Российское правительство наделило Роскомнадзор полномочиями по контролю за личной перепиской пользователей Интернета. Соответствующее постановление 8 апреля подписал премьер-министр Дмитрий Медведев. Ведомство получило право проводить проверки организаторов распространения информации — интернет-площадок, где у пользователей есть возможность переписки. В ходе таких мероприятий Роскомнадзор по просьбе Следственного комитета, ФСБ, Центра по борьбе с экстремизмом или других силовых структур сможет получить информацию о "фактах приема, передачи, доставки и (или) обработки электронных сообщений пользователей".
О том, какие права Роскомнадзор получил, а какие — нет, ждать ли рядовым пользователям соцсетей обысков у себя дома и как спастись от незаконной слежки Каспаров.Ru поговорил с интернет-экспертами и юристами.
"В общих чертах речь идет о смысловом продолжении закона о переносе хранения персональных данных пользователей на территорию Российской Федерации. По этому постановлению правительства проверки организаторов распространения информации возможны без согласования с прокурором, без каких-либо решений суда, только по подозрению в террористической или экстремистской деятельности", — объясняет член штаба федерального конвента "Пиратской партии" Павел Рассудов.
Рассудов не верит в заявление пресс-секретаря Роскомнадзора, что тайна переписки нарушена не будет и речь идет только о документировании факта передачи информации, но не ее содержания.
"Это немножко лукаво, потому что, судя по всему, в рамках выездных проверок будут просто изымать сервера, компьютеры, и, следовательно, будут получать полный доступ к приватной информации", — предполагает член "Пиратской партии".
Скептически настроен и член правления Ассоциации пользователей интернета, правовой аналитик Межрегиональной правозащитной ассоциации "Агора" Дамир Гайнутдинов — он не видит никаких гарантий, защищающих пользователей от незаконного чтения их писем. "В этом постановлении и в действующем "Законе об информации" нет прямого запрета на доступ сотрудников Роскомнадзора к пользовательской переписке", — подчеркивает юрист. Он считает, что неопределенные формулировки закона и постановления создают возможности для неограниченного доступа сотрудников ведомства к такой информации. "В рамках проведения проверок организатора обмена информации сотрудники Роскомнадзора в праве не только ознакомиться со списком пользователей и их установочными данными, но и получить доступ к "информационным ресурсам организатора".
Что это такое, не конкретизировано, соответственно, речь может идти и о базах данных, и о серверах, на которых хранится переписка пользователей. Если такая возможность есть, очевидно, что ей будут пользоваться",
— объясняет Гайнутдинов.
Другие угрозы видит адвокат, член правления "Ассоциации пользователей Интернета" Саркис Дарбинян. "Само постановление правительства не дает Роскомнадзору права читать содержание самой переписки, как бы этого ни хотелось определенным силовикам и чиновникам. Тем не менее перед ведомством открывается ряд новых горизонтов", — уверен Дарбинян. Он приводит пример: если оперативно-разыскные органы установят, что два пользователя вели переписку в социальной сети, в дальнейшем они могут обратиться в суд и потребовать выдать постановление на выемку самого содержания переписки. "А учитывая, что наши суды сильно не вникают в обоснованность таких требований, они с легкостью могут получить постановление, которое уже самим фактом будет ограничивать конституционные права граждан на тайну переписки", — замечает юрист.
Саркис Дарбинян также считает, что документ несет большой риск для интернет-бизнеса. Роскомнадзор теперь может требовать целую кипу документов: о технических свойствах серверов, об использовании тех или иных методов шифрования, информацию о логах пользователей (специальные файлы, в которых протоколируются определенные действия пользователя или программы на сервере — прим. Каспаров.Ru) — а за неисполнение требований оштрафовать или заблокировать.
Если "организатор распространения информации" не уведомил Роскомнадзор о начале своей работы, его могут оштрафовать на сумму до 300 тысяч рублей. Если уже внесенный в реестр интернет-ресурс не хранит данные о пользователях в России, с него взыщут до 500 тысяч рублей. Если интернет-ресурс не обеспечит доступ правоохранительных органов к данным по их запросам, сумма штрафа составит до 500 тысяч рублей.
Немаловажная деталь, отмеченная всеми экспертами: организатором распространения информации по закону можно считать не только социальные сети, юридических лиц и даже индивидуальных предпринимателей, но и "любого человека, распространяющего информацию при помощью того или иного программного обеспечения".
"Организатором распространения информации в сети "Интернет" является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет", — гласит "Закон об информации", в котором определен ключевой термин подписанного Дмитрием Медведевым постановления.
"Если у вас есть jabber-клиент (программа для быстрого обмена сообщениями — прим. Каспаров.Ru) — это у вас программа для распространения информации", — замечает Рассудов.
"Организатором распространения информации может быть признан владелец любого интернет-сайта, страницы, на которой у пользователей есть возможность оставлять комментарий, есть обратная связь",
— замечает Гайнутдинов. Он поясняет, что в подзаконных актах оговорены исключения: случаи, когда страница используется исключительно в личных или семейных целях. Но не все так просто — из исключения тоже есть исключения: даже если ресурс используется в личных целях, но на нем неограниченный круг лиц обсуждает общественно-политические вопросы, его владельца все равно могут признать организатором распространения информации.
Пока не очень понятно, кто будет признан "организатором распространения информации" в случае интереса правоохранителей к записи в соцсети. "Сеть "ВКонтакте" включена в реестр, соответственно, пользователи отдельных страниц организаторами распространения информации считаться не будут, хотя из формулировок закона это не следует. Это можно определить только опосредованно, читая правила "ВКонтакте", согласно которым пользователи не являются владельцами страниц", — отмечает Гайнутдинов. В других случаях ясности еще меньше. Юрист подчеркивает, что сами понятия "владелец страницы" и "владелец сайта" законодательно не определены, а значит, нельзя быть уверенными, что в реестр не попадут, например, администраторы популярных блогов в "Живом журнале". "Отдельных пользователей туда пока не включают. Пока в реестр попали крупные фирмы вроде "ВКонтакте", "Mail.ru", "Хабрахабр", "Мамба", — отмечает Гайнутдинов.
Рассудов полагает, что наибольший интерес властей привлечет почта политиков, активистов, бизнесменов.
Остальные люди едва ли лишатся права на тайну переписки. По мнению Рассудова, постановление может стать инструментом нечестной борьбы заинтересованных групп. "Конкуренция наиболее высока в политике и бизнесе, поэтому люди из этих сфер входят в группу риска. Понятно, что если вы обмениваетесь со своей бабушкой информацией о правнуках и котиках, вряд ли кто-то придет к Вам устраивать маски-шоу, вынимать жесткий диск из компьютера и так далее. Но если вы занимаетесь какой-то общественно-политической деятельностью, это меняет дело", — уверен Рассудов.
Эксперт не верит в то, что закон призван защитить граждан. Он отмечает, что санкционированный принятыми ранее поправками к "Закону о персональных данных" перенос серверов крупных социальных сетей вроде Google, Twitter, Facebook в Россию (они все подпадают под определение "организатора распространения информации" и, следовательно, должны быть внесены в соответствующий реестр, что пока не сделано — прим. Каспаров.Ru) нужен только для того, чтобы обеспечить доступ российских спецслужб к хранящейся на них информации. На данный момент личная информация пользователей западных соцсетей, хранящаяся в разных уголках остального мира, российским правоохранителям недоступна. По мнению Рассудова, оба документа направлены на подавление инакомыслия и неподконтрольной властям политической жизни.
Рассудов полагает, что согласие или несогласие крупных западных игроков предоставить российским правоохранительным органам доступ к персональным данным пользователей будет зависеть от "выгоды и целесообразности".
"Игроки, которые занимаются бизнесом, будут оценивать риски, и если риск потерять доходы от российского рынка будет выше затрат на перенос серверов в Россию, они на это пойдут", — думает Рассудов. По его мнению, отказаться от сотрудничества с российскими силовыми ведомствами могут некоторые некоммерческие проекты. Гайнутдинов не исключает, что Роскомнадзор "пока побаивается" внести в реестр Twitter и Facebook или "продолжает подковерную торговлю с ними".
"Пока у Twitter и Facebook, раз они не в реестре, нет обязанности хранить данные о пользователях в России, и они раскрывают информацию о них по запросам российского государства в рамках собственной политики прозрачности и сотрудничества с властями", — отмечает юрист. Однако в Роскомнадзоре этой политикой недовольны. Гайнутдинов вспоминает историю о том, как ведомство попросило сеть микроблогов раскрыть данные о 108 пользователях и заблокировать "запрещенный контент", но Twitter ни по одному из требований не пошел навстречу.
Однако юрист отмечает, что Google, Facebook и Twitter "в той или иной степени сотрудничают и с репрессивными режимами".
Он не исключает, что так будет и в России, и напоминает, что на днях появилась информация о том, что Google согласился локализовать часть серверов в России. Дарбинян напоминает, что если компании откажутся от сотрудничества, Роскомнадзор в соответствии с законом сможет заблокировать их сайт на территории России.
Тем не менее он уверен, что не все компании откажутся защищать конфиденциальность пользователей. "Я думаю, что все эти попытки тщетны. Разработчики будут уделять все больше внимания развитию криптографических средств общения, и у самих пользователей это вызовет новую волну спроса на защищенные менеджеры со стойким крипто, которые сегодня существуют в больших количествах", — отмечает Дарбинян. Он также подчеркивает, что коды таких программ открыты и если Роскомнадзор их запросит, это не даст ведомству возможность расшифровать исходное содержание переписки. Он уверен, что на этом рынке все определяет доверие пользователей к сервису, и если кто-то его не оправдает, то быстро вылетит с него.
Стоит отметить, что даже если организация не внесена в реестр, постановление правительства оставляет за Роскомнадзором право потребовать нужные данные и у нее. Ведомство также имеет право внести компанию в список самостоятельно.
Эксперты рекомендуют пользователям, желающим защитить свои персональные данные, несколько способов сохранения тайны переписки. Гайнутдинов отмечает, что пока надежнее те ресурсы, которые не внесены в реестр организаторов распространения информации.
Рассудов уверен, что главный путь борьбы с нежелательным пристальным вниманием со стороны власти — шифрование данных.
"Я бы рекомендовал скрывать свой трафик (массив информации, передаваемой через компьютерную сеть — прим. Каспаров.Ru), то есть передавать его по шифрованным каналам", — советует член "Пиратской партии". Эксперт описывает алгоритм выстраивания персональной защиты. Начать, по его мнению, следует с отказа от программного обеспечения с закрытыми исходными кодами. "И дело тут не в бесплатности, а в доступности исходного кода, чтобы его могли посмотреть специалисты. Такой программе можно доверять, в ней не будет скрытых моментов, "задних дверей" для ненужных глаз", — говорит Рассудов. Вместо Windows он рекомендует операционную систему Ubuntu. "В ней уже зашита программа для шифрования диска, и вы сможете из удобного меню установить необходимые программы для шифрованного обмена почты, например, Thunderbird. В ней надо будет настроить шифрование. Таким образом, вы будете обмениваться сообщениями, которые даже на почтовом сервере (например у Гугла) будут надежно зашифрованы. А если вы используете jabber-клиент с включенным шифрованием, никто, ни Марк Цукерберг, ни другие люди, которые будут иметь доступ к серверам, не смогут увидеть текст вашего сообщения, кроме адресата сообщения", — рассказывает Рассудов.
Дарбинян также рекомендует пользователям осваивать новое открытое бесплатное программное обеспечение и приводит несколько примеров: мессенджер для Facebook ChatSecure, WhatsApp, Cryptocat.
Стоит отметить, что зарегистрированные за границей пользователи теоретически также не застрахованы от интереса российских правоохранителей — по действующему законодательству интернет-площадки должны будут хранить в России и предоставлять силовым ведомствам информацию обо всех своих пользователях, а не только о россиянах.
"Пиратская партия" готова обжаловать закон и постановление правительства в Конституционном суде, но по действующему законодательству это возможно только после того, как появятся первые прецеденты его применения. У пользователей, чья персональная информация будет разглашена иностранной компанией, также появится возможность судиться с ответственной за это организацией, если она тем самым нарушит пользовательское соглашение. Однако обжаловать российский закон это не позволит.