[Ссылки ведут на страницы на английском языке, если не указано иного].
Эта статья написана Нэнси Мак, Грейс Лиянг, Рэмми Чуи и 31 марта 2017 года была опубликована в Varsity — журнале, который издают студенты Школы журналистики и коммуникаций Китайского университета в Гонконге.
В 2014 году Джошуа Вонг Чи-Фун [рус] попал в заголовки газет как самый молодой демократический активист, ставший одним из лидеров так называемой «Революции зонтиков» в Гонконге, во время которой десятки тысяч людей участвовали в демонстрациях и требовали предоставления гражданам Гонконга избирательных прав.
Но это был не первый случай участия Вонга в резонансных действиях активистов и последовавших за этим тщательных проверок. Когда ему было всего 15 лет, Вонг руководил ученической группой Scholarism в ходе кампании, направленной против принудительного патриотического воспитания, внедрявшегося в 2012 году в гонконгских школах. Тогда он впервые начал подозревать, что его телефонные разговоры прослушиваются:
I heard strong echoes in my phone, I thought it could be wiretapping. I could hear my own voice and there was a lot hissing noise.
При разговоре я слышал сильное эхо и думал, что меня наверняка прослушивали. Я слышал свой собственный голос и сильный шипящий шум.
Прослушивание, кража данных и конфискация устройств связи
Так было не только с телефоном Вонга. В прошлом году группа Scholarism была распущена, но пока она работала, существовал постоянный риск взлома и кражи. Есть свидетельства инцидента, произошедшего в 2015 году, когда группа обнаружила, что из её аккаунта в Google были загружены документы. Scholarism подтвердила, что неизвестный пользователь из Нанкина с никнеймом «Eastern hunting hawk» («Охотничий сокол с Востока») взломал аккаунт и скачал личные данные членов Scholarism и волонтёров, участвовавших в движении за последние несколько лет.
Вонг подозревает, что были и другие кражи:
That is why during the Umbrella Movement, all the members of Scholarism, ranging from the most well-known to the least-known, were all on a blacklist and couldn’t enter the Mainland. We think that the blacklist came from the stolen Scholarism membership list.
Именно поэтому во время «Революции зонтиков» все члены Scholarism, от известнейших до малоизвестных, были в чёрном списке и не могли попасть на материковый Китай. Мы считаем, что чёрный список был составлен на основе данных, украденных у Scholarism.
Эксперты предположили, что, учитывая политическую деятельность группы, взлом мог финансироваться государством.
Вонг, ныне занимающий пост генерального секретаря политической партии «Демосисто», считает, что предпринимается недостаточно мер для обеспечения защиты личной информации граждан, особенно от правоохранительных органов.
К примеру, полиция может провести домашний обыск без ордера, если есть подозрения, что на его территории находятся подлежащие аресту люди. У людей, арестованных в связи с политической деятельностью, могут конфисковать личные электронные устройства. После ареста Вонга на Гражданской площади 26 сентября 2014 года у него забрали телефон и компьютер, а вернули их только через полгода.
During this half year, no one knows what they did with my computer and phone. As to whether they could get into my devices, I think it’s not hard to hack into a computer.
Никто не знает, что они сделали с моими компьютером и телефоном за эти полгода. Судя по тому, что они проникли в мои гаджеты, думаю, им не составило труда взломать компьютер.
Полицейская слежка за интернет-коммуникациями
Пытаясь защитить личную информацию граждан Гонконга, правительство выпустило несколько нормативных актов, включая Постановление о персональных данных (конфиденциальности) в 1995 году и Постановление о прослушивании переговоров и слежке (ICSO) в 2006 году. Но пример Вонга показывает, как могут подвергаться опасности личные данные граждан и как могут перехватываться их переговоры, особенно в онлайн-среде. Несмотря на относительно действенные меры по защите телефонных переговоров и почтовой переписки, ни один из этих актов не касается интернет-коммуникаций.
Цель постановления о конфиденциальности состоит в защите права личности на безопасность её личных данных. Согласно постановлению, каждый гражданин Гонконга при передаче своих личных данных должен следовать шести основным принципам защиты информации. Эти принципы требуют от организаций, занимающихся сбором данных, уведомлять своих клиентов/граждан о цели сбора данных; использовать полученные данные только для целей, заявленных в момент сбора; обеспечивать раскрытие информации о том, какими персональными данными они обладают и как их используют.
При определённых обстоятельствах возможны исключения — например, для защиты безопасности Гонконга или для предотвращения и раскрытия преступлений. Комитет по защите личной информации — независимый государственный орган, осуществляющий надзор за исполнением Постановления о конфиденциальности.
Постановление о прослушивании переговоров и слежке было введено для регулирования прослушивания переговоров и слежки, проводимых правоохранительными органами — например, полицией и таможенной службой. Секретариат комиссара по прослушиванию переговоров и слежке (SCIOCS) —независимый надзорный орган, назначаемый главой исполнительной власти по рекомендации верховного судьи.
Согласно постановлению, правоохранительные органы должны получать судебные разрешения на проведение любого скрытого наблюдения, требующего вмешательства высокого уровня — например, проникновения в дом или частную собственность лица и установки устройства для наблюдения. В других случаях перед началом расследования правоохранительные органы должны получить согласие уполномоченного должностного сотрудника своего департамента.
Хотя процедуры прослушивания и наблюдения требуют согласования, Локман Цуй, доцент Школы журналистики и коммуникаций Китайского университета в Гонконге, говорит, что уполномоченные органы часто играют чисто формальную роль. Как следует из ежегодного отчёта SCIOCS главе исполнительной власти, за 2015 год было выдано 1481 согласование (включая впервые выданные и продлённые согласования). Отказано было только в двух случаях. «Практически все запросы одобряются», — говорит Цуй.
Майкл Мо Кхуаньтхай, участник кампании по цифровым коммуникациям в гонконгской Amnesty International, утверждает, что надзор за исполнением постановления не осуществляется на должном уровне, что может привести к злоупотреблениям:
There are guidelines, but in practice, how much they comply, you know, is another question.
Есть руководства, но насколько правильно они применяются на практике, — это другой вопрос.
Мо добавляет, что до тех пор, пока у SCIOCS нет полномочий для того, чтобы проводить расследования, нарушения постановления влекут за собой гражданскую, а не уголовную ответственность, и наказания не имеют сдерживающего действия:
SCIOCS is a commission but not a department, it is very hard for us to expect them to have such huge capacity like a department to carry out investigations.
SCIOCS — это комиссия, а не департамент, и мы навряд ли можем ожидать, что они получат широкие полномочия на проведение расследований.
Локман Цуй из Китайского университета в Гонконге указывает на ещё один очевидный недостаток Постановления о прослушивании переговоров и слежке: он не касается запросов данных от правоохранительных органов в телекоммуникационные компании и к провайдерам интернет-услуг. Постановление регулирует только прослушивание и перехват коммуникаций, осуществляемых посредством бумажной почты и телефона. Но, как было сказано ранее, оно совсем не касается онлайн-коммуникаций. Это делает граждан беззащитными перед прослушиванием и слежкой с помощью интернет-платформ для коммуникаций, таких как электронная почта и мобильные приложения для обмена сообщениями.
Запросы на получение данных пользователей без согласования суда
Интернет- и цифровые коммуникации не просто не защищены законодательством Гонконга — они дают много способов отслеживания действий и поведения пользователей. Телекоммуникационные компании имеют доступ к личным данным пользователей — истории просмотра страниц в браузере, IP-адресам и географическому положению. Правоохранительным органам не нужно судебное разрешение перед отправкой в телекоммуникационную компанию запроса на получение личных данных пользователей, и компании сами решают, как отвечать на эти запросы.
Согласно статистическим данным, опубликованным Бюро инноваций и технологий, за 2016 год полиция направила интернет-провайдерам 3448 запросов на получение данных пользователей. Это самое большое количество запросов среди всех правительственных департаментов, и основная причина, которая указывалась в этих запросах, — предотвращение и раскрытие преступлений.
Сведения о том, как правительство запрашивает данные пользователей, также можно найти в Докладе о прозрачности Гонконга, ежегодно публикуемом Центром журналистики и средств массовой информации Университета Гонконга. В докладе приведены данные о правительственных запросах на получение данных пользователей и удаление онлайн-контента, направленных в компании, занимающиеся информационно-коммуникационными технологиями (ИКТ), а также ответах на эти запросы от иностранных ИКТ-компаний. Доклад за 2016 год показал снижение числа запросов с 6008 в 2013 году до 4637 в 2015. Однако правительство направило больше запросов в администрации социальных сетей, особенно Facebook: число запросов в 2015 году возросло в два раза по сравнению с 2014 годом. В 2015 году было направлено 184 запроса, а в 2014 — 59, и число аккаунтов, в отношении которых направлялись запросы, за два года возросло с 89 до 415.
Из доклада следует, что иностранные ИКТ-компании отклонили 40% запросов от правительства Гонконга. Бенджамин Чжоу Суйбинь, менеджер проекта по Докладу о прозрачности Гонконга, говорит, что по закону правоохранительные органы не обязаны при направлении запроса на получение данных о пользователях предоставлять судебное разрешение. Решение о том, как ответить на запрос, остаётся за компаниями. Чжоу говорит, что иностранные компании ежегодно публикуют информацию о своих ответах на правительственные запросы, но локальные интернет-провайдеры этого не делают. Он считает, что небольшие местные компании обычно просто передают данные пользователей, поскольку у них нет юристов, которые могли бы провести правовую экспертизу этих запросов.
Keyboard Frontline, группа правозащитников в области интернет-свобод, в 2015 году инициировала проект под названием «Кто на твоей стороне?», в рамках которого было проведено исследование уровней прозрачности местных интернет-провайдеров Гонконга и того, как они обращаются с личной информацией пользователей. Глэйсер Кхуон, пресс-секретарь Keyboard Frontline, сообщила, что «полученные данные говорят о том, что многие гонконгские местные интернет-провайдеры не имеют представления о мерах защиты личных данных пользователей».
Кхуон говорит, что местные интернет-провайдеры собирают излишние данные при регистрации учётных записей пользователей. К примеру, для регистрации на онлайн-форуме пользователи наряду с адресом электронной почты должны указать свою профессию и уровень дохода. Квонг утверждает, что у провайдеров нет чётких и исчерпывающих юридических инструкций о порядке обработки правительственных запросов:
If ISPs give users’ data to LEAs [law enforcement agencies] upon request every time, LEAs may form a habit of abusing the procedure.
Если провайдеры предоставляют правоохранительным органам данные пользователей по первому требованию, правоохранительные органы могут взять в привычку злоупотребление своими полномочиями.
Кхуон добавляет, что из-за того, что местные интернет-провайдеры не публикуют отчётов о том, как они обрабатывают правительственные запросы, их клиенты не могут быть уверены в том, передавались ли кому-либо их личные данные.
Это может иметь серьёзные последствия для пользователей. К примеру, несколько пользователей были арестованы в связи с комментариями на Hong Kong Golden Forum, побуждающими людей на определённые действия, например, прорыв полицейских кордонов во время протестов движения Occupy в 2014 году. Кхуон говорит, что полиция не смогла бы установить личности тех, кто публиковал комментарии, если бы Hong Kong Golden Forum не передал полиции соответствующие данные. Она добавила, что определение «общественной безопасности» в ICSO очень расплывчато:
This is very scary. Is it that any form of social activities can be intercepted with this excuse? This will lead to a white terror; it may even affect the Hong Kong’s freedom of speech and assembly.
Это пугает. Значит ли это, что она может быть предлогом для вмешательства в общественную деятельность любого рода? Это приведёт к белому террору и даже может затронуть право жителей Гонконга на свободу слова и собраний.
Крейг Чхой Ки, руководитель Progressive Lawyers Group, считает, что правительство злоупотребляет для арестов общественных активистов действующим законодательством, которое было принято для других целей. К примеру, активистам были предъявлены обвинения в «доступе к компьютеру с преступным или недобросовестным умыслом» на основе закона, который изначально введён для борьбы со взломами и компьютерным мошенничеством. Применяя этот закон, полиция может изымать персональные компьютеры и мобильные телефоны активистов.
Рафаэль Вон Хомин, вице-председатель Лиги социал-демократов, говорит о необходимости введения законов, регулирующих порядок конфискации полицией мобильных телефонов. Телефон Вона был изъят в прошлом году, когда он снимал на видео попытку полицейского сорвать баннер протестующих во время визита Чжана Дэцзяна, председателя Национального народного конгресса. Его арестовали, а телефон конфисковали — он считает это нарушением безопасности его личных данных. Вон опасается, что полиция не только искала информацию, связанную с задержанием, но и «пыталась найти новые данные, чтобы предъявить мне новые обвинения».
Правительственная секретность перевешивает право общественности на информацию
Вон требует защиты прав каждого гражданина на неприкосновенность частной жизни, а также настаивает на том, что правительство должно публиковать информацию о своей деятельности, потому что общество имеет право знать о ней.
В действительности у требования о защите личной информации есть две стороны. Пока правозащитники приводят доводы о недостаточности законодательных мер по защите конфиденциальности граждан, правительство заявляет о необходимости защитить свою «конфиденциальность» в случае нежелания сообщать о деятельности правительственных чиновников или организаций.
Говоря о правительственной политике по защите данных, Мак Иньтхин, член Подкомиссии по свободе печати Гонконгской ассоциации журналистов, заявил:
Privacy and the freedom of the press is very unbalanced now, obviously it tends to protect privacy more.
Сейчас мы наблюдаем дисбаланс между защитой личной информации и свободой печати — большее внимание уделяется защите информации.
Мак говорит, что правительство всегда приводит защиту информации как причину сокрытия информации от общества.
Также Мак считает, что постановление, регулирующее прослушивание и слежку, ICSO, должно содержать профессиональные исключения для журналистов. Мак указывает на случай, описанный в ежегодном докладе Комиссии по наблюдению за 2009 год, когда судья согласовал продление срока прослушивания переговоров, даже когда ему сообщили о том, что прослушиванию подвергались журналистские материалы.
If interviewees know they are being intercepted, then no one dares to tell the truth in the conversation. If there is no freedom of communication, will there still be freedom of expression?
Если интервьюеры будут знать о том, что их прослушивают, кто скажет правду в ходе разговора? Если нет свободы коммуникации, останется ли место для свободы слова?