Российское отделение ISOC признано иностранным агентом
ИИИ - Зарубежный опыт регулирования в области сбора и хранения данных пользователей
1. Зарубежный опыт
регулирования в области сбора
и хранения данных
пользователей для
правоохранительных органов
2017
(Telecommunications Data
Retention Legislation)
2. Предпосылки к исследованию
1. Применяется ли где-либо за рубежом регулирование,
аналогичное «пакету Яровой» в части хранения данных и
метаданных телекоммуникационных услуг?
2. В какой степени существующий международный опыт в
области Telecommunications Data Retention сопоставим и
сходен с российским?
3. Насколько востребованы и эффективны механизмы Data
Retention как метод обеспечения деятельности
правоохранительных органов?
4. Какие выводы могут быть сделаны для России на основе
изучения опыта юрисдикций, в которых регулирование в
области Telecommunications Data Retention развивалось в
течение относительно длительного периода (5 лет и более)
особенно в свете массового пересмотра европейского
законодательства в свете судебных решений?
3. Общие принципы
• В большинстве рассматриваемых стран под Data Retention понимаются
обязательные внесудебные меры по хранению метаданных:
информацию о фактах соединения и пользователях
• Защита персональных данных имеет приоритет перед требованиями
о хранении
• При этом доступ к содержанию сообщений возможен только на
основании судебного решения, доступ к метаданным – в рамках
расследований
• Особое внимание уделяется техническим и организационным мерам
защиты собираемых данных, наказанию за несанкционированный
доступ или утечки
• Особое внимание к сбору и доступу информации, которая может
содержать профессиональную тайну
• Сроки хранения жестко ограничены, при этом существует тенденция к
уменьшению сроков хранения
• Расходы компаний компенсируются хотя бы частично
4. Критерии законности режима
сбора и хранения информации
Advocate General of EU
• Законное основания для сбора информации;
• Недопущения нарушения прав граждан. В частности должен в
пределах возможного соблюдаться режим защиты
персональных данных;
• Цель сбора должна соответствовать общественным интересам;
• Методы должны быть адекватны целям;
• Сбор данных должен быть абсолютно необходим для
достижения целей;
• Цели должны соответствовать демократическим принципам.
5. Сравнение по странам
Страна Хранение
метаданных
Хранение
контента
Период
хранения
Требуется ли
судебное
решение для
доступа
Компенсация
расходов
Россия Да Да (с 2018) Метаданные –
6 месяцев (36
месяцев с
2018)
Контент – 6
месяцев (с
2018)
Нет Нет
Австралия Да Нет 24 месяца Нет, за
исключением
профессионал
ьной тайны
Частичная
(~47%)
Германия Да Нет 10 недель (4
недели для
геометок)
Нет Нет
….. ….. ….. …. …. …
7. Австралия
• Досудебный механизм доступа к хранимой информации о
соединениях
• Достаточно долгий срок хранения – не менее 2 лет
• Программа государственных грантов для отраслевых
организаций для обеспечения хранения данных с
использованием независимых оценок (PWC), с фокусом на
малый бизнес
8. США
• Отсутствует единая политика в части обязательных
требований по хранению информации пользователей
• Отсутствуют требования по хранению контента
• Операторы самостоятельно принимают решение об объеме
и сроках хранения на основе рекомендаций
• Государство решает задачи за счет собственных ресурсов и
финансирования
9. Великобритания
• Системный характер законодательства, затрагивающий
многие аспекты работы правоохранительных органов
• Хранение данных конкретных пользователей по
обоснованному требованию узкого круга
высокопоставленных представителей государства
• Минимизация объемов хранения и раскрытия информации,
отсутствие безусловных требований по хранению
• Судьба закона зависит от итогов Brexit
10. Китай
• Отсутствие четких, прозрачных и понятных норм
• Формальный запрет на сбор личной информации в любых
целях, не связанных с предоставляемыми услугами
• Государство решает задачи за счет собственных ресурсов и
финансирования
11. Бразилия
• Интернет-компании также обязаны хранить метаданные
пользователей
• Доступ к хранимой информации осуществляется только по
решению суда
• Государство решает задачи за счет собственных ресурсов и
финансирования
• Право Бразилии применяется в отношении данных,
собранных в пределах государственной территории
Бразилии
12. Нидерланды
• Обязательные требования по хранению были отменены
судами в 2011, новое регулирование было принято в Июле
2017, планируется ко вступлению в Мае 2018
• Сбор информации осуществляется только на основе
судебного решения, однако операторы связи обязаны иметь
функционал для перехвата сообщений. Новый закон
предполагает массовый сбор и хранение метаданных в
течение 3 лет
• В 2018 году пройдет референдум по Intelligence and Security
Services Act, активисты собираются подавать в суд в случае
игнорирования результатов Правительством
13. Германия
• Обязательные требования по хранению были отменены судами в
2011, новое законодательство не вступило в силу вследствие
продолжающихся судов
• Наличие федерального и местного регулирования, большой круг
правоохранительных органов, имеющих право запрашивать
информацию в рамках расследований
• Короткие сроки хранения – 10 недель
• Необходим судебный ордер или наличие явной угрозы национальной
безопасности
• Для доступа к идентификационным данным абонента ордер не
требуется
• Жесткие требования по защите данных
• Обязательное уведомление гражданина по результатам
расследования
• Попытки распространить режим хранения на интернет-компании
14. Дания
• Нормы по обязательному хранению информации об
интернет-соединениях отсутствуют, причем, в отличие от
других стран ЕС, это не связано с решением судов.
• Обусловлено недостаточной эффективностью механизма
регистрации IP-сессий и его низкой полезности для органов
безопасности и охраны правопорядка по результатам
аудита
• Нормы по обязательному хранению информации о
голосовых соединениях остаются неизменными, доступ по
судебному ордеру
15. Франция
• Обязательные требования по хранению были отменены судами в
2011, новое законодательство признано несоответствующим нормам
ЕС, однако пока не отменено – суды продолжаются
• Очень долгие сроки хранения – до 8 лет в отдельных случаях
• Хранение информации о зарубежных пользователях
• «Черные ящики», осуществляющие сбор информации на сетях
оператора, на основе алгоритмов BD. Точный состав собираемой
информации не известен
• Суды могут выдать ордера на перехват сообщений и их расшифровку
• Специальные надзор за осуществлением доступа к информации,
хранимой в рамках законодательства
16. Выводы
• Большинство стран идёт по пути хранения метаданных с возможностью
постановки на запись всего содержания коммуникаций в случае
выявления потенциальной террористической угрозы (период
варьируется от 3 месяцев до 2 лет)
• Требований к «сплошному» хранению по умолчанию в проанализированных
странах не установлено, - такая запись осуществляется на основании
ордера, официально направленного в адрес оператора связи
уполномоченным органом
• Финансирование деятельности по сбору и хранению данных носит в
большинстве случаев смешанный характер
• В большинстве проанализированных стран установлены чёткие требования
к защите собираемых данных и предусмотрена ответственность за утечки
для участников механизмов сбора и хранения данных (в том числе для
государственных органов)
• Однако при этом во многих странах мира существуют инициативы,
направленные на отмену положений о «сплошном» (или даже
выборочном) хранении в связи с их несоответствием международным
правовым документам, касающихся прав человека и конституциям стран.