На прошлой неделе закончился сбор замечаний ко второму чтению законопроекта, регламентирующему создание государственных информационных систем (ГИС) «Антифрод» и «Антифишинг» (по заказу Минцифры), который был принят в первом чтении 18 марта. У банков и других крупных частных игроков претензии к ПФЗ скорее косметические, чем фундаментальные – в отношении грубого нарушения им ряда ключевых статей Конституции России, например. А Минцифры в списке поправок теперь еще и требует операторов хранить данные о переписке пользователей в мессенджерах, соцсетях и т.д. три года вместо одного. Удивительно, что никто не обсуждает риски принуждения к пользованию и сдачи биометрии (ЕБС) с последующими неизбежными утечками, сегрегацию и дискриминацию граждан в сети по признаку регистрации на Госуслугах, огромные риски кражи баз данных с теми же утечками чувствительных ПД граждан, которые будет вечно хранить Минцифры, и многие другие вопиющие моменты. Придется «Катюше» снова заняться этим вопросом, хотя силы цифролоббистов в этой теме колоссальны.
Напомним, что данный ПФЗ позиционируется Правительством как антимошеннический, но по факту он призван узаконить принудительную регистрацию граждан на Госуслугах (в системе ЕСИА) – и дискриминацию тех, кто не хочет регистрироваться на портале, хотя сам момент регистрации администрацией портала ГУ официально именуется как «добровольный». Минцифры и Ко хотят ввести обязательную регистрация в ГУ для всех, желающих разместить объявление на крупных агрегаторах объявлений, вакансий (типа Авито, «Юла», ЦИАН, HeadHunter и проч.). Также к использованию российскими мессенджерами чиновниками всех уровней, сотрудников банков, операторов связи, маркетплейсов, крупных сайтов объявлений хотят приложить их обязательную регистрацию в той же ЕСИА. Для пользователей маркетплейсов обязательная регистрация предусмотрена пока только для продавцов. При этом владельцев сервисов обязывают создать возможность для идентификации пользователей по биометрии, пока – добровольно для пользователей.
Новая ГИС должна будет обрабатывать до 1 млрд. финансовых переводов в сутки, до 360 млн. телефонных звонков в сутки, до 10 млн. операций на маркетплейсах/порталах объявлений в сутки, а также следить за действиями до 77 млн. пользователей соцсетей в сутки.
Общественная палата в своем заключении обратила внимание «на отсутствие в законопроекте определения конкретного перечня информации, подлежащей включению в указанные информационные системы». Такая вот «мелочь». Как мы отмечали ранее, «по духу и букве закона это один из первых откровенно антиконституционных ПФЗ, поражающий в правах миллионы граждан, не желающих регистрироваться на ГУ. Полностью уничтожающий личную и семейную тайну».
Объединения финансового рынка также направили в парламент свои замечания по доработке документа, многие положения которого они называют «избыточными и труднореализуемыми». Основные претензии сводятся к запрету коммуникаций с клиентами через иностранные мессенджеры и требованию использовать только единую биометрическую систему для дополнительной аутентификации клиентов. Что видится, скорее, как формальные претензии. Банки хотят создавать частные системы биометрической идентификации клиентов со своими базами, но кто даст гарантии гражданам, что их биометрия не утечет и оттуда? А вот возмущение навязыванием мессенджера ВК (других отечественных аналогичных массовых продуктов у нас нет), что выглядит как большой бизнес для гендиректора VK, сына замглавы АП Сергея Кириенко Владимира, понятно и обосновано.
Ко второму чтению появилась и новая, весьма спорная, поправка от Минцифры, которая сводится к тому, что компании — организаторы распространения информации (ОРИ) должны будут хранить данные о переговорах и переписке пользователей три года. Вместо одного, как сейчас. Речь идет о сведениях о приеме, передаче, доставке и обработке голосовой информации, письменного текста, изображений, звуков и электронных сообщений (их содержимого нововведения не касаются, их по закону надо хранить не более полугода).
К ОРИ (в специализированном реестре их более 470) относятся почтовые сервисы, мессенджеры (например, Skype, а также WhatsApp, принадлежащий признанной в РФ экстремистской организации Meta), соцсети, а также логистические компании, таксомоторные агрегаторы, сайты знакомств, онлайн-кинотеатры и многие другие организации. Все это — структуры, клиенты которых могут обмениваться с ними или друг с другом разного рода сообщениями и контентом.
Увеличивая сроки хранения чувствительных ПД в три раза цифрочиновники при этом не ожидают увеличения затрат для бизнеса, связанных с утроением срока хранения данных. Не прогнозируют они и изменений для обычных пользователей. При этом участники рынка отмечают, что цены на такси, подписку на музыку и игры и прочие онлайн-сервисы могут взлететь вверх.
«Увеличение объемов хранимых данных потребует расширения серверных мощностей или аренды облачных решений», отмечает директор департамента расследований компании T.Hunter Игорь Бедеров. Для крупных компаний (соцсети, мессенджеры) это может вылиться в миллионы рублей ежегодно, мелкие платформы могут столкнуться с неподъемными расходами, полагает он.
«При этом защита данных от утечек и атак станет сложнее из-за роста объема информации. Потребуются инвестиции в шифрование, системы мониторинга и обновление ПО. На рынок это окажет, скорее, негативное воздействие в виде частичной монополизации сектора крупными игроками, а также повышения стоимости услуг для пользователей», — полагает Игорь Бедеров.
По его мнению, чем дольше хранятся данные, тем выше шанс, что злоумышленники найдут уязвимости в системах хранения. Даже без содержимого сообщений метаданные (время, геолокация, контакты) позволяют анализировать поведение пользователей, что делает их мишенью для утечек, объясняет он.
По оценке директора по стратегическим проектам Института исследований интернета Ирины Левовой, расширение серверных мощностей для хранения метаданных может стоить каждой из крупных российских digital-компаний до 200 млн рублей. То есть уже вполне очевидно, что рублем заплатим за все это мы с вами. А обеспечит ли такой подход в реальности рост безопасности в сети?
«Трехкратное увеличение периода хранения такой информации со стороны законодателя выглядит избыточным. Мошенники меняют номера за считаные недели, а подчас и дни, и никто из них не использует один и тот же телефон в течение нескольких месяцев, а уж трех лет — и подавно», – считает партнер ComNews Research Леонид Коник.
Кто бы сомневался. А что, если хранение в течение трех лет данных о переписках в реальности нужно для ужесточения контроля над пользователями мессенджеров, соцсетей, различных сетевых сервисов? Чтобы сроки исковой давности для судов, в случае чего, подогнать, например. Очень похоже на то.
В общем, наступление на нашу приватность и базовые конституционные права продолжается. Как и навязывание биометрии и ЕСИА (Госуслуг) как ключевой и единственной «точки входа» для взаимодействия с государством и частными организациями. Для собственного полноценного социального статуса, если угодно. Это уже начинают делать назойливо, закрывая отказникам доступ к публикации объявлений на Авито, резюме на сайтах поиска работы, лишая возможности начать интернет-бизнес на маркетплейсах без тех же Госуслуг. Дальше – больше, если граждане все это проглотят и не будут выражать гражданскую позицию против погружения в цифроконцлагерь.
