Что такое онлайн-платформа и почему она обязана делиться данными?

В статье указано какие существуют обязанности онлайн-платформ, среди которых имеется обязанность о предоставлении данных пользователей госорганам
Что такое онлайн-платформа и почему она обязана делиться данными?

Содержание

Президент Казахстана Касым-Жомарт Токаев 10 июля 2023 года подписал Закон «Об онлайн-платформах и онлайн-рекламе», который устанавливает права и обязанности собственников онлайн-платформ и пользователей, а также требования к онлайн-рекламе на онлайн-платформе.

В данном материале указана информация какие существуют обязанности у сервисов, которые в соответствии с казахстанским законодательством стали или станут онлайн-платформами, среди которых имеется обязанность о предоставлении данных пользователей государственным органам; проанализируем политики популярных платформ по взаимодействию с государственными органами в части предоставления информации о пользователях.

Что такое онлайн-платформа?

Онлайн-платформа – это сайт или программное обеспечение, которое позволяет пользователям совершать с контентом различные действия (получать, производить, размещать, распространять, хранить) на онлайн-платформе посредством созданного пользователем аккаунта или публичного сообщества, и имеющий среднесуточно не менее 100 тысяч пользователей в течение 1 месяца.

Примерами онлайн-платформ могут быть социальные сети, мессенджеры, блоги, видеохостинги и другие. В случае отказа сервиса стать онлайн-платформой в Казахстане, государственный орган ограничивает доступ для казахстанских пользователей.

Впервые об онлайн-платформах заговорили в рамках обсуждения пакета поправок «Сарыма-Закиевой» о защите детей в интернете в прошлом году. Норма, регулирующая онлайн-платформы была добавлена в статью 18-2 Закона «Об информатизации», однако с введением отдельного Закона «Об онлайн-платформах и онлайн-рекламе», норма в Законе «Об информатизации» была исключена.

Обязанности онлайн-платформы

Собственник онлайн-платформы имеет следующие обязанности:

  1. принимать меры противодействия распространению противоправного контента на территории Республики Казахстан;
  2. рассмотреть запрос уполномоченного органа в течение 24 часов после его получения;
  3. обеспечить исполнение вступивших в законную силу судебных актов;
  4. обеспечить прием, рассмотрение предписаний, представлений, уведомлений, решений государственных органов с принятием по ним мер, установленных статьей 41-1 Закона Республики Казахстан «О связи»;
  5. незамедлительно уведомлять правоохранительные органы Республики Казахстан в случае выявления противоправного контента, влекущего за собой угрозу жизни или безопасности человека и гражданина;
  6. информировать уполномоченный орган о мерах противодействия противоправному контенту;
  7. размещать в открытом доступе информацию о среднестатистическом ежемесячном количестве пользователей на территории Республики Казахстан за последние 6 месяцев функционирования онлайн-платформы;
  8. принимать меры по обеспечению безопасности несовершеннолетних;
  9. представлять запрашиваемые уполномоченным органом сведения о пользователях на основании судебных актов, запросов правоохранительных или специальных государственных органов Республики Казахстан;
  10. приостановить деятельность аккаунтов на территории Республики Казахстан, размещающих и распространяющих противоправный контент, информацию, признанную кибербуллингом в отношении ребенка, на основании предписания уполномоченного органа.

О том, как ограничительные и запретительные меры государства влияют на онлайн-свободы, указаны в наших прошлых материалах, как «Цифровой 1984: как устроена онлайн цензура в Казахстане» (декабрь 2022 года), «Какой контент ограничивается в Казахстане в 2021 году?» (октябрь 2021 года), «Каков интернет в Казахстане?»(ноябрь 2020 года), «Ограничение контента» (август 2020 года).

Предоставление данных пользователей

В данном материале сфокусируемся на одной из обязанностей онлайн-платформ, а именно предоставление сведений о пользователях по запросам государственных органов. Считаю, что такая обязанность может иметь серьезные последствия для прав человека, таких как:

  • Право на конфиденциальность персональных данных, то есть пользователи онлайн-платформ могут не быть уверены в том, что их персональные данные, такие как имя, фамилия, адрес, номер телефона, электронная почта, возможно, переписка, и другие данные, будут защищены от неправомерного доступа или использования со стороны третьих лиц, в частности государственных органов и их сотрудников. Пользователи могут не знать, какие именно данные о них запрашиваются и для каких целей, так как в законе не указано, что предоставление сведений о пользователях не будет в только в рамках судебного процесса.
  • Право на свободу выражения мнения. Пользователи онлайн-платформ могут испытывать страх или давление при выражении своего мнения или распространении информации на онлайн-платформах, если они будут предполагать, что их контент и конфиденциальная информация могут быть запрошены уполномоченными органами. Это может привести к самоцензуре, а некоторые пользователи могут отказаться от использования онлайн-платформ в принципе.
    Если же пользователь не обладает информацией о том, что его данные могут быть переданы даже не в рамках судебного процесса государственным органам, то в будущем кейсы привлечения к ответственности пользователей могут быть аналогичными, как это происходит в Российской Федерации, как например, в этой стране судили [1] людей за мемы в закрытых альбомах.

Обязанность онлайн-платформ представлять сведения о пользователях уполномоченным органам напрямую касается доверия пользователей к онлайн-платформам, а также государственным институтам: в каких случаях на практике государственные органы будут направлять запросы о предоставлении сведений пользователей?

Необходимо соблюдать принципы законности, пропорциональности и необходимости при запросе таких сведений и гарантировать защиту персональных данных, как со стороны онлайн-платформ, так и государственных органов. Следует обеспечить, чтобы запросы от правоохранительных и специальных государственных органов должны быть поданы в рамках рассмотрения уголовных дел.

Стандарты популярных платформ по предоставлению данных пользователей

Для того, чтобы понять, как работает процедура предоставления данных пользователей социальными сетями и мессенджерами государственным органам по запросам, были проанализированы политики популярных сервисов, а именно Meta, владеющая Instagram и Facebook, Telegram, Google, владеющий видеохостингом YouTube, и TikTok.

Meta

По данным на апрель 2023 года, для возрастной категории 14-35 лет Instagram является самой популярной социальной сетью в Казахстане с долей в 71%. Meta, владеющая Instagram, может предоставлять [2] данные пользователей государственным правоохранительным органам в соответствии с своими условиями использования и действующим законодательством, включая федеральный закон США о хранении коммуникаций (Stored Communications Act, SCA), 18 U.S.C. Разделы 2701-2712.

Для получения данных пользователей Instagram правоохранительные органы должны предоставить следующие документы:

  • Действительную повестку, выданную в связи с официальным уголовным расследованием, для принуждения к раскрытию основных записей абонентов (определенных в 18 U.S.C. Раздел 2703 © (2)), которые могут включать: имя, срок обслуживания, информацию о кредитной карте, адрес (ы) электронной почты и любые последние IP-адреса входа / выхода, если они доступны.
  • Судебный приказ, выданный в соответствии с 18 U.S.C. Раздел 2703 (d), для принуждения к раскрытию определенных записей или другой информации, относящейся к учетной записи, не включая содержание коммуникаций, которые могут включать заголовки сообщений и IP-адреса, помимо основных записей абонентов, указанных выше.
  • Ордер на обыск, выданный в соответствии с процедурами, описанными в Федеральных правилах уголовного процесса или эквивалентных процедурах выдачи ордеров на уровне штата на основании показаний достаточных оснований для принуждения к раскрытию хранимого содержания любой учетной записи, которая может включать сообщения, фотографии, комментарии и информацию о местоположении.

В случае возникновения чрезвычайной ситуации, связанной с неминуемым вредом ребенку или риском смерти или серьезного физического повреждения любого человека и требующей раскрытия информации без задержки, должностное лицо правоохранительного органа может подать запрос через систему онлайн-запросов правоохранительных органов [3]. Работа других платформ Meta с правоохранительными органами аналогична Instagram.

По данным Meta, казахстанские государственные органы за период с июля 2013 года по декабрь 2022 года направил 12 запросов на получение данных пользователей, но ни на один запрос Meta не предоставил данные.

Google

В своей политике конфиденциальности и условий использования [4] в разделе «Действия Google при получении запросов госорганов на получение пользовательских данных» Google сообщает, какие действия компания предпринимает при получении запроса от государственных органов.

Запросы могут быть адресованы Google LLC (компания зарегистрирована в США и деятельность которой регулируется законами этого государства) и Google Ireland Limited (зарегистрирована в Ирландии, деятельность регулируется законодательством этой страны).

При получении запроса от государственного органа, Google, прежде чем раскрыть информацию, оповещает об этом по электронной почте пользователя, которому принадлежит аккаунт. Google не отправляет такие уведомления, если это на законных основаниях запрещено по условиям полученного нами запроса, однако компания оповестит пользователя о запросе, когда данный правовой запрет будет снят, например когда истечет срок действия ограничения, установленный законом или определенный судом.

К тому же компания может не отправлять уведомление, если аккаунт был отключен или взломан. Кроме того, они могут не предупреждать пользователя о запросе при возникновении экстренных ситуаций, например если существует угроза безопасности ребенка или угроза чьей-то жизни. В таком случае компания отправит уведомление, когда экстренная ситуация миновала.

Процедура Google LLC (США):

В случае, если казахстанский государственный орган направляет запрос в американскую компанию Google LLC, компания руководствуется следующими законами, стандартами и политиками:

  • Законодательство США. Доступ к данным и их раскрытие регулируются действующими законами США, такими как закон «О защите информации, передаваемой с помощью электронных систем связи» (ECPA).
  • Законодательство страны, государственные органы которой направили запрос. Государственное органы должно соблюдать те же правовые процедуры и юридические требования, которые действуют при отправке запросов местным поставщикам аналогичных услуг.
  • Международные нормы. Компания предоставляет данные только в ответ на запросы, которые соответствуют принципам свободы самовыражения и конфиденциальности, сформулированным организацией Global Network Initiative [5], и связанному с ними руководству по реализации.
  • Правила Google. Включают все действующие условия использования и политики конфиденциальности, а также правила, которые касаются защиты свободы самовыражения.

Процедура Google Ireland Limited (Ирландия):

В случае, если казахстанский государственный орган направляет запрос в компанию Google Ireland Limited, зарегистрированную в Ирландии, компания руководствуется следующими законами, стандартами и политиками:

  • Законодательство Ирландии. Доступ к данным и их раскрытие регулируются действующими законами Ирландии, например Законом об уголовном правосудии.
  • Законы Европейского союза (ЕС), действующие в Ирландии. Сюда относятся все законы ЕС, которые действуют в Ирландии, включая Общий регламент ЕС о защите данных (GDPR).
  • Законодательство страны, государственные органы которой направили запрос. Государственное учреждение должно соблюдать те же правовые процедуры и юридические требования, которые действуют при отправке запросов местным поставщикам аналогичных услуг.
  • Международные нормы. Компания предоставляет данные только в ответ на запросы, которые соответствуют принципам свободы самовыражения и конфиденциальности, сформулированным организацией Global Network Initiative, и связанному с ними руководству по реализации.
  • Правила Google. Включают все действующие условия использования и политики конфиденциальности, а также правила, которые касаются защиты свободы самовыражения.

Существует также отдельная процедура на получение информации в экстренных случаях. Если у Google есть основания считать, что компания может спасти человека от смерти или серьезного ущерба здоровью, то существует возможность предоставить информацию государственному учреждению. Примерами таких ситуаций являются сообщения о минировании, стрельба в школе, похищение или пропажа человека, а также предотвращение самоубийства. Как сообщается, Google в любом случае рассматривает такие запросы в свете действующего законодательства и собственных правил.

Google каждые полгода публикует отчеты о том, сколько было получено запросов на получение пользовательских данных [6] со всего мира, в том числе и из Казахстана.

Казахстан с июля 2014 года по декабрь 2022 года направил 106 запросов на раскрытие пользовательских данных, касающихся 125 аккаунтов.

За последние 2 года доля предоставления некоторых данных (какие данные не сообщаются) была больше 50%, доходя до 92% за последний период июль-декабрь 2022 года.

Telegram

Telegram сообщает, что может сотрудничать с правоохранительными органами в случае подтвержденных террористических расследований. На сайте компании говорится, что Telegram может раскрыть IP-адрес и номер телефона пользователя, если получит судебный приказ, подтверждающий, что пользователь подозревается в совершении или попытке совершения террористического преступления.

Telegram в своем FAQ сообщает [7], что Регламент (ЕС) 2021/784 Европейского парламента и Совета от 29 апреля 2021 года о распространении террористического контента в интернете (Регламент террористического контента в интернете) позволяет властям стран ЕС отправлять запросы на удаление террористического контента, если он обнаружен на публичной платформе Telegram. Telegram назначил третью сторону – Европейского представителя по цифровым услугам (EDSR) – для оказания им в помощи в коммуникациях.

Пользователи, чьи публикации были удалены в соответствии с Положением о совокупной стоимости владения, могут запросить подробную информацию о том, почему их публикации были признаны террористическими и как оспорить удаление.

Telegram может выдавать данные пользователей государственным правоохранительным органам только в очень ограниченных и исключительных случаях, когда есть достаточные основания полагать, что пользователь связан с терроризмом. В остальных случаях Telegram не предоставляет никакой информации о своих пользователях. Ниже указан ответ Telegram на вопрос о том, обрабатывает ли мессенджер запросы о предоставлении данных пользователей:

Секретные чаты используют сквозное шифрование, благодаря которому у нас нет никаких данных для раскрытия.

Для защиты данных, которые не охватываются сквозным шифрованием, Telegram использует распределенную инфраструктуру. Данные облачного чата хранятся в нескольких центрах обработки данных по всему миру, которые контролируются различными юридическими лицами, распределенными по разным юрисдикциям. Соответствующие ключи расшифровки разделены на части и никогда не хранятся в том же месте, что и данные, которые они защищают. В результате требуется несколько судебных постановлений из разных юрисдикций, чтобы заставить нас отказаться от любых данных.

Благодаря этой структуре мы можем гарантировать, что ни одно правительство или блок стран-единомышленников не смогут вторгнуться в частную жизнь людей и свободу выражения мнений. Telegram может быть вынужден отказаться от данных только в том случае, если проблема является достаточно серьезной и универсальной, чтобы пройти проверку нескольких различных правовых систем по всему миру.

На данный момент мы раскрыли 0 байт пользовательских данных третьим лицам, включая правительства.

У Telegram есть бот @transparency, который предоставляет Transparency Report по геопозиции пользователя, однако данных по Казахстану не имеется. Бот сообщает, следующее:

Чтобы решение суда было релевантным, оно должно исходить из страны с достаточно высоким индексом демократии, чтобы считаться демократией.

TikTok

Запросы могут быть получены четырьмя представительствами социальной сети:

  • TikTok Inc. – запросы касательно данных пользователей, находящихся в Соединенных Штатах Америки;
  • TikTok Information Technologies UK Limited – запросы касательно данных пользователей, находящихся в Великобритании;
  • TikTok Technology Limited – запросы касательно данных пользователей, находящихся в Европейской экономической зоне (страны-члены ЕС плюс Исландия, Лихтенштейн и Норвегия) и в Швейцарии;
  • TikTok Pte. Limited – запросы касательно данных пользователей, находящихся за пределами США, Великобритании, ЕЭЗ и Швейцарии.

Данные казахстанского представительства TikTok в руководстве не указаны, однако по сообщениями СМИ [8] социальная сеть открыла его еще весной 2023 года.

TikTok хранит следующие пользовательские данные, которые могут быть предметом законных запросов правоохранительных органов (примеры не являются исчерпывающими):

  • Информация о пользователе (примеры: имя пользователя TikTok, адрес электронной почты (в зависимости от способа регистрации пользователя), номер телефона (в зависимости от способа регистрации пользователя), дата создания аккаунта, IP-адрес при создании аккаунта, информация об устройстве);
  • Данные о входе/выходе из аккаунта (IP-адрес входа/выхода из аккаунта);
  • Данные о взаимодействии (не связанные с контентом) (журналы IP-адресов взаимодействия (только за определенный период), время / дата создания видео);
  • Данные о контенте (видео-контент, комментарии, содержание личных сообщений).

В Руководящих принципах работы TikTok с правоохранительными органами [9] указаны правовые основы запроса:

  • Соответствующий юридический процесс: в запросе должен быть четко указан юридический процесс (т. е. ссылка на соответствующую статью или раздел закона/статута/кодекса), который уполномочивает правоохранительные органы запрашивать и собирать информацию в целях предотвращения, выявления или расследования уголовных преступлений.
  • Контекст и расследуемое(ые) правонарушение: в запросе должен быть отдельно указан тип расследуемого(ых) правонарушения (со ссылкой на соответствующий Закон/Устав/Кодекс), обстоятельства правонарушения и каким образом оно связано с Платформой.
  • Уведомление пользователя: указать, разрешено ли уведомление пользователя.

Также как и у других платформ, у TikTok существуют процедуры, позволяющие обрабатывать экстренные запросы. Такие запросы рассматриваются в каждом конкретном случае в индивидуальном порядке: если в рамках экстренного запроса TikTok получает информацию, которая, по их оценке, является достаточной для того, чтобы добросовестно полагать, что существует чрезвычайная ситуация, связанная с неизбежным нанесением вреда или риском смерти или нанесения человеку серьезных физических травм, компания может предоставить данные пользователя, необходимые для предотвращения такого вреда, в соответствии с применимым законодательством.

TikTok публикует данные [10] о том, сколько было получено запросов правоохранительных органов на информацию о пользователях по всему миру, однако данные по Казахстану отсутствуют.

В правовой основе указано, что в целях предотвращения, выявления или расследования уголовных преступлений TikTok может предоставлять данные. TikTok указывает, что при направлении запроса должно быть любое вложение, как официальный ордер, постановление суда или другая документация, подтверждающей запрос. Однако под «любым вложением» можно и подразумевать запросы от правоохранительные и специальных государственных органов, как это указано в Законе «Об онлайн-платформах и онлайн-рекламе»

Заключение

Проблемой данного пункта по обязанности о предоставлении данных пользователя онлайн-платформы является то, что он не определяет четких критериев и гарантий для предоставления данных уполномоченным органам. Так, закон не уточняет, какие именно данные могут быть запрошены и в каких случаях. Также закон не содержит норм, которые бы защищали права пользователей на конфиденциальность данных, в случае, если они предоставляются государственным органам.

Следует разработать и внести поправки в закон, которые бы учитывали международные стандарты защиты прав человека в интернете, как например Руководящие принципы ООН предпринимательской деятельности в аспекте прав человека [11], а также обеспечивали прозрачность и контроль за действиями онлайн-платформ и уполномоченных органов.


🔗 Ссылки Web Archive:

[1] ‘Тест: знаете ли вы мемы, за которые могут осудить?’, Афиша Daily, https://web.archive.org/web/20230927074536/https://daily.afisha.ru/culture/9666-test-znaete-li-vy-memy-za-kotorye-mogut-osudit/

[2] ‘Информация для правоохранительных органов’, Справочный центр Instagram, https://web.archive.org/web/20230927074613/https://www.facebook.com/help/instagram/494561080557017

[3] ‘Law Enforcement Online Requests’, Facebook, https://web.archive.org/web/20230927074729/https://www.facebook.com/records/login/

[4] ‘Действия Google при получении запросов госорганов на получение пользовательских данных’, Google, https://web.archive.org/web/20230927074858/https://policies.google.com/terms/information-requests?hl=ru

[5] ‘The GNI principles’, сайт Global Network Initiative, https://web.archive.org/web/20230927075054/https://globalnetworkinitiative.org/gni-principles/

[6] ‘Запросы пользовательских данных со всего мира’, Google, https://web.archive.org/web/20230927075128/https://transparencyreport.google.com/user-data/overview?hl=ru&user_requests_report_period=series:requests,accounts;authority:KZ;time:&lu=user_requests_report_period

[7] ‘Telegram FAQ’, Telegram, https://web.archive.org/web/20230927075224/https://telegram.org/faq

[8] ‘TikTok открывает представительство в Казахстане’, Международное информационное агентство «DKNews», 6 мая 2023 года, https://web.archive.org/web/20230927080631/https://dknews.kz/ru/shelkovyy-put/303561-kazahstan-i-kitay-obsudili-budushchee-sovmestnyh

[9] ‘Руководство TikTok по вопросам взаимодействия с правоохранительными органами’, TikTok, https://web.archive.org/web/20230927082445/https://www.tiktok.com/legal/page/global/law-enforcement/ru

[10] ‘Information Requests Report’, TikTok, https://web.archive.org/web/20230927141201/https://www.tiktok.com/transparency/en/information-requests-2022-2/

[11] ‘Руководящие принципы ООН предпринимательской деятельности в аспекте прав человека’, официальный сайт Организации объединенных наций, https://web.archive.org/web/20230927092207/https://www.ohchr.org/sites/default/files/documents/publications/guidingprinciplesbusinesshr_ru.pdf

Вам также может понравиться