В декабре и январе по России прокатилась новая волна телефонного терроризма. ФСБ выяснила, что ложные сообщения о минировании рассылали через швейцарский почтовый сервис Protonmail. Российские власти могли бы отправить в Protonmail запрос о выдаче личных данных аккаунтов, с которых отправляли письма, но вместо этого просто заблокировали сервис. Рассказываем, что с этим не так и кто и когда может выдать ваши личные данные правоохранительным органам.
Что значит «выдать личные данные»?
Это значит — предоставить следственным органам ваши имя, фамилию, номер телефона, адрес, почту и все, что вы указываете при регистрации в соцсетях и сервисах. В обычных случаях эту информацию нельзя никому передавать без вашего согласия. Но иногда за ней приходят следователи.
И что им выдадут?
Как минимум, ваши персональные данные.
Конкретного перечня, в котором было бы перечислено все, что относится к персональным данным, нет. Считается, что это любая информация, которая позволяет идентифицировать человека. Из решений судов видно, что СНИЛС и ИНН они конфиденциальными не признают, а вот комбинацию из фамилии, адреса и, к примеру, суммы задолженности по коммунальным платежам — вполне.
Если вы пользуетесь российскими сервисами, учтите, что по закону они обязаны хранить ваши персональные данные на территории России, а при запросе следственных органов — выдать их.
Создатель паблика «Омбудсмен полиции» Владимир Воронцов узнал из материалов своего административного дела, что «Вконтакте» выдал по запросу Белгородского МВД его почту, телефон, IP-адреса, логины и время последнего посещения сети.
Так же узнали об этом и четверо сторонников Навального в Казани. Их персональные данные ВКонтакте выдал Центру Э. Активисты подали иск к соцсети, но суд им отказал.
Иностранные сервисы — например, фейсбук и твиттер — не соглашаются хранить персональные данные россиян на территории РФ и получают за это штрафы. Пока — 3000 рублей, но недавно Роскомнадзор возбудил административное дело, по которому им теперь грозит штраф от 1 до 6 миллионов рублей.
Мои сообщения тоже выдадут?
Если вы пользуетесь российским сервисом, то скорее всего, да.
Все сервисы, которые позволяют обмениваться электронными сообщениями, должны включиться в реестр организаторов распространения информации (ОРИ). Они обязаны:
— хранить информацию о фактах передачи сообщений до 1 года;
— хранить сами сообщения до полугода;
— выдавать их «органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности РФ».
Обязанности ОРИ распространяются даже на те сервисы, которые в реестр не включены. Главный критерий — обмен сообщениями, при этом условии сервис считается организатором распространения информации.
Получить переписку, которая сама по себе не относится к персональным данным, можно только по решению суда. В таком случае у сервиса есть 30 дней на исполнение этого решения. Но российские сервисы — особенно «Вконтакте» — часто спешат выдать сообщения немедленно.
Осенью 2018 года «Вконтакте» выдал оперативникам переписку петербуржца, которого обвиняли в экстремизме. Яндекс однажды отказался выдать сообщения пользователя. За это его в 2016 году привлекли к ответственности. Компания смогла через суд отменить штраф за невыдачу данных. Но в декабре 2017 года тот же Яндекс выдал силовикам переписку другого пользователя за семь лет — вместо разрешенных судом двух.
Иностранные сервисы ни персональные данные, ни переписку выдавать не обязаны. Российские органы власти могут направить им запрос, если у них есть основание (например, решение суда), но отвечать на этот запрос сервис не должен.
В случае с Protonmail не было даже запроса. Представители сервиса (базируется в Швейцарии) заявили, что готовы сотрудничать, поскольку понимают, что терроризм — это угроза, но ни к ним, ни к швейцарской полиции никто из России не обращался. Вместо этого Роскомнадзор просто заблокировал весь сервис целиком.
А что, так могут заблокировать любой сервис?
Формально — да. Основанием блокировки Protonmail Роскомнадзор назвал требование генпрокуратуры, пояснив, что сервис несколько раз отказался предоставить сведения для включения в реестр ОРИ.
Но блокировать ресурсы можно даже без решения суда, если они содержат:
— призывы к массовым беспорядкам;
— призывы к участию в массовых мероприятиях, проводимых с нарушением установленного порядка;
— призывы к экстремизму;
— материалы организаций, нежелательных на территории РФ;
— недостоверную информацию («фейк ньюс»).
А как я узнаю, что мои данные кто-то запрашивал?
Зарубежные сервисы — Google, Facebook, Twitter и другие — регулярно публикуют transparency reports (отчеты о прозрачности), в которых можно увидеть, сколько запросов на выдачу персональных данных они получили от властей и сколько удовлетворили.
В России такой практики нет. Осенью 2018 года, после всплеска дел об экстремизме и оскорблении чувств верующих и критики по этому поводу, «Вконтакте» пообещал опубликовать отчет о работе с госорганами. В одном из разделов отчета соцсеть разъяснила политику своей работы со следствием, но никаких цифр так и не привела.
Источник: Команда 29
