Речь идет о сервисах для бронирования и покупки билетов на мероприятия «Яндекс Афиша», операторе фискальных данных «Яндекс ОФД» и «Яндекс Здоровье». Всем этим сервисам придется предоставлять пользовательские данные и информацию о любой другой активности клиентов российским спецслужбам. Всего сервисов «Яндекса», которые были включены в ОРИ, уже больше 20 — туда входит в том числе почта, календарь, сервисы заказа еды и такси.
Что такое ОРИ?
Организаторы распространения информации (ОРИ) — это любые сайты, форумы, файлообменники, почты, мессенджеры и прочие цифровые сервисы, в которых пользователи могут передавать друг другу информацию. В 2016 году правительство утвердило «антитеррористический» пакет законопроектов — его неофициально назвали «пакет Яровой». По нему, попавшие в реестр ОРИ сервисы должны собирать, хранить и предоставлять российским спецслужбам все сведения о действиях пользователей и их взаимодействии друг с другом, а также с интернет-площадкой, включая внутреннюю переписку и геолокации. Со временем российские власти стали включать в этот реестр и иностранные сервисы.
За весь период действия «пакета Яровой» в список было включено больше 400 организаций, но позже часть убрали из реестра. Так, на сегодня в список ОРИ в России входит 348 компаний. При этом 24 из них составляют сервисы «Яндекса», «ВКонтакте», Mаil.ru Group, Rambler, мессенджеры Telegram, WeChat, Snap, Viber, а также сайты знакомств «Баду» и «Мамба». Помимо этого, в реестр ОРИ включен сайт Республиканского сыктывкарского психоневрологического интерната.
Как запрашивают и передают данные?
Если интернет-ресурс внесен в реестр ОРИ, он обязан выполнять правила, иначе его владелец будет привлечен к административной ответственности, говорит адвокат Максим Оленичев. По этой причине все такие российские ресурсы фиксируют, хранят и передают по запросу правоохранительных органов имеющуюся у них информацию о пользователях.
Поступают ли так же иностранные сервисы, наверняка не известно, добавляет руководитель «Роскомсвободы» Артем Козлюк. «Этого мы сказать не можем. Но российские сервисы однозначно это делают», — уточняет эксперт. Он продолжает:
Так, если ресурс не подастся в реестр, ему грозит штраф: для граждан от одной до трех тысяч рублей, для должностных лиц от 10 до 30 тысяч рублей, для юридических — от 100 до 300 тысяч рублей. Если и после этого ресурс «не идет» в реестр, Роскомнадзор (РКН) может оштрафовать его повторно либо подать судебный иск о блокировке сайта.
Как именно силовики запрашивают данные, тоже до конца не известно. «По идее, должно быть судебное предписание, следственные действия, которые дают соответствующие основания правоохранительным органам, в том числе спецслужбам, запрашивать такую информацию у российских площадок. Как они по факту это делают — вопрос открытый. Были случаи, когда сами площадки — например, “ВКонтакте” — просто по звонку пересылали личные данные людей, которыми интересовалась ФСБ», — рассказывает Козлюк.
Так, в мае 2023 года в Красноярске силовики задержали 20-летнего студента Сибирского федерального университета, который переписывался с подругой во «ВКонтакте» и якобы в этой переписке оправдывал насилие с применением огнестрельного оружия. Что именно было в сообщениях и как сотрудники ФСБ о них узнали, не уточнялось.
Похожая история произошла в 2022 году, когда переехавшая в Украину россиянка предложила молодому человеку из Тюмени временное жилье в Харькове и контакты для связи с «людьми, которые помогут вступить ему в ряды украинских добровольцев».
Каким-то образом переписка попала в руки силовиков, и в отношении женщины возбудили уголовное дело о создании незаконного вооруженного формирования. Тогда эксперты предположили, что либо Telegram начал сотрудничать с ФСБ, либо кого-то из этой пары заставили разблокировать телефон и прочитали переписку. По третьей версии, молодой человек был подставным агентом. Адвокат Оленичев объясняет:
«Это приводит авторов таких переписок в соцсетях к привлечению к ответственности, если сотрудники правоохранительных органов посчитают размещенный контент противоправным, — экстремизм, участие в деятельности нежелательной организации и прочее», — объясняет адвокат Оленичев.
Глава «Роскомсвободы» считает, что каждая площадка самостоятельно решает, насколько она готова защищать данные пользователей и как организовывать взаимодействие со спецслужбами.
В 2017 году Мировой суд Мещанского района Москвы оштрафовал Telegram на 800 тысяч рублей по иску ФСБ за то, что руководство мессенджера отказалось передавать силовикам «ключи шифрования». После этого сотрудники Роскомнадзора несколько раз пытались заблокировать мессенджер, но это привело только к увеличению количества пользователей. Тогда РКН снял ограничения доступа к Telegram в России.
Позиция «Яндекса»
Раньше представители «Яндекса» заявляли о том, что находиться в реестре ОРИ их обязывает российский закон, так как пользователи имеют возможность общаться на площадках, вести внутренние переписки, оставлять открытые отзывы и комментарии. В июне 2019 года пресс-служба «Яндекса» опубликовала заявление о том, что компания выступает за соблюдение закона, но против нарушения приватности данных.
«Цель закона — соблюдение интересов безопасности, и мы полностью разделяем важность этой цели. При этом исполнение закона возможно без нарушения приватности данных пользователей. Мы считаем важным соблюдать баланс между безопасностью и приватностью пользователей, а также учитывать принципы равноприменимости регулирования для всех участников рынка», — говорилось в сообщении.
Как именно передаются данные пользователей, «Яндекс» не раскрывает, говорит Козлюк. «Любой компании, мне кажется, невыгодно рассказывать своим пользователям, как они сливают данные российским спецслужбам», — объясняет он.
На момент публикации на запрос «Таких дел» представитель «Яндекса» не ответил.
Чем опасна утечка данных?
«Утечка данных опасна во многих аспектах, ведь это личная информация, которой могут воспользоваться мошенники для социальной инженерии и фишинга, а также сталкинга, буллинга и шантажа», — говорит Козлюк.
На чужой паспорт можно оформить микрозаем (или даже несколько), зарегистрировать фирму-однодневку, оформить рассрочку или сим-карту.
Медицинской информацией — диагнозами, результатами анализов и переписками с врачами — могут заинтересоваться недоброжелатели или мошенники. В их власти будет просто разместить эти данные в сети или отправить знакомым, чтобы подпортить репутацию и нервы. Эксперт добавляет:
Кроме этого, мошенники, завладевшие данными банковской карты, могут получать и отправлять переводы, оплачивать покупки, открывать вклады и делать все то же, что и ее законный владелец.
Как защитить свои данные?
Единственный способ обезопасить себя от утечки персональных данных — не использовать сервисы, внесенные в реестр ОРИ, говорит адвокат Оленичев.
Если человек пользуется каким-то сервисом из реестра, он должен отдавать себе отчет в том, что вся информация, которую он там оставляет, может быть использована против него, если у различных российских спецслужб появится к нему интерес, добавляет Козлюк.
«Если ты считаешь, что можешь спокойно заказывать “Яндекс.Такси” от дома до работы и это не какая-то секретная информация для окружающих, то почему бы и нет? Но нужно взвешивать на чашах весов ущербы от использования таких сервисов и их удобство», — объясняет эксперт «Роскомсвободы».
По его словам, пользователю можно переключиться на иностранные защищенные системы хранения файлов, почту и мессенджеры — например, сервис веб-почты с шифрованием Proton Mail или мессенджер Signal. В этом случае даже разработчики не имеют доступа к данным.
«Даже если бы они (разработчики. — Прим. ТД) захотели получить доступ к переписке, они не смогли бы этого сделать — просто потому, что переписка зашифрована», — объясняет Козлюк.
Но пользователям стоит опасаться не только спецслужб, но и мошенников или недобросовестных сотрудников. Время от времени персональные данные тысяч россиян появляются в открытом доступе, попав туда из систем российских правоохранительных органов.
«Конфиденциальная рабочая переписка, коммерческая тайна, тайна частной жизни, твоей семьи, финансовая тайна может попасть в руки кибермошенников. Поэтому тут надо бояться не столько ФСБ, сколько мошенников и недоброжелателей, которые в том числе с использованием этих сервисов могут получить доступ к твоим чувствительным данным различного направления. Если вы считаете, что какие-то данные для вас особенно важны, используйте для этого более защищенные сервисы», — заключил Козлюк.