Технологии
Никита Лихачёв

Правительство России запретило анонимное использование месседжеров. Это будет работать? Есть много вопросов

Если следовать описанию процедуры идентификации, мало что вообще изменится.

Утром 6 ноября глава Роскомнадзора со страниц газеты «Известия» рассказал об инициативе ввести идентификацию пользователей мессенджеров. Через несколько часов после выхода материала глава правительства Дмитрий Медведев подписал эти изменения — согласно тексту документа, он вступит в силу 5 мая 2019 года.

Судя по словам Жарова и тексту постановления, новые правила идентификации направлены на деанонимизацию общения — глава Роскомнадзора называет анонимность в мессенджерах преградой для проведения расследований правоохранительными органами. Однако изменения звучат просто только в видении Жарова: на самом деле, они глубже, чем просто проверка личности, и эксперты сомневаются, что они будут работать так, как заявлено.

К новой процедуре есть много вопросов: на часть из них можно ответить самостоятельно, но некоторые, скорее всего, так и останутся без ответа.

Теперь общаться можно только под своим именем и фамилией?

На этот вопрос ответить довольно легко: очевидно, что настолько топорно деанонимизация работать не будет.

Допустим, человек с паспортом Ивана Пупкина и SIM-картой «ОперАтора», зарегистрированной на это имя, заходит в мессенджер ABC. При регистрации он указывает в мессенджере не своё имя, а имя своего любимого стендапера Данилы Поперечного.

По новым правилам, мессенджер должен идентифицировать пользователя при его регистрации — в противном случае пользоваться сервисом человек не сможет. По тексту «Известий», владельцы мессенджера должны как-то проверить, что пользователь мессенджера и владелец номера — это одно лицо: «Теперь администраторы мессенджеров будут проверять, действительно ли номер телефона пользователя зарегистрирован на него». Но на самом деле в тексте постановления такого требования нет: никто не придёт к Даниле Поперечному предъявлять за грехи Ивана Пупкина, и наоборот, Пупкину не запрещается подписываться чужим именем в мессенджере.

В реальности новые правила просто обязывают мессенджеры проходить идентификацию по номеру телефона: «В целях осуществления идентификации абонентский номер, выделенный пользователю сервиса обмена мгновенными сообщениями, предоставляется пользователем сервиса обмена мгновенными сообщениями организатору сервиса обмена мгновенными сообщениями». Переводя на русский, при авторизации пользователь должен сам ввести свой номер мобильного.

Новые правила не запрещают использовать мессенджеры под никнеймом или чужими именем и фамилией. Они скорее обязывают мессенджеры поддерживать актуальность привязанного к профилю номера телефона.

Тогда, получается, мессенджеры всё ещё можно будет использовать анонимно?

Скорее нет. Поскольку правила обязывают проходить идентификацию по номеру мобильного телефона, а SIM-карту в России можно купить только по паспорту, то у властей будет информация о том, кто именно пользуется аккаунтом в мессенджере.

Судя по тому, как именно устроены новые правила, для деанонимизации пользователя мессенджера властям достаточно будет сделать запрос ко всем операторам связи — теперь они обязаны хранить информацию обо всех идентификациях своих абонентов в мессенджерах. Учитывая, что операторы выдают правоохранительным органам паспортные данные абонентов по номеру телефона, скорее всего, они согласятся выдавать и информацию об аккаунтах в мессенджерах.

Реально важный вопрос в этом контекcте звучит так: какова будет ответственность операторов за отказ в предоставлении данных об аккаунтах в мессенджере? Александр Жаров утверждал, что за неисполнение правил будет предусмотрена административная ответственность, но пока не известно, какая. Если будут предусмотрены существенные штрафы, компании будут раскрывать такие данные.

Разве нельзя купить «левую» SIM-карту и пользоваться мессенджером с неё?

Власти делают вид, что держат ситуацию под контролем, и периодически ужесточают правила продажи SIM-карт. В последний раз это произошло 1 июня, когда Владимир Путин подписал закон, обязывающий корпоративных клиентов указывать всех сотрудников, которые будут пользоваться закупаемыми для компании SIM-картами. Более того, операторов обязали проверять, действительно ли SIM-картой пользуется тот самый сотрудник — для этого его можно заставить авторизоваться через «Госуслуги» (в них нельзя зарегистрироваться без паспорта) и даже явиться с паспортом в офис оператора.

На самом деле, «левую» (то есть зарегистрированную на другого человека, возможно, несуществующего) SIM-карту купить по-прежнему можно. Во-первых, чёрный рынок никто не отменял, и если даже ужесточить требования по предоставлению паспорта, желающие сохранить анонимность просто поднимут спрос на поддельные паспорта.

Во-вторых, в России не запрещено пользоваться зарубежными SIM-картами, и постановление не обязывает использовать для регистрации в мессенджерах только отечественные SIM-карты. Это значит, что для сохранения анонимности перед российскими властями может быть достаточно использовать зарубежную SIM-карту — например, на Украине их по-прежнему продают без паспорта (хотя с осени 2018 года в стране появилась добровольная регистрация абонентов).

Поэтому реальный вопрос здесь такой: разве зарубежные операторы будут исполнять требования российского законодательства? Непонятно, какие рычаги давления может задействовать Роскомнадзор, ведь иностранный оператор может даже не работать на территории России.

Получается, правила не обеспечивают полную деанонимизацию?

Есть и третий довод в пользу того, что постановление не будет гарантировать тотальную деанонимизацию. Всегда можно попросить оформить SIM-карту другого человека, который не подозревает, как именно она будет использоваться — например, бездомного за вознаграждение. Неведение, конечно, не освободит его от ответственности и может ему принести много проблем, но это заботы этого человека, а не пользователя, который его подставит.

Вместе с чёрным рынком SIM-карт и возможностью использования зарубежных операторов получается, что власти не смогут в 100% случаев знать, кто на самом деле пользуется аккаунтом в мессенджере. Те злоумышленники, которые озаботятся своей анонимностью, смогут избежать ответственности. Тогда выходит, что заявленное Жаровым «создание безопасной коммуникационной среды» не работает.

Вопрос, на который никто в правительстве не озвучит ответа: зачем тогда нужна идентификация пользователей, если она будет работать не со всеми?

Новые правила запретят подросткам использовать мессенджеры? Ведь SIM-карту нельзя купить без паспорта

Странный вывод, который непосредственно вытекает из предыдущего пункта — согласно духу постановления, мессенджером не смогут пользоваться подростки, ведь идентификация предполагает проверку, что мессенджером пользуется тот человек, который указан в паспорте. Но на самом деле это так не будет работать — для этого есть как минимум две причины.

Во-первых, постановление не обязывает проверять, что пользователь мессенджера — тот же самый, который указан в паспорте. Согласно описанной процедуре, проверяется только актуальность номера телефона — есть ли в базе оператора абонент с таким мобильным и активным договором. Достаточно, чтобы SIM-карта работала, на кого она будет зарегистрирована (маму, папу, брата, тётю) — неважно.

Во-вторых, подростки могут завести личную SIM-карту с 14 лет, когда у них появляется свой паспорт. Например, «Билайн» разрешает оформлять SIM-карту лицам до 18 лет, но в присутствии родителей, похожие требования у других операторов.

В конце концов, пользователи всё равно находят способ использования мессенджеров и соцсетей, несмотря на ограничения. Например, WhatsApp, Instagram, Facebook, YouTube, Gmail разрешают регистрацию с 13 лет (из-за GDPR в некоторых странах Европы WhatsApp повысили возраст до 16 лет), но сервисами пользуются и более юные пользователи.

Поэтому вопрос здесь такой: подростки, сидящие в телефоне с зарегистрированной на одного из родителей SIM-карты, будут нарушать закон? Если предположить, что массовой охоты на подростков не будет, значит, выходит, есть довольно массивная дыра в процедуре идентификации, с которой никто ничего не собирается делать.

Зачем такой короткий срок на реакцию — 20 минут?

Понятно, зачем отключать пользователя от мессенджера после уведомления о расторжении абонентом договора тоже хотят сделать оперативным (сутки после расторжения + 20 минут после отправки уведомления). Например, абонент мог потерять свою SIM-карту или перестать дружить с тем, для кого регистрировал «левую» SIM-карту — у него должна быть возможность закрыть доступ в мессенджеры тем людям, которые её таким образом используют, и обезопасить себя. До сих пор в мессенджерах было достаточно авторизоваться один раз, и после этого их можно было использовать сколь угодно долго. Теперь пользователя принудительно разлогинят в мессенджерах при расторжении договора с оператором, даже если он перешёл от одного к другому с сохранением номера.

А вот пресловутые 20 минут, которые отводятся на процедуру идентификации, вызывают больше всего вопросов. Разве может произойти ситуация, что Иван Пупкин успешно авторизовался в мессенджере через код из SMS, а оператор сообщил, что его нет в базе абонентов, и его через 20 минут отключили от мессенджера? А если может, то разве пользователь способен сделать что-то опасное за эти 20 минут? А если способен, то почему речь о 20 минутах, а не о мгновенной проверке?

Так что всё-таки изменится?

Главное — теперь надо помнить, что при авторизации в некоторых мессенджерах после 5 мая 2019 года информация об аккаунтах может передаваться операторам связи, а значит властям. Вместе с законом Яровой, обязывающим хранить и выдавать недавнюю переписку пользователя, власти будут не только знать, кому, когда и что писал пользователь, но и кто этот пользователь по паспорту. Конечно, если его паспорт (или SIM-карта) не поддельные.

В остальном, судя по всему, почти ничего не изменится. Как и раньше, мессенджеры будут авторизовывать пользователя по номеру телефона и проверять, что он ему принадлежит, по уникальному коду в SMS. Теперь в фоне будет проходить ещё и проверка, есть ли у оператора абонент с таким номером телефона. Учитывая ввод кода из SMS, эта проверка выглядит лишней — впрочем, пользователь её и не заметит.

Большинство мессенджеров уже и так используют верификацию пользователей по номеру телефона, так что им даже не придётся что-то менять в своей работе. Войти в Facebook Messenger или Instagram можно без номера телефона, а по аккаунту в Фейсбуке — но вот для него как раз номер телефона требуется.

Впрочем, некоторые мессенджеры до сих пор не запрашивают номер — например, Slack, Discord, Kik или Google Hangouts. Сможет ли Роскомнадзор заставить их подчиниться? Если не сможет, будет запрещать, как Telegram?

Ну и главный вопрос — какие мессенджеры будут выполнять это постановление? Пока что ситуация с законом Яровой демонстрирует, что некоторые мессенджеры не исполняют закон, и с ними в общем-то ничего не происходит.

#разборы #технологии #законы