Законодательная база
Согласно «закону Яровой» (ФЗ-374/375 от 06.07.2016), который дополнил Федеральный закон № 126-ФЗ «О связи», операторы связи обязаны хранить данные о передаче пользовательских сообщений. В частности, изменённая ст. 64 ФЗ-126 требует сохранять метаданные соединений (сведения о приёме/передаче данных) на срок 3 года и содержимое сообщений (тексты, голос, изображения, видео и прочее) – 6 месяцев. Конкретные правила хранения утверждены Постановлением Правительства РФ № 445 от 12.04.2018 (вступило в силу 1 июля 2018 г.) и устанавливают требования к техническим средствам, ПО и процедурам сохранения данных. Кроме того, Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» обязывает операторов (в том числе интернет‑провайдеров) вести учёт абонентских данных и сессий связи, а также передавать по запросу МВД/ФСБ сведения о пользователях.
Типы данных и сроки хранения
- Метаданные соединений: время и длительность сеанса, IP-адреса абонента и точки доступа, используемые порты, объём трафика и т.п. Хранятся 3 года. Это соответствует требованию ФЗ-126 (ст. 64) о хранении “информации о передаче/приёме” коммуникаций. Поскольку законодательство не выделяет отдельно HTTP или HTTPS, любой сетевой трафик считается «сообщением», и провайдеры сохраняют его служебные параметры в общем порядке.
- Содержимое сообщений: тексты SMS/электронной почты, записи телефонных разговоров, голосовые сообщения, изображения, видео и т.д. Хранятся 6 месяцев. Фактически это применимо ко всем сервисам передачи данных (мессенджеры, почта, звонки и т.п.), которыми оперирует провайдер.
- Персональные данные абонента: ФИО, паспортные/идентификационные данные, контактная информация и др., указываемые при заключении договора. Закон об информации (ст. 10 ФЗ-149) и закон о связи требуют, чтобы у провайдера хранились сведения, идентифицирующие пользователя (включая адрес регистрации, номер договора, учётные записи). По новым правилам провайдеры обязаны предоставлять эти данные спецслужбам по запросу.
- Данные о посещённых сайтах: прямого законного требования «хранить список URL» нет. Однако IP-адреса и доменные имена серверов, к которым подключается пользователь, автоматически фиксируются как часть метаданных сеанса. При незашифрованном HTTP-подключении провайдер видит полный URL-адрес, при HTTPS – лишь доменное имя (через SNI) и IP. Закон не требует хранить сами URL-адреса, но позволяет по косвенным данным восстановить факт посещения тех или иных ресурсов.
HTTP vs HTTPS
Российское законодательство прямо не различает HTTP и HTTPS: обязательства распространяются на любой интернет-трафик. При HTTPS содержимое трафика шифруется, и провайдер не имеет технической возможности его прочитать или записать. Тем не менее провайдер обязан сохранять доступные ему метаданные соединения (IP-адреса клиента и сервера, имя домена, время и объём передачи) в соответствии с общими требованиями. Более того, закон обязывает провайдеров, использующих шифрование, передавать по требованию ФСБ ключи шифрования или иным способом помогать в расшифровке сообщений. При HTTP трафик не шифруется, и провайдер видит полный текст запросов, но формально обязанности хранить именно «посещённые страницы» в законе нет – сохраняются только служебные данные сеанса. Таким образом, в обоих случаях на первом плане находятся метаданные соединения; различие состоит лишь в технических возможностях провайдера видеть содержимое (HTTPS-шифрование затрудняет его хранение).Особенности и дополнительные требования
- Собственные средства хранения: Постановление № 445 (2018) предписывает операторам использовать собственные программно-технические средства для хранения трафика, либо специализированное оборудование под контролем ФСБ. Стандартные центры обработки данных за рубежом при выполнении требований неприемлемы – всё хранится на территории России. Использование «чужих» облачных сервисов возможно только с разрешения ФСБ.
- Сотрудничество с властями: Операторы обязаны по требованию передавать уполномоченным органам как сами хранимые данные (записи и логи), так и информацию об абоненте. Если пользователь не предоставил надёжную идентификацию, оператор обязан приостановить или ограничить оказание услуг этому пользователю. Кроме того, операторы связи должны обеспечивать возможность доступа ФСБ к зашифрованным сообщениям (передавать ключи или дешифрованные копии).
- Ответственность: За несоблюдение требований хранения предусмотрена административная ответственность. Штрафы для операторов могут достигать нескольких сот тысяч и даже миллионов рублей (до 1 000 000 ₽). Аналогичные санкции существуют и для «организаторов распространения информации» в интернете (социальные сети, мессенджеры и т.д.), обязанных хранить метаданные пользователей 1 год.
