Технологическое развитие и расширение глобальной информационной взаимозависимости привели к стремительному росту скорости, масштабов и интенсивности использования цифрового пространства. В условиях постоянного совершенствования информационно-коммуникационных технологий и их практически мгновенного распространения среди развитых и развивающихся стран уже целые отрасли мировой экономики переходят из обычной в виртуальную среду.
Однако происходящая «цифровая революция» на деле способствует не только поступательной динамике развития государств, но и оттачивает новые формы противоправного использования информационного пространства, способствует повышению уровня и усложнению характера преступности.
Глобальная эпидемия коронавирусной инфекции COVID-19, которая уже в течение почти двух лет оказывает самое серьезное влияние на изменение ландшафта транснациональной оргпреступности, также кардинально изменила формы и методы информационной преступности. Так, в соответствии с докладом Европола «Оценка угрозы организованной преступности в Интернете (IOCTA) 2021» негативные последствия COVID-19, вызванные полным или частичным закрытием целых отраслей промышленности и переводом различных категорий сотрудников на дистанционные и удаленные формы работы, становятся все более видимыми.
Новой реальностью стала быстрая адаптация киберпреступников к переходу человечества в режим «онлайн», когда все более усиливается угроза нарушения права на неприкосновенность частной жизни и когда необходимо защищать личные данные от их незаконного сбора и обработки. При этом старые методы совершения противоправной деятельности в сфере информационно-коммуникационных технологий (ИКТ) претерпевают серьезную эволюцию, что действительно влияет на обеспечение международной информационной безопасности (МИБ) в целом.
Доклад Европола «IOCTA-2021» подчеркивает, что в числе наиболее распространенных угроз остаются такие вредоносные программы, как фишинг, многочисленные вирусы-вымогатели и DDoS-атаки, различные приемы и методы социальной инженерии, которые существенно увеличились в объемах и масштабах. По мнению экспертов Европола, свое дальнейшее развитие получают удаленные кражи SIM-карт («SIM-свопинг»), попытки заполучений конфиденциальной информации с помощью SMS-сообщения («смишинг»), а также компрометация служебной электронной почты.
Становится очевидным, что все эти тенденции крайне негативно влияют на выполнение странами своих национальных и международных обязательств, прежде всего в рамках Устава ООН о сотрудничестве государств в защите прав человека, а также осуществление ими функций о праве граждан на неприкосновенность частной жизни и защиту персональных данных. С приходом и развитием новых информационных технологий проблематика безопасности персональных данных становится еще более актуальной.
В этой связи Российская Федерация последовательно выступает за выработку единых универсальных международно-правовых механизмов по защите персональных данных (ЗПД), противодействию их незаконному распространению и несанкционированному доступу к ним.
На сегодняшний день единственным юридически обязательным международным договором по ЗПД является конвенция Совета Европы 1981 года №108 «О защите физических лиц при автоматизированной обработке персональных данных» и дополнительный протокол к ней №223 от 2018 года. По состоянию на конец 2020 года 55 государств стали участниками договора №108, из них 47 представляют Совет Европы и восемь - другие регионы мира. В 2021 году международное сообщество отметило 40-летний юбилей этой конвенции Совета Европы.
Российская Федерация подписала договор Совета Европы в 2001 году и ратифицировала в 2013 году, препроводив процедуру присоединения соответствующими заявлениями. В частности объявила, что не будет применять конвенцию к следующим персональным данным: обрабатываемым физическими лицами исключительно для личных и семейных нужд; отнесенным к государственной тайне в порядке, установленном национальным законодательством. Российская сторона также оставила за собой право вводить ограничения на доступ к персональным данным в целях защиты безопасности государства и общественного порядка.
Конвенция СЕ №108 о ЗПД - это, по сути, первая попытка на международном уровне защитить физические лица от злоупотреблений, которые могут быть при сборе и обработке данных. Одновременно она ставит задачу отрегулировать трансграничный поток персональных данных, не только предоставляет гарантии по сбору и обработке персональных данных, но и запрещает - если национальное право не обеспечивает надлежащих гарантий - обработку «чувствительных» данных относительно расовой принадлежности лица, его политических взглядов, здоровья, религии, сексуальной жизни, уголовного прошлого и т. п. Конвенция также дает лицу право знать, что данные о нем собраны, и в случае необходимости иметь возможность их исправить.
Ограничения, изложенные в конвенции, возможны только в случае, когда под угрозой оказываются интересы безопасности государства. Конвенция также накладывает определенные ограничения применительно к трансграничным потокам личных данных в те государства, где правовое регулирование не обеспечивает их должной защиты.
Вместе с тем с учетом новых задач по защите физических лиц при обработке персональных данных, которые возникли после принятия конвенции в 1981 году в результате гигантского скачка в развитии и использовании новых информационных и коммуникационных технологий, остро встал вопрос об обновлении конвенции о ЗПД. Цель разработки дополнительного протокола о внесении поправок состоит в модернизации и совершенствовании конвенции СЕ №108 по предоставлению дополнительных гарантий в части вопроса о неприкосновенности частной жизни, возникших в результате совершенствования ИКТ и глобальной цифровизации общества, а также усиления механизма конвенции для обеспечения ее эффективного применения.
Протокол предусматривает гибкие многосторонние правовые рамки для облегчения трансграничного обмена данными, обеспечивая при этом эффективные гарантии при использовании персональных данных. Некоторые из нововведений, содержащиеся в протоколе, заключаются в следующем: более жесткие требования в отношении принципов соразмерности, минимизации данных и правомерности обработки; обязательство декларировать утечку данных; повышение подотчетности операторов данных; применение принципов защиты данных ко всем процессам обработки, в том числе по соображениям национальной безопасности, с возможными исключениями и ограничениями в соответствии с условиями, установленными конвенцией, и в любом случае с возможностью независимого и эффективного пересмотра и контроля.
Отдельно прописаны положения по укреплению правовой основы международного сотрудничества и расширению полномочий органов по защите данных и повышению их независимости.
Наиболее острую дискуссию при разработке протокола вызвала тема трансграничной передачи персональных данных. Первоначально Евросоюз настаивал на закреплении в конвенции своего права в одностороннем порядке отказывать государствам, не являющимся членами ЕС, в трансграничной передаче персональных данных со ссылкой на внутреннее европейское законодательство. Однако по инициативе России негативные последствия такой нормы были нивелированы посредством закрепления в проекте зеркальной, по сути, возможности государств, не являющихся членами ЕС, отказывать в передаче персональных данных, если такая передача может создать риски режиму защиты.
На конец 2021 года участниками протокола №223 о внесении изменений в конвенцию СЕ №108 стали 15 государств. Общее число подписантов составило 28 стран. Российская Федерация подписала протокол №223 10 октября 2018 года.
Другим показательным примером использования, по сути, эксплуатации тематики персональных данных может служить Конвенция СЕ о компьютерных преступлениях 2001 года (Будапештская конвенция). Так, заявляя в ее преамбуле о необходимости «принимать во внимание право на защиту персональных данных, предусмотренное, например, в конвенции Совета Европы 1981 года», Будапештская конвенция на деле полностью опровергает свое собственное обязательство. Ведь именно широко известная статья 32 данной конвенции, посредством которой осуществляется несанкционированный доступ к персональному компьютеру, нарушает право граждан на защиту персональных данных и неприкосновенность частной жизни.
Собственно поэтому при разработке проекта второго доппротокола к Будапештской конвенции, посвященного укреплению международного сотрудничества и раскрытию электронных доказательств, тематика ЗПД приобрела ключевое значение. Уже на этапе его предварительного обсуждения существенное влияние на ускорение разработки доппротокола оказал принятый в 2019 году в США законопроект «О доступе к персональным данным в других странах, связанным с тяжкими преступлениями и терроризмом» («Cloud Act Clarifying Lawful Overseas Use of Data Act», так называемый CLOUD Act). Его основное предназначение - обеспечить в ускоренном порядке американским правоохранительным органам и спецслужбам трансграничный доступ к персональным данным пользователей, подозреваемых в совершении преступлений или находящихся в розыске, вне зависимости от места их хранения.
Однако темпы глобальной цифровизации таковы, что в результате массового распространения переносных компьютерных устройств и смартфонов электронные данные потребителей телекоммуникационных услуг часто обрабатываются и хранятся на многочисленных серверах по всему миру. Данный механизм более известен под названием «облачных» технологий. В свою очередь, это предопределило формирование условий, в ряде случаев препятствующих доступу правоохранительных органов к данным пользователей, размещенным на серверах другого государства (то есть вне их юрисдикции).
С учетом многочисленных выявленных ранее фактов целенаправленного постоянного доступа к персональным данным европейских граждан со стороны правительства США, с одной стороны, и заключения рамочного соглашения о защите конфиденциальности между ЕС и США («EU-USA Privacy Shield») с другой, участниками Будапештской конвенции обозначилась необходимость юридического закрепления положений по ЗПД в тексте ее второго доппротокола.
В результате текст отдельной статьи о ЗПД представляет собой компромисс, достигнутый в ходе переговоров с широким кругом стран с разными правовыми системами, предусматривающий правила и процедуры международного сотрудничества в области уголовного правосудия, основанные на стандартах СЕ и проверенные ими. При этом главная отличительная особенность данного документа СЕ от конвенции СЕ №108 такова, что второй доппротокол Будапештской конвенции не направлен на гармонизацию национальных режимов ЗПД, а вся внутренняя обработка данных контролерами должна регулироваться национальными законодательствами и различными внутренними правилами. Вместе с тем пока сложно прогнозировать перспективы выполнения сторонами второго доппротокола положений статьи о ЗПД, поскольку ее правовая оценка начнется только после того, как десять сторон конвенции выразят свое согласие на обязательность для них настоящего протокола.
Несмотря на то что к сегодняшнему моменту международное сообщество в целом уже аккумулировало необходимый и достаточный опыт по обеспечению безопасности персональных данных, основанный на участии государств в различных региональных форматах, а также совершенствованию их национальных законодательств, говорить о решении проблемы на глобальном уровне в контексте обеспечения международной информационной безопасности пока явно преждевременно.
К числу наиболее проблемных моментов в данном случае для начала можно отнести следующие. Процедура раскрытия информации о подписчике провайдером интернет-услуг, находящимся под юрисдикцией одного государства, напрямую другому государству. Адекватное отражение вопросов защиты фундаментальных прав и свобод человека, в том числе в сфере защиты персональных данных. Соблюдение единых требований, предъявляемых к трансграничной передаче данных.
Ключевое значение в выполнении всех требований к обеспечению ЗПД играет глобальная IT-индустрия. Транснациональные интернет-гиганты нередко отказываются выполнять требования компетентных органов государств в части правил по защите, сбору и обработке персональных данных, вступая в прямую конфронтацию с законодательством страны пребывания и диктуя свои условия. Явную угрозу несет и несанкционированный доступ к персональным данным граждан, обработка которых ведется провайдерами информационных услуг за пределами их национальных территорий с отказом в локализации данных на территориях заинтересованных государств.
Становится все более очевидным, что создание универсальных механизмов обеспечения гарантий защиты и безопасности данных необходимо обсуждать и вырабатывать только под эгидой ООН. Отрадно, что этот процесс наконец-то начал набирать обороты. Так, в созданной по инициативе России в соответствии с резолюцией Генеральной Ассамблеи (ГА) ООН 75/240 в 2020 году новой Рабочей группе открытого состава (РГОС) по МИБ предполагается в ходе ее пятилетнего мандата обсуждение данной проблематики. В частности, по предложению многих государств мандат новой РГОС предполагает обсуждение «в целях выработки общего понимания исследования существующих и потенциальных угроз в сфере информационной безопасности, в том числе безопасности данных, и возможных совместных мер по их предотвращению и противодействию им». Первоначальный обмен мнениями в рамках первой субстантивной сессии РГОС состоялся с 13 по 17 декабря 2021 года в Нью-Йорке.
Еще более существенным видится вклад в закрепление правовых универсальных механизмов ЗПД учрежденного по инициативе России резолюцией 74/247 ГА ООН Специального межправительственного комитета экспертов открытого состава (Спецкомитет) для разработки конвенции ООН о сотрудничестве в сфере противодействия использованию информационно-коммуникационных технологий в преступных целях.
Первая субстантивная сессия Спецкомитета в зависимости от ограничений, связанных с пандемией COVID-19, состоится в Нью-Йорке или в Вене в первой половине 2022 года. Учитывая сжатые сроки, отведенные на разработку конвенции (с 27 июля 2021 г.), Россия в качестве национального вклада в работу Спецкомитета внесла и распространила собственный проект подобного документа. Настоящий документ представляет собой обновленную версию разработанного МИД России совместно с заинтересованными ведомствами российского проекта 2017 года, распространенного в ходе 72-й сессии ГА ООН и ставшего ее официальным документом.
При обновлении проекта конвенции ООН в 2021 году российские эксперты пришли к выводу, что зачастую при совершении преступлений с использованием ИКТ целью таких противоправных деяний является не столько незамедлительное обогащение, сколько кража персональных данных и различной чувствительной информации, например пользовательских данных платежных карт. Для обеспечения ЗПД российский проект конвенции содержит отдельные положения о защите данных (статья 56 проекта), в которой установлены гарантии, обеспечивающие защиту прав и свобод человека.
В статье, в частности, устанавливается, что персональные данные, передаваемые одним государством-участником другому государству-участнику на основании запроса, могут быть использованы только для целей производства по уголовному, административному или гражданскому делу, других судебных или административных процедур, напрямую связанных с этим производством, а также для предотвращения непосредственной и серьезной угрозы общественной безопасности и лицам, чьи персональные данные передаются. Такие персональные данные не могут быть переданы третьей стороне без предварительного письменного согласия государства-участника, из которого были переданы данные, или субъекта персональных данных. Кроме того, государство-участник, которое передает персональные данные на основании запроса, сделанного в соответствии с настоящей конвенцией, может потребовать от государства-участника, которому переданы данные, предоставить информацию об их использовании.
Таким образом, обеспечивается возможность взаимодействия сторон конвенции по передаче электронных доказательств. В условиях же необходимости экстренного реагирования на запросы партнеров, чтобы предотвратить совершение преступных посягательств, оперативность весьма актуальна.
Значительное число государств - участников ООН также разделяют российские подходы в плане ЗПД, отраженные в проекте. Разработка договора всеобъемлющего характера с универсальной юрисдикцией, по мнению многих стран, позволит соблюсти баланс в вопросах защиты персональных данных, уважения государственного суверенитета и прав человека.
В рамках субстантивной работы над проектом конвенции ООН государствам-членам еще предстоит выработать структуру и окончательное наполнение конвенции. Вместе с тем вполне вероятно, что на определенном этапе с учетом ключевой значимости тематики ЗПД заинтересованным участникам, «оттачивающим» правовые формулировки, необходимо будет принять во внимание существующие правовые механизмы конвенции СЕ №108 с протоколом №223, инкорпорировав отдельные идеи и в проект универсальной конвенции ООН. В этом случае могут быть заложены надежные правовые гарантии обеспечения ЗПД.
Таким образом, созданные по инициативе Российской Федерации в рамках Первого и Третьего комитетов ГА ООН новая РГОС по МИБ и Спецкомитет для разработки конвенции ООН о сотрудничестве в сфере противодействия использованию ИКТ в преступных целях гарантируют запуск в системе ООН инклюзивного и транспарентного переговорного механизма по формированию единых международно-правовых механизмов по ЗПД, противодействию их незаконному распространению и несанкционированному доступу к ним с участием всех без исключения государств - членов Организации в целях формирования глобальной системы МИБ.