Закон і Бізнес


IP-адреса невіддільна від повідомлення

Отримання поліцією даних про абонента без відповідної санкції є втручанням у приватне життя


№17 (1367) 28.04—09.05.2018
Валентина МИХАЙЛОВА
10380

Межа між захистом публічних інтересів і приватності завжди досить тонка. Особливо тоді, коли мова йде про конфіденційність в Інтернеті. Наприклад, днями у Страсбурзі з’ясовували, чи може поліція отримати в провайдера дані трафіку без судового рішення.


Любителі дитячого порно

У 2006 році швейцарські правоохоронні органи кантону Валу провели моніторинг користувачів мережі Razorback і встановили, що деякі з них зберігають дитячу порнографію та обмінюються нею у вигляді фото або відео. Оскільки кожен підключений комп’ютер працював як клієнтом, так і сервером, правоохоронці дійшли висновку, що будь-хто міг дістати доступ до всіх файлів і завантажити їх для особистого використання.

Серед адрес динамічного інтернет-протоколу, записаних швейцарською поліцією, також була IP-адреса, яка пізніше була пов’язана із жителем Словенії Ігорем Бенедиком. Виходячи з даних швейцарських колег, словенська поліція зробила запит в інтернет-провайдера щодо даних про користувача, якому була присвоєна ця IP-адреса в певний момент часу. І отримала ім’я й адресу батька І.Бенедика.

Лише після цього поліція одержала санкцію суду на розкриття як особистих даних абонента, так і відомостей про трафік, пов’язаний із цією IP-адресою. У ході проведеного обшуку було вилучено 4 комп’ютери та зняті копії з жорстких дисків, на яких згодом були виявлені файли з порнографічними матеріалами за участю неповнолітніх.

Після бесіди із членами сім’ї поліція зняла підозри з батька, взявшись за сина. З’ясувалося, що він установив програму обміну файлами eMule. З її допомогою міг завантажувати файли від інших користувачів програми, а також автоматично пропонувати й поширювати власні. Серед завантажених файлів невеликий відсоток містив дитячу порнографію.

Відомості без ордера

І.Бенедик намагався довести, що не знав про зміст файлів. А його адвокат акцентував увагу суду на незаконному отриманні відомостей про користувача, без судового ордера. Проте марно.

Районний суд м.Краньї визнав заявника винним у кримінальному злочині. Ґрунтуючись на думці експерта, Феміда постановила, що заявник мав знати про 630 порнографічних фотографій та 199 відео за участю неповнолітніх, які були доступні для перегляду ним та іншими користувачами. І.Бенедика засудили до 8 місяців позбавлення волі умовно з випробувальним строком 2 роки.

Вищий суд м.Любляни частково задовольнив скаргу окружного прокурора, замінивши умовне покарання на 6 місяців тюрми.

У Верховному суді країни також не прислухалися до доводів захисту, який продовжував доводити, що динамічну IP-адресу слід розглядати як дані про трафік, пов’язані із самим повідомленням. Отже, підпадає під конституційний захист конфіденційність самого повідомлення.

Проте у ВС Словенії вирішили, що з урахуванням можливості моніторингу користувачів, котрі поширюють інформацію певного змісту, конкретного втручання в інтернет-трафік не відбувається. Отже, таке повідомлення не може вважатися приватним і захищатися ст.37 конституції. Більше того, поліція отримала без судового ордера тільки дані про користувача конкретного комп’ютера, через який був здійснений доступ до Інтернету.

З таким висновком погодився й Конституційний суд країни.

Винен... закон

У рішенні від 24.04.2018 у справі «Benedik v. Slovenia» Європейський суд з прав людини підкреслив, що Конвенція про кіберзлочинність зобов’язує держави вживати таких заходів, як збір даних про трафік у режимі реального часу. Та відповідно до ст.15 конвенції такі заходи допускаються «з урахуванням умов і гарантій, передбачених національним законодавством». Зокрема, повинні бути передбачені судовий або інший незалежний нагляд, підстави, що обґрунтовують застосування, а також обмеження сфери дії та тривалості такої процедури.

Далі у Страсбурзі відзначили, що ст.37 конституції Словенії вимагає судового рішення про будь-яке втручання в недоторканність приватного життя. Крім того, закон про електронний зв’язок не передбачав доступу до інформації про користувачів, пов’язані з ними дані про трафік та їх передання для потреб кримінального судочинства.

ЄС також зауважив, що КС Словенії раніше дійшов висновку, що «повідомляюча особа є одним з важливих аспектів конфіденційності інформації». Також наголошувалося, що дані про трафік підпадають під дію ст.37 конституції. Отже, розкриття інформації про абонента, пов’язаного з певною динамічною IP-адресою, в принципі, вимагало судового рішення. Такі відомості не могли бути отримані поліцією за допомогою простого письмового запиту.

Більше того, ніщо у внутрішньому законодавстві не дозволяло поліції одержати таку інформацію. Та ще й через кілька місяців по тому було відповідне клопотання й отримано судовий ордер. У зв’язку із цим Суд відзначив, що, як видається, не було ніяких положень, в яких указуються умови для одержання такої інформації, і не передбачалося ніяких гарантій від зловживань з боку посадових осіб у процедурі доступу до даних та їх передання.

Крім того, не було незалежного контролю за використанням повноважень, попри те що поліція, як твердили національні суди, могла на підставі запиту отримати від провайдера збережені дані. Це дозволяло пов’язувати великий обсяг інформації про діяльність в Інтернеті з конкретною особою без її згоди.

З урахуванням таких обставин ЄСПЛ вирішив: закон, що дозволив поліції отримати інформацію про абонента за динамічною IP-адресою, не мав ясності й не давав достатніх гарантій проти довільного втручання в права, передбачені ст.8 Конвенції про захист прав людини і основоположних свобод. Отже, втручання в особисте життя заявника здійснювалося не відповідно до закону, як того вимагає §2 ст.8 конвенції.

Щоправда, цим Суд і обмежився, зауваживши, що рішення саме собою буде достатньою сатисфакцією для І.Бенедика. Тому йому лише компенсували €3522 судових витрат.