Верить ли Дурову: как IT-отрасли реагировать на скандал вокруг Telegram
Все уже наверняка устали от новостей вокруг темы «Telegram и Дуров против Роскомнадзора и спецслужб», но давайте попробуем понять последствия этой истории и то, как на нее должна реагировать российская интернет-индустрия.
Условия игры
Начнем с предыстории, без этого никак. Откуда вообще взялся пресловутый реестр организаторов распространения информации (ОРИ), куда Роскомнадзор так стремился внести Telegram? Он появился на свет в связи с вступлением в силу 1 августа 2014 года закона № 97-ФЗ, получившего неформальное название «закон о блогерах». Во всех дискуссиях речь шла о том, какие обязанности СМИ будут возложены на блогеров, как Роскомнадзор будет собирать о них информацию и насколько жестко контролировать публикации на блог-платформах и в соцсетях, занося их в новый реестр.
Было очень странно наблюдать, как от всеобщего внимания уходит намного более важная норма, касающаяся создания реестра ОРИ. Статья про обязанности ОРИ шла в законе первой, но ее почти никто в упор не замечал. А там есть многое, что было бы неплохо знать всем: владельцы ресурсов, которые используются для приема, передачи, доставки и (или) обработки электронных сообщений, после принятия закона стали многим обязаны российскому государству. Во-первых, уведомить Роскомнадзор о начале своей деятельности. Во-вторых, собирать и полгода хранить на территории РФ все метаданные своих пользователей. В-третьих, предоставлять всю эту информацию ФСБ.
Тем, кто отказывается выполнять эти требования, грозят различные санкции: начиная от блокировки ресурсов сервиса в России (веб-сайт, технические домены и IP-адреса), заканчивая административной ответственностью — штрафами до 500 тыс. руб. К слову, для многих небольших компаний это довольно внушительная сумма.
Игра
Самое смешное, что каждый сервис, который имеет признаки ОРИ, должен сам, под угрозой штрафа, регистрироваться в Роскомнадзоре, а не Роскомнадзор, как получилось с Telegram, должен «бегать» с уговорами и угрозами за владельцами сервисов.
С осени 2014 года в реестр ОРИ стали вноситься сначала крупные, а потом уже и не очень, но исключительно российские сервисы. Первым открыл реестр «Яндекс» («Яндекс.Диск» и «Яндекс.Почта»). Затем в данный реестр последовали Mail.Ru (в т.ч. «Одноклассники»), «ВКонтакте», «Рамблер». В реестр стали помещать и совсем экзотические порталы, вплоть до «Республиканского Сыктывкарского психоневрологического интерната» или портала BabyBlog. Какую именно информацию захотела получать там ФСБ, остается загадкой, но не сомневаюсь, что все это происходит для защиты государственной безопасности и спокойствия граждан.
Однако в марте 2017 года Роскомнадзор неожиданно внес в реестр первое иностранное юридическое лицо — мессенджер Threema родом из Швейцарии. Что, конечно же, многих удивило: неужели сервис, гарантирующий конфиденциальность и серьезную степень шифрования сообщений пользователей, согласился делиться информацией с российскими спецслужбами? Но, если верить словам владельцев мессенджера, для них самих это стало сюрпризом. Да, они передали Роскомнадзору свои контактные данные, но подписываться под слежкой за своими клиентами в пользу ФСБ не были готовы.
Похожая ситуация сейчас произошла и с Telegram: Павел Дуров указал, где Роскомнадзор может взять контактные данные, но отказался собирать и передавать какую-либо информацию российским спецслужбам, подтвердив, что его компания продолжает следовать принципу «ни байта личных данных третьим лицам», вне зависимости от страны нахождения пользователей.
Нарушение правил
Вот тут возникает пикантный момент: с одной стороны, мы можем верить на слово и швейцарским разработчикам Threema, и Павлу Дурову с его Telegram, и любому другому сервису, который вносится в реестр ОРИ, что «невиноватые мы, они сами пришли!». По крайней мере пока нет опровергающих их слова расследований. Но как это проверить обществу? Мы все видим, что тот или иной ресурс вносится в реестр, обязывающий следить за пользователями (в полной мере слежка начнется с 1 июля 2018 года, когда вступят в силу пункты «закона Яровой» в отношении интернета, операторов связи и сетевых сервисов), при этом ресурсы не блокируются, никаких санкций к ним не применяется. Это спецслужбы готовят задел на будущее? Или кто-то сотрудничает, а кто-то не очень? Если в одном случае владельцы открыто заявляют, что не будут следовать указаниям Роскомнадзора и ФСБ по сбору пользовательских данных, то почему тогда другим сервисам не перестать сотрудничать?
Мне кажется, такой вопрос должен возникнуть у того же «Яндекса». Тем более что эта компания всегда выступает против новых жестких норм по интернет-регулированию, но при этом очевидно, что всегда обязана подчиняться требованиям надзорных органов и регуляторов.
Аналогичный вопрос может возникнуть и у владельцев заблокированных в России мессенджеров Line, BBM и Zello: понятно, что они также могут предоставить свои контактные данные для приема запросов от российских компетентных органов со снятием с себя всех обязательств по их строгому исполнению. Почему тогда они заблокированы, а другие нет? Просто потому что не ткнули надзорные органы в свои контактные данные, как это сделал Павел Дуров?
Нет, я, конечно, не призываю блокировать Telegram! Хотя сама по себе эта блокировка будет, как и все предыдущие, неэффективна. Разработчики мессенджера уже внедрили устойчивые к возможной блокировке «фичи» в своем последнем обновлении, которые носят характерное название «Free speech». Я просто обращаю внимание, что законы, которые регулируют в России то или иное взаимодействие в интернет-пространстве, являются технически безграмотными. Это признают представители IT-отрасли, неустанно публикующие замечания к новым законопроектам, которые в большинстве своем отвергаются законодателями. Законы в итоге принимаются в крайне ущербном и для интернет-индустрии и для гражданского общества виде. Такие законы могут функционировать только в ручном режиме: «к этому придем, к этому не придем, этого заставим, этого пока помилуем, а вот этого накажем».
Я считаю, что одним из возможных асимметричных ответов такому ручному правоприменению может быть начало публикаций так называемых Transparency Reports. Это надо делать каждой технологической компании, вне зависимости от ее величины и статуса. Подобные отчеты уже стали стандартом в западных интернет-компаниях: данные о запросах со стороны правительств разных стран по раскрытию или блокировке той или иной информации пользователей публикуют и такие гиганты, как Google, Twitter, Facebook и сотни других компаний. Это увеличивает доверие пользователей, которые могут проследить, как, когда и от кого поступают запросы, как они удовлетворяются и удовлетворяются ли вообще. Периодически публикуются и примеры таких запросов. Можно оценить не только количественную составляющую, но и качественную. Конечно, мы никогда не узнаем полной информации по государственным запросам, во многих странах это просто запрещено разглашать. И все же отчеты позволяют судить, насколько внимательно компания относится к пользовательским данным, и в какой-то степени препятствуют желанию правительств разных стран давить на сетевые сервисы и их пользователей. Российские компании игнорируют этот мировой опыт — и очень зря.
Ну и, конечно же, отечественной интернет-отрасли надо попытаться перестать быть мальчиками для законодательного битья и переходить от публикаций замечаний и периодических критических заметок на своих порталах к более серьезному лоббированию интересов и индустрии, и своих пользователей, и в целом развития IT в России. Никто не говорит, что будет легко, но, мне кажется, ресурсы для этого есть, не хватает отраслевой воли. Интернет-компаниям важно понять, что пользователи в большинстве своем находятся на вашей стороне — на стороне технологического развития и свободных коммуникаций.