«Google» та «WhatsApp»: міжнародна сторона втручання у приватне спілкування
Недавня новина про оновлення месенджером WhatsApp умов надання послуг та політики конфіденційності призвела до масового переходу користувачів до конкуруючих месенджерів Signal і Telegram. Це викликано тим, що нібито згідно з оновленням WhatsApp буде передавати усі зібрані данні про користувачів WhatsApp компанії Facebook (до цього часу у них був вибір і вони могли заборонити передавати свої дані Facebook) та надано час – до 8 лютого 2021 року визначитись, чи надавати такий дозвіл на передачу даних, адже в іншому випадку – вони не зможуть надалі користуватися послугами WhatsApp.
Насправді, для більшості користувачів нічого не змінилось. Передача даних WhatsApp про користувачів до Facebook здійснюється ще з 2016 року після тодішніх оновлень умов надання послуг. Проте, за тих правил користувачі могли відмовитись від передачі даних протягом 30 днів. Побачити, чи надала особа тоді згоду на передачу даних чи ні наразі неможливо, оскільки WhatsApp виключив цю функцію з налаштувань. Єдиний спосіб – це надіслати через налаштування месенджера запит про надання інформації про свій акаунт, який готується WhatsApp три дні.
Відтак, цьогорічні зміни стосуються лише користувачів, які в далекому 2016 році відмовились передавати дані Facebook.
При цьому, як і раніше передача даних буде здійснюватися лише стосовно метаданих повідомлень і дзвінків, даних про пристрій, місцезнаходження, мобільну мережу, браузер, IP-адрес. Водночас, листування та дзвінки і надалі будуть зашифровані кінцевим шифруванням – end-to-end encryption, за якого ключ для розшифровування листування є тільки у співрозмовників.
Утім, не дивлячись на несуттєві зміни в умовах надання послуг WhatsApp, ця новина неабияк занепокоїла спільноту лише самим фактом, що їх приватне спілкування, зокрема, деталі листування, фотографії, відеоматеріали тощо будуть доступні компанії Facebook, а там далі – можливо навіть правоохоронним органам, які можуть бути використані останніми проти них. Проте, чи так легко отримати доступ до цих даних?
Ніхто не може зазнавати втручання у приватне спілкування без ухвали слідчого судді. Кожен має право на повагу до свого приватного і сімейного життя, до свого житла і кореспонденції. Органи державної влади не можуть втручатись у здійснення цього права за винятком випадків, коли втручання здійснюється згідно із законом і є необхідним у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.
Ці, здавалось би, аксіоми українського кримінального та імплементованного європейського законодавства з захисту прав людини покладають на нашу державу обов’язок забезпечувати баланс “публічного” та “приватного” інтересу, аби жодна особа не зазнала свавільного втручання у її особисті немайнові права, за винятком випадків, необхідних у демократичному суспільстві.
Балансування інтересів держави та особи у демократичному суспільстві
На жаль, сьогодні немає чітко окресленої доктрини, коли втручання публічної влади у приватний інтерес особи є необхідним у демократичному суспільстві, а коли таке втручання є свавіллям та зловживанням владою.
Така невизначеність існує у практиці Європейського суду з прав людини (ЄСПЛ) ще з 70-х років ХХ століття.
Зокрема, у справі “Класс та інші проти Німеччини” (Klass and Others v. Germany, 6.09.1978), в якій заявники скаржились на втручання у приватне життя через впровадженні у країні закону, що надає повноваження органам влади таємно простежувати листування та телефонні дзвінки громадян, не зобов'язуючи поінформувати їх про це, суд не визнав це втручанням держави. ЄСПЛ визнав, що таємний нагляд за громадянами є необхідним задля збереження демократичних інститутів, які на сьогоднішній день опиняються під загрозою з боку висококваліфікованої форми шпигунства та тероризму, в результаті чого держава повинна мати можливість ефективно протистояти таким загрозам, здійснюючи таємний нагляд за громадянами. Тому, суд визнав, що законодавство, яке передбачає таємний нагляд за поштою, електронними листами та телефонними дзвінками громадян, у виняткових умовах, необхідно в демократичному суспільстві в інтересах національної безпеки та / або запобігання бунтів або злочинів.
Проте, вже у справі “Дудченко проти Росії” (Dudchenko v. Russia, 7.11.2017), в якій заявник скаржився, що прослуховування його телефонних розмов було тривалим та не здійснювалось “відповідно до закону”, суд визнав втручання держави у право на його приватне життя. Суд зауважив, що втручання є “необхідним у демократичному суспільстві” для правомірної мети, якщо воно відповідає “нагальній суспільній потребі” та, зокрема, якщо воно є пропорційним до правомірної мети, що переслідується, і якщо причини, наведені національними органами влади для його обґрунтування, є “доречними та достатніми”. Саме національні органи влади повинні зробити первинну оцінку щодо всіх цих аспектів, остаточна оцінка щодо необхідності втручання все ще підлягає нагляду з боку суду, що ними зроблено не було.
Чому саме факт втручання у приватне спілкування стає “яблуком розбрату” між учасниками кримінального провадження? Інформація з електронних інформаційних систем (ЕІС) є чи не найвагомішими доказами, за якими полює сьогодні сторона обвинувачення. В Єдиному державному реєстрі судових рішень можна знайти безліч вироків суду, які базуються на таких доказах, як листування з месенджерів, електронної пошти, соціальних мережах (див, постанови Касаційного кримінального суду у складі Верховного суду від 21 липня 2020 року у справі № 638/13892/18 та від 22 листопада 2018 року у справі № 477/233/16-к тощо).
Тому, майже у будь-якому кримінальному провадженні перед правоохоронними органами постає питання необхідності отримання доступу до інформації у соціальних мережах, електронній пошті, месенджерах, сервісах зберігання даних (хмарних сховищах) та інших ЕІС.
Шляхи втручання у приватне життя
Доступ до ЕІС може забезпечуватись шляхом фізичного та дистанційного доступу.
Фізичний доступ до інформації здійснюється шляхом її фізичного зняття з ЕІС. Перелік гаджетів в контексті “ЕІС” на сьогодні законодавчо не визначено. Найбільш наближене визначення надається у Законі України “Про захист інформації в інформаційно-телекомунікаційних системах”, за яким інформаційна система - це організаційно-технічна система, в якій реалізується технологія обробки інформації з використанням технічних і програмних засобів (п. 8 ч. 1 ст. 1).
У зв’язку з чим, до ЕІС слідчі судді, як правило, відносять комп`ютерну техніку, мобільні телефони, планшети та інші пристрої, які використовуються для обробки інформації з використанням програмних засобів (див. ухвали слідчих суддів Печерського районного суду міста Києва від 10 лютого 2020 року у справі № 757/5768/20-к, Орджонікідзевського районного суду міста Запоріжжя від 13 вересня 2019 року у справі № 335/14557/18, Кіровського районного суду м. Дніпропетровська від 29 серпня 2019 року у справі № 203/2423/19 тощо).
Дистанційний доступ не передбачає фактичного заволодіння гаджетом задля отримання інформації, оскільки вона отримується через сторонні організації чи програмне забезпечення. Уявно дистанційний доступ можна поділити на:
1) Законний – доступ до інформації у ході міжнародної правової допомоги – за запитами до компаній власників інформаційних мереж (Google, Viber, Telegram, WhatsApp, Facebook).
2) Незаконний – доступ до гаджету третьої особи “руками” його власника.
В останньому випадку мова йде про такі методи, зокрема, як фішинг, фармінг, клікджекінг, встановлення “шпигунського” програмного забезпечення. Першим двом методам приділяють велику увагу, адже результат такого шахрайства може призвести до отримання доступу до персональних даних, електронних листів, листування у месенджерах, логінів і паролів, номерів кредитних карток, відомостей про банківські рахунки та інших важливих даних.
Зокрема, різновидом фішингу є, коли на електронну адресу особи приходить “емоційний” фішинг-лист, основною метою якого є зацікавити жертву. Це може бути оповіщення про нібито злом аккаунта у соцмережі, сторонній вхід або оповіщення з банку про зміну паролю чи фінансового номеру з подальшою пропозицією перейти за фішинговим посиланням і ввести дані авторизації. Жертва переходить на наданий ресурс і “віддає” свій логін і пароль у руки третьої особи, яка, зі свого боку, досить швидко оперує отриманою інформацією.
Проте, банки, соціальні мережі попереджають користувачів про фішингові атаки, у зв’язку з чим все менше користувачів вдається заманити обманним шляхом на підроблений сайт. Тому придумано механізм прихованого перенаправлення користувачів на фішингові сайти, що отримав назву фармінг. Особливістю фармінгу, як найбільш агресивного різновиду фішингу, є шкідливий код, який встановлюється на гаджет (файл host) або сервер жертви (зараження DNS), наприклад, під час скачування програми на комп’ютер або застосунку на телефон. Цей код змінює інформацію по IP-адресами, в результаті чого жертва перенаправляється на підроблені веб-сайти без її відома і згоди. Після того як жертва переходить на підроблений сайт, їй пропонується ввести свою персональну інформацію, яка потім буде використана проти неї. У випадку скачування “шпигунського” застосунку на телефон, останній, як правило, просить користувача надати доступ до геолокації, фотографій та у подальшому може копіювати інформацію з телефону без відома його власника.
Хоча такі методи отримання інформації є ефективними, однак, вони є незаконними. Доказ визнається допустимим, якщо він отриманий у порядку, встановленому Кримінальним процесуальним кодексом України (ч. 1 ст. 86 Кримінального процесуального кодексу України, КПК України).
Відтак, здобута у ході такої діяльності інформація з ЕІС особи ipso facto et ipso jure є недопустимими доказами у кримінальному провадженні.
Два шляхи – один результат?
Найбільш популярним в Україні серед правоохоронних органів користується фізичний доступ, який є відносно швидким та доступним, проте, у більшості випадків здійснюється правоохоронцями без дотримання процедури, прописаної у КПК України.
Він забезпечується двома шляхами:
1) доступ до ЕІС на підставі ухвали слідчого судді.
За таким способом, ухвала про втручання у приватне спілкування повинна бути постановлена слідчим суддею апеляційного суду (ст. ст. 247, 258 КПК України). На це при перегляді вироку звернув увагу Касаційний кримінальний суд у складі Верховного Суду у постанові від 7 листопада 2019 року по справі № 145/972/16-к. та у постанові від 19 лютого 2020 року по справі № 295/7911/18.
При цьому, в ухвалі слідчого судді про дозвіл на втручання у приватне спілкування додатково повинні бути зазначені ідентифікаційні ознаки ЕІС, в якій може здійснюватися втручання у приватне спілкування (ч. 3 ст. 264 КПК України). Теоретики кримінального права ідентифікаційними ознаками ЕІС визначають:
- ІР-адресу, яка є унікальним ідентифікатором (адресою) пристрою (звичайно комп’ютера або маршрутизатора), підключеного до локальної мережі або Інтернету;
- доменне ім’я, що дозволяє ідентифікувати в мережі Інтернет веб-сайт або адресу електронної пошти;
- серійний номер та характеристики автоматизованої системи та комп’ютеру.
Більш того, на відміну від обшуку втручання у приватне спілкування є негласною слідчою (розшуковою) дією, тому повинна оформлюватися протоколом про хід та результати негласної слідчої (розшукової) дії (ст. 252 КПК України), а не протоколом обшуку чи огляду.
Таким чином, це повинна бути саме ухвала слідчого судді апеляційного суду на втручання у приватне спілкування, в якій повинні міститися ідентифікаційні ознаки ЕІС. Проте, як правило, орган досудового розслідування здійснює таке втручання та проводить огляд гаджету лише на підставі ухвали про обшук слідчого судді місцевого суду, без отримання дозволу слідчого судді апеляційного суду, в якій взагалі відсутні ідентифікуючі дані ЕІС, доступ до якої планується отримати, окрім загальних слів, зокрема, як “IPhone”, “Ipad”, “Samsung” тощо.
Неотримання такого дозволу слідчого судді апеляційного суду є прямим порушенням ч. 1 ст. 258 та ч. 1 ст. 264 КПК України та тягне недопустимість отриманих доказів (див. ухвалу слідчого судді Печерського районного суду міста Києва від 10 лютого 2020 року у справі № 757/5768/20-к).
2) доступ до ЕІС без ухвали слідчого судді.
Таке втручання має місце, якщо доступ не обмежується її власником, володільцем або утримувачем або не пов’язаний з подоланням системи логічного захисту. Цей термін дотепер не розтлумачено нашим законодавцем, тому слідство вдається до його власного бачення, як-то встановлення паролю або технологій сканування обличчя (“Face ID”) та відбитків пальців (Touch ID).
Тому достатньо отримати від власника розблокований телефон, щоб здійснити втручання у приватне спілкування без ухвали слідчого судді. Вказане узгоджується з висновком Касаційного кримінального суду у складі Верховного Суду у постанові від 9 квітня 2020 року по справі № 727/6578/17.
В обох випадках, отримавши доступ до гаджету, слідчий, детектив особисто, або частіше – за допомогою штатного спеціаліста з інформаційних технологій та його програмного забезпечення (наприклад, “Access Data FTK Imager”, “UFED Cellebrite Physical Analyzer”) проводить його огляд та, за можливості – копіювання інформації. Проте, і на цій стадії органи слідства вдаються до порушень, використовуючи, як правило, несертифіковане програмне забезпечення. При цьому, слідству, як правило, достатньо одного виявленого файлу (фото, замітки, електронного листа), який нібито може мати суттєве значення для з’ясування обставин кримінального правопорушення, для того щоб надалі такий гаджет відправити на комп’ютерно-технічну експертизу, у ході якої спеціалісти зможуть відновити більшість видалених файлів-листування, а його власник – на роки позбавиться свого гаджету.
Менш популярним способом для органів слідства є дистанційний доступ втручання у приватне спілкування за міжнародно-правовою процедурою, утім, в останні роки таких випадків значно побільшало.
Відповідно до інформації Міністерства Юстиції США, лише з 2005 по 2015 роки, кількість міждержавних запитів зросло на 60 відсотків, а на комп’ютерні дані користувачів – у десять разів. Дані Звіту про доступність сервісів і даних Google зазначають, що з липня по грудень 2018 року правоохоронні органи зробили 63 149 запитів на розкриття даних користувачів, а за той же період у 2019 році вже 81 785, що складає майже 30% зростання за рік. У свою чергу Facebook за останнє півріччя 2019 року отримав 140 875 урядових запитів, що більш ніж на 30% більше, ніж за аналогічний період 2018 року.
У провідних країнах світу дані користувачів захищаються на законодавчому і на корпоративному рівнях. Стосовно останнього, наприклад, Google розробив власну політику конфіденційності та правила, пов’язані із захистом свободи висловлювання. Так само, Google дотримується принципів свободи висловлювання й конфіденційності організації Global Network Initiative. Аналогічна політика конфіденційності розроблена WhatsApp, яка нещодавно була оновлена.
При цьому, одна і та сама організація може знаходитись у різних юрисдикціях і обслуговувати лише певний перелік країн, відповідно й інформація може зберігатися на серверах різних країн, розташованих у різних правових системах, у зв’язку з чим – запитувачі повинні дотримуватись місцевих законів запитуваної сторони при скеруванні відповідних запитів.
Так, Google має дві штаб квартири, розташовані в США – Google LLC, що обслуговує США, Велику Британію та інші країни, та в Ірландії – Google Ireland, що обслуговує країни Європейського Союзу, Європейської Економічної зони та Швейцарію.
Якщо запит подається до сервісів Google з України, то такий запит подається на провайдера сервісу – Google LLC.
Аналогічно побудована система запитів і в WhatsApp. WhatsApp Ireland Limited в Ірландії обслуговує країни Європейського Союзу, Європейської Економічної зони та Швейцарію, а WhatsApp Inc у США – усі інші країни, включаючи Україну.
Такий поділ країн зумовлений різним ступенем захисту персональних даних користувачів. Як відомо, у Європейському Союзі з травня 2018 року діє Загальний регламент про захист даних (“General Data Protection Regulation”, “GDPR”), спрямований на захист персональних даних усіх осіб у межах Європейського Союзу та Європейської економічної зони, регулювання експорту персональних даних за межі цих територій. GDPR запровадив так званий механізм “єдиного вікна”, який забезпечує співпрацю між органами захисту даних ЄС у разі транскордонної обробки. Через це багато транснаціональних IT компаній, які проводять економічну діяльність на території ЄС створюють дочірні компанії на території ЄС, зокрема, щоб сприяти взаємодії з органами влади ЄС щодо захисту даних за допомогою вищезгаданого механізму.
На Україну не поширюється дія GDPR, тому українські запити розглядаються виключно штаб квартирами організацій, що знаходяться у США та функціонують за законами США, де відсутнє федеральне законодавство про захист персональних даних. У штаті Каліфорнія, де розташована Google LLC діє Каліфорнійський закон про захист прав споживачів (“California Consumer Privacy Act”, “CCPA”). CCPA захищає “споживачів”, які є фізичними особами та які повинні бути резидентами Каліфорнії, щоб бути захищеними, тоді як GDPR захищає “cуб'єктів даних”, які є фізичними особами, і не визначає вимог щодо місця проживання та громадянства, через що дані українських користувачів, що обробляються Google LLC є менш захищеними ніж європейських користувачів, проте, доступ до цих даних є не менш простим.
“Драконівські закони” США та місцева бюрократія для українських запитів
Запити правоохоронних органів України на отримання інформації від сервіс провайдерів, розташованих у США можуть подаватися трьома способами:
- Безпосередньо до сервіс провайдеру
- Через канали MLAT
- Шляхом кооперації між правоохоронними органами США та України
У першому випадку, наприклад, у WhatsApp прямий запит може бути подано поштовим відправленням або, шляхом використання системи онлайн-запитів для правоохоронних органів.
WhatsApp самостійно розкриває записи аккаунта користувача тільки відповідно до Умов надання послуг і Закону про збережені повідомлення (“Stored Communications Act”) та 18 розділу Кодексу США, розділи 2701-2712, згідно з яким:
- Для розкриття основної інформації користувача, до якої належить: ім'я, початок надання послуг, час останнього використання програми, електронна адреса, IP-адреса, записи про місцеві та міжміські телефонні з'єднання або записи про час і тривалість сеансів потрібен лише запит правоохоронних в рамках офіційного кримінального розслідування.
- Для розкриття певних записів та іншої інформації аккаунта (що не включає в себе вмісту матеріалів), такої як номери, які заблокували користувача і заблоковані ним, на додаток до основної інформації абонента, зазначеної вище, потрібно судовий ордер про розкриття інформації. Він може бути виданий будь-яким судом, який є судом компетентної юрисдикції, і видає його тільки в тому випадку, якщо державний орган пропонує конкретні і чітко сформульовані факти, що свідчать про наявність розумних підстав вважати, що зміст електронного повідомлення, записи чи інша запитана інформація актуальні і важливі для кримінального розслідування.
- Для розкриття збережених матеріалів будь-якого облікового запису, які можуть включати в себе відомості, фото профілю, інформацію про групи і зміст адресної книги, потрібен ордер на обшук, виданий відповідно до процедури, описаної в Кримінально-процесуальному кодексі США, або аналогічними процедурами штату, при наявності достатніх на те підстав.
Відповідно до внутрішньої політики Google у випадку отримання запиту від органу державної влади іноземної країни, такий запит має відповідати законодавству США, законодавству країни, яка подає запит, принципам свободи висловлювання й конфіденційності організації Global Network Initiative, правилам, пов'язаних із їх застосуванням та внутрішнім правилам Google.
Для подання прямих запитів Google запровадив онлайн систему, яка дозволяє державним установам подавати запити на інформацію про користувачів, переглядати статус надісланих запитів та завантажувати відповідь на запит. Для того щоб Google міг надати дані, запит повинен бути зроблений у письмовій формі, підписаний уповноваженою посадовою особою запитуючого органу та виданий відповідно до чинного законодавства запитуючої та запитуваної країн.
Проте, як правило, такі прямі запити сервіс провайдери залишають без розгляду через недотримання запитувачами їх процедур щодо розкриття інформації.
Тому, більшість запитів на отримання даних користувачів надходять у зв’язку з укладенням дво- та багатосторонніх Угод про взаємну правову допомогу (“Mutual Legal Assistance Treaty”, “MLAT”) або Меморандумів про взаєморозуміння (“Memorandum of Understanding”), участю у міжнародних конвенціях, що передбачають їх співробітництво у питаннях оперативно-розшукової діяльності, розшуку активів, створення спільних слідчих груп тощо.
Якщо український запит направити до США за допомогою MLAT, то він буде вважатися таким, що поданий державним органом США і має відповідати лише законодавству США. Так, запит має відповідати розділу 2 Закону США “Про захист електронних засобів зв'язку” (“ECPA”), що має назву Закону про зберігання комунікації, Кодексу США та Четвертій Поправці до Конституції США (“Четверта Поправка”). Відповідний запит обробляється Державним Департаментом США, який після його формальної перевірки на дотримання вимог, направляється до Міністерства Юстиції США та у подальшому – Офісу Прокурора США для виконання.
Для розкриття записів, що не стосуються контенту необхідно отримати ухвалу суду (наприклад поля відправника та отримувач, час тощо), а для отримання контенту потрібен ордер на обшук (“search warrant”), виданий судом США. Ордер на обшук має більш жорсткі вимоги до свого змісту та перш за все має відповідати Четвертій Поправці до Конституції США.
Ордер на обшук може дозволити вилучення та подальший обшук електронно збереженої інформації. ECPА уповноважує постачальника послуг електронного зв’язку розкривати уряду вміст збережених електронних комунікацій відповідно до ордера на обшук. Четверта Поправка визначає вимоги до ордера на обшук – він має описувати місце проведення обшуку та речі, які підлягають вилученню з достатньою точністю.
Зокрема, для витребування вмісту облікового запису, включаючи переписку, фотографії, документи необхідна наявність ордеру на обшук, виданого з дотриманням вимог Кримінально-процесуального кодексу США або інших документів, що регулюють процедуру видачі ордерів. Зрозуміло, що така процедура займає багато часу та може завадити проведенню кримінальних розслідувань у розумні строки. Основні ж дані облікового запиту можна отримати у рамках судового запиту, або через наявне судове розпорядження.
До 2018 року, законодавство США не передбачало можливості отримання даних від американських компаній, що зберігалися на серверах за межами США. Це питання розглядалося Верховним Судом США у справі United States v. Microsoft Corp. Однак, до винесення рішення по суті у цьому питанні, у США було розроблено та підписано Закон про роз'яснення законного використання даних за кордоном або “Cloud Act”, згідно якого американські компанії з передачі даних та зв'язку повинні надати збережені дані клієнта на будь-якому сервері, яким він володіє, не залежно від його місця розташування за ордером на обшук. При цьому, Cloud Act передбачає механізм відмови або оскарження ордерів на обшук, якщо вони порушують права на захист персональних даних іноземних країн.
Наприклад, українським правоохоронцям необхідно отримати зміст електронного листування між підозрюваним та іншою особою у сервісі Gmail. Зберігачем даних у даному випадку буде вважатися Google LLC. Згідно з Договором між Україною та США про взаємну правову допомогу у кримінальних справах (“MLAT між Україною та США”), український правоохоронний орган подає відповідний запит Центральному органу, яким можуть бути Міністерство Юстиції України або Офіс Генерального прокурора. Центральний орган в свою чергу подає запит на надання правової допомоги до Державного Департаменту США. Державний Департамент США перевіряє MLAT, зокрема на предмет взаємності та при задоволенні всіх формальних вимог щодо змісту та форми MLAT – направляє його до Департаменту міжнародних відносин Міністерства Юстиції США.
Міністерство Юстиції США співпрацює з українським Центральним Органом, перевіряє відповідність такого запиту законодавству США по суті. Після задоволення всіх вимог, Міністерство Юстиції США передає запит до Офісу Прокурора США відповідного округу (в даному випадку у штаті Каліфорнія), де розташований сервіс провайдер. Надалі, Прокурор США повинен отримати ухвалу суду або ордер на обшук та відправити їх до сервіс провайдера у США. Урешті-решт, отримавши ухвалу суду або ордер на обшук сервіс провайдер буде зобов’язаний надати запитувану інформацію, якщо він відповідає вимогам закону.
Оскарження ордерів на обшук
У судовій практиці США останніх років зустрічаються справи, що стосуються оскарження доступу до електронних засобів зберігання інформації. Так, у справі re Search Info. Associated with Four Redacted Gmail Accounts особа намагалась оскаржити ордер на обшук щодо чотирьох аккаунтів Gmail як таких, що порушують ECPA та Четверту Поправку. Ця справа стосувалася обставин розслідування торгівлі дітьми, в ході якого державний орган США отримав ордер на обшук щодо чотирьох Gmail акаунтів Google, а також інформації про користувача. Ордер на обшук, що дослівно має назву “спочатку арешт, потім обшук” (“seize first, search second”) дозволяв спочатку вилучення будь-якої інформації, за період з 1 жовтня 2016 року по 14 квітня 2017 року (тобто коли вчинявся злочин) з аккаунту, а лише потім можливість пошуку в ній тієї інформації, що стосується обставин вчинення злочину. Позивач стверджував, що ордери цієї категорії є занадто широкими, з огляду на можливість Google обмежувати дані електронного листування, які він розкриває уряду. При розгляді справи суд США розглянув наступні питання:
- Чи є достатні підстави для вилучення всіх речей категорії у ордері?
- Чи визначає ордер об’єктивні стандарти згідно з якими виконавці можуть відрізняти предмети, що підлягають вилученню?
- Чи міг уряд детальніше описати речі з огляду на детальну інформацію?
У даній справі суд визнав, що вимога ордеру на обшук щодо “розкриття всіх емейлів асоційованих з цим Gmail акаунтом” є занадто широкою, тому що нерозумно примушувати провайдера розкривати кожну електронну пошту в обліковому записі свого клієнта, коли постачальник може розкривати лише ті електронні листи, щодо яких уряд має ймовірну причину обшуку. Також, ордер на обшук оскаржувався на підставі того, що уряд міг зберегти інформацію, що не охоплює обставини розслідування злочину. Суд прийняв до уваги доводи позивача та задовольнив клопотання про анулювання ордерів на обшук.
Проте, і сервіс провайдери США слідкують за дотриманням законодавства США щодо ордерів на обшук відносно даних своїх клієнтів та можуть відмовити у наданні інформації за запитом, при недотримання необхідних умов щодо обсягу, підстав, стандартів вилучення інформації.
Більш того, сервіс провайдери, як правило повідомляють користувачів, якщо правоохоронні органи США отримали доступ до їх даних, через що користувач має можливість втрутитись і оскаржувати такий доступ. Однак, українські правоохоронні органи можуть просити тримати запит MLAT у таємниці, що може запобігти повідомленню користувача щодо отримання такого запиту.
Таким чином, з першого погляду процедура за MLAT є зрозумілою, проте, має суцільні недоліки.
По-перше, процедура подачі і проходження запиту на міжнародну правову допомогу займає чимало часу, як правило, від 1 року та більше і вона повинна бути забезпечена суворим дотриманням законодавства запитуваної країни.
По-друге, існує висока ймовірність, що державні органи США можуть відмовити у виконання такого запиту, якщо допомога стосується військових, політичних злочинів, особливо, якщо відносини між країною запиту та США не є дружніми, або політичний режим в такій країні є недемократичним, зокрема, авторитарним. Така підстава є досить розмитою, тому будь-який запит у рамках MLAT розглядається органами США у кожному конкретному випадку виходячи з принципу взаємності між країнами.
По-третє, навіть у випадку проходження всіх етапів запиту та надання згоди державних органів США, дані користувача можуть бути видалені відповідно до внутрішньо політики сервіс провайдеру зі сплинем часу.
З огляду на це, українські правоохоронні органи можуть використовувати третій спосіб співпраці – отримувати інформацію щодо користувачів від американських правоохоронних органів використовуючи канали кооперації, яка може базуватися на міжнародних договорах.
Наприклад, США та Україна є сторонами Конвенції ООН проти корупції (“UNCAC”), глава IV якої включає зобов'язання забезпечити співпрацю правоохоронних органів та взаємну правову допомогу за правопорушення, охоплені Конвенцією. Якщо американські правоохоронні органи надають згоду на допомогу, вони запитують інформацію у сервіс провайдеру від свого імені, після чого – передають отриману інформацію українським правоохоронцям. Американська сторона може отримати базову інформацію щодо користувача та сесії через повістки на отримання інформації (subpoena), які мають більш низькі вимоги щодо їх видачі, ніж рішення суду, а, отже, отримання інформації забезпечується у більш коротший строк.
Таким чином, у розрізі провайдерів Google та WhatsApp міжнародна процедура втручання у приватне спілкування для українських правоохоронних органів є забюрократизованою та довготривалою, перш за все через те, що компанії – власники інформаційних систем не мають власних офісів в Україні, через що сторона обвинувачення зобов’язана звертатися безпосередньо або через канали MLAT до їх головних офісів, чому передує обов’язкове дотримання місцевих законів юрисдикції таких компаній, які можуть мати, як описано вище “драконівські закони” захисту даних користувачів.
З огляду на це, українські користувачі Google та WhatsApp є відносно захищеними щодо розкриття їх листування з боку адміністраторів цих сервісів, що не можна сказати при отриманні фізичного доступу до гаджету, чим ще не один рік будуть користуватися наші правоохоронці.
Звичайно, без адвоката, перебуваючи під психологічним тиском слідчих та оперативних працівників зберегти приватне спілкування у месенджерах, електронній пошті, ноутбуку, планшеті, телефоні є фактично неможливим, проте, періодичне видалення чатів та листів, використання секретних чатів та зникаючих повідомлень, встановлення заборони пересилання повідомлень, циферно-літерних паролів замість Face & Touch ID, двухфакторної автентифікації можете максимально ускладнити таке втручання.