Вместо предисловия
В одной из моих любимых историй был такой эпизод «Продюсер сел писать ответ, но все время стирал первую строчку, потому что каждый раз начинал с вопроса: «Вы ох**ли?» Нельзя сразу начинать письмо так, потому что мы профессионалы». Примерно так я пытаюсь что-то квалифицированное сказать по поводу Положения о порядке предварительной идентификации пользователей интернет-ресурса, сетевого издания. Текст положения опубликован позже, хотя само Постановление Совмина №850 утверждено в пятницу. Видимо, очень хотели успеть до конца недели, спешили.
В чем основные проблемы документа? А вот в чем.
Идеальный тайминг
Положение об идентификации пользователей принято в развитие новых норм Закона о СМИ и утверждено постановлением Совета министров. Закон приняли еще летом, он вступает в силу 1 декабря 2018, то есть через пять дней. Чтобы написать три страницы текста сомнительного качества (об этом позже), чиновникам понадобилось несколько месяцев. А разработчики сайтов напишут и интегрируют системы идентификации на сайтах всего за пять дней. И пользовательское соглашение с юристами разработают. И дерево посадят. И вырастят сына.
Постановление, без которого мир был бы лучше
Что документ будет плохим, сомнений не было. Его и вовсе быть не должно, так как предварительная идентификация пользователей – это блажь и ностальгия по Советскому Союзу с регистрацией фотоаппаратов и печатных машинок в КГБ. Именно поэтому мы в Human Constanta не направили ни строчки предложений, когда разработчики выложили проект постановления для общественного обсуждения. Но кто же знал, что в итоге они смогут на трех страницах текста всё так запутать.
Как будет проходить идентификация
Смотрите, в положении используются два разных понятия: «идентификация пользователя» и «идентификация личности пользователя». Почему эта разница важна? Определение по тексту: «идентификация пользователя интернет-ресурса — совокупность мероприятий по установлению сведений о пользователе интернет-ресурса». Какие это сведения? Паспортные данные? ФИО? Адрес? Номер телефона? А может аккаунт в Фейсбуке или Вконтакте сойдет? Вообще-то все эти данные могут служить для идентификации. Но дальше по тексту у нас описана процедура, и она уже говорит об идентификации личности: «Владелец интернет-ресурса осуществляет активацию учетной записи пользователя путем отправки кода активации в СМС-сообщении на указанный при заполнении пользовательского соглашения номер мобильного телефона пользователя или с использованием иных идентификационных данных и технических средств, позволяющих идентифицировать личность пользователя». Интересно, какие иные средства идентификации имели в виду разработчики? И почему предпочтение отдается СМС?
Строго говоря, СМС-сообщение на абонентский номер не позволяет идентифицировать личность пользователя. Да, в Беларуси давно все симки продаются по паспортам. Но во-первых, проверить, что пользователь регистрирует аккаунт на свой номер, невозможно. А если номер иностранный, то и доступа к зарубежным пользовательским данным у властей нет. Можно предположить, что регистрация через СМС будет с высокой вероятностью идентифицировать личность пользователей с беларускими номерами, но не будет выполнять эту функцию для зарубежных симок. Единственный реальный результат от такой системы идентификации – это ограничение «один номер – один аккаунт», что может сильно осложнить жизнь ботам. Впрочем, уверен, что найдутся зарубежные сервисы, которые помогут обойти ограничение через одноразовые виртуальные абонентские номера.
О мусорных персональных данных
Согласно поправкам в Закон о СМИ владелец интернет-ресурса обязан: «при проведении предварительной идентификации пользователя собирать, обрабатывать, хранить и предоставлять […] персональные данные такого лица: фамилию, собственное имя, отчество (если имеется), пол, число, месяц, год рождения, место рождения, а также номер мобильного телефона и (или) адрес электронной почты». То есть сначала вы спрашиваете номер телефона, присылаете СМС для идентификации, а потом просите заполнить некую форму с этими данными.
Внимание, вопрос! Как владелец сайта проверит, что пользователь ввел настоящие данные? Да никак.
У владельца сайта нет никаких законных способов сверить эту информацию с базами данных операторов связи. И кому эти данные нужны? Ну правда, у органов, которые расследуют преступления и правонарушения, есть СОРМ, есть возможность запросить данные у оператора связи. От владельца сайта им нужен только IP-адрес комментатора. Бонусом появляется еще и абонентский номер, указанный при регистрации. Остальные данные, которые еще надо проверить на достоверность, этим ребятам точно не нужны. Так для кого тысячи сайтов будут собирать мусорные данные, т.е. данные, которые невозможно верифицировать? Ответа нет, но есть предположение. Нигде в законодательстве еще не было полномочий Министерства информации запрашивать какие-либо персональные данные пользователей. Ведь Мининформ не ведет ОРД и не расследует преступления.
А теперь владелец интернет-ресурса обязан предоставлять собранные сведения о пользователе по требованию всяких привычных органов и судов, а также... Министерства информации в порядке, установленном законодательством Республики Беларусь.
Про пользовательское соглашение еще одна шутка
Владелец может расторгнуть такое соглашение в одностороннем порядке, при этом пользователя надо уведомить смской. «Решение о расторжении в одностороннем порядке пользовательского соглашения владельцем интернет-ресурса может быть обжаловано пользователем в суд в месячный срок со дня получения такого уведомления». Внимательный читатель пользовательских соглашений уже заметил, что большинство из них имеет пункт, что владелец может расторгнуть ПС в одностороннем порядке по своему усмотрению и без объяснения причин. Так что обжаловать будем?
Ну, и по мелочам
Среди бесценной информации, которую собирает владелец сайта и хранит в течение действия пользовательского соглашения и год после его расторжения, фигурируют сведения «о сетевом (IР) адресе устройства пользователя, присвоенном при регистрации пользователя на интернет-ресурсе». Я далек от технической экспертизы, но из того, что мне известно, IP-адрес все же присваивается интернет-провайдером при подключении к сети. Более того, как правило эти адреса динамические и каждый раз при соединении с сетью пользователь получает новый адрес. Какой смысл отдельно хранить эту информацию?
Персональные данные легко собрать, сложно хранить и еще сложнее защищать. А это обязанность владельца сайта. Так что добро пожаловать к юристам за разработкой и внедрением в редакции режима коммерческой тайны и прочих NDA. А еще технические аудиты сайтов и средств защиты.
Вишенка на торте — хранить все эти данные необходимо на серверах, физически расположенных в Беларуси.
Домашнее задание
Во-первых, владельцы ресурсов обязаны заново перерегистрировать своих комментаторов, применив новые инструменты идентификации. Что делать с архивом комментариев – вопрос открытый.
Во-вторых, давайте вспомним, на какие интернет-ресурсы вообще распространяется Закон о СМИ и где географически заканчиваются полномочия регулятора. Точного ответа вам не даст никто, многое будет зависеть от того, в каком настроении правоприменитель. А теперь переведем взгляд от не такой уж большой группы сайтов, которые раньше было принято называть понятным словом СМИ и посмотрим в целом на сетевые медиа: платформы, маркетплейсы, соцсети и т.д. Ну что, представили, как там можно порезвиться с нашим законом?
Источник: Facebook Human Constanta