В среду ночью Роскомнадзор выпустил разъяснение по ранее обнародованному проекту приказа, который направлен на предотвращение доступа к запрещенной в России информации. Регулятор заявил, что данные о личных устройствах пользователей, согласно этому документу, «не собирается». О риске сбора этой информации несколькими часами ранее в заметке «Агентства» говорил эксперт группы техподдержки «На связи». После выхода заявления Роскомнадзора «Агентство» попросило экспертов проекта подробнее объяснить, почему они считают этот риск вероятным.
Комментарий эксперта. Согласно пункту 9 приложения к приказу, операторы будут обязаны передавать Роскомнадзору IP-адрес и ID пользователя, данные об установке и завершении соединений.
- Из приказа не до конца понятно, что регулятор вкладывает в понятие ID. Скорее всего, это совокупность различных идентифицирующих данных пользователя, к которым может относиться номер договора, номер или логин абонента, а также упоминающееся в приказе «пользовательское оконечное оборудование». Проект приказа и закон «О связи» не содержат четкого разъяснения, что такое «оконечное оборудование». Это означает, что понятие может толковаться по-разному — под ним могут подразумевать и установленный в квартире роутер, и устройства, с помощью которых пользователь выходит в интернет.
- То есть возможно толкование, при котором регулятор может запросить так называемые MAC-адреса. Они есть у каждого устройства.
- При выходе в интернет через домашний WiFi-роутер оператор сейчас в большинстве случаев может видеть MAC-адрес только самого роутера. Но если приказ выйдет в таком виде, как сейчас, в перспективе на провайдеров может быть возложена обязанность собирать и информацию об устройствах, подключающихся через роутеры.
- Если пользователь заходит в сеть через мобильный интернет или с компьютера по выделенной связи, оператор автоматически получает данные непосредственно пользовательского устройства.
- Роскомнадзор не получит точных данных о включении пользователем VPN. Текущая версия документа не предусматривает сбора информации о типе соединения. Регулятор сможет судить о том, что пользователь мог начать пользоваться VPN-сервисом, лишь по IP-адресу, к которому обратился пользователь. Если по этому адресу ничего, кроме VPN, нет, специалисты ведомства смогут сделать вывод о том, что пользователь соединялся с VPN-сервисом. При этом у Роскомнадзора нет данных обо всех IP-адресах, которые используют VPN-сервисы.
- Зачем? Мы предполагаем, что приказ может быть подготовкой к введению контроля за средствами обхода блокировок.
Контекст. В среду был опубликован проект приказа Роскомнадзора, который обязует операторов связи передавать ему данные, которые, как говорится в пояснительной записке, должны помочь предотвратить доступ к информации, чье распространение ограничено в России. По мнению экспертов, приказ позволит властям автоматизировать доступ к данным, которые сейчас они могут получать по запросу спецслужб. Наблюдатели допускают, что это первый шаг к введению наказания за пользование заблокированными в России ресурсами, писало накануне «Агентство».
Больше новостей, о которых боятся писать в России, — в наших аккаунтах в Telegram, Twitter, Facebook