Выход новой Конвенции ООН, это не просто появление ещё одного юридического текста. Это попытка легализовать глобальный порядок в цифровом пространстве, где каждая страна хочет сохранить контроль над своими данными и получить доступ к чужим. Документ создаёт иллюзию общего поля, но на практике может усилить хаос, легализовав конфликт юрисдикций и превратив IT-компании в полевых командиров, вынужденных выбирать, чей закон нарушить.
Для чего понадобилась ещё одна конвенция?
До недавнего времени основой для международного сотрудничества в сфере киберпреступности служила Будапештская конвенция Совета Европы 2001 года. Несмотря на участие ряда неевропейских государств, её главным недостатком для многих стран был региональный источник происхождения. Правила для всего цифрового мира, сформированные узкой группой государств, вызвали естественное сопротивление.
Конвенция фокусировалась на классических составах: несанкционированном доступе, мошенничестве, детской порнографии. Она не затрагивала острые вопросы о границах вмешательства государства в цифровую жизнь граждан или использовании хакерских инструментов государственными органами. Более того, её механизмы трансграничного доступа к данным и обязательного сотрудничества часто воспринимались как угроза цифровому суверенитету.
Этот раскол привёл к тупику. Потребность в платформе, где могли бы вести диалог все государства, привела к инициативе Генеральной Ассамблеи ООН, запустившей в 2019 году процесс создания универсального документа.
Как рождался новый документ?
Работа велась в Специальном комитете открытого состава ООН, где были представлены все государства-члены. Такой состав превратил технические обсуждения в высокополитизированные дебаты.
Основные линии противостояния сложились вокруг трёх групп:
- Сторонники эволюционного подхода (ряд западных государств) выступали за адаптацию и расширение проверенных принципов Будапештской конвенции.
- Группа с альтернативным видением (включая РФ и Китай) настаивала на документе, который явно ограничивал бы вмешательство во внутренние дела под предлогом борьбы с преступностью и криминализировал действия, подрывающие общественную стабильность.
- Развивающиеся страны концентрировались на вопросах технического потенциала и требовали специальных положений о помощи в реализации.
Ключевые споры касались границ криминализации, механизмов экстренного сотрудничества и формулировок о защите прав человека в цифровой среде.
Что оказалось в итоговом тексте?
Итоговый проект Конвенции, согласованный в 2024 году,, это компромисс, где каждая из сторон смогла закрепить часть своих требований. Это привело к появлению объёмного и в чём-то внутренне противоречивого документа.
Структура конвенции включает несколько критически важных блоков:
| Блок | Содержание и особенности |
|---|---|
| Криминализация | Обширный список деяний, обязательных для криминализации. Помимо традиционных компьютерных преступлений, включает спорные пункты: использование криптографических средств для совершения преступлений и «распространение информации, считающейся незаконной по национальному праву», что оставляет широкий простор для толкования. |
| Процессуальные меры | Детальная регламентация сбора электронных доказательств: сохранение компьютерных данных, их экспресс-раскрытие, перехват трафика в реальном времени. Для российского специалиста многие нормы перекликаются с существующими обязанностями операторов связи по хранению и предоставлению данных. |
| Международное сотрудничество | Создание сети круглосуточных точек контакта для оперативного взаимодействия, введение упрощённых процедур для получения базовых абонентских данных и трафика. Это прямая попытка обойти медленные каналы официальной правовой помощи. |
| Профилактика и развитие | Акцент на защите жертв, кибергигиене и, что существенно, на технической и кадровой помощи развивающимся странам для создания потенциала противодействия. |
Практические последствия для IT-сектора и регуляторики
Присоединение РФ к конвенции потребует адаптации законодательства и практики работы. Последствия затронут разные стороны.
Для операторов связи и IT-компаний
- Появится обязанность рассматривать прямые запросы от иностранных правоохранителей, поступающие через национальную точку контакта. Сейчас такие запросы идут долгим дипломатическим путём. Конвенция может сократить срок ответа по базовым данным до часов или дней.
- Возрастут требования к скорости, формату и, возможно, языку ответов. Компаниям потребуются выделенные процедуры и ресурсы для обработки международных запросов.
- Нормы о сохранении трафика могут унифицировать и легитимизировать на международном уровне подходы, уже действующие в России (СОРМ, 149-ФЗ).
Для регуляторов и силовых ведомств
- Национальная точка контакта 24/7 станет центром обработки потока международных запросов, что потребует дополнительных кадровых и административных ресурсов.
- Откроется новый канал для получения данных из-за рубежа, особенно из стран, с которыми нет соглашений о правовой помощи. Это потенциальный инструмент для расследования атак с зарубежной инфраструктурой.
- Может потребоваться корректировка составов киберпреступлений в Уголовном кодексе РФ для формального соответствия конвенции.
Главный скрытый риск: конфликт юрисдикций
Новый механизм создаёт прямую коллизию. Иностранный правоохранительный орган через прямое взаимодействие запрашивает у российской компании данные пользователя-россиянина. Российское законодательство (152-ФЗ) в большинстве случаев запрещает трансграничную передачу персональных данных без обеспечения адекватной защиты, которую иностранное государство может не гарантировать. Компания оказывается в ситуации, где выполнение одного требования автоматически означает нарушение другого. Конвенция не предлагает работающего механизма разрешения таких коллизий, перекладывая риски и ответственность на бизнес.
Будущее документа: ратификация и реализация
Конвенция откроется для подписания в 2025 году, а для вступления в силу потребуется ратификация 40 государствами. Процесс растянется на годы.
Россия, как активный участник переговоров, вероятно, поставит подпись. Однако ратификация — вопрос иной сложности. Потребуется тщательный анализ соответствия механизмов конвенции, особенно в части прямых запросов к провайдерам и суверенитета данных, национальному законодательству и интересам безопасности.
Итогом может стать не единое правовое поле, а система с двумя параллельными режимами: обновлённой Будапештской конвенцией и новой Конвенцией ООН. Для глобально работающих IT-компаний это означает жизнь в условиях усложнённой паутины взаимопересекающихся юрисдикций. Реальное сотрудничество, как и прежде, будет зависеть не от текста конвенции, а от доверительных отношений между конкретными ведомствами, в то время как документ создаст новый уровень бюрократической нагрузки и правовой неопределённости.