Після обшуків у компанії MacPaw, які відбулися 15 лютого цього року, в Україні знову заговорили про потребу ухвалити закон, що захищатиме бізнес від свавілля правоохоронців. Зокрема, заборонятиме їм вилучати техніку, що паралізує роботу IT-компаній. Це вже не перша спроба оновити законодавство, але попередні документи були або недостатньо прогресивними, або просто не проходили далі обговорень.

DOU розповідає про те, як раніше в Україні регулювали питання обшуків, як саме пропонує оновити законодавство Мінцифри й що про ці нововведення думають юристи та представники IT-спільноти.

Як питання обшуків у компаніях регулювали до закону «Маски-шоу стоп-2»

В Україні спроби протидіяти обшукам правоохоронців, які свого часу були більше схожі на рейдерські захоплення бізнесів, тривають не перший рік. Наприклад, 2015-гоз’явився закон «Про дерегуляцію бізнесу», який, зокрема, забороняв вилучати сервери без постанови суду. Хоча ініціатива й видавалася прогресивною, на практиці норма не працювала через банальне свавілля під час обшуків, зауважували правозахисники — слідчі фактично ігнорували цю норму.

У 2017-му влада ухвалила новий закон про протидію необґрунтованому тиску правоохоронців на українські підприємства, який в медіа назвали «Маски-шоу стоп». З-поміж іншого документ передбачав:

• обов’язкову аудіо й відеофіксацію усього процесу обшуку (відповідно дані, які вилучили й не зафіксували цей процес на відео, не можна було використовувати як докази);
• залучення адвоката на всіх етапах обшуків (якщо правоохоронці вилучали докази не в присутності адвоката, такі матеріали ставали недійсними);
• заборону відкривати одні й ті самі справи (кримінальну справу закривали автоматично, якщо вже існувало рішення слідчого про закриття справи з цього ж питання й воно не було скасоване судом);
• заборону на вилучення документів і техніки з певними винятками.

І саме винятки стали однією з найбільших прогалин закону. Адже за задумом слідчий і прокурор повинні копіювати дані з комп’ютерів, а не вилучати їх. Водночас, якщо доступ до техніки захищений паролем чи правоохоронці вирішили, що потрібно провести ту чи іншу експертизу, закон вже дозволяв вилучити техніку. Тобто й надалі все залежало від доброчесності правоохоронців, адже навряд чи техніка, на якій є важлива інформація для бізнесу, не буде захищена паролем.

У 2018-му з’явився закон «Маски-шоу стоп-2», який діє й нині. Однак він не розв’язав проблему з вилученням техніки. Нововведення фокусувалися на зміненні процедури притягнення правоохоронців до відповідальності, якщо вони незаконно відкрили кримінальне провадження чи вчинили правопорушення під час слідчих дій. Зокрема, закон дозволяє оскаржити неправомірну бездіяльність слідчих, якщо справу розглядають понад рік.

Що вважається неправомірною бездіяльністю?

Найчастіше це невнесення відомостей про кримінальне правопорушення до Єдиного реєстру досудових розслідувань, затягування досудового розслідування, неповернення тимчасово вилученого майна тощо.

Також закон дозволяє вимагати компенсацію збитків не з держави, а персонально зі слідчих чи прокурорів, які припустилися порушень під час обшуків, слідчих дій тощо.

У 2020-му на розгляд Верховної Ради подали законопроєкт, умовно названий «Маски-шоу стоп-3». Його розробляли експерти Верховного Суду, представники IT-індустрії та науковці. Документ мав заборонити вилучати сервери й інші носії електронної інформації, якщо це не речові докази в кримінальному провадженні. Інформацію з них правоохоронці мали копіювати й фіксувати це в протоколі.

Однак 2021 року законопроєкт зняли з розгляду й відправили на доопрацювання. Причина — використані у ньому терміни, які визнали або некоректними, або такими, що містять внутрішні суперечності чи не узгоджуються з уже наявними нормами в Кримінальному процесуальному кодексі України. Наприклад, у висновку Комітету з питань правоохоронної діяльності зазначено: «Визначення терміна „речові докази“, а також віднесення інформації в електронному вигляді до речових доказів містять внутрішні протиріччя та не узгоджуються з нормами статті 84 КПК, оскільки інформація в електронному вигляді не може існувати без відповідного носія. Тому саме носій інформації (з урахуванням наявних на ньому технічних відомостей і характеристик) і забезпечує доказове значення фактичних даних у частині віднесення до речових доказів».

У чому проблема нинішнього законодавства

Головна проблема чинного законодавства, за словами CEO компанії IT-юристів Stalirov&Co Валерія Сталірова, полягає в тому, що там є фрази й винятки, які можна по-різному тлумачити, чим і можуть користуватися деякі правоохоронці. Тож подекуди навіть попри те, що прямого дозволу в ухвалі слідчого судді немає, під час обшуку офісну техніку вилучають, а потім накладають арешт через суд, щоб не повертати її власнику.

22 березня 2022 року став чинним Закон «Про внесення змін до Кримінального процесуального кодексу України та Закону України „Про електронні комунікації“». Він мав підвищити ефективність досудового розслідування «за гарячими слідами» та протидії кібератакам, каже юрист.

Цей закон доповнив Кримінальний процесуальний кодекс. Зокрема, йдеться про положення ст. 168 КПК, яка встановлює загальну заборону на вилучення електронних інформаційних систем або їхніх частин, мобільних телефонів. Цю заборону поширили й на комп’ютерні системи.

«Але в цій нормі встановлено винятки, коли тимчасове вилучення майна дозволено. Зокрема, коли надання електронних інформаційних систем, комп’ютерних систем або їхніх частин разом з інформацією, що на них міститься, є необхідною умовою проведення експертного дослідження. Або якщо такі об’єкти отримані внаслідок вчинення кримінального правопорушення чи є засобом/знаряддям його вчинення, а також якщо власник обмежує до них доступ чи якщо для отримання доступу потрібно „подолати системи логічного захисту“. Тож знайти „виняток“ для слідчого, згідно з цією статтею, не є проблемою», — пояснює Валерій Сталіров.

Тимчасове вилучення майна — це фактичне позбавлення підозрюваного або осіб, які володіють цим майном, можливості користуватися ним і розпоряджатися до того, як буде розв’язане питання про арешт техніки чи її конфіскацію (якщо, звісно, слідчий чи прокурор подадуть відповідне клопотання про арешт).

Передумови для арешту майна визначені у статті 170 «Накладання арешту на майно» КПК. Вони подібні до вищенаведених. Тобто арешт накладається тоді, коли комп’ютерні системи є засобом чи знаряддям вчиненого кримінального правопорушення, якщо слідчому потрібно провести експертизу тощо.

«Згадані у статтях фрази про „об’єкти, отримані внаслідок кримінального порушення“ тощо знову можуть по-різному тлумачитись», — наголошує юрист.

Також важливим було й залишається питання безпеки даних.

«Безпека даних, що містять електронні інформаційні системи та комп’ютерні системи, це не тільки питання Кримінального процесуального кодексу. Якщо інформація зберігається в хмарних сховищах, то „забрати“ хмарне сховище неможливо. Якщо інформація міститься на фізичному об’єкті (комп’ютері, флешці, телефоні тощо), знову повертаємося до винятків, передбачених Кримінальним процесуальним кодексом: не дав пароль — забрали техніку; слідчий вважає, що потрібна експертиза, — забрали», — каже Сталіров.

Що для захисту бізнесу пропонують сьогодні

Обшуки в MacPaw стали резонансною подією, до якої критично поставилася не лише IT-спільнота, а й представники влади. Дії правоохоронців навіть розкритикував міністр цифрової трансформації Михайло Федоров. Він же заявив, що «треба повернутися до питання „Маски-шоу стоп“ як важливого компоненту Дія City».

У відповідь на запит DOU в Мінцифри повідомили, що вже працюють над змінами до Кримінального процесуального кодексу.

«Мета ініційованих Мінцифри змін у КПК — унеможливити неправомірне втручання силових структур у діяльність компаній, яке часто призводить до зупинки робочого процесу. Ми впроваджуємо універсальні зміни, але очевидно, що найбільшим бенефіціаром від цього будуть саме ІТ-компанії, інтереси яких ми захищаємо», — заявили у міністерстві.

Основні зміни, які пропонують запровадити:

• Пристрої ПК не можна вилучати. Дозволено лише копіювати саму інформацію. Виняток: якщо є ухвала слідчого судді про дозвіл на вилучення через загрозу знищення речей чи документів. Таким чином буде збережено баланс інтересів бізнесу та слідства, вважають у Мінцифри.
• У разі вилучення пристроїв ПК власник отримує право копіювати інформацію. Тобто у компанії залишається можливість працювати надалі на інших пристроях.
• Арешт майна дозволений лише на певний термін, який встановлює суддя. Строк розгляду питання про арешт слідчим суддею пропонують збільшити з 48 до 72 годин. Таким чином, вважають у Мінцифри, суддя зможе якісніше вивчити справу.
• Обшук у компаніях дозволено, лише якщо доведено, що інакше неможливо отримати інформацію, тобто скерувати запити до державних органів, проаналізувати реєстри. Ухвала про обшук має містити належну правову оцінку судді. Термін розгляду питання про обшук пропонують збільшити з одного до двох днів.
• Заборонено вилучати гроші, документи, речі під час обшуку, якщо про це прямо не вказано в ухвалі. Виняток: якщо перелічене є предметом, знаряддям чи засобом злочину.

«Ці зміни зберігають баланс інтересів бізнесу і держави. Їх запровадження, з одного боку, унеможливить зупинку робочого процесу в компаніях, з іншого — забезпечить об’єктивність та високу якість слідчого процесу», — кажуть у міністерстві.

Водночас там зауважили, що зміни в КПК — завжди складне питання, оскільки йдеться про вже згаданий баланс інтересів стейкхолдерів і держави. Будь-які зміни мають враховувати, що порушення можливі й держава повинна мати важелі впливу на порушників.

Наразі створена ініціативна група, яка об’єднує експертів державних інституцій та представників ІТ-спільноти. Вони працюють над концепцією та безпосередньо текстом законопроєкту. Після цього документ зареєструють і його розглядатиме профільний комітет парламенту. Втім жодних конкретних термінів DOU у Мінцифри не озвучили.

За інформацією DOU від джерела, ознайомленого із ситуацією, підготовка законопроєкту дещо «забуксувала» через нерозв’язану проблему щодо збереження вилучених копій даних — для цього треба розбудувати вартісну сервісну інфраструктуру з надійним захистом і законодавчо це врегулювати.

Водночас решта співрозмовників редакції в органах влади та юридичних колах не поділили думку про те, що питання зберігання даних є перепоною на шляху до ухвалення законопроєкту.

Що про пропонований законопроєкт кажуть юристи й IT-спільнота

IT-юрист Валерій Сталіров схвально відгукується про зміни, про які розповіли DOU в Мінцифри. Водночас зауважує: навіть якщо є ідеально прописаний механізм обшуків, це нівелюється відсутністю реальної відповідальності правоохоронних органів і суддів за те, що вони видають безпідставні документи на кшталт тих самих ордерів, на основі яких і діють. Крім того, що менша можливість різного тлумачення норм закону, то прозорішим і передбачуванішим буде обшук і його наслідки.

Від IT-спільноти участь у розробці законопроєкту спільно з Мінцифри бере Єфрем Лащук, директор з політико-правових питань IT Ukraine Association. Він каже, що передусім потрібно, щоб у законі передбачили положення, згідно з яким під час копіювання слідчими певних даних складався протокол, у якому міститиметься повний перелік отриманих органом досудового розслідування файлів, а також їхні характеристики.

Власник пристрою, з якого знята інформація, повинен підписати цей протокол, а також отримати його копію, щоб мати на руках відповідний доказ і змогу надалі оскаржувати дії правоохоронців, зауважує Лащук. За його словами, це потрібно і для безпеки даних, і для того, щоб правоохоронці не змогли фальсифікувати отримані дані. Проте більш надійним запобіжником від зловживань слідчих має бути реальний ризик понести покарання за свої вчинки згідно із законом.

Відповідно представник Асоціації зазначає, що ризики для бізнесу лишатимуться, оскільки згаданий законопроєкт не передбачає прямої адміністративної та кримінальної відповідальності за порушення порядку обшуку та вилучення майна. Також немає достатньої відповідальності суддів за ухвалення неправосудного рішення. Тож Єфрем Лащук додає, що, можливо, є сенс розглянути варіант розроблення інших законопроєктів, що врегулюють саме ці питання.