×

Чудо-аккаунт для правоохранителей

Сотрудникам правоохранительных органов дадут право просматривать закрытые аккаунты и их электронную переписку в отсутствие на то законных оснований?
Гревцов Сергей
Гревцов Сергей
Партнер АБ «Бартолиус»

Министерство связи и массовых коммуникаций РФ разработало проект приказа «Об утверждении Требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети “Интернетˮ в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-розыскных мероприятий, включая систему хранения».

Документ по большей части касается технической стороны вопросов взаимодействия органов, осуществляющих оперативно-розыскную деятельность (ОРД), и организаторов распространения информации (ОРИ), к которым могут быть отнесены как провайдеры, так и владельцы сайтов, облачных хранилищ, серверов электронных мессенджеров и иных ресурсов в сети. В первую очередь речь идет о требованиях к оборудованию и программно-техническим средствам, используемым для обеспечения выполнения установленных действий при проведении оперативно-розыскных мероприятий (ОРМ).

Вместе с тем проект приказа содержит и требования к составу информации о пользователях, которая должна накапливаться и предоставляться правоохранительным органам при необходимости: дата и время регистрации пользователя в системе того или иного ОРИ, информация о заключенном договоре при его наличии, псевдоним пользователя, его ФИО, дата рождения, паспортные данные или иные идентификаторы документов, удостоверяющих личность, его местоположение, информация о платежах, о полученных и отправленных голосовых и текстовых сообщениях и изображениях, а также иные данные.

Совершенно неправильно понимать проект приказа как устанавливающий перечень информации, которую могут запросить сотрудники ФСБ при проведении ОРМ от организаторов распространения информации, которыми могут быть как провайдеры, так и владельцы интернет-ресурсов (сайтов, облачных хранилищ, серверов электронных мессенджеров).

Во-первых, потому что нарушение тайны переписки и частной жизни возможно только на основании федерального закона (ч. 3 ст. 55 Конституции РФ).

Во-вторых, этим законом является Федеральный закон от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной деятельности», ст. 6 которого уже давно предусмотрено право правоохранительных органов запрашивать и получать необходимую компьютерную информацию, переписку и иные сведения. Таким образом, если уж и возможны злоупотребления правоохранительных органов, то основой для этого является не вышеупомянутый проект приказа, а Федеральный закон «Об оперативно-розыскной деятельности».

Данный проект приказа носит больше процедурный характер и содержит в себе именно технические критерии взаимодействия правоохранителей и хранителей информации, сроки хранения различных видов информации, а также формы предоставления запрашиваемой информации.

Злоупотребления со стороны правоохранителей в интернет-среде вызывает принятие не этого приказа, а Федерального закона от 6 июля 2016 г. № 374-ФЗ, добавившего к списку оперативно-розыскных мероприятий п. 15 – «Получение компьютерной информации», которая до разработки проекта приказа могла подразумевать под собой что угодно. Проект приказа является следствием внесенных в закон изменений и в некотором роде устанавливает рамки для получения компьютерной информации.

Доступ к данной информации сотрудниками ФСБ может быть использован лишь по определенному кругу дел (терроризм, контрабанда, шпионаж), которые простых граждан не задевают. А в части обеспечения безопасности населения и предотвращения терактов все средства хороши.

А вот относительно структур МВД (процедура предоставления информации носит универсальный характер, и, видимо, приказ будет также использоваться при предоставлении информации сотрудникам МВД) следует сразу отметить, что для рядового сотрудника полиции оперативно и полно получить информацию самостоятельно крайне тяжело. Обычно получение такой информации происходит через Бюро специальных технических мероприятий субъекта РФ, где его запрос может находиться в общей очереди продолжительное время.

При этом в рамках ОРМ без постановления суда и МВД, и ФСБ могут получить лишь краткую справочную информацию. Всю переписку и файлы пользователей ОРИ обязаны предоставлять только по решению суда (ст. 9 Федерального закона  «Об оперативно-розыскной деятельности»).

Однако, несмотря на романтичную оценку проекта данного приказа, имеются некоторые замечания к его содержанию. Особое внимание я бы обратил на два пункта, которые могут привести к нарушению конституционных прав граждан.

1. Согласно п. 8 разд. 3 правоохранители могут получить «урезанные» права администратора сетевого ресурса в режиме чтения на постоянной основе.

Рассмотрим это на примере сайта социальной сети. Даже при регистрации вымышленного пользователя вы вынуждены пройти аутентификацию и внести свои анкетные данные (ФИО, дата рождения и т.д.), контактные данные (электронная почта, номер сотового телефона, привязка к другим аккаунтам). Затем вы загружаете свои фотографии, геолокацию и сведения о подключаемом устройстве (в некоторых социальных сетях при подключении к аккаунту из-за непривычного места вашего нахождения социальная сеть может запросить подтверждение входа в аккаунт, что свидетельствует о постоянном отслеживании вашего местоположения и возможности обнаружения, если вы находитесь онлайн).

Как мне представляется, проектом приказа предусмотрен «упрощенный» порядок получения информации о любом аккаунте (в том числе со скрытой информацией, которая предназначается только для администратора) для быстрой идентификации аккаунта пользователя с реальным человеком и установления его контактных данных и местоположения. Все это происходит через права администратора в режиме чтения (т.е. правоохранители имеют универсальный аккаунт, дающий доступ к любой информации в социальной сети без права ее редактирования).

В этом я вижу бесконтрольное просматривание закрытых аккаунтов и их электронной переписки в отсутствие законных на то оснований (заявлений о преступлении; судебных актов, согласовывающих нарушение конституционных прав).

Администратор сети будет видеть журнал действий такого чудо-аккаунта, но проконтролировать его не сможет.

Решение проблемы – это предоставление запрашиваемой информации исключительно через сотрудника службы безопасности сетевого ресурса, а в отсутствие таковой – с согласия руководства. Законодательно к этому порядку взаимодействия препятствий нет, но есть вышеуказанный проект приказа, который предоставляет правоохранителям свободу действий в интернет-ресурсах.

2. Приложение № 1 к Требованиям (с. 15–18) – перечень информации, которую могут получить правоохранители, достаточно широк, и по некоторым пунктам получение судебного решения не требуется законом, но может потенциально затронуть конституционные права пользователей. Например, не нарушая тайны переписки, можно получить список «друзей» (в том числе журнал добавления/исключения «друзей») пользователя, что может подтвердить связь лиц друг с другом.

Правоохранителям предоставят право на получение информации по запросу в отношении одного лица, но фактически это коснется десятков лиц, что будет являться необоснованным нарушением их прав. Если верить правилу четырех рукопожатий (через четыре рукопожатия все люди друг с другом знакомы), то им предоставляется право на получение информации в отношении любого человека.

Решение данной проблемы аналогично тому, которое указано при описании первой проблемы. Однако и в первом, и во втором случае любой владелец ресурса может задать обоснованный вопрос: кто покроет расходы на содержание персонала, который мог бы заниматься предоставлением информации правоохранительным органам в таком объеме?

Ответ на данный вопрос неприятен: либо владелец берет расходы на себя – и сохраняет клиентов; либо открывает доступ правоохранителям – и пользователи разбегаются, поскольку в интернете приватность порой дороже, чем биткоин.

Крайне возмутило и то, что схемы, которые идут приложением к настоящему проекту приказа, составлены на английском языке – видимо, были скопированы из презентации, подготовленной ИТ-специалистами, которые между собой общаются только на этом языке.

Необычно видеть в тексте документа часть программного кода, который должна содержать программа, формирующая отчет, – очередное доказательство технического характера приказа и отсутствия у составителей желания перевести язык программирования на юридический язык.

Дополнительно хочу напомнить читателям простую истину, которую подтверждает проект приказа: «Все, что когда-либо было загружено в интернет, уже не является скрытой информацией».

Рассказать коллегам: