Состав киберпреступления: что ждать от новой конвенции ООН по борьбе с хакерами

Уровнем выше

Идея глобального правового инструмента для борьбы с преступлениями в сфере информационных технологий и угрозами в интернете имеет долгую историю. Отправной точкой можно считать другую конвенцию о киберпреступности, Будапештскую, утвержденную в 2001 году Советом Европы и ставшую первым международным договором регионального уровня в этой области.

Россия присоединилась к Совету Европы в 1996 году, но в разработке Будапештской конвенции не участвовала и не была в числе первых подписантов. Более того, с самого начала у российских экспертов были вопросы по содержанию документа, особенно по пункту б статьи 32, который давал одной стране право получать данные, хранящиеся на территории другой страны, без согласия последней. Другими словами, конвенция размывала то, что позднее назовут «цифровым суверенитетом».

Для российских властей проблема несанкционированного доступа зарубежных правоохранительных органов к информации внутри России выглядела вполне актуальной. В 2000 году агенты ФБР через подставную фирму выманили в Сиэтл двух хакеров из Челябинска и, арестовав их, использовали перехваченные учетные данные для подключения к их компьютеру в России с целью сбора доказательств. В России американский подход не нашел понимания: в 2002 году Управление ФСБ по Челябинской области возбудило уголовное дело в отношении одного из агентов ФБР. Процесс не имел громкого продолжения, но наглядно показал, чем чревата легализация такой практики.

Тем не менее в первой половине 2000-х в Москве вариант сотрудничества с Советом Европы не исключали. В 2005-м, через год после вступления в силу Будапештской конвенции, Владимир Путин поручил МИДу подписать документ. Однако условием участия должен был стать пересмотр спорного пункта. Только в 2008 году Россия официально отказалась присоединяться к конвенции, не добившись нужных изменений. Позднее, в начале 2010-х, участники Будапештской конвенции сформировали рабочую группу по проблеме трансграничного доступа, которая заключила, что статья 32 не требует изменения, а пункт б применяется лишь в ограниченном числе случаев.

С 2010 года Россия начала выступать за разработку глобальной конвенции о борьбе с киберпреступностью на уровне ООН. К Будапештской конвенции из неевропейских  стран на тот момент присоединились только США, и она оставалась региональным договором. Россия же предлагала придать новому документу глобальный характер. Несколько лет эта инициатива продвигалась как по дипломатической линии, так и в рамках международных контактов Генпрокуратуры и Совета безопасности, а также с привлечением бизнеса — в 2017 году, когда Россия представила в ООН первую версию документа, инициативу поддержал сооснователь Group-IB Илья Сачков.

В 2019 году, после почти 10 лет подготовки, Россия предложила Генассамблее ООН официально запустить переговоры по разработке новой конвенции. Российскую инициативу поддержали почти 50 стран, в том числе союзники по ОДКБ, Индия, Китай и ЮАР. Оппонентами же выступили западные страны, которые стремились расширить состав участников Будапештской конвенции и закрепить за ней статус основного инструмента сотрудничества в сфере борьбы с киберпреступностью.

По итогу дипломатической схватки перевес голосов оказался в пользу России и ее единомышленников: 79 «за», 60 «против». Для разработки конвенции был создан спецкомитет, который из-за пандемии фактически начал работать лишь в 2022 году.

Границы киберпреступности

Одним из главных спорных вопросов на переговорах стал перечень преступлений, на которые должна была распространяться будущая конвенция. Россия выступала за широкий охват: российский проект конвенции включал 23 состава преступлений, как компьютерных, так и «традиционных», которые могут совершаться с использованием информационно-коммуникационных технологий (ИКТ). Будапештская конвенция криминализовала только девять нарушений — по мнению российских представителей, это больше не отвечало реалиям, поскольку с развитием технологий возникли и новые цифровые угрозы. Именно поэтому мандат спецкомитета предполагал разработку всеобъемлющего документа. Широкий охват поддерживали и другие страны, поэтому в ранних проектах конвенции количество видов преступлений доходило до 30.

Противоположную позицию заняли США и их единомышленники. Фактически они стремились к тому, чтобы проект глобальной конвенции был ближе к Будапештской конвенции, то есть касался прежде чисто компьютерных (cyber-dependent) преступлений и в меньшей степени затрагивал преступления, где компьютеры играют только вспомогательную роль (cyber-enabled). Российские представители критиковали стремление Запада «заузить охват будущей конвенции». Но компромисс оказался ближе к Будапештской конвенции, нежели к исходной позиции Москвы.

В принятом проекте конвенции криминализированы 10 видов нарушений: незаконный доступ к информационно-коммуникационной системе (ИКС), незаконный перехват данных, воздействие на электронные данные, воздействие на ИКС, неправомерное использование устройств, подлог с использованием ИКС, хищение или мошенничество с использованием ИКС, преступления, связанные с размещением в интернете материалов со сценами сексуальных надругательств над детьми или их сексуальной эксплуатации, домогательство или создание доверительных отношений, распространение интимных изображений без согласия. Первые восемь пунктов в этом списке аналогичны преступлениям из Будапештской конвенции. Из российского списка в принятый проект не попали преступления, связанные с террористической и экстремистской деятельностью, с распространением наркотиков, незаконным оборотом оружия, склонение к самоубийству, реабилитация нацизма и другие. 

С точки зрения МИД России само название документа — Конвенция против киберпреступности — некорректно. В ведомстве предпочитают говорить об информационной или ИКТ-преступности, имея в виду более широкие границы. Но консенсус в спецкомитете, похоже, сложился именно по узкому охвату. А Россия как инициатор переговоров оказалась не заинтересована в том, чтобы любой ценой добиваться включения дополнительных составов преступлений, рискуя успехом всего процесса.

Если в вопросе о границах действия конвенции российские переговорщики были вынуждены уступить, то защиту цифровых границ от вмешательства иностранных правоохранительных органов им отстоять удалось. Статья 5 под названием «Защита суверенитета» закрепляет принцип невмешательства во внутренние дела других государств и постулирует, что конвенция не наделяет участников правом «осуществлять на территории другого государства юрисдикцию и функции, которые входят исключительно в компетенцию органов этого другого государства в соответствии с его внутренним законодательством». Другими словами, разрешенный Будапештской конвенцией трансграничный доступ без согласия страны, на чьей территории находятся данные, в новом документе исключен.

Как и следовало ожидать, в ходе переговоров возникли разногласия по поводу положений, связанных с защитой прав человека. На их включении настаивали западные переговорщики, мотивируя это необходимостью ограничить возможность государств под предлогом борьбы с киберпреступностью усиливать контроль над гражданами и проводить политические репрессии. Такие опасения связаны в том числе с тем, что проект конвенции предписывает участникам принимать меры для сбора данных о трафике и для перехвата содержимого сообщений, что открывает пространство и для злоупотреблений.

Битва вокруг упоминаний прав человека продолжалась буквально до последнего момента. На заседании, где ожидалось принятие проекта конвенции, иранский представитель предложил проголосовать за удаление пункта 2 статьи 6, который гласил: «Ничто в настоящей Конвенции не должно толковаться как допускающее подавление прав человека или основных свобод, включая права, касающиеся свободы выражения, свободы совести, мнений, религии или убеждений, мирных собраний и объединений, в соответствии и согласно с применимыми нормами международного права в области прав человека». После того как предложение провалилось — 23 голоса включая российский за удаление, 102 против — в зале заседания раздались одобрительные хлопки, но председательница спецкомитета попросила делегатов не аплодировать, чтобы сохранить деловую атмосферу.

Проблема применения

Принятый проект содержит широкий набор механизмов сотрудничества между участниками конвенции. К ним относятся различные формы взаимной правовой помощи, в т.ч. отслеживание и возвращение доходов от преступлений, совместные расследования, сбор и передача технических данных и содержимого сообщений. По аналогии с Будапештской конвенцией проект предусматривает создание сети контактных центров, работающих в режиме 24/7 для оказания участниками неотложной помощи друг другу (статья 41). Отдельная глава проекта конвенции посвящена оказанию технической помощи, что важно для развивающихся стран.

Правда, пока до их запуска еще далеко. Сначала проект конвенции должна утвердить Генассамблея ООН, 79-я сессия которой начнется в сентябре. После этого государства смогут официально подписывать и ратифицировать документ. Конвенция вступит в силу через 90 дней после того, как ее ратифицируют 40 государств.

Продолжительность национальных процедур может сильно различаться. В западных странах этот процесс вообще рискует застопориться. С момента начала работы над документом американские и европейские правозащитные организации критиковали проект конвенции, называя его попыткой авторитарных стран получить новые инструменты для политического контроля, призывая прописать твердые гарантии защиты прав человека и сузить охват. Многие активные неправительственные игроки остались разочарованы финальным проектом, который приняли государства. Так, известные защитники цифровых прав Electronic Frontier Foundation, Access Now, поддерживаемое Microsoft отраслевое объединение Cybersecurity Tech Accord и ряд других групп призвали государства не подписывать конвенцию. Такую же позицию заняла Human Rights Watch. Большинство стран может не придавать значения этим заявлениям, но в США и ЕС кампания правозащитников, скорее всего, найдет сторонников среди законодателей, что как минимум осложнит ратификацию.

На другом краю спектра — Россия, Китай и другие страны, выступавшие за более широкий охват конвенции. Вопрос в том, планируют ли они добиваться своей цели иными способами. Возможности для этого есть. Например, согласно принятому проекту (статьи 61 и 62), конференция государств-участников в составе не менее 60 участников может принять дополнительный протокол к конвенции, причем консенсус не обязателен — достаточно  двух третей голосов. Но подобные действия поставят под сомнение универсальный характер конвенции. Другой вариант предполагает развитие региональных договоров. Так, в прошлом году участники встречи группы экспертов ШОС (Шанхайская организация сотрудничества — международная организация, основанная 15 июня 2001 года лидерами Китая, России, Казахстана, Таджикистана, Киргизии и Узбекистана) по международной информационной безопасности обсуждали возможность разработки договора о борьбе с использованием ИКТ в преступных целях под эгидой организации. Впрочем, пока эта идея не получила развития, а Россия и Китай отдают приоритет конвенции ООН. 

Возможно, главным ограничителем для реализации новой конвенции станет политика. Документ задает рамки для сотрудничества, но будет ли оно работать, зависит от состояния отношений и доверия между государствами. Например, в России уже третий год идет уголовное дело в отношении предполагаемых членов группировки вымогателей REvil, операция против которых была проведена в январе 2022 года на основе информации, полученной от американских властей. Однако серьезных обвинений против фигурантов выдвинуть не удалось отчасти из-за того, что Минюст США игнорирует российские запросы о правовой помощи. Причина здесь не в отсутствии глобальной конвенции, а в конфронтации между Россией и Западом. Даже если представить, что обе страны уже ратифицировали новый документ, ситуация вряд ли бы изменилась. Самим проектом конвенции предусмотрены довольно гибкие основания для отказа во взаимной правовой помощи. Но если конвенция в целом превратится в действенный инструмент, то прагматические соображения могут подтолкнуть к сотрудничеству и недружественные друг другу страны.

Мнение редакции может не совпадать с точкой зрения автора