Аналитика Аналитические обзоры

30 июля 2017 года президент России подписал Федеральный закон от 29 июля 2017 года № 276-ФЗ "О внесении изменений в Федеральный закон об информации, информационных технологиях и о защите информации" (далее – "Поправки"[1]). Поправки среди прочего запрещают использовать технологии, информационные системы и программы (далее – анонимайзеры и VPN-сервисы[2]), позволяющие обойти блокировку и получить доступ к информационным ресурсам с запрещенным контентом, доступ к которым ограничен на территории Российской Федерации. Нововведения будут применяться только к тем анонимайзерам, VPN-сервисам и иным программам, которые предоставляют доступ к онлайн-ресурсам и информационно-телекоммуникационным сетям, доступ к которым в России заблокирован Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – "Роскомнадзор").

Кого затронут Поправки? Указанные Поправки коснутся прежде всего владельцев анонимайзеров и VPN-сервисов, а также поисковых систем, которые обязаны будут блокировать любые ссылки на информационные ресурсы или информационно-телекоммуникационные сети, запрещенные Роскомнадзором. В Поправках прописана система взаимодействия Роскомнадзора, провайдеров хостинга и владельцев сайта в целях блокирования доступа к запрещенному контенту[3].

Возникает вопрос, как следует применять новые правила в отношении VPN-сервисов, используемых для корпоративных целей, и применимы ли Поправки к таким ситуациям в принципе.

Как применять VPN в корпоративных целях? Зачастую крупные компании, располагающие офисами по всему миру, обеспечивают удаленный доступ своих сотрудников к единой корпоративной платформе с использованием VPN-каналов.

Статья 17 Поправок предусматривает, в частности, что нововведения не будут применяться при соблюдении двух условий: (1) круг пользователей программно-аппаратных средств заранее определен их владельцами (т.е. владельцами VPN-сервисов); (2) такие программно-аппаратные средства применяются для технологического обеспечения деятельности лица их использующего.

В отсутствие официальных разъяснений со стороны Роскомнадзора полагаем, что в последнем случае речь идет как раз о применении программно-аппаратных средств юридическим лицом для осуществления своей хозяйственной деятельности. Примером, в частности, может служить применение VPN-соединений в корпоративных целях среди ограниченного круга пользователей.

Напрашивается предварительный вывод о том, что VPN-сервисы, равно как и другие программно-аппаратные средства и технологии, применяемые для внутрикорпоративных целей и поддержания деятельности компании, подпадают под предусмотренные исключения статьи 17 Поправок.

Стоит отметить, что в проекте Поправок статья 17 выглядела несколько иначе. В частности, там непосредственно упоминалось о том, что под требования закона не будут подпадать случаи, когда владельцы информационно-телекоммуникационных сетей, информационных систем или программ для ЭВМ обеспечивают их использование исключительно лицами, которые состоят с такими владельцами в трудовых отношениях[4]. Однако изначальная редакция претерпела изменения в пользу более размытой и широкой формулировки.

Однозначные выводы о нераспространении требований Поправок на корпоративные VPN-сервисы делать пока рано ввиду отсутствия официальных разъяснений со стороны Роскомнадзора. К тому же нет никаких гарантий, что VPN-соединение не может использоваться одновременно в корпоративных целях и в целях получения доступа к ресурсам и веб-сайтам, заблокированным в России. К примеру, такие VPN-соединения как HideMy.name, ExpressVPN или PIA могут применяться как для обеспечения доступа сотрудников компании к глобальной корпоративной платформе, так и для возможности обхода заблокированного доступа к запрещенным информационным ресурсам в России. При этом из текста Поправок явно не следует, как будет распределяться ответственность (и будет ли) среди владельцев программно-аппаратных средств и лиц, использующих такие технологии для обеспечения своей деятельности.

По сообщениям из прессы, интернет-омбудсмен Д. Мариничев уже назвал принятый федеральный закон "безумием" со ссылкой на то, что "невозможно отделить VPN, который используется в коммерческих целях, от VPN, который используется для обхода блокировок"[5]. Есть опасения, что практика применения Поправок пойдет по пути тотальной блокировки администраторами сервисов таких инструментов, как VPN и TOR, вне зависимости от того, для каких целей они используются.

Какая будет ответственность? Ответственность за несоблюдение принятых Поправок ни для поисковых систем, ни для провайдеров хостинга или владельцев интернет-сайтов пока не установлена. Возможно Кодекс Российской Федерации об административных правонарушениях будет изменен позднее – после начала действия Поправок. Пока кодекс устанавливает лишь ответственность операторов связи за неисполнение ими обязанности по ограничению/возобновлению доступа к информации, доступ к которой был ограничен/возобновлен на основании сведений, полученных от Роскомнадзора (статья 13.34).

[1] Поправки вступают в силу 1 ноября 2017 года, за исключением некоторых положений.

[2] Здесь и далее под "анонимайзерами" имеются в виду веб-сайты или браузеры, используемые пользователями, чтобы скрыть свои данные, включая геолокацию и устройство, с которого выполнен вход, от владельцев ресурсов, который посетил пользователь. Под VPN-сервисами подразумеваются приложения или встроенные сервисы, которые предназначены для анонимной работы в сети и позволяют шифровать весь трафик пользователя.

[3] Отдельная памятка по взаимодействию владельцев сайтов и провайдеров хостинга будет выпущена юридической фирмой VEGAS LEX осенью.

[4] http://asozd2.duma.gov.ru/addwork/scans.nsf/ID/F071CE249CC1BD814325813900378252/$File/195446-7_08062....

[5] https://zona.media/news/2017/06/08/marinichev.