації, проявами релігійної ненависті, на практиці стали інструментами для покарання критиків і журналістів.
Проблеми стають актуальними в тих країнах, де під маркою законів про кіберзлочини ухвалюють норми щодо покарань за висловлювання в мережі. Найгучніші приклади останнього часу, звісно, стосуються Росії та її законів щодо «фейків» про російську армію. Але подібні норми діють або плануються й у низці інших країн. Скажімо, ще минулого року в Туреччині було ухвалено закон, який передбачав ув’язнення користувачів соцмереж за поширення дезінформації. Ба більше, уже є приклади покарань за його порушення — ув’язнили журналіста. Поправки до Кримінального кодексу, які криміналізуватимуть поширення фейків, розглядають у Чехії. Подібні закони ухвалили в Тунісі й Судані.
Невизначене майбутнє
На нинішньому етапі, з огляду на суперечності, не можна виключати, що спільний документ не буде ухвалено взагалі. Правозахисники, які беруть участь в обговореннях, цілком можуть вважати, що цей розвиток подій не аж такий і поганий: краще не домовитися взагалі, ніж ухвалити угоду, яка дасть авторитарним урядам сильніші інструменти для придушення опонентів.
Переговори триватимуть до початку 2024 року, щоб ухвалити документ під час засідання Генеральної Асамблеї ООН у вересні 2024 року.