Киберполиция звонит в IT-компании, чтобы установить скрипт против VPN. Законно ли это

30 января стало известно, что Киберполиция обратилась в несколько полтавских онлайн-СМИ с предложением установить скрипт, который позволит деанонимизировать читателей. В оригинальном письме, который направили в редакции правоохранители, не было технических подробностей его работы. В самой Киберполиции ситуацию пока не прокомментировали.

AIN.UA ознакомился с записью разговора между сотрудником Киберполиции и представителем одной из украинских IT-компании. Ее опубликовал Денис Овчаров, управляющий партнер юридической компании Ovcharov & Partners Attorneys Association.

В разговоре подано больше деталей. Суть «скрипта» — в обнаружении пользователей VPN-анонимайзерами и сборе их IP-адресов. Запросы якобы получили не единичные СМИ, а компании и организации по всей стране. Ниже приведены цитаты из беседы.

Сотрудник Киберполиции (С.К.): Сейчас по всей Украине звонят IT-компаниям, собственникам интернет-ресурсов, собственникам сайтов по поводу того, что наши специалисты в департаменте [противодействия киберпреступлений] в Киеве разработали небольшой скрипт, который бы помог находить интернет-мошенников, возможно хакеров, которые хотят получить информацию с сайта, помешать его работе. То есть, этот скрипт будет отправлять IP-адреса лиц, которые заходят под VPN на сайт.

IT-компания: Я прошу прощения, как я могу вам помочь?

С.К.: Мне нужно, чтобы вы сконтактировали с администратором сайта. От нас поступят официальные письма и документы, что все нужно. Мы бы хотели пообщаться о дальнейшем сотрудничестве.

Позиция юристов

По словам юристов «Лаборатории цифровой безопасности», такие действия Киберполиции потенциально несут угрозу для пользователей:

Установка скрипта может спровоцировать существенную угрозу для прав пользователей на приватность и свободу самовыражения. Так, нивелируется анонимность пользователей, которая используется для того, чтобы говорить больше без риска опознания. Хотя можно понять потребность в предотвращении и реагировании на противоправную деятельность со стороны правоохранительных органов — такое реагирование не может приобретать формы сбора персональных данных всех пользователей. Анонимность должна раскрываться касательно отдельного пользователя, который мог совершить противоправное действие и по решению суда либо другого уполномоченного органа, с соблюдением всех гарантий независимости процедуры.

Как отмечает Лидия Климкив, Equity Associate в Axon Partners, действия Киберполиции идут вразрез с принципами защиты персональных данных:

Персональными данными в сети считаются наши IP-адреса, идентификационные данные устройства и другие цифровые «отпечатки», по которым нас можно идентифицировать. Это, например, информация про диагональ экрана, тип браузера или историю посещений.

При этом и украинское, и европейское законодательство дает пользователям право знать, как данные собираются и кому будут передаваться. А сайты должны требовать согласия на их обработку.

И этот минимальный набор наших прав — не из GDPR [европейский регламент о защите персональных данных], а из нашего закона «Про защиту персональных данных». Украинские омбудсмен, ответственный за защиту персональных данных, уже говорил, что IP-адреса можно рассматривать как персональные данные, если в комбинации с другой информацией они позволяют идентифицировать пользователя.

При этом если СМИ или компания установит такой скрипт, то нарушителем — в случае развития ситуации — окажется интернет-ресурс, а не правоохранители. Наказанием может служить административный штраф или, в случае более серьезных претензий, криминальная ответственность за нарушение неприкосновенности частной жизни.