Широко обсуждавшийся с лета 2016 года пакет из двух законов, направленных на усиление борьбы с терроризмом («пакет Яровой»), 1 июля наконец вступил в силу. Заметную роль в нем играют поправки, задающие новые правила хранения цифровых данных. Отныне операторы сотовой связи и участники списка организаторов распространения информации (ОРИ, около ста ресурсов) обязаны записывать и шесть месяцев хранить текстовые сообщения, переговоры, изображения, аудио- и видеоинформацию. Данные о самом факте коммуникации нужно будет хранить три года (для ОРИ — один год). А с 1 октября записываться будет уже весь интернет-трафик, хранить его будут месяц. Доступ к нему по запросу смогут получать МВД, ФСБ, ФСО и другие госорганы.
Для исполнения закона необходимо создать и постоянно модернизировать гигантскую инфраструктуру, что ложится на плечи телекоммуникационных компаний. Ведущие сотовые операторы оценивают дополнительные затраты в десятки миллиардов рублей (ранее звучали оценки в триллионы рублей). Мелкие компании могут и вовсе уйти с рынка. Ситуация осложняется тем, что отрасль переживает непростое время: не растет абонентская база, падает чистая прибыль.
Противники закона два года указывали на риск повышения тарифов и переноса издержек на население. Но операторы не всегда действуют в лоб. Они не просто повышают тарифы, а меняют их содержимое, принудительно переводят пользователей со старых тарифов, закрывают безлимитные опции и пытаются уменьшить потребление трафика. Более того, на протяжении пяти лет телекоммуникационные компании будут обязаны на 15% ежегодно увеличивать емкости для хранения, что создает постоянную статью расходов.
В последний год операторы заявляли, что уже тестируют системы хранения и обработки данных, но подробностями и оценками затрат делились неохотно. Известно, что один из дата-центров построен в Нижнем Новгороде с участием «Ростеха». Другой дата-центр, объявленный крупнейшим в России, достраивается в Тверской области недалеко от Калининской АЭС совместными усилиями «Росэнергоатома» (более шести миллиардов рублей инвестиций) и «Ростелекома». В конце прошлого года первую очередь своего дата-центра в Сколкове открыл Сбербанк, расходы превысили изначальную смету и составили 14 млрд рублей.
На российском рынке есть несколько компаний, способных создавать необходимые дата-центры (в их числе «Цитадель» и «Норси-Транс»), именно они станут основными бенефициарами закона. Однако есть нюанс. Уже после вступления закона в силу выяснилось, что российские производители не успели сертифицировать оборудование, а операторы предварительно закупили продукцию Cisco, Hewlett-Packard и Huawei, которая также еще не сертифицирована.
Конечно, закон не заставляет строить дата-центры и развивать отечественное производство, он лишь задает правила игры, но было бы неплохо, чтобы отечественная промышленность оказалась в выигрыше. Но нашим компаниям легче закупать продукцию за рубежом, поскольку их поставили в жесткие временные рамки. Российские же производители физически не были способны в срок поставить нужное количество оборудования, и риск ухода денег за рубеж сохраняется. При этом неясно, имеют ли российские операторы в принципе право использовать для реализации целей закона зарубежное оборудование.
Инвестировать операторам придется не только в системы хранения данных, но и в защиту от утечек. Учитывая сильные позиции России в этой сфере, инновационный всплеск здесь как раз возможен.
Заметим также, что существенная доля трафика передается в зашифрованном виде. Так, популярные мессенджеры шифруют трафик, используя ключи, которые есть только у пользователей (сквозное шифрование). Соответственно, как будет расшифровываться сохраненный операторами трафик, — вопрос. Закон указывает на необходимость передачи властям ключей к зашифрованной информации, штраф за невыполнение этого требования составляет от 800 тысяч до миллиона рублей для юрлиц. Как будет решаться этот вопрос, тоже неясно. То ли все сервисы со сквозным шифрованием запретят, то ли будет придумано некое новое техническое решение или изменен закон.
На кого равняемся
«Если вам нечего скрывать, то вам нечего бояться» — пожалуй, самый распространенный и вызывающий споры аргумент в пользу хранения пользовательских данных. Пока одни указывают на абсурдность понятия приватности в мире, где на каждой улице установлены десятки камер, другие видят в хранении данных угрозу правам человека. Эдвард Сноуден говорил, что суть аргумента «вам же нечего скрывать» подобна безразличию к свободе слова только лишь потому, что «вам нечего сказать».
Бывший главный исполнительный директор Google Эрик Шмидт признавал, что, хотя компания чтит приватность пользователей, она обязана отвечать на запросы правоохранителей — еще в 2001 году, вскоре после терактов 11 сентября, в США был принят Patriot Act, позволявший спецслужбам без судебного распоряжения получать доступ к записям телефонных разговоров и электронной почте. Самым известным хранилищем стал дата-центр, построенный за полтора миллиарда долларов в 2014 году в штате Юта. Центром управляет Агентство национальной безопасности (АНБ) в условиях строгой секретности. Чтобы ограничить массовую слежку АНБ, в 2015 году Patriot Act заменили — теперь регулирующий документ называется Freedom Act. Хотя по сути изменения носят уточняющий характер, в США действует гибкая политика хранения — уже не АНБ, а сами операторы определяют свои функции.
Опыт американцев показывает, что принятые нормы на 80–90% использовались для поиска наркоторговцев, а число запросов на поимку террористов составляло лишь доли процента от общего числа. С подобной проблемой несколько лет назад столкнулись и Нидерланды, где принятый закон стал использоваться в делах о краже велосипедов. Из-за несоответствия изначальной цели и ряда других противоречий местные суды отменили закон.
Нет сомнений, что прослушка граждан — плохо, а право на частную жизнь и тайну переписки — основополагающие принципы демократического общества. Но если вспомнить, что наше общество становится все более цифровым, то возникают казусы.
Во-первых, кто является хозяином цифровой инфраструктуры и кем создаются программные продукты, используемые миллионами пользователей? Есть ли гарантия благонамеренности ведущих корпораций? Тот же Сноуден утверждал, что интернет-гиганты США уже давно на прямой связи с АНБ.
Во-вторых, насколько эти корпорации в принципе способны обеспечить безопасность хранения данных? За примером, подтверждающим обратное, далеко ходить не нужно: буквально на днях выяснилось, что незащищенные документы Google Docs попали в поисковую выдачу «Яндекса» и любой пользователь мог получить к ним доступ.
Соответственно, цифровая эпоха диктует новые правила, и выбранный Россией путь с этой точки зрения кажется не столько репрессиями, сколько попыткой обрести «цифровой суверенитет». Государство приняло изменения в Закон о персональных данных, озаботившись тем, в чьих руках находятся данные граждан России. Такие же вопросы стоят на повестке дня у всех ведущих стран мира — от недавнего скандала с утечкой в Facebook до нового европейского регламента о хранении персональных данных (General Data Protection Regulation, GDPR).
Важнейшей проблемой закона, вопреки конспирологам, является не его условная репрессивность, а риски реализации, учитывая специфику российских государственных институтов.
Первое — безопасность сохраненных данных. Пока нет гарантий, что собранные данные не попадут в руки хакеров или не будут использованы неправомерно. Второе — перенос затрат операторов и провайдеров на пользователей и риск непропорционального удорожания связи. Впрочем, высокая конкуренция в этом сегменте может сдержать рост тарифов. И третье — сокращение инновационной активности компаний и темпов развития сетей, вызванное ежегодными затратами на модернизацию дата-центров. Причем коммерческая польза от больших дата-центров пока не просматривается — как «продать» их мощности сторонним игрокам, неясно, да и не стоит забывать о непрерывном прогрессе самой отрасли. Не за горами появление связи нового поколения (5G), интернета вещей, что также потребует огромных вложений (мы же не хотим отстать в технологической гонке). Не устареют ли дата-центры да и сами подходы к контролю за трафиком? В том и особенность современных цифровые технологий, что они постоянно устаревают и меняются гораздо быстрее законов, призванных их обуздать.
Заметим также, что зарубежные социальные сети и мессенджеры, в том числе Facebook, WhatsApp, Viber, Skype и многие другие, пока не включены в опубликованный список ОРИ. То есть как минимум в ближайшее время переписка россиян через эти сервисы будет недоступна для органов. Но практика фактически принудительного включения в такой реестр мессенджера Telegram и проводимая надзорным ведомством кампания по его блокировке свидетельствуют, что ситуация может измениться.
Наконец, отдельные пункты «пакета Яровой» вступают в противоречие с европейским GDPR, что также требует проработки. Согласно закону, российские операторы связи обязаны хранить данные всех без исключения пользователей, пользующихся их услугами. По GDPR, хранение персональных данных европейских граждан может осуществляться без их согласия только по особому распоряжению спецслужб — даже в том случае, если сбор и хранение данных осуществляет компания за пределами ЕС. При несоблюдении норм GDPR компаниям грозит штраф в размере до 20 млн евро или четырех процентов их глобального годового дохода. Для российских операторов риск нарушить европейский регламент возрос как раз сейчас, когда Россия принимает гостей чемпионата мира по футболу.
