Европейский суд по правам человека указал, что требование к Telegram расшифровать чаты пользователей нарушает Конвенцию

Решение Европейского суда по правам человека, опубликованное 13 февраля 2024 года относительно защиты путем сквозного шифрования сообщений в Telegram, может ослабить давление на американские компании социальных медиа в контексте предоставления правоохранительным органам возможности проверять зашифрованные сообщения. Об этом пишет The Washington Post.

«В то время как некоторые американские чиновники продолжают называть надежное шифрование средством, мешающим противодействию жестокому обращению с детьми и другим преступлениям, Европейский суд по правам человека подтвердил его как основополагающее право на частную жизнь.

Решение Европейского суда по правам человека не имеет силы в Соединенных Штатах; только 46 европейских стран, подписавших Европейскую конвенцию по правам человека, подпадают под юрисдикцию суда.

Тем не менее, это решение может ослабить давление на американские компании социальных медиа, побуждаемых к тому, чтобы они предоставили обходные пути, которые правоохранительные органы могли бы использовать для просмотра зашифрованных сообщений», - отмечает издание.

Решение Европейского суда по правам человека от 13 февраля было вынесено по длительному делу, возбужденному пользователями Telegram против рф по требованию к «организаторам интернет-связи» хранить все сообщения, отправленные пользователями, вместе со средствами для их расшифровки. Жалоба по делу «Антон Подчас против рф» была подана в ЕСПЧ вскоре после сообщения властей рф о планах заблокировать Telegram. Поводом для такого решения явился отказ основателя соцсети Павла Дурова передать российским силовикам ключи шифрования, используемые для секретных чатов.

ЕСПЧ указал, что свободный доступ правоохранительных органов к таким чатам «нарушает саму суть права на уважение к частной жизни» и, следовательно, нарушает статью 8 Конвенции, закрепляющей право на частную жизнь, за исключением случаев, когда она противоречит законам, установленным «в интересах национальной безопасности, общественной безопасности или экономического благополучия страны».

«Суд пришел к выводу, что непрерывное хранение Интернет-коммуникаций заявителя и связанных коммуникационных данных в Telegram, потенциальный доступ органов власти к этим данным и обязательства Telegram расшифровать их, если они зашифрованы, в соответствии с Законом об информации и его подзаконных актах, составило вмешательство в права заявителя по статье 8», - говорится в Решении.

Суд высоко оценил сквозное шифрование в целом, отметив, что оно «помогает гражданам и предприятиям оградить себя от злоупотреблений информационными технологиями, таких как излом, воровство личных данных и личных данных, мошенничество и неправомерное раскрытие конфиденциальной информации».

Как отмечает The Washington Post, одна из идей, рассматриваемая Европейским Союзом, позволит странам-членам заставить технологические компании сканировать устройства пользователей на наличие материалов, которые могут свидетельствовать о преступлениях, ведь даже невинное изображение может содержать информацию, которая в какой-то момент может стать в возможности правоохранительным органам.

На що вказав ЄСПЛ

Як зазначається у рішенні ЄСПЛ, наскрізне шифрування працює наступним чином: за допомогою «відкритого» ключа будь-яке повідомлення («відкритий текст») переводиться  у випадкову комбінацію літер, цифр або символів («зашифрований текст»). Лише відправники й одержувачі можуть бачити відкритий текст, тоді як сторонні можуть бачити лише зашифрований текст. Повідомлення в зашифрованому тексті не можна перевести назад у відкритий текст без «приватного» ключа, який зберігається на пристрої одержувача. Перетворення у відкритий текст відбувається безпосередньо на пристрої приймача. Наскрізне шифрування гарантує, що оператор служби обміну повідомленнями не має доступу ні до закритого ключа, ні до оригінального відкритого текстового повідомлення в будь-якому місці, запобігаючи будь-якому доступу до обмінюваного вмісту.

У своєму рішення ЄСПЛ посилається на позицію Європейського інституту інформаційного суспільства (EISI), який стверджує, що шифрування, яке використовується службами обміну повідомленнями, є механізмом захисту від стеження. 

EISI виступає проти вимоги «бекдор»-доступу до всіх зашифрованих повідомлень, оскільки це ставить під загрозу конфіденційність усіх користувачів заради невеликої кількості підозрюваних («бекдор» це метод обходу стандартних процедур автентифікації, несанкціонований віддалений доступ до комп'ютера тощо). Це зробило б всіх користувачів уразливими для несанкціонованого державного стеження, кіберзлочинців тощо. Навіть, якщо ці ризики не виправдалися би, знання про такі загрози викликало б жахливий ефект, змушуючи дослідників, журналістів та опозиційних активістів вагатися, чи спілкуватися зі своїми джерелами. EISI також стверджував, що існують цільові альтернативи для боротьби зі злочинністю та захисту національної безпеки, такі як отримання даних в результаті розслідування кримінальних проваджень, хоча вони й більш обтяжливі для держави з точки зору ресурсів.

В свою чергу, Privacy International також стверджувала, що заходи, які передбачають збереження та дешифрування зашифрованих повідомлень, суперечать зобов’язанням національних органів щодо захисту конфіденційності, безпеки та цілісності систем зв’язку та інформаційних технологій. Реалізація таких заходів змусить постачальників послуг, таких як Telegram, внести радикальні зміни у своє програмне забезпечення та послабити використовувані схеми шифрування. Зобов’язання розшифровувати зашифровані комунікації змусило постачальників послуг зв’язку модифікувати свої існуючі послуги, створивши «бекдори», які після виявлення можуть бути легко використані як законними, так і злочинними особами. 

У цій справі ЄСПЛ повторив, що будь-яке втручання може бути виправданим відповідно до §2 статті 8, лише якщо воно відповідає закону, переслідує одну чи більше законних цілей, про які йдеться в пункті 2 статті 8 Конвенції, і є необхідним у демократичному суспільстві. Формулювання «відповідно до закону» вимагає, щоб оскаржуваний захід мав певну основу в національному законодавстві. Він також має бути сумісним із верховенством права, яке прямо згадується в преамбулі до Конвенції та є невід’ємним об’єктом і метою статті 8. Тому закон має бути доступним для зацікавленої особи та передбачуваним щодо його наслідків.

Захист персональних даних має фундаментальне значення для здійснення особою свого права на повагу до приватного та сімейного життя, гарантованого статтею 8 Конвенції. Національне законодавство повинно передбачати відповідні гарантії для запобігання будь-якому такому використанню персональних даних, яке може бути несумісним з гарантіями цієї статті. Потреба в таких запобіжниках є ще більшою, коли мова йде про захист персональних даних, що проходять автоматичну обробку, не в останню чергу, коли такі дані використовуються для цілей поліції (рішення у справі S. and Marper , § 103, і ​​в контексті масового перехоплення комунікацій – рішення Big Brother Watch and Others , § 330), і особливо там, де доступна технологія постійно вдосконалюється. 

Як зазначає ЄСПЛ, захист, наданий статтею 8 Конвенції, був би неприйнятно послаблений, якби використання сучасних технологій у системі кримінального правосуддя було дозволено будь-якою ціною і без ретельного збалансування потенційних вигод від широкого використання таких технологій та важливих інтересів приватного життя.      

Як вказав ЄСПЛ, у контексті таємного спостереження, коли повноваження, надані виконавчій владі, здійснюються таємно, ризики свавілля очевидні. Щоб відповідати вимозі «передбачуваності», національне законодавство має бути достатньо чітким, щоб дати громадянам відповідну інформацію про обставини та умови, за яких державні органи мають право вдаватися до будь-яких подібних заходів. 

Суд повторює, що конфіденційність повідомлень є важливим елементом права на повагу до приватного життя та кореспонденції, як це закріплено у статті 8. Користувачі телекомунікаційних та Інтернет-послуг повинні мати гарантію того, що їх особисте життя та свобода вираження поглядів буде дотримано, хоча така гарантія не може бути абсолютною і повинна іноді поступатися іншим законним вимогам, таким як запобігання заворушенням чи злочинам або захист прав і свобод інших.     

Що стосується законодавчої вимоги щодо надання правоохоронним органам або службам безпеки доступу до збережених даних на їх запит, Суд повторює, що доступ до даних в окремих випадках повинен супроводжуватися тими самими гарантіями, що й таємне спостереження. 

Вимоги щодо дешифрування повідомлень

Нарешті, щодо вимоги подавати до служб безпеки інформацію, необхідну для розшифровки електронних повідомлень, якщо вони зашифровані, ЄСПЛ зауважує з посиланням на позицію міжнародних органів, що шифрування забезпечує потужні технічні гарантії проти незаконного доступу до вмісту повідомлень і тому широко використовувався як засіб захисту права на повагу до приватного життя та конфіденційності листування в Інтернеті. У епоху цифрових технологій технічні рішення для забезпечення та захисту конфіденційності електронних комунікацій, включаючи заходи для шифрування, сприяють забезпеченню інших основних прав, таких як свобода вираження поглядів. 

Крім того, шифрування допомагає громадянам і підприємствам захистити себе від зловживань інформаційними технологіями, таких як хакерство, крадіжка особистих даних, шахрайство та неправомірне розголошення конфіденційної інформації. Цьому слід приділяти належну увагу під час оцінки заходів, які можуть послабити шифрування.   

Видається, що для того, щоб увімкнути дешифрування комунікацій, захищених наскрізним шифруванням, таких як спілкування через «секретні чати» Telegram, необхідно було б послабити шифрування для всіх користувачів. Послаблення шифрування шляхом створення «бекдорів», очевидно, зробило б технічно можливим виконувати рутинне, загальне та невибіркове спостереження за особистими електронними комунікаціями. «Бекдори» також можуть бути використані злочинними мережами та серйозно поставити під загрозу безпеку всіх електронних комунікацій користувачів. 

Суд визнає, що шифрування також можуть використовувати злочинці, що може ускладнити кримінальне розслідування. Однак у зв’язку з цим він бере до уваги заклики до альтернативних «рішень для дешифрування без послаблення захисних механізмів, як у законодавстві, так і шляхом постійного технічного розвитку».   

Отже, ЄСПЛ прийшов до висновку, що в даному випадку законодавче зобов’язання розшифровувати наскрізне шифрування зв’язку становить ризик, що означає вимогу до постачальників таких послуг послабити механізм шифрування для всіх користувачів; відповідно, воно не є пропорційним переслідуваним законним цілям.  

Автор: Наталья Мамченко

Подписывайтесь на наш Тelegram-канал t.me/sudua и на Google Новости SUD.UA, а также на нашу страницу в Facebook и в Instagram, чтобы быть в курсе самых важных событий.