Приказ Минцифры о «пакете Яровой» для ОРИ противоречит законам РФ


pYa dlya ORI protivorechit zakonam RFРабочая группа Экспертного совета при правительстве РФ подвергла критике в части технических, финансовых и правовых составляющих проект приказа Министерства цифрового развития, связи и массовых коммуникаций о требованиях к оборудованию организаторов распространения информации для исполнения «пакета Яровой».

Минцифры направило на оценку регулирующего воздействия в Минэкономики проект приказа о требованиях к оборудованию и программно-техническим средствам, которые организаторы распространения информации (ОРИ) должны будут использовать для реализации требований федерального закона от 6 июля 2016 года №374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности», именуемого также «пакет (закон) Яровой». Под действие приказа попадут мессенджеры, социальные сети, сайты знакомств и другие онлайн-сервисы, зарегистрированные в реестре ОРИ Роскомнадзора: ВКонтакте, Одноклассники, Яндекс, Rambler, Mail.Ru, Snapchat, Telegram и другие. В соответствии с постановлением правительства, принятым 28 июня, они должны хранить записи разговоров, сообщения, изображения, видео и другие данные пользователей в течение полугода и предоставлять их по требованию служб безопасности.

В документе Министерства цифрового развития, связи и массовых коммуникаций утверждается, что дополнительные затраты на «пакет Яровой» интернет-компаний с 500 тысячами активных пользователей составят около 20 млн рублей. Министерство приводит в пример оценку затрат Rambler Group: 10,9 млн руб. разово, а также 120 тыс. руб. в месяц. В эту сумму войдут расходы на увеличение серверного парка, коммутаторы, программно-технические средства оперативно-разыскных мероприятий и разработку софта. Расчет стоимости основан в том числе на данных разработчика решений систем оперативно-розыскных мероприятий (СОРМ) «Норси-Транс». Так, цена отдельного аппаратно-программного комплекса для хранения информации составит от 3,5 млн до 18,3 млн руб., тогда как модуль, установленный поверх уже существующих информационных систем компании, будет стоить от 750 тыс. до 1,8 млн руб. Исходя из этих расчетов, Минкомсвязь полагает, что интернет-компании «могут быть готовы приступить к выполнению требований о хранении информации».

В Минэкономики сообщили «Ъ», что документ поступил и «заключение к нему будет подготовлено в начале августа». В Минцифры, Rambler & Co, Mail.Ru Group и ВКонтакте отказались от комментариев, в Яндексе не ответили на запрос. По данным Mediascope, месячная аудитория проектов Яндекса в июне 2018 года составила 24,2 млн россиян 12–64 лет, ВКонтакте — 16,9 млн, Одноклассников — 8,8 млн, главной страницы Rambler — 2,2 млн.

В июне 2017 года Mail.Ru Group оценивала разовые капитальные расходы группы на реализацию требований «пакета Яровой» в $1,2–2 млрд и дополнительные ежегодные операционные расходы в $80–100 млн. Даже по расценкам «Норси-Транс» для компании такого уровня разовые расходы составят почти 1 млрд руб., считает ведущий аналитик Российской ассоциации электронных коммуникаций Карен Казарян. Очевидно, что для Rambler Group расходы будут меньше, поскольку у нее меньше пользователей, но в целом оценки Минкомсвязи по затратам онлайн-сервисов на исполнение закона занижены, считает эксперт.

В распоряжении РосКомСвободы оказалось заключение рабочей группы «Связь и информационные технологии» Экспертного совета при Правительстве Российской Федерации на проект приказа Минцифры «Об утверждении требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет», в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения».

Проект приказа был подготовлен министерством в соответствии с планом-графиком подготовки нормативных правовых актов Президента РФ, Правительства России и федеральных органов исполнительной власти, необходимых для реализации норм федерального закона от 6.07.2016 г. № 375-ФЗ в части «установления дополнительных мер противодействия терроризму и обеспечения безопасности», утвержденным зампредом Правительства РФ А.В.Дворковичем 28.10.2016 г. №8213п-П4.

Проект приказа, сказано в документе, подготовлен в учетом требований Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов и проектов решений Евразийской экономической комиссии. Уведомление о подготовке проекта приказа было размещено на Федеральном портале проектов нормативных правовых актов 28.07.2014 года. Проект приказа был размещен на этом же портале для публичного обсуждения с 08.08.2017 по 06.09.2017 г. По итогам публичного обсуждения в проект приказа, утверждает Минцифры, были внесены изменения требований в части технических характеристик оборудования.

Эксперты при Правительстве РФ, ознакомившись с документом Минцифры, пришли к следующим выводам:

«1) ОРИ по принятому Федеральному закону от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» понесут существенные издержки, исчисляемые миллиардами рублей;

2) Текст Приказа нуждается в технических доработках ввиду наличия многочисленных недочетов (например, требование выдачи информации даже в случае её отсутствия у ОРИ, и т.п.);

3) Информационные системы каждого ОРИ имеют уникальную архитектуру и специфичный набор интерфейсов, что делает невозможным внедрение типового решения программно-аппаратного технического средства ОРИ, либо возникнут проблемы в его функционировании. В связи с этим следует предусмотреть возможность разработки оперативно-разыскных мероприятий (ОРМ) ОРИ совместно с ОРИ, либо силами непосредственно ОРИ. Для этих целей необходимо максимально упростить/отменить сертификацию решений ОРМ ОРИ сведя её к согласованию плана внедрения ОРМ ОРИ с уполномоченным органом (ФСБ);

4) В технических требованиях приказа содержатся требования по скорости ответов ОРМ ОРИ на запросы с ПУ и возможная комбинаторика параметров запросов. Ввиду того, что данные типы запросов и их комбинации не являются стандартными для программного комплекса ОРИ, необходимо провести научно-исследовательскую работу (НИР), результатами которой будет определение возможных скоростей ответа на запросы и возможной комбинаторики параметров. Текущие цифры и условия комбинаций выглядят взятыми «с потолка».

5) Помимо указанного, эксперты обратили внимание на разночтения между Постановлением Правительства от 31 июля 2014 г. N 759 «Об утверждении правила хранения информации» и проектом Приказа Минкомсвязи (таблица разночтений есть в распоряжении РосКомСвободы). Целесообразно привести данные документы в соответствие».

.

Проблема в определении программно-технических средств, о которых идет речь в проекте приказа, считают эксперты: по сути, это те же самые СОРМ, которые используют операторы связи. Однако в законе об «Оперативно-розыскной деятельности» записан прямой запрет на использование неуполномоченными юридическими лицами специальных технических средств и интернет-компании в число таких лиц не входят. «Для интернет-компаний, в отличие от операторов связи, законодательно не закреплены условия лицензирования и применения СОРМ, которыми, по сути, в проекте приказа называются программно-технические средства»,— согласен Карен Казарян.

Эксперты заметили несоответствие ряда пунктов проекта приказа существующему российскому законодательству, на который он ссылается. В частности, «в пояснительной записке к проекту «Требований к оборудованию и программно-техническим средствам, используемым программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения» устанавливается следующее: Проект приказа разработан с целью реализации требований части 4 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ <…>, согласно которым на ОРИ дополнительно возлагаются обязанности по хранению текстовых сообщений пользователей сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки и предоставлению этой информации уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, и информации об этих пользователях и иной информации, необходимой для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами».

Однако обязанность по хранению текстовых сообщений пользователей сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки и предоставлению этой информации для организатора распространения информации определена не частью 4 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а частью 3 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Далее эксперты приводят выдержку из части 3:

«Организатор распространения информации в сети «Интернет» обязан хранить на территории Российской Федерации:
1) информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей сети «Интернет» и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;
2) текстовые сообщения пользователей сети «Интернет», голосовую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети «Интернет» до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки. Порядок, сроки и объем хранения указанной в настоящем подпункте информации устанавливаются Правительством Российской Федерации.
3.1. Организатор распространения информации в сети «Интернет» обязан предоставлять указанную в части 3настоящей статьи информацию уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, в случаях, установленных федеральными законами».

При этом частью 3 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», не устанавливаются никакие дополнительные требования к оборудованию и программно-техническим средствам, используемым программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах в части системы хранения информации.

Изменения, внесенные Федеральным законом «О внесении изменений в Федеральный закон О противодействии терроризму и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» от 06.07.2016 N 374-ФЗ в часть 4 статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» касаются исключительно предоставления в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений, в случае если используется дополнительное кодирование электронных сообщений. При этом никаких требований к оборудованию федеральным законом не предусматривается.

«Таким образом, ни проект приказа, ни пояснительная записка к нему не соответствуют положениям статьи 10.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», на который ссылаются авторы документа, — говорится в заключении экспертов при Правительстве РФ. — Проектом приказа устанавливаются избыточные и никак не обоснованные принятым регулированием требования к оборудованию, накладывающие на российские компании серьезные издержки«.

Изначально вызвавший у российских пользователей, правозащитников и отраслевиков сомнения «пакет Яровой» прогнозируемо вступает в фазу противоречий не только со здравым смыслом, но и с существующим российским законодательством. Неизбежное повышение цен, которое связывают с вступлением в силу требований 374-ФЗ к операторам, уже дает о себе знать, а впереди еще и отмеченное экспертами столкновение одних правовых норм с другими, которое обязательно прибавит головной боли всем участникам отрасли.

.
don but rks

.

Читайте также:

«Пакет Яровой» лезет в карман пользователей
🔓
Уральские операторы прогнозируют крах отрасли после реализации «пакета Яровой»
🔓
«Пакет Яровой», Big Data и отмена сетевого нейтралитета: последний рубеж
🔓
Пакет Яровой ОРИ
🔓
Неимпортозамещаемый «пакет Яровой»

.

SAFE horisont

This entry was posted in Аналитика and tagged , , , , , , , , , , . Bookmark the permalink.
RuBlackList

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

ВКонтакте
facebook
Google+