13 апреля 2021 года Министерство цифрового развития, инноваций и аэрокосмической промышленности Казахстана на портале egov.kz в разделе «Открытые НПА» для обсуждения опубликовало проект закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности».
Международный фонд защиты свободы слова «Адил соз» одним из первых отреагировал на появление этого проекта и заказал юристу Игорю Лоскутову провести независимое исследование данного документа.
Учитывая важность цифровой свободы для населения Казахстана и особенно журналистов, мы решили опубликовать полностью итог этого исследования. Но так как оно получилось объемным, то мы для удобства восприятия разделили его на части. Сегодня предлагаем первую часть.
Очередные поправки по информационной безопасности как инструмент ограничения доступа к информации
13 апреля 2021 года Министерство цифрового развития, инноваций и аэрокосмической промышленности РК (далее – МЦРИАП) на портале Электронного правительства в разделе «Открытые НПА» представило для обсуждения проект Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности» (далее – Проект).
В Пояснительной записке к Проекту указывается, что он разработан в целях исполнения строки 19 Плана законопроектных работ Правительства Республики Казахстан на 2021 год. В данном плане он, правда, изначально был указан под названием «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам инновационного и научно-технического развития». Под ним он разрабатывался на протяжении 2020 года. Но в декабре 2020 года МЦРИАП поменял название законопроекта и существенно дополнил его Концепцию.
В указанной Концепции дважды повторяется, что «электронные информационные ресурсы, т.ч. интернет-ресурсы, содержащие и обрабатывающие персональные данные граждан РК, часто используются в противоправных целях». Примеров и статистики, подтверждающих это утверждение, не приводится. При этом делается вывод, что: «В целях создания условий для сбора доказательств и иной оперативно-значимой информации об их противоправной деятельности имеется необходимость сбора и предоставления таких сведений правоохранительным и специальным государственным органам РК».
То есть, интернет-ресурсы, содержащие и обрабатывающие персональные данные граждан РК, огульно записываются в противозаконные, за которыми нужна специальная слежка и какие-то «такие сведения». К слову, именно законодатели своими недавними поправками принуждают казахстанские интернет-ресурсы обрабатывать персональные данные граждан РК, для того, чтобы как можно больше деанонимизировать их.
Также в Проекте появился ряд иных принципиальных новаций относительно регулирования деятельности интернет-ресурсов, затрагивающих как права граждан, так и интересы субъектов предпринимательства.
- Регистрация виртуальных частных сетей, запрет незарегистрированных, а также средств доступа к запрещенной информации
Так, Закон Республики Казахстан от 5 июля 2004 года № 567-II «О связи» предлагается дополнить новыми понятиями:
- «виртуальная частная сеть — технология, позволяющая обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети;
- средства доступа к запрещенной информации — сети и (или) средства связи, оказание услуг связи, доступ к интернет-ресурсам и (или) размещенной на них информации в целях доступа к информации, запрещенной вступившим в законную силу решением суда, предписанием уполномоченного органа или законами Республики Казахстан».
К компетенции уполномоченного органа (МЦРИАП) отнесено утверждение правил регистрации виртуальных частных сетей в Интернете, а также приостановления или прекращения работы незарегистрированных виртуальных частных сетей в Интернете и средств доступа к запрещенной информации.
Запрещается работа виртуальных частных сетей в Интернете, не зарегистрированных в порядке, определяемом уполномоченным органом, а также использование аппаратных и (или) программных средств доступа к запрещенной информации.
Обоснованием этому называется цель «недопущения распространения по сетям телекоммуникаций Республики Казахстан информации, запрещенной или иным образом ограниченной к распространению вступившими в законную силу судебными актами или законами Республики Казахстан».
Что касается Казахстана, то у большинства крупных организаций, использующих в работе Интернет, есть свои VPN, через которые работники подключаются к ресурсам по своей частной сети, получают доступ к какой-то информации. Но в Проекте не указано, что на VPN, используемые для корпоративных целей, закон не распространяется. Регулировать их работу в административном порядке невозможно, это бессмысленно и является своего рода цензурой. Трудно припомнить и случаи, когда по ним распространялась запрещенная информация.
В данном случае, очевидно, наблюдается уже традиционный для казахстанских законодателей подход, рассматривающий весь Интернет как находящийся под юрисдикцией Казахстана и обязанный подчиняться его законам. Но в мире существуют миллиарды виртуальных частных сетей (VPN), используемых для законного применения широкого спектра, поскольку обладают высокой степенью защищенности. И где найти критерий, по которому одни из них, доступные в Интернете, будут обязаны пройти регистрацию, а другие – нет?
Речь, конечно, идет об иностранных интернет-ресурсах, поскольку с интернет-ресурсами, находящимися на территории Казахстана, у казахстанских правоохранителей проблем давно не возникало. Вероятно, это говорит о том, что существующая в Казахстане система блокировок интернет-ресурсов признана недостаточно эффективной.
Напомним, что на сегодня в казахстанском законодательстве предусмотрена возможность запрета распространения на территории Республики Казахстан продукции иностранного средства массовой информации, содержащей информацию, противоречащую законам Республики Казахстан по решению казахстанского суда, вынесенного в порядке особого искового производства (главы 47-48 Кодекса Республики Казахстан от 31 октября 2015 года № 377-V «Гражданский процессуальный кодекс Республики Казахстан»).
Кроме того, доступ к интернет-ресурсам и (или) размещенной на них информации может быть заблокирован во внесудебном порядке на основании ст. 41-1 Закона Республики Казахстан от 5 июля 2004 года № 567-II «О связи».
Поскольку речь идет об иностранных юрисдикциях, сложно представить, что представители их виртуальных частных сетей выстроятся в очередь для того, чтобы зарегистрироваться в Казахстане. А отсутствие регистрации, очевидно, послужит для МЦИАРП основанием для автоматического приостановления или прекращения работы незарегистрированных виртуальных частных сетей в Интернете во внесудебном порядке.
Напомним, что в части находящихся на территории Евросоюза виртуальных частных сетей, а также иных средств, которые потенциально могут быть использованы для доступа к информации (в т.ч. запрещенной в Казахстане), с 1 марта 2020 вступило в силу Соглашение о расширенном партнерстве и сотрудничестве между Европейским Союзом и его государствами-членами, с одной стороны, и Республикой Казахстан, с другой стороны (Астана, 21 декабря 2015 года) (далее – Соглашение). Соглашение ратифицировано Республикой Казахстан и имеет приоритет над ее национальным законодательством.
В нем рассматриваемому вопросу посвящен Раздел 4 «Ответственность провайдеров услуг, действующих в качестве посредников» Главы 7 «Интеллектуальная собственность». В соответствии с ним: «Стороны признают, что услуги посредников могут быть использованы третьими лицами в целях совершения правонарушения».
Для обеспечения свободного движения информационных услуг Стороны обязуются не ограничивать деятельность провайдеров услуг, выступающих в качестве посредников по передаче по сети связи информации и предоставлению доступа, если эти провайдеры никак не связаны с передаваемой информацией.
Данные нормы не влияют на возможность суда или административного органа в соответствии с национальным законодательством требовать от провайдера услуг прекратить или предотвратить нарушение. Однако в Соглашении указано, что Стороны не налагают общего обязательства на провайдеров при предоставлении вышеуказанных услуг, следить за информацией, которую они передают или хранят, а также не налагают общего обязательства активно искать факты или обстоятельства, указывающие на незаконную деятельность.
Что касается средств доступа к запрещенной информации, то, прежде всего, следует отметить, что норма о том, что «Запрещаются работа сетей и (или) средств связи, оказание услуг связи, доступ к интернет-ресурсам и (или) размещенной на них информации в целях доступа к информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан», появилась в виде пункта 1-3 в ст. 41-1 Закона Республики Казахстан от 5 июля 2004 года № 567-II «О связи» еще в 2017 году.
Но, до сей поры в Казахстане отсутствует единый реестр информации, запрещенной вступившим в законную силу решением суда, предписанием уполномоченного органа или законами Республики Казахстан.
Соответственно, и в практическом плане, и даже чисто теоретически сложно вообразить, как лица, заинтересованные в полностью легальной деятельности, должны предполагать и определять, что некие средства связи, оказание услуг связи, доступ к интернет-ресурсам и (или) размещенной на них информации могут быть использованы в целях доступа к запрещенной информации?
Непонятно также, означает ли «доступ к размещенной на интернет-ресурсах информации, которая может быть использована в целях доступа к запрещенной информации» обязанность поисковых систем ограничивать выдачу ссылок на запрещенные ресурсы?
Тут, видимо, подразумевается работа правоохранительных органов, которые будут указывать, что такая-то информация запрещена (охватывая в т.ч. решения всех судов Казахстана по всем делам), а определенные средства (браузеры, программы и т.д.) могут быть использованы для доступа к ней.
Если же ее не будет, то речь может идти лишь о выборочных репрессивных мерах, которые, судя по всему, и практикуются сейчас (с 1 января по 31 октября 2020 года в стране было заблокировано 148 ресурсов и материалов, распространяющих или пропагандирующих средства обхода связи).
Для полной блокировки необходимо будет либо полностью внедрить корневой сертификат безопасности (такие планы отрицаются, хотя попытки были), либо на границе сетей Казахстана настроить блокировку шифрованного трафика у всех провайдеров.
Но еще два года назад Председатель комитета по информационной безопасности отметил, что запрет VPN очень болезненно будет воспринят обществом, поэтому необходимо выбрать другой путь решения в области информбезопасности.
«Даже при их великом китайском файерволе все равно можно пользоваться VPN и использовать те сервисы Google, которые в стране официально закрыты. То есть это (запрет VPN и анонимайзеров) не наш путь. Я думаю, мы все-таки по нему не пойдем», — сказал Абдикаликов.
Почему в министерстве передумали, не сообщается.
Сейчас использование VPN разрешено в большинстве стран мира. Среди 10 стран, которые запретили или фактически запретили VPN: Китай, Россия, Беларусь, Северная Корея, Туркменистан, Уганда, Ирак, Турция, ОАЭ и Оман.
Как указывает Тимоти Шим, есть много способов, с помощью которых страны могут обеспечить соблюдение запретов на использование VPN:
1. Регистрацию VPN-сервисов — Некоторые страны могут потребовать, чтобы службы VPN, работающие на их территории, регистрировались в правительстве. Это требование обычно сопровождается условиями доступа к информации, что делает виртуальные частные сети практически бесполезными для обеспечения конфиденциальности.
2. Внедрение технологий – Хотя трафик сети VPN обычно трудно отследить, некоторые виды технологий могут помочь его идентифицировать. Например, Deep Packet Inspection помогает правительствам отслеживать статус трафика VPN.
3. Сдерживающие меры — Часто предотвращение использования VPN сопровождается жесткими мерами сдерживания. Эти меры могут включать тюремное заключение или штрафы для лиц, уличенных в использовании VPN-сервисов без авторизации.
В странах, которые запрещают использование VPN, в основном практикуется высокий уровень цензуры.
«В большинстве случаев очевидно, что запрет возникает из-за желания правительства контролировать повествование или препятствовать доступу к внешнему миру. В таких случаях статус запрета (полный или жестко регулируемый) на самом деле не важен, но важна его мотивация. Это связано с тем, что на самом деле нет реальной юридической причины, по которой можно было бы запретить VPN — это просто инструменты. Ввести запрет на VPN — это все равно, что пытаться запретить что-то вроде кухонных ножей».
В России 1 ноября 2017 года вступил в силу закон о запрете использования VPN-сервисов и анонимайзеров для доступа к запрещенной в стране информации. VPN-сервисы должны блокировать доступ к запрещенным на территории РФ сайтам, провайдеры или хостинги – при необходимости ограничивать доступ к ресурсам, предоставляющим услуги VPN, операторы поисковых систем – ограничивать выдачу ссылок на запрещенные ресурсы.
Коренные отличия в РФ от предлагаемой в Казахстане системы, обязывающей все VPN в мире ограничивать доступ непонятно к какой информации:
1. Федеральный орган исполнительной власти (Роскомнадзор) осуществляет создание и эксплуатацию федеральной государственной информационной системы, содержащей перечень информационных ресурсов, информационно-телекоммуникационных сетей, доступ к которым ограничен на территории Российской Федерации (далее – Реестр);
2. Роскомнадзор на основании обращения органов, осуществляющих оперативно-розыскную деятельность или обеспечение безопасности, определяет провайдера хостинга или иное лицо, обеспечивающее размещение в сети «Интернет» программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен;
3. Направляет провайдеру хостинга уведомление в электронном виде на русском и английском языках о необходимости предоставления данных, позволяющих идентифицировать такого владельца, или о необходимости уведомления владельца о необходимости размещения указанных данных на сайте в сети «Интернет» такого владельца;
4. В течение трех рабочих дней со дня получения данных, позволяющих идентифицировать владельца, или самостоятельного выявления таких данных Роскомнадзор направляет этому владельцу на русском и английском языках требование о необходимости подключения такого владельца к Реестру;
5. В течение тридцати рабочих дней со дня направления указанного требования владелец обязан подключиться к Реестру, а в течение трех рабочих дней после предоставления ему доступа к Реестру обеспечить соблюдение запрета доступа к запрещенным ресурсам.
При этом указано, что данные положения не распространяются на операторов государственных информационных систем, государственные органы и органы местного самоуправления, а также на случаи использования программно-аппаратных средств доступа к информационным ресурсам, информационно-телекоммуникационным сетям, доступ к которым ограничен, при условии, что круг пользователей таких программно-аппаратных средств их владельцами заранее определен и использование таких программно-аппаратных средств осуществляется в технологических целях обеспечения деятельности лица, осуществляющего их использование.
В казахстанском Проекте ничего из этого не оговаривается».
________________________________
Продолжение следует