15 августа 2014 г.

Постановление не про WiFi по паспортам

Появился новый жар, у меня, во всяком случае. Рожден он многочисленными комментариями к появляющимся со скоростью пулеметной очереди нормативным правовым актам. Поскольку актов очень много, они длинные и трудночитаемые, комментаторы, включая депутатов и чиновников, причастных к их принятию, а также журналисты с универсальными знаниями, читают первые пару строк (или абзац в лучшем случае) и комментируют. Потом все это обсуждают.
Алексей Волков уже спокойно (в смысле без паники) и очень точно описал ситуацию с постановлением Правительства РФ от 31.07.2014 № 758 с длинным названием «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей». Мы с ним на эту тему плотно пообщались, пришли к общему мнению, которое он традиционно точно изложил. Я уж было передумал написать на эту тему, но обилие комментариев теперь и к посту Алексея заставили изменить намерения.
Начну с того, что на 100% уверен, что авторы сего документы написали совсем не то, что было предписано, и до конца не поняли, что написали. Об этом говорят комментарии из Министерства связи и Правительства. Писали очень быстро, впопыхах, и похоже, в двух разных департаментах министерства. Сводить тексты было некому и некогда. Итак, аккуратно смотрим, что получилось на выходе.
Постановление вносит изменения в правила оказания трех видов услуг связи: универсальных, передачи данных и телематических. Соответственно, в нем три пункта с подпунктами.
Первый пункт касается только универсальных услуг, и больше ничего. Универсальные услуги связи в соответствии с законом «О связи» - это «услуги связи, оказание которых любому пользователю услугами связи на всей территории Российской Федерации в заданный срок, с установленным качеством и по доступной цене является обязательным для операторов универсального обслуживания». По-русски если – то это таксофон в глухой деревне, где прокладка меди и установка аппарата никогда не окупится, но скорую помощь иногда вызывать надо. Или компьютер с доступом в интернет в почтовом отделении (оно же и местный банк, как правило). Кстати, этот компьютер на почте и есть пункт коллективного доступа (ПКД), и его функционирование вовсе не предполагает использование WiFi. Это просто возможность почитать электронную почту и посерфить в интернете со скоростью не менее 256 кбит/с с помощью средств, предоставленных оператором (компьютера или WiFi–роутера, например).
У операторов универсальных услуг с государством особые отношения в связи с этим, но нам до этого дела нет, в вашем офисе или кафе-пончиковой за углом оказывается совсем не универсальная услуга. Поэтому даже разбираться с тем, что конкретно представляет собой ПКД, смысла нет. Пусть оператор универсальных услуг разбирается, пункт касается только его. Отметим только (потом понадобится) что сведения о пользователе универсальной услуги, представленные при использовании ПКД (в постановлении указано, какие именно) хранятся оператором связи (не почтой) не менее 6 месяцев.
А вот второй и третий пункты постановления про нас с вами.
Регламентируют они два варианта использования интернета при получении услуг передачи данных и телематических услуг (в комментариях к постановлению много ссылок на их определения и отличия, место тратить не буду, отмечу лишь, что, организовав доступ в интернет в офисе своей компании или шашлычной, вы пользуетесь одной из них или обе).
Подпункты а) в пунктах 2 и 3 – про разовые услуги доступа к интернету с использованием ПКД. Что такое разовые услуги, в правилах их оказания не говорится, но это было написано и до ПП-758, что договор об оказании разовых услуг передачи данных и телематике предполагает использование ПКД, заключается путем осуществления пользователем конклюдентных действий, направленных на получение услуги, и считается заключенным с момента таких действий. ПП-759 дополняет эту норму требованием идентификации пользователя и используемого им оконечного оборудования оператора связи. Обратили внимание? Должно идентифицироваться оборудование оператора связи, а не пользователя. И чего его идентифицировать, если оператор его сам и поставил и точно знает его mac-адрес? Про смартфоны в качестве ПКД я пока не слышал, но и их IMEI, если смартфоны предоставлены оператором, оператор отлично знает. И это первая засада.
Идентификация пользователя осуществляется оператором связи путем установления фамилии, имени, отчества (при наличии) пользователя, подтверждаемых документом, удостоверяющим личность. Если кто не знает, в соответствии с Указом Президента РФ от 13.03.1997 № 232, основным документом, удостоверяющим личность гражданина Российской Федерации на территории Российской Федерации, является паспорт гражданина Российской Федерации. Я искренне удивился, когда читал разъяснения на сайте регулятора про водительские права, СМС и специальную веб-форму. Как оператор будет сличать данные в правах или СМС с основным документом, я не догадываюсь. Но Роскомнадзор к концу месяца обещает придумать методику, тогда и посмотрим. Здесь вторая засада. Нововведения в этих подпунктах накладывают обязанности только на оператора связи, владельцам кафе и гостиниц, администрации парков, аэропортов и метрополитена до этого никакого дела нет, и в их работе ничего не меняется. Требование к ним не относится.
Подпункты б) пунктов 2 и 3 обязывают пользователя телематики и передачи данных (юридическое лицо или индивидуального предпринимателя) собирать и раз в три месяца передавать своему провайдеру список лиц, использующих его (юридического лица или индивидуального предпринимателя) пользовательское (оконечное) оборудование, который содержит сведения об использующих это самое оборудование - фамилию, имя, отчество, место жительства, реквизиты основного документа, удостоверяющего личность. Это третья засада, и самая большая пока.
Очевидно, что работники, которым выдали компьютеры и смартфоны, должны попасть в этот список. А как быть с посетителями, получающими гостевой доступ, в том числе – посетителями кафе или пассажирами аэропортов со своими средствами доступа? А это зависит от того, что такое пользовательское (оконечное) оборудование. Проблема в хот-споте. Устройства, создающие этот самый хот-спот – оконечное оборудование или нет? В законе о связи это «технические средства для передачи и (или) приема сигналов электросвязи по линиям связи, подключенные к абонентским линиям и находящиеся в пользовании абонентов или предназначенные для таких целей». 
А вот в правилах оказания телематических услуг связи (это и есть доступ в интернет, строго говоря) наряду с пользовательским (оконечным) оборудованием используется термин «абонентский терминал» - совокупность технических и программных средств, применяемых абонентом и (или) пользователем при пользовании телематическими услугами связи для передачи, приема и отображения электронных сообщений и (или) формирования, хранения и обработки информации, содержащейся в информационной системе. Ключевыми словами являются здесь отображение, хранение и обработка. Т.е. компьютер – это абонентский терминал, а оконечное оборудование – гораздо шире. И WiFi или проводной роутер под его определение вполне попадает.
Из этого следует весьма неутешительный вывод. При соответствующем желании надзорного органа требование показать список всех, пользующихся доступом в интернет, предоставленным юридическим лицом или ИП, вполне законен. Как к владельцу кафе, так и к оператору связи.
Уткнувшись в нечеткие определения понятий, мы опять получаем избирательность применения права в зависимости от трактовки норм надзирающими.
И в заключение про разных авторов. Помните требования к срокам хранения в п.1, на которые я обращал внимание? В пунктах 2 и 3 никаких сроков нет. Из чего делаю вывод, что писали разные люди, а «сбивать» в единое целое было некогда. Поскольку написал за свою жизнь массу нормативки, имею основания. 
Да, кстати. Требование о предоставлении оператору списков лиц, использующих оконечное оборудование юридического лица, заверенных уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, было и есть в Постановление Правительства РФ от 27.08.2005 № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность». Представители компаний, которым я об этом говорил, неизменно искренне удивлялись. Ни один из них такого списка никогда не предоставлял. Это так, для понимания ситуации.

7 комментариев:

  1. Требование о предоставлении оператору списков лиц, использующих оконечное оборудование юридического лица, заверенных уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, было и есть в Постановление Правительства РФ от 27.08.2005 № 538 «Об утверждении Правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность». Представители компаний, которым я об этом говорил, неизменно искренне удивлялись. Ни один из них такого списка никогда не предоставлял.

    Это верно - один знакомый оператор попытался запросить его с абонента (банка), и был им послан с формулировкой "это ваш документ, и на абонентов он не распространяется". Теперь, зная эту ситуацию, то же самое требование перетечет в договор оператора с абонентом. Но это все, что требуется. Оператор внесет это требование в договор - формально правила выполнит. Ответственности за наружение требования Правилами никакой не предусмотрено - значит это общая ответственность абонента. Ну хорошо, пусть даже абонент будет передавать какие-то списки каких-то людей раз в квартал. Но как их проверить, а главное - кто этим будет заниматься? Этого нигде нет. А раз нет контроля - нет и толку от нормы.

    P.S. Вчера написал обращение в Минсвязь с вопросом, что именно считать пользовательским оконечным оборудованием в рамках ПП-758. Подождем месяц - посмотрим, что ответят.

    ОтветитьУдалить
    Ответы
    1. Насчет ответственности вопрос трактовки. При желании можно рассматривать как невыполнение требований СОРМ и лицензию приостановить. А ответ из министерства - это интересно. Поделитесь?

      Удалить
    2. Конечно! А про ответственность - какие основания? Оператор требования правил выполнил - в договор внес, его лицензия нерушима. Абонент - предоставил списки, его договор - тоже. Плюс, никто не предоставлял и никого за это лицензии не лишили. Ну конечно, при желании - лишить можно за все, в том числе и за это. Власть хочет всех держать на крючке - стандартный КГБ-шный метод, ничего нового.

      Удалить
    3. Я рассматривал скорее случай, когда в договре нет и списки не представлены

      Удалить
  2. Да, скорее всего это будет являться основанием.

    ОтветитьУдалить
  3. У Ростелекома в договорах на присоединение к сетям междугородней и международной связи с операторами местной связи требование о передаче списков абонентов значится. Учитывая это обстоятельство, возникает необходимость согласия абонентов таких операторов на передачу их данных в Ростелеком в данном случае, что по нормальному должно отражаться в договорах с абонентами. Но это касалось телефонии до недавнего времени и там эта норма особых вопросов не вызывала. А вот теперь вольной раздаче международного интернет-трафика через местные точки доступа пришел конец.

    Вообще говоря у меня нет вопросов к "оконечному абонентскому оборудованию". Какая разница, что это? Да хоть порт Fast Ethernet - просто кабель и вилка с сигналом заданного протокола. Все пакеты от всех пользователей кроме как через него не пройдут.

    ОтветитьУдалить
  4. "Лица, использующие пользовательское (оконечное) оборудование". А если это Web-сайт, то кто эти лица? Все, кто присылает на него запросы и получает ответы в форме электронных сообщений? А если сервер электронной почты? Сервер Онлайн-обучения, конференцсвязи, телефонии?
    Не означает ли это, что теперь идентифицировать нужно ВСЕХ?

    ОтветитьУдалить