Novaya Gazeta Europe (English)중도 성향
기타
«Новый правовой статус частной информации гражданина». Минцифры хочет обязать компании передавать властям не только сетевые данные абонентов, но и их ИНН, номера паспортов и банковские счета
В мае 2026 года стало известно об очередном приказе Минцифры об обновлении требований к СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий. — Прим. ред.), по которому операторы обязаны делиться с регуляторами новой информацией об абонентах. В прошлом году Роскомнадзор уже издал несколько других приказов, которые усиливают контроль за действиями пользователей и позволяют отслеживать использование VPN. «Новая газета Европа» изучила новый проект приказа и прежние распоряжения регуляторов, чтобы понять, действительно ли государство начало использовать другие механизмы цензуры. Фото: Игорь Иванько / AFP / Scanpix / LETA . «Крючкотворство властей» 22 мая сразу несколько изданий сообщили о том, что Минюст зарегистрировал приказ Минцифры от декабря прошлого года. Этот документ адресован не операторам, а крупным организациям, которые обладают уникальным идентификатором, или ASN, — техническим номером, который организация получает, если у нее есть своя крупная сеть, подключенная к интернету напрямую, а не через провайдера. К ним относятся крупные банки, маркетплейсы и другие организации с собственной сетевой инфраструктурой, в частности те из них, кто уже включен в реестр организаторов распространения информации (ОРИ). Документ описывает механизм для доступа силовых структур к информационным системам таких организаций. Он содержит полную схему данных, по которым можно делать запросы: паспортные данные и адреса, ИНН, банковские реквизиты (включая номер карты, БИК, корреспондентский счет), IP-адреса с масками подсетей и типом (IPv4/IPv6), данные об участниках сетевых соединений, доменные имена, логины, адреса электронной почты, номера телефонов, данные о юридических лицах и их представителях, геокоординаты. Эти данные собираются через СОРМ — системы оперативно-розыскных мероприятий. Обязанность устанавливать СОРМ для организаций с собственной сетевой инфраструктурой появилась в 2023 году — закон распространил ее на всех владельцев технологических сетей с ASN. Отдельно установки СОРМ ФСБ потребовала от крупных банков. До этого подобные данные через такие системы уже собирали операторы связи. Приказ также позволит госорганам анализировать пользовательский трафик. О такой возможности еще в 2024 году предупреждал глава Общества защиты интернета Михаил Климарев. Тогда он обратил внимание на проект документа, который обязал операторов передавать в Роскомнадзор IP-адреса оборудования, которое используется в их сети, — как собственного, так и пользовательского. Об изменениях трафика нужно было сообщать в течение одного дня: а если РКН делает запрос по конкретным адресам, то в течение часа. Эти требования вступили в силу только весной 2025 года, Роскомнадзор объяснил их необходимостью защиты от DDOS-атак. Операторов обязали отправлять структурированную запись, содержащую адрес IPv6, адрес IPv4, тип операции (начало сессии, окончание или продление), временную метку создания записи и идентификатор ТСПУ, через который проходит трафик. К маю 2026 года за непредоставление этих данных Роскомнадзор оштрафовал 85 операторов связи, а уведомления об обязанности передавать данные были направлены 1359 операторам, пишут «Известия». Первый штраф за нарушение составляет до 500 тысяч рублей, повторный — до 1 миллиона. Оператор также рискует получить претензию по статье 14.1 части 3 КоАП за нарушение условий лицензии — еще до 40 тысяч рублей. Фото: Шамиль Жуматов / Reuters / Scanpix / LETA. «Лишний инструмент для точечной борьбы с неугодными» Михаил Климарев, который в прошлом сам работал с телеком-инфраструктурой, отреагировал на статью «Известий», сказав, что он не верил, что РКН технически готов реализовать систему, о которой сам предупреждал еще с 2024 года. «Я опять недооценил способность этих людей делать гадости ближнему своему», — написал он. По мнению Климарева, эта система еще больше усилила контроль за действиями пользователей и в конечном счете поможет Роскомнадзору лучше определять и блокировать VPN. — Накапливается база — просто логи «кто куда ходил». Далее делается последовательная выборка для каждого абонента и смотрится, кто куда чаще всего обращался. Если у конкретного абонента основной трафик идет только по одному IP-адресу — какому-то адресу, где нет никаких публичных сервисов, — это сигнал. Куда можно так ходить 90% времени? Конечно, VPN. И далее адрес попадает в базу заблокированных, — объясняет он. Создатель инструмента для обхода блокировок B4 программист Даниэль скорее не согласен с Климаревым: „ — Пока не введут реальные белые списки — буквально как в Северной Корее, когда есть небольшой список серверов, на которые можно зайти, а всё остальное по дефолту заблокировано, — всегда будут способы обхода. Реализуют они это — люди найдут следующие способы. Выглядит это всё как истерика какая-то с их стороны. При этом оба специалиста не видят никаких дополнительных изменений, которые произойдут после вступления в силу приказа Минцифры. По словам Даниэля, силовые органы и так получали от организаций любую нужную им информацию. — Они этим крючкотворством хотят обязать по дефолту сливать все клиентские базы силовикам. То есть чтобы не по запросу, а по умолчанию, — говорит он. — Это не новые возможности для них, они у них и так были. Это новый правовой статус частной информации гражданина. То, что раньше делалось незаконно, но делалось, просто узаконивается и переводится в новый более масштабный формат. При этом он скептичен насчет идеи о массовом применении: — Мне не кажется, что это делается, чтобы прямо массово всё закрыть и задушить. Скорее лишний инструмент для точечной борьбы с неугодными. Вот «закон Яровой» существует уже лет десять, и все в повседневной жизни давно забыли про него. Но к нему прибегают, когда нужно закатать неугодных. Так же и тут, думаю, будет. Фото: Павел Бедняков / AP / Scanpix / LETA. «Возможность деанонимизации пользователя “на лету”» — Теперь перечень передаваемых данных детализируется вплоть до паспортов, адресов, логинов, доменов и геокоординат. Для пользователя это означает не столько новый вид слежки — она существует в СОРМ уже под 30 лет, сколько ускорение и упрощение связывания цифрового следа с реальной личностью, деньгами, устройствами и местоположением, — обращает внимание киберадвокат и сооснователь «Роскомсвободы» Саркис Дарбинян. По его словам, принципиально важно, что, согласно приказу, логи запрашиваются в режиме реального времени. „ — Это возможность деанонимизации пользователя «на лету». По существу, оперативник ФСБ видит какое-то сетевое событие или подозрительный трафик и сразу же может сопоставить его с абонентом и установить личность. Он также подтверждает, что система среди прочего позволит выявлять пользователей VPN. Даниэль указывает и на ограниченные возможности СОРМ: и операторы, и компании, по его мнению, физически не могут хранить всё содержимое трафика. — Достаточно того, откуда и куда заходил пользователь. Это всё, что они могут иметь сегодня в силу повсеместного применения шифрования. Представьте, что у вас есть пассажир, который едет с кучей барахла из Москвы в Питер. У вас есть возможность хранить только его билет РЖД — и вы без понятия, что там у него с багажом. — Мы упираемся в тему о технической способности к накоплению и анализу этих данных. Если ее нет, то будто бы не очень важно, сколько будет передаваться, — дураку всё фантики. А если есть, тогда, конечно, можно порассуждать об изменениях, — соглашается с Даниэлем координатор проектов eQualitie Леонид Юлдашев. По мнению Юлдашева, именно выяснение BigData-возможностей госорганов сейчас становится «задачей номер один по важности».