Правовой аналитик ассоциации «Агора» и специалист в области свободы интернета Дамир Гайнутдинов объясняет, к каким из ваших данных получил доступ Роскомнадзор и как можно защитить частную информацию
8 апреля Дмитрий Медведев подписал постановление правительства №237 с очень длинным названием – «Об утверждении Правил осуществления контроля за деятельностью организаторов распространения информации в информационно-телекоммуникационной сети "Интернет", связанной с хранением информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет" и информации об этих пользователях».
Сами правила отнюдь не так длинны, как этого можно было бы ожидать, принимая во внимание неопределенность статьи 10.1 федерального закона «Об информации, информационных технологиях и о защите информации», и это как раз тот случай, когда краткость — не сестра таланта.
Что стоит за клеймом «организатор распространения информации»
Напомним, что понятие «организатор распространения информации» было включено в закон в рамках так называемого антитеррористического пакета, подготовленного группой депутатов во главе с Ириной Яровой. Организатором может быть признано любое лицо, «осуществляющее деятельность по обеспечению функционирования информационных систем или программ для ЭВМ, которые предназначены или используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет"», то есть, строго говоря, любой сайт, на котором предусмотрена возможность комментирования, форум или даже просто форма обратной связи. Сейчас в этот реестр включены такие сервисы как «Вконтакте», «Одноклассники», Mail.Ru («Мой.Мир», Mail.Agent), «Яндекс», сайты знакомств Mamba и Wamba, «Хабрахабр», roem.ru, KM.ru, LiveInternet и множество других. Очевидно, что этот список будет расти.
На практике включение в реестр означает, что владелец сервиса в течение полугода должен будет хранить огромный массив пользовательской информации, в частности:
- идентификатор пользователя, регистрационные данные, включающие в себяинформацию о сетевом адресе, с которого осуществлена регистрация пользователя, с указанием точного времени регистрации и информацию, указанную пользователем при регистрации, а также информацию о прекращении регистрации в сервисе;
- сведения о фактах авторизации с указанием идентификатора пользователя, точного времени и сетевых адресов, с которых осуществлялась авторизация;
- информацию об изменениях либо дополненную пользователем информацию о номере телефона или адресе электронной почты, а также иных сведений, указанных им при регистрации;
- информацию об оказанных пользователю платных услугах с фиксацией точного времени их оказания, организации, оказывающей платежную услугу, а также фактически фиксируемой коммуникационным интернет-сервисом информации об оплате таких услуг (валюта, сумма, номер транзакции, использованная платежная система и идентификаторы платежной системы);
- сведения о фактах приема, передачи или обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей (информация о точном времени приема, передачи, доставки или обработки электронных сообщений с указанием информации об адресатах этих сообщений);
- информацию об электронных платежах (с указанием информации о корреспонденте – идентификаторе платежной системы, валюты, суммы, оплачиваемой услуги или товаров, осуществленных транзакциях (с указанием электронного кошелька, суммы прихода либо расхода и т.п.).
Что изменил новый порядок слежки
Новое постановление правительства №237 регламентирует порядок, по которому Роскомнадзор проверяет соблюдение организаторами распространения информации обязанностей по хранению пользовательских данных. Формальным (и, пожалуй, единственным) плюсом этого порядка, установленного 8 апреля, является лишение Роскомнадзора права инициировать проверки по собственной инициативе (а такое право было прописано в первоначальной редакции правил). Основанием для проверки может быть только обращение органа, осуществляющего оперативно-розыскную деятельность или обеспечение безопасности (согласно 13-й статье федерального закона «Об ОРД» это ФСБ, МВД, ФСКН, ФСИН, ФСО, Служба внешней разведки и Таможенная служба) либо истечение срока исполнения организатором ранее выданного предписания об устранении нарушений. С другой стороны, опубликованная хакерской группировкой «Анонимный интернационал» переписка чиновников свидетельствуют о том, что, выполняя указания администрации президента, Роскомнадзор иногда берет функции координации госорганов на себя.
Повысилась ли читаемость
Самым обсуждаемым вопросом в связи с опубликованными правилами стала неопределенность относительно доступа уполномоченных чиновников Роскомнадзора непосредственно к переписке пользователей. Пресс-секретарь Роскомнадзора Вадим Ампелонский заявил, что СМИ неверно интерпретировали правила, и права читать личные сообщения у ведомства нет.
Действительно, в ранее принятом постановлении правительства РФ №759 (от 31 июля 2014 года), которым были утверждены правила хранения информации, особо оговаривается, что содержание переписки пользователей в состав информации, подлежащей хранению организатором информационного обмена, не входит. Однако де-факто интернет-сервисы пользовательскую переписку, как правило, хранят, и не полгода, а гораздо дольше — можете зайти в архив своих сообщений и почитать, что вы писали друзьям несколько лет назад. Это удобно, однако все, что вы написали, может стать доступно проверяющим.
Порядок проведения проверочных мероприятий составлен таким образом, что чиновники Роскомнадзора получают право осуществлять «просмотр, анализ информационных ресурсов организатора распространения информации, запись и фиксацию действий, доступных пользователю». При отсутствии в правилах детальной регламентации процедуры просмотра и анализа информационных ресурсов, а также прямого запрета на доступ не уполномоченных лиц к содержанию электронной переписки, никаких гарантий, что лица, проводящие проверку, не смогут читать ваши сообщения, нет.
Таким образом, новые правила действительно не содержат разрешения читать пользовательскую переписку, однако они создают условия, при которых помешать чиновнику это делать не сможет никто. Кроме этого, даже тот факт, что вы ведете переписку с конкретным адресатом, может, как говорится, быть использован против вас. А уж к такой информации Роскомнадзор будет иметь доступ на вполне законных основаниях.
Отсюда следует вывод о единственно возможной в таких обстоятельствах мере предосторожности — не пользоваться сервисами, включенными в реестр организаторов распространения информации, для передачи или хранения сведений, которые вы хотели бы сохранить в тайне, а также начинать осваивать доступные средства шифрования.
Кстати, проверить включение сервиса в реестр можно на сайтеРоскомнадзора.