Программы шпионы: стирая грани частной жизни

Скандал с Pegasus

В июле 2021 года Верховный комиссар Организации Объединенных Наций (ООН) по правам человека Мишель Бачелет сделала заявление о разоблачении широкомасштабного использования шпионского программного обеспечения (ПО) Pegasus для слежки за журналистами, правозащитниками, политиками и другими людьми в разных странах. Данное ПО, изначально предназначенное для слежки за террористами, является продуктом израильской компании «киберразведки» NSO Group. Программа имеет способ проникновения в системы обмена сообщениями, включая Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, встроенные мессенджеры, почту Apple и другие.

Скандал с Pegasus стал подтверждением одного из наиболее распространенных опасений, связанного с неправомерным доступом государства к цифровым устройствам граждан и использованием технологий цифровой слежки. Сравнительно недавно, в начале декабря, международная правозащитная организация Amnesty International подтвердила, что мобильные телефоны по меньшей мере четырех казахстанских гражданских активистов были заражены ПО Pegasus.

Amnesty International установила, что на телефонах как минимум четырёх активистов из Казахстана было установлено шпионское ПО Pegasus
Все жертвы электронной слежки принадлежат к общественному молодежному движению «Оян, Казахстан»

По мнению Клаудио Гуарнери, сотрудника Лаборатории Безопасности Amnesty International, Pegasus отслеживает нажатие клавиш на заражённом устройстве — все письменные коммуникации и поисковые запросы, пароли — и передаёт их клиенту (клиентами NSO Group, по данным международного рейтингового агентства Moody’s, являются более 60 преимущественно правительственных учреждений в 35 странах мира), а также предоставляет доступ к голосовым данным и камере телефона. Тем самым приложение напоминает карманного шпиона, который собирает и передаёт информацию о пользователе.

Программы такого типа нуждаются в особом внимании ввиду больших возможностей в области технологий и их стремительного совершенствования, поскольку дело касается рисков нарушения прав человека, в частности — неприкосновенности частной жизни. Сама же компания NSO Group, заявляет, что Pegasus не является технологией, предназначенной для массовой слежки. «Она собирает данные только с мобильных устройств конкретных лиц, подозреваемых в причастности к серьезным преступлениям и терроризму», — говорится в отчёте компании о прозрачности и ответственности.

Усиление цифровой слежки в мире

Право субъекта на защиту частной жизни гарантировано основными международными документами в области прав человека, а именно: Всеобщей декларацией прав человека, Международным пактом о гражданских и политических правах, Европейской конвенцией по правам человека и другими документами.

Совсем недавно в 2018 году в Европейском суде по правам человека было рассмотрено дело Big Brother Watch и другие против Соединенного Королевства (жалоба №58170/13). Данное дело было начато еще в 2013 году после громких разоблачений бывшего сотрудника ЦРУ Эдварда Сноудена, раскрывшего масштабный сбор и массовую слежку Центром правительственной связи Великобритании совместно с Агентством национальной безопасности США. Суд рассматривал правомерность применения тайного перехвата, обработки и хранения данных, относящихся к личным коммуникациям при помощи ПО Tempora.

Судебное разбирательство началось в связи с обращениями журналистов и правозащитных организаций. Речь шла о различных режимах наблюдения, включающих массовый перехват сообщений, обмен разведданными с иностранными правительствами и получение данных связи от поставщиков услуг. Заявители требовали дополнительных гарантий защиты частной жизни в процессе массового перехвата данных:

  • предварительный судебный контроль;
  • обоснование подозрения;
  • уведомление лиц, в отношении которых осуществляется сбор данных.

Подтверждением того, что применение инструментов слежки участилось в Европе, стал круглый стол, организованный Офисом Комиссара Совета Европы по правам человека, на котором правозащитники выступили с жалобами о том, что они все чаще становятся объектом цифровой слежки. Государственные и негосударственные субъекты устанавливают цифровую слежку по различным причинам:

  • узнавать о планах правозащитников и предстоящих кампаниях и наблюдать за ними;
  • для сбора компрометирующей информации для запугивания, обвинения в преступлениях;
  • блокировать/взламывать сети, с которыми работают правозащитники.

Исходя из тенденций по применению инструментов слежки, судебные органы Европы рекомендуют правоохранительным органам устанавливать контроль в случаях, в которых действительно существует угроза безопасности и общественным интересам. Необходимо изучать каждый конкретный случай, содержание распространённого контента, информацию, связанную с распространением противоправного контента, заведомо ложной информации, данных политического характера и др.

Кстати, одним из казахстанцев, который также, возможно, стал объектом наблюдения ПО Pegasus, оказался 25-летний Темирлан Енсебек, автор страницы сатирических новостей Qaznews24 в Instagram, против которого ранее было возбуждено уголовное дело по статье 274 УК РК (распространение заведомо ложной информации).

Apple оповестила ряд казахстанцев о том, что за их смартфонами, возможно, шпионили с помощью Pegasus
Как минимум семеро казахстанцев получили оповещения от компании Apple о том, что за их смартфонами, возможно, шпионили. Об этом говорится в заявлении незарегистрированного движения «Oyan, Qazaqstan».«Некоторые активисты Oyan, Qazaqstan! получили уведомление от Apple о том, что их смартфоны...

В контексте установления наблюдения и слежки за гражданами, стоит сказать, что данный формат слежки носил не массовый характер, а целенаправленный. И здесь, в качестве примера, стоит вспомнить решение ЕСПЧ по делу Саббо и Висси против Венгрии, где Суд подчеркнул, что определение круга лиц, в отношении которых устанавливается слежка, должно происходить на основании «индивидуального подозрения» при наличии соответствующих материалов или фактов, подтверждающих получение жизненно важной информации, при проведении обыска и других следственных мероприятий. А в деле Диджитл Райтс Ирландия Суд ЕС конкретизировал, что национальное законода­тельство должно основываться на наличии объективных доказательств, которые способ­ны убедить общество в том, что перехваченные данные действительно направлены на борьбу с серьёзными преступле­ниями.

Рекомендации для Казахстана

Проведённый анализ показывает, что национальным органам власти следует:

  • обратить внимание на практику ЕСПЧ по возможности обжалования случаев массовой слежки и обратить внимание на проверку наличия достаточных оснований для перехвата определённых сообщений, коммуникаций в каждом конкретном случае;
  • при проведении следственных мероприятий, обыска следует обращать внимание на критерии необходимости и соразмерности, применяемые в практике европейских государств. Данные критерии способствуют проверке адекватности применяемых мер;
  • исключить из положений национального законодательства по обеспечению безопасности и борьбе с терроризмом любые расплывчатые формулировки, позволяющие произвольное применение этих положений;
  • принять во внимание Руководящие принципы по защите правозащитников от Бюро ОБСЕ по демократическим институтам и правам человека (БДИПЧ), в соответствии с которыми следует рассмотреть отмену уголовной ответственности за распространение умышленно недостоверной диффамации, в том числе в интернете, за исключением той информации, которая может нанести тяжкий вред здоровью и широкую общественную опасность. Диффамация и подобные ей правонарушения должны рассматриваться исключительно в рамках гражданского права во избежание неоправданных требований, которые приведут к самоцензуре и поставят под угрозу функционирование или финансовое положение средств массовой информации или отдельных лиц.

Дана Мухамеджанова

PhD fellow, заместитель директора Высшей школы права Университета КАЗГЮУ им. М.С. Нарикбаева. GDPR DPP (Data Privacy Professional), эксперт Офиса ОБСЕ в Нур-Султане