17 декабря 2018
USD EUR
Погода
Москва

Взять за правила

Мессенджерам предписали идентифицировать своих пользователей. Но фактически они могут игнорировать это требование

Власти выдумывают все новые способы контроля за общением россиян в мессенджерах, но для последних приватность и доверие пользователей куда ценнее законопослушания

Фото: Михаил Терещенко⁄ТАСС

Через 180 дней все мессенджеры будут обязаны идентифицировать своих пользователей по номерам телефонов у операторов связи. Правительственное постановление об утверждении соответствующих правил подписал на этой неделе премьер Дмитрий Медведев. Объяснение тривиальное: это нужно для безопасности и удобства пользователей.

Но есть и другое мнение. Узаконивание отношений мессенджеров и операторов связи приведет к серьезным затратам для последних, а значит, и к росту тарифов. Исчезнет и анонимность в мессенджерах: как канал или чат ни назови, а оператору связи должен будешь выслать свои ФИО. Более того, персональные данные пользователей, как и содержание их переписки, смогут стать добычей хакеров. Но в целом эти правила вряд ли вообще будут работать, если только избирательно, как уже произошло с Telegram. Мессенджер отказался выдать спецслужбам «ключи шифрования» сообщений своих пользователей. Попытка Роскомнадзора уничтожить Telegram привела к блокировке тысяч IP-адресов и серьезным потерям ни в чем не повинных компаний. А мессенджер продолжил работать. Так, по всей видимости, произойдет и на этот раз.

Правило 20 минут

Когда мы вносим в свой мобильный новый контакт, то сразу видим, какими мессенджерами пользуется его обладатель – например, WhatsApp, Telegram, Viber. По своему списку контактов в телефоне мы без труда находим их и непосредственно в мессенджерах на любых своих устройствах. Схожим образом, как предполагается, будут действовать и правила идентификации пользователей.

Они довольно просты, хоть и замысловато написаны. Действующих лиц три: «организатор сервиса обмена мгновенными сообщениями», то есть мессенджер (для простоты так и будем пока его называть); «оператор подвижной радиотелефонной связи» – мобильный оператор, оператор связи; пользователь. Последний предоставляет абонентский номер «организатору» мессенджера. Так, Viber принадлежит японской компании Rakuten, а WhatsApp, Instagram и Messenger – американской Facebook. Далее мессенджер предлагает пользователю «совершить действия с использованием этого абонентского номера, позволяющие достоверно установить, что сообщенный абонентский номер при регистрации» в мессенджере «используется пользователем». Учитывая, что покупка SIM-карт в России осуществляется по паспорту, можно предположить, что пользователю нужно будет ввести свои персональные данные, как минимум ФИО (потребуются ли еще и паспортные данные, в правилах не сказано).

Затем мессенджер «по электронным каналам связи, указанным в договоре идентификации», отправляет оператору связи запрос о наличии сведений о пользователе (он же «абонент») в базе данных этого оператора. Эти сведения, собственно, и предоставляются при покупке SIM-карты, когда заключается договор об оказании услуг с оператором связи. Что за «договор идентификации» – непонятно. Оператор связи предоставляет мессенджеру сведения о наличии или отсутствии этих данных в базе. На это ему отводится 20 минут. Если сведений нет или ответ не пришел в указанное время, мессенджер откажет пользователю в регистрации. Если сведения есть, то оператор связи сделает в базе данных соответствующую пометку о пользователе: каким мессенджером он пользуется и кто «организатор» (владелец) этого мессенджера. Также оператор связи должен указать «уникальный код идентификации», который пользователю выделяет мессенджер, а его «организатор» отправляет оператору связи. И последнее. Если уже идентифицированный пользователь-абонент расторг договор с оператором связи или изменил сведения о себе, то оператор информирует об этом мессенджер в течение суток. Мессенджер тогда проводит повторную идентификацию по описанной выше процедуре в те же 20 минут.

Опасная коммуникация

На сайтах Минкомсвязи и Роскомнадзора о новых правилах ни слова. По поводу идентификации пользователей в мессенджерах глава Роскомнадзора Александр Жаров высказался в «Известиях»: «Нынешнее постановление правительства – необходимый шаг к созданию безопасной коммуникационной среды как для граждан, так и для государства в целом». «Возможность анонимной коммуникации в мессенджерах затрудняет деятельность правоохранительных органов при расследовании преступлений». По словам Жарова, в мессенджерах пользователя могут атаковать незнакомцы (теперь их можно будет идентифицировать), а анонимность регистрации – «благоприятная коммуникационная среда» для разного рода спама и мошенничества.

Обязанность идентифицировать пользователей «организатору сервиса обмена мгновенными сообщениями» прописана в так называемом «законе о мессенджерах». Который на самом деле является дополнением к закону «Об информации, информационных технологиях и защите информации». Соответствующие пункты (пп. 4.2–4.4 ст. 10.1) вступили в силу 1 января 2018-го. При этом «организатора сервиса мгновенных сообщений» относят к «организаторам распространения информации в сети «Интернет» (ОРИ). А это вообще всё: сайты, СМИ, форумы, поисковые системы, мессенджеры, социальные сети и т. п. А в конце прошлого года в КоАП была введена статья о «неисполнении обязанностей организатора сервиса обмена мгновенными сообщениями». Максимальный штраф – 1 млн рублей. То есть вроде как принятые правила – всего лишь детализация уже действующих законодательных норм.

Биллинговая эпопея

Можно, конечно, и так это трактовать, говорит интернет-омбудсмен Дмитрий Мариничев, но, по сути, правила идентификации пользователей – «самостоятельный документ с конкретно прописанными задачами». При этом эксперт отмечает, что юридического понятия «мессенджер» не существует, а есть лишь «общечеловеческое понимание» этого термина. То есть пока мессенджер сам не сказал, что он «сервис обмена мгновенными сообщениями», закон для него не писан. Есть, конечно, реестр ОРИ. Но Telegram туда записали принудительно, что не мешает ему игнорировать запреты властей, а остальные и вовсе туда не записаны.

И потом, разве мессенджеры – это только известные всем Telegram, Viber, WhatsApp? Почтовые сообщения тоже можно так трактовать. «Представьте себе, что мессенджеров не 3–4, а десятки тысяч, – рассуждает эксперт. – Если все они начнут исполнять эти правила, то у операторов связи будет бесконечный спам запросов. Что нужно сделать, чтобы каждую секунду обрабатывать эти объемы запросов?» Даже у самого простого мессенджера Facebook 1,3 млрд пользователей (WhatsApp – 1,5 млрд, Instagram – 1 млрд). «Мессенджер Facebook может в любой момент запросить любого оператора о своем пользователе и в течение 20 минут получить ответ из его базы данных, – продолжает эксперт. – Оператор же должен будет оповещать мессенджер об изменении номера или о прекращении договора». Это целая биллинговая эпопея, которая потребует реальных затрат.

А еще придется потратиться на безопасность, ведь речь идет о передаче персональных данных (ФИО, паспорта) от мессенджера оператору связи и обратно. «Это глобальная уязвимость, поскольку простым перебором телефонных номеров вы можете выкачать всю базу пользователей у оператора связи, со всеми номерами и персональными данными», – предупреждает Дмитрий Мариничев. Логично предположить, что рост затрат операторов отразится и на росте тарифов их услуг для пользователей.

Есть еще уязвимости второго плана. «Если мессенджер использует двоичную идентификацию (например, для сброса пароля, для входа в мессенджер), – объясняет интернет-омбудсмен, – то, передавая этот ID и контактные данные оператору связи, тем самым они передаются в некую базу данных, через которую можно получить доступ в мессенджер пользователя, ко всей его переписке и информации».

Родители же могут забыть об общении в мессенджерах со своими детьми. Многие, покупая телефон детям, регистрируют SIM-карты на себя. По новым правилам, ребенок под своим именем в мессенджере больше находиться не сможет, потому что у него нет договора с оператором связи. Родителям придется регистрироваться в мессенджере в телефоне ребенка под своим именем и формально переписываться в чате с самим собой. А как только оператор связи обнаружит, что телефоном пользуется не тот человек, на которого зарегистрирован номер, он обязан прекратить оказывать услуги связи.

Плюсы нововведений неочевидны, резюмирует Мариничев, зато бессмысленность и необязательность исполнения правил идентификации пользователей налицо.

Зарегистрируйтесь, чтобы получить возможность скачивания номеров

Войти через VK Войти через Google Войти через OK