Операторы связи обязаны хранить информацию. В России вступил в силу «закон Яровой» о хранении данных пользователей: объясняем, что это значит. Поправки в УК РФ

При этом операторы получили небольшую отсрочку – они обязаны начинать хранить интернет-трафик с 1 октября 2018 г. Хотя пакет антитеррористических поправок Ирины Яровой и Виктора Озерова, предписывающий операторам хранить все телефонные разговоры, текстовые сообщения, изображения, звуки, видеозаписи и другие электронные сообщения пользователей, вступит в силу уже 1 июля.

Из проекта постановления следует, что операторы с 1 октября должны хранить сообщения пользователей в интернете, накопленные в течение 30 суток со дня сдачи системы хранения данных в эксплуатацию, уточняет сотрудник одного из операторов. Но на практике хранить этот трафик операторы начнут позже 1 октября, ведь строительство и сдача в эксплуатацию таких систем – дело небыстрое, считает сотрудник одной из сотовых компаний. На телефонные разговоры и сообщения эта отсрочка не распространяется.

Операторы давно ждали этого постановления, без которого сложно планировать расходы на исполнение закона. «Выполнение требований сильно зависит от технического задания и от того, как скоро оно будет определено», – рассказывал в интервью «Ведомостям» гендиректор «Вымпелкома» Василь Лацанич. Президент «Ростелекома» Михаил Осеевский также отказывался оценивать расходы. В годовом отчете МТС констатировала необходимость капитальных затрат на исполнение закона Яровой, но их размера не оценивала. Подсчеты удались лишь «Мегафону»: в 2018 г. оператор потратит на это около 7 млрд руб., рассказывал представитель оператора. А за пять лет расходы могут достигнуть 40 млрд руб., говорил в декабре 2017 г. гендиректор оператора Сергей Солдатенков. «Мегафон » даже успел заняться тестированием систем для исполнения закона – совместной разработки компаний «Цитадель» и «Национальные технологии».

Свои затраты на реализацию требований пакета Яровой «Мегафон » оценивает в 35–40 млрд руб., отметил вчера представитель оператора. Новые правила компромиссны – ранее их проект обсуждался с отраслью, утверждает Солдатенков.

Лацанич надеется, что ввод систем хранения данных будет поэтапным. Ни у кого из операторов нет и не может появиться до 1 июля систем хранения данных, чтобы обслуживать весь трафик крупного оператора, говорил он ранее на конференции «Ведомостей». Все большие операторы смогут найти средства и так или иначе выполнить требования закона в разумные сроки, хотя это будет болезненно для бюджетов и акционеров, сказал гендиректор «Вымпелкома». «Но у меня большие сомнения, что это смогут сделать маленькие, особенно операторы фиксированной связи. Их в стране сотни. Большая часть их трафика приходится на торренты, видео, и это все хранить, обрабатывать, давать доступ – эта задача и технически, и экономически для них нерешаемая», – отметил Лацанич.

В связи с нехваткой на рынке сертифицированного оборудования и с учетом масштаба инфраструктуры «Ростелекому» будет затруднительно выполнить требования правил, говорит его представитель.

Представители МТС , «Т2 РТК холдинга» (Tele2) и «Вымпелкома» вчера отказались от комментариев.

Операторам понадобится минимум полгода, чтобы в полной мере перейти на сбор данных по закону Яровой, считает гендиректор «Норси-транс», выпускающей системы для оперативно-розыскных мероприятий (СОРМ), Сергей Овчинников. За это время им нужно будет пересмотреть бюджеты, закупить оборудование, которого пока недостаточно для исполнения закона, заключить новые договоры с производителями СОРМ и технически запустить систему. Сроки запуска будут зависеть от того, какое оборудование для СОРМ стояло у оператора раньше и насколько сложно адаптировать его к новым требованиям, прогнозирует Овчинников. Производители оборудования для СОРМ рассчитывают на резкий рост спроса со стороны операторов, добавил он.

Из-за того что подписание постановления сильно затянулось, операторы почти не имеют возможности вовремя подготовиться, отмечает директор по стратегическим проектам Института исследований интернета Ирина Левова. Поэтому в правилах и предусмотрен стартовый нулевой объем хранения данных на 1 июля, хотя технически исполнять закон и хранить весь собираемый контент операторы все равно не смогут, даже спустя время, уверена она. В любом случае все техническое переоснащение для реализации закона может оплачиваться или из средств, на которые операторы планировали развивать сети 4G и 5G, или за счет повышения тарифов, считает Левова.

Источник РБК, близкий к одному из операторов «тройки», сообщил, что не только «МегаФон» не сразу на всю страну разворачивает систему для хранения информации по «закону Яровой». Он отметил, что внедрение СОРМ-2 (предназначена для мониторинга интернет-активности) в 2000-х годах и СОРМ-3 (для хранения метаданных — например, кто, кому, когда звонил) с 2014 года также происходило не одномоментно.

Что предписывает «закон Яровой»

Пакет антитеррористических поправок, известный как «закон Яровой», был принят в июле 2016 года. Среди прочего он предписывал с 1 июля 2018 года операторам связи и организаторам распространения информации в интернете (ОРИ, к ним относятся сервисы электронной почты, мессенджеры, социальные сети и другие интернет-площадки, на которых пользователи могут обмениваться сообщениями) хранить в срок до полугода записи звонков, содержание сообщений и другую коммуникацию пользователей. Срок хранения метаданных увеличивался для операторов до трех лет, а для ОРИ — до года.

В законе оговаривалось, что сроки и объем информации, которую необходимо хранить, должно уточнить правительство. В апреле было опубликовано соответствующее постановление, касающееся операторов связи: они должны хранить текстовые сообщения и записи разговоров в течение полугода с момента «окончания их приема, передачи, доставки и (или) обработки». Для операторов, которые предоставляют услуги передачи данных (интернет-провайдеров), срок хранения составит 30 суток начиная с 1 октября 2018 года. Последующие пять лет компании должны ежегодно увеличивать на 15% емкость «технических средств накопления» (оборудования, на котором будет храниться интернет-трафик). Во вторник, 26 июня, правительство утвердило п​остановление, устанавливающее срок хранения записей разговоров и переписки для ОРИ: как и для операторов связи, это шесть месяцев.

Но до сих пор не приняты документы с техническими требованиями к оборудованию, которое должно использоваться для хранения информации. В частности, как заявил представитель «Ростелекома», госоператор пока не заложил в свой бюджет расходы на исполнение требований по хранению данных в рамках закона. «Несмотря на то что постановление правительства России по срокам хранения уже опубликовано, для оценки расходов необходимо дождаться выхода документов с требованиями к оборудованию», — отметил он. Представитель этого оператора не ответил на вопрос, начнут ли они выполнять требования закона с 1 июля.

По словам Сергея Солдатенкова, это [неутвержденные требования к оборудованию] «неоднозначная ситуация», но содержание документов не станет сюрпризом для операторов, поскольку есть проекты этих требований. «МегаФон» исходит из прошлого опыта, когда в 2013 году был принят так называемый принцип MNP (mobile number portability, возможность сохранять свой номер телефона при смене мобильного оператора. — РБК ). Уточняющие его нормативно-правовые акты были приняты за два дня до его вступления в силу. «Мы все стояли на голове в течение двух-трех месяцев во время подготовки к ним и не хотели идти по такому пути. Поэтому за полгода [до вступления в силу требований «закона Яровой»] провели определенные тесты решений, схем хранения. Если в требованиях, которые будут приняты, появятся какие-то изменения, наши поставщики готовы поменять под них свои решения», — рассказал Солдатенков.

Нерешенным остается и основной вопрос — какую ответственность будут нести операторы и интернет-компании за неисполнение требований «закона Яровой». Впрочем, по мнению Солдатенкова, даже если бы подобные документы уже были утверждены, государство вряд ли стало бы наказывать оператора. «Если мы говорим о том, что идем по плану, то не думаю, что возникнут какие-то претензии. Вопрос же со стороны государства не наказать оператора, а сделать так, чтобы была возможность обеспечить хранение данных», — пояснил он.

По мнению руководителя коммерческой практики юридической компании BMS Law Firm Дениса Фролова, «МегаФон» и другие операторы должны и в отсутствии нормативно-правовых актов выполнять требования закона, акты лишь «конкретизируют закон».

Дорогая скорость

В 2016 году экспертная рабочая группа «Связь и информационные технологии» при правительстве России спрогнозировала расходы операторов на хранение данных по «закону Яровой» в 5,2 трлн руб. Однако позже оценки несколько раз корректировались. Весной 2018 года МТС необходимую сумму в 60 млрд руб. на ближайшие пять лет, — в 35-40 млрд руб., — в 45 млрд руб.

По словам гендиректора Linxdatacenter в России (поставщик услуг связи и центров обработки данных) Ольги Соколовой, размер затрат на хранение действительно зависит от того, какая конфигурация СОРМ и требования к производителям оборудования будут утверждены в документах. Она отметила, что пока особого всплеска обращений в связи с «законом Яровой» компания не наблюдает. «Пока что никто не знает, в каком виде государство будет запрашивать у участников рынка реализацию требований закона. Одно дело, если будет принят поэтапный порядок, скажем, в течение трех лет. Совсем другой сценарий, если полное соответствие нужно будет обеспечить за, скажем, несколько месяцев», — говорит Соколова. Она ожидает, что ситуация прояснится после 1 июля.​

Законопослушные иностранцы

Гендиректор и председатель совета директоров международной группы Orange Стефан Ришар сообщил РБК, что компания следует положениям законодательства в любой стране, в которой работает, и с 1 июля готова выполнять требования «закона Яровой». «В Европе мы понимаем, что такое террористическая угроза, особенно во Франции. После событий 2015 года мы стали более тесно сотрудничать с властями», — отметил он. Компания не раскрывает, сколько потратила на подготовку к выполнению требований. Однако глава Orange Business Services (подразделение Orange) в России Ричард ван Вагенинген пояснил, что с учетом того, что компания работает здесь только в сегменте b2b и у нее ограниченное количество корпоративных клиентов, затраты были небольшими.

В июле 2017 года Институт исследований интернета (ИИИ) выпустил отчет, в котором указал, что «закон Яровой» GDPR (General Data Protection Regulation, общего регламента о хранении данных), который вступил в силу в Евросоюзе в мае 2018 года. В ИИИ указывали, что, согласно GDPR, для хранения информации о фактах коммуникации пользователя должно быть соответствующее подтверждение от спецслужб. Если российские операторы будут хранить информацию об иностранцах у себя на серверах без согласия самого пользователя и без решения суда предоставлять эти данные российским правоохранительным органам, будет нарушено европейское законодательство, говорилось в отчете.

Однако, по словам представителя Orange, компания видит, что может выполнять требования и того и другого закона в той мере, в которой они к ней относятся. Он отметил, что с точки зрения GDPR компания в ходе оказания услуг является «процессором» (физическое или юридическое лицо, госорган, учреждение, которое обрабатывает персональные данные по поручению «оператора» — того, с кем было заключено соглашение на обработку данных). «Также важно заметить, что вопросы в отношении национальной безопасности выведены из сферы действия GDPR, а «закон Яровой» относится как раз к этой сфере, что следует даже из официального названия», — указал представитель Orange.

Депутата Ирины Яровой и сенатора Виктора Озёрова, предусматривающий хранение данных пользователей в течение полугода и выдачу властям ключей шифрования трафика. Об этом сообщил представитель главы государства Дмитрий Песков, передаёт «Интерфакс».

«Президент подписал пакет документов, поправки к закону о мерах по противодействию терроризму», - сказал Песков.

Также президент подписал перечень поручений правительству, согласно которым кабинету министров предстоит «очень четко мониторить ход имплементации этого закона», чтобы минимизировать возможные риски, связанные с финансовыми расходами, использованием отечественного оборудования для хранения информации и так далее. В случае необходимости правительству нужно будет принять акты, которые бы «эти риски минимизировали», добавил Песков.

«Проще говоря, правительство будет строго смотреть за тем, как будет реализовываться этот закон, и, если будут выявляться действительно какие-то нежелательные проявления, по поручению президента будет принимать соответствующие меры», - сказал представитель главы государства.

Документ вступает в силу 20 июля 2016 года. В частности, с этого момента провайдерам и интернет-компаниям предстоит предоставлять спецслужбам данные, необходимые для расшифровки пользовательского трафика. К 20 июля ФСБ должна найти способы передачи ключей шифрования и утвердить порядок их сертификации.

Путин также поручил правительству и ФСБ подготовить меры минимизации финансовых рисков, связанных с выполнением закона. Особое внимание он потребовал уделить применению нормативно-правовых актов, требующих «существенных финансовых ресурсов и модернизации технических средств». Поручение президента должно быть выполнено к 1 ноября 2016 года.

Помимо этого, Минпромторг совместно с Минкомсвязи до 1 сентября должны представить предложения по затратам на организацию производства отечественного оборудования и российского ПО для хранения и обработки информации.

«Антитеррористический» законопроект обязывает интернет-компании хранить информацию о фактах обмена данными между пользователями до одного года, а операторов связи - до трёх лет. Само содержание сообщений эти компании обязаны будут хранить до шести месяцев. Эти нормы вступают в силу 1 июля 2018 года. Также законопроект требует провайдеров и интернет-компаний предоставлять по требованию властей ключи для «декодирования» переданных пользователями данных.

На фоне новостей о подписании закона президентом упала стоимость акций операторов сотовой связи. Котировки МТС на Московской бирже к 15:00 на 2,3%, до 229 рублей. Акции «Мегафона» к тому же времени упали на 1,2%, до 699,5 рубля.

Против законопроекта выступали в лице РАЭК, и . «Большая четвёрка» операторов подсчитала, что на хранение нужных данных им понадобится свыше 2,2 трлн рублей, Mail.Ru Group о грядущих расходах из-за нового документа в размере $1,2-2 млрд (около трёх-четырёх годовых выручек холдинга). PR-директор «Мегафона» Пётр Лидов , что «законопроект Яровой приведёт к повышению цен на связь в два-три раза».

Глава Минкомсвязи Николай Никифоров , что парламентарии из-за спешки с принятием документа (Госдума документ в последний день работы созыва) не успели рассмотреть позицию министерства и предложил поправить документ - по данным «Ведомостей», министерство хочет отменить требование дешифровки трафика.

Совет Федерации также документ большинством голосов. В день обсуждения законопроекта его соавтор документа Виктор Озёров заявил, что оценки затрат операторов не совпадают с действительностью, а также признался, что об одном участнике «большой четвёрки» он слышит впервые. «Точных расчетов никто не представил. По Московскому региону: 183 дня, то есть шесть месяцев, МТС, «Билайн», «Мегафон», еще тут Tele2, я не знал, что есть такой, все это будет стоить 42 млрд [рублей]», - сказал он, отметив, что эти данные учитывают 11 млн абонентов (по данным AC&M Consulting, в Московском регионе сотовые операторы к концу первого квартала 2016 года обслуживали почти 43 млн SIM-карт).

«Пакет Яровой» – один из самых масштабных документов, принятых Госдумой в последние годы. Часть его положений уже нашла отражение в нормативных актах, начало действия другой – лето 2018 года.

Что представляет собой «закон Яровой», когда вступает в силу самая спорная часть резонансной инициативы, касающаяся хранения информации о телефонных разговорах и личной переписке россиян?

Авторы поправок

Нашумевший пакет поправок с подачи СМИ назван именем одного из авторов – депутата Госдумы Ирины Яровой, участвовавшей в разработке таких законодательных инициатив, как уголовное преследование за клевету, ужесточение санкций за нарушения правил проведения митингов, «закон о СМИ-иноагентах».

Над поправками вместе с Яровой работал сенатор Виктор Озеров. На тот момент оба парламентария возглавляли комитеты по безопасности: Яровая – в нижней палате, Озеров – в верхней. К процедуре голосования соавторами значились уже четыре законодателя: состав инициаторов пополнили Алексей Пушков и Надежда Герасимова.

Антитеррористический «закон Яровой» – что это?

Простыми словами «пакет Яровой» – это два федеральных закона, содержащих изменения в нормативные акты (призванные, по задумке авторов, предотвратить проявления терроризма):

• №374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» от 06.07.2016;
• №375-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности», от 06.07.2016.

Какие именно новшества содержит «закон Яровой»?

Суть поправок

Первый документ (№374-ФЗ) внес коррективы в законы о ФСБ, внешней разведке, об оружии, Жилищный кодекс и множество других актов. Его положения расширили полномочия силовиков, ужесточили ответственность за экстремизм, правила почтовой пересылки, оформления грузов.

Так, в новой редакции закона №35-ФЗ «О противодействии терроризму» от 06.03.2006:

• ст.5 дополнила новая часть (4.1) о создании в субъектах РФ антитеррористических комиссий, решения которых обязательны к исполнению;
• внесена статья 5.2, поясняющая действия и полномочия местных властей по борьбе с экстремизмом и терроризмом;
• в ст.11 включена часть 5, расширяющая основания для введения режима КТО.

Этим же законом внесены поправки в ЖК РФ, а с ними запрет:

• распространять религиозное учение в помещениях, предназначенных для жилья (исключение – проведение обрядов и церемоний) (ч.3 ст.17);
• на деятельность миссионеров, если она направлена на совершение экстремистских действий, угрожает окружающим и т.д. (ч.3.2 ст.22).

Изменения в закон о связи

Новшества в закон №126-ФЗ «О связи» от 07.07.2003 и их суть для сотовых операторов и поставщиков интернет-услуг заключается в установленном требовании хранить сообщения пользователей (голосовые и текстовые послания), переданные в них фото, видео и пр., а также информацию о телефонном разговоре или переписке абонентов. Место расположения хранилища – в пределах страны. Условия – объем трафика и срок хранения – разрабатывает кабинет министров.

Срок хранения содержимого сообщений – до полугода. Информация об их отправлении, доставке, обработке и пр. должна находиться в хранилище дольше:

• три года – сведения о звонках абонентов мобильной связи;
• один год – данные об электронной переписке россиян.

Введенный п.1 ч.1.1 ст.64 закона об операторах связи обязывает их предоставлять спецслужбам информацию о телефонных разговорах своих клиентов. Аналогичное требование, но уже относительно скрытой от широкой общественности интернет-активности россиян, содержит новый пункт (3.1) ст.10.1 закона №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006. А п.4.1 обязывает владельцев доменов, провайдеров и всех подпадающих под понятие «организатора распространения информации» передавать силовикам ключи шифрования для декодирования сообщений пользователей.

Отказ выполнить требование органов безопасности повлечет штраф. Каков будет его размер, уточняет внесенная в ст.13.31 КоАП РФ часть 2.1:

• от 3 000 до 5 000 рублей заплатят граждане;
• от 30 000 до 50 000 рублей – должностные лица;
• от 800 000 до 1 млн рублей – компании.

Поправки в УК РФ

Другой нормативный акт, входящий в «пакет Яровой», – закон №375 дополнил перечень уголовно наказуемых деяний:

• несообщением правоохранителям о преступлении террористического характера (совершенном, совершаемом или планируемом). Самая жесткая санкция за это – лишение свободы на 12 месяцев. Не понесет ответственности гражданин, не проинформировавший о подобном деянии, совершенном его супругом или близким родственником;
• международным терроризмом с максимальным наказанием в виде пожизненного тюремного срока.

В обновленной редакции УК РФ расширен перечень преступлений, по которым уголовная ответственность наступает с 14 лет:

• участие в террористической организации и ее деятельности (соответственно ч.2 ст.205.4 и ч.2 ст.205.5);
• обучение с освоением навыков для применения в планируемой террористической деятельности (ст.205.3);
• несообщение о преступлении (ст.205.6);
• акт международного терроризма (ст.361).

Когда вступает в силу «закон Яровой»?

В «Российской газете» официальный текст «закона Яровой» был опубликован 8 июля 2016 года. С 20 июля того же года заработала основная часть нововведений, включая изменения в УК РФ.

1 июля 2018 года – указанный в ФЗ день, когда вступает в силу закон Ирины Яровой в части требования хранить данные о дистанционном общении россиян. Однако сейчас в Правительстве РФ обсуждают возможность отсрочить вступление в силу закона на несколько месяцев. Об этом сообщил вице-премьер Аркадий Дворкович. Необходимость отсрочки связана с разработкой подзаконных актов, которые определят объемы и сроки хранения данных по этому закону.

По данным «большой четверки» сотовых операторов, только организация хранилища сообщений потребует более 2,2 трлн рублей. В конечном итоге расходы компаний приведут к резкому росту тарифов. В Минкомсвязи допустили рост стоимости услуг сотовой связи в три раза.

Нет, правда были мысли, что они скажут «Банк не работает, потому что Жаров меряется пип облажался?»

Расчёт на то, что люди начнут жаловаться в банк, а банк уже понимает, что к чему, и теряет платежи / пользователей. Т.е. проблемы надо создать людям (как ни печально) и банку, а уже банк должен сделать вывод о том, кто облажался.

Инетом пользуется по разным подсчётам 50-70млн граждан. Как собираешься убедить «сделать массово», ну хотя бы треть?

Но даже с этим проблема - треть не верит, треть не хотят «как бы чего не вышло», треть хотят какого-то невнятного движа типа митингов.

Собственно в этом и был мой изначальный вопрос: а надо ли это реально людям? Если всем и так нормально, то ничего делать не надо.
Но вы правы в том смысле, что большинство простых пользователей могут просто не очень понимать, что это, зачем и как работает. Собственно, как убедить - так же, как и в маркетинге. Социальные сети (пока их не успели заблокировать), ютуб, мессенджеры. Но распространение должно сопровождаться интересным и доступным простому пользователю текстом и видеороликом о том, почему это плохо, и как программа помогает бороться. Это должен быть реально крутой пятиминутный ролик, который станет вирусным, в стиле новостных программ на тв, привычных гражданам.

Написать открытое письмо. Строго и сдержанно объяснить насколько серьёзно и опасно технически всё происходящее сейчас, доступным языком для тех кто далек от IT.
Подписать под это хотя бы 5-6 тысяч IT спецов. И направить президенту, директору ГБ, и ещё 3-4 представителям типа эконом развития итд.

Мне нравится, давайте подумаем, как реализовать. Не знаю, можно ли использовать что-то вроде change.org и ему подобные - я смотрю, там есть удачные кейсы.

P.S. Просто для сведения. Сейчас работаем с китайским клиентом, буквально вчера разворачивал приложение ему на сервер. Вроде всё поднял, а подключиться к серверу извне не могу, даже просто телнет на 80 порт с самого же сервера на его IP не проходит. Думал, там есть какая-то панель типа AWS, к которой мне не дали доступ и где настраиваются security groups, пишу письмо клиенту. Оказалось, у них, перед тем как провайдер разрешит подключение на сервер на 80 порт, надо купить домен и получить лицензию ICP (Internet Content Provider):

С вики

Лицензия была создана Положением о телекоммуникации в КНР (кит. 中华人民共和国电信条例) и обнародована в сентябре 2000. Следуя этому закону, все сайты, имеющие доменное имя и работающие в пределах КНР обязаны иметь эту лицензию, причём интернет-провайдеры обязуются блокировать сайты без этой лицензии. Лицензии выдаются на уровне провинций.

Работа сайта именно в КНР является необходимым условием для получения лицензии. Иностранные компании, например, Google, не могут получить лицензию ICP на своё имя, именно поэтому Google приходится пользоваться своими китайскими партнёрами.

Просто чтобы вы понимали, насколько это реально в современном мире во вполне себе экономически высокоразвитой стране. Если мы что-то не сделаем прямо сейчас, то скоро в России будет всё тоже самое.