Которое разъясняет нормы «пакета Яровой» в отношении интернет-сайтов, мессенджеров и других сервисов. В документе уточняется, что все организаторы распространения информации обязаны хранить трафик пользователей в течение шести месяцев. Речь идёт о голосовой информации, изображениях, звуках, видеозаписях и электронных сообщениях интернет-пользователей.

Это серьёзное ужесточение «пакета Яровой» с учётом того, что от интернет-провайдеров требуется хранить трафик пользователей только в течение 1 месяца.

Но если вы пользуетесь зарубежным VPN, то на вас правила могут не распространяться. В этом случае сайты и мессенджеры не обязаны хранить ваши сообщения.

Постановление № 728 имеет достаточно длинное название «Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети "Интернет" текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет" голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет"».

Но суть его формулируется вполне лаконично.

В первом пункте перечисляется информация, на которую распространяется постановление. Она же перечислена в названии подзаконного акта: это голосовая информация, изображения, звуки, видео-, иные электронные сообщения пользователей.

Во втором пункте сообщается, что организатор распространения информации (ОРИ) обязан хранить эту информацию на территории России «и предоставлять электронные сообщения в установленном порядке уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации».

Второй пункт разъясняет, на кого распространяются данные правила (если вкратце - только на россиян):

1. На пользователей, зарегистрировавшихся с использованием сетевых адресов, определяемых организатором распространения информации как используемые на территории Российской Федерации.
2. На пользователей, авторизовавшихся с использованием сетевых адресов, определяемых организатором распространения информации как используемые на территории Российской Федерации.
3. На пользователей, указавших при регистрации или использовании функций коммуникационного интернет-сервиса документ, удостоверяющий личность, выданный органом государственной власти Российской Федерации (основной документ или иной документ, удостоверяющий личность).
4. На пользователей, использующих для доступа к коммуникационному интернет-сервису устройства и (или) программы для ЭВМ, передающие географические данные (метаданные), указывающие на нахождение на территории РФ.
5. На пользователей, о которых ОРИ проинформирован уполномоченными госорганами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности РФ, о том, что пользователи находятся на территории РФ.

Наконец, в третьем пункте указывается срок хранения: 6 месяцев с момента окончания приёма, передачи, доставки и (или) обработки электронных сообщений.

Очевидно, под определение «иных электронных сообщений» пользователей попадают сообщения на форумах и в социальных сетях, в том числе личные сообщения, комментарии к статьям, сообщения в мессенджерах и так далее. Труднее всего придётся владельцам мессенджеров, которые поддерживают передачу видео- и звуковых сообщений (Skype, Hangout). Потому что им придётся или открывать собственные дата-центры в России, или договаривать с владельцами существующих, а затем хранить тут довольно существенные объёмы трафика. Разумеется, нужно выделить специальный персонал, который будет следить за соблюдением правил, то есть корректным хранением данных. В этом смысле нормы российского законодательства напоминают европейский GDPR, за одним отличием: европейское законодательство нацелено на защиту персональной информации граждан и предусматривает несколько процедур, в соответствии с которыми пользователь может потребовать удаления своих данных. Более того, оператор обязан удалять персональные данные пользователей через определённый промежуток времени. Российское законодательство подходит к вопросу с другой стороны. Да, здесь оператор тоже обязан хранить данные в местной юрисдикции, но вовсе не для защиты персональных данных пользователя, а для упрощения оперативно-разыскных мероприятий. Российское законодательство никак не требует обязательного удаления данных через определённый срок, устанавливает только минимальный, но не максимальный срок их хранения.

Предупреждение по просьбе администрации сайта: «При комментировании этого материала просим соблюдать правила. Пожалуйста, воздержитесь от оскорблений и токсичного поведения. В комментариях работает постмодерация».

Нет, правда были мысли, что они скажут «Банк не работает, потому что Жаров меряется пип облажался?»

Расчёт на то, что люди начнут жаловаться в банк, а банк уже понимает, что к чему, и теряет платежи / пользователей. Т.е. проблемы надо создать людям (как ни печально) и банку, а уже банк должен сделать вывод о том, кто облажался.

Инетом пользуется по разным подсчётам 50-70млн граждан. Как собираешься убедить «сделать массово», ну хотя бы треть?

Но даже с этим проблема - треть не верит, треть не хотят «как бы чего не вышло», треть хотят какого-то невнятного движа типа митингов.

Собственно в этом и был мой изначальный вопрос: а надо ли это реально людям? Если всем и так нормально, то ничего делать не надо.
Но вы правы в том смысле, что большинство простых пользователей могут просто не очень понимать, что это, зачем и как работает. Собственно, как убедить - так же, как и в маркетинге. Социальные сети (пока их не успели заблокировать), ютуб, мессенджеры. Но распространение должно сопровождаться интересным и доступным простому пользователю текстом и видеороликом о том, почему это плохо, и как программа помогает бороться. Это должен быть реально крутой пятиминутный ролик, который станет вирусным, в стиле новостных программ на тв, привычных гражданам.

Написать открытое письмо. Строго и сдержанно объяснить насколько серьёзно и опасно технически всё происходящее сейчас, доступным языком для тех кто далек от IT.
Подписать под это хотя бы 5-6 тысяч IT спецов. И направить президенту, директору ГБ, и ещё 3-4 представителям типа эконом развития итд.

Мне нравится, давайте подумаем, как реализовать. Не знаю, можно ли использовать что-то вроде change.org и ему подобные - я смотрю, там есть удачные кейсы.

P.S. Просто для сведения. Сейчас работаем с китайским клиентом, буквально вчера разворачивал приложение ему на сервер. Вроде всё поднял, а подключиться к серверу извне не могу, даже просто телнет на 80 порт с самого же сервера на его IP не проходит. Думал, там есть какая-то панель типа AWS, к которой мне не дали доступ и где настраиваются security groups, пишу письмо клиенту. Оказалось, у них, перед тем как провайдер разрешит подключение на сервер на 80 порт, надо купить домен и получить лицензию ICP (Internet Content Provider):

С вики

Лицензия была создана Положением о телекоммуникации в КНР (кит. 中华人民共和国电信条例) и обнародована в сентябре 2000. Следуя этому закону, все сайты, имеющие доменное имя и работающие в пределах КНР обязаны иметь эту лицензию, причём интернет-провайдеры обязуются блокировать сайты без этой лицензии. Лицензии выдаются на уровне провинций.

Работа сайта именно в КНР является необходимым условием для получения лицензии. Иностранные компании, например, Google, не могут получить лицензию ICP на своё имя, именно поэтому Google приходится пользоваться своими китайскими партнёрами.

Просто чтобы вы понимали, насколько это реально в современном мире во вполне себе экономически высокоразвитой стране. Если мы что-то не сделаем прямо сейчас, то скоро в России будет всё тоже самое.

Персональные данные - это сведения о том или ином физическом лице. Эту информацию пользователи вводят на различных интернет-серверах ежедневно. В 2015 году подписан закон о хранении персональных данных. Согласно этому акту информация о гражданах РФ может храниться лишь на территории России. Что это значит? И чем грозит несоблюдение

Предыстория

Еще в далеком 2006 году был принят ФЗ о персональных данных, призванный регулировать специфические отношения физических лиц с так называемыми операторами. Целью его было обеспечить защиту пользователей интернета от нежелаемой обработки и передачи личных данных третьему лицу.

Оператор - это понятие довольно широкое. Им может быть и государственный орган, и юридическое лицо, и физическое. Оператор - это тот, кто в каких-либо целях вносит личные данные о человеке в свою базу. Он, разумеется, не имеет права разглашать данные и использовать их в целях, которые неизвестны тому, кто их предоставил. Такие действия неэтичны, а последние десять лет они являются также и незаконными.

С 1 сентября 2015 года, после того как был подписан закон о хранении персональных данных на территории России, оператор больше не вправе пользоваться в своей работе иностранными серверами. Для того чтобы понять, кого в первую очередь касаются подобные изменения и какое они влияние оказывают, следует разобраться с основными понятиями.

Персональные данные

Существует ошибочное мнение, что это понятие означает информацию, которая содержится в паспорте и других важных документах. В действительности персональными данными являются различные сведения о человеке. Это не обязательно может быть номер или Такими данными являются имя, фамилия, дата рождения, адрес электронной почты. Таким образом, если владелец бизнеса создает корпоративный сайт, содержащий форму для регистрации посетителей, он становится оператором персональных данных. Пользоваться он полученной информацией может лишь для осуществления той деятельности, о которой известно тем, кто ее предоставил. Разглашение персональных данных предполагает административную или уголовную ответственность, в зависимости от тяжести преступления.

Конфиденциальность информации

Распространять данные о человеке оператор может лишь с его согласия. Подобные действия неправомерны. Неразглашение персональных данных - важное условие обработки информации. Основные ее принципы содержатся во второй главе закона. Распространять оператор имеет право только те сведения, которые содержатся в общедоступных источниках, например - адресных и телефонных книгах.

Персональные данные можно разделить на общие, биометрические и специальные. Общие содержатся в паспорте, дипломе, военном билете, трудовой книжке. К специальным относится информация о расовой, религиозной, политической принадлежности.

Биометрические данные - это биологические и физиологические особенности человека. К ним же и относятся фото и видеозаписи. Таким образом, передачу подобных файлов третьему лицу можно идентифицировать как разглашение личных данных. Исключением являются групповые фотографии.

Обработка

В встречаются словосочетания, смысл которых может быть не всегда ясен. Одно из них - обработка персональных данных. Под этим термином понимают действия, которые оператор производит над полученной информацией, а именно персональными данными. Он их накапливает, хранит, уточняет, использует, обезличивает, блокирует и уничтожает. На все это оператор имеет право. Преступает закон он лишь тогда, когда происходит разглашение персональных данных, то есть передача личной информации третьему лицу.

С 1 сентября 2015 г. введены существенные ограничения в этой сфере деятельности. Закон о хранении персональных данных не позволяет, например, владельцу интернет-сайта хранить полученные данные на иностранных серверах. Даже если он пользуется ими исключительно в благих целях.

Обезличивание

Это действие производится для того, чтобы скрыть принадлежность персональных данных того или иного человека (в законодательном акте он именуется субъектом). Это своего рода защита персональных данных. Способов обезличивания существует несколько:

• замена части информации;
• замена цифровых данных:
• сокращение сведений;
• распределение сведений на разных серверах.

Субъект

Человек вправе получить доступ к своим персональным данным. Права субъекта персональных данных предполагают возможность физического лица, чьи данные хранятся в базе, требовать от оператора, чтобы он их уточнил, изменил, при необходимости уничтожил. Каждый человек вправе требовать предоставление сведений в том случае, если они не содержат данных других субъектов.

Другие понятия

Все данные о человеке хранятся в базах. С помощью определенных средств они обрабатываются и используются оператором. Эта технология называется информационной системой персональных данных. Ею сегодня пользуются все, начиная от мелких коммерсантов, заканчивая государственными исполнительными органами. На них же и возложена защита персональных данных. Контроль соблюдения требований, предусмотренных законодательством, осуществляют Роскомнадзор, ФСБ и ФСТЭК.

Трансграничная передача данных - это передача информации физическому или юридическому лицу иностранного государства.

ФЗ о персональных данных обеспечивает неприкосновенность физического лица, его семейной и личной жизни. Новый закон преследует те же цели, однако создает определенные неудобства для многих операторов.

Хранение данных на территории России

В своей деятельности каждый оператор должен теперь использовать только те базы данных, которые хранятся на территории России. Для чего созданы такие ограничения? Закон, о котором говорилось выше, затрагивает прежде всего безопасность персональных данных. Но ничего не говорится о сфере его действия.

Все области деятельности на территории России должны осуществляться с соблюдением Законодательства РФ. Однако во Всемирной сети любые действия имеют трансграничный и виртуальный характер, что осложняет контроль над работой операторов. В то же время то, что интернет-сайт доступен жителям России, вовсе не говорит, что на него должно распространяться российское законодательство. Хранение баз данных на российских серверах облегчает контроль над деятельностью операторов.

Закон о хранении персональных данных предусматривает обработку персональных данных лишь на российских интернет-ресурсах. Но здесь существуют и исключения. Они касаются иностранных серверов, направленных на территорию РФ. На такую направленность может указывать русскоязычность сайта или доменное имя. Однако, поскольку русский язык довольно распространен и за пределами РФ, дополнительно рассматриваются следующие элементы: возможность расчета в российских рублях, заключение договоров на территории РФ. Таким образом, иностранные предприниматели включают в свою бизнес-стратегию российских потребителей. А действие закона о персональных данных при этом направлено и на их деятельность.

Иностранные серверы

Итак, хранение персональных данных закон теперь допускает лишь на российских серверах. Базы данных, находящиеся за пределами РФ, обрабатываться не могут. Госдума приняла закон об этом запрете. Однако документ этот порождает многие проблемы. И прежде всего трудности касаются предпринимательской деятельности.

Специалисты в области электронных коммуникаций полагают, что это может привести к уходу глобальных интернет-ресурсов, а он, в свою очередь, к существенным экономическим потерям. В первую очередь речь идет о сайтах по бронированию авиабилетов.

Неудобства для предпринимателей

Специалисты полагают, что новый закон негативно отразится на деятельности многих российских компаний. Каждый его нарушитель с 1 сентября 2016 года попадает в черный список Роскомнадзора. Этот перечень сегодня состоит из пиратских сайтов и сайтов, пропагандирующих незаконную деятельность либо действия, не соответствующие морально-этическим нормам (насилие, суицид, детское порно, экстремизм). Запрет на эти ресурсы вполне понятен. Но многие предприятия, которые осуществляют абсолютно законную деятельность, возможно, не смогут перенести свои базы на российские ресурсы к указанной дате.

Еще одна цель этого закона - обеспечение безопасности персональных данных от действий американских спецслужб. Этим государственным структурам иностранные ресурсы обязаны предоставлять всю имеющуюся информацию. Однако, обеспечив безопасность персональных данных от проникновения сотрудников зарубежных спецслужб, закон создает немало неудобств и проблем для мелких, средних и крупных российских предприятий.

Сервисы для хранения данных

Большинство компаний сегодня осуществляют продажи, прибегая к интернет-маркетингу. Один из основных инструментов - email-рассылка. Владельцы корпоративных сайтов пользуются онлайн-сервисами для информирования своих клиентов о различных мероприятиях, которые проводятся в их компаниях. Эта схема настолько распространена, что без нее сегодня сложно представить развитие какого бы то ни было бизнеса. Существует все же заблуждение, что владельцы сайтов не являются операторами, поскольку они не хранят персональные данные. Это за них делают специальные онлайн-сервисы. Но ведь обрабатывает и формирует данные о пользователях именно владелец сайта. А потому он является оператором и в ближайшее время обязан перенести всю имеющуюся у него информацию о пользователях интернета на российские ресурсы. Сделать это непросто, и подобные действия, прежде всего, сопряжены с немалыми финансовыми затратами.

Обратная сила закона

Устоявшиеся правовые принципы предполагают, что уже имеющиеся у операторов базы персональных данных, созданные до даты подписания закона, не являются нарушением. Однако использование персональных данных предполагает их обновление и изменение. Закон же гласит, что обрабатывать эту информацию оператор теперь вправе лишь на российском сервере.

Сбор информации

Оператор обязан осуществить локализацию всех данных на российском сервере. И эти действия, согласно формулировке в законе, тесно связаны со сбором персональных данных. Этот термин используется для обозначения целенаправленного получения информации о физических лицах. Ее, как правило, предоставляет сам пользователь интернета. Но нередко случается, что данные попадают случайно. Например, в результате получения различных писем. Сбором информации также не являются данные об одном юридическом лице, полученные другой организацией. Такая информация является контактной, и ее обработка необходима для осуществления совместной деятельности.

Передача данных за пределы РФ

Закон не затрагивает трансграничную передачу данных. Положения, которые были сформулированы еще в 2006 году, не утратили своей силы. А потому операторы, как и прежде, вправе передавать данные, внесенные в базу, созданную на территории РФ, в другие, находящиеся за рубежом. Однако такие действия требуют соблюдения определенных норм. Прежде всего, оператор должен убедиться в том, что страна, на территорию которой будет осуществляться передача данных, обладает адекватной защитой личной информации пользователей интернета.

Влияние нового закона на банковскую сферу

Многие покупки сегодня осуществляются через интернет. Покупатель часто оплачивает товары банковской картой. Сотовые компании и платежные системы находятся, как правило, на иностранных серверах. Российская платежная система пока отсутствует. И без нее соблюдать закон будет непросто.

Однако некоторые крупные компании все же хранят информацию на территории РФ. А обмениваясь данными с иностранными партнерами, они прибегают к обезличиванию.

Дата-центр

В настоящий момент в Московской области строится новый дата-центр, который станет самым крупным в России. В этот проект инвестируют средства крупные компании, поскольку они не могут недооценивать важность хранения персональных данных. Однако эти работы сопряжены с некоторыми трудностями. Построить быстро дата-центр невозможно.

Специалисты полагают, что новый закон необходимо дорабатывать. Иначе он не сможет действовать в полную силу. Главным его недостатком является очередной запрет, от которого особенно может пострадать малый и средний бизнес. А эта область сегодня и без того находится в довольно плачевном состоянии. Так или иначе, у нового закона немало противников, но есть и те, кому он не страшен.

Источник РБК, близкий к одному из операторов «тройки», сообщил, что не только «МегаФон» не сразу на всю страну разворачивает систему для хранения информации по «закону Яровой». Он отметил, что внедрение СОРМ-2 (предназначена для мониторинга интернет-активности) в 2000-х годах и СОРМ-3 (для хранения метаданных — например, кто, кому, когда звонил) с 2014 года также происходило не одномоментно.

Что предписывает «закон Яровой»

Пакет антитеррористических поправок, известный как «закон Яровой», был принят в июле 2016 года. Среди прочего он предписывал с 1 июля 2018 года операторам связи и организаторам распространения информации в интернете (ОРИ, к ним относятся сервисы электронной почты, мессенджеры, социальные сети и другие интернет-площадки, на которых пользователи могут обмениваться сообщениями) хранить в срок до полугода записи звонков, содержание сообщений и другую коммуникацию пользователей. Срок хранения метаданных увеличивался для операторов до трех лет, а для ОРИ — до года.

В законе оговаривалось, что сроки и объем информации, которую необходимо хранить, должно уточнить правительство. В апреле было опубликовано соответствующее постановление, касающееся операторов связи: они должны хранить текстовые сообщения и записи разговоров в течение полугода с момента «окончания их приема, передачи, доставки и (или) обработки». Для операторов, которые предоставляют услуги передачи данных (интернет-провайдеров), срок хранения составит 30 суток начиная с 1 октября 2018 года. Последующие пять лет компании должны ежегодно увеличивать на 15% емкость «технических средств накопления» (оборудования, на котором будет храниться интернет-трафик). Во вторник, 26 июня, правительство утвердило п​остановление, устанавливающее срок хранения записей разговоров и переписки для ОРИ: как и для операторов связи, это шесть месяцев.

Но до сих пор не приняты документы с техническими требованиями к оборудованию, которое должно использоваться для хранения информации. В частности, как заявил представитель «Ростелекома», госоператор пока не заложил в свой бюджет расходы на исполнение требований по хранению данных в рамках закона. «Несмотря на то что постановление правительства России по срокам хранения уже опубликовано, для оценки расходов необходимо дождаться выхода документов с требованиями к оборудованию», — отметил он. Представитель этого оператора не ответил на вопрос, начнут ли они выполнять требования закона с 1 июля.

По словам Сергея Солдатенкова, это [неутвержденные требования к оборудованию] «неоднозначная ситуация», но содержание документов не станет сюрпризом для операторов, поскольку есть проекты этих требований. «МегаФон» исходит из прошлого опыта, когда в 2013 году был принят так называемый принцип MNP (mobile number portability, возможность сохранять свой номер телефона при смене мобильного оператора. — РБК ). Уточняющие его нормативно-правовые акты были приняты за два дня до его вступления в силу. «Мы все стояли на голове в течение двух-трех месяцев во время подготовки к ним и не хотели идти по такому пути. Поэтому за полгода [до вступления в силу требований «закона Яровой»] провели определенные тесты решений, схем хранения. Если в требованиях, которые будут приняты, появятся какие-то изменения, наши поставщики готовы поменять под них свои решения», — рассказал Солдатенков.

Нерешенным остается и основной вопрос — какую ответственность будут нести операторы и интернет-компании за неисполнение требований «закона Яровой». Впрочем, по мнению Солдатенкова, даже если бы подобные документы уже были утверждены, государство вряд ли стало бы наказывать оператора. «Если мы говорим о том, что идем по плану, то не думаю, что возникнут какие-то претензии. Вопрос же со стороны государства не наказать оператора, а сделать так, чтобы была возможность обеспечить хранение данных», — пояснил он.

По мнению руководителя коммерческой практики юридической компании BMS Law Firm Дениса Фролова, «МегаФон» и другие операторы должны и в отсутствии нормативно-правовых актов выполнять требования закона, акты лишь «конкретизируют закон».

Дорогая скорость

В 2016 году экспертная рабочая группа «Связь и информационные технологии» при правительстве России спрогнозировала расходы операторов на хранение данных по «закону Яровой» в 5,2 трлн руб. Однако позже оценки несколько раз корректировались. Весной 2018 года МТС необходимую сумму в 60 млрд руб. на ближайшие пять лет, — в 35-40 млрд руб., — в 45 млрд руб.

По словам гендиректора Linxdatacenter в России (поставщик услуг связи и центров обработки данных) Ольги Соколовой, размер затрат на хранение действительно зависит от того, какая конфигурация СОРМ и требования к производителям оборудования будут утверждены в документах. Она отметила, что пока особого всплеска обращений в связи с «законом Яровой» компания не наблюдает. «Пока что никто не знает, в каком виде государство будет запрашивать у участников рынка реализацию требований закона. Одно дело, если будет принят поэтапный порядок, скажем, в течение трех лет. Совсем другой сценарий, если полное соответствие нужно будет обеспечить за, скажем, несколько месяцев», — говорит Соколова. Она ожидает, что ситуация прояснится после 1 июля.​

Законопослушные иностранцы

Гендиректор и председатель совета директоров международной группы Orange Стефан Ришар сообщил РБК, что компания следует положениям законодательства в любой стране, в которой работает, и с 1 июля готова выполнять требования «закона Яровой». «В Европе мы понимаем, что такое террористическая угроза, особенно во Франции. После событий 2015 года мы стали более тесно сотрудничать с властями», — отметил он. Компания не раскрывает, сколько потратила на подготовку к выполнению требований. Однако глава Orange Business Services (подразделение Orange) в России Ричард ван Вагенинген пояснил, что с учетом того, что компания работает здесь только в сегменте b2b и у нее ограниченное количество корпоративных клиентов, затраты были небольшими.

В июле 2017 года Институт исследований интернета (ИИИ) выпустил отчет, в котором указал, что «закон Яровой» GDPR (General Data Protection Regulation, общего регламента о хранении данных), который вступил в силу в Евросоюзе в мае 2018 года. В ИИИ указывали, что, согласно GDPR, для хранения информации о фактах коммуникации пользователя должно быть соответствующее подтверждение от спецслужб. Если российские операторы будут хранить информацию об иностранцах у себя на серверах без согласия самого пользователя и без решения суда предоставлять эти данные российским правоохранительным органам, будет нарушено европейское законодательство, говорилось в отчете.

Однако, по словам представителя Orange, компания видит, что может выполнять требования и того и другого закона в той мере, в которой они к ней относятся. Он отметил, что с точки зрения GDPR компания в ходе оказания услуг является «процессором» (физическое или юридическое лицо, госорган, учреждение, которое обрабатывает персональные данные по поручению «оператора» — того, с кем было заключено соглашение на обработку данных). «Также важно заметить, что вопросы в отношении национальной безопасности выведены из сферы действия GDPR, а «закон Яровой» относится как раз к этой сфере, что следует даже из официального названия», — указал представитель Orange.

• Сколько организаций тестируют решения SD-WAN?
• Можно ли повысить гибкость бизнеса без ущерба для безопасности сети?
• Как приоритизировать бизнес-трафик в режиме реального времени?
• Удастся ли сэкономить благодаря решениям SD-WAN?

Как интернет вещей и BYOD изменили управление доступом к сети?

• Количество ИВ-устройств достигнет 55 млрд к 2025 г.
• В 53% компаний за последний год увеличилось число зараженных конечных точек
• 63% компаний не могут контролировать мобильные устройства вне корпоративной сети
• Численность BYOD-работников достигла 1,76 млрд

Зарегистрируйтесь, чтобы скачать бесплатно электронную книгу прямо сейчас.

Власти разъяснили «закон Яровой» для сайтов: Хранить содержимое сообщений придется максимальный срок

6879

29.06.2018, Пт, 09:27, Мск , Текст: Игорь Королев

Правительство утвердило требования к организаторам распространения информации в интернете относительно хранения содержимого переписки их пользователей. Хранить переписку придется полгода – срок, максимально отведенный «законом Яровой».

Правительство уточнило требования «закона Яровой» к интернет-компаниям

Правительство России утвердило правила хранения организаторами распространения информации в сети интернет (ОРИ) содержимого сообщений пользователей. Документ является подзаконным актом к Закону «Об информации, информационных технологиях и защите информации», в соответствии с которым с 1 июля 2018 г. ОРИ должны будут хранить содержимое переписок своих пользователей.

Что такое ОРИ

Термин ОРИ был введен в законодательство в 2014 г, когда был принят разработанный при участии сенатора Ирины Яровой пакет «антитеррористических поправок». Под ОРИ подразумеваются сайты и сервисы, которые позволяют общаться пользователям сети интернет, за исключением сайтов для личных и семейных нужд.

Первоначально закон требовал от них хранить на территории России данные о совершаемых российскими пользователями действиями в течение полугода. Тогда же было принято постановление правительства, детализирующее требования к хранению информации.

Было установлено, что российскими пользователями являются пользователи, авторизующиеся с территории России, зарегистрировавшиеся с территории России либо зарегистрировавшиеся с помощью российских идентификаторов (паспортов, номеров сотовых телефонов и т.д.). Также российские правоохранительные органы могут сами сообщить ОРИ, каких пользователей стоит считать российскими.

По требованию Правительства интернет-компании должны хранить
переписку пользователей полгода – срок, максимально отведенный «законом Яровой»

ОРИ должны хранить и передавать российским правоохранительным органам регистрационные данные о российских пользователях, информацию о фактах их авторизации, переданными и полученными ими сообщениях, оказанных им платных услугах и осуществленных платежах.

Требования о хранении содержимого сообщений

В 2016 г. был принят новый антитеррористический пакет законопроектов, соавтором которого также выступила Ирина Яровая. Документ получил неформальное название «закон Яровой». Согласно нему, ОРИ должны хранить данные о переписке российских пользователей уже в течение года. Также в течение до полугода должно храниться и содержимое самих сообщений.

Речь идет обо всех видах сообщений: текстовых, фото, видео, изображениях, звуках и т.д. Норма о хранении содержимого сообщений является наиболее дорогостоящей для ОРИ и крупные российские интернет-компании выступали против ее принятия. В итоге в законе было прописано, что данная норма вступит в силу только с 1 июля 2018 г., а правительство установит требования к объемам и срокам хранения.

Кроме того, в случае применения ОРИ технологии обмена ключей для шифрования сообщений между пользователями закон обязал предоставлять спецслужбам ключи для дешифровки таких сообщений.

Власти не стали смягчать требования «закона Яровой» для интернет-компаний

Нынешнее постановление правительства конкретизирует требования к ОРИ по хранению содержимого сообщений. Правительство решило не смягчать требований к ОРИ и обязало их хранить сообщения пользователей максимально отведенный законом срок: полгода. Понятие российского пользовател осталось таким же, каким было в постановлении правительства от 2014 г.

«Постановление правительства содержит максимально отведенный законом срок хранения содержимого переписки, но не содержит максимального объема емкости, которое следует выделить для этих целей, - отмечает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян . - Поскольку ОРИ могут признаны практически любые интернет-сайты, реализация данных требований потребует больших затрат, которые будут непосильтными как для небольших интернет-ресурсов, так и для крупных интернет-компаний. При этом по-прежнему не ясно, каким образом следует хранить сведения, содержащие тайну, персональные данные, объекты авторского права и т.д.»

Отметим, что «антитеррористический пакет» законопроектов от 2016 г. ввел похожие требования и к операторам связи. Они должны хранить сведения о переданных их абонентами сообщений в течение трех лет, а содержимое самих сообщений - сроком до полугода. Норма о хранении содержимого сообщений операторов связи также вступает в силу с 1 июля 2018 г., а требования к ней должны были быть прописаны в отдельном постановлении правительства.

Это постановление правительства вышло весной 2018 г. Телефонный трафик следует хранить в течение полугода. А вот в случае с трафиком передачи данных правительство пошло на компромисс.

Его надо будет хранить с 1 октября 2018 г. Оператор связи должен будет выделить емкости для хранения такого трафика и сдать соответствующую систему Роскомнадзору и ФСБ. Объем емкости должен будет соответствовать объему, необходимую для хранения оператором трафика своих абонентов за месяц, предшествующей сдачи им своей системы. Каждый год в течение последующих пяти лет объем емкости будет увеличиваться на 15%.

Как наказать ОРИ за невыполнения российских законов

Между тем, если деятельность операторов связи является лицензируемой, то регулировать работу ОРИ сложнее. Реестр ОРИ Роскомнадзор завел осенью 2014 г., но первое время в него включались только российские сервисы. За отказ регистрироваться в реестре ОРИ закон предусматривает наказание в виде блокировки доступа к ресурсу с территории России, но первое время Роскомнадзор не наказывал иностранные площадки за игнорирование требований к Реестру ОРИ.

Первые иностранные сервисы стали включаться в Реестр ОРИ в начале 2017 г. Тогда же были заблокированы первые зарубежные сервисы, которые в этот Реестр не вступили. В то же время Роскомнадзор не применял никаких санкций по отношению к таким крупным сервисам, как Facebook, Twitter, WhatsApp, Viber, Skype и т.д, хотя в Реестре ОРИ их нет.

Наиболее громкой стала история с Telegram. В 2017 г. глава Роскомнадзора Александр Жаров предупредил его о блокировке. После этого создатель Telegram Павел Дуров согласился зарегистрироваться в Реестре ОРИ, однако заверил, что доступа к переписке пользователей он давать не будет.

Затем ФСБ затребовала от Telegram ключи для дешифровки сообщений ряда его пользователей. В связи с отказом от выполнения этого требования этой весной Роскомнадзор начал блокировку Telegram. Впрочем, самому мессенджеру удается блокировку обходить.

Руководитель общественной организации «Роскомсвобода» Артем Козлюк отмечает, что до сих пор Реестр ОРИ работал непрозрачно. «Скорее всего, так и будет продолжаться, а все истории с получением данных пользователей будут решаться по «телефонному праву», - говорит Козлюк. - В этой связи показательна история со швейцарским мессенджером Threema: Роскомнадзор включил его в Реестр ОРИ, но сам сервис заявил, что законодательство Швейцарии в принципе не позволит ему передавать данные о своих пользователях».