Резюме
Нарастващото използване от страна на правителствата на търговски шпионски софтуер и други видове технологии за наблюдение представлява значителна заплаха за човешките права в световен мащаб. Полицейските служби и службите за сигурност в много страни използват подобни технологии срещу активисти, журналисти, хуманитарни работници, академични среди и други критични гласове. Това подкопава демократичните институции, свива гражданското пространство, нарушава неприкосновеността на личния живот и други права на жертвите, а в много случаи застрашава и физическата им сигурност.
Европейският съюз (ЕС), в чиито държави членки са базирани много от компаниите, разработващи и изнасящи подобни технологии по целия свят, е част от проблема. Въпреки регулаторната рамка, създадена отчасти с цел предотвратяване на злоупотреби, в момента ЕС прави твърде малко, за да спре продажбите и трансферите от своите държави членки към правителства с история на използване на такива технологии за потушаване на инакомислието и други сериозни нарушения на правата. Технологиите за наблюдение се използват за компрометиране на възможността за свободна и безопасна работа, както и за защита на източниците – особено на защитниците на правата на човека, журналистите и други лица, чиято дейност е фокусирана върху разкриването на злоупотреби, корупция и други престъпления както в публичния, така и в частния сектор.
Произведените в ЕС технологии за наблюдение се използват в десетки страни по целия свят, както и от държави в самата Европа, а Съюзът е домакин на голяма част от компаниите за наблюдение, развиващи дейност в глобален мащаб: мнозинството от държавите членки на ЕС имат поне една компания за технологии за наблюдение, развиваща дейност на тяхна територия. В доклад от 2024 г. на Групата за анализ на заплахите на Google (Threat Analysis Group) относно индустрията за търговско наблюдение, всички споменати компании, с изключение на две, са базирани в ЕС.
През 2021 г. ЕС прие преработен текст на предходно законодателство – знаковия Регламент за изделията с двойна употреба (наричан накратко „Преработения регламент“), чиято цел отчасти бе да обуздае износа на технологии с двойна употреба (технологии, които могат да се използват както за граждански, такъв и за военни цели), включително на технологии за търговско наблюдение. Новият контрол върху технологиите за наблюдение съдържаше три ключови елемента: разширено определение, базирано на риска от вреди, за това кои продукти съставляват технология за наблюдение и подлежат на регулиране, включващо разпоредба с общо приложение („catch-all“), изискваща от компаниите да получават разрешения за потенциалния износ на невключени в списъците технологии за наблюдение, които отговарят на определението; изискване изнасящите страни да вземат предвид историята на страните по местоназначение по отношение на човешките права и потенциала за злоупотреби; както и изискване за отчетност и прозрачност, според което държавите членки на ЕС трябва да събират данни за своя износ на изделия за кибернаблюдение и да ги предават на Европейската комисия за включване в годишен публичен доклад. Тези разпоредби имаха за цел да засилят надзора и да предотвратят износа на технологии за наблюдение към страни, където те биха могли да бъдат използвани за извършване на или съучастие в погазване на правата на човека.
Настоящият доклад оценява как тези реформи функционират на практика. Нашият анализ на публичните доклади на Европейската комисия и данните, получени чрез заявления за достъп до информация (или свобода на информацията, или достъп до документи), показва сериозни недостатъци в настоящия подход на ЕС. Един от проблемите е със самия преработен регламент: той не стига достатъчно далеч. По-конкретно, изискването държавите членки на ЕС да „вземат предвид“ състоянието на правата на човека в дадена дестинация за износ е недостатъчно, за да предотврати износа към дестинации, където е вероятно той да бъде използван за нарушаване на права. Недостатъчни са и мерките за надлежна проверка във връзка с правата на човека на компаниите за наблюдение. Друг проблем, върху който се фокусира този доклад, е, че характеристиките на преработения регламент, свързани със защитата на правата, макар и с техните ограничения, са били подкопани от насоките, разработени от Европейската комисия за тълкуване на прилагането на регламента. Тези насоки, публикувани през януари 2024 г., силно ограничават въздействието на разпоредбите за докладване и прозрачност от преработения регламент. Резултатът е, че държавите членки на ЕС продължават да изнасят опасни технологии за наблюдение в страни, където те вероятно са допринесли за злоупотреби.
Настоящият доклад е разделен на четири части. Първата проследява произхода и целите на Преработения регламент, които по-специално включват предотвратяване на износа на изделия за кибернаблюдение, за които има вероятност да бъдат използвани по начин, нарушаващ международното хуманитарно право (МХП) или правото в областта на човешките права. В нея подробно се описват съответните разпоредби на Преработения регламент, както и изявленията на длъжностни лица относно защитните механизми за правата на човека, направени при неговото приемане. Тази част също така обобщава слабите страни на регламента от гледна точка на правата на човека, като се опира отчасти на предходни доклади на Human Rights Watch и други организации.
Втората част се фокусира върху правно необвързващите насоки, публикувани през януари 2024 г. от Европейската комисия с цел подпомагане на прилагането на Преработения регламент. Тя описва подробно как това тълкуване е изпразнило от съдържание обещанието за защита на правата, което все още се съдържа в регламента. Ключов извод е, че изискванията за прозрачност, заложени в Преработения регламент и приложени на практика чрез насоките от януари 2024 г., са толкова слаби, че докладваното от Европейската комисия не позволява да се направи смислена оценка дали на практика регулаторната рамка постига своите цели в областта на човешките права. В резултат на тази слабост се наложи Human Rights Watch да прибегне до искания за достъп до информация на национално ниво в държавите от ЕС, за да се опита да идентифицира будещи безпокойство случаи на износ и да оцени дали се осъществява износ, водещ до злоупотреби.
Третата част описва резултатите от усилията на Human Rights Watch — чрез искания за достъп до информация до всяка държава членка на ЕС — да конкретизира и допълни ограничената информация, публично докладвана от Европейската комисия съгласно Преработения регламент. Едно от констатациите е, че държавите членки на ЕС редовно изнасят технологии за наблюдение към дестинации с добре документирана история на нарушения на правата на човека. Ние открояваме два илюстративни примера, които идентифицират подобни трансфери: износ на технологии за наблюдение от България за Азербайджан и от Полша за Руанда.
Друга констатация е, че исканията за достъп до информация успяват да запълнят само малка част от празнотите в настоящата отчетност. Това се дължи отчасти на непълните отговори от страна на държавите членки на подобни искания, но също така и в значителна степен на прекомерно всеобхватните позовавания от страна на Европейската комисия и държавите членки на изключения от принципа за прозрачност. Като основания за отказ да се предостави информация се изтъкват аргументи като търговска тайна, национална сигурност и защита на международните отношения – ограничения, които не намират опора в самия текст на Преработения регламент.
Четвъртата част излага съответните международни стандарти в областта на правата на човешка.
Европейската комисия ще започне оценка на преработения Регламент за изделията с двойна употреба през септември 2026 г. За да докажат, че се отнасят сериозно към целите, заявени при приемането на Преработения регламент, институциите на ЕС — Комисията, Парламентът и Съветът — трябва да използват тази възможност за засилване на изискванията за надлежна проверка и прозрачност. По този начин ЕС най-накрая ще ограничи износа си на технологии за наблюдение към правителства по света, които извършват злоупотреби.
Препоръки
Към всички европейски институции
Дължима грижа
- Да се изисква от износителите на технологии за наблюдение да извършват съдържателен процес на надлежна проверка, който включва задълбочена оценка на риска относно възможното използване на тяхното конкретно изделие за улесняване на или съучастие в нарушения на международното право в областта на човешките права и на международното хуманитарно право, както и да се изисква този процес и констатациите от него да бъдат публично оповестявани.
- Да се изисква от износителите изрично да уведомяват държавите членки относно включените в списъците стоки за кибернаблюдение, ако в процеса на надлежна проверка идентифицират риск или открият доказателства за възможна злоупотреба.
- Да се разясни как насоките за лицензиране на изделия с двойна употреба се съгласуват с изменената Директива относно дължимата грижа на дружествата във връзка с устойчивостта, която обхваща изделията с двойна употреба до етапа на процеса по разрешаване на износа.
- Да се изяснят отговорностите на държавите, в случай че решат да предоставят разрешение, въпреки че са били дадени предупредителни сигнали („червени флагове“).
- Да се преразгледат разделите от насоките на Комисията за прилагане на Регламента за изделията с двойна употреба, които се отнасят до спазването на задълженията за правата на човека в контекста на разрешаването на износа и дължимата грижа, така че те да се съгласуват със стандартите, дефинирани в Директивата относно дължимата грижа на дружествата във връзка с устойчивостта (задължение за поведение / средство). Преразгледаните насоки следва също така да определят критерии, приложими за всички заявления за износ на технологии за кибернаблюдение от държави членки на ЕС – независимо дали са включени в списъците или не – и да изяснят кои от тях са задължителни според съответното законодателство.
- Държавите членки и/или дружествата трябва също така да създадат механизми за осигуряване на ефективни правни средства за защита при нарушения на човешките права, извършени чрез трансферираната технология, като за използването и въздействието на тези механизми следва редовно да се докладва на съответните институции на ЕС.
Прозрачност
- Да се осъвременят насоките за отчетност и прозрачност относно износа на технологии за наблюдение с двойна употреба, като се вземе предвид приносът на заинтересованите страни. Като минимум тези насоки следва:
- Да изискват от държавите членки да докладват броя на заявленията за разрешения както за включените в списъците, така и за невключените в тях технологии, като за всяко заявление се предоставя най-малко следната информация: наименование на износителя, описание на крайния потребител и местоназначението, стойност на разрешителното, както и дали то е било предоставено или отказано и какви са мотивите за това.
- Изрично да установят, че гореописаната докладвана информация е обществена и може да бъде предоставяна в отговор на заявления за достъп, както и че спрямо тази информация не се прилагат изключенията по член 4 от Регламент 1049/2001 на ЕС.
- Да се започне процеса по оценка, предвиден в член 26, параграф 4 от Регламент (ЕС) 2021/821, в рамките на законово установения срок, и да се гарантира, че този процес осигурява съдържателно участие на всички заинтересовани страни, включително на организациите за защита на човешките права и други организации на гражданското общество.
Към държавите членки на ЕС
- Националните органи по разрешаване на износа следва да вземат предвид историята по отношение на човешките права на страните получатели и на крайните потребители (независимо дали са държавни или недържавни субекти) и да предприемат действия въз основа на констатации или предупредителни сигнали („червени флагове“), като отказват издаването на разрешения за износ на технологии за кибернаблюдение.
- Националните органи следва да докладват за дейностите по изпълнението на отговорностите и задълженията за дължима грижа и да насърчават всички дружества да информират обществеността за обхвата, естеството и приложимите констатации от приложените от тях процедури за дължима грижа във връзка с правата на човека.
- Националните органи следва да спазват законите за прозрачност и достъп до документи по отношение на исканията за данни за износа и да не се позовават на широкообхватни изключения от принципа за прозрачност, като например търговска или държавна тайна в областта на отбраната, национална сигурност или защита на международните отношения.
Методология
Настоящият доклад се основава на изследване, проведено между ноември 2024 г. и февруари 2026 г. Human Rights Watch изпрати заявления за достъп до информация до органите за разрешаване на износа във всяка от 27-те държави членки на ЕС, както и до Европейската комисия, искайки данни за разрешенията, докладвани от държавите членки на Европейската комисия за изготвянето на годишния доклад по член 26 от преработения Регламент за изделията с двойна употреба. Текстът на тези заявления следваше езика на Преработения регламент, като изискваше информация относно разрешаването на износа на изделия за кибернаблюдение, включително броя на получените заявления по видове изделия, местоназначение, както и взетото решение по тези заявления.
В зависимост от държавата, заявленията за достъп до информация бяха изпратени до министерства на вътрешните работи, министерства на външните работи или други институции, които отговарят конкретно за разрешаването на износа на стоки с двойна употреба. В повечето случаи, в които органите по износа първоначално отказваха достъп до изисканата информация, Human Rights Watch изчерпа наличните национални механизми за обжалване за получаването на тези данни.
Human Rights Watch публикува получените необработени данни в интернет на github.com/HumanRightsWatch/EU-surveillance-export-data.
Ние също така анализирахме частите от Преработения регламент от 2021 г., които се отнасят до „изделията за кибернаблюдение“, както и два набора от насоки, издадени от Европейската комисия, относно отчетността за прозрачност и дефинирането на изделията за кибернаблюдение. Целта беше да се оцени как европейските институции прилагат елементите на регламента, които уреждат дължимата грижа по отношение на правата на човека и задълженията за прозрачност за институциите на ЕС и държавите членки. Human Rights Watch също така проведе подробни разговори с повече от дузина експерти по експортен контрол и по законодателния процес в ЕС, довел до Преработения регламент, както и по въпросите на разпространението на технологиите за наблюдение и правото на неприкосновеност на личния живот.
Human Rights Watch изпрати писма до Европейската комисия, органите за разрешаване на износа и съответните министерства в България, Полша и Швеция, службите за държавна сигурност и съответните министерства в Азербайджан, Индия и Руанда, както и до компаниите Circles и MSAB на 13 и 15 април. Получихме писмени отговори от Европейската комисия и от министерствата на икономиката и индустрията и на икономическото развитие и технологиите съответно в България и Полша, както и от Инспектората за стратегически продукти (ISP) – шведският орган, отговорен за експортния контрол на повечето изделия с двойна употреба. Съответните части от тези отговори са отразени в доклада. Отговорите са на разположение в пълния си текст в Приложение I, Приложение II, Приложение III и Приложение IV.
Това изследване продължава и в момента: Human Rights Watch, съвместно с партньорски организации, разработва механизъм за мониторинг от страна на гражданското общество. Целта му е да продължи да изисква тези данни от държавите членки на ЕС и от Европейската комисия, както и да продължи провеждането на местни изследвания в държавите, които получават разработени в ЕС технологии за наблюдение.
Произход на Преработения регламент, ключови разпоредби, слабости
Пътят към Преработения регламент
Държавите от ЕС имат дълга история на износ на технологии за наблюдение към правителства, които ги използват за нарушаване на права.[1] В началото на второто десетилетие на XXI век (около 2010 г.) изследователи в областта на сигурността започнаха да документират случаи на използване на разработен в Европа шпионски софтуер в страни с лоша репутация по отношение на човешките права.
През 2013 г. изследователи откриха доказателства, че софтуерът за наблюдение FinFisher на компанията Gamma International – който може да атакува мобилни телефони с цел извличане на контакти, текстови съобщения, имейли, местоположения, снимки и други данни, както и да записва разговори – в крайна сметка е бил използван от правителствата в Египет, Бахрейн, Туркменистан и Мианмар, наред с други държави.[2] По това време Gamma International отрече идентифицираните продукти да са част от линията FinFisher.[3]През 2014 г. Human Rights Watch документира, че етиопското правителство е използвало както FinFisher, така и шпионския софтуер Remote Control System (RCS) на базираната в Италия компания Hacking Team (който осигурява достъп до компютри и смартфони в реално време) срещу членове на опозиционни групи и журналисти в чужбина.[4]През 2012 г. изследователи в областта на сигурността също така установиха, че Обединените арабски емирства (ОАЕ) са използвали софтуера и на двете компании, за да атакуват известния емирски активист Ахмед Мансур, който в момента излежава несправедлива 15-годишна присъда.[5]
Четирима ръководители от френската фирма, известна тогава като Amesys (която по-късно стана Nexa Technologies), бяха привлечени като обвиняеми през 2021 г. от съд в Париж за „съучастие в актове на изтезание“ във връзка с ролята на техния шпионски софтуер за улесняване на нарушения на правата на човека в Либия и Египет в края на първото и началото на второто десетилетие на XXI век.[6] Тези дела все още продължават, а ръководителите отричат обвиненията.
По това време съюзната рамка за контрол на търговията със стоки с двойна употреба беше Регламентът на ЕС за изделия и технологии с двойна употреба от 2009 г. (428/2009), който включваше контролния списък от Васенаарската договореност – въвеждаща международен режим за контрол на износа и трансфера на стоки с двойна употреба.[7]По това време списъкът на регулираните стоки от Васенаарската договореност не включваше специфични категории технологии за кибернаблюдение.
Един из между първите опити за регулиране на световната индустрия за наблюдение беше актуализацията на Васенаарската договореност от 2013 г., целяща да обхване „софтуера за проникване“ и „системите за мрежово наблюдение“.[8]Това се случи след разкритията за използването и злоупотребата с технологии за наблюдение, изнасяни от ЕС, от страна на силите за сигурност в страни от Северна Африка,[9]както и след кампания за оказване на натиск от страна на коалиция от организации за защита на неприкосновеността на личния живот и правата на човека, включително Human Rights Watch.[10]
Промяната в контролния списък от Васенаарската договореност означаваше, че износителите на софтуер за проникване и системи за мрежово наблюдение ще трябва да кандидатстват за разрешения от съответните национални правителства на участващите държави, за да продават или трансферират такива технологии. Макар и важна първа стъпка, тази класификация имаше ограничена способност действително да ограничи продажбата и трансфера на технологии за наблюдение. Васенаарската договореност няма правнообвързващ характер и се ограничава само
до 42-те участващи правителства. От всеки национален регулатор зависи да реши дали и как да я прилага, а законите, уреждащи износа на средства за наблюдение, се различават съществено в отделните държави.
През 2011 г. ЕС започна процеса по осъвременяване на своя режим за експортен контрол, както беше предвидено в Регламента за изделията и технологиите с двойна употреба от 2009 г. Тази промяна ставаше все по-належаща с разкриването на все повече случаи, при които технологии за наблюдение, разработени в държави от ЕС, се използват за нарушаване на права.
Европейският парламент също настояваше за тези промени. В доклад от 2012 г. на Комисията по външни работи на Парламента се отправя призив към Комисията да внесе предложение за нов регламент:
изискващ по-голяма прозрачност и отчетност от страна на установените в ЕС дружества, както и оповестяване на техните политики за оценка на въздействието върху правата на човека, с оглед подобряване на наблюдението върху износа на ИКТ, продукти и услуги, насочени към блокиране на уебсайтове, масово наблюдение, проследяване и мониторинг на отделни лица, [и] проникване в лични (имейл) разговори или филтриране на резултатите от търсенето…[11]
В резолюция на Европейския парламент от 2015 г. се отбелязва, че по това време установените в ЕС дружества са съставлявали значителен дял от глобалния пазар за износ на „технологии за наблюдение, проследяване, проникване и мониторинг“.[12] С резолюцията се отправя призив към Европейската комисия да предложи нови политики за ограничаване и регулиране на технологиите с двойна употреба.
През 2016 г. Европейската комисия представи законодателно предложение за това, което в крайна сметка щеше да се превърне в преработения Регламент за изделията с двойна употреба.[13] В предложението се посочваше, че европейски технологии за наблюдение са били изнасяни за репресивни режими и зони на конфликт, където са
били използвани срещу дисиденти и правозащитници, както и за други форми на вътрешна репресия. В предложението се подчертаваше, че износът на технологии за кибернаблюдение при такива условия създава риск за сигурността на тези лица и за защитата на основните човешки права, като например правото на неприкосновеност на личния живот и защитата на личните данни, свободата на изразяване на мнение, свободата на сдружаване, както и, косвено, правото на защита от произволен арест и задържане или правото на живот.
Законодателното предложение на Комисията включваше също така и план за осигуряване на прозрачност по отношение на експортния контрол чрез публикуване на годишни доклади. Според документа това щеше да „позволи на организациите на гражданското общество да допринасят изцяло за формулирането и прилагането на политиката за експортен контрол“. Ролята на прозрачността за повишаване на обществената осведоменост и улесняване на работата на организациите на гражданското общество беше представена в документа като важен механизъм за осигуряване на обществена отчетност за този износ.
След години на преговори между Европейската комисия, Съвета и Парламента, през май 2021 г. ЕС прие знаково ново законодателство, което допълнително регулира износа на изделия с двойна употреба от държавите членки на ЕС и по-специално на някои особено вредни видове технологии за наблюдение. Новият регламент се появи тъкмо когато през юли 2021 г. започнаха да се разкриват факти, че шпионският софтуер Pegasus, разработен и продаван от базираната в Израел компания NSO Group, е бил използван за наблюдение на десетки журналисти, правозащитници и други лица по целия свят. В отговор институциите на ЕС сформираха комисия за разследване на използването на Pegasus и други видове технологии за наблюдение и започнаха да работят съвместно с журналисти и организации на гражданското общество за по-нататъшно документиране на случаи на нанесени вреди.
Този регламент – Регламент 2021/821, по-известен като преработения Регламент за изделията с двойна употреба от 2021 г. („Преработения регламент“) – влезе в сила на 9 септември 2021 г.[14] Съгласно графика за изпълнение, включен в регламента, Комисията трябва да започне оценка на Преработения регламент през септември 2026 г., въпреки че в писмен отговор до Human Rights Watch Комисията заяви, че ще стартира процеса още през май 2026 г.
По времето, когато Преработеният регламент беше приет, организациите на гражданското общество изразиха загриженост, че той не отива достатъчно далеч в предотвратяването на износа на технологии за наблюдение от държавите членки на ЕС към страни, в които е налице вероятност с тях да бъде злоупотребено.
Преработеният регламент установи три важни правила за оценка и прозрачност, отнасящи се за разрешенията за износ от ЕС:
• Преработеният регламент, използвайки определение, което поставя в центъра потенциала на дадена технология за нанасяне на вреда, разшири видовете регулиран износ на технологии за кибернаблюдение, включително чрез разпоредбата с общо приложение („catch-all“ clause)[15] за технологии за наблюдение, които не са включени в контролния списък от Васенаарската договореност. В миналото правилата за износ се прилагаха само за конкретните технологии за наблюдение, включени в контролния списък на Васенаарската договореност.[16] Това означаваше, че авангардни технологии можеха да останат нерегулирани, докато не бъдат добавени към контролния списък от Васенаарската договореност.
• Преработеният регламент също така създаде задължение за публично отчитане от страна на Европейската комисия. Той изисква от Комисията да събира данни от държавите членки на ЕС относно износа на определени видове технологии за наблюдение и ежегодно да публикува доклад до Парламента и Съвета, в който се описват специфични елементи от тези данни, включително броят на получените заявления за разрешения, видът на съответната технология, дестинацията за износ, както и окончателното решение, взето по всяко заявление. Преработеният регламент също така изрично указва този доклад да бъде публичен.
• Преработеният регламент изрично посочва необходимостта страните износителки да вземат предвид ситуацията с човешките права в страните получателки, когато разглеждат заявление за разрешение за износ, въз основа на критерии, включени в Общата позиция на ЕС. Последната представлява набор от общи правила между държавите членки на ЕС, чиято цел е да се ограничи износа на европейски оръжия и технологии с двойна употреба за места, където те биха могли да бъдат използвани за „вътрешна репресия или международна агресия, или да допринесат за регионална нестабилност“.[17]
Прозрачността е от ключово значение за гарантиране, че износът на технологии за наблюдение не допринася за нарушения на права
Декларирана цел на Преработения регламент е „поддържането на солидни правни изисквания по отношение на изделията с двойна употреба, както и… увеличаването на обмена на съответната информация и по-голяма прозрачност“. В него също така се отбелязва специфичното значение на контрола върху износа на технологии за наблюдение предвид „риска от използването им за вътрешни репресии или за сериозни нарушение на правата на човека и международното хуманитарно право“.[18]
По време на целия законодателен процес по-голямата прозрачност по отношение на износа на технологии за наблюдение и други изделия с двойна употреба беше извеждана на преден план като важен механизъм за обществена отчетност. В дебат в Европейския парламент (ЕП) по проекто-законодателството през 2018 г. евродепутатът Бернд Ланге отбеляза, че осигуряването на публична прозрачност върху износа е приоритет за новия регламент:
В днешно време почти никой не знае какви заявления се подават, кои износи биват одобрявани и кои са забранени. Понякога можете да разберете това чрез парламентарни запитвания – понякога има изтичане на информация. Ние искаме тази информация да бъде оповестявана публично на задължителна тримесечна база. Това вече ще окаже въздействие върху практиката.[19]
По подобен начин евродепутатката Маркета Грегорова отбеляза по време на дебат в Парламента през 2021 г., два месеца преди приемането на Преработения регламент: „Новите правила за износ на технологии за кибернаблюдение, съчетани с новите изисквания за дължима грижа от страна на компаниите и съдържателна прозрачност, взети заедно ще означават, че мощните европейски технологии за кибернаблюдение няма да попаднат в ръцете на диктатори и авторитарни режими.“[20]
Членът на ЕП Грегорова, докладчик за комисията на отговорна за изготвянето на Преработения регламент, описа ролята, която се предвижда за гражданското общество и журналистите при мониторинга за злоупотреби. „В това отношение не мога да пренебрегна и настоящата, и бъдещата роля на гражданското общество…
Обществените стражи и неправителствените организации и журналисти винаги са имали решаваща роля при идентифицирането на проблематични компании и региони. Сега, чрез новите разпоредби за прозрачност, ние развързваме ръцете им за достъп до необходимата информация.“[21]
Член 26 от Преработения регламент също така гласи, че Европейската комисия и Съветът носят отговорност за разработването на насоки, които държавите членки да използват при събирането на данни съгласно същия член.[22] През януари-февруари 2023 г. Европейската комисия проведе обществена консултация, свързана с разработването на тези насоки. На уебстраницата, анонсираща консултацията, Комисията отбеляза, че Регламентът за изделията с двойна употреба налага събирането на определени данни за износа „по съображения за ефективност, съгласуваност и прозрачност“.[23] В резултатите от тази консултация, чиито респонденти бяха предимно от индустрията, гражданското общество и академичните институции, се извежда значението на осигуряването на прозрачност по отношение на износа на изделия с двойна употреба, особено на продукти за кибернаблюдение, по-специално що се отнася до вида на изделието, което ще се изнася, крайния потребител и крайната му употреба.[24] В нито един момент в документа, обобщаващ отговорите от консултацията, не се споменават опасения относно търговската тайна или по друг начин свързани с публичния характер на тази информация. Вместо това Комисията отбелязва следния принос от страна на респондентите от гражданското общество:
… ...докладването на подробна информация относно износа на изделия и технологии с двойна употреба може да даде възможност на заинтересованите страни да получат по-добър надзор върху това как се прилагат механизмите за контрол, въведени от държавите членки. Докладването относно мерките по правоприлагане може също така да предложи по-ясна представа за начина, по който нарушенията на експортния контрол биват откривани, разследвани и преследвани по съдебен ред в ЕС.
Насърчаването на прозрачността в търговията с технологии за кибернаблюдение и стриктното прилагане на съответните изключения от оповестяването се смятат за от решаващо значение за гарантирането, че тези изделия не се използват в трети страни във връзка с вътрешна репресия или извършване на сериозни нарушения на международното право в областта на правата на човека и международното хуманитарно право.[25]
Както е подробно описано по-долу, тези насоки бяха публикувани през януари 2024 г. в документ без правно обвързваща сила, който включва също и примерни формуляри под формата на електронни таблици, които държавите членки на ЕС трябваше да използват за своето отчитане на данни за износа на технологии за кибернаблюдение.[26] В периода между влизането в сила на Преработения регламент и публикуването на настоящия доклад, Комисията е публикувала три доклада, оценяващи неговото изпълнение, и един документ за „статистическа актуализация“ с допълнителни данни за износа. Въпреки че всички доклади съдържат обобщени данни за износа от ЕС на продукти за кибернаблюдение, само два от тях бяха публикувани след като Европейската комисия издаде своите насоки през януари 2024 г.
Видовете технологии за кибернаблюдение, контролирани съгласно Преработения регламент
Преработеният регламент изрично регулира шест категории технологии за кибернаблюдение, взети от контролния списък на Васенаарската договореност, и включва разпоредбата с общо приложение за технологии, които не са включени в списъка. През октомври 2024 г. Европейската комисия публикува втори набор от насоки, свързани с износа на продукти за кибернаблюдение, чиято цел беше да се дефинират конкретните видове технологии за наблюдение, които се категоризират и контролират от Преработения регламент, както и да се разяснят на компаниите критериите, при които разпоредбата с общо приложение би се прилагала спрямо евентуален износ.[27]
Преработеният регламент определя технологиите за кибернаблюдение като „изделия, специално проектирани, за да направят възможно скрито наблюдение на физически лица чрез мониторинг, извличане, събиране или анализиране на данни от информационни и телекомуникационни системи“.[28] Насоките за кибернаблюдение, издадени през октомври 2024 г., внасят яснота в това определение и дефинират списъчния експортен контрол за шест вида технологии за наблюдение: системи за
прихващане на телекомуникации, системи за интернет наблюдение, софтуер за проникване (и свързания с него контрол), софтуер за мониторинг на комуникациите, изделия за извършване на криптоанализ и инструменти за криминалистиката или за разследване.[29]
Шестте категории технологии, включени в насоките на Европейската комисия от октомври 2024 г., са:
Системи за прихващане на телекомуникации: оборудване, което прихваща комуникации и метаданни за тези комуникации (като телефонни номера или идентификатори на абонати), предавани по безжични комуникационни мрежи. Това включва, например, IMSI улавящи устройства (IMSI catchers), които прихващат трафика на мобилните телефони
Системи за наблюдение в интернет: оборудване, което позволява на оператора да анализира, извлича и индексира големи обеми от интернет трафик (съдържание и метаданни) в мрежите на даден телекомуникационен оператор. Тези инструменти позволяват на потребителите да търсят лични идентификатори в индексираните данни или да картографират релационните мрежи (връзките) на дадено лице или група от хора.
Софтуер за проникване: софтуер, който позволява на операторите тайно и дистанционно да осъществяват достъп до електронни устройства, за да получават данни, да проследяват потребители или да подслушват, използвайки вградения микрофон или камери на дадено устройство.
Софтуер за наблюдение на комуникациите: софтуер, предназначен за наблюдение и анализ от страна на оторизираните правоприлагащи органи на данни, събрани при целеви прихващания от телекомуникационни доставчици. Този софтуер използва данни, събрани от системи за прихващане на телекомуникации, и позволява търсене в съдържанието на комуникацията и нейните метаданни.
Изделия за извършване на криптоанализ: софтуер или оборудване, използвани за заобикаляне или преодоляване на заключването и/или криптирането на устройства.[30]
Инструменти за криминалистика или разследване: оборудване или софтуер, използвани за извличане (и често анализиране) на необработени данни от електронни устройства чрез заобикаляне на техните механизми за контрол на сигурността, в много случаи посредством физическа, кабелна връзка с устройството.
Насоките на Европейската комисия за кибернаблюдение от октомври 2024 г. също така установяват критерии за оценка на това дали технологии, които не са изрично включени в списъка на Преработения регламент, въпреки това попадат в обхвата на неговата разпоредба с общо приложение и изискват разрешение за износ от национален орган. Едно от важните съображения е дали въпросната технология може да бъде използвана „във връзка с вътрешни репресии и/или извършване на сериозни нарушения на правата на човека и международното хуманитарно право“. Насоките включват примери за потенциални невключени в списъка технологии, които биха попаднали в тази категория и, съгласно документа, „може да изискват потенциална бдителност“ съгласно Преработения регламент. Примери за такива потенциални невключени в списъка технологии са технологиите за разпознаване на лица и емоции, устройствата за проследяване на местоположението и системите за видеонаблюдение.
Слабости на Преработения регламент: Разпоредбите за дължима грижа се оказват недостатъчни на хартия и на практика
Въпреки че в преамбюла на Преработения регламент изрично се посочва необходимостта страните износителки да вземат предвид зачитането на правата на човека в страните получателки, когато оценяват заявление за разрешение за износ, в самия правнозадължителен текст липсва препратка към международно установената рамка за „надлежна проверка за правата на човека“. Той също така не установява никакъв механизъм за отчитане, чрез който да се наблюдава как националните органи за разрешаване на износа прилагат на практика задълженията за дължима грижа по Преработения регламент и стандартите, които се очаква да прилагат компаниите износителки.
Преработеният регламент обаче препраща към Общата позиция на ЕС от 2008 г. — набор от общи правила между държавите членки на ЕС, чиято цел беше да се ограничи износът на европейско оръжие и технологии с двойна употреба за места, където те биха били използвани за „вътрешна репресия или международна агресия, или биха допринесли за регионална нестабилност“.[31]
За първи път в Европейския съюз Общата позиция имаше за цел да гарантира, че контролът върху износа на стоки с военно предназначение и стоки с двойна употреба предотвратява използването на изнесените технологии от страните получателки за извършване на нарушения на правата на човека, като текстът на Преработения регламент препраща към същите тези задължения в областта на правата на човека. Общата позиция изисква от държавите членки на ЕС да отказват лиценз за износ, ако съществува „ясен риск“ изнасяното изделие да бъде използвано в нарушение на международното хуманитарно право (МХП) или за вътрешна репресия, както и държавите членки да „проявяват специално внимание и бдителност“ при издаването на разрешения за страни, в които институции на ООН или европейски институции са документирали сериозни нарушения на правата на човека.[32]
В преамбюла на Преработения регламент е предвидено, че институциите на ЕС и държавите членки трябва „изцяло да вземат предвид всички съответни съображения“, включително Общата позиция и други международни задължения, когато решават дали да издадат разрешение за износ или не.
Конкретно по отношение на изделията за кибернаблюдение в преамбюла се посочва, че органите на държавите членки „следва да преценят по-специално риска от използването им за вътрешни репресии или за сериозни нарушения на правата на човека и международното хуманитарно право”.[33]
Член 15 от Преработения регламент за изделията с двойна употреба също изрично препраща към Общата позиция, налагайки правно задължение на държавите членки „при вземането на решение дали да предоставят разрешение или да наложат забрана за транзит“ да „вземат предвид всички съответни съображения“, включително международните задължения и ангажименти, националната външна политика и политика на сигурност, обхванати от Общата позиция, както и планираната крайна употреба и риска от отклоняване.
Както бе отбелязано по-горе, член 5 също така включва така наречената „разпоредба с общо приложение“, изискваща разрешения за износ на изделия за кибернаблюдение — дори ако технологията не е изрично включена в списъка като изискваща регулиране — ако те „са или могат да бъдат предназначени, изцяло или частично, за употреба, свързана с вътрешни репресии и/или за извършване на сериозни нарушения на правата на човека и международното хуманитарно право“.[34] Член 5 прехвърля голяма част от тежестта върху износителя, който трябва да уведоми компетентния орган за риска, свързан с правата на човека, въз основа на собствената си надлежна проверка за правата на човека, и да поиска разрешение, което обаче не е в негов интерес да направи.
Тази разпоредба с общо приложение разчита на това, че износителите ще извършват надлежна проверка като дължима грижа, ограничена до „мерки за скрининг на сделките“ (transaction-screening measures), които са дефинирани и подробно разяснени в насоките за кибернаблюдение от октомври 2024 г.[35] Насоките за кибернаблюдение призовават износителите, но не ги задължават, да изследват начина, по който крайните потребители възнамеряват да използват продуктите, и да оценяват дали техните продукти биха могли да бъдат използвани или да съставляват част от система, използвана за:
извършване на вътрешни репресии, нарушаване или злоупотреба с права на човека, включително правото на живот, правото на защита от изтезания, нечовешко или унизително отнасяне, правото на неприкосновеност на личния живот, правото на свобода на изразяване на мнение, на събранията и сдруженията, правото на свобода на мисълта, съвестта и религията, правото на равно третиране или забрана на дискриминацията или правото на свободни, равноправни и тайни избори.
Този раздел от насоките относно кибернаблюдение очертава поредица от примерни „червени флагове“ (сигнали за опасност), за които износителите следва да следят, без да са длъжни да го правят, и при чието установяване трябва да информират националните органи. Тези сигнали са свързани предимно с потенциална или минала употреба във връзка със сериозни нарушения на правата на човека, международното хуманитарно право (МХП) или в нарушение на националното законодателство. Съгласно насоките за кибернаблюдение, тези „червени флагове“ „показват, че износът може да е предназначен за неподходяща крайна употреба, краен потребител или местоназначение“.
Въпреки че Преработеният регламент не задължава износителите да търсят рискове, някои национални органи препоръчват те да го правят. В информационна брошура относно член 5 от Регламента за изделията с двойна употреба, издадена от германския орган за експортен контрол — Федералната служба за икономика и експортен контрол (BAFA), се посочва, че „износителите не трябва съзнателно да пренебрегват явни индикации; неправомерно е и може да се равнява на съзнателно знание умишлено да се отклонява поглед и съзнателно да се пропуска очевидна възможност да се забележи нещо, което всеки друг в такова положение би възприел. Пълният отказ от провеждане на надлежна проверка по дължима грижа е неправомерен („пасивността не защитава“)“.
Положително явление е, че текстът на Преработения регламент, както и двете насоки на Европейската комисия от януари и октомври 2024 г., съдържат формулировки, в които се споменават съображенията за правата на човека и дължимата грижа при износа. Както обаче разкриват годишните доклади на Комисията и данните за износа на държавите членки, изискванията за дължима грижа не са достатъчно строги, за да предотвратят износа на технологии за наблюдение на правителства, за които има вероятност да злоупотребят с тях.
Тълкуването на Преработения регламент от страна на Европейската комисия подкопава неговото обещание за защита на правата
Насоките на Европейската комисия от януари 2024 г. предефинират прозрачността
Европейската комисия изтълкува наново задълженията за прозрачност по Преработения регламент за изделията с двойна употреба по начин, който подкопава целта на самия регламент, а докладите за прозрачност до момента не предоставят достатъчно подробности, за да улеснят контрола, необходим за оценка на това дали регламентът постига търсения ефект.
Член 26, параграф 2 от Преработения регламент предвижда:
Комисията, след консултации с координационната група по въпросите на изделията с двойна употреба представя на Европейския парламент и на Съвета годишен доклад относно изпълнението на настоящия регламент и относно работата, извършените проверки и консултации на координационната група по въпросите на изделията с двойна употреба. Този годишен доклад е публично достъпен.
Годишният доклад включва информация за разрешенията (по-специално техния брой и стойността им по видове изделия и по местоназначения на равнището на Съюза и на равнището на държавите членки), за отказите и забраните съгласно настоящия регламент. Годишният доклад включва също така информация относно администрацията (по-специално персонала, дейностите по постигане на съответствие и информационните дейности, специалните инструменти за лицензиране или класифициране) и прилагането на контрола (по-специално броя на нарушенията и санкциите).
По отношение на изделията за кибернаблюдение годишният доклад включва конкретна информация относно разрешенията, по-специално относно броя на получените заявления по изделия, издаващата държава членка и местоназначенията, за които тези заявления се отнасят, както и относно взетите по тях решения…
Преработеният регламент дефинира прозрачността по отношение на износа на стоки за кибернаблюдение като предоставяне на информация относно видовете технологии, които държавите членки на ЕС изнасят, и държавите, на които тези технологии са били продадени. Това съответства на вида и степента на прозрачност, заложени в законодателното предложение, както и на изявленията на ключови законодатели, участвали в изготвянето на регламента. Преработеният регламент не изисква разкриването на компанията, продаваща технологията, нито на наименованието на продадения продукт.
В член 26, параграф 2 също така се посочва, че подробностите относно прилагането на раздела за прозрачност от Преработения регламент трябва да бъдат разработени от Европейската комисия и Съвета: „Комисията и Съветът предоставят насоки относно методологията за събиране и обработка на данни за изготвянето на годишния доклад, включително определянето на видовете изделия и наличието на данни за правоприлагането.“
През януари 2024 г. Европейската комисия публикува насоки именно с тази цел, детайлизиращи информацията, която трябва да бъде включена в изискванията на член 26 за годишния доклад, както и методологията за нейното събиране.[36] Тези насоки нямат правно обвързващ характер за държавите членки, но предоставят авторитетно ръководство за държавите при изпълнението на техните отговорности за отчитане съгласно член 26. Насоките обаче дефинират изискванията за прозрачност по начин, който подкопава целта на Преработения регламент да гарантира, че изнасяните технологии с двойна употреба не се използват за извършване на нарушения на правата.
Една на пръв поглед малка, но съществена разлика, която се прилага за целия износ на стоки с двойна употреба, а не само за технологиите за кибернаблюдение, е, че насоките указват на държавите членки да изброяват отделно технологиите и отделно държавите, за които са били изнесени, което често прави невъзможно да се определи кои технологии за кои държави са заминали.
Съответната разпоредба от насоките гласи следното: „Формулировката ‚по видове изделия и по местоназначение‘ в член 26, параграф 2, втора алинея … трябва да се разбира като изискване към [държавите членки] за докладване на разрешенията по местоназначение и отделно по видове изделия…“[37]
В самия Преработен регламент липсва каквото и да е указание, че идентификацията на технологиите и страните, за които са изнесени, трябва да се изброяват отделно; вместо това той призовава Комисията да включи в своя доклад „информация за разрешенията (по-специално брой и стойност по видове изделия и по местоназначение на равнище Съюз и държави членки)…“
Втора разлика е, че насоките от януари 2024 г. тълкуват изискването за прозрачност по Преработения регламент, приложимо конкретно за изделията за кибернаблюдение, по начин, който също обезсилва целта да се хвърли светлина върху продажбите на потенциални нарушители на права. Текстът на Преработения регламент гласи: „По отношение на изделията за кибернаблюдение годишният доклад включва конкретна информация относно разрешенията, по-специално относно броя на получените заявления по изделия, издаващата държава членка и местоназначенията, за които тези заявления се отнасят, както и относно взетите по тях решения.“
Буквалното четене на тази разпоредба от Преработения регламент — и тълкуването, което в най-голяма степен съответства на неговите цели и на изявленията, направени от законодателите относно неговия смисъл при приемането му — е, че тази информация трябва да бъде представена заедно, така че читателите на годишните доклади да знаят кои технологии на кои страни са били предоставени.
Насоките от януари 2024 г. обаче изискват от държавите членки да предоставят само отделно изброени и обобщени данни, които не биха позволили на читателите да свържат продажбите на конкретни технологии с конкретни страни получателки. В насоките се посочва, че годишният доклад ще включва специален раздел синформация за изделията за кибернаблюдение, който „ще включва броя на получените от държавите членки заявления, както и списъка на всички местоназначения, за които се отнасят тези заявления, и съответните държави членки. Формулировката „взетите по [тези заявления] решения“ се тълкува като разрешение или отказ/забрана, като тази информация ще бъде изразена като обща стойност за ЕС за всички съответни изделия за кибернаблюдение.“
По този начин насоките на Европейската комисия от януари 2024 г. предефинират вида прозрачност, изискван от Преработения регламент, като разделят отчитането на вида на изнесената технология от страните, за които е изпратена — въпреки изричните указания в противния смисъл в текста на самия Преработен регламент, че това не е търсеният резултат.
Чрез разделянето на данните за изнасяните изделия и тяхното местоназначение и чрез новото изтълкуване на едно правно изискване с цел публикуване на обобщени данни, вместо на конкретна информация по категории, свързана с изделията за кибернаблюдение, Европейската комисия направи невъзможно свързването на износа с потенциални вреди и подкопа една от ключовите цели на Преработения регламент от 2021 г.
Неоснователните опасения относно конфиденциалността на износителите възпрепятстват същинската прозрачност
В насоките от януари 2024 г. Европейската комисия обосновава този нов прочит на текста на Преработения регламент, като пише, че „[т]ова тълкуване се счита за съобразено с необходимостта от защита на чувствителна информация съгласно член 26, параграф 3 и необходимостта да се избегне рискът от подкопаване на ограничителните решения за издаване на разрешения в Съюза“.[38]
В бележка под линия към същия параграф се посочва също: „Комбинирането на данни за разрешенията по местоназначение и по видове изделия в една таблица много вероятно би довело до съществени нарушения на конфиденциалността на износителите или би могло да подкопае ограничителните решения за издаване на разрешения в ЕС.“[39]
В писмен отговор до Human Rights Watch Комисията заявява, че насоките за прилагане от 2024 г. замъгляват данните за износа поради опасението, „че към момента на приемане на Препоръката само ограничен брой компании са извършвали дейност по износ на такива изделия, като по този начин потенциално се нарушава търговската конфиденциалност или се разкрива тяхната идентичност“.
Не е ясно как публикуването на данни, които Преработеният регламент изрично изисква да бъдат публично оповестени, би нарушило конфиденциалността на износителите, би разкрило тяхната идентичност или би подкопало ограничителните решения за издаване на разрешения. Разпоредбата, цитирана от Комисията — член 26, параграф 3 — не ограничава това, което Европейската комисия може да прави с данните, надлежно изпратени до нея съгласно Преработения регламент (и по-специално какво може или не може да включва в годишните доклади), а вместо това изглежда има за цел да гарантира, че данните, изпратени от държавите членки към ЕС, не влизат в противоречие с националните закони за прозрачност. Разпоредбата гласи следното:
Държавите членки предоставят на Комисията цялата съответна информация за изготвянето на доклада, като надлежно отчитат правните изисквания относно защитата на личната информация, чувствителната търговска информация или защитената информация, свързана с отбраната, външната политика или националната сигурност. [40]
Тази разпоредба наподобява формулировки от европейското и националното законодателство за прозрачност, които уреждат достъпа до официални документи.[41] Държавите членки на ЕС имат сходно формулирани регламенти за прозрачност, чрез които хората — понякога ограничени само до граждани или пребиваващи лица — могат да изискват документи от публични институции. Тези закони очертават процедурите за изискване на документи, сроковете за отговор и процедурите за обжалване на решенията.
Тези закони за прозрачност също така очертават поредица от изключения от правото на информация, съгласно които националните или европейските институции могат законно да отказват предоставянето на информация в отговор на искания за документи. Тези изключения обикновено са свързани със защитата на личната информация, търговската тайна и информацията, чието разкриване би могло да навреди на интересите в областта на отбраната, националната сигурност или международните отношения на дадена държава.
Като предвиждат цялата информация, изпращана от органите за издаване на разрешения на държавите членки до Европейската комисия, да бъде подготвяна „при надлежно отчитане“ на законовите изисквания относно разкриването на защитена информация, авторите на Преработения регламент са гарантирали, че тази информация — която се събира единствено с цел включването ѝ в предназначен за обществеността годишен доклад — няма да съдържа никаква защитена информация.
Друго възможно основание за изискването за замъгляване на данните, заложено в насоките на Комисията от януари 2024 г., произтича от по-общи разпоредби, уреждащи поверителността на данните и статистиката, но съответното законодателство и регламенти на ЕС изглежда също не го изискват. В член 26, параграф 3 също така се посочва, че „Регламент (ЕО) № 223/2009 на Европейския парламент и на Съвета относно европейската статистика се прилага за информацията, която се обменя или публикува съгласно настоящия член“. Регламент № 223/2009 урежда събирането и отчитането на статистически данни в Европейския съюз.[42] Въпреки че този регламент съдържа специфични текстове, целящи да предотвратят разкриването на поверителни данни, неговите разпоредби категорично сочат, че видът данни, които Преработеният регламент изисква от държавите членки на ЕС да докладват, не попадат в тази дефиниция.[43]
Член 3 от Регламента за статистиката определя „поверителни данни“ като „данни, които позволяват разпознаването на статистическите единици, независимо дали пряко или непряко, като по този начин се оповестява индивидуална информация“. Същият член определя „статистическа единица“ като „основната единица за наблюдение, а именно физическо лице, домакинство, икономически оператор и други предприятия, посочвани в данните“.[44]
Следователно, в контекста на износа на стоки за кибернаблюдение, една статистическа единица би следвало да включва идентифицираща информация, като например имената на конкретни компании или лица. Такава информация, макар и да се съхранява от националните органи за издаване на разрешения за износ, не е включена в изискванията за отчитане по Преработения регламент и държавите членки не я предоставят на Комисията съгласно задълженията си по него.
Вместо това Преработеният регламент изисква докладването на статистически данни, свързващи държавата членка износител, вида на изнасяната технология и държавата по местоназначение. Тази информация не би била квалифицирана като поверителна информация съгласно Регламент (ЕО) № 223/2009.
Поради това Насоките от януари 2024 г. възприемат неоправдано тясно тълкуване на член 26, параграф 3, което позволява на държавите членки и на Европейската комисия да обосновават запазването в тайна на информация, която би следвало да бъде публично достъпна.
The January 2024 Guidelines therefore adopt an unjustifiably narrow interpretation of article 26(3), allowing member states and the European Commission to justify keeping confidential what should be publicly available.
Форми за отчитане, които ограничават прозрачността
В насоките от януари 2024 г. Европейската комисия също така е оформила начина, по който държавите членки на ЕС трябва да изпълняват своите отговорности за отчитане, свързани с изделията за кибернаблюдение, като за тази цел е предоставила поредица от шаблони на електронни таблици.
Националните органи по издаването на разрешения са били инструктирани да попълнят поредица от четири електронни таблици, съответстващи на общия брой заявления за разрешения по категории технологии за кибернаблюдение, общия брой заявления за разрешения по местоназначение, общия брой на разрешенията, които са били предоставени, и общия брой на отказаните заявления за разрешения, както и стойността в евро на тези откази. [45]
Тези електронни таблици издигат редица пречки пред същинската прозрачност по отношение на европейския износ на технологии за наблюдение. Прозрачността в този контекст, както и според формулировката и целите на Преработения регламент, би трябвало да позволи на читателите на годишните доклади да знаят какви видове технологии са изпратени от кои държави членки на ЕС за кои трети страни. Чрез разделянето на тези данни на части Европейската комисия ограничи възможността на обществеността да упражнява контрол върху европейския износ на технологии за наблюдение.
Друг недостатък е, че електронните таблици изискват от държавите членки да посочват единствено заявленията — а не разрешенията — по местоназначение и по вид технология. Само данните за разрешенията обаче показват реална продажба, а информацията за разрешенията се предоставя в обобщен вид. Това създава още една пречка пред възможността на обществеността да свързва продажбите на конкретни видове технологии с конкретни държави на местоназначение, а оттам — и пред отчетността. Това също така пречи на износителите и на държавите, издаващи разрешенията, да идентифицират съществуващите рискове, когато тези инструменти за наблюдение са били свързани от крайните потребители с правонарушения и вреди, и подкопава ключов елемент от Преработения регламент за изделията с двойна употреба: способността на обществеността да гарантира, че технологии, разработени в ЕС, не се изнасят за дестинации, където биха могли да допринесат за злоупотреби.
Насоките на Комисията също така обвързват стойността в евро единствено с общия брой на отказаните заявления. Това подхранва тезата, че вследствие на регламента ЕС пропуска потенциални продажби и износ, докато в същото време не се показва степента, в която европейските компании печелят от злоупотреби. Включването на стойността в евро на предоставените разрешения би дало на обществеността много по-добра представа за технологиите, които страните от ЕС изнасят.
Информацията в годишните доклади за прозрачност на Европейската комисия е недостатъчна
Към момента на изготвяне на настоящия текст Европейската комисия е публикувала три годишни доклада относно прилагането на Преработения регламент за стоките с двойна употреба, както и един документ със „статистическа актуализация“. Първите два годишни доклада, публикувани съответно през ноември 2021 г.[46] и септември 2022 г.,[47] излязоха преди Европейската комисия да е финализирала своите насоки от 2024 г.
И двата доклада включват обобщени данни за износа, които Европейската комисия е получила от държавите членки през годините преди влизането в сила на Преработения регламент. Данните, обхванати в тези доклади, се отнасят за периода 2014–2020 г. и проследяват общия износ на три вида изделия за кибернаблюдение. Информацията, публикувана в тези доклади, далеч не отговаря на изискванията за прозрачност на Преработения регламент: представянето на данните за износа в обобщен вид и без връзка между страната износител и местоназначението е в състояние да покаже само по-мащабните тенденции в цяла Европа, но не осигурява степента на информираност и отчетност, изисквана от Преработения регламент.
Третият доклад[48] беше публикуван през януари 2025 г. – с повече от една година по-късно от предвиденото в графика на Комисията. Това беше първият годишен доклад, публикуван след като Комисията издаде своите насоки, и включваше малко по-изчерпателни данни за износа, отнасящи се единствено за 2022 г. През юли 2025 г. Европейската комисия публикува „статистическа актуализация на контрола върху износа на стоки с двойна употреба“, която включваше данни за износа от 2023 г. в същия формат като доклада от януари 2025 г.[49] Всеки от двата документа включва общия брой на износа по видове технологии, както и карта и списък, показващи всички страни, които са кандидатствали за лицензи.
Тези списъци включват много страни с добре документирани случаи на вреди от наблюдение и свързани с тях нарушения на правата на човека. Въпреки това, поради начина, по който Европейската комисия е претълкувала задълженията за прозрачност съгласно Преработения регламент, данните не свързват страните износителки, изнасяната технология и страната на дестинация, нито показват кои заявления са били одобрени или отхвърлени. Поради начина, по който са структурирани събирането и отчитането на тези данни, е трудно или дори невъзможно да се определи степента, в която износът от ЕС се използва за извършване на нарушения на правата на човека.
Констатации от заявленията за достъп до информация
С оглед на описаните по-горе пречки и в стремежа си да събере достатъчно информация за същинска оценка на това дали Преработеният регламент постига своите цели, Human Rights Watch изпрати заявления за достъп до информация до органа на всяка държава членка на ЕС, отговорен за издаването на разрешения за износ, като поиска данните от разрешенията за износ, предоставени на Европейската комисия съгласно задълженията на държавите членки по член 26 от Преработения регламент за изделията с двойна употреба.
Седем държави членки на ЕС[50] отговориха, като предоставиха тези документи. Други осем органа по издаването на разрешения за износ (два от които представляват региони в една и съща държава) отговориха на Human Rights Watch, че през последните пет години не са докладвали на Европейската комисия никакъв износ на изделия за кибернаблюдение.[51] Останалите 12 искания бяха отхвърлени, а в един случай[52] — игнорирано.
В повечето случаи, в които органите не предоставиха информация, Human Rights Watch изчерпа наличните национални механизми за обжалване в стремежа си да получи достъп до нея. В шест държави изследователите допълнително обжалваха отказа пред компетентния орган за защита на данните, съвета за добро управление или друга национална институция за надзор на прозрачността. Една държава от ЕС отхвърли искането на Human Rights Watch за данните за износа, предоставени на Европейската комисия, въпреки че беше публикувала версия на тези данни на уебсайта на съответното министерство.[53]
Като част от процеса по обжалване, две държави членки[54] поискаха от Европейската комисия насоки как да отговорят на исканията за достъп до информация относно данните за износа. Human Rights Watch поиска и получи тази кореспонденция от Европейската комисия, също чрез искане за достъп до информация. Тези документи включват имейли от Европейската комисия, съдържащи готови текстове, които двата национални органа по издаването на разрешения да използват в своите откази; отговорите до Human Rights Watch от двете държави членки бяха почти изцяло копирани едно към едно от насоките на Комисията.
Human Rights Watch също така поиска тези данни за износа от Европейската комисия, на която държавите членки са били длъжни да ги докладват. В своя отговор Комисията изтъкна аргумента, че не може да предостави въпросните данни за износа, тъй като по нейни твърдения информацията е поверителна, отнася се до текущи процеси на вземане на решения и е с ограничен достъп, тъй като е била изпратена между държавите членки и Брюксел чрез криптирана система.
Какво разкриват отговорите
Данните, които Human Rights Watch получи от седем държави членки на ЕС, включват доказателства, сочещи за мащабен износ на технологии за наблюдение от страни от ЕС за над две дузини държави с добре документирана история на нарушения на правата на човека, свързани с наблюдение — включително хакерство, следене, извличане, събиране и анализиране на данни от цифрови системи с цел репресиране на активисти, журналисти и други критични гласове.
Информацията в тези отговори представлява само малка част от информацията, споделена с Европейската комисия съгласно разпоредбите за отчитане на Преработения регламент. Показателно е, че някои из между най-големите износители на изделия за кибернаблюдение в Европа — Франция, Германия, Гърция, Италия и Испания — отхвърлиха или, в единия случай, игнорираха исканията ни за достъп до документи. Органи за износ, отговорни за издаването на разрешения, в шест държави и два региона заявиха, че са докладвали нула заявления за изделия за кибернаблюдение до Европейската комисия за 2022 г. и 2023 г.[55] В своя годишен доклад за 2025 г. и в „статистическата актуализация“, които съдържат данни за износа на стоки за кибернаблюдение за 2022 г. и 2023 г., Европейската комисия посочва, че е получила данни от 14 държави членки за всяка от годините.
Получената от Human Rights Watch информация, макар и непълна, е по-подробна от публикуваната в годишните доклади на Европейската комисия. Докладите на Комисията обобщават данните, получени от държавите членки, което прави невъзможно да се види на национално ниво какви са категориите изнасяна технология и техните дестинации. За разлика от това, броят на категориите технологии за наблюдение, които са изнесени, или броят на отказите, съдържащи се в отговорите на държавите членки до Human Rights Watch, правят възможно в някои случаи да се идентифицира кои технологии за кои държави на местоназначение са заминали — какъвто всъщност беше и търсеният резултат от Преработения регламент.
В няколко случая, в които органите на държавите членки на ЕС, отговорни за издаването на разрешения за износ, отказаха да предоставят исканата от нас информация, те твърдяха, че въпросните данни съставляват търговска тайна, защитена информация в областта на сигурността или отбраната, или информация, която би могла да навреди на техните международни отношения. И все пак, в документите, които Human Rights Watch успя да получи, данните за износа са представени в обобщен вид, а електронните таблици не съдържат нито имена на компании, нито технически подробности. Документите съдържат единствено обобщени стойности и двубуквени кодове за държавите на местоназначение.
Въпреки ограниченията, информацията, която успяхме да придобием, показва, че държавите от ЕС са предоставили разрешения за износ на технологии за кибернаблюдение на страни с добре документирана история на злоупотреби с наблюдение, включително нарушения на правата на неприкосновеност на личния живот и на събранията, както и използване на технологии за наблюдение срещу журналисти, учени, активисти и други лица.
Примери за опасен износ: от България за Азербайджан и от Полша за Руанда
В много случаи отговорите на държавите членки на ЕС на исканията за достъп до информация позволиха на Human Rights Watch да идентифицира страната, за която дадена държава членка е изнесла технология за наблюдение. В първия пример — този с България — това е възможно, тъй като органите предоставиха данни за предоставените разрешения, а не за подадените заявления; във втория пример — този с Полша — причината е, че е имало заявления само за един вид технология и нито един отказ. Human Rights Watch се фокусира върху тези две казусни проучвания поради огромния обем налична информация, свързана с нарушения на правата на човека и използването на технологии за наблюдение в държавите на местоназначение.
Износ на технологии за наблюдение от България за Азербайджан
Получените от нас данни показват, че една или повече компании в България са изнесли софтуер за проникване, системи за прихващане на телекомуникации или и двете за Азербайджан през 2022 г. Данни, предоставени от звеното на българското Министерство на икономиката и индустрията, отговорно за разрешаването на износа[56], потвърждават износ между 2020–2023 г. на софтуер за проникване, прихващане на телекомуникации и други видове технологии за наблюдение към организации в Азербайджан, както и към Босна и Херцеговина, Бразилия, Кот д’Ивоар,
Доминиканската република, Ел Салвадор, Гана, Гватемала, Израел, Йордания, Малайзия, Мексико, Монголия, Мароко, Панама, Филипините, Сърбия, Уганда, Обединените арабски емирства, Украйна и Виетнам.
Азербайджан, наред с други правителства получатели, има дълга и добре документирана история на осъществяване на наблюдение, водещо до нарушения на правото на неприкосновеност на личния живот и други права, особено спрямо журналисти, активисти и други наблюдатели и критични гласове. Азербайджанските власти редовно извършват произволни арести на активисти, журналисти и защитници на човешките права, системно се намесват в правата на свобода на изразяване, сдружаване и събрания, и произволно прилагат закони, парализиращи гражданското общество.[57]
Подобни действия се улесняват от внесени технологии за наблюдение, включително технологии, изнасяни от държави членки на ЕС.[58] В годините преди България да започне да изнася технологии за наблюдение за Азербайджан, изследователи по сигурността вече бяха документирали използването на софтуер за проникване и софтуер за прихващане на телекомуникации от азербайджанските власти за наблюдение на журналисти и гражданското общество.[59]
От България компанията за наблюдение Circles изнася своите продукти за клиенти по целия свят. Има данни, че Circles продава продукт, който използва уязвимости в международната телекомуникационна инфраструктура, което според изследователи по сигурността позволява на потребителите да проследяват ползватели на мобилни телефони, да прихващат комуникациите им и в някои случаи да заразяват устройствата им със шпионски софтуер.[60] Circles е свързана с NSO Group — базираната в Израел компания, разработила и продаваща шпионския софтуер Pegasus. Съобщава се, че Circles се е сляла с NSO през 2014 г., когато американска частна инвестиционна компания е придобила контрол над двете дружества за общо 250 милиона долара.[61] Според наличната информация Circles е притежавала лиценз за износ от България, изтекъл през 2023 г., а настоящите публични данни на сайта на българското Министерство на икономиката ииндустрията показват, че компанията е получила лицензи за износ от България за периода 2023–2028 г.[62]
По отношение на Азербайджан, консорциум от изследователи на сигурността е открил „съществени“ доказателства, „предполагащи, че Азербайджан е клиент на Pegasus“, и че софтуерът е бил използван за хакване на устройства на жертви в Армения, включително журналисти, активисти, учени, служител на ООН и други.[63] Този консорциум е открил азербайджански или свързани с Азербайджан сървъри, сочещи към страната като вероятен клиент на Pegasus. Citizen Lab, изследователи на технологиите по сигурността, свързани с Университета в Торонто, също установяват, че Азербайджан вероятно е използвал Pegasus за заразяване на устройства на членове на арменското гражданско общество по време на въоръжения конфликт между Азербайджан и Армения през 2023 г. за Нагорни Карабах.[64]
Няма доказателства в данните за износа, предоставени от българското Министерство на икономиката и индустрията на Human Rights Watch, че продукти на Circles са били изнасяни за Азербайджан, тъй като данните не съдържат информация за участващите компании. Въпреки това Circles понастоящем е регистрирана за износ от България. Освен това съществуват значителни доказателства за вреди, свързани с наблюдение, извършвани от азербайджанските власти, както и за компании, изнасящи технологии за наблюдение от България, след като тези вреди са станали публично известни и след влизането в сила на преработения Регламент за изделията с двойна употреба.
Този казус подчертава два недостатъка в прилагането на преработения регламент: първо, че технологии за наблюдение са били изпратени на правителство с история на използването им за нарушаване на права; и второ, че наличната прозрачност на данните е недостатъчна, за да се разбере какво реално е било изнесено.
В отговор на писмени въпроси към българското Министерство на икономиката и индустрията, министерството, отговорно за разрешаването на износ на изделия с двойна употреба, министърът заявява, че „[и]знос, който противоречи на националните, европейските и международните ангажименти на страната, включително по отношение защитата на човешките права, не се допуска“ и че „[м]инистерството поддържа последователна политика на нулева толерантност към злоупотреби и стриктно следи за спазването на установените правила.“ Министерството отказва да обсъжда подробности относно износа си за Азербайджан, позовавайки се на търговска тайна.
Представители на Circles и NSO Group не са отговорили на писмените искания за коментар до момента на публикуване.
Износ на технологии за наблюдение от Полша за Руанда
Данните за износа, предоставени от полското Министерство на икономическото развитие и технологиите, показват, че полска компания или компании са продали и изнесли системи за прихващане на телекомуникации за Руанда през 2023 г. Макар данните да не идентифицират коя компания или кой конкретен продукт е бил продаден, нито кой е крайният потребител в Руанда, досегашната практика на правителството на Руанда да извършва цифрово наблюдение на дисиденти и журналисти засилва риска този износ да бъде използван за нарушаване на права.
Властите в Руанда репресират политическата опозиция в страната и в чужбина, и малцина журналисти, активисти на гражданското общество или членове на опозицията се осмеляват да говорят публично срещу правителството или по теми, които то смята за чувствителни.[65] Властите също така реагират решително и често насилствено на критиките, като прилагат широк спектър от мерки за разправа с действителни или предполагаеми опоненти, включително извънсъдебни екзекуции, насилствени изчезвания, изтезания, политически мотивирани наказателни преследвания и незаконно задържане, както и заплахи, сплашване, тормоз и физическо наблюдение.[66]
Цифровото наблюдение представлява важна част от тези репресии както в самата Руанда, така и сред диаспората по целия свят. В Руанда нов закон, приет през 2013 г., значително разшири правомощията за наблюдение — по-специално възможността на властите да прихващат и следят комуникации по произволни причини и приминимален правен надзор. Наказателният кодекс, преработен през 2018 г., също така разширява криминализирането на изказванията в интернет пространството. Властите в Руанда използват и шпионския софтуер Pegasus срещу журналисти и дисиденти най-малко от 2017 г. насам, като според съобщенията са взели под прицел хиляди активисти, журналисти и политици чрез шпионски софтуер.
В отговор на писмени въпроси полското Министерство на икономическото развитие и технологиите заяви, че Полша прилага междуведомствен процес за оценка на въздействието върху правата на човека при износа на изделия с двойна употреба, при който „се изследва рискът от евентуална злоупотреба със стоките в трета държава, включително рискът стоките да бъдат използвани за нарушаване на правата на човека. По време на анализа на конкретните случаи не беше установен такъв риск, което доведе до издаването на разрешение за износ на тези стоки за Руанда“.
Министерствата на правосъдието и на вътрешните работи на Руанда не отговориха на писмените въпроси до момента на публикуването на доклада.
Част от технологиите за наблюдение минават между капките: Случаят с Швеция
Шведският орган по износа, отговорен за издаването на разрешения — Инспекторатът за стратегически продукти (ISP) — потвърди пред Human Rights Watch, че институцията докладва ограничен обем данни на Европейската комисия съгласно задълженията на Швеция за отчитане по преработения Регламент за изделията с двойна употреба.
В отговор на искане за достъп до информация, ISP предостави това, което по техни думи съставлява цялата информация, изпратена от Швеция до Европейската комисия съгласно задълженията ѝ за отчитане по член 26 от Преработения регламент. Тези данни включват само една от четирите изисквани електронни таблици за всяка година. Данните от таблицата единствено потвърждават, че органът е издал откази или забрани през 2022 г. и 2023 г., като за 2023 г. посочва общо нула заявления или предоставени разрешения за изделия за кибернаблюдение, а за 2022 г. е спестил каквато и да било информация до Комисията относно заявления или разрешения.
В отговор на въпроси относно предоставените ограничени данни, ISP заяви, че не предоставя пълна информация на Европейската комисия „поради съображения за поверителност“, че е предоставил на Human Rights Watch „същата информация, каквато [ISP] е изпратил на Европейската комисия“, и че „всяко ограничаване на информация в отчетността, е направено в съответствие с член 26, параграф 3 от Регламент 2021/821“.
Въпреки това данни от външна платформа за обобщаване на търговска информация показват износ на технологии за наблюдение от Швеция, обхващащ тези години. Например компанията MSAB, европейски разработчик на универсални устройства за извличане на криминалистични данни и основен конкурент в Европа на базираната в Израел компания Cellebrite, изнася своите инструменти за дигитално извличане на криминалистични данни по целия свят от Швеция.
Продуктите на MSAB са способни да заобикалят криптирането и паролите за достъп на мобилни устройства без съгласието на потребителя и да извличат данни, включително съобщения, контакти, снимки и видеоклипове, регистри на повикванията и местоположенията, както и токени за влизане и пароли за онлайн услуги.[67] Въпреки това, както обясни Инспекторатът за стратегически продукти в отговор на писмени въпроси, тези устройства може да не попадат в обхвата на мерките за контрол върху криминалистичните/следствените инструменти и инструментите, използвани за извършване на криптоанализ, съдържащи се в Списъка на ЕС за изделия с двойна употреба, тъй като попадат под изключени.
По-конкретно, ISP посочи раздела в насоките на Комисията от 2024 г., в който се казва, че инструментите, които не са „специално проектирани“ за тайно наблюдение, не попадат под дефиницията за изделия за кибернаблюдение.
Тази вратичка в закона означава, че технология за наблюдение, която функционално отговаря на всички критерии, за да бъде регулирана като изделие за кибернаблюдение, на практика остава извън видовете технологии, които регламентът обхваща.
Като пример, според обобщени данни за износа, MSAB е изнасяла такива продукти за Индия всяка година от 2023 г. насам. Това се случва въпреки факта, че индийските власти са замесени в използването на шпионски софтуер за хакване на устройства на активисти и журналисти най-малко от 2019 г. насам, на фона на продължаващи репресии срещу свободата на словото и събранията. През 2023 г. Индия прие първия си закон за поверителност на данните, който засилва правомощията на държавата да извършва наблюдение, без да предвижда адекватни предпазни мерки или механизми за надзор.
Макар Human Rights Watch да не е открила конкретни доказателства, че продуктите на MSAB са били използвани за потискане на инакомислието в Индия или че е било злоупотребено с тях в някоя от двете държави, доказателствата за този износ и фактът, че шведските власти не са законово задължени да го докладват на Европейската комисия, показват, че Преработеният регламент не прави достатъчно, за да задължи държавите членки на ЕС да извършват надлежна проверка и да докладват за износа на технологии за кибернаблюдение.
Шведското Министерство на външните работи пренасочи писмените въпроси към Инспектората за стратегически продукти, чийто пълен отговор може да бъде прочетен в Приложение IV.
Индийските министерства на железниците, на информацията и разпространението, и на електрониката и информационните технологии, държавният секретар към Министерството на търговията и промишлеността, както и представители на MSAB не отговориха на писмените въпроси до момента на публикуването на доклада.
Стандарти в областта на правата на човека
Както става ясно от съображенията зад Преработения регламент, задължението да се регулират продажбата и износът на технологии за наблюдение произтича от вродената заплаха за правото на неприкосновеност на личния живот, която съществуването на подобни технологии представлява. То произтича и от множеството сериозни нарушения на други права — от свободата на изразяване и на събранията до правото на живот и свободата да не бъдеш подлаган на изтезания — които могат да произтекат от тяхното използване, особено когато се прилагат за целенасочено срещу отделни лица и общности на дискриминационна основа. Върховният комисар на ООН по правата на човека е публикувал поредица от тематични доклади относно въздействието на цифровата ера върху правото на неприкосновеност на личния живот и други права, които помагат да се идентифицира ефектът на технологиите за наблюдение върху правата, както и съответните правни стандарти и най-добри практики, уреждащи тяхното използване.[68]
Ограничаване на екстратериториалните злоупотреби
В контекста на опасенията относно технологиите за наблюдение и нарушенията на правата на човека, и отбелязвайки, че тяхната глобална търговия ги прави „леснодостъпни за широк спектър от приложения, включително за извършване и улесняване на незаконно и произволно наблюдение“, Върховният комисар на ООН по правата на човека многократно е разглеждал необходимостта от адекватни режими за контрол на износа при продажбата на технологии за наблюдение. Върховният комисар и други независими експерти на ООН по правата на човека многократно са призовавали държавите да приемат „стабилни режими за контрол на износа“, за да се предотврати продажбата на технологии за наблюдение, когато съществува риск те да бъдат използвани за нарушаване на правата на човека. [69]
Те призоват държавите да гарантират, че оценката на риска от нарушения и злоупотреби с правата на човека, улеснени от технологиите за наблюдение, е ключов фактор при вземането на решения относно разрешенията за износ,[70] а Върховният комисар подкрепи призива на Специалния докладчик относно правото на свобода на мнение и изразяване правителствата да наложат мораториум върху предоставянето на разрешения за износ на технологии за наблюдение, докато
а) използването на тези технологии може да бъде технически ограничено до законни цели, които са в съответствие със стандартите в областта на правата на човека, или
б) може да бъде гарантирано, че тези технологии ще бъдат изнасяни само за държави, в които тяхното използване подлежи на разрешение — предоставено в съответствие със справедливия съдебен процес и стандартите за законност, необходимост и легитимност — от независим и безпристрастен съдебен орган.[71]
За да изпълнят задълженията си в областта на правата на човека, за държавите не е достатъчно просто да приемат подобни мерки за контрол; необходимо е тези мерки да бъдат наблюдавани и прилагани на практика, за да се гарантира, че постигат своята превантивна цел.
Настоящият доклад показва, че системата за контрол на ЕС не успя да предотврати попадането на опасни технологии за наблюдение в ръцете на субекти с досие от нарушения на правата чрез тяхното използване. Правото на достъп до информация, което е елемент от Преработения регламент, трябва да служи за улесняване на журналистите и гражданското общество да идентифицират дали и как се случва това, както и да действа като механизъм за обществена отчетност.
Право на достъп до информация
Правото на достъп до информация е стабилно залегнало в международното право в областта на правата на човека като фундаментална част от правото на свободно изразяване. То гарантира на отделните лица, групи и юридически лица правото да получават информация от публични органи, като същевременно задължава тези публични органи да улесняват достъпа до информация чрез отговори на искания и проактивно публикуване.
Член 10 от Европейската конвенция за правата на човека (ЕКПЧ), по която всяка държава членка на ЕС е страна, предвижда, че правото на свобода на изразяването включва „свободата да се получават и да се разпространяват информация и идеи без намеса на държавните власти“, подлежащо единствено на ограничения, които са „предвидени от закона и са необходими в едно демократично общество за интересите на националната сигурност, териториалната цялост или обществената безопасност, за предотвратяване на безредици или престъпления, за защита на здравето или морала, за защита на репутацията или правата на другите, за предотвратяване на изтичането на поверителна информация или за гарантиране на авторитета и безпристрастността на правосъдието“.[72]
С течение на времето Европейският съд по правата на човека призна, че понятието „свобода да се получава информация“ обхваща и правото на достъп до информация.[73] Съдът потвърди правото на достъп до информация в знаковото дело Унгарски Хелзинкски комитет срещу Унгария (Magyar Helsinki Bizottság v. Hungary), като подчерта, че медиите и организациите на гражданското общество се нуждаят от достъп до информация, за да изпълняват своята функция на „обществен страж“ (watchdog), част от която включва предоставянето на исканата информация на обществеността и приноса към обществения дебат.[74] Макар Съдът да поддържа становището, че Европейската конвенция не налага на държавите позитивно задължение да събират и разпространяват информация по собствена инициатива, той е установил, че съществуват ограничени обстоятелства, които оправдават отказа да се предостави достъп до информация, която е налична и подготвена и на която хората имат законно право.
Съдът също така отбеляза, че и други международни органи по правата на човека свързват правото на достъп до информация на обществените стражи с тяхното право да разпространяват информация, както и с правото на широката общественост да получава информация и идеи.[75] Когато публичните органи отказват да предоставят съответната документация, освен ако това не е напълно обосновано като необходимо и пропорционално за постигането на легитимна цел, те нарушават правото на достъп до информация.[76]
На равнище ЕС член 15 от Договора за функционирането на Европейския съюз (ДФЕС) и член 42 от Хартата на основните права на Европейския съюз предвиждат, че гражданите имат „право на достъп до документите на институциите, органите, службите и агенциите на Съюза, независимо от техния носител“. Това право съществува съвместно с принципа на прозрачност в институциите на ЕС. Член 10 от Договора за Европейския съюз (ДЕС) гласи, че „решенията се вземат възможно най-открито и възможно най-близо до гражданите“, а член 11 предвижда, че гражданите и представителните асоциации трябва да имат „възможността да изразяват и обменят публично своите мнения във всички области на дейност на Съюза“.
Правото на достъп до информация е допълнително приложено от Регламент 1049/2001, който предоставя на обществеността право на „възможно най-широк достъп“ до документи, подсилвайки презумпцията за прозрачност, свързана с демократичните устои на институциите на ЕС. Съдебната практика на Съда на Европейския съюз ясно показва, че правото на достъп до информация е механизъм за гарантиране, че участието, отчетността и институционалната легитимност се съхраняват в рамките на конституционния ред на ЕС. Макар в Регламент 1049/2001 изрично да са предвидени изключения от оповестяването, Съдът подчертава, че те трябва да се тълкуват и прилагат стриктно. Той ясно заяви, че тежестта пада върху институциите да установят, в случай на пълен или частичен отказ за предоставяне на документи, „как достъпът до този документ би могъл конкретно и реално да наруши интереса, защитен от изключението“.
Член 19 от Международния пакт за граждански и политически права (МПГПП), по който всяка държава членка на ЕС също е страна, гарантира свободата на изразяване при сходни условия с член 10 от ЕКПЧ. Той предвижда, че правото на свобода на изразяване „включва свободата да търси, получава и разпространява всякаква информация и идеи независимо от държавните граници...“. Ограниченията на това право „трябва обаче да бъдат изрично предвидени от закона и които са необходими: а) за зачитане на правата или на доброто име на другите; б) за защита на националната сигурност, на обществения ред, на народното здраве или морал“.
Комитетът на ООН по правата на човека, който надзирава изпълнението на МПГПП, в своя Общ коментар № 34 потвърждава правото да се изисква информация, „съхранявана от публичен орган, независимо от формата, под която се съхранява информацията, нейния източник и датата на изготвяне“, от всяка правителствена структура или орган, или друг субект, „изпълняващ публични функции“.
Напрежението между правото на свободно изразяване и достъп до информация, от една страна, и националната сигурност, от друга страна, е било обект на множество проучвания от страна на съдилища, международни органи и учени. Група експерти по международно право, национална сигурност и права на човека издадоха Йоханесбургските принципи за националната сигурност, свободата на изразяване и достъпа до информация на 1 октомври 1995 г. С течение на времето тези Принципи станаха широко признати като авторитетно тълкуване на връзката между тези права и интереси, отразявайки нарастващата съвкупност от международни правни
становища и нововъзникващото международно обичайно право по темата.
Йоханесбургските принципи гласят, че ограниченията на достъпа до информация трябва да бъдат разрешени само когато „правителството може да докаже, че ограничението е предвидено от закона и е необходимо в едно демократично общество за защита на легитимен интерес, свързан с националната сигурност“ (Принцип 1.1, раздел г). Съгласно Принципите, тежестта на доказване на основателността на ограничението лежи върху правителството.
Право на неприкосновеност на личния живот
Член 8 от ЕКПЧ предвижда, че всеки има право на „неприкосновеност на личния и семейния си живот, на жилището и на тайната на кореспонденцията“ и че „намесата на държавните власти в упражняването на това право е недопустима“ освен в случаите, „предвидени в закона и необходими в едно демократично общество в интерес на националната и обществена сигурност или на икономическото благосъстояние на страната, за предотвратяване на безредици или престъпления, за защита на здравето и морала или на правата и свободите на другите“.
Европейският съд по правата на човека се е произнасял по множество дела, в които използването на технологии за наблюдение е било оспорвано като нарушение на правото на неприкосновеност на личния живот и други права, като чрез своята съдебна практика, започваща с делото Вебер и Саравия срещу Германия (Weber and Saravia v. Germany), е разработил стабилна рамка за оценка дали тяхното използване е в съответствие с Конвенцията.[77] Тръгвайки от презумпцията, че наблюдението винаги представлява намеса в правото на неприкосновеност на личния живот, Съдът е установил, че за да бъде в съответствие със закона, вътрешното законодателство „трябва не само да бъде достъпно и предвидимо в своето прилагане“, но също така трябва да съществуват „адекватни и ефективни предпазни мерки и гаранции срещу злоупотреби“.[78]
Според практиката на Съда минималните изисквания, които трябва да бъдат заложени в закона, разрешаващ използването на масово наблюдение, включително правомощия за прихващане, включват:
i. естеството на престъпленията, които могат да станат основание за използването на такива правомощия;
ii. дефиниция на категориите лица, които могат да бъдат подложени на тяхното използване;
iii. ограничение на продължителността на тяхното използване;
iv. процедурата, която трябва да се следва при проучването, използването и съхраняването на получената информация;
v. предпазните мерки, които трябва да се предприемат при предаването на информацията на други страни; и
vi. обстоятелствата, при които информацията може или трябва да бъде заличена или унищожена
vii. процедурите и начините за надзор от страна на независим орган относно спазването на горепосочените предпазни мерки, както и неговите правомощия за справяне с несъответствията;
viii. процедурите за независим последващ преглед (ex post facto) на това спазване и правомощията, предоставени на компетентния орган за справяне със случаи на несъответствие.[79]
Съдът също така ясно заяви, че държавите трябва не само да се въздържат от незаконно наблюдение, но и да защитават лицата срещу навлизане в личния им живот от страна на частни субекти, включително компании, които боравят с лични данни в големи мащаби.
Член 17 от МПГПП е сходен с член 8 от ЕКПЧ и предвижда, че „никой не може да бъде обект на своеволно и незаконно вмешателство в личния му живот, семейството му, дома или кореспонденцията му“, както и че „всяко лице има право на законна защита срещу подобно вмешателство или накърняване“. Под „кореспонденция“ следва да се разбират всички форми на комуникация, както в интернет, така и извън него.[80]
Комитетът по правата на човека тълкува понятието „произволна намеса“ по следния начин:
Изразът „произволна намеса“ също има отношение към защитата на правото, предвидено в член 17. По мнение на Комитета изразът „произволна намеса“ може да се разпростре и върху намеса, която е предвидена в закона. Въвеждането на понятието за произволност има за цел да гарантира, че дори намесата, предвидена от закона, трябва да бъде в съответствие с разпоредбите, целите и задачите на Пакта и при всички случаи трябва да бъде разумна при конкретните обстоятелства.[81]
Ограниченията на правото на неприкосновеност на личния живот по същия начин трябва да бъдат предвидени от закона, необходими за постигането на легитимна цел, както и пропорционални и тясно насочени към постигането на тази цел.[82] Специалният докладчик относно свободата на изразяване заяви, че:
Наблюдението на комуникациите трябва да се разглежда като силно натрапчив акт... Законодателството трябва изрично да разпорежда, че държавното наблюдение на комуникациите може да се извършва само при най-изключителни обстоятелства и единствено под надзора на независим съдебен орган. В закона трябва да бъдат разписани предпазни мерки, свързани с естеството, обхвата и продължителността на възможните мерки, основанията, необходими за тяхното разпореждане, органите, компетентни да ги разрешават, извършват и надзирават, както и видът на правната защита, предвиден от националното законодателство.[83]
За да бъдат предвидени от закона, ограниченията на правото на неприкосновеност на личния живот трябва да отговарят на „стандарт за яснота и прецизност, който е достатъчен, за да гарантира, че лицата са предварително уведомени и могат да предвидят тяхното прилагане“.[84] Както обяснява Специалният докладчик по въпросите на правата на човека и борбата с тероризма, тези принципи се прилагат дори когато заявената цел на наблюдението е борбата с тероризма: „не трябва да има тайно наблюдение, което не подлежи на проверка от ефективен контролен орган, а всяка намеса трябва да бъде разрешена чрез независим орган“.[85]
Отговорности на юридическите лица
Компаниите имат отговорност да зачитат правата на човека. Този принцип е отразен в Рамката на Организацията на обединените нации „Защита, зачитане и правни средства за защита“ и в Ръководните принципи на ООН за бизнеса и правата на човека, които са широко приети от компаниите и правителствата. Отговорността за зачитане изисква компаниите да провеждат надеждна надлежна проверка в областта на правата на човека и да смекчават рисковете за човешките права, така четехните операции да не улесняват или задълбочават проблемите, свързани с правата на човека. Ръководните принципи на ООН предвиждат, че компаниите, участващи в разработването, продажбата и износа на технологии за наблюдение, трябва като минимум:
• Да провеждат строга надлежна проверка и да въвеждат процедури за идентифициране, предотвратяване, смекчаване и отчитане на начина, по който се справят с въздействията си върху правата на човека.
• Да прилагат оценки на въздействието върху правата на човека, за да идентифицират обстоятелства, при които свободата на изразяване и неприкосновеността на личния живот могат да бъдат застрашени или развити, и да разработват подходящи стратегии за смекчаване на риска. Такива оценки трябва да се извършват във връзка с проектирането и въвеждането на нови технологии, навлизането на нов пазар, привличането на бизнес партньори или обвързването с търговски договори или лицензионни споразумения.
• Да изискват разяснения относно крайната употреба и крайния потребител на технологията или услугата, както и процедури за предотвратяване на използването на технологиите или услугите на компанията за улесняване на нарушения на правата на човека.
• Да въведат процеси, които да позволяват отстраняването на всички неблагоприятни въздействия върху правата на човека, които причиняват или за които допринасят.
Специалният докладчик на ООН за свободата на мнение и изразяване в своя доклад от 2019 г. относно неблагоприятното въздействие на индустрията за наблюдение върху свободата на изразяване също предоставя насоки на компаниите за това как да изпълняват своите отговорности.[86] По-конкретно той призовава частните компании за наблюдение „да интегрират процесите на надлежна проверка в областта на правата на човека от най-ранните етапи на разработване на продуктите и през цялата си дейност“ и „да въведат стабилни предпазни мерки, за да гарантират, че всяко използване на техните продукти или услуги е в съответствие със стандартите за правата на човека“. Той допълва, че когато „компаниите открият злоупотреби с техните продукти и услуги за извършване на нарушения на правата на човека, те трябва незабавно да докладват за тях на съответните вътрешни, регионални или международни контролни органи. Те трябва също така да създадат ефективни механизми за подаване на жалби и правна защита, които да позволяват на жертвите на нарушения на човешките права, свързани с наблюдение, да подават оплаквания и да търсят обезщетение.“[87]
Благодарности
Настоящият доклад е подготвен и написан от Зак Кембъл, старши изследовател по въпросите на наблюдението в Human Rights Watch. Докладът е редактиран и прегледан от Дебора Браун, заместник-директор на отдел „Технологии, права и разследвания“, и Джоузеф Сондърс, заместник-програмен директор. Специализиран преглед беше предоставен от Картик Радж, старши изследовател в отдел „Европа и Централна Азия“; Клементин де Монжоа, старши изследовател в отдел „Африка“; Етиен Майние, технолог по сигурността в отдел „Информационна сигурност и технологии“; Елен де Ренжерве, старши застъпник, Монс Моландер, директор за Скандинавските страни, и Кристина Абдулахад, старши координатор по застъпничеството. Правен преглед и подкрепа бяха предоставени от Ашлинг Рейди, старши правен съветник в отдел „Правни въпроси и политики“. Редакционна помощ оказа Екин Юрген, асистент по изследванията в отдел „Технологии, права и разследвания“.
Външна подкрепа за проучването беше предоставена от FIND.ngo.
Допълнителен експертен преглед беше предоставен от Фионуала Д. Ний Олайн, бивш специален докладчик по въпросите на борбата с тероризма и правата на човека и професор в Юридическия факултет на Университета в Минесота; и Марк Бромли, директор на програмата за контрол на търговията с оръжие и стоки с двойна употреба в Стокхолмския международен институт за изследване на мира (SIPRI).
Травис Кар, мениджър по публикациите, осигури координацията на производството; Уин Едсън, старши дизайнер на анимационна графика, създаде видеоклиповете, придружаващи доклада. Визуализациите на данните бяха предоставени от Кристина Ръдърфорд, старши уеб мениджър, и Карлос Албаладехо и Морено, консултант.
Илюстрациите бяха предоставени от Глен Харви.
Human Rights Watch би искала да благодари на външните партньори, които предоставиха подкрепа и насоки при исканията за достъп до информация до институциите и държавите членки на Европейския съюз: в България – Стефан Ангелов, адвокат от Програма „Достъп до информация“, и Мария Черешева, журналист; в Гърция – Стефанос Лукопулос, директор и съосновател на Vouliwatch; в Словения – Домен Савич, генерален мениджър на Citizen D; а по отношение на исканията до институциите на Европейския съюз – Луиза Изускиза, ръководител на офиса за ЕС на FragDenStaat.
