by @YAACU
Похоже, стало какой-то недоброй традицией, что любая инициатива нашего государства по теме обеспечения информационной безопасности неизбежно вызывает критику со стороны профессионального сообщества и спекуляции в прессе о «железном занавесе».
Есть мнение, что причиной тому — отсутствие в нашей стране стратегического понимания информационной безопасности.
Похоже, цельной стратегии действительно нет, чтобы убедиться в этом, достаточно внимательно полистать соответствующее законодательство.
Складывается впечатление, что предусмотренные им отдельные меры вместе напоминают старое «лоскутное одеяло»: там — «закон Яровой», тут — закон «о суверенном Рунете» и т. п.
Государство, как будто отойдя от многолетнего «летаргического сна», полезло туда, где уже давно сложились свои неформальные «правила игры». Это и есть признак отсутствия стратегического планирования на долгосрочную перспективу, в отличие, например, от Поднебесной, где с этим все в порядке.
Тем не менее, государство постепенно наводит порядок, и начинает заниматься регулированием там, где еще царит «цифровая анархия», из-за которой многие законы попросту не работают.
Очевидный пример — это «антиколлекторский закон», о проблемах реализации которого мы уже писали ранее.
Так уж сложилось, что одним из самых распространенных нарушений требований «антиколлекторского закона» является превышение коллекторами количества телефонных звонков заемщикам, а также количества направляемых им сообщений в мессенджерах, при этом эффективному надзору за коллекторами препятствуют конфиденциальный характер информации об абонентах операторов связи и пользователях соответствующих сервисов обмена сообщениями.
С одной стороны, операторов связи и владельцев мессенджеров можно понять. Чаще всего, это крупные публичные компании, которые, опасаясь возможного снижения стоимости своего бизнеса и получаемой прибыли, вовсе не заинтересованы в том, чтобы информация об их клиентах уходила куда-либо, иначе как в случаях и порядке, четко оговоренных Законами «О связи» и «Об информации...», хотя бы даже в целях контроля за исполнением других законов, в том числе и «антиколлекторского».
С другой стороны, отсутствие у ФССП России правовых оснований для идентификации звонков и сообщений коллекторов сводит на нет контроль за тем, чтобы их деятельность находилась в цивилизованных рамках.
Не так давно в целях исправления данного фундаментального недостатка «антиколлекторского» закона Минюстом России был предложен проект поправок в федеральное законодательство, которым предлагается наделить ФССП России правом требовать у операторов связи и владельцев мессенджеров информацию о фактах приема, передачи, обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений абонентов связи и пользователей мессенджеров.
Собственно говоря, речь идет о части той информации, которую операторы связи и владельцы мессенджеров обязаны хранить в соответствии с «законом Яровой», и которая в настоящее время аккумулируется исключительно в интересах органов госбезопасности и органов, осуществляющих оперативно-разыскную деятельность.
Однако, одно лишь наделение правом — это ни о чем.
Специфика работы с конфиденциальной информацией требует четкой регламентации, дабы исключить ее передачу в объемах, не соответствующих целям обработки, в противном случае создаются благоприятные условия для коррупционных «сливов».
В данном случае формулировка о «фактах приема, передачи, обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений» сама по себе достаточно размыта и неоднозначна, поэтому должен быть предусмотрен порядок, в котором четко прописано, какая конкретно информация, в каком объеме и в какой форме может быть предоставлена по запросу ФССП.
Что касается органов ОРД и госбезопасности, то порядок их взаимодействия с операторами связи и владельцами мессенджеров регламентирован соответствующими постановления Правительства России (можно посмотреть здесь и здесь).
А вот в законопроекте Минюста по этому вопросу, увы, тишина. Поэтому, в случае, если он все-таки будет принят, то фактически не будет работать в этой части, ибо, повторимся, ни один из операторов конфиденциальной информации не рискнет ее передавать, не без оснований опасаясь, что в противном случае она может быть использована «не по назначению».
Это был чисто юридический аспект.
Однако, к законопроекту есть претензии и в практическом плане — им не предусматривается решение проблемы коллекторов с «левыми симками».
Действительно, какой смысл штрафовать «дропов», на которых они оформлены, если это не будет останавливать недобросовестных коллекторов?
Поэтому также должен быть также предусмотрен механизм проверки достоверности данных абонента с блокировкой «симок» имеющих признаки оформления на подставных лиц.
Забегая вперед, стоит сказать, что Законом «О связи» предусмотрена обязанность операторов связи прекратить оказание услуг связи при поступлении соответствующего запроса от органа, осуществляющего оперативно-разыскную деятельность, или предписания Роскомнадзора, сформированного по результатам контрольных мероприятий, в случае неподтверждения в течение пятнадцати суток соответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах («левые симки»), а также в случае предотвращения и пресечения преступлений с использованием сетей связи и средств связи («телефонный терроризм»). Другой вопрос, что ни законопроектом, ни действующими нормативно-правовыми актами в сфере связи не предусмотрено, что правоохранительные органы или Роскомнадзор обязаны как-то реагировать на соответствующие обращения ФССП.
Итак, приходим к выводу, что предлагаемый Минюстом законопроект «сыроват» и будет нуждаться в уточнении правительственным постановлением.
Попробуем вкратце сформулировать основные требования к содержанию этого нормативного правового акта.
1. Цели предоставления и обработки информации
Очевидно, что запрашиваемая информация должна предоставляться исключительно в целях, необходимых для идентификации абонентов, в отношении которых у ФССП имеются сведения о нарушении ими требований «антиколлекторского» закона. Не больше и не меньше.
2. Перечень передаваемой информации
Исходя из первого пункта, ответы на запросы должны содержать самый минимум персональной информации, непосредственно имеющей отношение к фактам нарушения «антиколлекторского» закон»: ФИО абонента-физлица, реквизиты документа, удостоверяющего его личность (т. к. его наличие обязательно для заключения с гражданином договора об оказании услуг связи), список лиц, использующих оконечное оборудование абонента-юридического лица, регистрационные данные пользователя мессенджера, в том числе номер мобильного телефона, внесенный для идентификации (т. к. прохождение пользователями мессенждеров, находящимися на территории России, процедуры идентификации также обязательно), информация о точном времени приема, передачи, доставки и (или) обработки электронных сообщений пользователя по указанным в запросе адресатам этих сообщений (заемщикам).
3. Форма запроса и ответа на запрос
Для предотвращения утечки конфиденциальных сведений их передача должна быть автоматизирована, а информация о фактах передачи должна надежно фиксироваться в информационных системах ФССП.
4. Механизм пресечения распространения незаконной информации
На основании материалов ФССП Роскомнадзор обязан направлять операторам связи представления о прекращении оказания услуг связи в случае неподтверждения в течение пятнадцати суток соответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах, а от владельцев мессенджеров — требовать ограничить возможность передачи электронных сообщений пользователю, допустившему нарушение «антиколлекторского» закона.
Последний пункт об ограничении возможности передачи сообщений в мессенджерах является дискуссионным. По нашему мнению, таких пользователей следовало бы вообще «забанить». Однако, подобная мера Законом «Об информации...» не предусмотрена, в нем говориться только о возможности «ограничения» пользователей.
В целом, даже с учетом изложенных выше соображений, до конца нет уверенности в том, что предлагаемый Минюстом законопроект позволит эффективно бороться недобросовестными коллекторами, нарушающими закон» посредством использования информационных технологий, а не даст старт очередному витку эволюции противостояния «щита и меча», например, в виде использования коллекторами зарубежной информационно-телекоммуникационной инфраструктуры. Как реагировать на подобные угрозы? Блокировать связь извне (подобное уже предлагается для борьбы с «телефонным терроризмом»)? «Цензурировать» трафик? Отгораживаться от остального мира отечественным аналогом китайского «Золотого Щита»?
Увы, но для ответов на эти вопросы необходимо иметь свою собственную государственную стратегию информационной безопасности, а она, как было сказано в начале поста, к сожалению, пока не просматривается.
P.S. С нашим вариантом постановления Правительства можно ознакомиться здесь.
Суровый пристав - https://tlg.name/pristavy
Суровые будни ФССП - https://tlg.name/pristavy_day
Силовой Блок Замкадья -https://tlg.name/SiloBZ