Защита персональных данных в России. Закон о хранении персональных данных простыми словами. Защита персональных данных в России Закон о хранении данных провайдерами

Сколько организаций тестируют решения SD-WAN?
Можно ли повысить гибкость бизнеса без ущерба для безопасности сети?
Как приоритизировать бизнес-трафик в режиме реального времени?
Удастся ли сэкономить благодаря решениям SD-WAN?

Как интернет вещей и BYOD изменили управление доступом к сети?

Количество ИВ-устройств достигнет 55 млрд к 2025 г.
В 53% компаний за последний год увеличилось число зараженных конечных точек
63% компаний не могут контролировать мобильные устройства вне корпоративной сети
Численность BYOD-работников достигла 1,76 млрд

Зарегистрируйтесь, чтобы скачать бесплатно электронную книгу прямо сейчас.

Власти разъяснили «закон Яровой» для сайтов: Хранить содержимое сообщений придется максимальный срок

6879

29.06.2018, Пт, 09:27, Мск , Текст: Игорь Королев

Правительство утвердило требования к организаторам распространения информации в интернете относительно хранения содержимого переписки их пользователей. Хранить переписку придется полгода – срок, максимально отведенный «законом Яровой».

Правительство уточнило требования «закона Яровой» к интернет-компаниям

Правительство России утвердило правила хранения организаторами распространения информации в сети интернет (ОРИ) содержимого сообщений пользователей. Документ является подзаконным актом к Закону «Об информации, информационных технологиях и защите информации», в соответствии с которым с 1 июля 2018 г. ОРИ должны будут хранить содержимое переписок своих пользователей.

Что такое ОРИ

Термин ОРИ был введен в законодательство в 2014 г, когда был принят разработанный при участии сенатора Ирины Яровой пакет «антитеррористических поправок». Под ОРИ подразумеваются сайты и сервисы, которые позволяют общаться пользователям сети интернет, за исключением сайтов для личных и семейных нужд.

Первоначально закон требовал от них хранить на территории России данные о совершаемых российскими пользователями действиями в течение полугода. Тогда же было принято постановление правительства, детализирующее требования к хранению информации.

Было установлено, что российскими пользователями являются пользователи, авторизующиеся с территории России, зарегистрировавшиеся с территории России либо зарегистрировавшиеся с помощью российских идентификаторов (паспортов, номеров сотовых телефонов и т.д.). Также российские правоохранительные органы могут сами сообщить ОРИ, каких пользователей стоит считать российскими.

По требованию Правительства интернет-компании должны хранить
переписку пользователей полгода – срок, максимально отведенный «законом Яровой»

ОРИ должны хранить и передавать российским правоохранительным органам регистрационные данные о российских пользователях, информацию о фактах их авторизации, переданными и полученными ими сообщениях, оказанных им платных услугах и осуществленных платежах.

Требования о хранении содержимого сообщений

В 2016 г. был принят новый антитеррористический пакет законопроектов, соавтором которого также выступила Ирина Яровая. Документ получил неформальное название «закон Яровой». Согласно нему, ОРИ должны хранить данные о переписке российских пользователей уже в течение года. Также в течение до полугода должно храниться и содержимое самих сообщений.

Речь идет обо всех видах сообщений: текстовых, фото, видео, изображениях, звуках и т.д. Норма о хранении содержимого сообщений является наиболее дорогостоящей для ОРИ и крупные российские интернет-компании выступали против ее принятия. В итоге в законе было прописано, что данная норма вступит в силу только с 1 июля 2018 г., а правительство установит требования к объемам и срокам хранения.

Кроме того, в случае применения ОРИ технологии обмена ключей для шифрования сообщений между пользователями закон обязал предоставлять спецслужбам ключи для дешифровки таких сообщений.

Власти не стали смягчать требования «закона Яровой» для интернет-компаний

Нынешнее постановление правительства конкретизирует требования к ОРИ по хранению содержимого сообщений. Правительство решило не смягчать требований к ОРИ и обязало их хранить сообщения пользователей максимально отведенный законом срок: полгода. Понятие российского пользовател осталось таким же, каким было в постановлении правительства от 2014 г.

«Постановление правительства содержит максимально отведенный законом срок хранения содержимого переписки, но не содержит максимального объема емкости, которое следует выделить для этих целей, - отмечает главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян . - Поскольку ОРИ могут признаны практически любые интернет-сайты, реализация данных требований потребует больших затрат, которые будут непосильтными как для небольших интернет-ресурсов, так и для крупных интернет-компаний. При этом по-прежнему не ясно, каким образом следует хранить сведения, содержащие тайну, персональные данные, объекты авторского права и т.д.»

Отметим, что «антитеррористический пакет» законопроектов от 2016 г. ввел похожие требования и к операторам связи. Они должны хранить сведения о переданных их абонентами сообщений в течение трех лет, а содержимое самих сообщений - сроком до полугода. Норма о хранении содержимого сообщений операторов связи также вступает в силу с 1 июля 2018 г., а требования к ней должны были быть прописаны в отдельном постановлении правительства.

Это постановление правительства вышло весной 2018 г. Телефонный трафик следует хранить в течение полугода. А вот в случае с трафиком передачи данных правительство пошло на компромисс.

Его надо будет хранить с 1 октября 2018 г. Оператор связи должен будет выделить емкости для хранения такого трафика и сдать соответствующую систему Роскомнадзору и ФСБ. Объем емкости должен будет соответствовать объему, необходимую для хранения оператором трафика своих абонентов за месяц, предшествующей сдачи им своей системы. Каждый год в течение последующих пяти лет объем емкости будет увеличиваться на 15%.

Как наказать ОРИ за невыполнения российских законов

Между тем, если деятельность операторов связи является лицензируемой, то регулировать работу ОРИ сложнее. Реестр ОРИ Роскомнадзор завел осенью 2014 г., но первое время в него включались только российские сервисы. За отказ регистрироваться в реестре ОРИ закон предусматривает наказание в виде блокировки доступа к ресурсу с территории России, но первое время Роскомнадзор не наказывал иностранные площадки за игнорирование требований к Реестру ОРИ.

Первые иностранные сервисы стали включаться в Реестр ОРИ в начале 2017 г. Тогда же были заблокированы первые зарубежные сервисы, которые в этот Реестр не вступили. В то же время Роскомнадзор не применял никаких санкций по отношению к таким крупным сервисам, как Facebook, Twitter, WhatsApp, Viber, Skype и т.д, хотя в Реестре ОРИ их нет.

Наиболее громкой стала история с Telegram. В 2017 г. глава Роскомнадзора Александр Жаров предупредил его о блокировке. После этого создатель Telegram Павел Дуров согласился зарегистрироваться в Реестре ОРИ, однако заверил, что доступа к переписке пользователей он давать не будет.

Затем ФСБ затребовала от Telegram ключи для дешифровки сообщений ряда его пользователей. В связи с отказом от выполнения этого требования этой весной Роскомнадзор начал блокировку Telegram. Впрочем, самому мессенджеру удается блокировку обходить.

Руководитель общественной организации «Роскомсвобода» Артем Козлюк отмечает, что до сих пор Реестр ОРИ работал непрозрачно. «Скорее всего, так и будет продолжаться, а все истории с получением данных пользователей будут решаться по «телефонному праву», - говорит Козлюк. - В этой связи показательна история со швейцарским мессенджером Threema: Роскомнадзор включил его в Реестр ОРИ, но сам сервис заявил, что законодательство Швейцарии в принципе не позволит ему передавать данные о своих пользователях».

Правительство РФ утвердило правила хранения данных пользователей операторами связи в соответствии с "законом Яровой". Соответствующее постановление подписал премьер-министр Дмитрий Медведев.

Предполагается, что операторы связи обязаны хранить данные пользователей на территории РФ на принадлежащих им (или, по согласованию с ФСБ, другому оператору) серверах. Операторы обязаны обеспечить безопасность хранящихся данных и исключить несанкционированный доступ к ним посторонних лиц.

С 1 июля нынешнего года операторы обязаны хранить аудиозаписи разговоров и смс-переписку пользователей. Записи телефонных разговоров (а также разговоров по радиотелефонной, спутниковой и другим видам связи) будут храниться 6 месяцев, после - автоматически удаляться.

Сообщения электронной почты, мессенджеров и других сервисов начнут собирать с 1 октября 2018 года. Ёмкость серверов для их хранения определена равной "объёму сообщений электросвязи", отправленных и полученных пользователями за предыдущие 30 суток. В течение следующих 5 лет она ежегодно должна увеличиваться на 15%.

Правила хранения данных для организаторов распространения информации (социальных сетей и мессенджеров) в постановлении не прописаны. При этом по закону они также должны с 1 июля собирать и хранить все данные пользователей.

Напомним, положения так называемого "закона Яровой" - пакета антитеррористических поправок, разработанных депутатом Ириной Яровой и сенатором Виктором Озеровым, - должны вступить в силу с 1 июля 2018 года. Они предусматривают для операторов связи обязанность хранить трафик и все данные о переговорах пользователей в течение 6 месяцев, информацию о фактах соединения (метаданные) — в течение 3 лет. Все данные операторы обязаны предоставлять по запросу правоохранительным органам. Президент Владимир Путин закон 7 июля 2016 года, часть его положений 20 июля 2016 года.

Затраты на реализацию новых норм о хранении информации первоначально оценивались в триллионы рублей, причём эти расходы возложить на пользователей. В Российском союзе промышленников и предпринимателей (РСПП) , что выполнение требований "закона Яровой" может привести к повышению тарифов на связь на 12-90% в зависимости от оператора. В Минкомсвязи , что никакого "драматического роста цен" не произойдёт.

В январе правительство правила хранения данных: операторы должны будут хранить фактически переданный трафик, за исключением голосовых данных, в течение 30 суток. Однако бизнес дальнейших уступок для снижения расходов.

В марте стало известно, что правительство и заинтересованные стороны : с 1 июля вводятся "минимальные" требования к хранению информации - то есть операторы будут обязаны хранить только аудиозаписи разговоров и смс-сообщения. Требования по остальным видам данных предполагается вводить постепенно, "по мере готовности".

Нет, правда были мысли, что они скажут «Банк не работает, потому что Жаров меряется пип облажался?»

Расчёт на то, что люди начнут жаловаться в банк, а банк уже понимает, что к чему, и теряет платежи / пользователей. Т.е. проблемы надо создать людям (как ни печально) и банку, а уже банк должен сделать вывод о том, кто облажался.

Инетом пользуется по разным подсчётам 50-70млн граждан. Как собираешься убедить «сделать массово», ну хотя бы треть?

Но даже с этим проблема - треть не верит, треть не хотят «как бы чего не вышло», треть хотят какого-то невнятного движа типа митингов.

Собственно в этом и был мой изначальный вопрос: а надо ли это реально людям? Если всем и так нормально, то ничего делать не надо.
Но вы правы в том смысле, что большинство простых пользователей могут просто не очень понимать, что это, зачем и как работает. Собственно, как убедить - так же, как и в маркетинге. Социальные сети (пока их не успели заблокировать), ютуб, мессенджеры. Но распространение должно сопровождаться интересным и доступным простому пользователю текстом и видеороликом о том, почему это плохо, и как программа помогает бороться. Это должен быть реально крутой пятиминутный ролик, который станет вирусным, в стиле новостных программ на тв, привычных гражданам.

Написать открытое письмо. Строго и сдержанно объяснить насколько серьёзно и опасно технически всё происходящее сейчас, доступным языком для тех кто далек от IT.
Подписать под это хотя бы 5-6 тысяч IT спецов. И направить президенту, директору ГБ, и ещё 3-4 представителям типа эконом развития итд.

Мне нравится, давайте подумаем, как реализовать. Не знаю, можно ли использовать что-то вроде change.org и ему подобные - я смотрю, там есть удачные кейсы.

P.S. Просто для сведения. Сейчас работаем с китайским клиентом, буквально вчера разворачивал приложение ему на сервер. Вроде всё поднял, а подключиться к серверу извне не могу, даже просто телнет на 80 порт с самого же сервера на его IP не проходит. Думал, там есть какая-то панель типа AWS, к которой мне не дали доступ и где настраиваются security groups, пишу письмо клиенту. Оказалось, у них, перед тем как провайдер разрешит подключение на сервер на 80 порт, надо купить домен и получить лицензию ICP (Internet Content Provider):

С вики

Лицензия была создана Положением о телекоммуникации в КНР (кит. 中华人民共和国电信条例) и обнародована в сентябре 2000. Следуя этому закону, все сайты, имеющие доменное имя и работающие в пределах КНР обязаны иметь эту лицензию, причём интернет-провайдеры обязуются блокировать сайты без этой лицензии. Лицензии выдаются на уровне провинций.

Работа сайта именно в КНР является необходимым условием для получения лицензии. Иностранные компании, например, Google, не могут получить лицензию ICP на своё имя, именно поэтому Google приходится пользоваться своими китайскими партнёрами.

Просто чтобы вы понимали, насколько это реально в современном мире во вполне себе экономически высокоразвитой стране. Если мы что-то не сделаем прямо сейчас, то скоро в России будет всё тоже самое.

Госдума во втором и третьем чтениях приняла антитеррористический законопроект депутата Ирины Яровой и сенатора Виктора Озерова. В числе прочего закон обязывает интернет-провайдеров, сотовых операторов и интернет-компании хранить переписку пользователей, а также раскрывать властям ключи для её расшифровки.

Во втором чтении документ поддержали 266 депутатов, против высказались 61 парламентария, один воздержался, в третьем« за» высказались 287, «против» — 147, один воздержался. Дмитрий Гудков предлагал отменить норму о хранении данных и раскрытии ключей шифрования, но Госдума отказалась(текст к третьему чтению, ).

Интернет-компании должны будут начать собирать информацию о фактах соединений за трехлетний и годичный периоды уже с 20 июля 2016 года, а содержание переговоров и переписки — с 1 июля 2018 года. Операторы связи и «организаторы распространения информации» в интернете должны будут хранить все переговоры и данные, которые пользователи передают друг другу до полугода(точный срок устанавливается Правительством) с момента передачи. Сам факт о передаче придётся хранить на протяжении трёх лет. В реестр« организаторов распространения» теперь будут включать любой ресурс, где можно обмениваться электронными сообщениями(т.е., любой форум, например). В сегодняшней версии реестра организаторов распространения информации(по статистике Роскомсвободы) меньше сотни записей и речи о «каждом форуме» вовсе не идёт.

Ключи к зашифрованной информации должны будут передаваться властям. Штраф за невыполнение составляет от 800 тысяч до 1 млн рублей для юридических лиц. Это теоретически поставит под угрозу запрета приложения с end-to-end шифрованием, так как ключи при таком типе шифрования хранятся у пользователей. End-to-end шифрование используется в мессенджерах — Telegram, Viber, WhatsApp(но причиной достижения популярности последними двумя, ).

Идея обязать операторов сохранять переписку интернет-пользователей еще зимой 2014 года наравне с другими антитеррористическими мерами, например ужесточением контроля над интернет-платежами. Уже тогда это предложение вызвало резкую критику. Так глава Mail.ru Group Дмитрий Гришин еще в апреле 2014 года , что принятие законопроекта нанесет непоправимый ущерб интернет отрасли. Примерно в том же ключе оценивали новацию и в «Яндексе».

В апреле 2016 года были внесены более конкретные поправки, уточнялось что хранить(переписку в мессенджерах, пересылаемые изображения и прочее). Также появилось требование относительно того, сколько нужно хранить информацию — три года, затем эту норму сократили до 6 месяцев. Также в законопроекте появилось требование предоставлять компетентным органам средства для расшифровки сообщений пользователей.

Несмотря на сопротивление отраслевых лоббистов, серьезных попыток как-то смягчить удар по индустрии депутаты даже не делали. В последний момент 20 июля 2016 года из законопроекта самые одиозные пункты — про лишение гражданства за «террористические статьи» и смягчили запрет на выезд из страны в случае получения гражданином официального предостережения« о недопустимости действий, создающих условия для совершения террористических преступлений».

Оставив в итоговой версии требования по хранению ключей для расшифровки переписки, Госдума, по мнению представителей отрасли, обрекла компании на неоправданные расходы. К примеру МТС их 2,2 триллиона рублей(только для себя), оценка« Вымпелкома» скромнее — 2 триллиона рублей на всех операторов. Из интернет-компаний свои потенциальные потери пока только Mail.ru Group — $2 млрд. Совокупный ущерб может составить, исходя из доступных оценок, около 5 млрд рублей. Стоимость акций компаний, которые должны пострадать от введения новых законов, на бирже пока не показали существенного падения кроме акций Mail.ru Group на LSE на 9,2% но его можно объяснить общим спадом на локальном рынке акций, связанным с референдумом о выходе Великобритании из ЕС.