Надповноваження для СБУ і обмеження доступу до інформації – законопроект про критичну інфраструктуру від Мінекономрозвитку”

20 липня 2018 року на сайті Міністерства економічного розвитку і торгівлі України було оприлюднено для обговорення законопроект «Про критичну інфраструктуру та її захист». Певні пункти законопроекту, за словами представників Коаліції “За вільний інтернет”, можуть загрожувати свободі слова та вираження поглядів, надають надмірних повноважень Службі безпеки та можуть призвести до порушення права на доступ до публічної інформації.

Коаліція “За вільний інтернет” загалом підтримує пропозицію щодо ухвалення законодавства, спрямованого визначення та вжиття заходів захисту щодо об’єктів критичної інфраструктури. Однак аналіз законопроекту засвідчив низку небезпек, а саме:

  • СБУ вкотре може отримати повноваження з обмеження та блокування доступу до веб-сайтів без рішення суду під приводом того, що вони можуть використовуватись “для вчинення, фінансування, сприяння або приховування акту несанкціонованого втручання в діяльність критичної інфраструктури”;
  • СБУ зможе отримувати доступ до конфіденційної інформації операторів об’єктів критичної інфраструктури, серед яких можуть бути не лише державні органи, але й приватні суб’єкти.
  • Будь-яка інформація “щодо об’єктів критичної інфраструктури”, а також “технологічна інформація” (дані, що обробляються в системах управління технологічними процесами об’єктів критичної інфраструктури) буде обмеженою в доступі. Це суттєво звузить право громадян на доступ до публічної інформації, зокрема, до інформації про підприємства, що надають комунальні послуги, послуги у сфері виробництва продуктів, харчування, охорони здоров’я та ін.

Коаліція “За вільний інтернет” пропонує виключити з законопроекту пункти, які несуть загрозу правам людини, а також залучити громадськість у процес створення Уповноваженого органу у справах захисту критичної інфраструктури.

Детальний аналіз законопроекту за посиланням https://goo.gl/5Y6Z8M  

 

Аналіз Проекту Закону

«Про критичну інфраструктуру та її захист»

В Міністерстві економічного розвитку і торгівлі України 20 липня 2018 року оприлюднено для обговорення Проект Закону «Про критичну інфраструктуру та її захист» (далі – Проект). Проект розроблено відповідно до Указу Президента України від 16 січня 2017 р. №8 «Про рішення Ради національної безпеки і оборони України від 29 грудня 2016 року “Про удосконалення заходів забезпечення захисту об’єктів критичної інфраструктури”». Документ пропонує встановити принципи та напрями розбудови державної системи захисту критичної інфраструктури, визначає правові та організаційні засади забезпечення її діяльності і має стати складовою частиною законодавства України у сфері національної безпеки.

Підтримуючи пропозицію щодо ухвалення законодавства, спрямованого визначення та вжиття заходів захисту щодо об’єктів критичної інфраструктури, Коаліція “За вільний Інтернет” (далі – Коаліція) хоче висловити деякі зауваження та пропозиції до Проекту, з метою усунути недоліки, що можуть призвести до порушення зобов’язань України у сфері прав людини та основоположних свобод. Зауваження стосуватимуться двох сфер регулювання запропонованого Проекту: статусу державних органів, відповідальних за захист критичної інфраструктури, зокрема порядку формування Уповноваженого органу у справах захисту критичної інфраструктури та повноважень Служби безпеки України, а також пропонованих змін до Законів України «Про інформацію» та «Про доступ до публічної інформації».

Створення та діяльність

Уповноваженого органу у справах захисту критичної інфраструктури

Проект передбачає створення Уповноваженого органу у справах захисту критичної інфраструктури, який відповідатиме за формування та реалізацію державної політики у сфері захисту критичної інфраструктури. Проект не містить порядку створення цього органу, однак встановлює, що Положення про Уповноважений орган у справах захисту критичної інфраструктури України затверджується Кабінетом Міністрів України.

Коаліція наголошує на важливості залучити до розробки Положення про Уповноважений орган у справах захисту критичної інфраструктури представників громадськості та профільних експертів, а також передбачити механізми громадського контролю за його діяльністю.

Повноваження Служби безпеки України

у сфері захисту критичної інфраструктури

Стаття 14 Проекту визначає низку суб’єктів, які входять до  державної системи захисту критичної інфраструктури, зокрема: Уповноважений орган у справах захисту критичної інфраструктури України; міністерства та інші центральні органи виконавчої влади; правоохоронні та розвідувальні органи; Служба безпеки України; Збройні Сили України, інші військові формування, утворені відповідно до законів України; місцеві державні адміністрації; оператори критичної інфраструктури та громадські організації. При цьому, Проект пропонує суттєво розширити повноваження Служби безпеки України.

Відповідно до статті 17 цього Проекту, до компетенції Служби безпеки України пропонується віднести, серед інших, повноваження щодо участі в обмеженні та блокуванні доступу до об’єктів та ресурсів, які використовуються для організації, підготовки, вчинення, фінансування, сприяння або приховування акту несанкціонованого втручання в діяльність критичної інфраструктури, а також в інших передбачених законами України випадках у порядку, встановленому законодавством (абз. 8 частина перша статті 17 Проекту).

Законодавство України на сьогодні не містить спеціальних норм щодо регулювання «обмеження та блокування доступу» до окремих об’єктів та ресурсів, за винятком статті 39 Закону України «Про телекомунікації», яка зобов’язує операторів і провайдерів телекомунікацій на підставі рішення суду обмежувати доступ своїх абонентів до ресурсів, через які здійснюється розповсюдження дитячої порнографії, а також вимог законодавства щодо захисту авторських та суміжних прав в Інтернеті. Більше того, ні зазначений Проект, ні інші закони не дають визначення того, які саме заходи можуть вважатись «обмеженням та блокуванням доступу». Натомість, Кримінальний процесуальний кодекс України, а також Закони України «Про оперативно-розшукову діяльність», «Про контррозвідувальну діяльність» та, власне, Закон України «Про Службу безпеки України» передбачають достатньо повноважень для належного реагування і припинення незаконних дій, у тому числі, несанкціонованого втручання в діяльність критичної інфраструктури.

Варто також зауважити, що у випадках, коли йдеться про обмеження доступу до інформаційних ресурсів, відповідно до п. 4.5. Стратегії кібербезпеки України, що була затверджена Указом Президента України від 15 березня 2016 року № 96/2016,  боротьба з кіберзлочинністю може передбачати запровадження блокування операторами та провайдерами телекомунікацій визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу), але виключно за рішенням суду.

Підхід щодо виключно «судового блокування» узгоджується із міжнародними зобов’язаннями України у сфері прав людини, зокрема з вимогами Міжнародного пакту про громадянські та політичні права та Конвенції про захист прав людини та основоположних свобод. Відповідно до Рекомендацій Ради Європи №CM/Rec (20165 щодо Інтернет-свободи, обмеження мають ґрунтуватися на рішенні суду або іншого незалежного адміністративного органу із подальшим його затвердженням у судовому порядку. При цьому, рішення має бути конкретним, спрямованим на досягнення чіткої мети та базуватися на оцінці ефективності обмежень і ризиків надмірного блокування.

Європейський суд з прав людини, чия практика є джерелом права в Україні відповідно до статті 17 Закону України «Про виконання рішень та застосування практики Європейського суду з прав людини», у своїх рішеннях у справах «Ахмет Їлдірім проти Туреччини» (Ahmet Yıldırım v. Turkey) та «Дженгіз та інші проти Туреччини» (Cengiz and Others v. Turkey) також наголошує, що для обмежень доступу до веб-сайтів «потрібні правові рамки, що забезпечують, як жорсткий контроль за сферою заборон, так і ефективний судовий нагляд, щоб запобігти будь-яким зловживанням владою».

Зважаючи на вищенаведене, Коаліція закликає виключити абз. 8 частини першої статті 17 із тексту Проекту.

Коаліція також розділяє позицію, висловлену Інтернет асоціацією України у Листі № 120 від 03.08.2018 до Мінекономрозвитку щодо надання пропозицій до проекту Закону «Про критичну інфраструктуру та її захист», щодо необхідності виключення з тексту частини першої статті 17 Проекту:

  • абз. 4 – щодо участі СБУ у перевірці інвестицій та походження капіталу, що спрямовується на фінансування критичної інфраструктури;
  • частково абз. 5 – в частині повноважень з контролю фінансування критичної інфраструктури;
  • абз. 6 – щодо доступу до автоматизованих інформаційних і довідкових систем, реєстрів та банків даних операторів критичної інфраструктури (повноваження та процедура вже визначені іншим законодавством)
  • абз. 12 – щодо повноважень СБУ подавати органам державної влади, органам місцевого самоврядування, підприємствам, установам, організаціям усіх форм власності обов’язкові вимоги щодо дотримання законодавства.

Зазначені положення необґрунтовано розширюють повноваження СБУ, створюють можливості для зловживання владними повноваженнями та можуть призвести до порушення прав людини.

Коаліція також вбачає ризики в положеннях абз. 16 статті 17 Проекту, відповідно до якого СБУ отримує повноваження знайомитись “в органах державної влади, органах місцевого самоврядування, в операторів об’єктів критичної інфраструктури із документами та іншими матеріальними носіями інформації, необхідними для попередження, виявлення та недопущення актів несанкціонованого втручання в діяльність об’єктів критичної інфраструктури, у тому числі такими, що містять інформацію з обмеженим доступом.

Зважаючи на те, що операторами об’єктів критичної інфраструктури можуть бути не лише державні органи, але й приватні суб’єкти, надання автоматичного доступу до будь-якої, в першу чергу конфіденційної інформації, яка ними зберігається, може становити втручання в підприємницьку діяльність. Відповідно до статті 7 Закону України “Про доступ до публічної інформації”  конфіденційна інформація про особу може поширюватися у визначеному нею порядку за їхнім бажанням відповідно до передбачених ними умов, тобто, за згодою такої особи. Поширення конфіденційної інформації без згоди допускається лише в інтересах національної безпеки, економічного добробуту та прав людини у визначеному законом порядку. Зазначений Проект передбачає лише повноваження щодо доступу до інформації з обмеженим доступом, але не встановлює порядку такого доступу.

Закон України “Про Службу безпеки України” на сьогодні не надає СБУ повноважень автоматично отримувати доступ до інформації з обмеженим доступом, що належить приватним суб’єктам. При цьому, вказаний закон містить посилання на інші закони, якими такий порядок регулюється. Так, у пункті 3 статті 25 Закон України “Про Службу безпеки України” передбачено право одержувати  на   письмовий  запит керівника  відповідного органу  Служби безпеки України  від міністерств, державних комітетів,  інших відомств, підприємств, установ, організацій, військових частин, громадян та  їх об’єднань дані і відомості, необхідні для забезпечення державної безпеки України,  а також користуватись з цією метою службовою документацією і звітністю. Отримання від банків інформації, яка містить банківську таємницю, здійснюється  у порядку та обсязі, встановлених Законом України “Про банки і банківську діяльність”. Отримання від Центрального депозитарію цінних паперів, Національного  банку України та депозитарних установ інформації, що міститься у системі депозитарного обліку цінних паперів, здійснюється в порядку та обсязі, встановлених Законом  України “Про депозитарну систему України””.

Таким чином, СБУ має право отримувати у відповідь на свій запит інформацію, що не обмежена в доступі, тоді як інформацію з обмеженим доступом – виключно за згодою відповідного суб’єкта (якщо інформація стосується безпосередньо цього суб’єкта) або ж якщо такий доступ надається за рішенням суду або на письмову вимогу СБУ виключно в межах кримінальної або оперативно-розшукової справи (як це, наприклад, визначено Законом  України “Про депозитарну систему України”) .

Зважаючи на вищенаведене, Проект необхідно доповнити положеннями щодо порядку доступу СБУ до інформації з обмеженим доступом, який виключатиме можливості для зловживання таким правом та дозволятиме оскаржити рішення про доступ до такої інформації, якщо, на думку оператора об’єкта критичної інфраструктури, це порушуватиме його права чи права третіх осіб, кого стосуються відповідні відомості.

Зміни до законодавства про інформацію та доступ до публічної інформації

В прикінцевих та перехідних положеннях Проекту пропонується внести зміни до Закону України «Про доступ до публічної інформації», відповідно до яких, інформація щодо об’єктів критичної інфраструктури та запроваджених заходів їх захисту, яку не віднесено до державної таємниці, буде вважатися службовою інформацією. Проект також пропонує поширити частину третю статті 9 зазначеного Закону, яка встановлює заборону на обмеження доступу до переліків відомостей, що становлять службову інформацію і які складаються суб’єктами владних повноважень, також на переліки, які складаються об’єктами критичної інфраструктури.

При цьому, відповідно до статті 8 Проекту до об’єктів критичної інфраструктури належать підприємства, установи, організації незалежно від форми власності, які:

1) провадять діяльність та надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у банківському та фінансовому секторах;

2) надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, централізованого водовідведення, постачання теплової енергії, гарячої води, електричної енергії і газу, виробництва продуктів, харчування, охорони здоров’я;

3) включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави;

4) підлягають охороні та обороні в умовах надзвичайного стану і особливого періоду;

5) є об’єктами підвищеної небезпеки;

6) є об’єктами, які мають загальнодержавне значення, розгалужені зв’язки та значний вплив на іншу інфраструктуру;

7) є об’єктами, порушення функціонування яких призведе до кризової ситуації регіонального значення».

Таким чином, запропоноване положення фактично дозволяє обмежувати доступ до будь-якої інформації, яка стосується досить широкого переліку підприємств, установ та організацій. У разі його прийняття, право громадян на доступ до публічної інформації буде суттєво обмежене.

У зв’язку з цим, доцільно змінити вказане положення, передбачивши можливість обмеження доступу виключно до інформації, яка безпосередньо пов’язана із заходами захисту відповідного об’єкта критичної інфраструктури. При цьому таке обмеження має здійснюватися відповідно до вимог, визначених частиною 2 статті 6 Закону України «Про доступ до публічної інформації».

Варто також зауважити, що відповідні зміни пропонується внести шляхом доповнення частини першої статті 9 абзацом 2 відповідного змісту. Зазначена пропозиція передбачена в п. 6 прикінцевих положень та дублюється в п.7. Окрім цього, частина перша статті 9 Закону України «Про доступ до публічної інформації» у чинній редакції вже містить абзац 2, тому такі зміни не відповідають вимогам юридичної техніки.

Крім цього, Проект передбачає введення до Закону України «Про інформацію» нового виду інформації – «технологічної». До неї відноситимуться дані, що обробляються (приймаються, передаються, зберігаються) в системах управління технологічними процесами об’єктів критичної інфраструктури. Відповідно до пропонованих змін, технологічна інформація вважатиметься конфіденційною. Водночас, до технологічної інформації заборонено відносити інформацію «про випадки виведення з ладу або порушення функціонування об’єкта критичної інфраструктури, які можуть справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей».

Відповідні зміни до статті 21 Закону України «Про інформацію» передбачають доповнення визначення «конфіденційна інформація» – інформація про фізичну особу, технологічна інформація, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень (див. абзац в) п.9 Прикінцевих та перехідних положень Проекту). Водночас, чинне визначення конфіденційної інформації дозволяє підприємствам, установам та організаціям, які не є суб’єктами владних повноважень, самостійно визначати, яка інформація про їх діяльність належить до конфіденційної, тому додаткове дублювання поняття «технологічна інформація» до визначення конфіденційної інформації не є необхідним. У випадку, коли йдеться про «технологічну інформацію» суб’єктів владних повноважень доцільно відносити її до таємної або службової інформації, за умови дотримання відповідних вимог ч. 2 статті 6 Закону України «Про доступ до публічної інформації»:

1) виключно в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя;

2) розголошення інформації може завдати істотної шкоди цим інтересам;

3) шкода від оприлюднення такої інформації переважає суспільний інтерес в її отриманні.

Зважаючи на те, що порядок обмеження доступу до інформації регулюється Законом України “Про доступ до публічної інформації”, у визначенні статусу технологічної інформації доцільно посилатися на зазначений закон, який встановлює обов’язкові вимоги щодо застосування такого обмеження. У зв’язку з цим, частину 3 абзацу в) пункту 9 Прикінцевих та перехідних положень Проекту варто викласти в такій редакції:

“3. Технологічна інформація підлягає захисту згідно із законодавством та може бути віднесена до інформації з обмеженим доступом в порядку визначеному Законом України «Про доступ до публічної інформації». Забороняється відносити до технологічної інформації інформацію про випадки виведення з ладу або порушення функціонування об’єкта критичної інфраструктури, які можуть справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей”.

Зважаючи на все вищенаведене, Коаліція «За вільний Інтернет» пропонує Міністерству економічного розвитку і торгівлі України за результатами громадського обговорення внести такі зміни до Проекту Закону «Про критичну інфраструктуру та її захист»:

  1. Передбачити механізми громадського контролю (участі) у формуванні та діяльності Уповноваженого органу у справах захисту критичної інфраструктури;
  2. Виключити абзац 8 частини першої статті 17 із тексту Проекту;
  3. Виключити абзаци 4, 6, 12 та частково абзац 5 (в частині фінансового контролю) частини першої статті 17 із тексту Проекту;
  4. Доповнити статтю 17 Проекту положеннями щодо порядку доступу СБУ до інформації з обмеженим доступом, що знаходиться у володіння операторів об’єктів критичної інфраструктури, який передбачатиме гарантії захисту від зловживань, зокрема необхідність одержання санкції суду та/або можливість отримання доступу лише в рамках конкретного кримінального провадження;
  5. Внести технічні правки та зміни до п. 6 Прикінцевих та перехідних положень Проекту, щодо обмеження доступу до інформації про об’єкти критичної інфраструктури виключно в частині даних, необхідних для належного захисту таких об’єктів і лише якщо поширення такої інформації може завдати істотної шкоди інтересам національної безпеки, що переважатиме суспільний інтерес в її оприлюдненні;
  6. Виключити п. 7 Прикінцевих та перехідних положень Проекту (дублює п. 6);
  7. У п. 9 Прикінцевих та перехідних положень Проекту виключити абзац «в)».
  8. У п.9 Прикінцевих та перехідних положень Проекту частину 3 абзацу б) викласти в такій редакції: “3. Технологічна інформація підлягає захисту згідно із законодавством та може бути віднесена до інформації з обмеженим доступом в порядку визначеному Законом України «Про доступ до публічної інформації». Забороняється відносити до технологічної інформації інформацію про випадки виведення з ладу або порушення функціонування об’єкта критичної інфраструктури, які можуть справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей”.

 

Учасники Коаліції «За вільний Інтернет»:

ГО «Лабораторія цифрової безпеки»

ГО «Платформа прав людини»

ГО «Центр інформації про права людини»

ГО «Кримська правозахисна група»

Представництво Freedom House в Україні

Надія Бабинська

Микола Костинян

Отримати юридичну допомогу

Ваше звернення прийнято і буде оброблено протягом 24 годин. Всього найкращого!

ID Вашої заявки:

Перевірити статус можна за посиланням

* щоб додати кілька файлів - виділіть їх всі разом і натисніть додати (відкрити). По одному файли не прикріпляються!
* обов'язково прикріпіть документи, якщо справа - захист в суді або допублікаційна експертиза Натиснувши кнопку Відправити Ви даєте згоду на обробку своїх персональних даних