Рейтинг открытости мобильных операторов в России

РосКомСвобода и Общество защиты интернета провели исследование прозрачности работы МТС, Билайна, Мегафона и Tele2, иллюстрирующего взаимоотношения данных операторов с государством и пользователями.

Экспертами РосКомСвободы и Общества защиты интернета проведено исследование «Рейтинг открытости мобильных операторов», направленное на оценку политик и практик деятельности четырех крупнейших российских операторов мобильной связи (Теле2, Билайн, Мегафон, МТС). По результатам исследований можно понять, насколько сильно готовы раскрывать данные своих пользователей операторы по требованию госорганов. Представленный отчет также иллюстрирует, какие именно усилия прилагает «Большая четвёрка» для обеспечения прав граждан на свободу самовыражения и тайну частной жизни в условиях современных коммуникаций, а также соблюдения стандартов по защите цифровых прав человека и гражданина.

«За пять лет интенсивного правового регулирования Интернета в российском законодательстве было создано много новых обязанностей и ограничений для участников отношений по распространению и получению информации с использованием сети Интернет. Это коснулось как российских пользователей, так и всего IT-, телеком- и контент-бизнеса», — говорится в исследовании.

С 2012 года операторы связи и провайдеры в обязаны исполнять принятые в тот период федеральные законы №436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» и №139-ФЗ «О внесении изменений в Федеральный закон „О защите детей от информации, причиняющей вред их здоровью и развитию“ и отдельные законодательные акты Российской Федерации по вопросу ограничения доступа к противоправной информации в сети Интернет». Последним было введено ограничение доступа к сайтам из Единого реестра Роскомнадзора. Так или иначе эти обязанности сталкиваются с интересами пользователей интернета, влияют на их цифровые права.

По данным РосКомСвободы, за 5 лет правоприменения так или иначе ограничивался доступ по IP-адресам к более чем десяти миллионам веб-сайтов и онлайн-сервисов.

Кроме того, с принятием Федерального закона от 6 июля 2016 г. № 374-ФЗ («пакет Яровой») на операторов связи были возложены обязанности по хранению на территории Российской Федерации метаданных в течении 3-х лет, а также любых сообщений и всего переданного абонентами контента в течении 6-ти месяцев.

Однако, несмотря на увеличивающуюся роль операторов связи в государственном контроле за распространением контента и деятельностью пользователей Рунета, порядок взаимодействия между органами публичной власти и телекоммуникационными компаниями не всегда является достаточно прозрачным. Более того, если раньше операторы связи и провайдеры старались «неформально не распространяться» относительно своего сотрудничества с силовиками, то недавно Правительством РФ на информацию о таком взаимодействии был фактически наложен запрет.

«В Руководящих принципах предпринимательской деятельности в аспекте прав человека обращается внимание на обязанность частных компаний уважать права человека независимо от обязательств государства или от выполнения этих обязательств, — говорится в исследовании РосКомСвободы и ОЗИ. — Принципы предусматривают минимальный базовый уровень корпоративной транспарентности в области прав человека и призывают компании принимать на себя обязательство соблюдать права человека».

Кроме этого существует несколько других международных документов, которые Россия обязана если не исполнять, то, по крайней мере, прислушиваться к ним. На особую роль частных компаний в обеспечении гражданских прав и свобод человека в цифровом пространстве обращает внимание и Специальный докладчик ООН по вопросам свободы самовыражения Дэвид Кей. В докладе «О поощрении и защите права на свободу мнений и их свободное выражение», направленном в Совет по правам человека, имеется ряд рекомендаций, которые могут серьезно повлиять на становление норм мягкого права, регулирующих права и обязанности информационных посредников.

В рекомендациях отмечается, что «в тех случаях, когда государства требуют участия компаний в применении цензуры или наблюдения, компании должны в максимально возможной и допустимой законом степени стремиться к предотвращению или смягчению негативных последствий их участия для прав человека. В любом случае компании должны принимать все необходимые и законные меры к тому, чтобы не вызывать нарушения прав человека, не становиться их соучастниками и не способствовать им».

Согласно рекомендациям, частным компаниям следует обеспечивать максимальную прозрачность в своей политике, стандартах и ​​действиях, которые подразумевают свободу выражения мнений и другие основные права. Также рекомендовано включать собственные обязательства по соблюдению свободы выражения мнений во внутреннюю политику, осуществлять разработку продуктов, развитие бизнеса, обучение персонала и другие соответствующие внутренние процессы в целях повышения защиты прав человека.

Принимая во внимание, что в современных реалиях основное потребление Интернета всё активнее перемещается на мобильные устройства, авторы исследования решили начать с «Большой четверки» операторов мобильной связи, которые разделяют между собой весь рынок мобильного Интернета в России: МТС, Вымпелком (бренд «Билайн») , Мегафон, Т2 РТК Холдинг (бренд «Tele2»).

Целью настоящего исследования, утверждают авторы, является оценка политик и практик операторов мобильной связи по раскрытию данных в рамках взаимоотношений с государственными органами и исполнения федеральных законов, их усилий по обеспечению прав граждан на свободу самовыражения и тайну частной жизни, а также соблюдению стандартов по защите цифровых прав человека и гражданина:

«Мы исходим из того, что если пользователь не может оценить отношение компании к соблюдению его прав в соответствии с публичными условиями, прежде чем подписывать договор, он лишается возможности сделать правильный выбор касательно поставщика доступа к Интернету.

Мы надеемся что это исследование заложит фундамент в регулярный анализ политик и практик как телеком так и интернет компаний и позволит акторам понимать какие дополнительные усилия должны быть предприняты для повышения уровня уважения и защиты прав человека в цифровом пространстве. Мы хотели бы привлечь к подобной работе более широкий круг исследователей и популяризировать результаты не только в России, но и за рубежом».

.

По словам одного из исследователей, исполнительного директора ОЗИ и создателя «ЗаТелеком» Михаила Климарёва, имея на руках результаты данного исследования, не составит труда начать консктруктивный диалог со всеми, — и мелкими, и крупными, — операторами связи. Чтобы противостоять неожиданно возникающим инициативам вроде «пакета Яровой», которые проталкиваются мало считающимися с правовыми и технологическими реалиями людьми, «необходимо создать практику превентивного раскрытия данных по «запросам силовиков» и прочим блокировкам».

Чем более открыт провайдер в части соблюдения цифровых прав, считает Климарёв, тем более он конкурентоспособен. «Это все пока требует осмысления, но работа в данном направлении уже ведётся, — утверждает он. — Не исключено, что вместе с правозащитниками и представителями отрасли будет сформирован некий пакет документов по реформированию цифрового законодательства — это очень полезная штука может быть. В том числе, если будет стандартный пакет для операторов. Например, типовое «соглашение пользователя», которое учитывает соблюдение цифровых прав».

Для проведения настоящего исследования была использована методология Ranking Digital Rights с учётом российских реалий. Также была определена сфера охвата исследования в соответствии с местным контекстом и доступными ресурсами. «Для исследования публичной позиции и политик компаний по соблюдению прав человека мы использовали официальные веб-ресурсы всех четырех операторов мобильной связи (в т.ч. технические домены третьего и более высокого уровня), веб ресурсы материнских компаний/группы компаний, в которые входят операторы (напр., https://veon.com), официальные блоги компаний (напр., https://habrahabr.ru), а также открытые источники информации, в т.ч. СМИ, медиа-ресурсы», — отмечают авторы.

Исследуемые вопросы были сгруппированы по пяти основным темам:

1. Позиция компании по соблюдению прав человека
2. Доступность Пользовательских соглашений и Политики конфиденциальности
3. Защита прав пользователей на свободу информации
4. Защита прав пользователей на приватность
5. Способы блокировок интернет-ресурсов, применяемые операторами.

По результатам ответа на каждый вопрос компании присваивался один из результатов:

• «1» (да) — обнаруженная информация позволяет сделать вывод, что компания достаточно четко демонстрирует принятие обязательств в части соблюдения праве на свободу информации / на конфиденциальность пользователей;
• «0,5» (частично) — обнаруженной информации недостаточно, что позволяет сделать вывод, что компания не полностью раскрывает процесс и порядок соблюдения прав пользователей;
• «0» (нет) — информация не обнаружена, что позволяет сделать вывод, что никаких доказательств, подтверждающих принятие обязательств компании в части соблюдения прав человека не найдено.

После определения результата по каждому из вопросов каждого индикатора, каждый оператор «Большой четвёрки» получил свой общий балл, который в целом харакеризует его усилия в плане собственной прозрачности.

Теперь непосредственно сами результаты исследования согласно вышеозначенным позициям:

1. Позиция по соблюдению прав человека

Здесь учитывалась любая корпоративная активность по анонсированию отношения компаний на текущие законопроекты и законы, которые прямо влияют на цифровые права человека, участие в ассоциациях, чей фокус направлен в том числе на соблюдение прав и свобод пользователей, а также размещение общедоступной информации о политиках компаний по соблюдению и обеспечению указанных прав.

«Из четырех исследованных нами компаний, — отмечается в исследовании, — Билайн и МТС заявляют о своей приверженности соблюдению прав человека более выражено, чем Теле2 и Мегафон. Прежде всего это объясняется участием холдинговых компаний Veon (для Билайн) и АФК “Система” (для МТС) в Глобальном договоре ООН, который требует от участников принятия обязательств по соблюдению его принципов. К сожалению, на уровне локальных операционных компаний публичные обязательства по соблюдению прав человека, особенно права на свободу информации, заявлены гораздо слабее или вообще отсутствуют».

Российское законодательство не обязывает операторов публиковать данные такого рода, наоборот, зачастую они не вправе раскрывать какую-либо информацию о запросах со стороны госорганов, отметила директор по стратегическим проектам Института исследований интернета Ирина Левова. «Наши законы не обязывают компании раскрывать такого рода статистику. Более того, информация о применяемых мероприятиях СОРМ и лицах, к которым они применяются, относится к гостайне, которая не подлежит распространению. Об этих мероприятиях не знает даже сам оператор связи. Это, по сути, «черный ящик», к которому оператор отношения не имеет», — указала она.

В свою очередь, ведущий юрист РосКомСвободы Саркис Дарбинян отмечает, что дело не в законах, а в «социальной ответственности крупного бизнеса, в открытости и уважении прав своих клиентов». «Крупные телекоммуникационные компании играют важную роль как информационные посредники. Поэтому у общества к ним повышенные требования и ожидания. Закона о том, что они обязаны это делать, нет. Но есть международные стандарты, рекомендации, о которых мы говорим», — пояснил он.

2. Доступность Пользовательских соглашений и Политики конфиденциальности

Правила оказания услуг (Пользовательское соглашение) — это основной документ, определяющий все условия предоставления сервиса по доступу в Интернет, права и обязанности потребителя и самой компании, а также ответственность сторон и иные несущественные условия. Политика конфиденциальности представляет собой документ, содержащий порядок получения и обработки персональных данных пользователей, цели их сбора, условия раскрытия и передачи данных третьим лицам и другие положения, касающиеся приватности данных абонентов.

В отношении каждого оператора мобильной связи было определено, насколько легко найти Правила и Политику, насколько понятно для пользователя они написаны, как подробно описаны процедуры внесения изменений в такие документы и извещение об этом клиентов.

«Все рассмотренные нами операторы мобильной связи, — указывают авторы исследования, — размещают на своих официальных веб-сайтах в публичном доступе для широкого круга лиц собственные Пользовательские соглашения и Политику конфиденциальности в отношении сбора, хранения, использования и передачи персональных данных. Однако при этом экспертами было отмечено, что формат представления такой информации достаточно сложный. Документы, размещенные в открытом доступе, написаны зачастую языком юридического канцелярита, отличаются большим объемом и трудностью восприятия. В некоторых случаях указанные документы сложно найти на сайте и получить их для ознакомления в удобном виде».

3. Защита прав пользователей на свободу информации

Неотъемлемой частью права на свободу информации является право на распространение и право на получение информации. В этой связи возможность доступа к сайтам и сервисам в сети Интернет формирует указанное фундаментальное право в цифровую эпоху. Принимая во внимание обязательства, возложенные законом на телекоммуникационные компании, операторы мобильной связи играют ключевую роль по доступу пользователей к информации в Интернете, фактически реализовывая выбранную государственную политику в части распространения информации онлайн.

«В этой связи, — отмечают авторы документа, — нами исследовалась транспарентность компаний по публикации сведений о причинах ограничения доступа к некоторым сайтам и страницам, количестве запросов об ограничении доступа, порядка принятия решений об ограничении доступа к веб-ресурсам. Для понимания порядка и объема информирования пользователей о причинах недоступности заблокированных сайтов были изучены страницы «заглушек» операторов связи на предмет их содержания и наличия всех необходимых информационных элементов».

Как выяснилось, ни один из операторов мобильной связи не публикует процедуру принятия решений об ограничении доступа к онлайн-ресурсам, порядок обжалования таких решений, а также информацию о количестве блокируемых им сайтов. Наилучшим способом о причинах блокировки оповещают абонентов в МТС: информация доступна без переходов на другие ресурсы и без ввода данных.

В отсутствии нормативно установленных требований к порядку блокировки доступа к сайтам с незаконной информацией и содержанию «страницы-заглушки», которая должна отображаться конечному пользователю при попытке зайти на блокируемый сайт, операторы мобильной связи самостоятельно определяют ее вид и отображаемый текст. Как было выяснено в результате исследования, «заглушки» мобильных операторов значительно отличаются по объему сведений, которые предоставляются пользователям в случае блокировок сайтов и веб-приложений.

По закону операторы не обязаны публиковать такую информацию. «Оператор по своему желанию раскрывает информацию о количестве заблокированных сайтов. Обязательств размещать ее в открытом доступе или как-то расписывать процедуру нет — все содержится в законе», — утверждает исполнительный директор REG.RU Светлана Лиенко.

4. Защита прав пользователей на приватность

В этом пункте можно увидеть — демонстрируют ли политики, обязательства и практики компаний их приверженность уважению права на неприкосновенность частной жизни пользователей, а также защите их цифровой безопасности, как это предусмотрено Всеобщей декларацией прав человека и другими международными документами по правам человека.

«Мы рассматривали публичные декларации компаний касательно объема собираемых персональных данных абонентов, их использования, порядка хранения и удаления, — говорится в исследовании. — Отдельное внимание было уделено анализу внутренних процедур по контролю за доступом к данным пользователей и их предоставления по запросу государственных органов».

Как было выяснено в ходе исследования, — продолжают авторы документа, — никто из операторов не оповещает абонентов о рисках ограничения их конституционных прав и не раскрывает информацию о возможностях перехвата трафика пользователей правоохранительными органами с помощью системы СОРМ.

В основных документах, определяющих порядок оказания услуг, нет ни единого упоминания о том, что оборудование оператора подключено к пульту ФСБ, с помощью которого может «зеркалиться» весь трафик пользователя.

«Ни у одного оператора мобильной связи ни в Правилах, ни в Политике нет никакого разъяснения порядка работы СОРМ. Практика публикаций количества случаев подключения и использования СОРМ в целях оперативно-розыскных мероприятий полностью отсутствует», — отмечается в исследовании.

Несмотря на широкое распространение запросов правоохранительных органов о предоставлении данных пользователей, ни один оператор связи не публикует информацию о процессах рассмотрения подобных запросов, а также не размещает в публичном доступе какой-либо информации об их количестве. Подобное отсутствие транспарентности российских компаний сильно отличается от практики операторов мобильной связи в Европе (например, Telia Company) или в США (например, AT&T), которые регулярно публикуют информацию о запросах правоохранительных органов.

Положительным моментом в вопросе защиты пользовательских прав и приватности со стороны операторов связи авторы исследования называют усилия, направленные на борьбу со спамом и мошенничеством, и регулярное обучение своих пользователей самостоятельной защите от киберугроз в сети Интернет, а также на обязательства всех компаний использовать персональные данные абонентов исключительно для целей договора.

5. Способы блокировки сайтов

В соответствии с Федеральным законом от 28.07.2012 № ФЗ-139, которым были внесены изменения в федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации», операторы связи, действующие на территории Российской Федерации, обязаны организовать технические мероприятия по блокировке «запрещенных интернет-ресурсов».

Сведения об интернет-сайтах, содержащих запрещенную к распространению в России информацию, собираются в «Единый реестр доменных имён, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет, содержащие информацию, распространение которой в Российской Федерации запрещено» — автоматизированную информационную систему ведения и использования базы данных о сайтах, содержащих запрещенную к распространению в России информацию. Принятие решений о признании информации незаконной возложено на Федеральные органы исполнительной власти и суды в зависимости от основания.

Реестр находится в ведении Роскомнадзора в соответствии с постановлением Правительства Российской Федерации от 26.10.2012 года № 1101.

Ограничение доступа к нежелательному контенту бывает 5 типов:

• Блокировка по IP-адресу и протоколу;
• Блокировка с помощью технологии DPI;
• Блокировка по URL-адресу;
• Блокировка посредством платформы (обычно применяется поисковыми системами);
• Блокировка по DNS.

Блокировка может происходить на:

— национальном уровне;
— уровне поставщика телекоммуникационных услуг и местного интернет-провайдера;
— уровне местной сети;
— уровне конечной точки.

Процесс блокировок со стороны исследуемых компаний «Большой четвёрки» организован следующим образом:

1. Сведения об интернет-сайтах, содержащих запрещенную к распространению в России информацию, собираются в «Единый реестр доменных имен, указателей страниц сайтов и сетевых адресов, позволяющих идентифицировать сайты в сети Интернет».
2. Операторы связи обязаны несколько раз в сутки обращаться к специальному ресурсу и скачивать «Реестр» для целей обеспечения блокировок. Информация о частоте обращений и сама процедура обновления «Реестра» постоянно изменяется. В случае необращения оператором к «Реестру» на оператора может быть наложен административный штраф. Идентификация оператора осуществляется с использованием электронной цифровой подписи.
3. Все ресурсы, находящиеся в «Реестре», должны быть заблокированы оператором связи. В настоящее время способы технической организации блокировок жестко не закреплены соответствующими нормативно-правовыми актами и операторы вольны определять технические решения самостоятельно.
4. При этом контроль за фактическими блокировками Роскомнадзор осуществляет с помощью «программно-аппаратного комплекса для мониторинга доступа к сайтам из реестра со стороны провайдеров — Ревизор». Комплекс состоит из информационной системы (эксплуатируется ФГУП «Государственный РадиоЧастотный Центр» — «ГРЧЦ») и специальных зондов, которые физически установлены на территории интернет-провайдеров. «Ревизор» мониторит доступ к запрещенным ресурсам, и в случае «пропуска» (доступности ресурса из сети оператора) — оператору связи назначается административный штраф.

Вся информация была получена в ходе «открытого тестирования» блокировок как сайтов, так и отдельных страниц, находящихся в Реестре (тестировались адреса с http и https). В ходе тестирования были получены следующие результаты:

На основании полученных данных, авторы исследования пришли к следующим выводам:

1. Порядок применения СОРМ не разъясняется,

2. Информация о количестве запросов от госорганов не публикуется,

3. Процедура блокировки сайтов и порядок обжалования не разъясняются,

4. Все документы написаны на сложном языке и их не всегда легко найти,

5. Применяются разные способы блокировки сайтов,

6. «Страницы-заглушки» операторов связи раскрывают различную по объему информацию.

В целом в «Рейтинге открытости» по результатам исследования операторы «Большой четвёрки» набрали следующее количество баллов:

Настоящая работа распространяется по лицензии Creative Commons Attribution-ShareAlike 4.0 International License.

По словам авторов, всем вышеперечисленным операторам «Большой четвёрки» были разосланы результаты исследования для получения дополнения, уточнений, но ни одна компания не ответила на запрос.

РосКомСвобода призывает операторов связи и провайдеров, правозащитников и представителей отрасли ознакомиться с исследованием, чтоб составить перечень предложений по реформированию «цифрового» законодательства, в особенности — тех вопросов, которые касаются прозрачности во взаимодействии властей и бизнеса.

IT-Кодекс: в России предлагают полностью переписать законы в сфере связи и интернета
?
Министр связи обещает операторам сравнительно невысокие затраты на «пакет Яровой»
?
Роскомнадзор объявил войну Google Global Cache
?
Министерские страсти по критической инфраструктуре
?
Чемодан Яровой без ручки