Комментарии в СМИ
«О правилах хранения информации по «Закону Яровой»
Андрей Алексейчук, юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры», анализирует вступившие в действие с 1 июля Правила хранения операторами связи текстовых сообщений и иной информации пользователей услуг связи, а также Правила хранения организатором распространения информации в Интернете текстовых сообщений и иной информации, анализирует зарубежный опыт.
В настоящий момент операторы связи не имеют возможности исполнять установленные требования.
1 июля 2018 г. вступили в силу Правила хранения операторами связи текстовых сообщений пользователей услуг связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услуг связи, утвержденные Постановлением Правительства РФ от 12 апреля 2018 г. № 445 (далее – Правила).
Указанные Правила устанавливают порядок и сроки хранения пользовательских сообщений, а также требования к оборудованию, которое операторы связи должны использовать для хранения сообщений. Данное постановление принято во исполнение требований подп. 2 п. 1 ст. 64 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» (далее – Закон о связи) об обязательности хранения текстовых и голосовых пользовательских сообщений, введенного так называемым «Законом Яровой» [1] – поправками в различные законы с целью противодействия терроризму, экстремистской деятельности, усилению общественной безопасности.
Следует отметить, что с момента принятия «Закона Яровой» в 2016 г. многие критиковали его как раз в части установления обязательства операторов связи по хранению пользовательской информации, указывая, что хранение информации в предусмотренных законом объемах потребует крайне высоких затрат со стороны операторов связи на закупку, установку и поддержание соответствующего оборудования, что в конечном итоге отразится на тарифах операторов связи. Тем не менее соответствующие положения Закона № 374-ФЗ не были изменены, и с момента вступления в силу Правил у операторов связи возникает обязанность хранить пользовательские сообщения в предусмотренных объемах.
Правила, утвержденные рассматриваемым постановлением, устанавливают различное регулирование для операторов, осуществляющих передачу как текстовой, так и голосовой информации (операторов связи, оказывающих услуги междугородной и международной телефонной связи, услуги связи персонального радиовызова, услуги подвижной радиосвязи в сети связи общего пользования, услуги подвижной радиотелефонной и спутниковой связи, услуги связи по передаче данных для целей передачи голосовой информации, внутризоновой телефонной связи, местной телефонной связи), и для операторов, не осуществляющих передачи голосовой информации (операторов связи, оказывающих телематические услуги связи и (или) услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
В отношении операторов, осуществляющих передачу голосовой информации, установлено, что хранение операторами информации должно осуществляться в принадлежащих им технических средствах накопления информации на территории Российской Федерации. При этом использование технических средств накопления информации, принадлежащих другому оператору, допускается по согласованию с уполномоченным подразделением ФСБ России. Требования к таким техническим средствам устанавливаются Минкомсвязи России по согласованию с ФСБ России (пока такие требования не установлены).
Указанная информация должна храниться в полном объеме в течение 6 месяцев с даты окончания ее приема, передачи, доставки и (или) обработки.
В отношении операторов, не осуществляющих передачу голосовой информации, предусмотрены особые правила. До 1 октября 2018 г. указанные операторы могут не хранить передаваемую пользователями информацию, а с названной даты – должны хранить информацию в том объеме, который занимает переданная (отправленная и полученная) пользователями оператора информация в течение 30 дней до момента ввода технических средств хранения информации в эксплуатацию. При этом указанный объем должен увеличиваться ежегодно на 15% в течение 5 лет.
Установлена также обязанность операторов сохранять конфиденциальность полученной информации в соответствии с требованиями, которые должно утвердить Минкомсвязи России (пока такие требования также не установлены).
Как было отмечено, с 1 июля 2018 г. операторы связи, осуществляющие передачу голосовой информации, обязаны хранить сообщения пользователей. При этом до настоящего момента не утверждены требования к техническим средствам хранения информации. Более того, в отсутствие таких требований невозможно изготовить и выпустить соответствующее сертифицированное оборудование. Соответственно, в настоящий момент операторы связи не могут исполнять требования, предусмотренные Законом № 374-ФЗ и рассматриваемыми Правилами.
Несмотря на то что отдельной административной ответственности за несоблюдение требований по хранению информации в отношении операторов связи не предусмотрено, несоблюдение данных требований может повлечь за собой приостановление и последующее аннулирование лицензии на оказание услуг связи в силу подп. 1 п. 2 ст. 37 и подп. 2 п. 1 ст. 39 Закона о связи. Кроме того, теоретически оператор связи может быть привлечен к ответственности за осуществление деятельности с нарушением лицензионных требований (ч. 3 и 4 ст. 14.1 КоАП РФ) и за непредоставление сведений (ст. 19.7 КоАП РФ) органам, осуществляющим оперативно-розыскную деятельность, если такие органы потребуют информацию, которую оператор обязан хранить в соответствии с обсуждаемыми Правилами.
Сделать какой-либо прогноз в части правоприменительной практики сложно, но можно надеяться, что операторы связи не будут привлекаться к ответственности до тех пор, пока они не смогут в принципе выполнить требования, установленные анализируемыми Правилами. При оценке риска привлечения к ответственности можно ориентироваться и на предшествующее поведение органов государственной власти в данной области в таких ситуациях. Так, Приказом Минкомсвязи России от 16 апреля 2014 г. № 83 были утверждены Правила Минкомсвязи [2], касающиеся применения оборудования, обеспечивающего выполнение оперативно-розыскных мероприятий. В п. 4.10 указанных Правил предусмотрено хранение информации пользователей, передаваемой через интернет, на внутреннем оборудовании в течение 12 часов. При этом соответствующее сертифицированное оборудование, позволяющее хранить пользовательскую информацию таким образом, появилось только через 6 месяцев после вступления в силу названных Правил. Тем не менее случаев привлечения операторов связи к ответственности за неисполнение данных Правил в отсутствие сертифицированного оборудования выявлено не было.
Интересно, что попытки обязать операторов связи хранить пользовательскую информацию предпринимаются не только в России. В Европе была принята Директива Европейского Парламента и Совета Европейского Союза 2002/58/ЕС от 12 июля 2002 г. о конфиденциальности и электронных средствах связи (Privacy and Electronic Communications Directive [3], далее – Директива). В п. 1 ст. 15 Директивы установлено право государств – членов Европейского Союза принимать законодательные меры, предусматривающие сохранение данных на ограниченный период (то есть правила, аналогичные установленным в «Законе Яровой» и рассматриваемом постановлении). Такие меры, в частности, были реализованы в Швеции.
Тем не менее в 2016 г. шведское подразделение оператора TELE2 оспорило установленную в Швеции обязанность оператора связи хранить пользовательскую информацию, а также саму норму ст. 15 Директивы в Европейском суде юстиции.
21 декабря 2016 г. Европейский суд юстиции вынес решение [4], в котором указал, что ст. 15 нельзя толковать как позволяющую государствам – членам Европейского Союза устанавливать обязанность операторов связи по общему и неизбирательному хранению пользовательских данных. Суд обосновал это решение, в частности, тем, что массовое хранение личных данных пользователей открывает широкие возможности для разного рода злоупотреблений со стороны как государственных органов, так и иных лиц.
Таким образом, законодательная политика европейских государств, направленная на уменьшение защиты приватности пользователей и возложение на операторов связи обременительных обязанностей, была предотвращена судебной властью.
О других случаях установления обязанности операторов связи хранить всю пользовательскую информацию в мировой практике не известно, хотя во многих странах предусмотрена обязанность операторов связи по хранению «метаданных» телефонных разговоров и голосовых сообщений пользователей, например сведений о номерах телефонов, с которых совершался разговор, длительности звонков, данных о местоположении абонента и иной информации. Подобные законы приняты, например, в Австралии и ФРГ. В Великобритании аналогичный закон также был принят в 2014 г. [5], однако в 2015 г. его положения, касающиеся хранения пользовательских данных, были отменены Высшим судом [6] (High Court). Позднее упомянутое решение Высшего суда было поддержано в названном решении Европейского суда юстиции.
В США, насколько известно, обязанность операторов связи по хранению пользовательских данных не установлена. Вероятно, это объясняется тем, что в США правоохранительные органы обладают широкими полномочиями и возможностями по самостоятельному перехвату и хранению пользовательской информации.
В заключение следует отметить, что Постановлением Правительства РФ от 26 июня 2018 г. № 728 утверждены Правила хранения организатором распространения информации в информационно-телекоммуникационной сети «Интернет» текстовых сообщений пользователей информационно-телекоммуникационной сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет», которыми установлены схожие требования к хранению пользовательской информации организаторами распространения информации. Указанные Правила приняты в соответствии с нормой п. 2 ч. 3 ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации), которая также была введена Законом № 374-ФЗ.
Данные Правила касаются организаторов распространения информации, под которыми в соответствии с Законом об информации понимаются лица, осуществляющие «деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» (ч. 1 ст. 10.1). То есть организаторами распространения информации фактически являются любые сервисы, позволяющие обмениваться сообщениями, включая мессенджеры, форумы и социальные сети.
Правилами установлено, что организатор распространения информации хранит информацию о пользователях, которых можно идентифицировать как находящихся на территории РФ (по IP-адресу, номеру телефона и географическим метаданным), как граждан РФ (на основании документа, удостоверяющего личность) или в отношении которых организатору распространения информации поступило прямое указание от уполномоченных государственных органов.
Организатор распространения информации должен хранить все электронные сообщения таких пользователей в полном объеме в течение 6 месяцев с момента отправки, приема, доставки, передачи, обработки сообщений.
Эти Правила вступили в силу тогда же, когда и Правила, касающиеся операторов связи, – с 1 июля 2018 г. При этом в них не предусмотрены какие-либо требования к техническим средствам хранения информации, следовательно, организаторы распространения информации уже сейчас могут и обязаны хранить пользовательскую информацию.
За несоблюдение установленных требований ч. 2 ст. 13.31 КоАП РФ предусмотрена административная ответственность в виде штрафа, сумма которого для юридических лиц составляет от 800 тыс. до 1 млн руб.
[1] В частности, Федеральный закон от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (далее – Закон № 374-ФЗ).
[2] Правила применения оборудования систем коммутации, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий. Часть III. Правила применения оборудования коммутации и маршрутизации пакетов информации сетей передачи данных, включая программное обеспечение, обеспечивающего выполнение установленных действий при проведении оперативно-розыскных мероприятий.
[3] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications).
[4] http://curia.europa.eu/juris/document/document.jsf
[5] Data Retention and Investigatory Powers Act 2014.
[6] https://www.theregister.co.uk/2015/07/17/high_court_dripa_unlawful/
Материал опубликован в разделе «Мнения» на сайте «Новой адвокатской газеты» 13.07.2018