Анонимность под угрозой: анализ законодательства Казахстана

Вопрос анонимности в сети в Казахстане весьма особый. Так в Казахстане официально запрещены [1] анонимные комментарии с 2018 года. Для этой цели статья 36 Закона «Об информатизации» [2] дополнилась новым пунктом 5-1 следующего содержания:

Оказание собственником или владельцем общедоступного электронного информационного ресурса услуги по размещению пользователем информации в Интернет осуществляется на основании соглашения, заключаемого в письменной форме (в том числе электронной), с идентификацией на портале "электронного правительства" или посредством использования зарегистрированного на общедоступном информационном электронном ресурсе абонентского номера сотовой связи пользователя с отправлением короткого текстового сообщения, содержащего одноразовый пароль, для заключения соглашения.

Касательно того, как идентифицируется пользователь, ниже.

Размещение информации пользователем осуществляется под своим именем или псевдонимом (вымышленным именем). Обезличивание персональных данных осуществляется на основании и в порядке, определенных соглашением. Собственник или владелец электронного информационного ресурса обязан хранить информацию, используемую при заключении соглашения, весь период действия, а также в течение трех месяцев после расторжения соглашения.

Вопросы обезличивания персональных данных регулируются статьей 17 Закона Республики Казахстан «О персональных данных и их защите» [3].

Соответствующая норма была добавлена с принятием Закона Республики Казахстан от 28 декабря 2017 года № 128-VІ ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информации и коммуникаций» [4]. Закон вступил в силу спустя 10 дней после дня его первого официального опубликования, то есть с 2018 года.

В связи с нововведением, казахстанские СМИ в основном отключили возможность комментирования, либо же вставляют плагин комментариев социальных сетей.

IMEI + ИИН + номер телефона = деанонимизация

С 1 января 2019 года получить доступ в интернет анонимно для граждан практически невозможно. Услуга доступа в интернет не будет оказываться тем абонентам, которые не зарегистрировали абонентские устройства сотовой связи. Согласно статье 36-2 Закона «О связи» [5] владелец абонентского устройства сотовой связи обязан зарегистрировать его у оператора сотовой связи в соответствии с правилами регистрации абонентских устройств сотовой связи, в противном случае не будет получен доступ в интернет. Для регистрации устройства абонент предоставляет оператору связи следующие данные:

1. Индивидуальный идентификационный номер (ИИН) или бизнес-идентификационный номер (БИН);
2. Идентификационный код абонентского устройства сотовой связи (IMEI, англ. International Mobile Equipment Identity - международный идентификатор мобильного оборудования);
3. Абонентский номер, который используется на абонентском устройстве сотовой связи.

Вышеуказанные данные оператором связи передаются в базу данных идентификационных кодов абонентских устройств сотовой связи (БДИК). Оператором базы является РГП «Государственная радиочастотная служба» Министерства цифрового развития, инноваций и аэрокосмической промышленности РК. РГП «Государственная радиочастотная служба» разместила на своем интернет-ресурсе следующие сервисы, которые по запросу пользователя берут данные из БДИК:

1. сервис проверки регистрации IMEI;
2. сервис проверки мобильных номеров, зарегистрированных на ИИН;
3. сервис проверки регистрации, связки ИИН и IMEI;
4. сервис проверки количества абонентских номеров, зарегистрированных на IMEI;
5. Сервис проверки в базе украденных устройств.

Согласно пункту 21 Правил регистрации абонентских устройств сотовой связи [6], оператор связи осуществляют оплату услуг РГП «Государственная радиочастотная служба» за предоставление доступа к ресурсам БДИК. Соответственно данное нововведение несет определенные расходы для субъектов бизнеса, что увеличивает стоимость услуг для конечных пользователей.

Изменение номера IMEI является уголовным правонарушением. Статья 213 Уголовного Кодекса РК [7] «Неправомерное изменение идентификационного кода абонентского устройства сотовой связи, устройства идентификации абонента, а также создание, использование, распространение программ для изменения идентификационного кода абонентского устройства». Санкция данной статьи предусматривает наказание в виде:

• штрафа в размере до 160 месячных расчетных показателей (МРП);
• либо исправительными работами в том же размере,
• либо привлечением к общественным работам на срок до 160 часов,
• либо арестом на срок до 40 суток.

Нововведение по регистрации абонентских устройств государство обосновало [8] противодействием ввозу и реализации контрафактных устройств и кражей.

Спецдокладчик ООН по вопросу о поощрении и защите права на свободу мнений и их свободное выражение Дэвид Кей в Докладе A/HRC/29/32 со своей стороны отмечает тенденцию государственной политики по идентификации людей посредством SIM-карты по всему миру:

«Правительства часто требуют регистрации SIM-карты; так, почти в 50 странах Африки действуют или принимаются законы, требующие при активации SIM-карты вводить персональные данные, удостоверяющие личность. В Колумбии с 2011 года введен порядок обязательной регистрации номеров мобильной связи, а в Перу начиная с 2010 года все SIM-карты привязываются к национальному идентификационному номеру».

Спецдокладчик отмечает, что регистрация номера и анонимность человека несовместимые вещи:

«Возможность введения таких правил рассматривается и в других странах. Такие правила нарушают анонимность, в особенности в случае лиц, выходящих в интернет только с помощью мобильных технологий. Обязательная регистрация SIM-карт дает правительствам возможность следить за частными лицами и журналистами в гораздо большей степени, чем того требуют их законные интересы».

Сертификат безопасности

Законом «О связи» предусмотрено использование сертификата безопасности. Пункт 36-2 статьи 2 раскрывает понятие «сертификата безопасности» в следующей редакции:

«набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование».

Операторы междугородной и (или) международной связи (то есть провайдеры) обязаны осуществлять пропуск трафика с использованием протоколов, поддерживающих шифрование с применением сертификата безопасности, за исключением трафика, шифрованного средствами криптографической защиты информации на территории страны (подпункт 4 пункта 3-1 статьи 26 Закона «О связи»).

Согласно статье 11 Приказа № 23/нс от 27 марта 2018 года «Об утверждении Правил выдачи и применения сертификата безопасности»:

«Операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов, с которыми заключены договоры на оказание услуг связи».

О сертификате безопасности

Это уже третья попытка внедрить сертификат безопасности в Казахстане: первый раз внедрение должно было быть осуществлено с 1 января 2016 года, второй раз в 2019 году инициатива вызвала негативную ответную реакцию у гражданского общества и IT-компаний, включая Apple, Google, Mozilla.

Ландшафт цифровых прав и свободЕлжан Кабышев

По задумке государства сертификат безопасности используется для ограничения распространения по сети телекоммуникаций информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан.

В случае, если операторы связи не исполняют данные Правила, то подпунктом 9-3 «Нарушения операторами связи правил применения сертификата безопасности» и подпунктом 9-5 «Предоставления оператором связи доступа к информации, запрещенной вступившим в законную силу решением суда или законами Республики Казахстан» (часть дополнена подпунктами 9-1 – 9-6 в соответствии с Законом Республики Казахстан № 419-V от 24 ноября 2015 года) статьи 637 «Нарушение законодательства Республики Казахстан в области связи» Кодекса об административных правонарушениях [9] предусмотрена административная ответственность операторов связи, которая влечет штраф:

• на физических лиц в размере 10 МРП,
• на должностных лиц, субъектов малого предпринимательства в размере 20 МРП,
• на субъектов среднего предпринимательства - в размере 40 МРП,
• на субъектов крупного предпринимательства - в размере 100 МРП.

Таким образом, внедрение сертификата для операторов связи носит обязывающий характер и предусмотрена административная ответственность за его неисполнение, в частности КоАП РК.

Государственный уполномоченный орган – Министерство цифрового развития, инноваций и аэрокосмической промышленности – сообщал, что пользователь вправе не устанавливать сертификат на свое устройство, так как в законе не предусмотрена обязывающая норма для абонента и не имеется ответственности за не установку. Но есть нюанс, который заключается в следующем.

В соответствии с пунктом 3 Правил выдачи и применения сертификата безопасности [10], оператор связи направляет заявление на выдачу сертификата безопасности по форме (приложение №1 к Правилам) в органы национальной безопасности, после чего в течение 10 рабочих дней осуществляется выдача сертификата.

Далее, согласно пункту 10 Правил, операторы связи уведомляют абонентов письменно в произвольной форме, с которыми заключены договоры на оказание услуг связи, об изменении договорных условий. Операторы связи обеспечивают распространение сертификата, публикуют на своих официальных интернет-ресурсах инструкции по его установке.

То есть, говорить о добровольности для пользователя по установке сертификата на свои устройства довольно сложно, так как данный вопрос решается не на уровне законов, а на уровне договорных отношений между абонентом и оператором связи, оказывающим услуги. Оператор связи «скован» нормативными правовыми актами и в случае нарушения, как указывалось выше, грозит ответственность.

В свою очередь пользователь может отказаться от услуг оператора связи, но в таком случае говорить о свободном доступе в интернет без сертификата не имеет смысла.

Государством использование сертификата безопасности оправдывается в целях ограничения запрещенных материалов по вступившим в законную силу решений судов и законами РК.

Но данный метод ограничения довольно спорный в силу следующих обстоятельств:

1. Ограничивается право на тайну переписки, право на тайну личной жизни, свобода поиска, получения и распространения информации. В целом трафик пользователя становится читаемым.
2. Устанавливается онлайн-цензура.
3. Требуется установка сертификата безопасности напрямую на устройства абонента.
4. Используется MITM (man-in-the-middle), то есть встраивается третья сторона между абонентом и сервером, о чем было напрямую сказано на брифинге «О проведении киберучений в г. Нур-Султан» 7 декабря 2020 года.

Пройти тест