Мы продолжаем серию публикаций, посвященную своду знаний по кибербезопасности - Cybersecurity Body of Knowledge (CyBOK). В Главе 3 данного свода знаний описываются основные регуляторные нормы и принципы международного права, которые имеют отношение к кибербезопасности и могут применяться при оценке киберрисков, управлении ИБ, расследовании киберинцидентов. Сегодня – вторая часть обзора Главы 3 CyBOK, в которой описываются различные аспекты юрисдикций применительно к киберпространству.
Руслан Рахметов, Security Vision
Предыдущие главы и части:
Глава 3 часть 1
3.2. Юрисдикция
Интернет предоставляет беспрецедентную возможность глобального трансграничного взаимодействия, поэтому при оценке правовых рисков следует учитывать аспекты юрисдикции и нюансы коллизионного права. Юрисдикция описывает сферу государственной власти и механизмы, используемые государством для её утверждения. Коллизионное право - это совокупность норм, разрешающих противоречия между законами различных государств; оно позволяет определить, какие именно национальные нормы права должны быть применены к тому или иному судебному спору.
3.2.1. Территориальная юрисдикция
Под юрисдикцией чаще всего понимают пределы компетенций государства на его территории, но при оценке правовых рисков в рамках трансграничной (межгосударственной) деятельности лица или компании следует рассматривать три различных вида юрисдикции:
1) Законодательная (предписывающая) юрисдикция (англ. prescriptive jurisdiction):
Предписывающая юрисдикция описывает объем полномочий государства для регулирования деятельности лиц или владения имуществом. Государственные законодатели обычно разрабатывают законы с целью защиты своих граждан-резидентов и могут регулировать действия иностранных граждан в той мере, в которой они способны нанести ущерб резидентам.
2) Юридическая юрисдикция (англ. Juridical jurisdiction):
Юридическая юрисдикция описывает полномочия суда по решению дела или спора. В гражданских делах суды обычно требуют минимальной степени связности между юрисдикцией суда и субъектом, против которого проводится судебное разбирательство (например, присутствие на территории государства филиала компании). В рамках уголовного преследования суды обычно требуют физического присутствия обвиняемого до начала разбирательства, но в некоторых странах суды делают исключения из этого правила и проводят разбирательство в отсутствие обвиняемого, который находится за пределами территориальной юрисдикции суда.
3) Исполнительная юрисдикция (англ. Enforcement jurisdiction):
Исполнительная юрисдикция описывает полномочия государства по обеспечению соблюдения законов - например, применение силы при охране правопорядка и для пресечения преступлений. В гражданских делах это может означать выемку документов и носителей информации, изъятие оборудования, арест недвижимости и банковских счетов и т.д.
3.2.2. Предписывающая юрисдикция
Традиционно государства принимают положения предписывающей и юридической юрисдикций к нерезидентам, которые ведут бизнес с резидентами, используют преимущества внутреннего рынка и поэтому должны следовать государственным требованиям. В более сложных случаях нерезидент может не вести бизнес с резидентами страны, но тем не менее его действия могут каким-либо образом нанести вред государству или гражданам. Например, подобное разбирательство последует в случае картельного сговора зарубежных экспортеров, заключенный вне территории государства и приведший к росту цен внутри страны.
Государства также могут использовать положения предписывающей юрисдикции в случае, когда граждане-резиденты совершили правонарушение во время пребывания в другой стране (даже если оно не принесло явный ущерб интересам их государства) или когда против собственных граждан этой страны было совершено преступление зарубежом (например, в случае терроризма). Однако, в случае ведения международного бизнеса компании могут столкнуться с противоречащими требованиями нескольких стран - в этом случае бизнес, как правило, меняет процессы и структуру управления или владения для избежания или снижения вероятности подобного конфликта интересов.
3.2.2.1. Предписывающая юрисдикция в отношении онлайн-контента
Различные государства могут применять положения предписывающей юрисдикции для вредоносного или преступного интернет-контента, который был создан за пределами страны, был передан через интернет и отображается пользователям-резидентам, включая материалы, защищенные авторским правом, клевету, азартные игры, а также специфические запреты конкретной страны. В этом случае суды, как правило, применяют нормы предписывающей и юридической юрисдикций и оценивают подобные нарушения как совершенные на территории своей страны против своих граждан вне зависимости от местоположения сервера, на котором хранится противоправный контент.
3.2.2.2. Предписывающая юрисдикция в отношении киберпреступлений
При разработке законодательства, касающегося киберпреступности, как правило учитываются и аспекты трансграничных действий, поэтому нормы предписывающей юрисдикции могут применяться в отношении киберпреступников вне зависимости от их места нахождения, если они атаковали информационные системы в пределах рассматриваемой страны. Аналогичным образом возбуждаются дела в отношении киберпреступников, которые находятся на территории рассматриваемой страны и взламывают иностранные системы. Хакер, находящийся в своей стране и атакующий компьютер в другом государстве, может нарушать законодательство обеих стран, но даже если в своей стране компьютерный взлом не считается преступлением, то в другом государстве он всё равно будет считаться нарушителем.
3.2.2.3. Предписывающая юрисдикция и защита персональных данных
Зона действия норм GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных) распространяется на всех операторов и обработчиков персональных данных (ПДн), которые обрабатывают ПДн граждан Европейского союза (ЕС) и иных граждан, находящихся на территории ЕС. При этом оператор может не иметь представительства на территории ЕС, а его автоматизированные системы могут также находиться за пределами ЕС. В GDPR применяются нормы предписывающей юрисдикции в отношении обработки ПДн граждан ЕС оператором (или обработчиком) ПДн, который не находится в Европе, но предлагает жителям Евросоюза товары и услуги, а также отслеживает поведение пользователей, находящихся в ЕС. Таким образом, например, российская компания, которая не имеет представительства в ЕС, всё равно может подпадать под нормы GDPR, если на сайте компании регистрируются и указывают свои личные данные пользователи из Европы.
3.2.3. Исполнительная юрисдикция
Несмотря на то, что страны широко применяют положения предписывающей и юридической юрисдикции, более сложной задачей становится непосредственное исполнение юридических требований. В общем случае, в соответствии с международным публичным правом одно государство не имеет права осуществлять меры принудительного исполнения законов на территории другого государства. Обеспечение соблюдения законов включает в себя оказание мер воздействия в отношении людей и собственности, а также просьбы или требования о международной помощи со стороны других государств.
3.2.3.1. Изъятие и конфискация активов
Государство может арестовать и конфисковать имущество и активы для обеспечения участия подозреваемого в судебном разбирательстве, а также может продать имущество, чтобы выполнить финансовые обязательства виновного. Примерами таких объектов являются недвижимое имущество (офисные здания или заводы), движимое имущество (транспорт, товары, денежные средства, ценные бумаги), нематериальные активы (товарные знаки, авторские права, патенты, секреты производства).
3.2.3.2. Изъятие и конфискация серверов, доменных имен и записей в реестрах
Когда оборудование (например, сервер) располагается на территории страны и используется для совершения киберпреступлений, государственные органы могут изъять это оборудование в качестве мер принудительного исполнения законов. Кроме оборудования, у нарушителей могут изыматься и доменные имена при содействии регистраторов доменов, подчиняющихся требованиям конкретной юрисдикции.
3.2.3.3. Территориальное расположение права требования возврата банковских счетов
Банковский счет может считаться находящимся на территории государства, в котором находится филиал банка, принявший депозит. Это же правило может применяться, когда вкладчик использовал возможности онлайн-банкинга и никогда лично не посещал страну и филиал банка. В целом, в настоящее время для конфликтующих сторон не являются редкими требования о блокировании банковских счетов и активов в виде наличных и ценных бумаг.
3.2.3.4. Иностранное признание и исполнение гражданских исков
Принятое судом одной страны процессуальное решение об удовлетворении требований гражданского иска в некоторых случаях может быть исполнено судом другого государства. Например, дружественные государства могут взаимно обмениваться решениями судов и обеспечивать их исполнение.
3.2.3.5. Арест физических лиц на территории другого государства
Представители правоохранительных органов могут задержать обвиняемого на территории другого государства, если они сами находятся на его территории. Кроме того, государственные органы могут арестовать любое морское судно в территориальных водах своего государства, а в международных водах могут быть также арестованы и суда, зарегистрированные под флагом государства, которое производит арест.
3.2.3.6. Экстрадиция физических лиц
Если преступник находится за пределами территории государства, законы которого он нарушил, представители этого государства могут запросить выдачу такого лица у другой страны. Экстрадиция обычно регулируется двусторонними договорами о выдаче и обычно допускается только если совершённое деяние считается преступлением в обоих государствах (правило двойной подсудности). Если два государства являются сторонами Будапештской конвенции ("Конвенция о преступности в сфере компьютерной информации", утверждена Советом Европы в 2001 году) и сохраняют двусторонний договор о выдаче между собой, то в их процедуры выдачи включаются и определенные киберпреступления, предусмотренные этой конвенцией. Кроме того, эта конвенция может также служить независимой правовой основой для выдачи между двумя государствами, которые не имеют двустороннего договора об экстрадиции. Запросы об экстрадиции обвиняемых киберпреступников могут быть отклонены другим государством по ряду причин, например: отсутствие договора об экстрадиции между двумя странами, отсутствие двойной подсудности, опасения относительно суровости наказания со стороны запрашивающего государства, а также обоснованные опасения за здоровье или благополучие обвиняемого.
3.2.3.7. Фильтрация контента
Фильтрация контента с помощью технических средств - это один из способов исполнения законов или снижения риска вредоносной деятельности. Правоохранительные органы могут выдать предписание (исполнительный лист) лицу, которое обяжет его фильтровать или удалить контент вне зависимости от местоположения источника информации (сервера, сайта). Если такое лицо не выполняет требования предписания, то правоохранительные органы могут обязать интернет-провайдеров обеспечивать фильтрацию противоправного контента. Например, в России для фильтрации контента, признанного незаконным, активно применяется технология DPI (Deep Packet Inspection, глубокая инспекция пакетов данных).
3.2.3.8. Предписания резидентам о предоставлении данных в их зоне ответственности вне зависимости от местоположения информационной системы
Государственные органы могут потребовать от резидентов предоставить данные, находящиеся под их контролем, независимо от территориального расположения хранилища данных - такие требования распространены в рамках судебных разбирательств при поиске возможных доказательств правонарушения. При этом в некоторых случаях суды требуют предоставить данные даже от тех лиц, которые не являются подозреваемыми или сторонами судебного процесса, при этом запрашиваемые данные могут располагаться в другом государстве. Например, в 2006 году разразился скандал: США требовали и регулярно получали от зарегистрированной в Бельгии межбанковской ассоциации SWIFT сведения о различных лицах и организациях и данные о совершенных международных денежных транзакциях, причем отказ выполнить американские требования грозил сотрудникам SWIFT уголовным преследованием в США, а предоставление запрашиваемой информации нарушало законодательство ЕС.
3.2.3.9. Международная юридическая помощь
Государства могут направлять госорганам других стран запросы о помощи для сбора доказательств в рамках расследования киберпреступлений. Такие запросы чаще всего делаются в соответствии с договором о взаимной правовой помощи и передаются между властями государств-участников. Подобные запросы могут быть сделаны и в отсутствие предварительно подписанного договора, но в этом случае другое государство может отреагировать на запрос по своему усмотрению.
Будапештская конвенция налагает ряд требований на государства по оказанию взаимной правовой помощи в расследовании киберпреступлений и устанавливает ряд норм относительно сохранения электронных доказательств, включая метаданные, однако подобные формальные процедуры взаимодействия сильно забюрократизированы и недостаточно оперативны. Однако, Статья 32 Будапештской конвенции допускает упрощённое получение трансграничного доступа к компьютерным данным даже без взаимного согласия сторон Конвенции в случае использования общедоступной информации и в случае добровольного согласия на выдачу информации от лица, находящегося в целевой стране.
3.2.4. Проблематика суверенитета данных
Крайне низкая технологическая стоимость хранения и извлечения данных за пределами территории государства вызывает опасения по поводу числа государств, которые могут каким-либо образом вмешиваться в обработку таких данных. Например, облачные инфраструктуры дают ложное чувство независимости от местоположения данных, хотя по факту на безопасность данных напрямую влияют юрисдикции, в которых находятся дата-центры и персонал облачного провайдера. Именно поэтому всё больше стран вводят свои правила национального регулирования интернет-пространства и обработки чувствительных данных. Так, существуют требования по защите персональных данных (152-ФЗ в России, PIPL в Китае, GDPR в ЕС, американские HIPAA, CCPA, EU–US Data Privacy Framework и т.д.), требования по локализации баз персональных данных (российский 242-ФЗ о локализации баз персональных данных в России, Статья 37 "Закона о кибербезопасности" в КНР), правила работы национальных сетей (отечественный Закон о "суверенном Рунете"), требования о хранении пользовательских данных (российские правила для организаторов распространения информации в сети Интернет).