Комментарии в СМИ
«Зачем государство хочет привязать ваш email к телефону»
Андрей Алексейчук, юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры», выделяет технические и организационные проблемы, связанные с исполнением требований законопроекта об обязательной идентификации по номеру телефона российских пользователей электронной почты.
Возможно ли идентифицировать всех российских пользователей электронной почты?
Члены Совета Федерации Клишас, Бокова, Карлин, Башкин, внесли в июле 2019 года в Госдуму законопроект об обязательной идентификации по номеру телефона российских пользователей электронной почты. Согласно документу, владелец сервиса электронной почты должен будет заключить договор с оператором связи и затем устанавливать личность каждого клиента. Также оператор почтового сервиса должен по запросу Роскомнадзора в течение суток ограничить доступ пользователя к сервису, если тот передает в сообщениях запрещенную для распространения в России информацию. Редакция Executive.ru задала экспертам вопросы:
- Как это предложение соотносится с нормами Конституции РФ?
- Выполнимо ли оно с технической точки зрения?
- Будут ли выполнять это требование, если оно будет принято, иностранные почтовые сервисы, доступ к которым россияне могут получить через VPN?
Что делать с корпоративными почтовыми ящиками?
Максим Часовиков, руководитель проектов, эксперт Executive.ru
Если говорить про норму Конституции о неприкосновенности частной переписки, то предложение ей не противоречит, поскольку сам факт наличия сообщения от одного адресата до другого не раскрывает содержания сообщения. Скорее, можно усмотреть противоречие с «Законом о персональных данных». Но никто не говорит, что операторы почтовых сервисов обязаны предоставлять связку: автор сообщения, номер телефона, пользователь номера телефона. Впрочем, все зависит от фактической реализации идеи.
Положение об ограничении доступа пользователя к сервису, если тот передает в сообщениях запрещенную для распространения в России информацию, может быть реализовано на основании обращения адресата с жалобой на то, что в сообщении содержится такая информация.
Теоретически установить связь между отправителем и номером телефона возможно, но что делать с корпоративными почтовыми ящиками?
Проект не поможет идентифицировать пользователя
Роман Орел, независимый директор, эксперт Executive.ru
Если иметь технологическую возможность и информационно-ресурсную базу, реализовать эту идею нетрудно. Что касается Конституции РФ, то статья 23 гласит: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения». Отсюда следует, что каждое обращение Роскомнадзора должно быть на основании судебного решения. С этой точки зрения, я думаю, предложение выглядит проблематично.
Некоторое число SIM-карт зарегистрировано на фальшивые имена. Предлагаемая мера эту проблему не решит и обеспечить идентификацию пользователя email не сможет.
Законопроект противоречит даже самому себе
Алексей Парфентьев, руководитель отдела аналитики «СерчИнформ»
Из текста законопроекта четко следует, что все сообщения должны быть проверены на предмет запрещенной информации, причем, кто будет определять, передавалась такая информация или нет, не указано. Идентификация же нужна только чтобы установить, кто именно и кому «запрещенку» пересылает.
Инициатива прямо нарушает статью 23 Конституции, гарантирующую право на неприкосновенность частной жизни и тайну личной переписки. А также статью 29, где, в том числе, говорится о праве свободно получать и передавать информацию. Законопроект умудряется противоречить даже сам себе: в п.2, по сути, говорится о тайном просмотре всех писем, а п.4 обязывает сохранять их конфиденциальность. Но как? Проект в принципе нереализуем на практике, слишком много в нем «дыр» и противоречий.
Первая неясность – есть ли у государства перечень всех на свете почтовых сервисов? Хотя бы веб-ресурсов типа Google и Hotmail, откуда можно зайти в почту. Помимо сайтов веб-почты можно использовать почтовые приложения вроде Outlook, которые связываются с серверами по своим протоколам связи напрямую, по IP или hostname. Этих IP – сотни тысяч. Любой пользователь с помощью специального ПО, в том числе бесплатного, может установить свой почтовый сервер и стать «организатором сервиса электронной почты». Как государство его учтет? Так что обязать каждого организатора соблюдать этот закон невозможно даже теоретически.
Во-вторых, как государство будет определять, что сервис зарегистрировал пользователя, но не запросил или не передал информацию, как предписано законом? Российские платформы вроде Mail.ru и Rambler будут дисциплинированно исполнять требования. Использовать российский электронный ящик без идентификации по номеру телефона, действительно, станет невозможно. Но мер воздействия на иностранные сервисы у российских властей нет, это видно хотя бы из попыток заблокировать Telegram. Можно уверенно заявлять, что крупные иностранные игроки проигнорируют новые требования, а проблем с доступом у пользователей не возникнет – особенно через те же почтовые клиенты.
В-третьих, вызывает вопросы сам способ идентификации – по мобильному номеру. Значит ли это, что те, кто не пользуется мобильной связью, не смогут войти в почту?
Пока законопроект выглядит откровенно нежизнеспособным.
Что делать зарубежным пользователям почтовых сервисов?
Илья Капитонов, директор по развитию бизнеса, Tandem Group
Ничего необычного в предложении по идентификации пользователей электронной почты не вижу: при приобретении SIM-карты мы в РФ обязаны предоставить паспорт, во многих сервисах идентификация происходит по номеру телефона. Вопрос лишь в том, как дальше будет работать данный закон. Согласно статье 23 Конституции РФ, каждый имеет право на тайну переписки. Ограничение этого права допускается только на основании судебного решения. Будет ли приниматься это судебное решение во всех случаях?
С технической точки зрения решение выполнимо, при условии, если все почтовые сервисы, которые существуют в интернете, подпишут с операторами связи соглашение. При этом SIM-карты, по которым будет проводиться идентификация, должны быть приобретены с соблюдением закона, в чем по-прежнему есть сомнения.
Остается открытым вопрос, что делать зарубежным пользователям почтовых сервисов? Их номер телефона будет соответствовать требованиям российского законодательства, если закон будет принят? В целом, инициатива крайне слабо проработана с технической стороны.
Законопроект был внесен лишь с одной целью – оценить реакцию общественности
Станислав Косарев, директор Центра информационных технологий, Университет «Синергия»
Я вполне допускаю, что сенаторы, выдвигая данный законопроект, преследовали исключительно благие цели, но в текущем виде их предложение вызывает слишком много вопросов. Во-первых, обозначенный в законопроекте механизм ограничения пересылки запрещенной информации может быть истолкован как произвольное внесудебное ограничение установленного Конституцией права граждан на тайну личной переписки.
С технической точки зрения исполнение данного закона, в случае его принятия, также является, мягко говоря, затруднительным. При ближайшем рассмотрении описываемого в законе инструментария, и с учетом сложившейся практики на российском рынке, данный законопроект может негативно отразиться на работе именно отечественных интернет-гигантов. Это, прежде всего, «Яндекс», Mail.ru Group и Rambler и на их почтовых службах. Хотя искренне кажется, что нашим уважаемым законотворцам следовало бы больше заботиться именно об интересах отечественных компаний, что необходимо в рамках реализации приоритетной национальной программы «Цифровая экономика».
С трудом верится, что компания Google вместе со своим наиболее популярным в мире почтовым сервисом Gmail решится на исполнение данного закона в текущей предлагаемой редакции, но какие механизмы у закона в этом случае? Заблокируют ли Gmail? Это кажется маловероятным, скорее всего Google ограничится очередным незначительным штрафом от Роскомнадзора.
В случае принятия законопроекта отечественные компании в очередной раз понесут дополнительные издержки на создание инфраструктуры для реализации закона. Ну а зарубежные игроки, которые и так уже неоднократно смотрели сквозь пальцы на требования российского законодательства, как это было, например, с законом о хранении персональных данных на территории РФ, который вступил в силу 1 сентября 2015 года, продолжат делать вид, что вообще ничего не произошло.
Я допускаю, что данный законопроект был внесен лишь с одной целью – оценить реакцию общественности. Принятие законопроекта в текущем виде считаю маловероятным.
Идентифицировать всех пользователей email в РФ технически невозможно
Сергей Головко, директор по безопасности, «Ростелеком Контакт-центр»
Идентифицировать всех пользователей электронной почты в РФ технически невозможно. Прежде всего, сам email-адрес может в разное время принадлежать разным владельцам, и в любой момент владелец может смениться. Это возможно как при смене владельца почтового домена, если владелец почтового ящика является владельцем всего почтового домена, так и при возврате имени почтового ящика в пул свободных имен на бесплатных почтовых сервисах в случае длительного неиспользования, отказа от использования…
Многие почтовые домены имеют механизм автоматической генерации почтовых ящиков для новых пользователей и сервисных учетных записей. Любой человек с доступом в интернет может зарегистрировать доменное имя и создать собственный почтовый сервер, на котором он сможет создавать и удалять бесконечное количество разных почтовых ящиков в любой момент времени. Также существуют сервисы генерации временных почтовых ящиков, где достаточно зайти на страницу сайта, и сразу открывается новый почтовый ящик со случайным именем.
Если даже удастся заставить всех пользователей в доменной зоне .ru принять какие-то новые правила, предусматривающие заключение договора с оператором связи, это потребует астрономических по времени затрат на поиск фактического владельца каждого почтового домена. Многие из владельцев в принципе не станут выполнять эти требования, поскольку могут физически находиться в другой стране и юрисдикции. Все это никак не повлияет на другие доменные зоны, поскольку они не подпадают под регулятора из РФ.
Ни в одной стране мира нет подобного закона или свода правил, поскольку подобная процедура по сути своей не ведет ни к чему. Желающие нарушить такие правила легко смогут это сделать, например, создав почтовый ящик на зарубежном сервисе, а законопослушные пользователи будут обязаны выполнять обременительные процедуры, на которые нужны ресурсы и время, никем не компенсируемые в такой ситуации.
Если же будет введена процедура блокировки доступа ко всем зарубежным почтовым серверам, которые не выполняют внутренние российские требования, то по факту необходимо будет блокировать сами почтовые протоколы и полностью останавливать весь трафик электронной почты в страну и из страны. Поскольку новые почтовые сервера в интернете появляются тысячами каждый день, невозможно будет заключить договор с каждым из них.
Подобные меры приведут к тому, что пользователи попросту откажутся от использования электронной почты в качестве средства коммуникации с зарубежными адресатами, и перейдут на другие платформы передачи текстовой информации – мессенджеры, социальные сети. Или будут пользоваться широчайшим арсеналом способов обхода блокировок – TOR, VPN-сервисы, «обфускация» (запутывание) трафика, работа в https-сессии на странице сайта…
К тому же, судя по предыдущему опыту блокировки мессенджера Telegram и зарубежных VPN-сервисов, находящиеся вне юрисдикции нашей страны организации практически полностью отказываются выполнять требования Роскомнадзора, считая их незаконными и нарушающими общие принципы работы интернета.
Российские почтовые сервисы окажутся в невыгодном положении
Павел Патрикеев, руководитель юридического департамента, Reg.ru
Формально речь идет о видоизменении существующей процедуры. Сейчас данные о переписке могут быть получены спецслужбами в рамках предусмотренных законами процедур оперативно-розыскных мероприятий. Статья 23 Конституции, закрепляющая право на тайну переписки, содержит возможность ограничения этого права по судебному решению. Так что, в целом данная инициатива проходит под п. 3 ст. 55 Конституции, согласно которой права и свободы гражданина РФ могут быть ограничены законом в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, обеспечения безопасности государства. Другой вопрос, что законопроект очень абстрактно описывает административный механизм принятия решения об ограничении доступа, что вызывает опасения о внедрении механизма ограничения права на тайну переписки во внесудебном порядке.
В целом, использование номера телефона как уникального идентификатора и до принятия закона о мессенджерах практиковалось у операторов электронной почты, например, для восстановления доступа к аккаунту, а также в других секторах, например, в банковском. Инициатива технически реализуема, но она может поставить отечественные почтовые сервисы в неравное положение с зарубежными. А частные лица понесут затраты для реализации данного проекта и налаживания процедуры обмена данными с государственными органами в рамках данной процедуры.
Как показывает опыт с внедрением закона о мессенджерах и VPN, вынуждены исполнять данные требования будут только крупные игроки, более мелкие сервисы, а также зарубежные сервисы, вряд ли будут иметь возможность и желание исполнить такие требования. Какого-то механизма борьбы с этим законопроект в настоящий момент не содержит.
Тайна переписки будет нарушена
Андрей Алексейчук, юрист практики по интеллектуальной собственности и информационным технологиям, «Качкин и Партнеры»
Многие предполагают, что реализация указанного требования может быть осуществлена без участия человека – путем использования автоматической системы поиска запрещенного контента. Но просмотр писем с помощью такой системы также может рассматриваться как нарушение тайны переписки. К такому выводу пришел, например, Московский городской суд в 2015 году, рассматривая иск к Google о запрете использования автоматического анализа писем для целей показа рекламы (Апелляционное определение Московского городского суда от 16.09.2015 по делу № 33-30344).
Навскидку можно выделить как минимум несколько технических и организационных проблем, связанных с исполнением требований такого законопроекта:
- Владельцы корпоративной электронной почты и обычные пользователи, которые арендовали и настроили собственный почтовый сервер – получается, им придется заключать договор с оператором связи и выполнять иные требования.
- Шифрование, которое не позволяет фильтровать контент и которое легко может настроить обычный пользователь в своем ящике даже без участия владельца сервиса.
- Неясное положение пользователей, которые не пользуются мобильной связью, но хотят использовать электронную почту.
Можно обратить внимание на опыт, связанный с применением подобных мер год назад в отношении мессенджеров. Как правило, большинство сервисов, не ориентированных на Россию, не склонны выполнять требования российского законодательства. Большинство иностранных VPN-сервисов отказались выполнять требования по фильтрации запрещенного контента, даже под угрозой блокировки.
Ничто не мешает указать неверные паспортные данные
Виктор Рассохин, управляющий партнер, «Частное право»
Предлагаемые в законопроекте требования ограничивают предусмотренное основным законом страны право на тайну переписки, поэтому вряд ли будут поддержаны Госдумой. Даже если не учитывать аспект, связанный с нарушением права на тайну переписки пользователей почтовых сервисов, то возникает, как минимум, три проблемы.
Во-первых, сама по себе процедура идентификации осложняется рядом технических моментов. Например, многие хостинг-сервисы и регистраторы доменов требуют указать паспортные данные при регистрации нового домена. Однако ничто не мешает лицу указать неверные паспортные данные, поскольку какая-либо процедура идентификации лиц отсутствует.
Во-вторых, многие россияне пользуются корпоративными почтовыми серверами. Таким образом, возникнет необходимость идентифицировать личность всех сотрудников этой организации, которые используют рабочую почту, а это дополнительные технические проблемы.
В-третьих, много почтовых сервисов находится за рубежом, и правила их работы не могут быть ограничены законодательным актом РФ, поскольку их деятельность урегулирована нормами национального права того государства, на территории которого осуществляется деятельность организации, управляющей почтовым сервисом. Получается, что единственным выходом будет очередной запрет Роскомнадзора (как в случае с LinkedIn или Telegram), который при желании пользователи всегда смогут обойти, что сводит на нет эффективность такого решения.