В Госдуме принимают законопроект о тотальной слежке. IT-отрасль и общество консолидированно выступают против

 Сегодня в Госдуме пройдет второе и предполагается, что и третье чтение с итоговым голосованием сверхрезонансного законопроекта Яровой-Озерова по долговременному хранению всех переписок, звонков, сообщений, действий и взаимодействий пользователей средств и сетей связи, а также обязанности сервисов по возможности дешифрации их каналов связи для использования со стороны госорганов.

Второе чтение данного законопроекта в Госдуме (вопрос №25) произойдет с 10 до 12 часов по мск, прямую трансляцию можно посмотреть здесь.

UPD. Рассмотрение законопроекта во 2-м и 3-м чтении в Госдуме отложено до пятницы.

В комитеты Госдумы, инициатору законопроекта, парламентским фракциям и отдельным депутатом было отправлено и зарегистрировано обращение от имени тех, кто поставил свои подписи в ходе общественной кампаний против внедрения данного законодательного акта. Данное обращение также было отправлено в Правительство РФ и Минкомсвязь РФ.

Кроме того, в Региональном общественном центре интернет-технологий (РОЦИТ) сообщили, что считают избыточным требование о предоставлении спецслужбам ключей для расшифровки сообщений в мессенджерах. В Российской ассоциации электронных коммуникаций (РАЭК) также считают, что предложенные поправки создают угрозы для безопасности и частной жизни граждан.

Рабочая группа «Связь и информационные технологии» при Правительстве Российской Федерации провела рассмотрение данного законопроекта в редакции к третьему чтению.

Представляем вам полный текст итогового заключения отраслевой рабочей группы: 

.

ИНФОРМАЦИЯ О СОСТАВЕ РАБОЧЕЙ ГРУППЫ «СВЯЗЬ И ИТ»

В рабочую группу «Связь и информационные технологии» входят представители крупного российского телекоммуникационного бизнеса, отечественной интернет-индустрии и российских разработчиков программного обеспечения, в совокупности более 95% телекоммуникационного рынка Российской Федерации), и более 90% интернет-отрасли и отрасли разработки программного обеспечения Российской Федерации), научного сообщества, профильных ассоциаций и фондов.

ЗАМЕЧАНИЯ ЭКСПЕРТОВ К ЗАКОНОПРОЕКТУ:

СТАТЬЯ 10 П. 1 (Поправка к статье 46 закона «О связи»)

Статья 46 Федерального закона «О связи» дополняется обязанностью операторов связи «прекратить оказание услуг связи в случае неподтверждения в течение пятнадцати суток соответствия персональных данных фактических пользователей сведениям, заявленным в абонентских договорах».

Вместе с тем, помимо лиц, которые умышленно уклоняются от предоставления операторам связи своих персональных данных, в России фактически сложилась система отношений, когда идентификационные модули (сим-карты) операторов связи передаются родителями своим несовершеннолетним детям, супругам и другим родственникам. Наибольшее распространение такая практика получила в связи с широким распространением планшетных компьютеров, портативных модемов и других аналогичных устройств. По экспертным оценкам количество добросовестных пользователей передающих идентификационные модули (сим-карты) членам своей семьи составляет около 20% от всех используемых устройств.

Таким образом, в случае вступления в силу Законопроекта операторы связи будут обязаны прекратить оказание услуг связи для значительного количества абонентов, не совершающих каких-либо противоправных действий.

Важно также отметить, что законопроект фактически вводит положение о правомерном использовании идентификационных модулей (сим-карт) операторов подвижной радиотелефонной связи в течение 15 дней без предоставления персональных данных, что также не будет служить целям, заложенным в законопроекте.

СТАТЬЯ 11 п.3 (поправка к статье 13.6 КОАП)

«Статья 13.6. Использование несертифицированных средств связи либо предоставление несертифицированных услуг связи

Использование на сетях связи несертифицированных средств связи либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, —

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц — от трех тысяч до четырех тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц — от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.»

Таким образом, статья 13.6 КоАП РФ устанавливает ответственность за нарушение правового режима использования сертифицированных средств связи, который обеспечивает бесперебойную работу всех систем и средств связи.

ОРИ услуги связи не оказывают, они осуществляют иную деятельность, которая регулируется не законодательством о связи, а специальным законом.

Статьей 16 проекта ОРИ обязываются  при использовании дополнительного кодирования … предоставлять в ФОИВ необходимую для декодирования принимаемых, передаваемых ,… электронных сообщений.

За неисполнение этой обязанности проектом предлагается установить ответственность в ст. 13.31 КоАП РФ. То есть Законопроект не содержит обязанности для кого-либо использовать только сертифицированные средства кодирования (шифрования), но при этом устанавливается ответственность за неиспользование.

Учитывая, что операторы связи средства шифрования не используют, изменения в ст. 13.6 целесообразно исключить.

СТАТЬЯ 14, п. 2 (Поправка в статью 64 закона «О связи»)

«2) в статье 64:

а) пункт 1 изложить в следующей редакции:

«1. Операторы связи обязаны хранить на территории Российской Федерации:

1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи — в течение трех лет с момента окончания осуществления таких действий;

2) текстовые сообщения пользователей услугами связи, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей услугами связи — до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.»

1. Инициатива технически не реализуема в связи с недоступными для реализации объемами хранилищ. Ресурсов для реализации инициативы (как технических, так и финансовых) у операторов связи и организаторов распространения информации нет.
2. Независимо от сроков хранения создание системы хранения и обработки подобного объема данных потребует огромных затрат, превышающих совокупную выручку крупнейших операторов связи за семь лет. Для решения задачи хранения и обработки всех текстовых сообщений, голосовой информации, изображений, звуков, видео и иных сообщений пользователей услугами связи необходимо строительство территориально распределенных центров обработки данных (ЦОД), решение нетипового вопроса электропитания, организация системы каналов связи от оборудования операторов до ЦОД и от ЦОД до уполномоченных органов государственной власти. Указанные дополнительные статьи затрат по нашим экспертным оценкам составят около 50 млрд рублей единовременно для одного оператора связи, независимо от сроков хранения (оценка для компаний ПАО «МТС», ПАО «ВымпелКом», ПАО «Мегафон») и 1 трлн в год для ПАО «Ростелеком». Подробные оценки на периоды 24 часа, 72 часа и 1 месяц – Приложение 2.

В случае установления максимального срока хранения всех текстовых сообщений, голосовой информации, изображений, звуков, видео и иных сообщений пользователей услугами связи, 6 месяцев, дополнительные затраты на одного крупного оператора связи составят также дополнительно более 200 млрд рублей ежегодно. Операторами связи, не входящими в первую сотню крупнейших операторов связи, такие требования будут невыполнимы.

Введение обязанностей для операторов связи по хранению содержания текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео, иных сообщений пользователей услугами связи до шести месяцев прекратят развитие сетей связи и серьёзно скажутся на инвестиционной привлекательности всей отрасли связи России.

3. Учитывая массивы данных, которые предполагается хранить, а также порядок доступа к ним — без решения суда, реализация положений законопроекта несёт серьёзную угрозу реализации права на тайну связи и огромные риски утечек конфиденциальной информации. Кроме этого, право на тайну связи гарантировано Конституционной нормой (статья 23) и ограничение данного права возможно только на основании  решения суда.
4. Организованные в соответствии с требованиями действующего законодательства пункты управления, каналы передачи данных и контрольные соединительные линии от сетей связи до контрольных систем уполномоченных государственных органов, поддерживают скорость передачи данных от 2048 кбит/с до 155 Мбит/с и не смогут обеспечить оперативную обработку уполномоченными государственными органами нескольких сотен Экзобайт информации. В связи с чем очевидно, что принятие Законопроекта потребует расходов, покрываемых за счет федерального бюджета, для обеспечения уполномоченных государственных органов, а также повлечет изменения финансовых обязательств государства.
5. Даже если затраты на реализацию законопроекта возьмёт на себя государство, цель предлагаемого регулирования достигнута не будет. В настоящее время объем передаваемого по сетям операторов связи шифрованного трафика составляет 49% с перспективой существенного роста в ближайшее время: через 3 года объём зашифрованной информации будет составлять не менее 90%. Поскольку в мире отсутствует соответствующая технология, оператор связи не способен анализировать данную категорию трафика. Следовательно, почти половина хранимой информации, которая передается по сети передачи данных, будет непригодна к анализу и использованию в работе спецслужб (а в перспективе почти вся). А в связи со значительными объемами хранимых данных, скорость анализа и поиска необходимой информации будет невысокой, чтобы обеспечить их актуальное использование, что чрезвычайно важно для профилактики и предотвращения проявлений террористической направленности.
6. В мировой практике не существует примеров хранения информации в подобных объемах.

СТАТЬЯ 16 (поправка в статью 10.1 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», п.3)

Как указано в постановлении Конституционного суда Российской Федерации от 26.11.2012 г. № 28-П, Положения ч. 3 ст. 55 Конституции Российской Федерации, рассматриваемые во взаимосвязи с ее статьями 8, 17, 34 и 35, содержат требования, согласно которым все возможные ограничения федеральным законом прав юридических лиц, свободы предпринимательской деятельности и регламентация вопросов их ответственности должны базироваться на общих принципах права, отвечать требованиям справедливости, быть адекватными, соразмерными и необходимыми для защиты конституционно значимых ценностей, в том числе прав и законных интересов других лиц; такие меры допустимы, если они основываются на законе, служат общественным интересам и не являются чрезмерными.

Требования Законопроекта о столь длительном хранении огромного массива информации потребуют от организаторов распространения информации в сети «Интернет», которыми по факту могут быть признаны любые Интернет-ресурсы, огромных затрат (на аренду, строительство дата-центров, иной инфраструктуры и т.п.). Такие расходы могут явиться непосильными как для небольших интернет-проектов, так и для крупных ресурсов, поскольку через них проходит большое количество информации.

Требования Законопроекта о длительном хранении огромного массива информации потребуют от организаторов распространения информации в сети «Интернет», которыми по факту могут быть признаны любые Интернет-ресурсы, огромных затрат (на строительство дата-центров, иной инфраструктуры и т.п.). Такие расходы могут явиться непосильными как для небольших интернет-проектов, так и для крупных ресурсов, через которые проходит огромное количество информации.

СТАТЬЯ 16 (поправка в статью 10.1 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», введение п.4.1)

в) дополнить пунктом 41 следующего содержания:

«41. Организатор распространения информации в сети «Интернет» обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений.».

Требование, предусмотренное статьёй может быть технически невыполнимо в ряде случаев. Например, в случае, если ОРИ предоставляет услугу электронной почты, а пользователь зашифровал своё сообщение, то ОРИ не имеет ключей.

Кроме этого:

1. Российские компании будут поставлены в неравные условия:

во-первых, деятельность на международных рынках будет чрезвычайно затруднена, так как действие законопроекта распространяется на всех пользователей, что может нарушать законодательство других стран и международные обязательства РФ (например, конвенцию по автоматизированной обработке ПД).

во-вторых, иностранные компании могут отказаться от выполнения данных требований, так как они противоречат законодательству стран, где они зарегистрированы, что ухудшит положение российских компаний на внутреннем рынке.

в-третьих, другие государства (например, Китай) могут предъявить сходные требования по раскрытию ключей к российским компаниям

2. Широко используемый интернет протокол HTTPS не позволяет хранить ключи шифрования и он не позволяет встраивать российскую сертифицированную криптографию. Для организации связи между сервером и клиентом HTTPS случайным образом вырабатывает ключ шифрования, пересылает его в зашифрованном виде на открытом ключе сервера на сервер, организует канал симметричного шифрования между клиентом и сервером для конкретного сеанса связи, и выбрасывает выработанный случайный ключ шифрования. Поэтому этот ключ невозможно хранить технически. Протокол HTTPS используется практически везде при организации шифрованного трафика между сервером и клиентом: в интернет-банкинге, при заказах билетов и отелей, в том числе и во всех государственных системах оказания услуг населению и на сервере госуслуг также – https://www.gosuslugi.ru. Поэтому при принятии этого закона юридически будет запрещены все онлайн сервисы, включая сервисы предоставления государственных услуг населению. Это касается не только компьютеров, но также и всех телефонов с возможностью работы с Интернет. Кроме того, даже будучи реализованным на новых еще не разработанных информационных технологиях это требование означает передачу всех паролей и средств доступа граждан к своим финансовым и иным личным данным в ФСБ, что нарушает Конституцию.

3. Законопроект требует шифрования сообщений пользователями только с использованием сертифицированных криптографических российских алгоритмов. Заметим, что в этом случае оператор, передающий сообщения, не имеет ключей шифрования, так как они сгенерированы конечными пользователями. Требование использования сертифицированных криптографических средств потребует организации продаж таких сертифицированных средств всех желающим гражданам и организациям. В том числе гражданам и организациям зарубежных стран, желающих переписываться зашифрованными сообщениями с российскими гражданами и организациями. На сегодняшний день для продажи российских криптосредств за рубеж требуется специальное разрешение ФСБ. Организовать выдачу таких разрешений всем желающим зарубежным гражданам и организациям не представляется реализуемым. При этом требование отсылать ключи шифрования в ФСБ от каждого гражданина и каждой организации для каждого сообщения (ключи вырабатываются для каждого сообщения разные), особенно для зарубежных граждан и организаций, представляется нереализуемым и крайне дорогостоящим для ФСБ. Организовать проверку выполнения этого требования гражданами и организациями представляется невозможным.

4. Современные средства шифрования, в т.ч. сертифицированные, позволяют, во многих случаях, организовать децентрализованные генерацию и хранение ключей. Более того, частью усилий провайдеров интернет-сервисов по обеспечению мер доверия со стороны потребителей может являться внедрение технологий и процедур, исключающих доступ провайдера к соответствующим ключам (что исключает возможность, что его персонал получит доступ к содержанию коммуникаций). Таким образом, для многих современных сервисов предоставление ключей организаторами сервисов в контролирующий орган может быть невозможным, в связи с их отсутствием у организатора.

5. Для сервисов, использующих элементы peer-2-peer для передачи, хранения или шифрования информации не определено понятие оператора и нет субъекта, обладающего коллекцией ключей. Элементы peer-2-peer могут встраиваться в традиционные сервисы для придания им дополнительной функциональности или защищенности, что делает большинство сервисов несовместимыми с предлагаемыми новеллами.

6. Широко используемая в банковских системах обмена транзакциями система SWIFT не использует российскую криптографию. В случае принятия этого закона общение российских банков, включая ЦБ, с зарубежными банками будет юридически запрещено, что приведет к коллапсу банковской системы страны.

7. Принятие предлагаемых норм может поставить проблемы на пути внедрения большей части современного системного программного обеспечения, включая свободное программное обеспечение, т.к. оно, в подавляющем большинстве, исходит из концепций децентрализации и права пользователя на управление приватностью. Что отражено в архитектуре современного ПО.

8. Основанные на новых физических принципах методы шифрования (квантовая криптография) и новые «пост-квантовые» алгоритмы шифрования в принципе исключают наличие коллекций ключей, т.к. ключ для каждого пакета обновляется внутри предыдущего, и, для некоторых методов, при попытке его прочтения третьей стороной он необратимо разрушается. Возможно, законодателям следует думать о поддержке разработки в стране квантовых компьютеров для шифрования и дешифрования, а не о регулировании быстро устаревающих алгоритмов.

9. Сосредоточение всех ключей от всех коммуникаций у одного супер-владельца делает его главной и, в любом случае, уязвимой целью атак хакеров, террористов, иностранных разведок, конкурирующих политических группировок и пр. С точки зрения национальной безопасности значительно надежнее, если эта информация рассредоточена по нескольким ведомствам и провайдерам и выборка из нее может быть получена только по решению суда или иным образом, гарантирующим независимый общественный контроль.

По сформулированным выше причинам принцип полного владения одним субъектом права ключами для чтения всех коммуникаций при наличии физического доступа к архивам всех коммуникаций существенно и по-новому ограничивает права граждан и не может быть согласован с основами конституционного строя. В настоящее время действует принцип, по которому уполномоченный орган может получить доступ к конкретной коммуникации под независимым контролем и с затратой разумно обоснованного объема усилий (делающего «тотальную слежку за обществом» нерентабельной и технически трудно реализуемой). Этот принцип должен сохраняться. Его эволюция возможна за счет оптимизации технических и юридических аспектов понятия «разумно обоснованные усилия». Для борьбы с терроризмом не нужен доступ ко всем коммуникациям всех граждан, поскольку террористы представляют собой незначительное меньшинство общества.

Таким образом, требования по раскрытию ключей для декодирования сообщений ведет к созданию угроз для безопасности и частной жизни граждан, создаёт угрозы для бизнеса и ставит компании в неравное положение, создает угрозы для национальной безопасности. При этом данные меры не повлияют на доступность инструментов шифрования для злоумышленников. Стойкое шифрование в настоящий момент доступно любому (например, Signal — проект с открытыми кодом, позволяет осуществлять end-to-end шифрование сообщений https://github.com/WhisperSystems).

Учитывая изложенное, законопроект требует доработки и не может быть принят в предложенной к третьему чтению редакции.

Хронология внедрения законопроекта о тотальной слежке:

Новый законопроект о тотальной слежке за пользователями с обязанностью операторов и сервисов хранить переписку и звонки граждан 3 года

«Антиэкстремистский» законопроект, вводящий тотальную слежку, готовится к первому чтению в Госдуме

Законопроект Яровой-Озерова по трёхлетней слежке за интернет-пользователями взвинтит цены на услуги связи

Угроза информационной безопасности: СПЧ выступил против «антиэкстремистского» законопроекта Яровой-Озерова

РАЭК: законопроект Яровой-Озерова о тотальной слежке чреват общей деградацией интернет-отрасли в России

Комитет Госдумы одобрил «антитеррористический» законопроект о тотальной прослушке и слежке за пользователями

«Создание тотальной слежки за населением»: Депутаты в первом чтении обсудили «антитеррористический» законопроект Яровой (видео обсуждения и результаты голосования)

«Исполнить нельзя отменить»: Роскомнадзор считает неисполнимым закон о хранении всех звонков и переписки граждан

Общественная кампания против слежки — #1984LIVE

Экспертный совет при Правительстве РФ призвал остановить внедрение неисполнимых норм о хранении всей переписки граждан

Без переписки и звонков: из Совета Федерации поступили смягчающие поправки в законопроект Яровой о тотальной слежке

Штрафы за отказ передавать ключи шифрования в ФСБ. Внесены ужесточающие поправки в законопроект о тотальной слежке

Заявления с подписями граждан против законопроекта о тотальной слежке переданы в Госдуму, Правительство и Минкомсвязь

_____