Финансовые результаты

Закон о хранении данных провайдерами. Путин подписал закон яровой о хранении и расшифровке данных пользователей. Когда вступает в силу «закон Яровой»

Уточняющая запись

С 1 июля 2018 года вступают в силу положения антитеррористических поправок в два федеральных закона, получивших неофициальное название «закон Яровой» и обязывающих операторов связи и организаторов распространения информации в интернете (ОРИ, к ним относятся мессенджеры, сервисы электронной почты, интернет-форумы и др.) хранить аудиозаписи разговоров, всю переписку и другие виды коммуникации абонентов и пользователей до шести месяцев, а данные о фактах коммуникаций — до одного года для ОРИ и до трех лет для операторов. Доступ к этим данным будут иметь сотрудники правоохранительных органов для проведения оперативно-разыскных мероприятий.

Законопроект предполагал, что точные сроки хранения, объемы и тип данных определит правительство. Первую версию соответствующего проекта постановления Минкомсвязь подготовила еще в конце 2016 года, однако документ раскритиковали участники рынка из-за слишком высокой стоимости реализации требований. По оценкам самого министерства, она могла обойтись компаниям отрасли в 4,5 трлн руб., что значительно превосходит совокупные доходы всех ее участников (их оборот в 2016 году составил 1,657 трлн руб.). Вторая версия проекта была опубликована весной 2017 года, но и она вызвала нарекания у операторов и интернет-компаний.

После этого новых версий документа не публиковалось. Но Николай Никифоров осенью 2017 года рассказывал, что министерство склоняется к варианту, при котором наиболее «тяжелые» данные будут храниться в течение одного месяца, а аудиозаписи разговоров — шесть месяцев.

В середине января вице-премьер Аркадий Дворкович заявил, что правительство обсуждает возможность отсрочки выполнения требований о хранении данных, но для каких именно данных и на какой период, он не уточнил. До последнего времени оставался открытым вопрос, какой объем трафика должны будут хранить участники отрасли. Минкомсвязь считала, что рассчитывать объем необходимо в зависимости от емкости сетей операторов. Для операторов это означало, что чем больше будет пропускная способность сети, тем больше данных придется хранить, вне зависимости от того, насколько были задействованы эти мощности. В конце января Минкомсвязь согласилась , что операторы должны будут хранить в течение месяца только фактически переданный интернет-трафик, сообщал «Коммерсантъ» со ссылкой на письмо замглавы Минкомсвязи Дмитрия Алхазова в Российский союз промышленников и предпринимателей (РСПП). Однако и этот вариант не удовлетворил бизнес. По данным «Коммерсанта», комиссия РСПП направила письмо замглавы Минкомсвязи Дмитрию Алхазову и вице-премьеру Аркадию Дворковичу с просьбой еще больше смягчить требования к хранению данных. В заключении, подготовленном РСПП, что реализация закона «полностью поглотит инвестиционные бюджеты операторов связи либо приведет к значительному росту тарифов на услуги связи на 12-90% в зависимости от услуги и оператора связи». Собеседники РБК, знакомые с содержанием встречи в Минкомсвязи 8 февраля, не уточнили, были ли учтены эти замечания РСПП.

Хранение записей разговоров в течение полугода, а интернет-трафика в течение месяца потребует только от «МегаФона» 35-40 млрд руб. затрат в течение пяти лет, гендиректор компании Сергей Солдатенков. В телеканалу РБК Никифоров также говорил, что для крупных игроков речь будет идти о «десятках миллиардов рублей».

По словам еще одного собеседника РБК, все операторы ранее должны были представить в Минкомсвязь свои расчеты по реализации положений «закона Яровой». У операторов «большой тройки» затраты на исполнение закона варьируются от 35 млрд до 60 млрд руб., рассказал он. Топ-менеджер одного из операторов сообщил РБК, что предложенные Никифоровым сроки хранения данных приведут к росту тарифов на связь «примерно вдвое».​​

Выгодный закон

Три собеседника РБК на телекоммуникационном рынке отметили, что закон позволит увеличить выручку холдингу «Цитадель», который занимается производством систем оперативно-разыскных мероприятий (СОРМ), необходимых для снятия информации с каналов связи. Основным владельцем «Цитадели» является Антон Черепенников — партнер мажоритарного акционера «МегаФона» Алишера Усманова по нескольким проектам, поэтому оператор больше не является яростным критиком положений «закона Яровой», объяснил один из собеседников РБК. В «Цитадель» входят производители СОРМ «Малвин Системс», «МФИ Софт», а напрямую Черепенникову принадлежит доля в разработчике СОРМ «Основа Лаб».

Как РБК в августе 2017 года, для подготовки к реализации положений «закона Яровой» «Цитадель» пригласила на одну из топ-менеджерских позиций бывшего главу 12-го центра ФСБ Сергея Ефремова, который занимался вопросами внедрения СОРМ и в конце прошлого года собирался выйти на пенсию. Представители «Цитадели» не подтверждали эту информацию, однако из протокола Ассоциации документальной электросвязи следует, что Сергей Ефремов присутствовал на заседании его исполкома 12 декабря 2017 года в качестве представителя «Цитадели».

  • Сколько организаций тестируют решения SD-WAN?
  • Можно ли повысить гибкость бизнеса без ущерба для безопасности сети?
  • Как приоритизировать бизнес-трафик в режиме реального времени?
  • Удастся ли сэкономить благодаря решениям SD-WAN?

Как интернет вещей и BYOD изменили управление доступом к сети?

  • Количество ИВ-устройств достигнет 55 млрд к 2025 г.
  • В 53% компаний за последний год увеличилось число зараженных конечных точек
  • 63% компаний не могут контролировать мобильные устройства вне корпоративной сети
  • Численность BYOD-работников достигла 1,76 млрд

Зарегистрируйтесь, чтобы скачать бесплатно электронную книгу прямо сейчас.

Власти разъяснили «закон Яровой» для сайтов: Хранить содержимое сообщений придется максимальный срок

6879

29.06.2018, Пт, 09:27, Мск , Текст: Игорь Королев

Правительство утвердило требования к организаторам распространения информации в интернете относительно хранения содержимого переписки их пользователей. Хранить переписку придется полгода – срок, максимально отведенный «законом Яровой».

Правительство уточнило требования «закона Яровой» к интернет-компаниям

Правительство России утвердило правила хранения организаторами распространения информации в сети интернет (ОРИ) содержимого сообщений пользователей. Документ является подзаконным актом к Закону «Об информации, информационных технологиях и защите информации», в соответствии с которым с 1 июля 2018 г. ОРИ должны будут хранить содержимое переписок своих пользователей.

Что такое ОРИ

Термин ОРИ был введен в законодательство в 2014 г, когда был принят разработанный при участии сенатора Ирины Яровой пакет «антитеррористических поправок». Под ОРИ подразумеваются сайты и сервисы, которые позволяют общаться пользователям сети интернет, за исключением сайтов для личных и семейных нужд.

Первоначально закон требовал от них хранить на территории России данные о совершаемых российскими пользователями действиями в течение полугода. Тогда же было принято постановление правительства, детализирующее требования к хранению информации.

Было установлено, что российскими пользователями являются пользователи, авторизующиеся с территории России, зарегистрировавшиеся с территории России либо зарегистрировавшиеся с помощью российских идентификаторов (паспортов, номеров сотовых телефонов и т.д.). Также российские правоохранительные органы могут сами сообщить ОРИ, каких пользователей стоит считать российскими.

По требованию Правительства интернет-компании должны хранить
переписку пользователей полгода – срок, максимально отведенный «законом Яровой»

ОРИ должны хранить и передавать российским правоохранительным органам регистрационные данные о российских пользователях, информацию о фактах их авторизации, переданными и полученными ими сообщениях, оказанных им платных услугах и осуществленных платежах.

Требования о хранении содержимого сообщений

В 2016 г. был принят новый антитеррористический пакет законопроектов, соавтором которого также выступила Ирина Яровая. Документ получил неформальное название «закон Яровой». Согласно нему, ОРИ должны хранить данные о переписке российских пользователей уже в течение года. Также в течение до полугода должно храниться и содержимое самих сообщений.

Речь идет обо всех видах сообщений: текстовых, фото, видео, изображениях, звуках и т.д. Норма о хранении содержимого сообщений является наиболее дорогостоящей для ОРИ и крупные российские интернет-компании выступали против ее принятия. В итоге в законе было прописано, что данная норма вступит в силу только с 1 июля 2018 г., а правительство установит требования к объемам и срокам хранения.

Кроме того, в случае применения ОРИ технологии обмена ключей для шифрования сообщений между пользователями закон обязал предоставлять спецслужбам ключи для дешифровки таких сообщений.

Власти не стали смягчать требования «закона Яровой» для интернет-компаний

Нынешнее постановление правительства конкретизирует требования к ОРИ по хранению содержимого сообщений. Правительство решило не смягчать требований к ОРИ и обязало их хранить сообщения пользователей максимально отведенный законом срок: полгода. Понятие российского пользовател осталось таким же, каким было в постановлении правительства от 2014 г.

«Постановление правительства содержит максимально отведенный законом срок хранения содержимого переписки, но не содержит максимального объема емкости, которое следует выделить для этих целей, - отмечает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян . - Поскольку ОРИ могут признаны практически любые интернет-сайты, реализация данных требований потребует больших затрат, которые будут непосильтными как для небольших интернет-ресурсов, так и для крупных интернет-компаний. При этом по-прежнему не ясно, каким образом следует хранить сведения, содержащие тайну, персональные данные, объекты авторского права и т.д.»

Отметим, что «антитеррористический пакет» законопроектов от 2016 г. ввел похожие требования и к операторам связи. Они должны хранить сведения о переданных их абонентами сообщений в течение трех лет, а содержимое самих сообщений - сроком до полугода. Норма о хранении содержимого сообщений операторов связи также вступает в силу с 1 июля 2018 г., а требования к ней должны были быть прописаны в отдельном постановлении правительства.

Это постановление правительства вышло весной 2018 г. Телефонный трафик следует хранить в течение полугода. А вот в случае с трафиком передачи данных правительство пошло на компромисс.

Его надо будет хранить с 1 октября 2018 г. Оператор связи должен будет выделить емкости для хранения такого трафика и сдать соответствующую систему Роскомнадзору и ФСБ. Объем емкости должен будет соответствовать объему, необходимую для хранения оператором трафика своих абонентов за месяц, предшествующей сдачи им своей системы. Каждый год в течение последующих пяти лет объем емкости будет увеличиваться на 15%.

Как наказать ОРИ за невыполнения российских законов

Между тем, если деятельность операторов связи является лицензируемой, то регулировать работу ОРИ сложнее. Реестр ОРИ Роскомнадзор завел осенью 2014 г., но первое время в него включались только российские сервисы. За отказ регистрироваться в реестре ОРИ закон предусматривает наказание в виде блокировки доступа к ресурсу с территории России, но первое время Роскомнадзор не наказывал иностранные площадки за игнорирование требований к Реестру ОРИ.

Первые иностранные сервисы стали включаться в Реестр ОРИ в начале 2017 г. Тогда же были заблокированы первые зарубежные сервисы, которые в этот Реестр не вступили. В то же время Роскомнадзор не применял никаких санкций по отношению к таким крупным сервисам, как Facebook, Twitter, WhatsApp, Viber, Skype и т.д, хотя в Реестре ОРИ их нет.

Наиболее громкой стала история с Telegram. В 2017 г. глава Роскомнадзора Александр Жаров предупредил его о блокировке. После этого создатель Telegram Павел Дуров согласился зарегистрироваться в Реестре ОРИ, однако заверил, что доступа к переписке пользователей он давать не будет.

Затем ФСБ затребовала от Telegram ключи для дешифровки сообщений ряда его пользователей. В связи с отказом от выполнения этого требования этой весной Роскомнадзор начал блокировку Telegram. Впрочем, самому мессенджеру удается блокировку обходить.

Руководитель общественной организации «Роскомсвобода» Артем Козлюк отмечает, что до сих пор Реестр ОРИ работал непрозрачно. «Скорее всего, так и будет продолжаться, а все истории с получением данных пользователей будут решаться по «телефонному праву», - говорит Козлюк. - В этой связи показательна история со швейцарским мессенджером Threema: Роскомнадзор включил его в Реестр ОРИ, но сам сервис заявил, что законодательство Швейцарии в принципе не позволит ему передавать данные о своих пользователях».

При этом операторы получили небольшую отсрочку – они обязаны начинать хранить интернет-трафик с 1 октября 2018 г. Хотя пакет антитеррористических поправок Ирины Яровой и Виктора Озерова, предписывающий операторам хранить все телефонные разговоры, текстовые сообщения, изображения, звуки, видеозаписи и другие электронные сообщения пользователей, вступит в силу уже 1 июля.

Из проекта постановления следует, что операторы с 1 октября должны хранить сообщения пользователей в интернете, накопленные в течение 30 суток со дня сдачи системы хранения данных в эксплуатацию, уточняет сотрудник одного из операторов. Но на практике хранить этот трафик операторы начнут позже 1 октября, ведь строительство и сдача в эксплуатацию таких систем – дело небыстрое, считает сотрудник одной из сотовых компаний. На телефонные разговоры и сообщения эта отсрочка не распространяется.

Операторы давно ждали этого постановления, без которого сложно планировать расходы на исполнение закона. «Выполнение требований сильно зависит от технического задания и от того, как скоро оно будет определено», – рассказывал в интервью «Ведомостям» гендиректор «Вымпелкома» Василь Лацанич. Президент «Ростелекома» Михаил Осеевский также отказывался оценивать расходы. В годовом отчете МТС констатировала необходимость капитальных затрат на исполнение закона Яровой, но их размера не оценивала. Подсчеты удались лишь «Мегафону»: в 2018 г. оператор потратит на это около 7 млрд руб., рассказывал представитель оператора. А за пять лет расходы могут достигнуть 40 млрд руб., говорил в декабре 2017 г. гендиректор оператора Сергей Солдатенков. «Мегафон » даже успел заняться тестированием систем для исполнения закона – совместной разработки компаний «Цитадель» и «Национальные технологии».

Свои затраты на реализацию требований пакета Яровой «Мегафон » оценивает в 35–40 млрд руб., отметил вчера представитель оператора. Новые правила компромиссны – ранее их проект обсуждался с отраслью, утверждает Солдатенков.

Лацанич надеется, что ввод систем хранения данных будет поэтапным. Ни у кого из операторов нет и не может появиться до 1 июля систем хранения данных, чтобы обслуживать весь трафик крупного оператора, говорил он ранее на конференции «Ведомостей». Все большие операторы смогут найти средства и так или иначе выполнить требования закона в разумные сроки, хотя это будет болезненно для бюджетов и акционеров, сказал гендиректор «Вымпелкома». «Но у меня большие сомнения, что это смогут сделать маленькие, особенно операторы фиксированной связи. Их в стране сотни. Большая часть их трафика приходится на торренты, видео, и это все хранить, обрабатывать, давать доступ – эта задача и технически, и экономически для них нерешаемая», – отметил Лацанич.

В связи с нехваткой на рынке сертифицированного оборудования и с учетом масштаба инфраструктуры «Ростелекому» будет затруднительно выполнить требования правил, говорит его представитель.

Представители МТС , «Т2 РТК холдинга» (Tele2) и «Вымпелкома» вчера отказались от комментариев.

Операторам понадобится минимум полгода, чтобы в полной мере перейти на сбор данных по закону Яровой, считает гендиректор «Норси-транс», выпускающей системы для оперативно-розыскных мероприятий (СОРМ), Сергей Овчинников. За это время им нужно будет пересмотреть бюджеты, закупить оборудование, которого пока недостаточно для исполнения закона, заключить новые договоры с производителями СОРМ и технически запустить систему. Сроки запуска будут зависеть от того, какое оборудование для СОРМ стояло у оператора раньше и насколько сложно адаптировать его к новым требованиям, прогнозирует Овчинников. Производители оборудования для СОРМ рассчитывают на резкий рост спроса со стороны операторов, добавил он.

Из-за того что подписание постановления сильно затянулось, операторы почти не имеют возможности вовремя подготовиться, отмечает директор по стратегическим проектам Института исследований интернета Ирина Левова. Поэтому в правилах и предусмотрен стартовый нулевой объем хранения данных на 1 июля, хотя технически исполнять закон и хранить весь собираемый контент операторы все равно не смогут, даже спустя время, уверена она. В любом случае все техническое переоснащение для реализации закона может оплачиваться или из средств, на которые операторы планировали развивать сети 4G и 5G, или за счет повышения тарифов, считает Левова.

Которое разъясняет нормы «пакета Яровой» в отношении интернет-сайтов, мессенджеров и других сервисов. В документе уточняется, что все организаторы распространения информации обязаны хранить трафик пользователей в течение шести месяцев. Речь идёт о голосовой информации, изображениях, звуках, видеозаписях и электронных сообщениях интернет-пользователей.

Это серьёзное ужесточение «пакета Яровой» с учётом того, что от интернет-провайдеров требуется хранить трафик пользователей только в течение 1 месяца.

Но если вы пользуетесь зарубежным VPN, то на вас правила могут не распространяться. В этом случае сайты и мессенджеры не обязаны хранить ваши сообщения.

Постановление № 728 имеет достаточно длинное название «Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети "Интернет" текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет" голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет"».

Но суть его формулируется вполне лаконично.

В первом пункте перечисляется информация, на которую распространяется постановление. Она же перечислена в названии подзаконного акта: это голосовая информация, изображения, звуки, видео-, иные электронные сообщения пользователей.

Во втором пункте сообщается, что организатор распространения информации (ОРИ) обязан хранить эту информацию на территории России «и предоставлять электронные сообщения в установленном порядке уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации».

Второй пункт разъясняет, на кого распространяются данные правила (если вкратце - только на россиян):

  1. На пользователей, зарегистрировавшихся с использованием сетевых адресов, определяемых организатором распространения информации как используемые на территории Российской Федерации.
  2. На пользователей, авторизовавшихся с использованием сетевых адресов, определяемых организатором распространения информации как используемые на территории Российской Федерации.
  3. На пользователей, указавших при регистрации или использовании функций коммуникационного интернет-сервиса документ, удостоверяющий личность, выданный органом государственной власти Российской Федерации (основной документ или иной документ, удостоверяющий личность).
  4. На пользователей, использующих для доступа к коммуникационному интернет-сервису устройства и (или) программы для ЭВМ, передающие географические данные (метаданные), указывающие на нахождение на территории РФ.
  5. На пользователей, о которых ОРИ проинформирован уполномоченными госорганами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности РФ, о том, что пользователи находятся на территории РФ.
Наконец, в третьем пункте указывается срок хранения: 6 месяцев с момента окончания приёма, передачи, доставки и (или) обработки электронных сообщений.

Очевидно, под определение «иных электронных сообщений» пользователей попадают сообщения на форумах и в социальных сетях, в том числе личные сообщения, комментарии к статьям, сообщения в мессенджерах и так далее. Труднее всего придётся владельцам мессенджеров, которые поддерживают передачу видео- и звуковых сообщений (Skype, Hangout). Потому что им придётся или открывать собственные дата-центры в России, или договаривать с владельцами существующих, а затем хранить тут довольно существенные объёмы трафика. Разумеется, нужно выделить специальный персонал, который будет следить за соблюдением правил, то есть корректным хранением данных. В этом смысле нормы российского законодательства напоминают европейский GDPR, за одним отличием: европейское законодательство нацелено на защиту персональной информации граждан и предусматривает несколько процедур, в соответствии с которыми пользователь может потребовать удаления своих данных. Более того, оператор обязан удалять персональные данные пользователей через определённый промежуток времени. Российское законодательство подходит к вопросу с другой стороны. Да, здесь оператор тоже обязан хранить данные в местной юрисдикции, но вовсе не для защиты персональных данных пользователя, а для упрощения оперативно-разыскных мероприятий. Российское законодательство никак не требует обязательного удаления данных через определённый срок, устанавливает только минимальный, но не максимальный срок их хранения.

Предупреждение по просьбе администрации сайта: «При комментировании этого материала просим соблюдать правила. Пожалуйста, воздержитесь от оскорблений и токсичного поведения. В комментариях работает постмодерация».
Нет, правда были мысли, что они скажут «Банк не работает, потому что Жаров меряется пип облажался?»

Расчёт на то, что люди начнут жаловаться в банк, а банк уже понимает, что к чему, и теряет платежи / пользователей. Т.е. проблемы надо создать людям (как ни печально) и банку, а уже банк должен сделать вывод о том, кто облажался.
Инетом пользуется по разным подсчётам 50-70млн граждан. Как собираешься убедить «сделать массово», ну хотя бы треть?

Но даже с этим проблема - треть не верит, треть не хотят «как бы чего не вышло», треть хотят какого-то невнятного движа типа митингов.

Собственно в этом и был мой изначальный вопрос: а надо ли это реально людям? Если всем и так нормально, то ничего делать не надо.
Но вы правы в том смысле, что большинство простых пользователей могут просто не очень понимать, что это, зачем и как работает. Собственно, как убедить - так же, как и в маркетинге. Социальные сети (пока их не успели заблокировать), ютуб, мессенджеры. Но распространение должно сопровождаться интересным и доступным простому пользователю текстом и видеороликом о том, почему это плохо, и как программа помогает бороться. Это должен быть реально крутой пятиминутный ролик, который станет вирусным, в стиле новостных программ на тв, привычных гражданам.
Написать открытое письмо. Строго и сдержанно объяснить насколько серьёзно и опасно технически всё происходящее сейчас, доступным языком для тех кто далек от IT.
Подписать под это хотя бы 5-6 тысяч IT спецов. И направить президенту, директору ГБ, и ещё 3-4 представителям типа эконом развития итд.

Мне нравится, давайте подумаем, как реализовать. Не знаю, можно ли использовать что-то вроде change.org и ему подобные - я смотрю, там есть удачные кейсы.

P.S. Просто для сведения. Сейчас работаем с китайским клиентом, буквально вчера разворачивал приложение ему на сервер. Вроде всё поднял, а подключиться к серверу извне не могу, даже просто телнет на 80 порт с самого же сервера на его IP не проходит. Думал, там есть какая-то панель типа AWS, к которой мне не дали доступ и где настраиваются security groups, пишу письмо клиенту. Оказалось, у них, перед тем как провайдер разрешит подключение на сервер на 80 порт, надо купить домен и получить лицензию ICP (Internet Content Provider):

С вики

Лицензия была создана Положением о телекоммуникации в КНР (кит. 中华人民共和国电信条例) и обнародована в сентябре 2000. Следуя этому закону, все сайты, имеющие доменное имя и работающие в пределах КНР обязаны иметь эту лицензию, причём интернет-провайдеры обязуются блокировать сайты без этой лицензии. Лицензии выдаются на уровне провинций.

Работа сайта именно в КНР является необходимым условием для получения лицензии. Иностранные компании, например, Google, не могут получить лицензию ICP на своё имя, именно поэтому Google приходится пользоваться своими китайскими партнёрами.

Просто чтобы вы понимали, насколько это реально в современном мире во вполне себе экономически высокоразвитой стране. Если мы что-то не сделаем прямо сейчас, то скоро в России будет всё тоже самое.