Роскомнадзор обязал «Пикабу» и «ЯПлакалъ» хранить личные переписки пользователей и передавать их по запросу спецслужбам Статьи редакции
При этом у «Пикабу» нет своего мессенджера.
30 октября 2020 года в реестре организаторов распространения информации (ОРИ), который ведёт Роскомнадзор, появились российские сайты с пользовательскими материалами «Пикабу» и «ЯПлакалъ», заметила «Роскомсвобода».
Согласно законодательству, участники реестра должны хранить данные и сообщения пользователей а также передавать информацию по запросу спецслужб. Всего в реестре находится 263 сайта.
«Пикабу» создан в 2009 году. В апреле сообщество опубликовало отчёт о прозрачности, в котором рассказало о взаимодействии с госорганами. В частности, данные передаются МВД только при официальных запросах на бумаге или электронном варианте с цифровой подписью, указывает «Роскомсвобода».
Развлекательное сообщество «ЯПлакалъ» основано в 2004 году. На его сайте сказано, что администрация может передать данные пользователей третьим лицам, если это «предусмотрено российским или иным применимым законодательством в рамках установленной законодательством процедуры».
Господа, приветствую! Я - руководитель службы поддержки пользователей, а также отвечаю за всё взаимодействие администрации Пикабу с государственными органами, и я хотел бы дать комментарий по теме поста.
Наши пользователи уже обратили внимание на факт включения Пикабу в реестр ОРИ, и мы уже давали им ответ - https://pikabu.ru/story/roskomnadzor_vnyos_pikabu_i_yaplakal_v_reestrorganizatorov_rasprostraneniya_informatsii_7809841?cid=183800495. Продублирую его и сюда.
Да, нас действительно решили напугать под самый Хэллоуин и прислали письмо счастья, в котором РКН обязал нас зарегистрироваться в качестве организации-распространителя информации. Если кто не знает, происходит это в довольно забавном добровольно-принудительном порядке. От уполномоченного органа поступает уведомление о том, что мы должны подать заявление о регистрации в качестве ОРИ. То есть мы это делаем как бы сами, и как бы добровольно, но отказаться или как-то на это предложение повлиять - по закону просто нельзя, это грозит нарушением работоспособности сайта, как вы уже, наверное, догадались.
Поэтому последние несколько дней мы на пару с нашим юристом активно курим законодательство, чем оно нам грозит, к чему обязывает и что нам теперь делать.В общем и целом, у нас уже сложилось понимание, что именно от нас требует закон, но пропало понимание, зачем это было сделано.
Если вкратце, закон обязывает нас хранить все сообщения оставленные пользователями, в течение полугода для текста и картинок, год для видео и голосовых сообщений. Однако специфика Пикабу заключается в том, что всё, что у нас есть - это как раз сообщения и картинки, иногда видео в постах. И более того - это всё находится в открытом доступе, они не удаляются и с этой стороны для нас не меняется ровным счетом ничего. На Пикабу никогда не было лички или своего мессенджера (и теперь уже 100% никогда не будет), и нет каких-то конфиденциальных переписок, которые закон заставлял бы нас сохранять, и этому я рад.
Отдельный вопрос возник по поводу взаимодействия с органами. Пикабу ещё в прошлом году был зарегистрирован как оператор персональных данных, и потому к нам предъявлялись особенно высокие требования к хранению и обработке данных пользователей. Я уже писал об этом ранее - https://pikabu.ru/story/otchet_o_prozrachnosti_nsfwsoobshchestva_i_klubnichka_7375957. Вкратце - мы обязаны предоставлять органам данные только в тех случаях, когда выполнены все условия - запрос надлежащим образом заполнен, пришел по официальным каналам связи, выполняет требования законодательства и мотивирован. В ходе изучения законодательства мы пришли к выводу, что ФЗ-152 продолжает действовать в нашем отношении и сейчас - то есть никаких выдач данных по звонку, просьбе, почтовому голубю или даже личному визиту.
Да, есть ещё некоторые моменты, которые мы хотим уточнить - в частности, закон ни разу не разъясняет некоторые понятия, что наши законодатели считают авторизацией, что такое информация, "автоматически передаваемая в ходе регистрации коммуникационному интернет-сервису" и прочее. Но это, скажем так, мелкие детали и особенности отечественного канцелярита.
Но мы тем не менее до сих пор сами недоумеваем, почему нас внесли в реестр. Поскольку у нас нет скрытых зашифрованных каналов, личных сообщений, всё находится в открытом доступе, и при всем этом закон никак не облегчает государственным органам получение информации от нас, принципиально непонятно, что это, как не работа ради работы. Ну разве что лички точно уже не будет.
"при всем этом закон никак не облегчает государственным органам получение информации от нас"
Через некоторое время вам придет требование от ФСБ. Вы должны будете установить у себя их оборудование. При этом вы никому не имеете права рассказать об этом факте. Совет - заранее подготовьтесь и держите для этого дела отдельно копию базы сообщений, если не хотите их пустить на основные сервера.
Вполне возможно, что они хостятся в каком-нибудь хостинг центре, так что СОРМ уже давно там.
СОРМ это всё-таки система скорее про идентификацию и трафика абонентов провайдера (где там у кого NAT-сессия, кто куда ходил), а не про хостинг.
Их оборудование стоит во всех дата центрах всех хостеров.
Это не противоречит тому что я сказал. У оператора в нашем ДЦ 400Гбит аплинков, все 400Гбит пишутся и анализируются в реальном времени с расшифровкой TLS? Нет, поэтому от того что у оператора стоит СОРМ, они не могут читать переписку пользователей, которая хоть как-то шифруется (в современном мире это > 90% сервисов). Следовательно в данном случае СОРМ не имеет вообще никакого отношения к обсуждаемой теме. Как раз чтобы закрыть эту тему, всё это с ОРИ и придумали, чтобы операторы сами сливали эту инфу (потому что даже если научиться писать 400Гбит трафика в секунду, то если он шифрованный с [perfect] forward secrecy, то это будет 400Гбит мусора в секунду).