Рішення Європейського суду з прав людини, яке він опублікував 13 лютого 2024 року у справі щодо захисту шляхом наскрізного шифрування повідомлень у Telegram, може послабити тиск на американські компанії соціальних медіа у контексті надання правоохоронним органам можливості перевіряти зашифровані повідомлення. Про це пише The Washington Post.
«У той час як деякі американські чиновники продовжують називати надійне шифрування засобом, який заважає протидії жорстокому поводженню з дітьми та іншим злочинам, Європейський суд з прав людини підтвердив його як основоположне право на приватне життя.
Рішення Європейського суду з прав людини не має чинності в Сполучених Штатах; лише 46 європейських країн, які підписали Європейську конвенцію з прав людини, підпадають під юрисдикцію суду.
Тим не менш, це рішення може послабити тиск на американські компанії соціальних медіа, яких спонукають до того, щоб вони надали обхідні шляхи, які правоохоронні органи могли б використовувати для перегляду зашифрованих повідомлень», - зазначає видання.
Рішення Європейського суду з прав людини від 13 лютого було винесено у тривалій справі, порушеній користувачами Telegram проти рф за вимогу до «організаторів інтернет-зв’язку» зберігати всі повідомлення, надіслані користувачами, разом із засобами для їх розшифровки. Скаргу у справі «Антон Подчасов проти рф» було подано до ЄСПЛ незабаром після повідомлення влади рф про плани заблокувати Telegram. Приводом для такого рішення стала відмова засновника соцмережі Павла Дурова передати російським силовикам ключі шифрування, які використовуються для секретних чатів.
ЄСПЛ вказав, що вільний доступ правоохоронних органів до таких чатів «порушує саму суть права на повагу до приватного життя» і, отже, порушує статтю 8 Конвенції, яка закріплює право на приватне життя, за винятком випадків, коли воно суперечить законам, встановленим «в інтересах національної безпеки, громадської безпеки або економічного добробуту країни».
«Суд дійшов висновку, що безперервне зберігання Інтернет-комунікацій заявника та пов’язаних комунікаційних даних у Telegram, потенційний доступ органів влади до цих даних і зобов’язання Telegram розшифрувати їх, якщо вони зашифровані, відповідно до Закону про інформацію та його підзаконних актів, становило втручання в права заявника за статтею 8», - зазначено у Рішенні.
Суд високо оцінив наскрізне шифрування в цілому, зазначивши, що воно «допомагає громадянам і підприємствам захистити себе від зловживань інформаційними технологіями, таких як злам, крадіжка особистих даних і особистих даних, шахрайство та неправомірне розкриття конфіденційної інформації».
Як зазначає The Washington Post, одна з ідей, яку розглядає Європейський Союз, дозволить країнам-членам змусити технологічні компанії сканувати пристрої користувачів на наявність матеріалів, що можуть свідчити про злочини, адже навіть невинне зображення може містити інформацію, яка в якийсь момент може стати в нагоді правоохоронним органам.
На що вказав ЄСПЛ
Як зазначається у рішенні ЄСПЛ, наскрізне шифрування працює наступним чином: за допомогою «відкритого» ключа будь-яке повідомлення («відкритий текст») переводиться у випадкову комбінацію літер, цифр або символів («зашифрований текст»). Лише відправники й одержувачі можуть бачити відкритий текст, тоді як сторонні можуть бачити лише зашифрований текст. Повідомлення в зашифрованому тексті не можна перевести назад у відкритий текст без «приватного» ключа, який зберігається на пристрої одержувача. Перетворення у відкритий текст відбувається безпосередньо на пристрої приймача. Наскрізне шифрування гарантує, що оператор служби обміну повідомленнями не має доступу ні до закритого ключа, ні до оригінального відкритого текстового повідомлення в будь-якому місці, запобігаючи будь-якому доступу до обмінюваного вмісту.
У своєму рішення ЄСПЛ посилається на позицію Європейського інституту інформаційного суспільства (EISI), який стверджує, що шифрування, яке використовується службами обміну повідомленнями, є механізмом захисту від стеження.
EISI виступає проти вимоги «бекдор»-доступу до всіх зашифрованих повідомлень, оскільки це ставить під загрозу конфіденційність усіх користувачів заради невеликої кількості підозрюваних («бекдор» це метод обходу стандартних процедур автентифікації, несанкціонований віддалений доступ до комп'ютера тощо). Це зробило б всіх користувачів уразливими для несанкціонованого державного стеження, кіберзлочинців тощо. Навіть, якщо ці ризики не виправдалися би, знання про такі загрози викликало б жахливий ефект, змушуючи дослідників, журналістів та опозиційних активістів вагатися, чи спілкуватися зі своїми джерелами. EISI також стверджував, що існують цільові альтернативи для боротьби зі злочинністю та захисту національної безпеки, такі як отримання даних в результаті розслідування кримінальних проваджень, хоча вони й більш обтяжливі для держави з точки зору ресурсів.
В свою чергу, Privacy International також стверджувала, що заходи, які передбачають збереження та дешифрування зашифрованих повідомлень, суперечать зобов’язанням національних органів щодо захисту конфіденційності, безпеки та цілісності систем зв’язку та інформаційних технологій. Реалізація таких заходів змусить постачальників послуг, таких як Telegram, внести радикальні зміни у своє програмне забезпечення та послабити використовувані схеми шифрування. Зобов’язання розшифровувати зашифровані комунікації змусило постачальників послуг зв’язку модифікувати свої існуючі послуги, створивши «бекдори», які після виявлення можуть бути легко використані як законними, так і злочинними особами.
У цій справі ЄСПЛ повторив, що будь-яке втручання може бути виправданим відповідно до §2 статті 8, лише якщо воно відповідає закону, переслідує одну чи більше законних цілей, про які йдеться в пункті 2 статті 8 Конвенції, і є необхідним у демократичному суспільстві. Формулювання «відповідно до закону» вимагає, щоб оскаржуваний захід мав певну основу в національному законодавстві. Він також має бути сумісним із верховенством права, яке прямо згадується в преамбулі до Конвенції та є невід’ємним об’єктом і метою статті 8. Тому закон має бути доступним для зацікавленої особи та передбачуваним щодо його наслідків.
Захист персональних даних має фундаментальне значення для здійснення особою свого права на повагу до приватного та сімейного життя, гарантованого статтею 8 Конвенції. Національне законодавство повинно передбачати відповідні гарантії для запобігання будь-якому такому використанню персональних даних, яке може бути несумісним з гарантіями цієї статті. Потреба в таких запобіжниках є ще більшою, коли мова йде про захист персональних даних, що проходять автоматичну обробку, не в останню чергу, коли такі дані використовуються для цілей поліції (рішення у справі S. and Marper , § 103, і в контексті масового перехоплення комунікацій – рішення Big Brother Watch and Others , § 330), і особливо там, де доступна технологія постійно вдосконалюється.
Як зазначає ЄСПЛ, захист, наданий статтею 8 Конвенції, був би неприйнятно послаблений, якби використання сучасних технологій у системі кримінального правосуддя було дозволено будь-якою ціною і без ретельного збалансування потенційних вигод від широкого використання таких технологій та важливих інтересів приватного життя.
Як вказав ЄСПЛ, у контексті таємного спостереження, коли повноваження, надані виконавчій владі, здійснюються таємно, ризики свавілля очевидні. Щоб відповідати вимозі «передбачуваності», національне законодавство має бути достатньо чітким, щоб дати громадянам відповідну інформацію про обставини та умови, за яких державні органи мають право вдаватися до будь-яких подібних заходів.
Суд повторює, що конфіденційність повідомлень є важливим елементом права на повагу до приватного життя та кореспонденції, як це закріплено у статті 8. Користувачі телекомунікаційних та Інтернет-послуг повинні мати гарантію того, що їх особисте життя та свобода вираження поглядів буде дотримано, хоча така гарантія не може бути абсолютною і повинна іноді поступатися іншим законним вимогам, таким як запобігання заворушенням чи злочинам або захист прав і свобод інших.
Що стосується законодавчої вимоги щодо надання правоохоронним органам або службам безпеки доступу до збережених даних на їх запит, Суд повторює, що доступ до даних в окремих випадках повинен супроводжуватися тими самими гарантіями, що й таємне спостереження.
Вимоги щодо дешифрування повідомлень
Нарешті, щодо вимоги подавати до служб безпеки інформацію, необхідну для розшифровки електронних повідомлень, якщо вони зашифровані, ЄСПЛ зауважує з посиланням на позицію міжнародних органів, що шифрування забезпечує потужні технічні гарантії проти незаконного доступу до вмісту повідомлень і тому широко використовувався як засіб захисту права на повагу до приватного життя та конфіденційності листування в Інтернеті. У епоху цифрових технологій технічні рішення для забезпечення та захисту конфіденційності електронних комунікацій, включаючи заходи для шифрування, сприяють забезпеченню інших основних прав, таких як свобода вираження поглядів.
Крім того, шифрування допомагає громадянам і підприємствам захистити себе від зловживань інформаційними технологіями, таких як хакерство, крадіжка особистих даних, шахрайство та неправомірне розголошення конфіденційної інформації. Цьому слід приділяти належну увагу під час оцінки заходів, які можуть послабити шифрування.
Видається, що для того, щоб увімкнути дешифрування комунікацій, захищених наскрізним шифруванням, таких як спілкування через «секретні чати» Telegram, необхідно було б послабити шифрування для всіх користувачів. Послаблення шифрування шляхом створення «бекдорів», очевидно, зробило б технічно можливим виконувати рутинне, загальне та невибіркове спостереження за особистими електронними комунікаціями. «Бекдори» також можуть бути використані злочинними мережами та серйозно поставити під загрозу безпеку всіх електронних комунікацій користувачів.
Суд визнає, що шифрування також можуть використовувати злочинці, що може ускладнити кримінальне розслідування. Однак у зв’язку з цим він бере до уваги заклики до альтернативних «рішень для дешифрування без послаблення захисних механізмів, як у законодавстві, так і шляхом постійного технічного розвитку».
Отже, ЄСПЛ прийшов до висновку, що в даному випадку законодавче зобов’язання розшифровувати наскрізне шифрування зв’язку становить ризик, що означає вимогу до постачальників таких послуг послабити механізм шифрування для всіх користувачів; відповідно, воно не є пропорційним переслідуваним законним цілям.
Автор: Наталя Мамченко
Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на нашу сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.