СОРМ из избы
В приказе Минкомсвязи о записи, хранении и предоставлении персональной информации пользователей спецслужбам нет ничего нового и страшного. Кроме того, что все это — незаконно.
Несколько дней назад с подачи газеты «Коммерсантъ» в СМИ была растиражирована информация о том, что в недрах Минкомсвязи был по-тихому подготовлен очередной приказ, ужесточающий требования к операторам связи в области оперативно-разыскных мероприятий (СОРМ). Согласно тексту еще не утвержденного документа, с 1 июля 2014 года все интернет-провайдеры обязаны установить на свои сети оборудование для записи и хранения интернет-трафика на срок не менее 12 часов и представлять эти записи спецслужбам вместе с телефонными номерами, IP-адресами, именами учетных записей и адресами электронной почты пользователей.
Есть ли что-то действительно новое в этих инициативах?
После того как Эдвард Сноуден обнародовал документы, рассказывающие о массовой слежке американских властей за интернет-пользователями, эта тема стала одной из самых обсуждаемых в мире. Мы сейчас не будем касаться серьезных аспектов этой проблемы — таких, например, как анализ профилей пользователей в социальных сетях. Элементов шпионажа в традиционном смысле тут минимальное количество: клиенты социальных сетей сами выкладывают подробнейшую информацию о себе, и обижаться им больше не на кого. Стоит, однако, поговорить подробнее о некоторых формах, которые принимают методы скрытой слежки в условиях информационной революции.
«Найдется все»
В феврале текущего года владелец известного интернет-счетчика LiveInternet (Li.ru) Герман Клименко презентовал систему Fastscoring («быстрой оценки») профилей пользователей, адресованную банкам для оперативной оценки кредитоспособности клиентов. Клименко, вполне возможно, уже жалеет о своей инициативе — по косвенным и не подтвержденным сведениям, услугой воспользовался всего один банк. Зато в интернете быстро распространилось мнение, что от счетчика Li.ru и некоторых других нужно избавляться, как написал летом в своем фейсбуке руководитель сайта Sports.ru Дмитрий Навоша, по той причине, что «они используют в своих коммерческих целях наши данные».
На счастье Клименко, не все разделяют мнение руководителя крупнейшего спортивного российского сайта — сервис LiveInternet пока еще одна из самых популярных метрик российского интернета. Интересны, однако, практические аспекты проблемы применения таких сервисов, как Fastscoring: во-первых, насколько это результативно? И, во-вторых, законно ли собирать, обрабатывать и предоставлять третьим лицам данные о поисковых предпочтениях пользователей?
Начнем со второго вопроса. На форуме инноваций для финансового сектора (FinNext 2013), где проводил свою презентацию Герман Клименко, самый первый вопрос из зала был именно о законности сервиса, и автор презентации ответить на него не смог, предложив в каждом частном случае обращаться к юристам. В реальности этот вопрос решается относительно просто, если обратиться к Конституции РФ, где в пункте 1 статьи 24 говорится, что «Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются». Все остальные законы РФ только расширяют это положение (по крайней мере в отношении частных лиц и компаний, о государственных спецслужбах разговор ниже).
В применении к сетевым реалиям это положение превращается в решение не всегда простого вопроса о том, насколько и в каких случаях свобода информации противоречит принципу приватности. В учебнике «Информационное право»1 написано, что «в случае противоречия между правом на свободу информации и на уважение личной жизни приоритет имеет право на уважение личной жизни». Очевидно, что сервисы, подобные Fastscoring, по самому своему назначению прямо привязывают данные о личной жизни к конкретному человеку, и потому насквозь незаконны. В этом отличие такого сервиса от обычных бюро кредитных историй (БКИ) — там всего лишь отображается история взаимоотношений физических лиц с банками, которой сами банки имеют полное право интересоваться (вопросы могут возникнуть, только если эту информацию станут выкладывать в открытый доступ).
Ситуация усугубляется тем, что собранные данные не есть простой анализ того, что человек сам о себе рассказывает, как в случаях изучения профилей социальных сетей, о которых упоминалось выше. Поисковые запросы и посещаемые сайты могут отражать те стороны частной жизни, которые человек, наоборот, хотел бы скрыть от окружающих. Клименко сам приводит в пример случай, как запросы на медицинские темы могут послужить основанием для отказа в кредите. Но ведь медицинские сведения, в отличие от многих других (как, например, сведений о покупках или о районе проживания), не допускают никаких разночтений при отнесении их к категории самых охраняемых персональных данных!
И вот тут можно плавно перейти к первому вопросу: а насколько вообще информативен сбор и статистический анализ поисковых запросов, произведенных с конкретного компьютера, и может ли он дать реальную картину личной жизни владельца? Применив это к самому себе, я долго смеялся: среди моих запросов к «Яндексу» не раз встречался поиск информации о московских областных психиатрических больницах. Просто страшно подумать, что могут извлечь из этой информации банковские работники! В реальности психиатрия лично ко мне не имеет никакого отношения и связана с неприятностями у одного моего родственника.
Другой пример — после одного-единственного запроса о «мягкой кровле», сделанного через «Мегафон-Северо-Запад», «Яндекс» меня долго преследовал рекламой онлайновых магазинов строительных материалов и застройщиков в Ленинградской области. Банк наверняка бы сделал из этого насквозь ошибочный вывод о том, что я собираюсь строить себе коттедж, причем вблизи Санкт-Петербурга.
Можно привести еще много подобных примеров, ясно одно: попадет ли статистика поисковых запросов «в десятку», или промахнется с «точностью до наоборот» — дело случая. Статистика, напомним, есть наука, применимая лишь к большим массивам данных: на ее основе никаких достоверных единичных предсказаний сделать невозможно (поговорка «есть ложь, наглая ложь и статистика» — именно об этом). Запрос по поводу способов выращивания конопли может равно означать, что клиент завзятый наркоман или что у кого-то из знакомых возникли подобные проблемы, но, скорее всего, не будет означать вообще ничего: просто чистое любопытство в связи, например, с бурным обсуждением «закона о черных списках» в интернете. И было бы очень печально, если бы какие-то практические выводы делались на столь зыбких основаниях.
По счастью, судя по количеству клиентов у сервиса Fastscoring, сами банки это прекрасно понимают. В блоге на сайте ThinkBank.ru, посвященном обсуждению инноваций в банковской сфере, появился комментарий некоего Александра Головина из ЯР-Банка, где он констатирует: «Во-первых, это не имеет никакого отношения к скорингу, то есть к системе балльной оценки кредитоспособности заемщика. Во-вторых, это просто массив бесполезной — даже скорее вредной в практической работе — информации». Потому в этой области беспокоиться особо не о чем: поисковая информация реально пригодна разве что в относительно безобидной области таргетинга — персонализированной рекламы. Стоит, однако, еще раз напомнить, что рецепт безопасности вашей личной жизни находится в ваших собственных руках: просто поменьше болтайте о себе на весь мир.
СОРМ: не мытьем, так катаньем
Гораздо хуже обстоит дело с «официальной» слежкой, которую могут осуществлять спецслужбы. В распоряжение «Коммерсанта» попало письмо «Вымпелкома», в котором высказывается ряд замечаний по поводу нового приказа Минкомсвязи. Среди них — противоречие статьям 23, 24 и 45 Конституции РФ (тайна личной жизни), противоречие ст. 8 Закона «Об оперативно-разыскной деятельности» (согласно которой все подобные мероприятия должны проводиться с санкции суда) и возмущение тем фактом, что все эти меры обязаны финансировать сами провайдеры2.
Среди комментариев по этому поводу прозвучал единственный трезвый голос — директора по безопасности объединенной компании «Афиша-Рамблер-SUP» Александра Рылика, заявившего, что в приказе нет «ничего нового», он лишь узаконивает сложившееся положение. Он совершенно прав: все эти вопросы поднимались еще в начале 2008 года, когда был опубликован предыдущий подобный документ. Именно в приказе Мининформсвязи РФ № 6 от 16.01.2008 «Об утверждении требований к сетям электросвязи для проведения оперативно-разыскных мероприятий» были введены эти требования: отдельный широкополосный канал связи в спецслужбы, закрытая и опечатанная комната с оборудованием, неподотчетность действий «уполномоченного органа». Кстати, и вопрос о финансировании СОРМ самим провайдером тоже поднимался еще тогда. Новым сейчас стало лишь требование о хранении информации в течение 12 часов, что в современных условиях технически не представляет никакой сложности и де-факто осуществляется и без того.
По этому поводу в истории осталось, кажется, единственное постановление Верховного суда от сентября 2000 года, где рассматривалась законность еще недавно тогда введенной СОРМ-2 (то есть дополнений к основной СОРМ, касающихся «сетей документальной электросвязи»). Тогда ВС постановил, что, во-первых, спецслужбы должны будут представить операторам связи всю информацию о «клиенте», во-вторых лишний раз напомнил, что нарушить тайну переговоров правоохранительные органы вправе только с санкции суда. Ни одно из этих постановлений, как видим, не соблюдается, наоборот, выпускаются все новые подзаконные акты, ужесточающие положение. А в суд с тех пор, кажется, никто больше и не подавал.
Как видно из всех скандалов последнего времени, тенденция к усилению слежки за пользователями наблюдается во всем мире. Методы при этом применяются различные: от секретных надзаконных программ, вроде пресловутой PRISM в США, через легализованные законодательные акты, как в Германии и Великобритании, до принятых втихую подзаконных отраслевых приказов, как в России. Заметим, что за последний год в рейтинге Freedom House по «свободе интернета» Россия переехала с 30-го места на 41-е среди шестидесяти обследованных стран. В основном это обусловлено появлением пресловутого «закона о черных списках», хотя лично я бы на первое место давно поставил именно реальную практику СОРМ в отношении «сетей документальной электросвязи».
И самое странное в этой истории то, что каждый раз, когда вновь возникает эта тема, СМИ начинают ее «с чистого листа». Как будто слежка за пользователями интернета и сотовых сетей (причем, что самое циничное, за счет самих пользователей) у нас вводится очередным приказом Минсвязи, а не длится уже много лет. А ведь результаты всех этих приказов, которые, несомненно, будут возникать и дальше и становиться все жестче, зависят от того, сумеет ли общество поставить аппетиты спецслужб под контроль. Только от нас зависит, будут ли эти меры направлены действительно на поиск реальных террористов и преступников, или превратятся в тотальную слежку властей за гражданами. За примерами в недавней истории нашей страны далеко ходить не требуется.
1 Бачило И.Л., Лопатин В.Н., Федоров М.А. Информационное право. СПб.: Юридический центр Пресс, 2001.
2 А значит, в конечном счете, пользователи, т.е. мы с вами.
