Публичный WiFi в России: пользователей просят показать лицо

31 июля премьер-министр России Дмитрий Медведев подписал постановление РФ №758 об идентификации пользователей при подключении к публичному беспроводному интернету (WiFi). Появившись на сайте правительства несколькими днями позднее, нововведение сразу заняло умы и личные страницы интернет-сообщества. После целого ряда запретительных и ограничительных мер в области коммуникаций, инициированных властью в последние месяцы, неудивительно, что каждое новое поползновение законодательно сузить поле свободного общения и доступа к информации вызвает бурную ответную реакцию. За гулом пользовательского возмущения, часто противоречивых экспертных комментариев и пояснений вдогонку от власть имущих, очевидно не ожидавших подобного общественного резонанса, по-прежнему скрывается главный вопрос: в чем суть и потенциальные последствия закона?

Основные положения

При подключении к общественной точке доступа в Интернет, пользователи обязаны проходить идентификацию. Так, каждый пользователь обязан: указать имя, фамилию, отчество, а также данные документа, удостоверяющего личность. Постановление также упоминает идентификацию конечного оборудования пользователя, которую должен осуществлять провайдер. Оператор, в свою очередь, обязан хранить все данные о пользователях в течение шести месяцев.

Поправки, внесенные в постановление, уточняют, что доступ к сети будет предоставляться через авторизацию пользователя при помощи его мобильного телефона, деталей кредитной карты (скорее всего, если доступ платный) или регистрации на сайте госуслуг. Доступ к сети в пунктах коллективного доступа (например, в отделениях «Почты России») будет предоставляться по паспорту.

Согласно постановлению и разъяснениям со стороны Минкомсвязи, идентификация пользователей должна производиться:

• когда доступ WiFi установлен оператором связи: оператор связи должен отправить пользователю запрос на получение данных по смс, учетной записью на Едином Портале Государственных услуг (ЕПГУ) или предложить специальную форму для указания данных;
• когда доступ предоставлен юридическим лицом или индивидуальным предпринимателем (ИП): владелец точки доступа обязывается предоставить своему оператору список лиц, которые используют доступ в Интернет, не реже одного раза в квартал. В списке необходимо предоставлять следующую информацию: полное имя, место жительства, данные документа, удостоверяющего личность.

Точки доступа, установленные частными лицами, не требуют никаких дополнительных обязательств по идентификации и сохранению персональных данных пользователей.

Поспешишь…

Принятый в спешке, что в случае ограничительных нововведений стало для Государственной Думы скорее нормой нежели исключением, закон о публичном доступе к WiFi вызвал массу уточняющих вопросов интернет-сообщества.

Термины

В первую очередь, остается неуточненным понятие «пункт коллективного доступа». Понятие не прописано ни в законе «О связи», ни в постановлении. Законодательного пояснения этого понятия не существует. Обычно под этим выражением подразумевается учреждение, предоставляющее гражданам доступ в интернет, созданное, как правило, в небольших населенных пунктах.

Идентификация личности

Неясно каким образом будет и должна ли проверяться достоверность информации, которую пользователи будут предоставлять при регистрации для получения доступа к интернету. Предварительная проверка достоверности данных при регистрации через заполнение формы не представляется практичным методом.

SMS

При регистрации телефонных номеров, операторы просят предъявить идентификационный документ (Паспорт), что упрощает потенциальную проверку информации, идентификацию пользователя и получение его личных данных при получения доступа к публичным сетям – ведь номер абонента закреплен за определенным идентификационным документом. Однако, и в этих случаях информация может оказаться недостоверной: номера, используемые при получении доступа, легко могут быть зарегистрированы под именами других людей.

Регистрационная форма

Каким образом проверка возможна при получении доступа через регистрационную форму и какие именно данные, кроме имени, места жительства и номера документа, должны будут в ней указываться также остается неясным. Очевидно, что в спешке продвижения данного постановления эти детали не были учтены. Неясно и то, какая именно регистрационная форма будет использоваться: электронная анкета, заполняемая при открытии браузера (такая форма часто используется в Европе) или же бумажная форма, при заполнении которой возможна проверка паспорта (однако, этот способ непрактичен в местах большого скопления людей — парках, метро и т.п.).

Директор по связям с госорганами «Рамблер и Ко» Матвей Алексеев также сомневается в применимости нововведений в публичных местах. Однако, он подчеркнул, что теоретически это возможно при создании специального интерфейса, который предложит пользователю Wi-Fi при подключении ввести необходимые данные. Эти данные должны будут отправляться лицензированному оператору персональных данных. Достоверность этих данных не может быть удостоверена.

К тому же, как быть с иностранными операторами? С пользователями, получающими доступ через международные SIM-карты? Если они получают доступ не через смс, а через регистрационную форму? Каким образом возможна проверка достоверности данных и будет ли она осуществляться вообще? Все эти вопросы пока так и остаются без ответа со стороны законодателей.

Единый портал государственных услуг

Следующая неясность связана с идентификацией пользователей через Единый Портал Государственных Услуг (ЕПГУ). ЕПГУ содержит довольно обширную персональную информацию о пользователях. Для стандартной регистрации на портале и для подтверждения учетной записи обязательно указывать СНИЛС (Страховой номер индивидуального лицевого счета, который указан в Страховом свидетельстве обязательного пенсионного страхования) и полные данные Паспорта гражданина Российской Федерации (или паспорта иностранного гражданина). Личность пользователя проходит две проверки: автоматическую проверку по указанным данным и проверку личности самим пользователем.

Проверка личности пользователем происходит тремя способами:

1. Пользователь может обратиться «лично», когда для подтвержения личности ему необходимо обратиться в один из центров продаж и обслуживания клиентов Ростелеком;
2. Получить код подтверждения по почте, который будет выслан заказным письмом;
3. С помощью электронной подписи или Универсальной Электронной Карты (УЭК).

Средство электронной подписи можно получить в аккредитованном удостоверяющем центре. Список центров публикуется на сайте Минкомсвязи России. УЭК можно получить в уполномоченных организациях субъектов РФ.

Анализируя персональную информацию, которая доступна через учетную запись на ЕПГУ, возникает целый ряд вопросов к авторам нового закона:

• Каким образом информация из ЕПГУ будет поступать к операторам связи?
• Насколько детальная информация из ЕПГУ будет использоваться для этих целей?
• Каким образом будет защищаться и контролироваться доступ к таким персональным данным?
• Что делать обладателям планшетных устройств «WiFi only» и без регистрации на ЕПГУ, ведь только меньшинство граждан РФ использует единый портал? Потребуется ли в таких случаях предъявлять паспорт?

Недоработанность и непродуманность нового регулирования ставит под сомнение его практическое применение и способность защитить личные данные пользователей от неправомерного использования как со стороны государственных структур, так и со стороны третьих лиц, ведь круг лиц, имеющих возможность получать доступ к персональным данным, становится все шире.

Негодование Рунета

Не успев вступить в силу, постановление вызвало волну пользовательского возмущения или, как минимум, недоумения. Ответная реакция чиновников лишь подтвердила поспешность нововведений. Спустя всего три недели после подписания, постановление было подвергнуто изменениям и Минкомсвязи пришлось публиковать комментарии и пояснения к документу и его применению в будущем.

Государственные лица принялись объяснять мотивацию, которая стояла за принятием подобного регулирования. Например, как объяснили в Минкомсвязи, данное постановление и изменения регулирования доступа к публичному интернету являются «нормальной международной практикой», обоснованы антитеррористическими мерами и служат дополнением к закону «Об информации, информационных технологиях и о защите информации».

Первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Вадим Деньгин заявил, что решение принято из соображений безопасности в условиях «информационной войны».

Многочисленные пользователи Twitter, Facebook и прочих социальных платформ не оценили государственного полета мысли, отзываясь о новых мерах как о «железном занавесе» и «тотальном контроле».

«К сожалению, все возможные комментарии и разъяснения, а также и постановления так и не внесли ясность. И, конечно же, не внесут и любые последующие. Которые непременно будут. Поэтому мой ответ крайне прост: необходимо взять и отменить Постановление от 31 июля 2014 г. N 758.» — Дмитрий Мариничев, интернет-омбудсмен.

Несмотря на заверения и объяснения официальных лиц, интернет-сообщество подвергло постановление жесткой критике. Пользователи не стеснялись проявлять ироничное и местами даже агрессивное отношение к новому регулированию.

Не остались в стороне и журналисты. Так, главный редактор «Эха Москвы» Алексей Венедиктов написал в своем Твиттере: «Уровень запретов каждый день — то эмбарго на продукты, то wi-fi в общественных местах. За неделю отпуска ожидаю 7 запретов».

Широкое поле для интерпретации

Неточности в терминологии оставляют широкое поле для интерпретации. Скажем, на данный момент нет четкого законодательного определения понятия «пункт коллективного доступа».

К тому же, правила общего применения закона и применения к платным точкам общественного доступа и точкам доступа в кафе и ресторанах остаются не до конца понятными. Применяется ли закон ко всем сетям, которые в принципе доступны или могут быть доступны в общественных местах?

На сегодня кафе и рестораны (юрлица или индивидуальные предприниматели) находятся в «серой зоне». Зачастую, имея лишь абонентский договор с оператором связи, они делятся с клиентами паролем к сети, которую сами же используют для повседневных нужд. Не являясь при этом поставщиком интернет услуг, такие лица могут не иметь возможности идентифицировать других пользователей, а предоставлять государству лишь списки своих работников, которые используют точку доступа регулярно. К тому же, предписание операторам, кафе и ресторанам идентифицировать всех, кто используюет их WiFi, влечет большие затраты времени и ресурсов.

Необходимо проработать и сами способы идентификации. Сейчас у операторов есть выбор между идентификацией по SMS, регистрационной форме или ЕПГУ. SMS-идентификация или идентификация через заполнение онлайн анкеты представляется единственным более или менее практичным вариантом, который может хоть немного ограничить возможность кражи персональных данных пользователей. Это, впрочем, не снимает опасения пользователей относительно наблюдения за ними.

Требование закона о предоставлении данных идентификационного документа также заставляет задуматься о защите персональных данных. В некоторых европейских странах (к примеру, в Англии, Германии и Франции) широко используется онлайн-форма для доступа к общественному интернету, однако в таких формах не указываются номера паспортов, а лишь полное имя и адрес электронной почты.

Идентификация через ЕПГУ тоже вызывает опасения о сохранности персональных данных, так как процесс не до конца проработан и может привести к серьезныем нарушениям конфиденциальности.

Законодатели не продумали, каким образом и какая информация будет поступать из ЕПГУ к операторам связи. Будут ли операторы нести ответственность за утечку таких данных? Каким образом они будут защищены от кражи третьими лицами или неправомерного использования самими сотрудниками операторов связи и государственных? Использование ЕПГУ в контексте закона о доступе к публичному WiFi должно быть разработано и прояснено – или вовсе отменено.

Законодатели не разграничивают, в каких именно случаях, в каких именно местах и каких именно пользователей необходимо идентифицировать. Вдобавок, четко не проработано строгое ограничение того, какие данные и в каких конкретных случаях будут предоставляться госструктурам. Под действие закона в его нынешем виде попадает настолько широкий спектр сетей, пользователей и информации для обработки и хранения, что это представляется непрактичным, сложновыполнимым и еще больше подрывает доверие как к самим законодателям, так и спецслужбам, которые смогут получать доступ к таким данным. Спектр действия закона необходимо сузить как из практических соображений, так и во избежание нарушения частной жизни.

В Европейском Союзе, например, проблемой защиты персональных данных и защиты частной жизни обеспокоились настолько, что регулирование, очень похожее на российский закон, было признано не имеющим юридической силы по решению Европейского суда. Российской политической культуре менее свойственно признание собственных недоработок или ошибок, поэтому надежды на фундаментальную переработку и тем более отмену постановления №758, откровенно говоря, немного. Надежда противников нововведения может быть связана скорее с тем, что, по знаменитому выражению Герцена, суровость российских законов компенсируется необязательностью их исполнения.

 

Верико Милькаманович