30 серпня 2016, 17:01

Право особистого шифрування: пошук навпомацки

Опубліковано в №34-35 (532-533)

Володимир Кочетков
Володимир Кочетков юрист антивірусної лабораторії Zillya! Antivirus

Ймовірно, ви здивуєтеся, але до недавнього часу шифрування власних даних в Україні було поза законом. До прийняття змін до закону наприкінці 2014 р. використання практично всіх криптографічних засобів вимагало державного дозволу. Тільки уявіть, десятиліттями наявні, перевірені, безкоштовні засоби шифрування, що знаходяться у вільному доступі, могли стати приводом дуже неприємного спілкування з правоохоронцями (на кшталт «косячка», що випав із кишені).


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


Незважаючи на популярну критику відсутності реформ, слід визнати, що український законодавець нарешті наздогнав світову доктрину. Але парадокс у тому, що при сучасному темпі розвитку суспільства сама доктрина відстала від практики!

Особисте право на шифрування за своєю природою дещо суперечливе: з одного боку, право на збереження інформації зрідне з інститутом таємниці поштового листування (і в такому вигляді визнається Радою з прав людини ООН); з іншого боку, на відміну від поштового конверта, шифровану інформацію технічно неможливо відкрити тим особам, яким вона не призначалася, навіть незважаючи на вимогу закону, суспільне благо та рішення суду.

Проблематика права на шифрування

Спробуємо розібратися, що ж таке шифрування і в чому його правова проблематика. Шифрування – це процес приховування інформації, який перетворює її в кодовану форму, що непридатна для сприйняття та використання без застосування ключа шифрування. При досить стійкому шифрі злом можна вважати неможливим.

Треті особи можуть отримати доступ до інформації двома способами: отримавши розшифровану інформацію або здобувши криптографічний ключ. У першому випадку не завжди можна підтвердити істинність розшифрованої інформації, у другому – компрометується уся інформація (минула і майбутня), що захищена розкритим ключем.

Отже, якщо держава (в особі, скажімо, правоохоронних органів) зажадає від вас розкриття шифрованих даних, то чи може вона цього вимагати? Не відомо. Навіть у сучасній доктрині на це питання не існує єдиної відповіді.

Розшифрування даних та/або ключів знаходиться в області конфлікту правових норм, особливо у разі кримінального провадження. Головне питання – як класифікувати діяння розшифрування даних? У світовій правозастосовчій практиці сформувались декілька метафор.

Одна з них прирівнює ключ до вимоги розкриття коду від сейфа. Однак ця алегорія не зовсім правильна, тому що сейф можна розрізати, а нерозкриття його комбінації – лише прикре відтермінування доступу до його вмісту, що є караною неповагою до слідства.

Інша метафора вважає розкриття криптографічного ключа когнітивною дією, приблизно як опис прикмет людини або згадка номеру автівки. Така інтелектуальна дія вважається наданням свідчень, а відмову надавати свідчення проти себе і близьких захищає закон.

Деякі країни навпомацки шукають підхід до розкриття даних. Британія, наприклад, за нездатність розкриття ключа до інформації ув’язнює до 5-ти років. Особливо пікантно закон працює тоді, коли самого ключа не існує взагалі (скажімо, ключ знаходиться у третіх осіб, або розшифрування не можливе взагалі, приміром дані пошкоджено). Інші, на кшталт Швеції та Німеччини, свято шанують недоторканність приватного життя, що перешкоджає боротьбі зі злочинними організаціями. Решта країн шукають правовий компроміс (більше схожий на кидання жеребу в кожному випадку).

Українська перспектива

До останнього часу доступ до захищених даних головним чином здійснювався методом «XKCD #538». Хочеться сподіватися, що законодавець збереться з думкою і кодифікує цивілізовані відносини, пов'язані з персональним шифруванням, з урахуванням специфіки пострадянської правової системи.

По-перше, правоохоронним органам не можна давати спрощеного права доступу до криптованих даних. В Україні відкриття нових обставин під час судового процесу та слідчих дій стає підставою для нової справи. Уявімо, що вас змусили розшифрувати свого комп’ютера за підозрою у зберіганні відомостей щодо злочинця, але не знайшовши таких, судитимуть за порушення авторських прав. По-друге, безглуздо зовсім забороняти розкриття шифрованих даних, адже заборона на отримання доказів правопорушення суперечить основній меті правоохоронної діяльності.

Законодавець повинен врахувати всі правові нюанси та законодавчо описати збереження шифрованих даних і права доступу до них правоохоронців, базуючись на наступних принципах:

  • шифрована інформація і ключі до неї є не менш недоторканими, ніж приватна власність і кореспонденція, та не можуть бути витребувані без рішення суду;
  • суд, який виносить рішення щодо витребування доступу до шифрованої інформації, повинен виходити з недвозначної підозри правопорушення, що підтверджено доказами, тобто має бути доведено, що особа свідомо приховує наявну інформацію (підозрюваний не відкриває алегоричний сейф, незважаючи на те, що вже відомо про його вміст);
  • розкриття інформації відбувається в рамках конкретної справи, тобто будь-яка розкрита інформація, не пов’язана зі справою, автоматично вважається доказом, який отримано незаконно і не може бути застосована в суді;
  • у разі вибору між розкриттям ключа та наданням розшифрованої інформації – перевага повинна надаватися «розшифровці», якщо її достовірність підтверджується автоматичними алгоритмами.

Шифрування вже давно увійшло у повсякденність. Смартфони та комп'ютери стали коморою для нашої «брудної білизни» й «скелетів у шафі», тому вони замикаються на ключ. Майбутній правовий підхід до шифрування проллє світло на справжнє прагнення нашої держави – вона розшукує «скелети» або у неї просто фетиш до «пахучого шмаття».

0
0

Додати коментар

Відмінити Опублікувати