Конституційно-правові стандарти захисту конфіденційної інформації про людину в умовах сучасного технологічного розвитку

XXI століття можна охарактеризувати як еру фундаментальних зрушень у різних сферах буття людини: економічній, суспільно-політичній, ціннісно-орієнтаційній та інших. Видається, що найбільш помітних змін зазнав розвиток технологій, які прямо чи опосередковано спрямовані на збирання, зберігання, передачу та опрацювання конфіденційної інформації. Так, сьогодні у розвинених країнах складно знайти людину, яка не використовує засобів мобільного зв’язку та можливості доступу до мережі Інтернет. Цікаво, що згідно даних сайту Worldometers, лише за один день жовтня 2020 року у світі було продано близько шести мільйонів мобільних телефонів, а кількість користувачів Інтернету значно перевищує чотири мільярди^[1]. Наведені факти свідчать про значні трансформації в повсякденному укладі звичайної людини, яка ділить своє життя між реальним та віртуальним світами.

Вільний доступ до Інтернету та цінова доступність смартфонів в багатьох аспектах змінили життя людини сторону на краще. Ми отримали можливість не тільки спілкуватися з іншими людьми на будь-яких відстанях, але й бачити їх без значних перешкод. Ще століття тому описаний стан речей міг сприйматися як витвір фантазії. Проте сьогодні це реальність, від якої людство навряд чи зможе відмовитися.

Водночас сучасні технології створюють або можуть створити ряд проблем, які потребують свого осмислення та вирішення. Однією з них є захист приватного життя людини від неправомірного втручання в конфіденційну інформацію про неї ході під час прямої чи опосередкованої взаємодії із сучасними технологіями. Важливість цього питання обґрунтовується непоодинокими випадками опрацювання конфіденційних даних із облікових записів у соціальних мережах, приватних листувань та навіть прихованих відеоспостережень як представниками держави, так і приватними суб’єктами. Для прикладу, у 2017 році в журналі «The Telegraph» була опублікована стаття про те, що британські спецслужби разом із Центральним розвідувальним управлінням (CIA) працювали над перетворенням телевізорів та телефонів у пристрої для прослуховування і навіть створення фотографій^[2]. Ще одним підтвердженням актуальності питання приватності людини в сучасних цифрових платформах є нещодавній скандал, який виник з приводу «витоку» персональних даних українців, розміщених в додатку «Дія»^[3]. Крім того, на рівні Європейського Союзу вже визнано, що сучасні технології дозволяють як приватним компаніям, так і публічним органам користуватися персональними даними в безпрецедентних масштабах з метою реалізації своєї діяльності^[4].

Описані факти свідчать про серйозність проблеми захисту конфіденційної інформації не тільки в країнах ЄС та США, але й в Україні. На необхідності вивчення проблем, які стосуються реалізації права на приватність, неодноразово наголошувалось у фаховій юридичній літературі. Так, О.З. Панкевич пов’язує потребу таких досліджень із надзвичайно швидким поступом науково-технічного прогресу, що зумовлює появу щораз нових небезпек для вказаного права^[5]. Можна також згадати, що окремі науковці навіть вважають за необхідне створити особливий інститут права власності (приватної власності) людини на свої персональні дані^[6]. Зі свого боку вважаємо, що конституційне право в цій ситуації покликане розробити ефективні стандарти та механізми захисту прав людини, які можуть зазнавати порушень у зв’язку із використанням сучасних технологій.

Тож предметом дослідження у цій статті є аналіз та вдосконалення існуючих конституційно-правових стандартів та механізмів захисту конфіденційної інформації про людину в умовах сучасного технологічного розвитку.

Попри те, що Конституція України 1996 року (далі – Конституція) була прийнята ще в часи, коли випадки втручання в особисте життя людини через засоби комунікації та віртуальні мережі ще не набули значного поширення, у цій статті буде здійснена спроба інтерпретувати положення Основного Закону у світлі сучасних викликів. Зокрема, можливим є використання потенціалу статті 32 Конституції, яку можна розглядати як вихідну точку для наукового дослідження. Норма цієї статті, серед іншого, передбачає заборону втручатися в особисте та сімейне життя людини^[7], з якої можна вивести саме право на особисте та сімейне життя.

Складно не помітити змістовну подібність зазначеного конституційного положення із статтею 8 Конвенції про захист прав людини і основоположних свобод 1950 року (далі – Конвенція), в якій вже безпосередньо закріплено право на повагу до приватного і сімейного життя кожної особи^[8].

У своїх юридичних позиціях Конституційний Суд України (далі – КС України) доволі часто враховує практику тлумачення та застосування статей Конвенції Європейським судом з прав людини (далі – ЄСПЛ або Євросуд) при розгляді справи, якщо ці положення співвідносяться із нормами Конституції про права людини, які є предметом конституційного провадження^[9]. Попри існуючі застереження до такого підходу, вважаємо його застосування виправданим як в межах конституційного судочинства, так і наукової діяльності.

Варто також звернути увагу, що описане право згадане в багатьох інших міжнародних договорах у сфері прав людини. Зокрема, йдеться про Загальну декларацію прав людини 1948 року (стаття 12), Міжнародний пакт про громадянські і політичні права (стаття 17), Хартію основних прав Європейського Союзу (стаття 8) тощо. Така кількість міжнародних домовленостей свідчить про визнання державами фундаментальності та значимості поваги до приватності людини в сучасному світі.

На думку КС України, право на приватне життя слід розглядати як право фізичної особи на автономне буття незалежно від держави, органів місцевого самоврядування, юридичних і фізичних осіб^[10]. Водночас Євросуд послідовно дотримується позиції, згідно з якою приватне життя – це об’ємне поняття, якому не можна дати вичерпне визначення. ЄСПЛ розглядає це право у кожному випадку окремо, постійно включаючи до його обсягу різні сфері життя людини. Для прикладу, у справі «Pretty v. UK» Євросуд згадав про фізичну та психологічну цілісність особистості, фізичну і соціальну ідентифікацію людини як складові частини поваги до приватного життя^[11]. Проте не можна не зазначити, що і КС України у своїх рішеннях робить спробу визначити перелік таких сфер шляхом розкриття змісту поняття «конфіденційна інформація». Так, у справі № 1-9/2012 КС України до такої інформації зараховує, зокрема, але не виключно відомості про: національність, релігійні переконання, стан здоров’я, матеріальний стан, адресу, місце проживання та перебування, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування^[12].

Наближаючись впритул до питання приватності у віртуальних платформах, наголосимо, що насамперед буде йтися про захист конфіденційної інформації про особу, яка, в розумінні статті 32 Конституції, без згоди такої особи може бути використана лише у визначених законом випадках, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Своєю чергою, частина друга статті 8 Конвенції дозволяє втручання у приватність лише згідно з законом і за умови необхідності у демократичному суспільстві в інтересах національної та громадської безпеки чи економічного добробуту країни, для запобігання заворушенням чи злочинам, для захисту здоров’я чи моралі або для захисту прав і свобод інших осіб.

Вже з цих положень можна зауважии, що конституцієдавець передбачив значно менше легітимних цілей для опрацювання конфіденційної інформації про особу без її згоди, ніж Конвенція. У цьому ключі слушно згадати, що стаття 53 Конвенції містить заборону тлумачення її положень як таких, що обмежують чи уневажнюють будь-які права людини, що можуть бути визнані на підставі законів будь-якої Високої Договірної Сторони. З цього випливає, що оскільки Конституція містить вищий стандарт захисту в частині легітимних цілей, які є однією із підстав обмеження права, то перевагу повинні мати норми національної Конституції.

Навряд чи можуть виникати серйозні дискусії з приводу поширення відповідних конституційних та міжнародних стандартів на використання сучасних засобів комунікації чи віртуальні мережі. Складнішим є питання адаптації та застосування таких стандартів у світлі сучасних викликів. Намагаючись відобразити складність цих процесів, ЄСПЛ змінює та розвиває свої позиції залежно від різновиду дій, спрямованих на втручання в конфіденційну інформацію (відслідковування через GPS, перехоплення надісланих повідомлень через месенджери спілкування тощо).

Проте наскрізним у рішеннях ЄСПЛ залишається те, що будь-яке втручання у право особи на повагу до приватного життя може бути виправдане, лише якщо воно відповідає закону, переслідує одну або кілька законних цілей, передбачених Конвенцією, і є необхідним у демократичному суспільстві для досягнення будь-якої легітимної мети^[13]. Цікаво, що у своїй практиці КС України відповідність закону під час втручання у право на приватність розглядає не просто як наявність підстави в національному законі, а також вимогу відповідності такого закону принципу верховенства права^[14].

Традиційно в доктрині та практиці (насамперед ЄСПЛ та віднедавна КС України^[15]) в структурі прав людини виділяють позитивний обов’язок держави захищати та забезпечувати конкретне право та негативний обов’язок – самій не порушувати його, а якщо і здійснювати обмеження, то в суворій відповідності із Конституцією та Конвенцією. З огляду на означений дискурс, пропонуємо розглянути порушені питання захисту конфіденційної інформації у контексті негативного, а вже потім позитивного обов’язку держави.

Негативний обов’язок доцільно проаналізувати крізь призму використання органами держави інструментів втручання в приватне життя через кримінально-процесуальні механізми. Адже позаправові форми втручання у конфіденційну інформацію про людину, такі як тотальне відслідковування GPS громадян чи несанкціоноване втручання спецслужбами у роботу камер мобільних пристроїв, за своєю природою є неконституційним та суперечить Конвенції, а тому і не потребує додаткового правового аналізу.

Чинний Кримінальний процесуальний кодекс України (далі – КПК України) як різновид втручання у приватне спілкування передбачає зняття інформації з транспортних телекомунікаційних мереж та електронних інформаційних систем^[16]. Простіше кажучи, йдеться про мережі електрозв’язку, комп’ютери, різні месенджери та електронні пошти чи інші системи, здатні зберігати та передавати інформацію, зокрема через глобальну мережу Інтернет. З цього приводу ЄСПЛ, зокрема у справі «Big Brother Watch vs. UK», неодноразово нагадував про мінімальні вимоги, які мають бути встановлені законодавством, щоб уникнути зловживань владою^[17].

Зазначимо, що в контексті досліджуваних у цій статті проблем нас цікавлять лише ті випадки втручання у приватне спілкування, в результаті яких буде отримано конфіденційну інформацію про особу. Адже у випадках втручання у приватне спілкування без опрацювання конфіденційної інформації про життя будуть діяти гарантії права на таємницю листування та телефонних розмов (стаття 31 Конституції), які значно відрізняються від захисту конфіденційної інформації про особу (стаття 32 Конституції).

Перш за все Євросуд наголошує на необхідності встановлення характеру правопорушень, які можуть стати підставою для рішення про прослуховування приватних розмов. Зі змісту статті 247 КПК України випливає, що втручання у приватне спілкування без згоди особи можливе виключно у кримінальному провадженні щодо тяжких або особливо тяжких злочинів. Тобто, на думку законодавця, сам факт віднесення кримінального правопорушення до тяжких чи особливо тяжких злочинів є достатньою легітимною метою.

Повертаючись до положення Конституції, яка в цьому випадку містить вищий стандарт захисту прав людини у порівнянні з Конвенцією, можна віднайти лише три легітимні цілі: інтереси національної безпеки, економічного добробуту та прав людини. З огляду на те, що на відміну від Конвенції, Конституція не містить таку легітимну мету як запобігання заворушенням чи злочинам, складно погодитися, що будь-який тяжкий чи особливо тяжкий злочин здійснює посягання на наведені цінності. Для прикладу, такі склади злочинів як незаконне видобування бурштину на об’єктах природно-заповідного фонду (ч. 2 ст. 240-1 КК України) чи публікування у засобах масової інформації символіки комуністичного, нацистського тоталітарних режимів (частина 2 статті 436-1 КК України)^[18] навряд чи можуть становити пряму (безпосередню) загрозу згаданим у статті 32 Конституції цінностям у разі їх вузького тлумачення.

Водночас розширене тлумачення наведених легітимних цілей, зокрема шляхом включення в обсяг національних інтересів кримінальних правопорушень проти довкілля, не відповідає стандартам тлумачення критеріїв обмеження прав людини. Адже загальновизнаним є те, що вони повинні тлумачитися максимально вузько. Вважаємо, що цей недолік законодавства можна вирішити шляхом встановлення обов’язку у кожному випадку, коли постає питання про втручання у конфіденційну інформацію про людину через проведення відповідної негласної слідчої (розшукової) дії, здійснювати перевірку наявності легітимної мети, передбаченої Конституцією.

ЄСПЛ звертає також особливу увагу на визначення категорій людей, прослуховування розмов яких є можливим, та обмеження тривалості втручання в приватне спілкування. Важливим є також дотримання належної процедури вилучення, використання і зберігання інформації та запобіжні заходи, які слід вживати при передачі даних іншим сторонам, та обставини, за яких отримані дані повинні бути знищені. Принагідно зазначимо, що наведеній позиції ЄСПЛ змістовно корелюється відносно нова практика національного органу конституційної юрисдикції. Так, із Рішення КС України у справі №1-123/2018 випливає, що у випадках втручання органів влади в приватне життя особи без її згоди необхідним є встановлення наступних критеріїв:

• визначення змісту та обсягу інформації, що містить персональні дані,
• категорії осіб як суб’єктів персональних даних,
• проміжки часу, яких мають стосуватися персональні дані, строки, порядок та умови їх зберігання.

Щодо положень КПК України в частині відповідності наведеним стандартам зазначимо, що статтею 249 КПК України передбачено верхню межу строку (2 місяці) дії рішення про дозвіл проведення процесуальної дії. Процесуальний закон зобов’язує також суд вказувати особу, приватність якої буде обмежено, під час підготовки рішення про втручання у конфіденційну інформацію в межах кримінального провадження. Крім того, у 254-257 статтях КПК України встановлено заходи щодо захисту інформації, отриманої в результаті втручання у приватне спілкування, особливості використання такої інформації^[19], що узгоджується із наведеними вище європейськими та національними вимогами до опрацювання конфіденційної інформації органами досудового розслідування.

Надалі пропонуємо ознайомитися із реалізацією захисту конфіденційної інформації у приватно-правових відносинах. Цей аспект є особливо важливим, оскільки пов’язаний із позитивним обов’язком держави створити такий рівень нормативно-правового регулювання та практики його застосування, щоб людина відчувала реальну захищеність конфіденційної інформації про себе.

Актуальною піднята проблема видається у сфері трудових відносин, про що свідчить кількість справ з цієї тематики в Євросуді. Так, у справі «Copland v. UK» досліджувалося питання відстежування керівництвом державного коледжу телефону, електронної пошти та історії користування Інтернетом працівниці, яка і звернулася до Євросуду. При цьому було встановлено, що відстеження в Інтернеті здійснювалося у формі аналізу веб-сайтів, які відвідувала заявниця, часу, дати й тривалості такого відвідування.

Формуючи правову позицію, ЄСПЛ звернув увагу, що як телефонні дзвінки з ділових приміщень, так і відправлені з роботи електронні листи охоплюються поняттями приватного життя та кореспонденції у цілях частини першої статті 8 Конвенції. Особливу увагу в цій справі Євросуд звернув на обґрунтовані сподівання заявниці на приватність, оскільки керівництво не попереджало її про подібні заходи перевірки^[20]. У сукупності із іншими недоліками було визнано, що мало місце порушення статті 8 Конвенції.

Водночас варто наголосити, що ЄСПЛ не виключає того, що відстеження телефону, електронної пошти чи історії користування мережею Інтернет працівником на робочому місці може вважатися «необхідним у демократичному суспільстві» у певних ситуаціях та переслідувати законну мету. На жаль, слід визнати, що трудове законодавство України є вкрай неготовим до регулювання подібних відносин на рівні стандартів, які продиктовані вимогами Конвенції та національної Конституції. Особлива складність проблеми пов’язана з тим, що основне джерело регулювання трудових відносин – Кодекс законів про працю України^[21] – навіть не містить натяку на можливе виникнення таких відносин. А тому сьогодні регулювання цих відносин з метою їх обмеження у світлі конституційних та міжнародних вимог видається вкрай складним без відповідних змін у законодавстві.

Цікаво, що в проекті Трудового кодексу України, який включений до порядку денного четвертої сесії Верховної Ради України дев’ятого скликання, суб’єкти законодавчої ініціативи пропонують передбачити заборону роботодавцям контролювати особисті розмови працівників, зокрема по телефону, якщо їх ведення не є порушенням внутрішнього трудового розпорядку або локальних нормативних актів (частина друга статті 29 Проекту)^[22]. Водночас вважаємо за необхідне зробити застереження з приводу пропонованої депутатами норми. Не виключено, що в деяких випадках такі заходи можуть бути способом втручання у конфіденційну інформацію, яке є допустимим лише для досягнення трьох легітимних цілей. Як вже неодноразово згадувалося, ними є національна безпека, економічний добробут та права людини. Крім того, наведена законодавча пропозиція не передбачає обов’язкового попередження про подібний контроль самого працівника, що не в повній мірі узгоджується із практикою ЄСПЛ.

Розглядаючи приватно-правову сферу в більш глобальному вимірі, варто задекларувати ряд серйозних проблем, які ставлять під сумнів захищеність конфіденційної інформації про людину в Україні. Ні для кого не секрет, що за допомогою різних технологічних рішень спеціальні програми вже давно обробляють інформацію про наше «віртуальне життя» в мережі. Такий стан речей не складно помітити на прикладі рекламних пропозицій, які з’являються в кожного користувача Інтернету в різних соціальних мережах та пошукових системах (Google, Bing, Yahoo! тощо).

Рівень складності проблеми лише підвищуються, коли йдеться про транснаціональні платформи Інтернет-комунікації такі як Facebook, Instagram чи WhatsApp. В той час як вони є у всьому світі, суверенітет окремої держави обмежується, як правило, виключно її територією. Проте, попри складність регулювання «віртуальних» відносин, не можна заперечити, що конституційні та конвенційні гарантії поширюють свою дію і на ці сфери. З огляду на цю специфіку останнім часом на міжнародному рівні приймається ряд угод, які спрямовані на врегулювання питання захисту конфіденційної інформації про особу. Для прикладу, 27 квітня 2016 року був прийнятий Регламент Європейського парламенту і Ради №2016/679 про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних. Цей документ є досить об’ємним та спрямований насамперед на комплексне регулювання відносин і опрацювання персональних даних в Європейському Союзі. Серед усього іншого, в пункті 39 Регламенту передбачено, що персональні дані необхідно опрацьовувати в спосіб, що забезпечує відповідний рівень безпеки та конфіденційності персональних даних, зокрема для запобігання несанкціонованому доступу або використанню персональних даних, а також обладнання, необхідного для опрацювання^[23].

Звернемо увагу, що в частині другій статті 10 Закону України «Про захист персональних даних» встановлено, що використання персональних даних володільцем здійснюється у разі створення ним умов для захисту цих даних. А в статті 13 цього Закону прописано загальне правило, що зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них. Вважаємо такий рівень нормативного регулювання явно недостатнім та таким, що потребує деталізації, зокрема шляхом встановлення критеріїв надійності такого режиму доступу. Кінцевою метою таких змін є уникнення незаконного здобуття конфіденційної інформації третіми особами у неправомірний спосіб.

Отже, можна дійти висновку, що конфіденційна інформація про особу захищається як на рівні Конституції, так і Конвенції. Аналіз практики Конституційного Суду України та Європейського суду з прав людини дозволяє говорити про значні напрацювання цих органів у сфері розробки стандартів опрацювання такої інформації в сучасних умовах. Зокрема, йдеться про розробку мінімальних вимог до процесуальних дій, пов’язаних із отриманням конфіденційної інформації із електронних інформаційних систем чи транспортних телекомунікаційних мереж, в межах кримінального провадження. Принагідно слід зазначити, що в деяких випадках Конституція містить вищі стандарти захисту такої інформації у порівнянні із міжнародними.

Слід також згадати про виявлені законодавчі недоліки у захисті конфіденційної інформації у приватно-правових відносинах в Україні. Адже держава повинна створювати належне законодавче регулювання та ефективний контроль за його додержанням. Так, сьогодні залишаються поза правовим регулюванням трудового права відносини, пов’язані із контролем роботодавцем пошукової системи, телефонних розмов чи листувань працівника на його робочому місці. Загалом, ппорушені проблеми свідчать про необхідність удосконалення конституційного-правових механізмів захисту конфіденційної інформації про людину із урахуванням сучасного технологічного поступу людства.