Ни один из операторов российской «большой четверки» не информирует абонентов о рисках перехвата трафика пользователей правоохранительными органами с помощью систем оперативно-разыскных мероприятий (СОРМ) и не публикует статистику обращений госслужб о предоставлении информации. Такой вывод содержится в отчете, подготовленном «Роскомсвободой» (некоммерческая организация, специализирующая на защите прав пользователей) совместно с Обществом защиты интернета (есть у РБК). Это первое исследование, посвященное тому, насколько МТС, «МегаФон», «ВымпелКом» (оказывает услуги под брендом «Билайн») и «Т2 РТК Холдинг» (Tele2) соблюдают стандарты по защите цифровых прав абонентов.
При подготовке отчета аналитики «Роскомсвободы» изучили публичные документы операторов, оценив следующие факторы: позиция компании по соблюдению прав человека, доступность пользовательских соглашений и политики конфиденциальности, защита прав пользователей на свободу информации и приватность, применяемые компаниями способы блокировки интернет-ресурсов. «В процессе изучения документов мы обращали внимание прежде всего на публичные обязательства компаний, связанные с правом пользователей на поиск, получение и распространение информации и тайну частной жизни», — говорится в методологии отчета.
По каждому из параметров компания могла получить 1, 0,5 или 0 баллов. Меньше всего в сумме набрала МТС, получившая 23,4% от максимально возможного количества баллов, максимум — у «ВымпелКома» с 28,2%. «МегаФон» получил 27,4%, «Т2 РТК Холдинг» — 25,8%.
В МТС, «МегаФоне», «ВымпелКоме» и «Т2 РТК Холдинге» отказались комментировать выводы отчета.
Аналитики «Роскомсвободы» отмечают, что в основных документах всех операторов, определяющих порядок оказания услуг, «нет ни единого упоминания о том, что оборудование оператора подключено к пульту ФСБ», с помощью которого может прослушиваться пользовательский трафик. «Ни у одного оператора мобильной связи ни в правилах, ни в политике нет никакого разъяснения порядка работы СОРМ. Практика публикаций количества случаев подключения и использования СОРМ в целях оперативно-разыскных мероприятий полностью отсутствует», — сказано в отчете.
Российские операторы связи также не сообщают о количестве обращений органов оперативно-разыскной деятельности на предмет получения пользовательских данных. В частности, операторы могут получать запросы на предоставление информации, указанной абонентом при регистрации, геолокационных данных устройства и др. Ни одна из компаний «четверки» не публикует информацию о процессе рассмотрения подобных запросов, об их количестве, отмечается в исследовании. «Подобное отсутствие транспарентности российских компаний сильно отличается от практики операторов мобильной связи в Европе (например, Telia Company) или в США (например, AT&T), которые регулярно публикуют информацию о запросах правоохранительных органов», — пишут аналитики «Роскомсвободы».
При этом «ВымпелКом» и МТС заявляют о своей приверженности соблюдению прав человека более выраженно, чем «Т2 РТК Холдинг» и «МегаФон». Представители «Роскомсвободы» связали это с тем, что материнские компании этих операторов — холдинг Veon (владеет 100% «ВымпелКома») и АФК «Система» (прямо и косвенно владеет 52,8% МТС) — участвуют в Глобальном договоре ООН, который требует от участников принятия обязательств по соблюдению его принципов.
Российское законодательство не обязывает операторов публиковать данные такого рода, наоборот, зачастую они не вправе раскрывать какую-либо информацию о запросах со стороны госорганов, отметила директор по стратегическим проектам Института исследований интернета Ирина Левова. «Наши законы не обязывают компании раскрывать такого рода статистику. Более того, информация о применяемых мероприятиях СОРМ и лицах, к которым они применяются, относится к гостайне, которая не подлежит распространению. Об этих мероприятиях не знает даже сам оператор связи. Это, по сути, «черный ящик», к которому оператор отношения не имеет», — указала она.
В свою очередь, юрист «Роскомсвободы» Саркис Дарбинян отмечает, что дело не в законах, а в «социальной ответственности крупного бизнеса, в открытости и уважении прав своих клиентов». «Крупные телекоммуникационные компании играют важную роль как информационные посредники. Поэтому у общества к ним повышенные требования и ожидания. Закона о том, что они обязаны это делать, нет. Но есть международные стандарты, рекомендации, о которых мы говорим», — пояснил он.
Эксперты «Роскомсвободы» также пришли к выводу, что «большая четверка» недостаточно информирует пользователей о причинах блокировки того или иного ресурса в Сети. После того как Роскомнадзор обязывает операторов и провайдеров ограничить доступ к сайту с запрещенным контентом, операторы по-своему решают, как объяснить пользователям его недоступность. Как правило, используются «заглушки» — объявления, которые показываются при попытке открыть запрещенный ресурс. Наилучшим способом о причинах блокировки оповещают абонентов в МТС: информация доступна без переходов на другие ресурсы и без ввода данных.
Правозащитники считают, что помимо объяснения причин операторам также следует публиковать процедуру принятия решений об ограничении доступа к онлайн-ресурсам, порядок обжалования таких решений, а также информацию о количестве блокируемых ими сайтов. По закону операторы не обязаны публиковать такую информацию. «Оператор по своему желанию раскрывает информацию о количестве заблокированных сайтов. Обязательств размещать ее в открытом доступе или как-то расписывать процедуру нет — все содержится в законе», — пояснила исполнительный директор REG.RU Светлана Лиенко.
Аналитики «Роскомсвободы» также отмечают, что операторы используют разный подход к технической организации систем блокировок, и у «Т2 РТК Холдинга» обнаружены признаки «неэтичной» блокировки, при которой используется подмена DNS-ответов для целей блокировки, что фактически является вмешательством в пользовательский трафик. «Опасность такого метода блокирования заключается в том, что способ схож с методами «хакерских атак», когда вместо запрашиваемого ресурса абонент получает ответ, например, фишингового сайта, куда пользователь может ввести критическую информацию — логины-пароли, пин-коды и т.п.», — утверждается в исследовании. Лиенко согласна, что такой способ действительно может быть небезопасным для пользователя. «При таком способе блокировки оператор адресует запрос не на запрещенный или заблокированный контент, а на нужную ему страницу, при этом делая пользователя потенциально уязвимым для определенного рода атак. Но в целом сейчас в браузерах есть опции защиты от такого рода подмены», — говорит она.
Представитель пресс-службы «Т2 РТК Холдинга» заявил РБК, что в компании считают некорректным то, что действия оператора названы «неэтичными». «Tele2 всегда действует строго в рамках российского законодательства и выполняет все требования Роскомнадзора по блокировке ресурсов», — сказал он.
Ирина Ли, Алексей Гаврилко-Алексеев