Реальні межі правил паролів для пристроїв у Гонконзі: застереження посольства США у Гонконгу викликає паніку щодо «апаратних гаманців»?

Автор: Шао Цзядянь

(Наведені вище скріншоти походять із офіційного сайту Генерального консульства США в Гонконзі)

Нещодавно в криптосфері шириться дуже поширена інформація, суть якої приблизно така: Гонконг уже може вимагати розкрити паролі до електронних пристроїв; якщо не виконувати вимогу, це становитиме злочин; навіть апаратні гаманці можуть бути потенційно «перекриті» (тобто потрапити під доступ/втручання). Безпосереднє джерело таких тверджень — це попередження про безпеку, опубліковане Генеральним консульством США в Гонконзі 3 місяць 2026 року. У первісному тексті все насправді досить прямо написано:

«On March 23, 2026, the Hong Kong government changed the implementing rules relating to the National Security Law. It is now a criminal offense to refuse to give the Hong Kong police the passwords or decryption assistance to access all personal electronic devices including cellphones and laptops. This legal change applies to everyone, including U.S. citizens, in Hong Kong, arriving or just transiting Hong Kong International Airport. In addition, the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.」

Якщо розглядати лише цей уривок, дуже легко скласти інтуїтивне враження: потрапивши в Гонконг, можуть вимагати надати пароль до пристрою. Після того, як це «підхопили» в соціальних мережах, з’явилася ще емоційніша версія — «не беріть апаратний гаманець у Гонконг». Але якщо йти цим повідомленням далі, легко перебільшити рівень ризику, і навіть сприйняти це як універсальне правило для всіх. Проблема в тому, що подібні попередження часто акцентують лише на наслідках, але не пояснюють чітко, за яких саме умов і в яких сценаріях це застосовується. Щоб справді розібратися, потрібно повернутися до самих правових норм, які стоять за цим.

Що саме змінили цього разу в Гонконзі

У дискусії, що виникла, йдеться не про абсолютно новий закон, а про посилення в рамках «Hong Kong National Security Law» у розділі «electronic evidence acquisition» (отримання електронних доказів) у «Implementation Rules» (Правилах імплементації). Головні зміни, по суті, зосереджені на одній речі: правоохоронні органи можуть не лише отримувати доступ до ваших пристроїв, а й вимагати від вас «співпрацювати, щоб відкрити дані». У відповідних статтях є ключове формулювання:

«A person must comply with the requirement to provide such assistance as is reasonably necessary to enable an officer to access the information.」

Якщо дивитися лише на це речення, воно може здатися трохи абстрактним. Насправді воно означає, що правоохоронні органи можуть вимагати від вас співпраці, щоб вони могли «розібратися в тому, що міститься на пристрої». Це «assistance (協助/допомога)» не є загальним поняттям — у подальших нормах її межі прописані дуже конкретно:

«The assistance may include providing access to an electronic device, providing any password, decryption key or other information necessary for gaining access to the information.」

Якщо поєднати ці два фрагменти, виходить дуже реалістичний сценарій: правоохоронні органи можуть не лише вилучити ваш пристрій, а й вимагати, щоб ви надали разом із ним пароль, спосіб розблокування — і навіть такі «шляхи доступу», як seed-фраза/мнемонічна фраза.

Ще важливіше те, що така «співпраця» більше не є питанням вашого бажання чи небажання — це законодавчий обов’язок із примусовим характером. У тексті одразу ж зазначено:

«A person who fails to comply with the requirement without reasonable excuse commits an offence.」

Тобто за умови, що норма застосовна, якщо ви відмовляєтеся надавати пароль або відмовляєтеся співпрацювати для розблокування, це саме по собі може становити злочин; а якщо ви надаєте неправильну або вводячу в оману інформацію, на вас може чекати ще суворіша відповідальність.

Якщо дивитися на зміни з точки зору логіки правозастосування, вона справді доволі пряма:

Раніше, навіть отримавши пристрій, правоохоронні органи не обов’язково могли дістати дані; тепер же закон дозволяє їм прямо вимагати від вас передати «вхід до даних».

Багато хто тут відчуває інтуїтивний дискомфорт, і причина проста: ці правила стосуються не самого пристрою, а контролю як такого. Для зашифрованих активів це особливо чутливо, адже пристрій — лише оболонка; вирішує належність активів та права розпорядження тією інформацією, чи готові ви її розкрити.

Пристрій не лише можуть обшукати, а й можуть тривалий час утримувати

У підказці від Генерального консульства США в Гонконзі є ще одна фраза:

«the Hong Kong government also has more authority to take and keep any personal devices, as evidence, that they claim are linked to national security offenses.」

Якщо перевести цю фразу на ще пряміше людське розуміння, то виходить ось що: можна не лише перевіряти ваші пристрої, а й забирати їх, а також зберігати певний час як докази. За цим стоїть розширення повноважень щодо «seizure and detention» (вилучення та затримання) в «Implementation Rules». Відповідні норми дозволяють правоохоронним органам, якщо вони вважають, що певний пристрій пов’язаний із справою щодо національної безпеки, вилучити цей пристрій і зберегти його як доказ.

Якщо дивитися лише на сам факт «вилучення пристрою», то в кримінальних справах це не є чимось особливим — у різних юрисдикціях існують подібні механізми. Але якщо поставити це поруч із «обов’язком допомогти з розшифруванням», про який йшлося в попередньому розділі, стає видно: акцент цього разу не на одній окремій нормі, а на їхній комбінації.

У реальних шляхах правозастосування це, приблизно, виглядатиме так: пристрій можуть забрати безпосередньо, дані можуть вимагати розблокувати, а відмова співпрацювати з розблокуванням спричиняє додаткові правові ризики. Три кроки, з’єднані разом, фактично покривають кілька найкритичніших етапів у цифровій криміналістиці. Раніше ситуація «пристрій у руках правоохоронців, але дані отримати не вдається» на рівні системи була суттєво звужена.

З практичної точки зору, вплив цього зміни полягає не в звичайній перевірці, а в тому, що якщо пристрій потрапляє в рамки конкретної справи, він перестає бути лише об’єктом короткочасного перегляду і може перейти в стан тривалого контролю та аналізу. Ось чому багато людей інтуїтивно відчувають дискомфорт від таких правил: вони торкаються не самого пристрою як речі, а вашого права на тривалий контроль над ним.

За яких умов ці повноваження застосовуватимуться

Перші кілька правил, якщо дивитися на них окремо, легко породжують хибне розуміння: чи означає це, що щойно ви потрапили в Гонконг, правоохоронні органи можуть у будь-який момент вимагати від вас розблокувати пристрої? Але якщо повернути ці норми у їхню початкову правову структуру, такий висновок не витримує критики.

Ці заходи в «Implementation Rules» не існують незалежно — вони спираються на одну умову —

«for the purpose of the investigation of an offence endangering national security»

Тобто вся ця сукупність повноважень «вимагати допомоги з розшифруванням» призначена для розслідування справ щодо національної безпеки, а не є універсальним інструментом загального правозастосування.

Тут потрібно особливо звернути увагу на два рівні обмежень.

Перше — це сам тип справи. «Hong Kong National Security Law» охоплює лише певні категорії дій, наприклад: розколювання країни, повалення/підрив державного ладу, терористичні дії та змови з іноземними силами тощо. Усе це належить до категорії кримінальних злочинів, а не до звичайних адміністративних порушень.

Друге — це поріг для запуску. На практиці в правозастосуванні зазвичай потрібно досягти рівня «reasonable grounds to suspect», тобто наявності обґрунтованих підстав підозрювати, що без цього не можна перейти на цей етап.

Якщо поєднати ці дві умови, отримаємо оцінку, ближчу до реальності: ці правила — не механізм регулярної перевірки для всіх, а норми, спрямовані на тих суб’єктів, які вже включені в рамки розслідування. Саме тому фраза в підказці американського представництва — «applies to everyone» — легко читається помилково. Вона підкреслює межі застосування закону, а не ймовірність того, що правозастосування відбудеться.

Чому згадують апаратні гаманці, але це не є фокусом правил

Багато обговорень концентруються на «apпаратних гаманцях». Насправді це типовий ефект під час поширення інформації — сильне перебільшення акценту. З погляду юридичного тексту, немає жодної норми, яка б спеціально стосувалася криптовалютних гаманців. Відповідні статті використовують більш абстрактні формулювання, наприклад: «electronic device», «information», «information system». Така лексика сама по собі вказує: у процесі законодавства увага була спрямована не на якийсь конкретний інструмент, а на всі можливі носії даних або носії контролю.

У тлумаченні: апаратний гаманець, безумовно, може підпадати під «electronic device» — у цьому немає суперечок. Але якщо подивитися на один рівень глибше, стає видно, що логіка правозастосування не розгортається навколо «типу пристрою», а навколо «чи пов’язаний він із справою».

Наведу приклад, ближчий до практичного розуміння: правоохоронні органи не почнуть цікавитися вашим апаратним гаманцем лише через те, що він у вас є. Тригерами зацікавленості є те, чи пов’язаний цей гаманець із конкретним акаунтом, певною сумою грошей або певним пунктом розслідування. Якщо зв’язок існує, то цей пристрій і телефон/комп’ютер не матимуть принципової різниці — і його можуть вимагати розблокувати. Якщо зв’язку немає, він залишається звичайним електронним пристроєм. Багато людей помилково сприймають проблему як «Гонконг почав переслідувати холодні гаманці», і через це збиваються. Насправді правила торкаються «того, хто контролює дані», а не «де саме вони зберігаються».

Порівняння з США: базова логіка проблеми паролів цілком інша

Якщо поставити ту саму проблему в американський контекст, відповідь буде зовсім іншою. Сполучені Штати, звісно, теж можуть перевіряти пристрої, вилучати пристрої і навіть отримувати дані технічними засобами. Але щойно справа доходить до «вимоги, щоб ви самі назвали пароль», закон одразу стає обережним. Основне тут — фраза з «П’ятої поправки до Конституції США»:

«No person… shall be compelled in any criminal case to be a witness against himself.」

На основі цього принципу американські суди довго розглядали питання: чи є введення пароля «свідченням» (testimony).

Станом на нині провідні підходи судової практики приблизно сформували доволі чітку межу:

паролі, seed-фраза (мнемоніка) та інша «інформація в пам’яті» — частіше визнаються такими, що мають «testimonial» характер, і в принципі їх не можна примусово розкривати

відбитки пальців, розпізнавання облич (face recognition) та інші «фізичні ознаки» — ближчі до надання «ключа», і за певних умов їх можна примусово використовувати

На цій основі в США також розвинули доктрину «foregone conclusion doctrine» (виняток «вже доведені факти»). Якщо правоохоронні органи вже можуть довести наявність певних даних і їхній взаємозв’язок/належність, тоді вони можуть вимагати співпраці з доступом з боку зацікавленої особи. Але цей стандарт сам по собі має високий поріг, сфера застосування обмежена і часто стає предметом суперечок.

Якщо зібрати ці правила разом, стане видно: у США правоохоронці можуть знайти спосіб дістати ваш пристрій, а також через різні шляхи наблизитися до ваших даних, але вимога, щоб ви самі віддали пароль, сама по собі обмежена Конституцією і не може бути реалізована безпосередньо та легко.

А шлях, який використала цього разу Гонконгська сторона, не запровадив логіку обмеження щодо «самообвинувачення». Натомість «обов’язок допомогти з розшифруванням» включили в систему юридичних обов’язків; як тільки справа входить у рамки розслідування щодо національної безпеки, відмова співпрацювати сама по собі породжує правові ризики.

Якщо поставити дві системи поруч і порівняти, це буде дуже наочно: у США паролі ближчі до «захищеної інформації»; у Гонконзі в конкретних справах їх розглядають як «обов’язкову допомогу, яку треба надати». Саме тому для однакового типу зашифрованого пристрою в різних юрисдикціях оцінка ризику може помітно відрізнятися.

Що це означає для звичайних утримувачів зашифрованих активів

Після того як правила роз’яснено, це можна звести до простішого питання: наскільки сильно ця зміна вплине на людину, яка нормально тримає та використовує зашифровані активи?

Якщо ваша поведінка сама по собі «чиста» — ви просто тримаєте монети, здійснюєте транзакції, робите інвестиції або берете участь у якихось звичайних активностях у блокчейні — тоді зміни в Гонконзі майже не змінять ваш щоденний рівень ризику. Це не механізм універсальних перевірок для пересічних людей, і сам факт того, що ви носите апаратний гаманець, не автоматично запускає додаткову увагу з боку правоохоронців.

Але якщо перенести погляд на рівень вище, ця корекція справді випускає більш чіткий сигнал: у конкретних справах можливості гонконгських правоохоронців отримувати контроль над ончейн-даними посилюються, і тепер вони не повністю покладаються на технічні методи — натомість можуть реалізувати доступ через юридичні обов’язки. Це матиме практичний вплив на тих, чиї дії пов’язані зі складними структурами коштів, транскордонним переміщенням або «сірими зонами» меж.

З практичної точки зору, на що варто звернути увагу насамперед — не на «безпеку пристрою», а на «безпеку структури». Чи зосереджені ваші активи під єдиним приватним ключем, чи можуть ваші адреси бути пов’язані з мітками підвищеного ризику, чи витримує шлях ваших коштів пояснення — ці питання набагато ближчі до реального ризику, ніж «везти гаманець чи ні під час в’їзду».

Якщо цій новині обов’язково треба залишити якийсь практичний зміст, то він, імовірно, полягає не в звичках подорожей, а в більш реальній зміні: у деяких сценаріях, які вже потрапили в зону уваги правоохоронців, контроль над ончейн-активами більше не визначається лише технікою в односторонньому порядку.