У адной з маіх любімых гісторый быў такі эпізод «Прадзюсер сеў пісаць адказ, але ўвесь час сціраў першы радок, таму што кожны раз пачынаў з пытання: „Вы ах ** лі?“ Нельга адразу пачынаць ліст так, таму што мы прафесіяналы». Аляксей Казлюк, юрыст і эксперт Human Constanta ў галіне персанальных дадзеных, напісаў пра новы закон.
Прыкладна так я спрабую нешта кваліфікаванае сказаць з нагоды Палажэння аб парадку папярэдняй ідэнтыфікацыі карыстальнікаў інтэрнэт-рэсурсу, сеткавага выдання. Тэкст палажэння апублікаваны толькі сёння, сама Пастанова Саўміна № 850 зацверджана ў пятніцу. Мабыць, вельмі хацелі паспець да канца тыдня, спяшаліся.
У чым асноўныя праблемы дакумента? А вось у чым:
Ідэальны таймінг
Палажэнне аб ідэнтыфікацыі карыстальнікаў прынята ў развіццё новых нормаў Закона аб СМІ і зацверджана пастановай Савета міністраў. Закон прынялі яшчэ ўлетку, ён уступае ў моц 1 снежня 2018, г. зн. праз 5 дзён. Каб напісаць 3 старонкі тэксту сумнеўнай якасці (пра гэта пазней), чыноўнікам спатрэбілася некалькі месяцаў. А распрацоўшчыкі сайтаў напішуць і інтэгруюць сістэмы ідэнтыфікацыі на сайтах усяго за 5 дзён. І карыстальніцкае пагадненне з юрыстамі распрацуюць. І дрэва пасадзяць. І выгадуюць сына.
Пастанова, без якой свет быў бы лепшым
Што дакумент будзе дрэнным, сумневаў не было. Яго і зусім быць не павінна, бо папярэдняя ідэнтыфікацыя карыстальнікаў - гэта дурнота і настальгія па савецкім саюзу з рэгістрацыяй фотаапаратаў і друкаваных машынак ў КДБ. Менавіта таму мы ў Human Constanta не накіравалі ні радкі прапаноў, калі распрацоўшчыкі выклалі праект пастановы для грамадскага абмеркавання. Але хто ж ведаў, што ў выніку яны змогуць на трох старонках тэксту ўсе так заблытаць.
Як будзе праходзіць ідэнтыфікацыя?
Глядзіце, у палажэнні выкарыстоўваюцца два розныя паняцці: «ідэнтыфікацыя карыстальніка» і «ідэнтыфікацыя асобы карыстальніка». Чаму гэтая розніца важная? Вызначэнне па тэксце: «ідэнтыфікацыя карыстальніка інтэрнет-рэсурсу — сукупнасць мерапрыемстваў па ўсталяванні звестак пра карыстальніка інтэрнэт-рэсурсу». Якія гэта звесткі? Пашпартныя дадзеныя? Прозвішча, імя? Адрас? Нумар тэлефона? А можа акаунт на Фэйсбуку або Вконтакте сыдзе? Наогул-та ўсе гэтыя дадзеныя могуць служыць для ідэнтыфікацыі. Але далей па тэксце ў нас ужо апісана працэдура, і яна ўжо кажа аб ідэнтыфікацыі асобы: «Уладальнік інтэрнэт-рэсурсу ажыццяўляе актывацыю ўліковага запісу карыстальніка шляхам адпраўкі кода актывацыі ў СМС-паведамленні на паказаны пры запаўненні карыстальніцкай дамовы нумар мабільнага тэлефона карыстальніка ці з выкарыстаннем іншых ідэнтыфікацыйных дадзеных і тэхнічных сродкаў, якія дазваляюць ідэнтыфікаваць асобу карыстальніка». Цікава, якія іншыя сродкі ідэнтыфікацыі мелі на ўвазе распрацоўшчыкі? І чаму перавага аддаецца СМС?
Строга кажучы, СМС-паведамленне на абаненцкі нумар не дазваляе ідэнтыфікаваць асобу карыстальніка. Так, у Беларусі даўно ўсе сімкі прадаюцца па пашпартах. Але па-першае, праверыць, што карыстальнік рэгіструе акаунт на свой нумар, немагчыма. А калі нумар замежны, то і доступу да замежных карыстацкіх дадзеных ва ўладаў няма. Можна меркаваць, што рэгістрацыя праз СМС будзе з высокай верагоднасцю ідэнтыфікаваць асобу карыстальнікаў з беларускімі нумарамі, але не будзе выконваць гэтую функцыю для замежных сімак. Адзіны рэальны вынік ад такой сістэмы ідэнтыфікацыі - гэта абмежаванне «адзін нумар — адзін акаунт», што можа моцна ўскладніць жыццё ботам. Зрэшты, упэўнены, што знойдуцца замежныя сэрвісы, якія дапамогуць абысці абмежаванне праз аднаразовыя віртуальныя абаненцкія нумары.
Аб смеццевых персанальных дадзеных
Згодна з папраўкамі ў Закон аб СМІ уладальнік інтэрнэт-рэсурсу абавязаны: «пры правядзенні папярэдняй ідэнтыфікацыі карыстальніка збіраць, апрацоўваць, захоўваць і прадастаўляць […] персанальныя дадзеныя такой асобы: прозвішча, уласнае імя, імя па бацьку (калі маецца), стаць, дзень, месяц, год нараджэння, месца нараджэння, а таксама нумар мабільнага тэлефона і (або) адрас электроннай пошты». Г. зн. спачатку вы пытаецеся нумар тэлефона, дасылаеце СМС для ідэнтыфікацыі, а потым просіце запоўніць нейкую форму з гэтымі дадзенымі. Увага, пытанне! Як уладальнік сайта праверыць, што карыстальнік увёў сапраўдныя дадзеныя? Ды ніяк. Ва ўладальніка сайта няма ніякіх законных спосабаў зверыць гэтую інфармацыю з базамі дадзеных аператараў сувязі. І каму гэтыя дадзеныя патрэбныя? Ну праўда, у органаў, якія расследуюць злачынствы і правапарушэнні, ёсць САВМ, ёсць магчымасць запытаць дадзеныя ў аператара сувязі. Ад уладальніка сайта ім патрэбны толькі IP-адрас каментатара.
Бонусам з’яўляецца яшчэ і абаненцкі нумар, пазначаны пры рэгістрацыі. Астатнія дадзеныя, якія яшчэ трэба праверыць на дакладнасць, гэтым людзям сапраўды не патрэбныя. Так для каго тысячы сайтаў будуць збіраць смеццевыя дадзеныя, г. зн. дадзеныя, якія немагчыма верыфікаваць? Адказу няма, але ёсць меркаванне. Нідзе ў заканадаўстве яшчэ не было паўнамоцтваў Міністэрства інфармацыі запытваць якія-небудзь персанальныя дадзеныя карыстальнікаў. Бо Мінінфарм не вядзе АВД і не расследуе злачынствы.
А цяпер уладальнік інтэрнэт-рэсурсу абавязаны прадастаўляць сабраныя звесткі аб карыстальніку па патрабаванні усялякіх звыклых органаў і судоў, а таксама … Міністэрства інфармацыі ў парадку, усталяваным заканадаўствам Рэспублiкi Беларусь.
Пра карыстальніцкае пагадненне яшчэ адзін жарт
Уладальнік можа скасаваць такое пагадненне ў аднабаковым парадку, пры гэтым карыстальніка трэба ўведаміць смской. «Рашэнне аб скасаванні ў аднабаковым парадку карыстацкага пагаднення уладальнікам інтэрнэт-рэсурсу можа быць абскарджана карыстальнікам у суд у месячны тэрмін з дня атрымання такога паведамлення». Уважлівы чытач карыстацкіх пагадненняў ўжо заўважыў, што большасць з іх мае пункт, што ўладальнік можа скасаваць ПС ў аднабаковым парадку па сваім меркаванні і без тлумачэння прычын. Так што абскарджваць будзем?
Ну, і па дробязях
Сярод неацэннай інфармацыі, якую збірае ўладальнік сайта і захоўвае ў працягу дзеяння карыстацкай дамовы і год пасля яго скасавання, фігуруюць звесткі «аб сеткавым (IР) адрасе прылады карыстальніка, прысвоеным пры рэгістрацыі карыстальніка на інтэрнэт-рэсурсе». Я далёкі ад тэхнічнай экспертызы, але з таго, што мне вядома, IP-адрас ўсё ж прысвойваецца інтэрнэт-правайдэрам пры падключэнні да сеткі. Больш за тое, як правіла гэтыя адрасы дынамічныя і кожны раз пры злучэнні з сеткай карыстальнік атрымлівае новы адрас. Які сэнс асобна захоўваць гэтую інфармацыю?
Персанальныя дадзеныя лёгка сабраць, складана захоўваць і яшчэ складаней абараняць. А гэта абавязак уладальніка сайта. Так што сардэчна запрашаем да юрыстаў за распрацоўкай і ўкараненнем у рэдакцыі рэжыму камерцыйнай таямніцы і іншых NDA. А яшчэ тэхнічныя аўдыты сайтаў і сродкаў абароны.
Вішанька на торце — захоўваць усе гэтыя дадзеныя неабходна на серверах, фізічна размешчаных у Беларусі.
Хатняе заданне
Па-першае, уладальнікі рэсурсаў абавязаны нанова перарэгістраваць сваіх каментатараў, ужыўшы новыя інструменты ідэнтыфікацыі. Што рабіць з архівам каментароў - пытанне адкрытае.
Па-другое, давайце ўспомнім, на якія інтэрнэт-рэсурсы наогул распаўсюджваецца Закон аб СМІ і дзе геаграфічна сканчаюцца паўнамоцтвы рэгулятара. Дакладнага адказу вам не дасць ніхто, шмат што будзе залежаць ад таго, у якім настроі правапрымяняльнікі. А цяпер перавядзем погляд ад не такі ўжо вялікай групы сайтаў, якія раней было прынята называць зразумелым словам СМІ і паглядзім у цэлым на сеткавыя медыя: платформы, маркетплэйсы, сацсеткі і г. д. Ну што, прадставілі, як там можна павесяліцца з нашым законам?
