Հայաստանում օրենսդրությունը բավականին հստակ ձևակերպում է հեռախոսային և էլեկտրոնային հաղորդակցության վերահսկողությունը։ Միայն մի քանի կառույցներ, այդ թվում` Ազգային անվտանգության ծառայությունը, Ոստիկանությունը, Հակակառուպցիոն կոմիտեն ունեն գաղտնալսումների լայն հնարավորություններ։
Մյուս կողմից, գոյություն չունեն հստակ մեխանիզմներ, որոնք թույլ կտան թափանցիկ և հանրության համար հաշվետու դարձնել այս ոլորտը։
Վերջին զարգացումները թույլ են տալիս խոսել այն մասին, որ երկրում տեղի են ունենում փոփոխություններ, և բացի հեռախոսների ավանդական գաղտնալսումներից, ասպարեզում են հայտնվում ավելի բարդ, թվային ոլորտի գործիքներ, որոնք ավելի խորը և համապարփակ են դարձնում քաղաքացիների վերահսկողությունը։ Սա իր հերթին առաջացնում է մտահոգություններ առ այն, թե արդյոք տվյալ գործիքները կօգտագործվեն օրենքի շրջանակում՝ ժողովրդավարության պահանջներին և քաղաքացիական ազատություններին համահունչ։
Օրենսդրական և ինստիտուցիոնալ կարգավորումներ
Հիմնական օրենսդրական կարգավորումը իրականացվում է ՕՊԵՐԱՏԻՎ-ՀԵՏԱԽՈՒԶԱԿԱՆ ԳՈՐԾՈՒՆԵՈՒԹՅԱՆ ՄԱՍԻՆ օրենքի շրջանակներում, որն ընդունվել է 2007 թվականին և ընթացքում մի քանի անգամ վերամշակվել և լրացվել է:[i]
Օրենքով սահմանվում են այն պետական մարմինները, որոնք ունեն հեռախոսների վերահսկողություն իրականացնելու իրավունք ։ Ըստ օրենքի 14 հոդվածի (Օպերատիվ-հետախուզական միջոցառումների տեսակները)՝ դրանք են Ոստիկանությունը, ազգային անվտանգության մարմինները, Հակակոռուպցիոն կոմիտեն։ Բացի դրանից, քրեակատարողական ծառայության մարմիններն իրավունք ունեն անցկացնելու գաղտնալսում, սակայն միայն Հայաստանի Հանրապետության արդարադատության նախարարության քրեակատարողական հիմնարկների տարածքներում:
Այստեղ հարկ է նշել, որ Հայաստանի Հանրապետության հակակոռուպցիոն կոմիտեն իրավապահ մարմինների համակարգում նորաստեղծ կառույց է. այն կազմավորվել և գործում է 2021 թվականի հոկտեմբերի 23-ից։
Մինչև 2020 թվականի հունվարը Ոստիկանությունը նույնպես չուներ հնարավորություն ինքնուրույն իրականացնելու գաղտնալսումներ։ Այս կառույցն օգտվում էր ԱԱԾ-ի հնարավորություններից, ինչն Ազգային անվտանգության ծառայությանը դարձնում էր գերազդեցիկ գաղտնալսման ոլորտում։ Ընդ որում, փաստացի ԱԱԾ-ի տրամադրության տակ էին հայտնվում նաև այն տվյալները, որոնք հավաքագրվում էին Ոստիկանության համար։ Ազգային Ժողովը նախաձեռնեց «Օպերատիվ-հետախուզական գործունեության մասին» օրենքում փոփոխություններ, ինչը Ոստիկանությանն այս հարցում դարձրեց ինքնուրույն կառույց՝ ստեղծելով որոշ հակակշիռ ԱԱԾ-ին։ Սակայն ԱԺ-ում քննարկումների ընթացքում պարզ դարձավ, որ Կառավարության մոտեցումն այս հարցում լրիվ այլ է․ ստեղծել առանձին անկախ կազմակերպություն և գաղտնալսման իրավունքը փոխանցել նրան:[ii]
Ըստ Օրենքի 26 հոդվածի՝ (թվային, այդ թվում՝ հեռախոսային հաղորդակցության) թվային, այդ թվում` հեռախոսային հաղորդակցության վերահսկման ենթակա են`
1) ֆիքսված կամ բջջային հեռախոսային ցանցի դեպքում` հեռախոսային խոսակցության, տեքստային, պատկերային, ձայնային, տեսաձայնային և այլ հաղորդագրության բովանդակությունը, բաժանորդի մուտքային և ելքային զանգերը, բաժանորդի հետ անուղղակի (միջնորդավորված) եղանակով կապ ունեցող հեռախոսահամարները, հեռախոսային հաղորդակցությունն սկսելու և ավարտելու ժամանակը, հեռախոսազանգի վերահասցեագրման կամ փոխանցման դեպքում` այն հեռախոսահամարը, որին փոխանցվել է հեռախոսազանգը,
2) համացանցային հաղորդակցության, այդ թվում` համացանցային հեռախոսային հաղորդակցության և համացանցի միջոցով փոխանցվող էլեկտրոնային հաղորդումների դեպքում՝ հաղորդակցության բովանդակությունը, համացանցային հեռախոսազանգերի մուտքային և ելքային զանգերը (յուրաքանչյուր տվյալ այնպիսի տեսքով, որը թույլ է տալիս կամ կարող է թույլ տալ նույնականացնել հաղորդակցվողի ինքնությունը):
3. Սույն հոդվածով նախատեսված օպերատիվ-հետախուզական միջոցառումն իրականացնելիս հեռահաղորդակցության կազմակերպությունները պարտավոր են իրավասու մարմինների պահանջով տրամադրել տեխնիկական համակարգեր և ստեղծել օպերատիվ-հետախուզական միջոցառման իրականացման համար անհրաժեշտ այլ պայմաններ:
Ըստ Օրենքի 9 հոդվածի՝ թվային, այդ թվում՝ հեռախոսային հաղորդակցության վերահսկում օպերատիվ-հետախուզական միջոցառման անցկացումն ապահովում է միայն Հայաստանի Հանրապետության ազգային անվտանգության հանրապետական մարմնի համակարգում գործող Օպերատիվ-տեխնիկական գլխավոր վարչությունը։ Այդ մարմինը ղեկավարում է անմիջապես ԱԱԾ պետը։ Իսկ Գլխավոր վարչության պետին նշանակում է և պաշտոնից ազատում է վարչապետը։
Գլխավոր վարչությունը հեռահաղորդակցության օպերատորի մոտ ապահովում է համապատասխան օպերատիվ-տեխնիկական անհրաժեշտ պայմաններ։
Թվային, հեռախոսային հաղորդակցության վերահսկողությունը ոստիկանության, քրեակատարողական ծառայության մարմինների կամ Հակակոռուպցիոն կոմիտեի կողմից իրականացվում է` Գլխավոր վարչության կողմից օպերատիվ-տեխնիկական պայմաններ ստեղծելով, այդ թվում` կապուղիների և միջոցների տրամադրումով։ Ընդ որում, օրենքը պահանջում է, որ ԱԱԾ-ն բացառի իր կողմից այդ տվյալների, տեղեկատվության և հաղորդումների հսկումը, ամրագրումը, եթե գաղտնալսող կողմը հենց ԱԱԾ-ն չէ:
Գաղտնալսումները կարող են իրականացվել միայն այն դեպքերում, երբ առերևույթ առկա են հիմքեր կասկածելու, որ անձը, որի նկատմամբ պետք է դրանք կիրառվեն, կատարել է ծանր կամ առանձնապես ծանր հանցագործություն և այլ եղանակով օպերատիվ-հետախուզական միջոցառումն անցկացնող մարմնի կողմից սույն օրենքով իր վրա դրված խնդիրների իրականացման համար անհրաժեշտ տեղեկատվության ձեռքբերումը ողջամտորեն անհնարին է:
Կարևոր է նշել, որ արգելվում է նման տվյալների հավաքագրումը, երբ թիրախավորված անձը հաղորդակցվում է իր փաստաբանի, ներկայացուցչի կամ օրինական ներկայացուցչի հետ: Եթե նման տվյալներ անկախ պատճառով ստացվել են, ապա փաստաբանական գաղտնիք պարունակող տեղեկությունները ենթակա են անհապաղ ոչնչացման:
Օրենքի 32 հոդվածը նշում է, որ գաղտնալսումները իրականացվում են դատարանի որոշման հիման վրա։ Այն դեպքերում, եթե թվային, հեռախոսային հաղորդակցության վերահսկում օպերատիվ-հետախուզական միջոցառման անցկացման հապաղումը կարող է հանգեցնել ահաբեկչության կատարման կամ վտանգել Հայաստանի Հանրապետության պետական, ռազմական կամ բնապահպանական անվտանգությունը, Գլխավոր վարչությունը ապահովում է այդ միջոցառման իրականացումը։ Սակայն Գլխավոր վարչություն դիմած մարմինը պարտավոր է 48 ժամվա ընթացքում Գլխավոր վարչություն ներկայացնել դրա իրականացումը թույլատրելու կամ չթույլատրելու մասին դատարանի որոշման քաղվածքը:
Ըստ 39 հոդվածի՝ օպերատիվ-հետախուզական միջոցառում անցկացնելու մասին որոշման ժամկետի հաշվարկումը սկսվում է դրա ընդունման օրից և չի կարող 2 ամսից ավելի լինել: Որոշման ժամկետը կարող է երկարաձգվել: Ընդ որում, յուրաքանչյուր, անգամ դատարանի թույլտվությունը կարող է տրվել երկու ամիսը չգերազանցող ժամկետով: Իսկ ընդհանուր ժամկետը չի կարող 12 ամսից ավելի տևել:
Զարգացումները Հայաստանում
Վերջին տարիներին թվային վերահսկողության հնարավորությունների աճի հետ միասին նկատելիորեն շատացել են նաև դեպքերը, որոնք կարող են դիտարկվել որպես օրենքի չարաշահումներ։
2020 թվականին COVID-19-ի համավարակային պայմաններում, ՀՀ կառավարությունը մի քանի փորձ արեց հեռախոսների միջոցով վերահսկելու մարդկանց սոցիալական կապերը և տեղաշարժը։
2020 թվականի մարտի 31-ին Ազգային Ժողովն ընդունեց «Արտակարգ դրության իրավական ռեժիմի մասին» և «Էլեկտրոնային հաղորդակցության մասին» օրենքների նախագծերում փոփոխություն կատարելու առաջարկը:[iii] Ըստ այդ փոփոխությունների՝ Կառավարությունը ստացավ իրավունք բոլոր բջջային օպերատորներից ստանալու և մեկ տեղում հավաքագրելու և մշակելու երկրի բոլոր բնակիչների տեղեկատվությունը՝ հեռախոսազանգերի և կարճ հաղորդագրությունների մետատվյալները և բջջային օպերատորների մոտ հավաքագրվող տեղորոշման տվյալները։ Այդ տվյալների հիման վրա ստեղծվեց համակարգ, որը պետք է պարզեր կորոնավիրուսով վարակված անձանց հնարավոր շրջանակը ։ Ծրագրի համակարգող էր նշանակվել ԱԱԾ-ն, տեխնիկական իրականացնողը՝ չբացահայտված մասնավոր ընկերություն։ Սեպտեմբերի 25-ին, երբ վերացվեց արտակարգ դրությունը, օպերատորների ներկայացուցիչների ներկայությամբ բոլոր հավաքագրված տվյալները ոչնչացվեցին[iv]։
Այդպես էլ թափանցիկություն չստացան մի շարք հարցեր`
ա․ Չստեղծվեց հանրային վերասհկողության մեխանիզմ։ Չտրվեց ոչ մի երաշխիք, որ համակարգը չի օգտագործվել այլ նպատակներով, օրինակ՝ բացահայտելու կոնկրետ մարդկանց և նրանց կապերը:
բ․ Այդպես էլ հստակություն չմտցվեց, թե ով է ստեղծել համակարգը:
գ․ Համաձայն օրենքի՝ արտակարգ դրության ավարտին համակարգով հավաքագրված տվյալները պետք է ոչնչացվեին։ Քանի որ ոչ մի անկախ վերահսկողություն համակարգի հանդեպ չի եղել, չկա ոչ մի երաշխիք, որ տվյալները իսկապես ամբողջությամբ ոչնչացվել են, ավելին՝ որ համակարգն այլևս չի գործում:
2022 թվականի նոյեմբերի 24-ին մի քանի տասնյակ անձինք Հայաստանում նամակ ստացան Apple-ից, որտեղ նշված էր, որ իրենց վրա իրականացվել է հարձակման փորձ պետական հաքերային թիմի կողմից։ CyberHUB-AM կազմակերպությանը հայտնի է քսանից ավելի նման դեպք Հայաստանում։ Սա գլոբալ բնույթ էր կրում. Apple ընկերության տարածած ծանուցումը չէր վերաբերում միայն Հայաստանին: Հարկ է հիշեցնել, որ նամակների ստացումից մի քանի ժամ առաջ Apple-ը հայտնել էր, որ դատի է տալիս իսրայելական NSO Group կազմակերպությանը, որն լրտեսական ծրագրեր է ստեղծում և վաճառում պետական կառույցներին հետախուզական գործողությունների համար։ Ծրագրի անունը Pegasus է, և ամենայն հավանականությամբ, նամակը հենց այս ծրագրի հավանական զոհերին է ուղղվել։
Ոմանք հանրայնորեն հայտարարեցին, որ ստացել են նման նամակներ։ Դրանցից մեկը ԱԱԾ նախկին տնօրեն և ներկայումս «Պատիվ ունեմ» ընդդիմադիր խմբակցության ղեկավար Արթուր Վանեցյանն է[v]։ Մյուսը՝ Դավիթ Սանասարյանն է[vi]։ Ավելի ուշ նման բանի մասին հայտնեց փաստաբան Աննա Կարապետյանը[vii]։ Նաև բարձր տեխնոլոգիական արտադրության նախարար Վահագն Խաչատրյանը (տվյալ պահին հանդիսանում է Հայաստանի Հանրպաետության նախագահը) հայտնեց լրագրողներին, որ ստացել է նման նամակ[viii]։ Ըստ տեղեկատվության անվտանգության փորձագետ Ռուբեն Մուրադյանի՝ ինքը դեռ երկու ամիս առաջ հայտնաբերել էր Pegasus Վանեցյանի և իր մտերիմների հեռախոսներում[ix]։ Հարկ է նշել, որ Հայաստանը մինչ այդ չէր հայտնվել այն երկրների ցանկում, որտեղ հաստատված պետական կառույցների կողմից կիրառվել էր Pegasus֊ը։ Կա նաև ենթադրություն, որ այն կիրառվել է երրորդ երկրի հատուկ ծառայությունների կողմից։ Հաշվի առնելով հնարավոր վարակվածների ցանկը և այն փաստը, որ բոլորը նույն պահին են ստացել զգուշացնող նամակը, կարելի է ենթադրել, որ Apple֊ում կարող էին մի քանի ալիք հարձակումները մեկ փուլով ընդգրկել զգուշացման արշավում։ Շատ հնարավոր է, որ մենք գործ ունենք մի քանի դեպքերի հետ, որոնց ընթացքում, օրինակ, վարակումները կարող էին ունենալ արտաքին և ներքաղաքական պատճառներ, քանի որ բոլոր վարակվածները միասին դժվար թե կարողանային հետաքրքրել հարձակում իրականացնող մեկ կողմին։
Եթե Pegasus-ի դեպքում կային կասկածներ, որ ծանուցումներ ստացածների մի մասը կարող էր լինել ներքին հարձակման թիրախ, սակայն չկային որևէ իրական հուշումներ, ապա տարվա վերջին իրավիճակը փոխվեց։ Դեկտեմբերի 16-ին առաջին անգամ Հայաստանը որպես պետություն անմիջականորեն հայտնվել է այն երկների ցանկում, որոնք օգտագործում են լրտեսական ծրագրեր ներքին դաշտում մարդկանց հեռախոսները վարակելու և լրտեսելու համար։ Դա հայտնաբերել են Facebook-ը[x] և CitizenLab-ը[xi] ։ Թիրախում քաղաքական գործիչներ և մեդիայի հետ կապ ունեցող մարդիկ են։ Օգտագործվել է մակեդոնական Cytrox ընկերության՝ Անդրոիդի և Այֆոնների համար արտադրած լրտեսական սոֆթը ։ Վարակումը գնացել է կեղծ հղումներով, որոնք նմանակել են իրական կայքեր, օրինակ՝ youtu-be[.]net։ Եղել են նաև դեպքեր SMS-ների և մեսենջերներից ուղարկած հաղորդագրությունների միջոցով։ Ավելի ուշ Google-ը, անդրադառնալով այս թեմային, հստակ արդեն նշեց, որ, իրենց գնահատմամբ սա իրականացվել է Հայաստանի Հանրապետության պետական կառույցների կողմից․ «CitizenLab-ի բացահայտումներին համահունչ՝ մեր գնահատմամբ կառավարությունների աջակցությունը վայելող հավանական դերակատարները, որոնք գնել են այս ծրագրերը, գործում են (առնվազն) Եգիպտոսում, Հայաստանում, Հունաստանում, Մադագասկարում, Կոտ դ’Իվուարում, Սերբիայում, Իսպանիայում և Ինդոնեզիայում։»[xii].
Իհարկե, չկան հստակ ապացույցներ առ այն, որ Pegasus-ը կիրառվել է Հայաստանի պետական կառույցների կողմից։ Predator-ի օգտագործման շահառուն էլ հստակ հայտնի չէ։ Մյուս կողմից, ըստ ՕՊԵՐԱՏԻՎ-ՀԵՏԱԽՈՒԶԱԿԱՆ ԳՈՐԾՈՒՆԵՈՒԹՅԱՆ ՄԱՍԻՆ օրենքի Հոդված 7-ի 3 կետի`
«Արգելվում է գաղտնի տեղեկություններ ստանալու համար նախատեսված (մշակված, ծրագրված, հարմարեցված) հատուկ տեխնիկական և այլ միջոցների օգտագործումը և օպերատիվ-հետախուզական միջոցառումների անցկացումը սույն օրենքով չլիազորված պետական մարմինների, դրանց ստորաբաժանումների կամ ֆիզիկական և իրավաբանական անձանց կողմից»: Սա նշանակում է, որ հանցագործության մասին հրապարակում է արվել, որի հիման վրա պետք է քրեական գործ հարուցվեր։ Սակայն նման տեղեկատվություն Ոստիկանությունը կամ ԱԱԾ-ն չեն տարածել։
Փաստորեն, այսօր ամենամեծ խնդիրներից մեկը տվյալ ոլորտում հանրային վերասկողության որևէ մեխանիզմի բացակայությունն է։ Չկա հնարավորություն վերահսկելու ուժային կառույցների գործունեությունը, քանի որ ողջ աշխատանքն ըստ էության հանդիսնաում է պետական գաղտնիք։ ՕՊԵՐԱՏԻՎ-ՀԵՏԱԽՈՒԶԱԿԱՆ ԳՈՐԾՈՒՆԵՈՒԹՅԱՆ ՄԱՍԻՆ օրենքի համաձայն՝ վերահսկողական ողջ գործունեության ընթացքում դա իրականացնող մարմինների ուժերի, միջոցների ու աղբյուրների, մեթոդների, պլանների, այդ միջոցառումների արդյունքների, դրանց ֆինանսավորման, օպերատիվ-հետախուզական գործունեություն իրականացնող մարմինների հաստիքային գաղտնի աշխատակիցների, ինչպես նաև այդ մարմինների հետ գաղտնիության հիման վրա համագործակցող և համագործակցած անձանց մասին տեղեկությունները հանդիսանում են պետական գաղտնիք: Իսկ Հայաստանում չկան փաստացի գործող հանրային վերահսկողության մեխանիզմներ, որոնք թույլ կտան հաշվետու դարձնել այն կառույցներին, որոնք գործում են պետական գաղտնիքի անձրևանոցի տակ։ Ըստ այդմ, քաղաքացիական հասարակությունը չունի գործիքակազմ իրավիճակը վերահսկելու կամ դրա վրա ազդելու համար։
[i] https://www.arlis.am/DocumentView.aspx?DocID=165027
[ii] Ոստիկանությանը թույլատրվել է գաղտնալսել հեռախոսային խոսակցությունները, https://www.irazek.am/hy/news/14110
[iii] Կորոնավիրուսի տարածումը կանխարգելող քաղաքացիների տեղորոշումը սահմանող նախագիծն ամբողջությամբ ընդունվեց, https://hetq.am/hy/article/115353
[iv] “Statement on destruction of information and storage devices [in Armenian],” Government of Armenia, September 25, 2020, https://www.gov.am/u_files/file/Haytararutyunner/Ardzanagrutyun.pdf
[v] Արթուր Վանեցյանի գրառումը․ https://www.facebook.com/avav111/posts/4128774197228456
[vi] Դավիթ Սանասարյանի գրառումը․ https://www.facebook.com/sanasaryan/posts/10226843862500815
[vii] Աննա Կարապետյանի գրառումը․ https://www.facebook.com/anna.karapetyan.1238/posts/4762248813827737
[viii] Վահագն Խաչատրյանի հայտարարության տեսանյութը․ https://www.facebook.com/Yerkirmedia/videos/1328478160938430/
[ix] Ռուբեն Մուրադյանի գրառումը․ https://www.facebook.com/ruben.muradyan/posts/4521469627973414
[x] Threat Report on the Surveillance-for-Hire Industry, December, 2021, https://about.fb.com/wp-content/uploads/2021/12/Threat-Report-on-the-Surveillance-for-Hire-Industry.pdf
[xi] Pegasus vs. Predator, 16 December, 2021, https://citizenlab.ca/2021/12/pegasus-vs-predator-dissidents-doubly-infected-iphone-reveals-cytrox-mercenary-spyware/
[xii] Protecting Android users from 0-Day attacks, May 19, 2022, https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/