В Законе о следственных полномочиях Великобритании 2016 года (IPA) существует ряд нормативных пробелов, которые необходимо устранить в ходе будущих законодательных реформ, считает Комиссар по следственным полномочиям (IPC) сэр Брайан Левесон.
В своем ежегодном отчете, опубликованном на этой неделе, надзорный орган заявил, что Закон о следственных полномочиях (поправка) 2024 года (IPAA) не устранил «дыры», оставленные первоначальным законодательством, и добавил, что любые будущие реформы должны проводиться Министерством внутренних дел.
Например, конфиденциальная информация, полученная от иностранных партнеров, в настоящее время не контролируется IPC. Национальные спецслужбы, такие как GCHQ, часто получают отчеты от союзников за рубежом, в том числе из альянса «Пять глаз».
Эти отчеты часто содержат конфиденциальную информацию, для получения которой в Великобритании, согласно IPA, требуется разрешение судебного комиссара. Поскольку эта информация передается спецслужбам без такого разрешения и хранится для последующего использования, это создает лазейку, через которую конфиденциальная информация может ускользнуть от нормативного надзора.
IPC конкретно упомянул GCHQ в своем примере, отметив, что GCHQ добровольно сообщило судебному комиссару о получении и хранении этой информации — как и в случае с данными, полученными по собственным ордерам — несмотря на отсутствие юридического требования делать это.
Еще один потенциальный пробел в регулировании касается того, что разведывательное сообщество Великобритании (UKIC) не обязано раскрывать информацию о серьезных утечках данных, при условии, что утечка соответствует критериям «соответствующей ошибки», как указано в IPA.
«Соответствующая ошибка» относится к ошибке, допущенной государственным органом при выполнении любого из требований IPA, которые также подлежат пересмотру судебным комиссаром. Это означает, что члены UKIC — MI5, MI6 и GCHQ — не обязаны сообщать о серьезных утечках в Управление комиссара по информации, если они происходят при выполнении действий, связанных с IPA.
Сэр Левесон заявил, что причина, по которой UKIC предоставляется такое исключение, неясна, и это может вызвать проблемы, касающиеся раскрытия информации в общественных интересах.
«В настоящее время это означает, что UKIC может совершить серьезную утечку персональных данных, которая может не попасть в поле зрения компетентного надзорного органа по защите данных, если мы не сообщим об этом», — сообщил он.
«Учитывая возможную конфиденциальность, мы не можем сделать это наилучшим образом. Это может оставить пробел, который может противоречить общественным интересам».
IPC также заявил, что IPA нуждается в реформе, чтобы обезопасить его от технологических разработок, из-за «сложного набора законодательства, который трудно применить к реальным оперативным сценариям и трудно контролировать».
Кроме того, сэр Левесон отметил, что IPAA внес «скромные изменения» для уточнения неоднозначных определений данных связи (CD), но они не полностью решают проблемы, с которыми сталкиваются государственные органы и регуляторы.
Данные электронных финансовых транзакций по-прежнему вызывают трудности. Министерство внутренних дел предприняло попытки прояснить, что определяется как CD, а что нет, в отношении данных финансовых транзакций, но IPC утверждает, что эти усилия не устраняют должным образом юридические сложности.
Неоднозначность здесь вызывает разочарование у правоохранительных органов (LEA), например, поскольку они не знают, какой юридический путь следует использовать для получения определенных типов данных для расследований.
Нерешенные IT-проблемы
IPC вновь отмечает отсутствие плана по замене устаревших IT-систем, используемых LEA для управления и распространения данных, перехваченных в соответствии с IPA, называя это «неприемлемым».
IPC настойчиво обращался к Министерству внутренних дел, которое управляет этими системами с 2020 года. Первоначальный срок для централизованной системы замены был установлен на 2020 год, затем был перенесен на 2025/26 год, а в 2024 году был отменен.
Министерство внутренних дел сообщило IPC, что отдельные LEA будут нести ответственность за разработку собственных систем, соответствующих требованиям Закона, и до тех пор они должны использовать существующую систему.
IPC заявил: «Хотя существующая система в настоящее время стабильна и поддерживается Министерством внутренних дел, зависимость от этой системы в отсутствие новых остается серьезной проблемой».
«Мы признаем сложность разработки новых систем при сохранении операционной непрерывности», — добавил сэр Левесон. «Однако отсутствие последовательного и всеобъемлющего плана, гарантирующего, что все LEA будут иметь устойчивые, соответствующие IPA системы до вывода из эксплуатации текущей системы, неприемлемо. Мы продолжаем призывать Министерство внутренних дел относиться к этому вопросу как к приоритетному».
Прояснение споров вокруг Технических уведомлений о возможностях
Особый интерес для любых отчетов по IPA в настоящее время представляют движения вокруг Технических уведомлений о возможностях (TCN), юридических требований, предъявляемых к таким компаниям, как Apple, для предоставления данных в соответствии с IPA.
IPC отказался предоставлять дополнительную информацию, кроме уже сказанного о TCN, которые стали предметом жарких дискуссий в этом году после того, как Apple получила одно в январе.
Напомним, Министерство внутренних дел выдало Apple TCN — юридический приказ о предоставлении данных в рамках IPA. Закон запрещает получателям TCN раскрывать детали этих TCN или даже сообщать, что они получили такой документ.
Таким образом, то, что именно требовало Министерство внутренних дел от Apple, остается загадкой, хотя широко распространено мнение, что это касается доступа к зашифрованным данным iCloud. Apple отозвала расширенную защиту данных в Великобритании после получения этого предписания.
Сэр Левесон приветствовал апрельское решение Трибунала по следственным полномочиям, которое было принято против Министерства внутренних дел, поскольку оно пыталось предотвратить публичное рассмотрение деталей TCN по соображениям национальной безопасности.
«Мы приветствуем решение Трибунала об издании приказа о раскрытии общественности основных фактов дела, поскольку мы считаем, что для зрелой и информированной общественной дискуссии о возможностях законного доступа крайне важно», — написал он.
Основная причина, по которой IPC считает это полезным, заключается в неточном освещении. Он возразил против того, что TCN фактически называли «черным ходом» для правительственного шпионажа, описывая эту терминологию как грубую и ошибочную.
«Важно, чтобы общественная дискуссия не сводилась просто к конфиденциальности с одной стороны и к вседозволенности правительства с другой», — написал IPC. «Это далеко не так; законный доступ может быть достигнут таким образом, чтобы найти баланс между поддержанием сильного шифрования и обеспечением того, чтобы правоохранительные органы и правительство могли защищать население от терроризма, серьезных преступлений и враждебной государственной деятельности».
Кампании за конфиденциальность и эксперты по безопасности не согласны. ®
Автор – Connor Jones
