Ратификация Бразилией Конвенции по борьбе с киберпреступностью прошла за закрытыми дверями

Изображение: Лаис Мартинс

[Все ссылки в тексте — на португальском языке, если не указано иное.]

В середине декабря 2021 года Национальный конгресс Бразилии ратифицировал Будапештскую конвенцию по борьбе с киберпреступностью. Ратификация состоялась в подозрительно короткие сроки, без полноценных публичных обсуждений и фактически не получила освещения в прессе. Эксперты предупреждают, что подобная кулуарность связана не в последнюю очередь с тем, что присоединение к Конвенции может поставить под угрозу конфиденциальность данных граждан, а также повлечь криминализацию деятельности исследователей и активистов в сфере информационной безопасности (InfoSec [анг]).

Чтобы Конвенция обрела в Бразилии обязательную силу, законопроект о присоединении к ней, уже одобренный обеими палатами Национального конгресса, должен быть подписан президентом Жаиром Болсонару. С присоединением к Конвенции, однако, возникает риск уголовного преследования тех, кто занимается обнаружением фактов нарушений информационной безопасности и выявляет случаи несанкционированного доступа к данным, в частности это касается исследователей InfoSec, которые являются частью бурно развивающегося гражданского общества Бразилии. Кроме того, Конвенция позволяет органам государственной власти Бразилии получать доступ к персональным данным граждан во внесудебном порядке.

Будапештская конвенция была разработана по инициативе Совета Европы в 2001 году, и на сегодняшний день её ратифицировали 67 стран. Она направлена на гармонизацию национального законодательства стран-подписантов Конвенции в сфере противодействия киберпреступности, установление общих рамок в области порядка проведения расследований компьютерных преступлений и уголовного процесса, а также на содействие развитию сотрудничества между странами, подписавшими Конвенцию.

В ходе процесса, стартовавшего ещё в 2019 году, Национальный конгресс Бразилии — Федеральный Сенат и Палата депутатов — принял в 2021 году закон о ратификации Конвенции. В течение всего этого времени, однако, члены научного и гражданского сообщества, специализирующиеся в сфере цифровых прав, были отстранены от процесса, не имели информации о готовящемся законопроекте и возможности принять участие в его публичных обсуждениях.

Помимо фактического отсутствия полноценных публичных дискуссий, процесс ратификации Конвенции также был окружён вводящими в заблуждение заявлениями со стороны бразильских властей. Так, в одном из официальных сообщений правительства Бразилии было указано, что страна, приглашённая присоединиться к Конвенции, должна принять решение о ратификации либо об отказе от ратификации Конвенции в течение 3 лет с момента поступления приглашения. На самом деле, как следует из приглашения Совета Европы [анг], оно действительно в течение 5 лет с момента его направления. О необходимости скорейшего присоединения к Конвенции публично заявляла и прокуратура Бразилии. Всё это создавало ложное впечатление срочности решения вопроса об одобрении законопроекта, ратифицирующего Конвенцию.

Чрезмерную поспешность в принятии решения по законопроекту, который может иметь серьёзные последствия для сферы кибербезопасности, критикует и Коалиция за цифровые права (A Coalizão Direitos na Rede), в которую входят 48 организаций гражданского общества и академической сферы Бразилии. Однако скорость ратификации Конвенции, по мнению экспертов, далеко не единственный повод для беспокойства. 

Так, например, страна, приглашённая присоединиться к Конвенции, имеет право признать лишь часть положений Конвенции и отказаться от отдельных её норм. Подобная возможность позволяет государству ратифицировать документ без ущерба национальному законодательству, которое касается предмета Конвенции. В то же время Бразилия присоединяется к Конвенции полностью, не воспользовавшись правом на оговорки, в отличие от множества других подписантов. 

Самые серьёзные опасения вызывает ратификация двух статей Конвенции, которые, по мнению специалистов, могут быть использованы в качестве «инструмента для неправомерной дискредитации законной деятельности исследователей и активистов в области информационной безопасности при выполнении ими своих рутинных задач». Другие страны-подписанты Конвенции предпочли сделать оговорки в отношении этих двух статей. 

В частности, в соответствии со статьей 7 Конвенции, страна, присоединившаяся к документу, может оговорить, что «фальсификация компьютерных данных» будет подлежать уголовному преследованию при условии преступных намерений у лица, совершающего такую фальсификацию. Указанная оговорка могла бы защитить исследователей и активистов в области информационной безопасности, которые, например, зачастую занимаются поиском и изучением правительственных сайтов, сайтов банков и розничных продавцов на предмет наличия нарушений информационной безопасности. Бразилия, однако, решила соответствующую оговорку не делать, тем самым непосредственно криминализировав деятельность таких лиц, поясняет Пауло Рена, активист юридической лаборатории Aqualtune Lab и Школы права. Другие же страны, среди которых, например, Бельгия и США, при ратификации Конвенции воспользовались возможностью предусмотреть исключение из статьи 7. 

На практике ситуация выглядит следующим образом: человек, обнаруживший в результате исследования, что к его персональных данным получили доступ третьи лица в ходе одной из массовых утечек персональных данных, которые в последние годы потрясли Бразилию, решает обратиться по этому поводу в государственную структуру или компанию. И теперь такого исследователя можно обвинить в совершении преступления.

«Это может произойти с онлайн-продавцом, Министерством здравоохранения, иностранной компанией, университетом, — объясняет Пауло Рена. —При этом у людей, которые не понимают, как работает сфера InfoSec, и кто по традиции свободно обменивается персональными данными с третьими лицами, такое проявление “авторитаризма” может вызвать позитивную реакцию».

Власти Бразилии не жалуют исследователей и активистов в сфере компьютерной безопасности. Примером «авторитарного экстаза» может послужить описанный Пауло Реной случай, который произошёл в мае прошлого года на заседании парламентской комиссии, посвящённом действиям правительства Болсонару по борьбе с кризисом, вызванным пандемией коронавируса.

На одном из публичных слушаний представитель Министерства здравоохранения обвинил Родриго Менегата, журналиста в области цифровых прав, в хакерском взломе разработанного правительством приложения в сфере телемедицины TrateCov. Приложение формировало рекомендации по лечению на основе вводимых пользователем сведений о симптомах болезни. Программный код приложения был намеренно испорчен, поскольку для любых вводимых симптомов программа предлагала сомнительные с научной точки зрения способы лечения. Чтобы обнаружить этот изъян, Родриго Менегат, который на настоящий момент работает в отделении Deutsche Welle в Бразилии и активно участвует в деятельности журналистского сообщества в сфере цифровых прав, изучал программный код приложения. Однако несмотря на то, что программный код приложения находится в свободном доступе в интернете, Менегат был назван хакером. 

Впрочем, ратификация Бразилией Будапештской Конвенции ставит под угрозу не только права работников сферы InfoSec. Почти каждый гражданин Бразилии в настоящее время рискует тем, что его личные данные власти захватят без предварительного судебного разрешения.

«Эта статья [параграф 2 статьи 15] Конвенции подрывает процессуальные гарантии правосудия. Меры, предусмотренные Конвенцией, могут приниматься без какого-либо судебного контроля. Прокуратура, действуя в рамках Конвенции, может получить доступ к персональным данным граждан без соответствующего решения суда, таким образом, Конвенция отходит от общего правила о получении доступа к персональным данным в судебном порядке. Требование о наличии достаточных оснований для применения предусмотренных Конвенцией мер отсутствует. Требование о чётком определении в отношении таких мер субъектного состава и срока их действия отсутствует. Только в исключительных случаях, при наличии прямого указания закона и когда это применимо, меры Конвенции будут требовать судебного контроля», — продолжает Пауло Рена. 

Указанные положения документа открывают дорогу для злоупотреблений со стороны властей, в том числе в рамках политической борьбы. Например, прокуратуре, за которой уже были замечены подобные превышения полномочий, когда в кабинете бывшего президента Бразилии Дилмы Русеф было установлено подслушивающее устройство.

Пауло Рена также отмечает ещё одну проблему — противоречие положений Конвенции Закону о правах в интернете (Marco Civil da Internet) 2014 года. Обеспокоенность вызывает и тот факт, что Конвенция затрагивает законопроекты и вопросы, которые ещё только планируются к обсуждению в Конгрессе, в частности, законопроект о наказании за распространение заведомо ложных сведений в СМИ и законопроект о защите персональных данных в рамках обеспечения общественной безопасности и уголовного преследования.

Борьба за полномочия

После того как законопроект о присоединении к Конвенции получил одобрение Конгресса, дискуссии на эту тему стали ещё менее прозрачными. Одно из решений, которые требуется принять на данном этапе, заключается в выборе от Бразилии контактного лица — органа, который на деле будет надзирать за применением Конвенции. 

По словам Пауло Рены, выбранный орган получит привилегированное положение, играя роль своеобразной «воронки», через которую в обязательном порядке будут проходить все расследования. 

Мало что известно о том, как проходит в настоящий момент отбор контактного лица, однако согласно статье в Brazilian Report [анг], опубликованной в начале февраля, за право стать таким лицом идёт политическая борьба.  По некоторым данным, генеральный прокурор Августо Арас обратился напрямую к президенту Жаиру Болсонару с предложением наделить его ведомство полномочиями контактного лица. В то же время Министерство юстиции решило попытать счастья, предложив возложить контроль за соблюдением Конвенции на федеральную полицию, а также на одно из подразделений министерства — Управление по международному сотрудничеству и возврату активов (DRCI). 

Однако если полномочия передадут Министерству юстиции, оно подвергнется масштабной критике из-за обвинений в политическом вмешательстве в период президентства Жаира Болсонару. Поскольку Министерство юстиции является частью исполнительной ветви власти, ему будет сложнее противостоять политическому вмешательству. 

В свою очередь такие объединения, как Коалиция за цифровые права, предлагают в качестве наиболее подходящей кандидатуры Национальное агентство по защите информации (ANPD), поскольку только оно сможет сделать приоритетом строгое следование принципам соблюдения конфиденциальности информации и её защиты. Конец этой эпопеи станет известен лишь после того, как Бразилия сообщит о принятом по контактному лицу решении Совету Европы, однако срок для принятия такого решения нигде не закреплён.

Перевод: Полина Нестерова


Больше информации вы можете найти на странице проекта «Монитор несвободы».

Начать обсуждение

Авторы, пожалуйста вход в систему »

Правила

  • Пожалуйста, относитесь к другим с уважением. Комментарии, содержащие ненависть, ругательства или оскорбления не будут опубликованы.