суббота, 21 июля 2012 г.

Закон Яровой в практике интернет - бизнеса

Закон Яровой и Озерова может поднять цены на связь и интернет в три раза

20 июля 2016 года вступает в силу большая часть поправок, входящих в так называемый антитеррористический пакет Яровой и Озерова. Официально: Федеральный закон от 06.07.2016 № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности». Поправки предусматривают возложение дополнительных обязанностей на организаторов распространения информации в интернете. 

Кто такие «организаторы распространения информации»?

Для признания кого-либо организатором распространения информации, нужно чтобы:
  • такое лицо обеспечивало функционирование информационных систем / компьютерных программ;
  • указанные информационные системы (программы) использовались для приема / передачи / доставки / обработки электронных сообщений интернет-пользователей.

Нормы об организаторах распространения информации были написаны, в первую очередь, под почтовые сервисы, социальные сети, мессенджеры и другие сервисы для обмена сообщениями. Но буквальное толкование этих критериев позволяет отнести к организаторам распространения информации даже системного администратора, обеспечивающего функционирование Microsoft Outlook или иного почтового клиента.

Юридическая техника закона об информации была предметом критики в юридической среде уже тогда, когда понятие «организатор» только появилось с изменениями в закон об информации, внесенными в 2014 году. Именно с этой целью законодательство содержит полномочия Роскомнадзора по поиску и регистрации организаторов в реестре – с одной стороны. С другой – обязанности организаторов по хранению на территории России информации о пользователях и логов, содержащих факты приема, передачи, обработки сообщений (под «сообщением» закон понимает не только текст, но и изображения, видео и звуки). Изначальный срок хранения информации о передаче / обработке сообщений с тем, чтобы в дальнейшем передать ее правоохранительным органам, составлял шесть месяцев. Последствием подобного законотворчества является то, что формулировки закона фактически допустили возможность различного толкования понятия «организатор распространения информации» – в зависимости от того, как его истолкует госорган или суд. 

Организаторы распространения информации обязаны по требованию Роскомнадзора направлять ему уведомление о включении информации о себе в специальный реестр – такая обязанность предусмотрена еще первыми изменениями, закрепляющими обязанности организаторов. В реестр уже попали «Яндекс» («Яндекс.Диск» и «Яндекс.Почта), «Вконтакте», Mail.ru (сервисы «Мой Мир» и сеть «Одноклассники»), Rutube и другие.

Что изменится для «организаторов» в связи с законом Яровой?

  • Информацию о пользователях и логи передачи / обработки сообщений нужно будет хранить один год (вместо полугода, как было установлено ранее).
  • Появляется обязанность хранить и само содержание передаваемых сообщений в течение полугода (чтобы подготовиться к этому, дали отсрочку до 1 июля 2018 года).
  • Предусмотрено, что организатор распространения информации обязан предоставлять в ФСБ России информацию, необходимую для декодирования сообщений.
  • Затраты, связанные с хранением персональных данных, возложили на самих организаторов распространения информации. 

Буквальное прочтение закона позволяет прийти к выводу, что сведения для декодирования должны предоставляться организаторами в ФСБ России в режиме реального времени (возможно, это будет изменено подзаконным актом о порядке предоставления информации организатором).
Сама технология E2EE подразумевает, что у организатора отсутствует возможность декодирования сообщения – собственно, в этом и состоит преимущество рассматриваемой технологии шифрования.
Формулировка правила о предоставлении данных для декодирования может быть истолкована таким образом, что указанные данные должны предоставляться независимо от того, подразумевает ли технология передачи сообщений их хранение у организатора распространения информации.

Об уходе с российского рынка уже объявил VPN-провайдер Private Internet Access, который предоставлял возможность пользователям анонимно посещать интернет-страницы и обходить блокировки сайтов. В условиях подобного регулирования предоставляемые им услуги либо потеряли бы смысл, либо стали бы незаконными.


Наказания, предусмотренные для организаторов распространения информации

Ответственность за нарушение организаторами распространения информации обязанностей по хранению и предоставлению информации о фактах передачи / обработки сообщений или информации о пользователях существовала и раньше. В частности, еще до принятия антитеррористических поправок для организаций был предусмотрен административный штраф в размере 300-500 тыс. руб.

Теперь аналогичные нарушения будут наказываться штрафом в размере 800 тыс.-1 млн руб. Такой же штраф предусмотрен и при нарушении обязанности по передаче данных для декодирования сообщений пользователей. Надо заметить, что предусмотренное поправками административное наказание пока что касается только непредоставления государственному органу информации о самих фактах передачи / обработки данных, а не о содержании сообщений. В случае непредоставления контента единственная возможность возложить на коммерческую организацию ответственность – это взыскать с нее стандартный штраф за игнорирование запроса госоргана. Размер такого штрафа не может превышать 5000 рублей.

Кроме того, если в отношении организатора распространения информации будет вынесено постановление по делу об административном правонарушении, а если он не устранит нарушения закона, то это может стать поводом для блокировки интернет-сайта организатора по решению суда или Роскомнадзора.

Зарубежный опыт

В Европейском союзе в 2006 году была принята директива «О хранении данных», в силу которой на государства-участники Союза возложена обязанность по обеспечению хранения данных о трафике и местоположении пользователей, а также иных сведений, позволяющих идентифицировать подписчика или зарегистрированного пользователя. При этом специально отмечалось, что требования директивы не распространяются на содержание электронных сообщений. Но директива ЕС была признана недействительной Судом справедливости Европейского Союза по следующим причинам:

  • Директива распространяется на все лица и все средства электронной коммуникации, равно на весь трафик без какой-либо дифференциации, ограничений и исключений, которые могли бы быть сделаны в соответствии с целью борьбы с серьезными преступлениями.
  • Директива не устанавливает какого-либо объективного критерия, ограничивающего круг лиц, которым предоставляется доступ к сведениям и которые впоследствии могут их использовать. 
  • Директива не содержит гарантии предварительного административного или судебного решения о предоставлении такого доступа, равно не предписывает государствам установить такие гарантии.
  • Директивой были предусмотрены предельные сроки хранения сведений – от 6 до 24 месяцев, но при этом не было критериев, по которым должны были бы разграничиваться сроки хранения разных видов данных.

Таким образом, Суд справедливости ЕС по сути встал на защиту частных интересов. Влияние решения суда на государства-участники Союза нельзя назвать однородным. Так, например, в Швеции и Норвегии положения директивы, тем не менее, были имплементированы без особых проблем. Наоборот, в Германии, Дании, Чехии соответствующие законодательные акты признавались неконституционными ввиду противоречия стандартам права на тайну частной жизни (статья 8 Европейской конвенции о защите прав и основных свобод).

В Соединенных Штатах Америки акта подобного директиве ЕС нет. Более того, несколько попыток принятия единого акта (в конце 1990-х и в 2009 году) так и не увенчались успехом. Тем не менее, отсутствие единого акта не мешает США собирать информацию о пользователях. Информация о пользователях в различных объемах собирается и государственными ведомствами, и частными компаниями. Например, Amazon сохраняет информацию о проводимых пользователями трансакциях, а Google в дополнение к этому еще и историю поисковых запросов.

Федеральное бюро расследований, в свою очередь, может потребовать от организатора распространения информации (частной компании) предоставить собранную информацию, направив так называемое «Письмо национальной безопасности» (National Security Letter). Примечательно, что направление такого письма не требует предварительного или последующего судебного одобрения и, более того, практически не может быть оспорено.

В целом, легализация сбора информации о пользователях Сети является не специфично российским, а глобальным международным трендом. Поэтому все, что остается участникам интернет-рынка – приспосабливаться к поиску баланса между:

  • интересами чиновников
  • собственными интересами
  • интересами пользователей

Комментариев нет:

Отправить комментарий

Есть комментарий? - Пиши.

Новая неделя

ПИШИТЕ: avatarabo@gmail.com  ЗВОНИТЕ: ☎ WhatsApp +7 902 064 4380 (02:00 - 15:00 по Москве)