20 июня на сайте Государственной думы появился законопроект по противодействию террористической угрозе, который, возможно, будет принят уже на этой неделе. Согласно ему, операторы связи будут обязаны хранить данные о переписке пользователей до шести месяцев, а также предоставлять по требованию силовых органов ключи для дешифровки переписки. Мы узнали, что думают о законопроекте участники рынка.
Срок издержек не уменьшит
Владимир Габриелян (Mail. Ru Group) отмечает, что пока новые законы для IT-отрасли не идут на пользу отечественным компаниям и выделяет целый ряд проблемных моментов.
<p>«Мы видим ряд проблем в предложенных поправках:<p>
<p>1. Как показала правоприменительная практика, даже текущему законодательству соответствуют в основном российские компании, неся на это дополнительные издержки в отличие от зарубежных конкурентов.</p>
<p>2. В соответствии с текущим законодательством, ограничение тайны переписки граждан является прерогативой судебных органов, и такое решение выносится в отношении конкретного человека. В случае передачи сертификатов, позволяющих расшифровать трафик, по сути происходит ограничение тайны переписки сразу всех пользователей.</p>
<p>3. Также не были услышаны заявления игроков отрасли об том, что хранение не только фактов, но и данных в течение шести месяцев потребует гигантских капиталовложений от операторов связи и организаторов распространения информации, что приведет к неминуемому повышению цен на услуги связи в стране.</p>
<p>4. В современных реализациях приложений для шифрованного общения ключи находятся у собеседников, а не у компании, предоставляющей сервис. То есть для начала реализация данного пункта технически невозможна»</p>
Анастасия Васильченко (Yota) подчеркивает, что внимательно следит за развитием событий и согласна с тем, что принятие законопроекта потребует значительных расходов.
«На данный момент законопроект готовится к обсуждению во втором чтении. Мы будем следить за ходом рассмотрения документа. Хранение данных, а также их детализация по уровня содержания текстовых сообщений и медиафайлов, потребуют от операторов колоссальных вложений в расширение инфраструктуры систем хранения данных. <p>Мобильный оператор является для OTT-сервисов только транспортом, через который идет их трафик, в большинстве случаев —зашифрованный. Поэтому контролировать то, что происходит на стороне мессенджеров, мы никак не можем»</p>
Представитель «ВымпелКом» сообщил theRunet, что оператор не хранит у себя данные переписки абонентов через мессенджеры и ключей шифрования этих данных у компании нет. Мессенджеры самостоятельно осуществляют шифровку переписки, поэтому все ключи шифрования хранятся на их стороне, и в большинстве случаев — за пределами страны.
Компания «Мегафон» от комментариев отказалась, МТС к моменту публикации статьи на запрос не ответила.
Что думают юристы
Александр Самарин, юрист Правовед.RU, считает, что передача ключей для дешифровки данных не подпадает под разглашение коммерческой тайны и что на волне борьбы с терроризмом может законопроект вполне может пройти.
«Формально тут нет нарушения, ведь данными поправками организатор распространения информации в сети «Интернет» только обязан передать информацию необходимую для декодирования и не даётся сам доступ без решения суда к переписке. <p>Окончательную точку может поставить только Конституционный Суд РФ, но скорее всего нарушений не будет найдено.
Предлагаемые законопроектом изменения позволят обеспечить реализацию дополнительных мер по защите гражданина и общества от терроризма, а также будут способствовать упреждению указанных преступлений.</p><p>
Выиграют от этого спецслужбы. Конечно, угроза терроризма реальна, но насколько добросовестно и обосновано будут использоваться предоставленные возможности спец.службами сказать трудно. Про незаконные прослушивания много писалось не так давно, и нет уверенности, что переписку будут читать только в целях, указанных в законе. А в общем и целом если исходить из заявленных целей поправок, то это только польза»</p>
Сергей Щербак, эксперт по европейскому праву и основатель Compliance Design Europe, отмечает, в ЕС таких законов точно не принималось, и что не всегда ясно, является ли та или иная онлайн платформа провайдером интернет услуг, на которых обычно распространяется данное обязательство.
«Я не слышал, чтобы где-то в ЕС такие законы существуют: опять же, мы ограничиваемся частью обязанностей провайдера (платформы, intermediary, и т. д.) по раскрытию end-to-end зашифрованных коммуникаций и/или по хранению содержания коммуникаций. В то же время, в Европе (но не во всех странах ЕС) распространено законодательство об обязательном хранении мета-данных коммуникаций (общая информация — адреса корреспондентов, длительность переписки, и т. д.), т. е. traffic data, что сильно отличается от содержания коммуникаций (например, текст самих сообщений).<p>
Это все вопросы юридической трактовки в разных странах. В Швеции, например, контент провайдеры и онлайн платформы, не связанные напрямую с сетевой инфраструктурой, вряд ли попадают под действие таких обязательств. </p><p>Из этого всего можно сделать вывод, что даже при условии наличия юридических обязательств сбора мета-данных операторами связи и провайдерами доступа к сети Интернет, сбор таких мета-данных онлайн платформами (социальные сети, мессенджеры и т. д.) не всегда обязателен»</p>
Закон об информации в статье 10.1 дополнен словами «включая переписку» и «6 мес». По сути это значит, что «распространители» информации в сети будут обязаны в течение полугода хранить в том числе и переписку.
«C учетом внесенных изменений, на наш взгляд следует более детально подойти к тому, кто является организатором распространения информации в сети «Интернет» так как на сегодня это понятие можно трактовать очень широко.
По сути сейчас обязанность по хранению можно возложить на любой сайт, который имеет возможность обмена личными сообщениями.
Так как изменения связаны с угрозой безопасности, то возможность такого ограничения предусмотрена Конституцией и ей не противоречит. Но проработать эту норму точно следует детальнее»
Артем Толкачев, Толкачев и Партнеры, отмечает, что при предоставлении уполномоченному органу исполнительной власти информации, необходимой для декодирования электронных сообщений, формально не происходит нарушений Федерального закона «О коммерческой тайне», поскольку в данном законе содержатся положения, обязывающие обладателей информации, составляющих коммерческую тайну, предоставлять ее государственным органам по их мотивированному требованию.
«По нашему мнению, шифрование электронных сообщений является техническим способом обеспечения конституционных прав человека на неприкосновенность частной жизни и тайну переписки. <p>Более того, Конституция РФ предусматривает возможность ограничения права на тайну переписки только на основании судебного решения. Предлагаемые же поправки нарушают гарантируемые Конституцией РФ права человека, поскольку позволяют без решения суда получить доступ к электронным сообщениям пользователя сети «Интернет», тем самым запретить ему использовать средства защиты своих данных.</p><p>
В связи с этим мы полагаем, что при установлении правового регулирования, направленного на обеспечение информационной безопасности, обязательно должны учитываться гарантированные права и свободы граждан, а также должен соблюдаться баланс интересов граждан, общества и государства»</p>
Проблемы с SSL
Нынешний законопроект будет малоэффективен с учетом того, что у большинства крупных операторов связи, почтовых сервисов и мессенджеров стоит СОРМ — система технических средств для обеспечения функций оперативно-розыскных мероприятий в сетях телефонной, подвижной и беспроводной связи и радиосвязи, считает Матвей Алексеев (Rambler&Co).
«В рамках российской юрисдикции и борьбы с терроризмом и экстремизмом, то есть там, где речь идет о жизни человека и органах, отвечающих за безопасность жизни и здоровья граждан — мы не видим ничего плохого в передаче информации ФСБ или другим органам ОРД. Что касается хранения, то это катастрофически скажется на бизнесе. У нас стоит СОРМ, и так все работают. Этот закон малоэффективен»
Анонимный источник рынка кибербезопасности уточнил, что при принятии этого закона возможна проблема с выпуском SSL-cертификатов для России, без которых невозможно защищенное соединение.
Если кто угодно сможет читать закодированные/зашифрованные сообщения, то пропадает весь смысл шифрования. Вы заплатили карточкой в интернет-магазине. И эти все данные кто-то «слил» из госоргана. Получается, что данные скомпрометированы. Поэтому CA/B форум, организация, которая устанавливать правила для всех центров сертификации, которые выдают SSL-сертифткаты, вероятнее всего вынужден будет принять решение о том, что для России больше нельзя выпускать SSL-сертификаты. Без https пароль от сервиса может быть легко перехвачен, например, через поддельную Wi-Fi точку.