Закон і Бізнес


IP-адрес неотделим от сообщения

Получение данных об абоненте является вмешательством в частную жизнь


№17 (1367) 28.04—09.05.2018
Валентина МИХАЙЛОВА
10381

Грань между защитой публичных интересов и приватности всегда довольно тонка. Особенно, если речь идет о конфиденциальности в Интернете. Например, на днях в Страсбурге выясняли, может ли полиция получить у провайдера данные трафика без судебного решения?


Подозрительная сеть

В 2006 году швейцарские правоохранительные органы кантона Вале провели мониторинг пользователей сети «Razorback» и установили, что некоторые из них хранят и обмениваются детской порнографии в виде фото или видео. Поскольку каждый подключенный компьютер работал как клиентом, так и сервером, правоохранители пришли к выводу, что любой пользователь мог получить доступ ко всем файлами загрузить их для личного использования.

Среди адресов динамического интернет-протокола, записанных швейцарской полицией, также был IP-адрес, который позднее был связан с жителем Словении Игорем Бенедиком. Исходя из данныхшвейцарских коллег, словенская полиция запросила у интернет-провайдера данные о пользователе, которому был присвоен этот IP-адрес в определенный момент времени. И получила имя и адрес отца И.Бенедика.

Лишь после этого полиция получила санкцию суда о раскрытии как личных данных абонента, так и сведений о трафике, связанных с этим IP-адресом. В ходе проведенного обыска были изъяты 4 компьютера и сняты копии их жестких дисков, на которых впоследствии были обнаружены файлы с порнографическими материалами с участием несовершеннолетних.

После беседы с членами семьи полиция сняла подозрения с отца, переключившись на сына. Выяснилось, что он установил программу обмена файлами eMule. С ее помощью мог загружать файлы от других пользователей программы, а также автоматически предлагать и распространять свои собственные. Среди загруженных файловнебольшой процент содержал детскую порнографию.

Сведения без ордера

И.Бенедик пытался доказать, что не знал о содержании файлов. А его адвокат акцентировал внимание суда на незаконном получении сведений о пользователе, включая его адрес, без судебного ордера. Но тщетно.

Районный суд г.Кранья признал заявителя виновным в уголовном преступлении. Основываясь на мнении эксперта, он постановил, что заявитель должен был знать о 630 порнографических фотографиях и 199 видео с участием несовершеннолетних, которые были доступны для совместного использования с другими пользователями. И.Бенедика приговорили к 8 месяцам лишения свободы условно с испытательным сроком в 2 года.

Высший суд Любляны частично удовлетворил жалобу окружного прокурора, заменив условный срок на реальные 6 месяцев тюрьмы.

В Верховному суде страны также не прислушались к доводам защиты, которая продолжала доказывать, что динамический IP-адрес следует рассматривать как данные о трафике, связанные с самим сообщением. Следовательно, подпадает под конституционную защиту конфиденциальности самого сообщения.

Но в ВС Словении решили, что с учетом возможности мониторинга пользователей, распространяющих информацию определенного содержимого, какого-либо конкретного вмешательства в интернет-трафик не происходит. А, значит, такое сообщение не может считаться частным и, защищаться ст.37 конституции. Более того, полиция получила без судебного ордера только данные о пользователе конкретного компьютера, через который был осуществлен доступ вИнтернет.

С таким выводом согласился и Конституционный суд страны.

Виноват… закон

В решении от 24.04.2018 по делу «Benedik v. Slovenia» Европейский суд по правам человека подчеркнул, что Конвенция о киберпреступности обязывает государства принимать такие меры, как сбор данных о трафике в режиме реального времени. Однако в соответствии со ст.15 конвенции такие меры допускаются «с учетом условий и гарантий, предусмотренных национальным законодательством». В частности, должны быть предусмотрены судебный или иной независимый надзор, основания, обосновывающие применение, а также ограничение сферы действия и продолжительности такой процедуры.

Суд далее отмечает, что ст.37 конституции Словении требует судебного решения о любом вмешательстве в неприкосновенность частной жизни. Кроме того, закон об электронной связи не предусматривал доступ к информации о пользователях, связанным с ними данными о трафике и их передачу в целях уголовного судопроизводства.

В Страсбурге отметили, что КС Словении ранее пришел к выводу, что «личность сообщающего лица является одним из важных аспектов конфиденциальности информации». Также отмечалось, что данные о трафике подпадают под действие ст.37 конституции. Следовательно, раскрытие информации об абоненте, связанном с определенным динамическим IP-адресом, в принципе требовала судебного решения и не могла быть получена с помощью простого письменного запроса со стороны полиции.

Более того, ничто во внутреннем законодательстве не позволяло полиции получить такую информацию, учитывая, что несколько месяцев спустя был запрошен и получен судебный ордер. В этой связи Суд отмечает, что, как представляется, не было никаких положений, в которых указываются условия для получения такой информации и не предусматривалось никаких гарантий от злоупотреблений со стороны должностных лиц в процедуре доступа к ним и их передачи.

Кроме того, не было независимого контроля за использованием этих полномочий, несмотря на то, что полиция, как это интерпретировали национальные суды, могла по простому запросу получить от провайдера сохраненные данные. Это позволяло связывать большой объем информации о деятельности в Интернете с конкретным лицом без его согласия.

С учетом данных обстоятельств, ЕСПЧ пришел к выводу, что закон, позволивший полиции получить информацию об абоненте по динамическому IP-адресу, не имел ясности и не предоставлял достаточных гарантий против произвольного вмешательства в права, предусмотренные ст.8 Конвенции о защите прав человека и основоположных свобод. Следовательно, вмешательство в личную жизнь заявителя не было «в соответствии с законом», как того требует §2 ст.8 конвенции.

Правда, этим Суд и ограничился, посчитав, что решение само по себе будет достаточной сатисфакцией для И.Бенедика. Поэтому распорядился лишь компенсировать ему 3522 евро судебных расходов.

 

Любителі дитячого порно У 2006 році швейцарські правоохоронні органи кантону Валу провели моніторинг користувачів мережі Razorback і встановили, що деякі з них зберігають дитячу порнографію та обмінюються нею у вигляді фото або відео. Оскільки кожен підключений комп’ютер працював як клієнтом, так і сервером, правоохоронці дійшли висновку, що будь-хто міг дістати доступ до всіх файлів і завантажити їх для особистого використання. Серед адрес динамічного інтернет-протоколу, записаних швейцарською поліцією, також була IP-адреса, яка пізніше була пов’язана із жителем Словенії Ігорем Бенедиком. Виходячи з даних швейцарських колег, словенська поліція зробила запит в інтернет-провайдера щодо даних про користувача, якому була присвоєна ця IP-адреса в певний момент часу. І отримала ім’я й адресу батька І.Бенедика. Лише після цього поліція одержала санкцію суду на розкриття як особистих даних абонента, так і відомостей про трафік, пов’язаний із цією IP-адресою. У ході проведеного обшуку було вилучено 4 комп’ютери та зняті копії з жорстких дисків, на яких згодом були виявлені файли з порнографічними матеріалами за участю неповнолітніх. Після бесіди із членами сім’ї поліція зняла підозри з батька, взявшись за сина. З’ясувалося, що він установив програму обміну файлами eMule. З її допомогою міг завантажувати файли від інших користувачів програми, а також автоматично пропонувати й поширювати власні. Серед завантажених файлів невеликий відсоток містив дитячу порнографію. Відомості без ордера І.Бенедик намагався довести, що не знав про зміст файлів. А його адвокат акцентував увагу суду на незаконному отриманні відомостей про користувача, без судового ордера. Проте марно. Районний суд м.Краньї визнав заявника винним у кримінальному злочині. Ґрунтуючись на думці експерта, Феміда постановила, що заявник мав знати про 630 порнографічних фотографій та 199 відео за участю неповнолітніх, які були доступні для перегляду ним та іншими користувачами. І.Бенедика засудили до 8 місяців позбавлення волі умовно з випробувальним строком 2 роки. Вищий суд м.Любляни частково задовольнив скаргу окружного прокурора, замінивши умовне покарання на 6 місяців тюрми. У Верховному суді країни також не прислухалися до доводів захисту, який продовжував доводити, що динамічну IP-адресу слід розглядати як дані про трафік, пов’язані із самим повідомленням. Отже, підпадає під конституційний захист конфіденційність самого повідомлення. Проте у ВС Словенії вирішили, що з урахуванням можливості моніторингу користувачів, котрі поширюють інформацію певного змісту, конкретного втручання в інтернет-трафік не відбувається. Отже, таке повідомлення не може вважатися приватним і захищатися ст.37 конституції. Більше того, поліція отримала без судового ордера тільки дані про користувача конкретного комп’ютера, через який був здійснений доступ до Інтернету. З таким висновком погодився й Конституційний суд країни. Винен... закон У рішенні від 24.04.2018 у справі «Benedik v. Slovenia» Європейський суд з прав людини підкреслив, що Конвенція про кіберзлочинність зобов’язує держави вживати таких заходів, як збір даних про трафік у режимі реального часу. Та відповідно до ст.15 конвенції такі заходи допускаються «з урахуванням умов і гарантій, передбачених національним законодавством». Зокрема, повинні бути передбачені судовий або інший незалежний нагляд, підстави, що обґрунтовують застосування, а також обмеження сфери дії та тривалості такої процедури. Далі у Страсбурзі відзначили, що ст.37 конституції Словенії вимагає судового рішення про будь-яке втручання в недоторканність приватного життя. Крім того, закон про електронний зв’язок не передбачав доступу до інформації про користувачів, пов’язані з ними дані про трафік та їх передання для потреб кримінального судочинства. ЄС також зауважив, що КС Словенії раніше дійшов висновку, що «повідомляюча особа є одним з важливих аспектів конфіденційності інформації». Також наголошувалося, що дані про трафік підпадають під дію ст.37 конституції. Отже, розкриття інформації про абонента, пов’язаного з певною динамічною IP-адресою, в принципі, вимагало судового рішення. Такі відомості не могли бути отримані поліцією за допомогою простого письмового запиту. Більше того, ніщо у внутрішньому законодавстві не дозволяло поліції одержати таку інформацію. Та ще й через кілька місяців по тому було відповідне клопотання й отримано судовий ордер. У зв’язку із цим Суд відзначив, що, як видається, не було ніяких положень, в яких указуються умови для одержання такої інформації, і не передбачалося ніяких гарантій від зловживань з боку посадових осіб у процедурі доступу до даних та їх передання. Крім того, не було незалежного контролю за використанням повноважень, попри те що поліція, як твердили національні суди, могла на підставі запиту отримати від провайдера збережені дані. Це дозволяло пов’язувати великий обсяг інформації про діяльність в Інтернеті з конкретною особою без її згоди. З урахуванням таких обставин ЄСПЛ вирішив: закон, що дозволив поліції отримати інформацію про абонента за динамічною IP-адресою, не мав ясності й не давав достатніх гарантій проти довільного втручання в права, передбачені ст.8 Конвенції про захист прав людини і основоположних свобод. Отже, втручання в особисте життя заявника здійснювалося не відповідно до закону, як того вимагає §2 ст.8 конвенції. Щоправда, цим Суд і обмежився, зауваживши, що рішення саме собою буде достатньою сатисфакцією для І.Бенедика. Тому йому лише компенсували €3522 судових витрат.