Изображение: Арзу Гейбуллаева для Global Voices, создано с помощью Canva Pro

[Все ссылки в тексте — на английском языке, если не указано иное.]

Новый закон Турции о кибербезопасности, принятый 13 марта 2025 года, с момента внесения проекта в парламент 10 января 2025 года провоцировал бурные дебаты о влиянии на цифровые права [тур], свободу слова [тур], свободу СМИ и доступ к информации. Для многих местных экспертов, групп гражданского общества и международных наблюдателей этот закон — потенциальный инструмент ограничения независимой прессы [тур] и подавления инакомыслия. В стране уже есть список ограничительных правовых актов, включая Закон о дезинформации, принятый в 2022 году. В этом контексте новый закон [тур] — ещё один механизм действующей власти для цензуры голосов и контента.

Что в законе?

Закон вводит жёсткие меры: криминализирует репортажи об утечках данных и предоставляет чрезвычайные полномочия главе недавно созданного института — Директората по кибербезопасности. Критики утверждают, что расплывчатые формулировки закона и возможность их широкого применения продвигаются намеренно для контроля онлайн-нарративов, а не для защиты цифровой инфраструктуры.

Правящая «Партия справедливости и развития» (ПСР) впервые представила законопроект, включающий 21 статью, 10 января 2025 года. Авторы — депутаты ПСР — утверждали, что закон направлен на борьбу с киберугрозами, укрепление национальной безопасности и защиту как государственных учреждений, так и субъектов частного сектора. По мнению авторов, текущий Закон о дезинформации, принятый в 2022 году, не может противостоять угрозам кибербезопасности, тогда как новый правовой акт поможет побороть киберпреступность.

Особое внимание обратили на себя две из 21 статьи закона: статьи 8 и 16. В первой версии законопроекта статья 8 предоставляла широкие полномочия и передавала власть в руки главы Управления кибербезопасности, включая возможность проводить обыски, изымать материалы и копировать цифровой контент без необходимости предварительного одобрения суда. Однако из-за негативной реакции во время обсуждения документа, из окончательной версии текста были удалены поиск, копирование и изъятие данных, а подобные полномочия переданы прокурору.

Первая версия статьи 16 содержала два специфических термина, которые также вызвали разногласия. Так, формулировки «утечка данных» и «те, кто распространяют контент» были заменены в окончательной версии на «утечка данных, связанная с кибербезопасностью» и «те, кто создают контент». Срок тюремного заключения в пять лет за нарушение этой статьи и её положений не изменился. Таким образом, согласно пункту 5 статьи 16:

Those who create false content about data leak related to cybersecurity, even though they know that there is no data leak in cyberspace, or those who spread this content for this purpose, shall be sentenced to two to five years in prison.

Те, кто создают ложный контент об утечке данных, связанной с кибербезопасностью, хотя знают, что в киберпространстве нет утечки данных, или те, кто распространяет такой контент с этой целью, должны быть приговорены к тюремному заключению сроком от двух до пяти лет.

Ассоциация по изучению медиа и права (MLSA), проанализировав закон, выделила несколько проблемных моментов, как, например, одинаковое наказание в виде штрафа для журналистов, работающих в сфере безопасности данных, и виновников утечек. MLSA пришла к выводу, что закон — это новый инструмент цензуры [тур] в руках властей.

Глава Управления кибербезопасности (актор, назначаемый президентом Реджепом Тайипом Эрдоганом в соответствии с недавно принятым законом) получает полномочия запрашивать информацию и документы у любых учреждений и организаций и проводить аудит их компьютерных систем. В этом контексте, поясняет MLSA, глава управления сможет получать доступ к данным любого учреждения или организации, и хранить эти сведения. Тем, кто откажется исполнить запрос, грозит тюремный срок до трёх лет.

Настолько широкие полномочия и строгие наказания могут стать значительным препятствием в работе гражданского общества, так как легко приводят к злоупотреблению властью: директорат получает доступ к переписке организаций, их конфиденциальной информации и может контролировать их деятельность. Встаёт вопрос и о свободе слова — гражданские активисты и группы начинают опасаться открыто выражать мнение из-за риска оказаться за решёткой. Кроме того, возможность сбора и хранения данных угрожает праву на частную жизнь как отдельных людей, так и организаций, а для журналистов — безопасности их источников. Новый закон может стать инструментом давления на неугодные группы, особенно те, кто критикует власти, что ведёт к подавлению независимых голосов и разрушению демократических механизмов. Кроме того, из-за расплывчатых формулировок закон может применяться избирательно, создавая дополнительные риски для гражданского общества.

Вводятся и дополнительные наказания, что резюмирует независимый новостной сайт Bianet:

8 to 12 years in prison for carrying out cyber attacks targeting elements of Turkey's national power in the cyberspace;

2 to 4 years in prison and fines for operating without the required licenses and permits;

4 to 8 years in prison for failing to comply with confidentiality obligations;

3 to 5 years in prison for sharing or selling personal or sensitive government data obtained through a cybersecurity breach;

2 to 5 years in prison for falsely claiming that a cybersecurity-related data leak has occurred to cause public panic or defame institutions or individuals.

От 8 до 12 лет тюрьмы за кибератаки, направленные на основы национальной власти Турции в киберпространстве;

От 2 до 4 лет тюрьмы и штрафы за деятельность без необходимых лицензий и разрешений;

От 4 до 8 лет тюрьмы за несоблюдение обязательств по соблюдению конфиденциальности;

От 3 до 5 лет тюрьмы за распространение или продажу личных или конфиденциальных государственных данных, полученных в результате нарушения кибербезопасности;

От 2 до 5 лет тюрьмы за ложное утверждение о том, что произошла утечка данных, связанных с кибербезопасностью, с целью вызвать панику среди населения или опорочить учреждения или отдельных лиц.

Как пишет Bianet [анг], в дополнение к директорату будет создан Совет по кибербезопасности во главе с президентом страны, в состав которого войдут глава Директората по кибербезопасности, вице-президент, руководитель разведки и несколько министров.

Долгая история утечек данных в Турции

Граждане Турции уже давно страдают от утечек персональных данных. Достаточно вспомнить хотя бы утечку 2016 года [анг], когда были раскрыты персональные данные около 50 миллионов граждан Турции (имена, адреса, имена родителей, города рождения, даты рождения и национальные идентификационные номера).

В 2017 году [анг] были похищены данные около 60 миллионов абонентов основного турецкого оператора GSM Turkcell. В 2021 году кибератака на крупнейшее в стране приложение доставки еды Yemeksepeti привела к хищению персональной информации [анг] 19 миллионов клиентов, включая логины, номера телефонов, адреса электронной почты и адресную информацию.

В 2023 году хакеры взломали главный портал государственного управления страны e-Devlet (электронное государство). Раскрыты персональные данные 85 миллионов граждан Турции [анг] и миллионов резидентов страны.

Медицинские карты миллионов пациентов попали в чужие руки в результате кибератаки 2024 года на систему управления информацией больницы [анг] в Стамбуле. В том же году турецкие власти сообщили [анг], что утечка во время пандемии привела к краже данных более 100 миллионов граждан, включая тех, кто живет за границей, беженцев и других лиц, зарегистрированных в официальных учреждениях. В январе 2025 года в результате взлома [анг] похитили спутниковые данные.

Эти примеры — лишь верхушка айсберга. Освещение подобных инцидентов — один из немногих способов информировать людей, несмотря на то, что турецкие граждане не надеются на сохранность и защиту личных данных в интернете.

Значение и влияние нового Закона о кибербезопасности следует рассматривать именно в свете таких примеров и общей оценки страной свобод, в частности свободы СМИ и выражения мнений. В интервью Turkey ReCap представитель комиссии главной оппозиционной «Республиканской народной партии» (НРП) Озгюр Джейлан сказал [анг]:

In a situation where critical views and the right to inform the public are already faced with the risk of arbitrary punishment, this regulation will pave the way for them [the ruling government] to go one step further. In this context, posts claiming data leaks or breaches of cybersecurity that closely concern the public could be targeted. Individuals’ ability to express themselves freely may be restricted, and people who report data breach claims may be tried under this crime — foreseeing heavy penalties.

В ситуации, когда за критические высказывания и реализацию права на информирование аудитории людям уже грозит наказание, новый правовой акт предоставляет правительству ещё более широкие полномочия. В частности, могут вообще запретить любые сообщения об утечках данных или киберугрозах, представляющие общественный интерес. Свобода выражения мнений окажется под ударом, а информаторов, рассказывающих о фактах нарушения безопасности, будет легко привлечь к ответственности, налагая суровое наказание.

Уже сейчас открыто не менее 66 расследований [анг] в отношении журналистов и более 4500 расследований в отношении лиц, обвиняемых в «распространении вводящей в заблуждение информации», за нарушение положений Закона о дезинформации 2022 года.