Специални разузнавателни средства и „шпионски софтуер“
Авторът
Огнян Стоичков е магистър по право от Юридическия факултет на Софийския университет „Св. Климент Охридски“ (1992 г.) и доктор по национална сигурност от Военната академия „Г. С. Раковски“.
От 1994 г. е адвокат от Софийската адвокатска колегия. Бил е Председател на комисията по образованието и науката в 41-то Народно събрание (2009 г. – 2013 г.).
Член е на Националното бюро за контрол на специалните разузнавателни средства.
Темата за прилагането на „шпионския софтуер“[1] за „частен шпионаж“ и за използването на специални разузнавателни средства от държавни органи е особено актуална през последните години.
Европейският парламент създаде специална анкетна комисия и през 2023 г. прие препоръка до Съвета и до Комисията, в която подчерта недостатъците в националните правни рамки и необходимостта от по-добро прилагане на съществуващото законодателство на Съюза, за да се пресекат злоупотребите с шпионски софтуер.
В Доклада за дейността на Националното бюро за контрол на специалните разузнавателни средства (НБКСРС) за 2023 г. се предлага актуализация на правната уредба, съобразно новите технологии при прилагане на СРС [2]. А в началото на 2025 г. народни представители поставиха въпроси в тази насока към НБКСРС, вероятно с оглед предстоящи законодателни инициативи.
Настоящата статия е продължение на изследването по темата в монографията ми „Специални разузнавателни средства и служби за сигурност“ (Сиела, 2023 г.). Целта е да се отговори на следните съществени въпроси, относно използването на софтуера, чрез проникване в контролирано устройство:
- Българското законодателство урежда ли това средство за тайно събиране на информация?
- Какво е известно до момента за „шпионския софтуер“?
- Налице ли са надеждни форми на контрол при прилагането на софтуера?
- Има ли нужда от изрично регламентиране на процедура за използване на софтуер в контролирано устройство?
С оглед анализа и възможните отговори на поставените въпроси, се предлагат законодателни промени.
Специалните разузнавателни средства са техническите средства и оперативните способи за тяхното прилагане, които се използват за изготвяне на веществени доказателствени средства.[3]
Подходът при регламентирането на техническите средства и оперативните способи е различен – техническите средства са изброени примерно и неизчерпателно в „отворена“ правна норма, докато оперативните способи са изброени лимитирано. Технически средства са електронни и механични съоръжения, както и вещества, които служат за документиране на дейността на контролирани лица и обекти. Законодателният подход е удачен, защото отразява възможността за актуализация, предвид бързото развитие на технологиите и възможностите за използване на нововъведения като технически средства.
Тази успешна за времето си дефиниция към момента има нужда от усъвършенстване. Не откривам легална дефиниция на понятието „електронно съоръжение“ и като най-близки до използваното в ЗСРС биха могли да се приемат понятията в ЗЕС – „електронни съобщителни устройства“, „електронна съобщителна мрежа“, „електронна съобщителна услуга“.[4] При дефиниране на тези понятия е направено разграничение между материалния актив – хардуера и програмното осигуряване – софтуера. Така например, като „забранено устройство“, по смисъла на §1, т.17а ЗЕС са изброени – съоръжение, софтуер, средство, т.е. законът приема самостоятелното дефиниране на „съоръжение“ и на „софтуер“.
За софтуерното проникване не би могла да се приложи „по аналогия“ и разпоредбата на чл.172, ал.3 НПК, относно прилагане на специални технически средства при събиране и записване на компютърни информационни данни.
Неправилна би била и аналогията с чл.339а НК [5], относно използването на специално техническо средство.[6]
Придобилият популярност софтуер[7], с възможности за контрол и сканиране на цялата информация от електронни устройства, както и тяхното управление от дистанция, за видео и звуково приемане и предаване на информация в реално време, вероятно налага подобряване на дефиницията за техническо средство. Известни са подобни софтуери, с търговско наименование „Pegasus“ (NSO Group),[8] „Candiru“[9], „Predator“ и др.[10]
Видно от публично достъпната информация подобни продукти се използват от правителственото разузнаване и правоприлагащите органи за борба с престъпността (тероризъм, разкриване на групи за педофилия, трафик на хора за сексуална експлоатация , наркотици, пране на пари), както и в помощ на екипите за спешно търсене и спасяване (SAR) на лица в беда.[11]
Но на практика се оказва, че цитираният софтуер се използва и за незаконна дейност. През 2021 г. Върховният комисар на ООН за правата на човека прави изявление, относно разкритията за масово използване на софтуер за шпиониране на журналисти, защитници на правата на човека, политици и други в различни страни, което представлява злоупотреба с технологията за наблюдение за незаконни цели[12].
С подобни софтуерни продукти се прониква в електронните устройства и се сканира цялата информация в тях – чрез „технология с кликване“ или с „технология с нулево кликване“.
Пример за „технология с кликване“ е закупеният през 2014 г. от правителството на Мексико софтуер Pegasus 2 (за 32 млн. долара) за нуждите на прокуратурата. Софтуерът и услугата – Enhanced Social Engineering Message, включва и създаването на примамлив SMS, върху който целта е да се кликне.[13]
При другия вариант – „технология с нулево кликване“ (версия Pegasus 3) софтуерът „прониква“ и при пасивно поведение. Експертите на WhatsApp, който се използва от 1,5 млрд. души, констатират, че е инсталиран софтуер за наблюдение – на iPhone и на Android, чрез който се позвънява на набелязани цели. Кодът се предава, дори ако не се отговори на обажданията. В рамките на минути след пропуснатото повикване, телефонът започва да разкрива своето криптирано съдържание, огледално на екран на приемащ компютър. След това предава целия си архив, включително и местоположение, и включва камерата и микрофона, за да предава на живо.[14]
Всички „смарт“ устройства, ползващи глобалната мрежа са уязвими – телефони, компютри, часовници, четци и т.н. Дори и информацията в навигационната система на автомобилите – за точно местоположение, зададени маршрути и др., при определени условия може да се придобие дистанционно.
В Препоръка на Европейския парламент от 15 юни 2023 г. до Съвета и Комисията (2023/2500(RSP) се подчертава, че при използване на софтуер трябва да се гарантира, че мярката е необходима и пропорционална, като е строго ограничена до случаи, засягащи националната сигурност, тероризъм и тежки престъпления.[15]
Приемането на прeпоръката се предшества от едногодишна работа на специално създадена анкетна комисия, която представя доклад за разследване на използването на Pegasus и еквивалентен шпионски софтуер за наблюдение[16]
Препоръката съдържа критични констатации относно факта, че в Полша и Унгария са елиминирани институционалните и правните предпазни мерки, включително подходящите процедури за надзор и проверка. Отбелязани са случаите на незаконно използван софтуер в Гърция и Испания, както и от трети държави срещу президента на Франция, премиерите на Белгия и Испания. В цитирания документ Европейският парламент отбелязва, че единният пазар и свободното движение в Съюза позволяват на държави-членки като Кипър и България[17] да се превърнат в център за износ на шпионски софтуер в посока на недемократични режими по света.[18]
Като се посочва, „…че със сигурност може да се предположи, че всички държави – членки са закупили или използвали една или повече шпионски софтуерни системи…“ и е препоръчва незабавно приемане на адекватни законодателни мерки.[19]
Като пример за успешно законодателно решение в разглежданата насока може да се посочи уредбата в НПК на Германия, където се прави разлика между две форми на използване на софтуер – достъп до цялата информация (Online-Durchsuchung, раздел 100b) и достъп само до комуникация на живо (Quellen-TKÜ , раздел 100а). Всяка една от формите на контрол е допустима за изрично изброени тежки престъпления.[20]
В доклада на анкетната комисия е отбелязано, че в Германия Федералната служба на криминалната полиция (BKA) е закупила Pegasus в края на 2020 г., а Федералната разузнавателна служба (BND) – е придобила модифицирана версия на същия софтуер в края на 2021 г.[21]
В препоръката се настоява, че за да продължат да използват шпионски софтуер, държавите-членки трябва да изпълнят всяко едно от следните условия до 31 декември 2023 г.: а) всички случаи на предполагаема злоупотреба с шпионски софтуер да се разследват и се разрешават незабавно от съответните органи; б) да бъдат представени доказателства, че правната рамка, уреждаща използването на шпионски софтуер, е в съответствие със стандартите, установени от Венецианската комисия, и съответната съдебна практика на Съда на ЕС и ЕСПЧ; в) обвързване с изричен ангажимент за включване на Европол съгласно членове 4, 5 и 6 от Регламента за Европол в разследвания при незаконно използване на шпионски софтуер и г) всички лицензи за износ, които не са в съответствие с Регламента относно изделията и технологиите с двойна употреба, да бъдат отменени.[22]
Също така се определят насоки за съвместен акт на ЕС и САЩ за софтуерни продукти за секретен контрол, включително с приложения към него – списък с лицензираните доставчици, упълномощени да продават на публични органи, както и списък на неупълномощените търговци (черен списък)[23].
Въпрос на дебат е допълването в националното ни законодателство на определението за техническо средство, като наред със съоръжения и вещества, да се добави и приложен софтуер.
В случай на подобна редакция на закона, с оглед принципите на пропорционалност, съразмерност и необходимост, законодателство ни би могло да се усъвършенства в следните насоки, при прилагане на СРС, чрез внедряване на софтуер в друго, контролирано устройство:
- само за определени тежки умишлени престъпления с висока степен на обществена опасност, с оглед значителния риск от неправомерно ограничаване на права;
- при изрично посочване на качеството на лицето, когато то се ползва с имунитет или се отнася до правоотношения, които се ползват с особена защита (напр. между адвокат и клиент) или касаят свободата на информацията;
- по-кратки срокове за прилагане – първоначален срок до 20 дни, с продължения общо не повече от 60 дни. Би могло да се допуснат по-дълги срокове на прилагане единствено по отношение на дейности, свързани със защита на националната сигурност, в случаите на предотвратяване на тежки умишлени престъпления по глава първа от особената част на НК[24];
- регистър на софтуерните продукти, с информация за производител;
- възможност за текущ контрол и техническа експертиза за минимизиране на достъпа до данни, съхранявани в електронното устройство, като той бъде органичен само до тези от тях, които са необходими за постигане на целта; [25]
- право на уведомяване на засегнатото лице от компетентните органи, след като приключи прилагането и без неоправдано забавяне, освен ако съдебен орган не разреши отлагане на уведомяването, при опасност за постигане на целта.
В цитираната препоръка на ЕП се подчертава необходимостта за уведомяване не само на „целевото лице“, но и на „нецелеви лица“, чиито данни са били достъпни, без те да са били целта на контрола. Също така се препоръчва приемане на минимални стандарти за правата на тези лица, в наказателни производства, в които са допуснати като доказателства, данни събрани с подобен софтуер;
- включване в годишния доклад на съответните органи на информация относно броя на одобрените и на отказаните искания за използване на софтуер;
- завишаване на контрола на сделки със софтуерни продукти със секретно предназначение само за нуждите на публични органи, проверка и мониторинг на доставчиците на подобни продукти и на техните клиенти.
Предлага се държавите-членки да определят период на прекъсване, през който временно да не се допуска бивши служители на държавни органи или агенции да работят за дружества, предлагащи шпионски софтуер.
Констатира се необоснованото позоваване на „националната сигурност“ като основание за внедряването и използването на шпионски софтуер, както и за осигуряване на секретност и липса на отчетност. Позоваването на националната сигурност само по себе си не може да се тълкува като пълно освобождаване от прилагането на правото на ЕС и следва да изисква ясна обосновка .[26]
При усъвършенстване на националната уредба, следва да се имат предвид основните релевантни актове на Съюза.[27]
Промяната в законодателството ни следва да се съобрази и със съдебната практика на Съда на ЕС по дела C-623/17 и C‑203/15 и с Решенията на ЕСПЧ по прилагане на чл.8 от КЗПЧОС.[28]
В заключение: Анализът на възможностите на приложния софтуер и интервенцията чрез него в личната сфера на притежателите на контролирани устройства налагат отделна правна регламентация, която да включва и надеждни форми на контрол при прилагането на специални разузнавателни средства чрез софтуерно проникване.[29]
[1] “Зловреден“ или „шпионски софтуер“, съгласно речника, изготвен от Агенцията на Европейския съюз за киберсигурност (ENISA), https://www.enisa.europa.eu/
[2] Доклада за дейността на НБКСРС за 2023г – “ Усъвършенстване на дейността на НБКСРС в съответствие с решения на Европейския съд по правата на човека и предизвикателствата при използване на новите технологии от прилагащите структури, и необходимост от изготвяне на становища по предложения за промени в националното законодателство. „
https://www.nbksrs.bg/%D0%BF%D1%80%D0%BE%D0%B7%D1%80%D0%B0%D1%87%D0%BD%D0%BE%D1%81%D1%82/%D0%B4%D0%BE%D0%BA%D0%BB%D0%B0%D0%B4%D0%B8/
[3] Закон за специалните разузнавателни средства, чл.2, ал.1. Подобна е редакцията и на чл. 172, ал.1 НПК.
[4] Закон за електронните съобщения, ДР, §1, т. 14 – т.17а
[5] Решение по н.д.№ 3013/2011г, ІІІ НО на ВКС –„… нормата на чл. 339а от НК е бланкетна и нейното съдържание изисква изпълването ѝ със закон от действащото законодателство на Р. България, а такъв няма“
[6] Решение по н.д. № 545/2016 г., І НО на ВКС- „… понятието „специално техническо средство, предназначено за негласно събиране на информация“, няма легално определение нито в действащия НК, нито в някой друг нормативен акт, за нуждите на наказателното производство.. Същевременно „специалното техническо средство“ по чл. 339а, ал. 1 от НК следва да бъде предназначено за негласно събиране на информация, т.е. то може да бъде само такова, което по своето предназначение – по своите размери например, обективно да предполага, че ще остане скрито за обекта на наблюдение. За да бъде реализиран съставът престъплението се изисква деянието да е осъществено „без надлежно разрешение, което се изисква по закон“. В обвинителния акт като такъв закон е посочена разпоредбата на чл. 32, ал. 2 от Конституцията, която безспорно има пряко действие, но дали в случая само това е достатъчно, за да бъде изпълнена с необходимото съдържание бланкетната разпоредба на чл. 339а, ал. 1 от НК е въпрос, който предполага подробна правна аргументация,
[7] Виж Richard, L., Rigaud, S. Pegasus: How a Spy in Our Pocket Threatens the End of Privacy, Dignity, and Democracy, 2023, Henry Holt and Co.
[8] NSO Group – Cyber intelligence for global security and stability , https://www.nsogroup.com/
[9] Sadeh, S, „Haaretz“, 2021г. – Saito Tech Ltd разработва софтуера „Candiru“ през 2014г.
https://www.haaretz.com/israel-news/tech-news/2020-12-31/ty-article-magazine/.highlight/a-shady-israeli-intel-genius-his-cyber-spy-van-and-million-dollar-deals/0000017f-f21e-d497-a1ff-f29ed7c30000
[10] Редица разработчици и доставчици на шпионски софтуер са регистрирани в една или повече държави членки – Intellexa, Thalestris Limited, в Ирландия, Гърция, Швейцария и Кипър; DSIRF в Австрия; QuaDream в Кипър; Amesys и Nexa Technologies във Франция; Tykelab и RCS Lab в Италия;
[11] Петров, Хр., Forbes, 2021 г : В България развива дейност “Съркълс България” ЕООД, част от кипърската Circles, която през 2014 г. е купена от фонд, притежаващ и NSO. https://forbesbulgaria.com/2021/07/22/circles
[12] Виж и Върховния комисар на ООН за правата на човека: „Използването на софтуер за наблюдение е свързано с арести, сплашване и дори убийства на журналисти и защитници на човешките права… Предвид факта, че шпионският софтуер Pegasus, както и този, създаден от Candiru и др., контролира всички аспекти на живота на лицето, използването им може да бъде оправдано само за разследвания на сериозни престъпления и сериозни заплахи за сигурността… Държавите да въведат по-ефективни механизми за отчетност, по-добро регулиране на продажбата, трансфера и използването на технологии за наблюдение и осигуряване на строг надзор и разрешение“. https://www.ohchr.org/en/2021/07/use-spyware-surveil-journalists-and-human-rights-defendersstatement-un-high-commissioner
[13] Mehul Srivastava in Tel Aviv , Financial Times, 2019 г., https://www.ohchr.org/en/2021/07/use-spyware-surveil-journalists-and-human-rights-defendersstatement-un-high-commissioner
[14] Mehul Srivastava in Tel Aviv , Financial Times, 2019 г..
[15] Препоръка на Европейския парламент от 15.06.2023г до Съвета и Комисията след разследването на предполагаеми нарушения и лошо управление при прилагането на правото на Съюза във връзка с използването на Pegasus и еквивалентен шпионски софтуер за наблюдение (2023/2500(RSP). https://www.europarl.europa.eu/doceo/document/TA-9-2023-0244_EN.html
[16]Доклад относно разследването на предполагаеми нарушения и лошо администриране при прилагането на правото на Съюза във връзка с използването на Pegasus и еквивалентен шпионски софтуер за наблюдение
22.5.2023 г. – ( 2022/2077(INI) ), https://www.europarl.europa.eu/doceo/document/A-9-2023-0189_EN.html
[17] За нерегламентирано използване на софтуер в България, Софийската градска прокуратура образува на 23.02.2022г. досъдебно производство за престъпление по чл. 319б, ал. 4 във вр. с ал. 1 НК.
[18] Препоръка на ЕП до Съвета и до Комисията – т.25
[19] Пак там – преамбюл, т.F
[20] НПК на ФРГ, Раздел 100b „Тайно дистанционно търсене на системи за информационни технологии“, 1.Технически средства могат да бъдат използвани дори без знанието на съответното лице за получаване на скрит достъп до използвана от заинтересованото лице система за информационни технологии и за извличане на данни от тази система („скрито дистанционно търсене на системи за информационни технологии“), https://www.gesetze-im-internet.de/englisch_stpo/englisch_stpo.html#p0528
[21] През 2021 г. Бундестагът приема проектозакона „за адаптиране на закона за защита на конституцията“. Тази промяна легализира приложния софтуер в работата на всички разузнавателни агенции (т.362 – 369)
[22] Препоръка на ЕП до Съвета и до Комисията – т.28
[23] В санкционният, „черен“ списък на САЩ са включени производители на шпионски софтуер, намиращи се в Израел (NSO Group и Candiru), Русия (Positive Technologies) и Сингапур (Computer Security Initiative Consultancy PTE LTD.) и др.
[24] Закон за специалните разузнавателни средства – на чл.21, ал.1, т.2 и ал.2, т.2 и по чл.13, ал.4
[25] Прилагане на оперативни способи по чл.5 (наблюдение), чл.6 (подслушване ) и чл.8 ( проникване) от ЗСРС относно жилище, до момента се приемаше за ограничаване на основни права, с най-висок интензитет. Но при използване на софтуер, относно електронно устройство интервенцията в личната сфера е още по- драстична . Възможно е прилагане на почти всички способи, чл.5 – чл.10а ЗСРС и то без да се налага активно поведение на лицето, както и да се събира цялата информация , която технически трудно би могла да се селектира, в т.ч. неотносима към престъпната дейност – за минал период и в пълен обем, включващ и лична информация.
[26] Решение на СЕС по дело C-623/17 , т. 44 и Решения по съединени дела C-511/18, C-512/18 и C-520/18, т. 99:
„… единствено фактът, че национална мярка е приета за защита на националната сигурност, не може да доведе
до изключване на приложимостта на правото на Съюза и да освободи държавите членки от необходимостта
от спазване на това право.“
[27] Релевантни актове на ЕС : -Договор за Европейския съюз (ДЕС) – чл. 2, 4, 6 и 21;
-Договор за функционирането на Европейския съюз (ДФЕС) – чл. 16, 223, 225 и 226;
– Харта на основните права на Европейския съюз („Хартата“’) – чл. 7, 8, 11, 17, 21, 41, 42 и 47;
– Директива 2002/58/ЕО на ЕП и на Съвета относно обработката на лични данни и защита на правото на неприкосновеност на личния живот в сектора на електронните комуникации (Директива за правото на неприкосновеност на личния живот и електронни комуникации) ;
– Регламент (ЕС) 2016/679 на ЕП и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (Общ регламент относно защитата на данните) ;
– Директива (ЕС) 2016/680 на ЕП и на Съвета относно защитата на физическите лица във връзка с обработването на лични данни от компетентните органи за целите на предотвратяването, разследването, разкриването или наказателното преследване на престъпления или изпълнението на наказания и относно свободното движение на такива данни, и за отмяна на Рамково решение 2008/977/ПВР на Съвета ;
– Конвенции на Съвета на Европа за защита на лицата при автоматизираната обработка на лични данни (Конвенция № 108), актуализирана като Конвенция № 108+;
– Директива 2013/40/ЕС на ЕП и на Съвета относно атаките срещу информационните системи и за замяна на Рамково решение 2005/222/ПВР на Съвета („Директива за киберпрестъпността“);
– Регламент (ЕС) 2021/821 на ЕП и на Съвета за въвеждане на режим на Съюза за контрол на износа, брокерската дейност, техническата помощ, транзита и трансфера на изделия с двойна употреба („Регламента за изделията с двойна употреба“);
– Регламент (ЕС) 2021/947[27] („Регламент за Глобална Европа“) – финансовата помощ може да бъде спряна в случай на влошаване на състоянието на демокрацията, правата на човека или принципите на правовата държава.
Апелира се в Препоръката за бързо приемане на Регламента за неприкосновеността на личния живот в електронната среда , който ще отмени Директива 2002/58/EО.
[28]Решенията на ЕСПЧ, по прилагане на чл.8 от КЗПЧОС https://www.echr.coe.int/documents/fs_mass_surveillance_eng.pdf
[29] Темата ще бъде предмет и на лекционните курсове в ЦОА „Кръстю Цончев“, започващи на 10 и 11.03.2025 г.
17
Коментирайте
Аз не виждам при поможение, че си чист, какво може да те притесни ако те подслушват.
А, да сте чували за конституционото право на всеки? Защо да ми ровят в личния живот?
Все по- често се наблюдава злоупотреба с технологията за наблюдение за незаконни цели.
Много добре и подробно е обяснено.
Трудно ще се пресекат напълно злоупотребите с шпионски софтуер.
Качествен анализ от човек в това Бюро за контрол на СРС-тата, който има квалификация за тази работа-юрист е, и не е работил в репресивния апарат. Бюрото е призвано да ни пази от произвола на властта-ако незаконно използва СРС-та, а в това бюро има например човек, учил да е горски. Уважавам горските, ама какво горски разбира от право и законодателство ,конкретно и досежно СРС-та? В това бюро има друго лице, идващо от репресивния апарат-тоест лице, идващо от репресивният апарат да ни пази от същият този репресивен апарат?!?!?
Чудя се как са допуснали да има адвокат, който разбира от темата.
Хубава тема, легалните дефиниции са полезно нещо, особено в наказателното право, при упражняването на властнически правомощия, но дори и с точно формулирани понятия и отдавана утвърдени положения, те не винаги оправдават своето самостоятелно съществуване, в контекста на удачно споменатото перманентно развитие на технологиите, а по-скоро усложняват и бюрократизират и формализират напълно излишно материята, създавайки условия за нейното безпроблемно заобикаляне. В светлината на горното, цитирания в бел. под линия акт: „Решение по н.д. № 545/2016 г., І НО на ВКС- „… понятието „специално техническо средство, предназначено за негласно събиране на информация“, няма легално определение нито в действащия НК, нито в някой… Покажи целия коментар »
Дано го прочетат хората
Добре написано
Желателно е да се получат нещата ама..
Чудесен анализ
Обикновено тия неща не се четат от масата. Уви.
Тия правни въпроси много дразнят диктатурите. Искат си да прсвят каквото решат и да не се съобразяват с правото и адвокати. Всички в съдебната система би следвало да са про европейски настроени. Не тръмписти и путинисти
Ще видим какво ще стане, но е интересно.
Категорично добре обяснено
Анализ и то хубав
Безспорно трябват сериозни проени в законодателството ни.