13.02.2020

«Свидетельство канарейки» пока не надо. Хабр описал взаимодействие с госорганами

Популярный IT-портал рассказал о том, какие виды запросов они получают от госорганов (ФСБ, ФСО, МВД, Роскомнадзора и других), как их отсеивают и какие выработали методы борьбы с сомнительными требованиями

habrtransper  

Недавно стало известно, что в августе прошлого года ФСБ обратилась сразу к целому ряду популярных интернет-ресурсов с требованием предоставить ключи шифрования пользовательской переписки. По сведениями «Медузы», которая ссылается на источник на интернет-рынке и копию одного из писем, такие запросы были направлены «Авито», «Хабру», Rutube, Ucoz, «Сибрус» и ещё множеству сайтов. Обращение силовиков по времени совпало с массовыми протестами в Москве, и рассылалось заказными письмами «Почты России».

Одним из первых на эту новость отреагировал Хабр (ну, или так совпало). Портал выложил остроумно и информативно написанную статью руководителя по работе с пользователями Алексея Шевелёва о том, как Хабр взаимодействует с государственными органами.

«Как правило, — отмечает Шевелёв, — всё начинается с того, что к нам поступает запрос. Он может поступить по четырём каналам»:

  • Звонок в офис. Такой формат взаимодействия мы не практикуем, так как он находится целиком за пределами правовой плоскости и не регламентирован законодательством. Поэтому все такого рода обращения мы вежливо отклоняем и предлагаем перевести их в документальную плоскость, без исключений.
  • Письмо в офис. Как правило, когда я прихожу в офис, конверт уже лежит у меня на столе. По рассказам офис-менеджера, конверты приносит бабушка из почты России, реже — вооружённые до зубов ребята из спецсвязи.
  • Обращение через форму обратной связи. Обычно это что-то полуавтоматическое — письма о том, что нам срочно надо скрыть какую-то кем-то запрещённую информацию, иначе нас всех заблокируют.
  • Автоматический обмен данными по принципу СОРМ. Это относительно новый способ взаимодействия, регламентированный последними изменениями в законодательстве. Для обмена в таком формате, сервис должен разработать и внедрить программно-аппаратный комплекс, подключенный каналом связи к пульту ФСБ. Мы сейчас не владеем таким инструментарием и такого рода обмен не производим.

Хабр берёт в работу лишь те запросы, которые либо выполнены на бумажном носителе (содержат собственноручную подпись, а также заверены оригинальным оттиском печати), либо выполнены в электронной форме (заверены усиленной квалифицированной электронной подписью (соответствующей подписанту), отправлены с официального адреса электронной почты органа). Все остальные способы государства вмешаться в работу проектов Хабра — «НЕ ОК».

«Закон определяет срок, за который нужно ответить на каждый из запросов. Например, на скрытие запрещённой для распространения на территории РФ информации Роскомнадзором отводится трое суток — если не уложиться в срок, то к сайту могут применить санкции. В случае с бумажными запросами времени больше — до 30 дней. Мы стараемся не затягивать с ответом, особенно если речь касается мошенничества или действий насильственного характера», — отмечает Шевелёв.

Поскольку обработка каждого сообщения занимает немало времени, юристы Хабра выработали алгоритм действий в таких ситуациях, которого редакция придерживания при получении госзапросов. После всей необходимой бюрократической волокиты, сведения о таком взаимодействии автоматически отправляются в Transparency, так что лист отчёта перед общественностью формируется практически сразу же, и потом эти данные уже попадают в Transparency report для публикования его на сайте.

Напомним, первый отчёт по обращениям Хабра появился в сентябре 2018 года. В новом отчёте выложена информация за 2019 и 2020 годы, «а прошлые периоды пополнились информацией с других проектов — потому что раньше такой отчёт был только по Хабру, а с недавних пор все проекты живут под одной крышей». Если вкратце, то

«…за 2020 год было 2 обращения, за 2019 — 14. Самый плодовитый — Роскомнадзор, на втором месте — МВД».

.

Запросов в целом не так много, и, по словам Шевелёва, обычно это сообщения от какого-нибудь следователя в рамках какого-то уголовного дела: «Например, по делу о мошенничестве на «Фрилансим» — да, как и везде: недобросовестные пользователи у нас тоже иногда попадаются. Но это вовсе не значит, что их данные мы будем раздавать налево и направо».

Часть запросов отклоняется из-за некорректного заявления и повторно они не приходят.

Почти всегда запрашиваются абстрактные «регистрационные данные» по аккаунту: дату/время регистрации и последнего входа, номер телефона (кхе) указанный при регистрации, ФИО и т.д.

«…ощущение, что бездумно копируют из методички, составленной для других проектов, — отмечает Шевелёв. — В таком случае прямо на фирменном бланке печатаем дату/время регистрации и последнего входа, почту и указанное в профиле имя, IP-адреса — практически всё то, что в большинстве случаев и без нас можно увидеть в профиле пользователя. И уж совсем редко (было раза два или три) запрашивают «журналы посещений» пользователя за некий период. В таком случае приходится делать выгрузку данных из логов сервера и печатать её мелким шрифтом. Если пользователь метался по сайту как раненый сайгак, то речь про пачку бумаги. В таком документе содержится лишь информация вида «дата-ip-урл», без текстов статей, комментариев и уж тем более личных сообщений. Визуально это чтиво чем-то похоже на логи веб-сервера. Уж не знаю, насколько это помогает в борьбе с чем/кем-либо, но, как говорится, «какое ТЗ…»».

Больше всего недоумения вызывают обращения Роскомнадзора о признании информации запрещённой к распространению. После получения «письма счастья» от надзорного ведомства редакции приходится сначала блокировать или скрывать пост, а уже потом разбираться в причинах блокировки. «Каждый раз мы изучаем контекст, в том числе для поиска ответа «Ээ, но зачем?» и почти никогда не находим ответа», — пишет Шевелёв.

В основном под раздачу попадают посты многолетней давности, которые «давно отшумели» и расползлись по сети, но которые, видимо, нашлись по каким-то ключевым словам — от «налогов» до «напечатали пистолет на 3д-принтере».

Поскольку чего-то реально опасного или вредого обычно в списке заблокированного не находится, редакция обращается к авторам таких публикаций и старается оказать им юридическую помощь в оспаривании постановлений, особенно с учётом того, что почти всегда они идут с нарушениями, «например, без нашего участия в судебных заседаниях». Редко кто из авторов горит желанием тратить на это время, поэтому в Transparency report напротив РКН почти везде «Удовлетворено» и лишь несколько «Оспорено», и Хабр на своём счету имеет несколько таких успешных историй.

Также Хабр в случае блокировки запрещённого на территории РФ контента планирует доработать механизм скрытия таких публикаций, выдавая «ошибку 451».

От правообладателей ресурс получал лишь три обращения, и все они были от Google. Два из них были оспорены.

«Масштабы обращений к нам не такие грандиозные, как у тех же социальных сетей, — подытоживает Шевелёв. — Во многом потому, что вся информация о пользователе доступна всем, будь то посты или комментарии. Всё взаимодействие осуществляется только через официальные запросы с соблюдением всех формальностей, без каких-либо недокументированных и подковёрных запросов. И предпосылок к росту количества мы не видим, как не видим и необходимости в «свидетельстве канарейки». Наоборот, думаем, что со сменой юрисдикции юрлица, управляющего Хабром, количество обращений сократится — это всё ещё впереди, поживём-увидим».

Напомним, недавно «Хабр» перерегистрировал юрлицо из России на Кипр. Владелец «Эшер II» Филипп Кулин заметил, что при попытке войти в аккаунт пользователям выдается сообщение об изменениях в соглашении c 7 февраля 2020 года, в частности, говорится о новом юрлице «Хабр Блокчейн Паблишинг ЛТД» с офисом в Никосии (Кипр).

По мнению Кулина, перерегистрация может быть связана с нежеланием «Хабра» выполнять мероприятия, связанные с обязанностями Организатора Распространения Информации (ОРИ). Они предполагают передачу силовикам по запросу информации о пользователях и их переписке. Как видим, сейчас администрация «Хабра» объяснила и этот момент.

.

«Свидетельство канарейки» (англ. warrant canary) — способ передачи информации, осуществляемый через молчание или отрицание. Происхождение термина: при добыче угля в шахтах существует риск отравления угарным газом. Взятая в шахту канарейка ощущала воздействие газа существенно раньше человека (благодаря большей частоте дыхания и быстрому обмену веществ). Таким образом, умолкание канарейки предупреждало шахтёров об опасности. (Википедия).

.

don but rks

.

roskomsvoboda telegram

.