«Выполнить требования законопроекта невозможно»

24 июня Госдума приняла сразу во втором и третьем чтениях «антитеррористический» законопроект депутата Ирины Яровой и сенатора Виктора Озерова, который обязывает провайдеров и интернет-компании хранить переписку пользователей и раскрывать властям ключи для ее расшифровки.

Роман Янковский, директор центра поддержки бизнес-инициатив «Стартап» и преподаватель юридического факультета МГУ, написал для vc.ru колонку о том, как действует законопроект и какие последствия будет иметь его принятие.

«Антитеррористический» законопроект предлагает российским компаниям:

• Три года хранить информацию о передаче сообщений пользователями и о самих пользователях.
• Шесть месяцев хранить сообщения, в том числе звук, видео и вообще весь контент, которым пользователи обмениваются.

Важно, что эти требования относятся не только к провайдерам и сотовым операторам, а вообще ко всем «организатором распространения информации в сети Интернет», то есть и к сайтам, и к мессенджерам.

Законопроект требует также передавать информацию для «декодирования» сообщений, а также запрещает использовать «несертифицированные средства» кодирования и шифрования. Этот момент, как вы понимаете, вообще невыполним: не у всех интернет-провайдеров есть ключи к сообщениям (они могут генерироваться на стороне пользователя).

И что значит «сертифицированные средства»? Значит ли это, что российские сайты могут использовать только сертификаты https, выданные российскими удостоверяющими центрами?

Чтобы понять смысл этого законопроекта, надо вникнуть в логику взаимодействия наших операторов с правоохранительными органами.

СОРМ и другие системы

Взаимодействие операторов (мобильных операторов и провайдеров) с правоохранительными органами строится через систему СОРМ: оборудование по прослушке трафика, которое операторы обязаны устанавливать за свой счет. Заявлено, что последнее поколение СОРМ-устройств позволяет хранить выборочный трафик до 12 часов; на самом деле нет препятствий хранить трафик сколь угодно долго на внешних хранилищах.

Но есть одна сложность для правоохранительных органов. Установка СОРМ распространяется на сотовых операторов и провайдеров. Таким образом, если сообщения шифруются пользователем или сайтом, которые - пока - не обязаны передавать ключи шифрования правоохранительным органам, а также не обязаны хранить сообщения пользователей. Поэтому все сообщения и другие данные, которые, например, соцсети передают правоохранительным органам, передаются добровольно; иностранные сайты могут вообще не отвечать на запросы и без физического доступа к серверам даже наши спецслужбы ничего не смогут сделать.

В 2014 году была попытка изменить эту ситуацию: на волне санкций интернет-компании обязали хранить персональные данные пользователей в России. Понятно, что где персональные данные, там и остальная информация, тем более что различия между этими категориями в законе описаны не были. А раз информация хранится в России, то и доступ к ней несложно получить. Но закон получился путаный, иностранцы к нему отнеслись формально, к тому же проверить их все равно нельзя (где там фейсбук хранит свои данные, поди разберись).

Выводы

Наш законодатель хочет «росчерком пера» дать спецслужбам инструмент давления не только на российских операторов и провайдеров, но и на интернет-сервисы, социальные сети и новомодные мессенджеры с шифрованием. Пока ничего лучше, чем «антитеррористический» законопроект, не написали.

Фактически выполнить требования проекта, несмотря на установленную в нем ответственность, невозможно. Поэтому, на мой взгляд, последовательность событий будет такой:

1. Если закон примут, то профильные комитеты и правительство постараются вырезать оттуда максимум невыполнимых положений;
2. Оставшиеся ждет судьба закона о персональных данных 2014 года: мелкие компании просто забьют на его требования, а операторы договорятся с правоохранительными органами об упрощенном порядке взаимодействия.