Ваша личная информация в мессенджерах

1

Как регулируются мессенджеры

Какими законами регулируются мессенджеры?

Стоит сказать, что государство давно хочет контролировать мессенджеры, но пока получается не очень хорошо. Самые популярные в России мессенджеры — WhatsApp продукт Meta (организация признана экстремистской в России и запрещена. Деятельность продуктов Meta Facebook и Instagram также признана экстремистской. При этом WhatsApp не запрещен – подробнее читайте здесь). Telegram и Viber — иностранные, и даже не имеют представительства в России.

Летом был принят так называемый «закон о приземлении», по которому иностранные интернет-компании обязаны открыть представительства в России до 1 января 2022 года. В ноябре был принят список таких компаний — среди них Meta*, Telegram, Twitter, Zoom, Spotify, Viber и другие. Если компании откажутся открыть офис, то они не смогут размещать рекламу в России, принимать электронные платежи, доступ к ним могут замедлить (как было с Телеграмом весной 2021 года) или вообще заблокировать.

2

Что требуют от владельцев

На каких основаниях иностранные мессенджеры действуют в России?

Иностранные компании должны соблюдать российские законы (и «Закон о персональных данных» в том числе), зарегистрировать личный кабинет на сайте Роскомнадзора и разместить на своем ресурсе электронную форму для обратной связи с российскими гражданами или организациями.

Поправки в «Закон об информации» 2017 года обязывают владельцев мессенджеров — они называются в законе «сервисами обмена мгновенными сообщениями» — идентифицировать пользователей по номеру телефона.

Владельцы мессенджеров должны:

• заключить договор с операторами связи, которые собирают паспортные данные абонентов,
• ограничивать распространение запрещенной информации,
• обеспечивать конфиденциальность передаваемых сообщений и «возможность передачи электронных сообщений по инициативе государственных органов в соответствии с законодательством Российской Федерации».

В октябре 2021 года правительство опубликовало постановление, согласно которому с марта 2022 года мессенджеры должны будут заключать договоры с операторами сотовой связи, запрашивать реальный сотовый номер у пользователей, а потом отправлять запрос оператору о владельце номера, чтобы его идентифицировать. Если идентификация пройдет успешно, каждому пользователю мессенджер присвоит уникальный идентификационный код, который будет сохранен в базе оператора. Этот уникальный идентификационный код надо будет обновлять при смене телефонного номера.

Что делать, если номер зарегистрирован в иностранном государстве, пока непонятно.

3

Хранение данных

Передают ли мессенджеры мои данные властям или другим компаниям?

Мессенджеры являются организаторами распространения информации (ОРИ) — согласно определению в законе «об информации, информационных технологиях и защите информации», — это «лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети „Интернет“».

То есть если ресурс позволяет пользователям обмениваться между собой сообщениями — он является ОРИ. ОРИ обязаны хранить на территории России информацию о фактах приема-передачи сообщений в течение года (метаданные), сами сообщения пользователей в течение полгода и предоставлять эту информацию органам, которые ведут оперативно-розыскную деятельность, предоставлять возможности для «декодирования» сообщений.

Роскомнадзор ведет реестр ОРИ — там пока нет многих зарубежных мессенджеров, но там есть WeChat, mail.ru agent, Telegram и Сбербанк онлайн.

Кстати, попытка блокировки Телеграма как раз и была связана с нежеланием мессенджера выполнять требования к ОРИ — предоставлять ключи от шифрования правоохранительным органам после внесения в реестр (мессенджер внесли в реестр в 2017 году).

И еще одна важная вещь — согласно закону «О персональных данных», персональные данные россиян должны храниться на серверах в Российской Федерации. Не все мессенджеры могут подтвердить, что соблюдают законодательство.

В 2016 году за несоблюдение требований о локализации данных россиян в России был заблокирован LinkedIn — популярная сеть профессиональных контактов. В 2021 году, многим иностранным компаниям (среди них Google, Facebook*, Twitter) были назначены многомиллионные штрафы за отказ локализовать данные россиян.

4

Кто может залезть в мою переписку

Могут ли посторонние люди получить доступ к моим сообщениям в мессенджере?

Конечно, ваш эккаунт в мессенджере могут взломать, поэтому соблюдайте основные правила цифровой безопасности. Прокачать навыки можно, например, здесь.

Злоумышленники могут установить жучок на ваш телефон, получить доступ к приложениям и читать переписку. Для этого может применяться такая технология как фишинг. Иногда владелец телефона даже может не подозревать, что на его телефоне установлена вредоносная программа.

Иногда те, кому очень хочется получить информацию, могут добавляться в чаты и группы. Если группа достаточна большая, то отследить это очень сложно.

Правоохранительные органы могут получать доступ к переписке пользователей при наличии судебного решения. Иногда они могут получить доступ даже к закрытым группам и общим чатам в мессенджерах. Некоторые социальные сети, например, «ВКонтакте», обычно предоставляют данные пользователей по их запросу.

5

Технологии защиты данных

Как мессенджеры защищают мои личные данные?

Некоторые мессенджеры — например, WhatsApp, Signal, секретные чаты Telegram используют сквозное (end-to-end) шифрование. В этом случае третьи лица (в том числе и владельцы мессенджера) не могут получить доступа к содержимому сообщений, их можно прочитать только на конечных устройствах.

Обычно при регистрации нужно согласиться с условиями пользовательского соглашения.

Telegram

Телеграм в пользовательском соглашении ссылается на GDPR — General Data Protection Regulation — общий регламент по защите данных, принятый в Европейском Союзе.

Каждый пользователь может:

• получить копию своих персональных данных, которые использует мессенджер,
• потребовать удалить персональные данные, ограничить их использование, откорректировать неверные данные.

Чтобы получить эти данные или задать вопросы по политике безопасности, вы можете связаться с Телеграм с помощью бота @GDPRbot

Основными принципами является — не использовать персональные данные для показа рекламы и хранить их только для того, чтобы обеспечить безопасный обмен сообщениями.

Телеграм может собирать ваши метаданные в целях обеспечения безопасности — IP-адрес, информацию об устройствах, имени пользователя (вы не должны использовать свое настоящее имя) — и хранить их не более 12 месяцев.

Телеграм-боты могут использовать данные вашего публичного эккаунта. Потенциально бот может получить ваш IP-адрес. Если бот состоит в той же группе, чо и вы, то он узнает, что вы в этой группе. Боты могут получать доступ к содержимому сообщений в группе. Боты являются абсолютно независимыми от Телеграм и должны отдельно получать согласие на использование ваших данных.

WhatsApp

Информация, которую собирает мессенджер, зависит от того, как вы пользуетесь сервисом. Например, вы не можете делиться своим местоположением со своими контактами, если не разрешите WhatsApp cобирать данные о вашем местоположении с устройства.

WhatsApp не сохраняет ваши сообщения на серверах и тоже использует end-to-end шифрование. Исключением является ситуация, когда сообщение не может быть доставлено — в этом случае оно будет храниться на сервере 30 дней, после чего будет удалено. При пересылке медиа, они тоже временно сохраняются на сервере в зашифрованном виде.

WhatsApp собирает метаданные — с кем вы взаимодействуете, как долго и как часто. Содержание звонков и переписки не сохраняется.

WhatsApp собирает данные об устройстве и подключении — модель оборудования, информация об операционной системе, уровень заряда батареи, мощность сигнала, версия приложения, информация о браузере, мобильная сеть, информация о подключении (включая номер телефона, оператора мобильной связи или интернет-провайдера), язык и часовой пояс, IP-адрес, операции с устройством, информация и идентификаторы (включая идентификаторы, уникальные для продуктов компании Facebook*, связанных с одним и тем же устройством или учетной записью). С текстом политики конфиденциальности можно ознакомиться здесь.

Информация хранится так долго, сколько необходимо для целей, указанных в политике конфиденциальности, а том числе для целей предоставления услуг.

6

Сбор информации о человеке

Бот в мессенджере собирает личную информацию и даже выдает по запросу сотовый телефон нужного человека. Насколько это законно?

Некоторые боты, например, в Телеграме, за небольшие деньги предлагают услуги сбора информации о конкретном человеке. При этом они могут собирать как информацию из открытых источников, так и данные из «слитых» баз данных.

Использование информации, полученной незаконным путем, тоже является незаконным — распространение персональной информации и личных данных граждан без их согласия запрещено.

До марта 2021 года можно было свободно собирать информацию о человеке, если он сам выкладывал ее в открытый доступ. Теперь на распространение персональных данных нужно брать отдельное согласие — даже если эти данные есть на личной страничке человека в соцсети. Такое согласие на распространение данных не требуется, если есть государственный, общественный или публичный интерес.

Что касается ботов, то кажется сомнительным, что они могут собирать данные в общественных интересах — следовательно, они должны получать согласие на их сбор и дальнейшее использование у гражданина — «субъекта персональных данных».

Ранее в марте 2021 года Телеграм по требованию Роскомнадзора начал блокировать боты, собирающие персональные данные граждан. За подобные нарушения владельцы сервисов могут быть оштрафованы, а сами сервисы заблокированы.