В одной из моих любимых историй был такой эпизод «Продюсер сел писать ответ, но все время стирал первую строчку, потому что каждый раз начинал с вопроса: „Вы ох**ли?“ Нельзя сразу начинать письмо так, потому что мы профессионалы». Алексей Казлюк, юрист и эксперт Human Constanta в области персональных данных, написал про новый закон.
Примерно так я пытаюсь что-то квалифицированное сказать по поводу Положения о порядке предварительной идентификации пользователей интернет-ресурса, сетевого издания. Текст положения опубликован только сегодня, само Постановление Совмина № 850 утверждено в пятницу. Видимо, очень хотели успеть до конца недели, спешили.
В чем основные проблемы документа? А вот в чем:
Идеальный тайминг
Положение об идентификации пользователей принято в развитие новых норм Закона о СМИ и утверждено постановлением Совета министров. Закон приняли еще летом, он вступает в силу 1 декабря 2018,
Постановление, без которого мир был бы лучше
Что документ будет плохим, сомнений не было. Его и вовсе быть не должно, т.к. предварительная идентификация пользователей — это блажь и ностальгия по советскому союзу с регистрацией фотоаппаратов и печатных машинок в КГБ. Именно поэтому мы в Human Constanta не направили ни строчки предложений, когда разработчики выложили проект постановления для общественного обсуждения. Но кто же знал, что в итоге они смогут на трех страницах текста все так запутать.
Как будет проходить идентификация?
Смотрите, в положении используются два разных понятия: «идентификация пользователя» и «идентификация личности пользователя». Почему эта разница важна? Определение по тексту: «идентификация пользователя интернет-ресурса — совокупность мероприятий по установлению сведений о пользователе интернет-ресурса». Какие это сведения? Паспортные данные? ФИО? Адрес? Номер телефона? А может аккаунт в Фейсбуке или Вконтакте сойдет? Вообще-то все эти данные могут служить для идентификации. Но дальше по тексту у нас уже описана процедура, и она уже говорит об идентификации личности: «Владелец интернет-ресурса осуществляет активацию учетной записи пользователя путем отправки кода активации в СМС-сообщении на указанный при заполнении пользовательского соглашения номер мобильного телефона пользователя или с использованием иных идентификационных данных и технических средств, позволяющих идентифицировать личность пользователя». Интересно, какие иные средства идентификации имели в виду разработчики? И почему предпочтение отдается СМС?
Строго говоря, СМС-сообщение на абонентский номер не позволяет идентифицировать личность пользователя. Да, в Беларуси давно все симки продаются по паспортам. Но во-первых, проверить, что пользователь регистрирует аккаунт на свой номер, невозможно. А если номер иностранный, то и доступа к зарубежным пользовательским данным у властей нет. Можно предположить, что регистрация через СМС будет с высокой вероятностью идентифицировать личность пользователей с беларусскими номерами, но не будет выполнять эту функцию для зарубежных симок. Единственный реальный результат от такой системы идентификации — это ограничение «один номер — один аккаунт», что может сильно осложнить жизнь ботам. Впрочем, уверен, что найдутся зарубежные сервисы, которые помогут обойти ограничение через одноразовые виртуальные абонентские номера.
О мусорных персональных данных
Согласно поправкам в Закон о СМИ владелец интернет-ресурса обязан: «при проведении предварительной идентификации пользователя собирать, обрабатывать, хранить и предоставлять […] персональные данные такого лица: фамилию, собственное имя, отчество (если имеется), пол, число, месяц, год рождения, место рождения, а также номер мобильного телефона и (или) адрес электронной почты».
Бонусом появляется еще и абонентский номер, указанный при регистрации. Остальные данные, которые еще надо проверить на достоверность, этим ребятам точно не нужны. Так для кого тысячи сайтов будут собирать мусорные данные,
А теперь владелец интернет-ресурса обязан предоставлять собранные сведения о пользователе по требованию всяких привычных органов и судов, а также… Министерства информации в порядке, установленном законодательством Республики Беларусь.
Про пользовательское соглашение еще одна шутка
Владелец может расторгнуть такое соглашение в одностороннем порядке, при этом пользователя надо уведомить смской. «Решение о расторжении в одностороннем порядке пользовательского соглашения владельцем интернет-ресурса может быть обжаловано пользователем в суд в месячный срок со дня получения такого уведомления». Внимательный читатель пользовательских соглашений уже заметил, что большинство из них имеет пункт, что владелец может расторгнуть ПС в одностороннем порядке по своему усмотрению и без объяснения причин.Так что обжаловать будем?
Ну, и по мелочам
Среди бесценной информации, которую собирает владелец сайта и хранит в течение действия пользовательского соглашения и год после его расторжения, фигурируют сведения «о сетевом (IР) адресе устройства пользователя, присвоенном при регистрации пользователя на интернет-ресурсе». Я далек от технической экспертизы, но из того, что мне известно, IP-адрес все же присваивается интернет-провайдером при подключении к сети. Более того, как правило эти адреса динамические и каждый раз при соединении с сетью пользователь получает новый адрес. Какой смысл отдельно хранить эту информацию?
Персональные данные легко собрать, сложно хранить и еще сложнее защищать. А это обязанность владельца сайта. Так что добро пожаловать к юристам за разработкой и внедрением в редакции режима коммерческой тайны и прочих NDA. А еще технические аудиты сайтов и средств защиты.
Вишенка на торте — хранить все эти данные необходимо на серверах, физически расположенных в Беларуси.
Домашнее задание
Во-первых, владельцы ресурсов обязаны заново перерегистрировать своих комментаторов, применив новые инструменты идентификации. Что делать с архивом комментариев — вопрос открытый.
Во-вторых, давайте вспомним, на какие интернет-ресурсы вообще распространяется Закон о СМИ и где географически заканчиваются полномочия регулятора. Точного ответа вам не даст никто, многое будет зависеть от того, в каком настроении правоприменитель. А теперь переведем взгляд от не такой уж большой группы сайтов, которые раньше было принято называть понятным словом СМИ и посмотрим в целом на сетевые медиа: платформы, маркетплейсы, соцсети