Абонентский ящик временно недоступен
Во вторник, 23 июля, группа сенаторов во главе с председателем комитета Совфеда по конституционному законодательству и государственному строительству Андреем Клишасом внесла в Госдуму поправки в закон «Об информации, информационных технологиях и защите информации», которые вводят для сервисов электронной почты с 2020 года следующие требования:
- они должны идентифицировать своих пользователей по номеру оператора мобильной связи. Как именно будет проходить эта идентификация, должно определить правительство;
- в течение суток с момента получения требования от уполномоченного федерального органа исполнительной власти (какого — в проекте не указано) ограничить для указанного в этом требовании пользователя возможность отправки и получения сообщений, содержащих информацию, распространение которой запрещено в России. Как именно предполагается определять письма с запрещенной информацией, в законопроекте и приложениях к нему не разъясняется;
- обеспечить техническую возможность отказа пользователей от получения сообщений от других пользователей электронной почты;
- обеспечить конфиденциальность передаваемых сообщений (сейчас это требование не закреплено в законе, но большинство сервисов добровольно принимают специальный документ — «политику конфиденциальности»), а также другие требования.
Требования будут распространяться только на те сервисы электронной почты, которые включены в реестр организаторов распространения информации Роскомнадзора. В него включены «Яндекс.Почта», Почта Mail.ru, «Рамблер.Почта» и др. При этом популярных иностранных почтовых сервисов, например от компаний Google и Yahoo, там нет.
Среди успешных инициатив Андрея Клишаса — законы об ответственности за распространение фейковых новостей и оскорбление власти, которые вступили в силу в конце марта, и закон о «суверенном Рунете», основные положения которого начнут действовать с ноября.
Можно ли выполнить требования законопроекта и к чему это приведет, разбирался РБК.
Зачем идентифицировать пользователей?
В пояснительной записке к документу указано, что в 2019 году в адрес госорганов, объектов социальной или транспортной инфраструктуры массово поступали электронные письма с ложными угрозами о терактах. «Принятие законопроекта <…> создаст правовые условия для привлечения злоумышленников к ответственности, сократит экономический ущерб от таких сообщений», — говорится в документе.
Руководитель отдела спецразработок Технопарка Санкт-Петербурга и основатель компании «Интернет-Розыск» Игорь Бедеров рассказал РБК, что массовые почтовые рассылки о минировании происходили с 15 по 30 января этого года в Петербурге, Москве, Новосибирске, Красноярске, Самаре и Омске, после чего начались «телефонные минирования». Бедеров считает, что для предупреждения, пресечения и расследования терроризма силовикам важно знать, кто стоит за тем или иным аккаунтом. «Даже общие данные о пользователях почтовых ящиков, использующихся для терроризма, могут дать оперативникам дополнительные данные о портрете преступника или идентифицирующих признаках его компьютера», — указал эксперт.
Ранее похожий порядок идентификации пользователей был введен постановлением правительства для мессенджеров. При регистрации в сервисе пользователь должен указывать свой номер мобильного телефона, а сам мессенджер — запрашивать у оператора мобильной связи данные о владельце номера.
Будет ли это работать?
По словам директора по стратегическим проектам Института исследований интернета Ирины Левовой, у идеи идентифицировать владельцев почтовых ящиков по номеру мобильного телефона есть много нюансов, которые, например, касаются корпоративных почтовых ящиков. «Многие небольшие компании регистрируют почту на yandex.ru и mail.ru для общего пользования сотрудниками компании, поэтому привязывать ее к номеру телефона, зарегистрированного на какого-то одного сотрудника, и делать его в дальнейшем ответственным за всю переписку — некорректно. Даже российские органы власти и силовые структуры активно используют почтовые ящики на бесплатных сервисах», — отметила она.
Например, подобные ящики указаны в качестве официальных средств связи на сайтах многих региональных министерств. По данным СПАРК, почтовыми ящиками на mail.ru, yandex.ru и других бесплатных сервисах пользуются также подразделения ФСБ, Минобороны и ФСО и др. Так, за Центром информационной безопасности ФСБ (в/ч 64829) закреплен почтовый ящик inbox_c@mail.ru, а входящая в состав Росгвардии в/ч 3111 использует e-mail grzt@bk.ru.
Ведущий аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян считает, что с технической точки зрения требование законопроекта нереализуемо. «Существует протокол отправки сообщения и протокол получения. Для получения требуется авторизация на почтовом сервере, а для отправки нет. Есть сайты, которые позволяют делать рассылки без регистрации на условном mail.ru или Google. Как правило, злоумышленники пользуются именно такими сайтами», — пояснил Казарян. Другой вариант — рассылка писем с сомнительным содержанием через ботнет (зараженный компьютер). «Злоумышленник просто будет рассылать сообщения с чужого e-mail, и его также будет невозможно вычислить», — заключил эксперт.
Чтобы заблокировать по решению госорганов отправку писем с запрещенной информацией, почтовым сервисам придется читать переписку пользователей на предмет наличия в ней запрещенной информации, отметила Ирина Левова. «Конституцией у нас гарантирована тайна переписки, и это будет очередным ее нарушением. А без перлюстрации почты организовать это просто невозможно», — считает она.
Нарушит ли проект тайну переписки?
Как сообщил председатель комитета Госдумы по информационной политике, информационным технологиям и связи Леонид Левин, инициатива сенаторов создает угрозу нарушения тайны переписки. «Обозначенный в законопроекте механизм ограничения пересылки запрещенной информации не оговаривает необходимость законности действий со стороны уполномоченного органа и может быть истолкован как произвольное внесудебное ограничение установленного Конституцией права граждан на тайну личной переписки», — пояснил Левин (цитата по ТАСС). Член того же комитета Антон Горелкин сравнил предложенный сенаторами механизм с перлюстрацией писем, напомнив о существовании в Уголовном кодексе ст. 138, которая предусматривает за нарушение тайны переписки граждан до четырех лет лишения свободы.
«Если уполномоченный госорган предписал заблокировать конкретное сообщение, значит, он увидел его содержание. Возникает вопрос: откуда? Требования законопроекта касаются организаторов распространения информации, которые в рамках «закона Яровой» должны хранить сообщения пользователей и предоставлять их содержание по запросу спецслужб, то есть сам «закон Яровой» нарушает тайну переписки», — считает руководитель «Роскомсвободы» Артем Козлюк. Он также отметил, что взаимоотношения сервисов и спецслужб сегодня абсолютно не прозрачны для общественности.
По мнению замгендиректора по правовым вопросам «Амулекс» Юлии Галуевой, речь идет не о просмотре всех сообщений пользователей, а о запрете на передачу сообщений для тех пользователей, в отношении которых правоохранительные органы ведут следственные или оперативно-разыскные мероприятия.
Поможет ли идентификация в борьбе с террористами?
«Законопроект неуместен и избыточен: он предполагает существенные неудобства для пользователей и дискриминирует российских игроков рынка. Отечественные компании понесут дополнительные издержки, в то время как зарубежные игроки неоднократно игнорировали требования российского законодательства. Мы не видим предпосылок к тому, чтобы предложенные нововведения как-то изменили данную практику», — прокомментировал РБК вице-президент и технический директор Mail.Ru Group Владимир Габриелян. Представители Rambler Group, «Яндекса» и Google отказались от комментариев.
По мнению Игоря Бедерова, предложенная инициатива не сможет полностью решить проблему терроризма. «Террористы будут отправлять почтовые сообщения с несуществующих почтовых ящиков или строго анонимизировать свою работу с ними, и закон может стать очередным в плеяде нерабочих. Терроризм всегда побеждался за счет грамотной агентурной работы, а не спецтехники», — указал Бедеров.
Карен Казарян отмечает, что требование законопроекта не распространяется на корпоративную электронную почту и иностранные сервисы, то есть их пользователей, как и раньше, никто не будет контролировать, что делает инициативу депутатов неэффективной. Кроме того, он напомнил, что аналогичный закон, который предполагает идентификацию в мессенджерах, до сих пор не работает, так как к нему не приняты подзаконные акты, которые бы определяли механизмы взаимодействия сервисов с операторами.