- PVSM.RU - https://www.pvsm.ru -

Последний шаг к «Яровой»

image

В последнее время российские законодатели принимают законы, которые плохо проработаны с точки зрения соблюдения прав человека. Самым громким из таких законодательных актов стал пакет «антитеррористических» законопроектов [1] (ФЗ №374, ФЗ №375), принятый в июле 2016 года, который в народе прозвали “закон Яровой”. В ряд законов были внесены резонансные нормы, способные серьезно сказаться на жизни жителей России. В частности, были добавлены нормы о недоносительстве (несообщение о преступлении), о призывах к терроризму в соцсетях, о регулировании религиозно-миссионерской деятельности, о хранении операторами связи и организаторами распространения информации сообщений пользователей.

В настоящей статье речь пойдет о поправках, касающихся хранения данных пользователей, поскольку они угрожают праву на неприкосновенность частной жизни, не соответствуют Конституции РФ и ряду других нормативных правовых актов.

Суть поправок

Согласно поправкам по “закону Яровой”, организаторы распространения информации (далее — “ОРИ”) и операторы связи уже с 1 июля 2018 года должны будут хранить голосовую информацию, текстовые и видеосообщения, изображения и иное содержание сообщений пользователей 6 месяцев, а метаданные — 1 год ОРИ и 3 года операторы связи.

При этом согласно “закону Яровой”, обязанность хранить пользовательский трафик и сообщения распространяется на лиц, оказывающих любой вид услуг связи (а их всего 20). Однако 19 апреля 2018 года на официальном портале правовой информации было опубликовано Постановление Правительства РФ от 12.04.2018 № 445 [2], в котором уточняется перечень услуг связи, в рамках оказания которых требуется хранить всю переписку пользователей (в него не вошли, например, вещательные услуги). Новые правила вступят в силу [3]для голосовой связи и sms с 1 июля, а хранить пользовательский интернет-трафик операторы должны с 1 октября, следует из документа. Хранение необходимо осуществлять в течение 30 дней с ежегодным увеличением емкости хранения на 15% на протяжении 5 лет.

«Судя по постановлению, сроки не окончательные. Но главный вопрос: с какой целью нужно хранить трафик, если по меньшей мере у половины пользователей в России он шифрованный. А в связи с блокировкой Telegram мы отмечаем взрывной рост интереса к средствам шифрования и обхода блокировок», — отмечает [4] директор по стратегическим проектам Института исследований интернета Ирина Левова

Поскольку средства накопления с программным обеспечением входят в состав средств связи, предназначенных для выполнения оперативно-розыскных мероприятий и попадают под определение “средство связи”, они подлежат обязательной сертификации на основании п. 3 ст. 41 ФЗ “О связи”.

Вопрос с производством и сертификацией средств накопления данных пока не разрешен. Операторы связи склоняются [5] к тому, что могут пройти годы, пока будут сформулированы “правила игры”, и, возможно, впоследствии ситуация разовьется так же, как с СОРМом, т.е. будут “сверху” определяться определенные производители. По нашим оценкам, принимая во внимание сложность процедуры сертификации, на выработку соответствующего порядка может уйти 2-3 года.

Для общей картины стоит напомнить, что для ОРИ и операторов связи уже существует обязанность хранить метаданные пользователей (информацию о фактах приема, передачи, доставки, обработки электронных сообщений) в течение одного года и трех лет соответственно. После вступления в силу “поправок Яровой” правоохранительные органы будут вправе получить доступ ко всему содержанию сообщений пользователей и метаданным при расследовании преступлений. ОРИ также обязаны помогать следственным органам с декодированием зашифрованных электронных сообщений пользователей (п. 4.1. Статьи 10.1. закона “Об информации”). Как раз на основании этих положений ФСБ России потребовала в 2017 году ключи декодирования от мессенджера Telegram, который отказался их предоставить, за что был заблокирован в России [6] (правда, пока только де юре).

Попытки отмены

В 2016 году петиция «Отменить „Закон Яровой“ набрала 100 000 подписей на сайте Российской общественной инициативы, но Экспертная рабочая группа при Правительстве РФ по результатам её рассмотрения рекомендовала не отменять „закон Яровой“ [7]. Выводы некоторых экспертов о нарушении прав на неприкосновенность частной жизни проигнорировали, ответы ведомств являлись ничем иным, как отпиской.

Любопытно, что в проекте экспертного заключения в оправдание “закона Яровой” упоминался европейский опыт, а именно Директива ЕС 2006/24/ЕС от 15 марта 2006 года (так называемая Data Retention Directive [8]), отмененная еще в 2014 году. Согласно директиве, данные европейских пользователей должны были хранится телекоммуникационными компаниями от 6 месяцев до 2 лет. Директива была отменена решением Суда справедливости ЕС. Европейцы осознали противоречие положений директивы праву на частную жизнь. Суд справедливости ЕС пришел к выводу, что хранение данных пользователей независимо от их категории и в отсутствие детализированных условий такого хранения в течение длительного срока нарушает право на частную жизнь и повышает риск злоупотребления, незаконного доступа и использования их данных. Впоследствии ссылки на данную директиву были удалены из финальной версии [9] экспертного заключения по петиции “Отменить “Закон Яровой”.

Конституционные коллизии

Без всякого сомнения, сообщения и звонки пользователей относятся к информации о частной жизни. Хранение операторами связи и ОРИ всего пользовательского трафика, а также его передача правоохранительным органам без предварительного судебного решения, как это предусмотрено “законом Яровой”, нарушает права на неприкосновенность частной жизни, личную и семейную тайну, гарантированные статьям 23 и 24 Конституцией РФ.

Статья 55 Конституции РФ гласит, что права человека и гражданина могут быть ограничены федеральным законом, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Однако правам и свободам, гарантированным статьями 23 и 24 Конституции РФ, конституционные нормы предоставляют особую защиту, они не подлежат ограничению даже в условиях чрезвычайного положения.

Таким образом, наложение на операторов связи и ОРИ обязанности хранить информацию всех пользователей ставит под угрозу нарушения права на тайну переписки в целом и создает опасность получения неограниченным кругом лиц доступа к конфиденциальной информации всех пользователей в России.

Как известно, в России существует правовой механизм защиты конституционных прав через Конституционный суд РФ. Пользователь, чье право на неприкосновенность частной жизни нарушается, может оспорить “закон Яровой” через Конституционный суд РФ, но только в рамках конкретного дела. Поэтому для постановки подобного вопроса перед Конституционным судом РФ необходимо дождаться вступления соответствующих поправок в силу и начала его правоприменения правоохранительными органами. До полного вступления “закона Яровой” в силу оспорить его могут только высшие органы власти — Президент, Госдума, Совет Федерации, Правительство РФ или законодательные/исполнительные органы субъектов РФ.

Коллизии с другими законами РФ

Помимо Конституции “закон Яровой” в части хранения персданных противоречит ряду федеральных законов, что говорит о низкой проработанности данного законодательного акта.

Закон о персональных данных

Право на частную жизнь защищается в России в том числе федеральным законом [10] о персональных данных, с которым положения “закона Яровой” существенно конфликтуют.

По смыслу закона о персональных данных, любой контент пользователей (абонентов) с идентифицирующей их информацией будет относится к персональным данным. Сбор, хранение и передачу информации пользователей (абонентов) операторами связи и ОРИ можно квалифицировать как обработку персональных данных. В массиве накопленных данных могут оказаться также биометрические персональные данные, специальные категории персональных данных, да и в целом с помощью этих данных будет сопоставляться вся частная жизнь человека и его окружения в мельчайших подробностях.

В соответствии со ст. 13 Федерального закона от 12 августа 1995 г. N 144-ФЗ „Об оперативно-розыскной деятельности“, операторы связи не относятся к органам, осуществляющим оперативно-розыскную деятельность, вместе с тем, они будут являться, по сути, операторами технических средств, предназначенных для оперативно-розыскных мероприятий и всего массива данных на этих средствах.

Министерство связи и массовых коммуникаций РФ установит требования к технической защите средств накопления (п. 7 Правил, ПП РФ № 445), но пока не ясно, каким образом такие требования будут перекликаться с общими требованиями по защите персональных данных в информационных системах. В случае с СОРМом, например, оператором персональных данных является ФСБ, которая и занимается их защитой, в том числе в режиме государственной тайны. “Закон Яровой”, к сожалению, имеет другую логику и сбрасывает обязанности по хранению и защите огромных массивов данных пользователей на частный сектор, то есть на самих операторов связи и ОРИ (ответственность за нарушение правил обработки данных и возможные утечки также будет нести бизнес).

В целом, уже сейчас можно сказать, что “закон Яровой” противоречит следующим статьям закона о персональных данных:

Статья 6. Обработка данных не должна нарушать прав и свобод субъекта персональных данных. “Закон Яровой” угрожает праву на неприкосновенность частной жизни и тайне переписки и связи, так как операторы связи и ОРИ обязаны хранить электронную переписку пользователей длительное время и предоставлять ее правоохранителям без оговорок про судебный запрос.

Статья 14. Право субъекта персональных данных на доступ к его персональным данным. Невозможно реализовать данное право субъекта персональных данных из-за неоднородности обрабатываемых сведений. Реализация права на актуализацию данных также представляется проблематичной.

Статья 19. Операторы данных должны принимать необходимые меры для защиты персональных данных от их распространения (в том числе с использованием средств криптографии). Из “закона Яровой” следует, что правоохранительные органы, в принципе, будут иметь неограниченный доступ к данным пользователей без получения их согласия и без решения суда.

Уголовный кодекс РФ

Согласно ст. 138 УК РФ, нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан наказывается штрафом, исправительными или обязательными работами. За совершение данного преступления с использованием служебного положения предусматривается наказание вплоть до лишения свободы. Эти положения УК РФ игнорируются “законом Яровой”, очевидно, что операторы связи и ОРИ, храня записи электронных сообщений и звонков своих пользователей и предоставляя их правоохранительным органам, потенциально будут совершать преступление, предусмотренное ст. 138 УК РФ, либо такое преступление может быть совершено при малейшем нарушении правил хранения данных оператором связи или ОРИ.

Уголовно-процессуальный кодекс РФ

Статья 186 УПК РФ [11] гласит, что контроль и запись телефонных и иных переговоров могут быть санкционированы на основании судебного решения, а также, в отдельных случаях, при наличии угрозы потерпевшему, свидетелю или их близким родственникам это допускается по письменному заявлению указанных лиц. Однако в “законе Яровой” нет никакого упоминания о необходимости получать судебное решение, санкционирующее запись пользовательского трафика. По “закону Яровой”, хранение (запись) данных пользователей должно производиться операторами связи по умолчанию, без вынесения какого-либо специального акта каким-либо уполномоченным органом либо судом.

Закон об оперативно-розыскной деятельности

Статьей 5 закона “Об ОРД” предусмотрено, что при проведении оперативно-розыскных мероприятий должно обеспечиваться соблюдение прав человека и гражданина на неприкосновенность частной жизни, личную и семейную тайну и тайну корреспонденции. Ограничение этого конституционного права возможно только по решению суда и при наличии определенной информации (о признаках преступления, о лицах, совершающих преступление, о событиях или действиях (бездействии), создающих угрозу государственной, военной, экономической, информационной или экологической безопасности Российской Федерации) (ст. 8).

Закон о Федеральной службе безопасности

Закон о ФСБ также требует для проведения мероприятий по борьбе с терроризмом, которые могут посягать на права граждан на тайну переписки, постановления суда и мотивированного ходатайства руководителя органа по борьбе с терроризмом (ст. 9.1 ФЗ о ФСБ).

Как видно, когда речь идет об ограничении права на тайну переписки и неприкосновенности частной жизни в рамках ОРД, участие суда и вынесение им решения является обязательным. Но “закон Яровой” не предусматривает необходимости вынесения решения суда и одновременно с этим не вносит никаких изменений в другие законодательные акты (УК, УПК и др.). Гарантий защиты конституционных прав пользователей и их персональных данных в “законе Яровой” также не предусмотрено.

Заключение

В условиях всеобъемлющего развития технологий и интернета, а также в свете последних новостей “закон Яровой” наносит огромный урон важному и очень уязвимому в настоящее время правовому институту — институту охраны права на неприкосновенность частной жизни. Высок риск произвольного, бесконтрольного, нецелевого использования данных пользователей со стороны как частных компаний, так и правоохранительных органов. Более того, думается, что авторы закона также не оценили негативные последствия закона для бизнес-сектора, а именно операторов связи и ОРИ, которым необходимо установить дорогостоящее оборудование для хранения данных и нести другие издержки для соблюдения “закона Яровой”. Операторы связи (“Мегафон”, МТС, “Вымпелком”, Tele2) называли затраты на реализацию закона неподъемными и оценили их в 2,2 трлн рублей. По подсчетам некоторых экспертов, эта сумма может превысить 10 трлн рублей.

По мнению исполнительного директора “Центра цифровых прав” [12] Дениса Лукаша, на сегодняшний день любое нарушение закона “О связи” операторами связи трактуется территориальными органами Роскомнадзора как нарушение лицензионных условий, за что операторы связи привлекаются к ответственности по ч. 3 ст. 14.1 КоАП РФ. Исключение составляют несколько положений закона “О связи”, по которым прямо введена ответственность другими статьями кодекса. Органы Роскомнадзора будут постоянно владеть информацией об отсутствии средств хранения у операторов связи, так они являются одним из подписантов акта ввода в эксплуатацию средств хранения (п. 6 Правил, ПП РФ № 445).

Данные электронных коммуникаций могут потенциально помочь расследованию преступлений, выявить местонахождение жертв и подозреваемых, связать подозреваемого с местом преступления. Однако без подробного описания процедур, дефиниций, четко сформулированных условий и оснований хранения и доступа к данным пользователей и абонентов справедливый баланс между уважением частной жизни граждан и государственным вмешательством в нее будет сложно сохранить. “Закон Яровой” в части хранения информации придерживается общего подхода: без конкретики, без обеспечения сохранности фундаментального права на частную жизнь, требует хранения всех данных электронной переписки и других сообщений. Скоро указанные законодательные ошибки заиграют на практике.

Помимо правовых коллизий “закона Яровой”, описанных в данной статье, также требует внимания финансовая сторона вопроса, вопрос шифрования интернет-трафика, затрат на электроэнергию для эксплуатации средств хранения данных и иные аспекты, которые мы предлагаем обсудить в комментариях.

Автор: Temych

Источник [13]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/278873

Ссылки в тексте:

[1] пакет «антитеррористических» законопроектов: https://roskomsvoboda.org/18706/

[2] Постановление Правительства РФ от 12.04.2018 № 445: http://publication.pravo.gov.ru/Document/View/0001201804190032?index=0&rangeSize=1

[3] вступят в силу : https://www.vedomosti.ru/technology/articles/2018/04/19/767245-pravitelstvo-utverdilo

[4] отмечает: https://www.bbc.com/russian/features-43804225

[5] склоняются: https://forum.nag.ru/index.php?/topic/139938-srok-hraneniya-po-yarovoy-pp-rf-%E2%84%96-445-pervye-vpechatleniya/

[6] заблокирован в России: https://roskomsvoboda.org/38037/

[7] рекомендовала не отменять „закон Яровой“: https://roskomsvoboda.org/25046/

[8] Data Retention Directive: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:105:0054:0063:EN:PDF

[9] финальной версии: https://www.roi.ru/upload/28432_%D0%B7%D0%B0%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5.pdf

[10] законом: http://www.consultant.ru/document/cons_doc_LAW_61801/

[11] Статья 186 УПК РФ: http://www.consultant.ru/document/cons_doc_LAW_34481/6c725ca5657d419b9e0bb3ab11696faaa11891f5/

[12] “Центра цифровых прав”: https://digitalrights.center/

[13] Источник: https://habr.com/post/354410/?utm_campaign=354410