Разработчики ПО не согласны с определением «специальных технических средств» от ФСБ

    3 июля 2018 года ФСБ опубликовала для общественного обсуждения проект поправок к Уголовному кодексу (УК) РФ, который вводит определение технических средств для негласного получения информации. Авторы проекта поясняют, что в настоящее время значение термина «специальные технические средства, предназначенные для негласного получения информации» в федеральном законодательстве не раскрыто. Соответственно, требуется конкретно сформулировать, какие устройства считаются шпионскими и подпадают под формулировку «незаконного оборота» из Уголовного кодекса.

    Согласно документу, под специальными техническими средствами (СТС), предназначенными для негласного получения информации, в настоящем Кодексе понимаются приборы, системы, комплексы, устройства, специальный инструмент и программное обеспечение для электронных вычислительных машин и других электронных устройств, независимо от их внешнего вида, технических характеристик, а также принципов работы, которым намеренно приданы качества и свойства для обеспечения функции скрытного (тайного, неочевидного) получения информации либо доступа к ней (без ведома её обладателя)».

    ФСБ разработала данный законопроект во исполнение пункта 1 поручения Правительства Российской Федерации от 12 марта 2018 г. № РД-П4-1313 после известной истории с курганским фермером, которого купил китайский GPS-трекер, чтобы следить за коровой. Сотрудники ФСБ задержали его около почты с посылкой в руках. Фермера привлекли к уголовной ответственности, а в 2017 году к Владимиру Путину обратились односельчане с просьбой разобраться. После того случая Генпрокуратура РФ начала проверку. Сейчас подготовлены поправки в Уголовный кодекс, чтобы подобные истории больше не повторялись.

    По идее, поправки должны способствовать гуманизации законодательства и уменьшению количества случаев уголовного преследования по статье 138.1 («Незаконный оборот специальных технических средств, предназначенных для негласного получения информации»). С 2014 года по этой статье число осуждённых превышает 200 человек в год: в 2014 году — 212 человек, в 2015 году — 259 человек, в 2016 году — 228, в 2017 году — 254.

    Приведённую выше уточнённую формулировку предлагает закрепить в качестве примечания к статье 138.1. В пояснительной записке сказано, что предлагаемое значение термина СТС «соответствует правовой позиции, изложенной в пункте 3.1 постановления Конституционного Суда Российской Федерации от 31 марта 2011 г. № 3-П, является исчерпывающим и позволяет дифференцировать СТС от технических средств (предметов, устройств), которые по своим техническим характеристикам, параметрам, свойствам или прямому функциональному предназначению рассчитаны лишь на бытовое использование массовым потребителем, если только им намеренно не приданы нужные качества и свойства, в том числе путем специальной технической доработки, программирования именно для неочевидного, скрытного их применения».

    Однако уточнённая формулировка от ФСБ не устроила российских разработчиков программного обеспечения. Претензии от лица ряда компаний высказал Николай Комлев, председатель Совета Торгово-промышленной палаты РФ по развитию информационных технологий и цифровой экономики. В частности, наибольшие сомнения вызывает упоминание программного обеспечения, которому «намеренно приданы качества и свойства для обеспечения функции скрытного получения информации».

    По мнению Комлева, большинство отечественных и международных софтверных вендоров используют для защиты своих прав на интеллектуальную собственность различные системы мониторинга взлома программ. Кроме того, разработчики собирают информацию, чтобы оказывать пользователям техническую поддержку.

    Другими словами, под такое определение подпадает банальные функции вроде сбора данных веб-сёрфинга в браузере Firefox. Хотя в браузере информация отправляется в обезличенном (анонимном) виде, но другие программы не так тщательно оберегают приватность пользователей, а иногда даже не предупреждают их о сборе информации. Согласно новой формулировке ФСБ, такие действия теоретически можно квалифицировать как тайную слежку за пользователями — и судить разработчиков по статье 138.1, которая предусматривает ответственность за незаконный оборот средств для негласного получения информации в виде ограничения свободы на срок до четырёх лет, штрафа или принудительных работ.

    Совет ТПП РФ по развитию информационных технологий и цифровой экономики не позднее сентября направит в ФСБ свои предложения к законопроекту.

    Общественное обсуждение законопроекта завершилось 17 июля 2018 года. Планируемый срок вступления в силу — декабрь 2019 года.

    Предупреждение по просьбе администрации сайта: «При комментировании этого материала просим соблюдать правила. Пожалуйста, воздержитесь от оскорблений и токсичного поведения. В комментариях работает постмодерация».

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 6 474 анкет, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 57

      +5
      То есть разработчикам ПО нужно будет явно рассказывать пользователя что и как они собирают и, опять же явно, спрашивать на это разрешение у пользователя. По сути будет происходит приметно то же самое, что сейчас происходит в Европе после вступления в силу GDPR — теперь сайты не только показывают плашку «мы используем куки» с одной кнопокой «скрыть», а прям показывают вслывающее окно при первом заходе и говорят «мы собираемся собирать о вас такие-то данные, вы можете выбрать что вы не хотите предоставлять или разрешите все». Но это будет распространяться на все ПО, что, в теории, не так плохо.
        +1
        И чем больше они напишут, что и для чего они будут собирать о пользователе, тем меньше людей будет «эту галиматью» читать и просто станут соглашаться! )))
        Огромный текст сродни короткой надписи про куки.
        Но да, это лучше для тех, кто «в шапочке» )
        (хотя они всё равно будут ставить какой-нибудь ghostery)
          +1
          Разработчики ПО просто будут сразу совать предупреждение в дисклеймер, что программа собирается всю информацию со всех возможных источников информации.
            +2
            Судя по статье, разработчики как раз против дисклеймеров и прочей открытости.
              0
              При сборе персональных данных разработчики мобильных приложений
              обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение
              (обновление, изменение), извлечение персональных данных граждан Российской
              Федерации с использованием баз данных, находящихся на территории Российской
              Федерации согласно федеральному закону [7] в части уточнения порядка обработки
              персональных данных в информационно-телекоммуникационных сетях.
              +1
              Встречал на некоторых сайтах такое, что нельзя отказаться от сбора куков, есть только кнопка «Принять» и все!
                0
                Всё зависит от практического толкования «скрытного получения» и «информации», потому что при правильном подходе под это можно подвести ЛЮБУЮ программу. А натягивать сову на глобус у нас любят, особенно если от этого зависит премия.
                  0
                  Вот именно. Проблема в терминах «неочевидный», «тайный», «скрытый», которые являются сугубо субъективными. Для меня, например, очевидно, что при заходе на Хабр он, Хабр, может оставить куки, а также сохранить в логах айпишник, ид агента и прочие «отпечатки», а для моей матушки — нет, не очевидно. Следаку1 это будет очевидно, а следаку2 неочевидно. Как-то так.
                  0
                  Пользователь мобильного приложения должен иметь возможность
                  видеть и контролировать сбор своих персональных данных компанией-
                  разработчиком. Приложение должно иметь понятное объяснение того, как
                  пользователи могут… указывать, используется ли их информация для рекламы.

                  Стандарт от Роскачества, о котором была уже статья. Вообще документ — песня
                    0
                    Это не сработает. Скажем, установил GPS трекер браузер я, он меня спросил обо всех галочках и настройках, включая приватности и обработки данных, а воспользовался GPS трекер браузером вор, взявший мой мотоцикл ноутбук без спроса, а сяду за это я.
                    +4
                    Довольно прозрачно видно желание упростить «набивание палок», распространив его не только на фермеров с трекерами. Расплывчатые формулировки — наше всё.
                      0
                      То есть я, например, имея смартфон, где в настройках есть функция «выключить звук съемки фотоаппаратом», вполне могу влететь под статью?!
                        +2
                        Нет. Фотографирование смартфоном — стандартная функция. Звук там для красоты. Цифромыльницы тоже никакого звука не дают. Звук (хлопок зеркалом) есть только у зеркалок.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Фотографирование смартфоном — стандартная функция, описана в документации. Звук при фотографировании не обязателен.

                            Спрашивать у людей разрешение на фотографирование — не относится к этому закону. Я не фотограф, но вроде есть какие-то ограничения, в публичных местах или не публичных местах, может есть спецы, смогут подсказать.

                            А вот если вы будете фотографировать шариковой ручкой с миникамерой, вот тут уже могут начаться проблемы с законом.
                              0
                              Я не фотограф, но вроде есть какие-то ограничения, в публичных местах или не публичных местах.
                              В общественных местах без разрешения можно фотографировать то, что не относится к личной жизни лица. Разъяснение ВС РФ.
                              Публиковать и распространять фото людей без их разрешения — это уже отдельный разговор. Но это всё гражданские отношения.

                              А вот если вы будете фотографировать шариковой ручкой с миникамерой, вот тут уже могут начаться проблемы с законом
                              Просто купить ее уже уголовка.
                              • НЛО прилетело и опубликовало эту надпись здесь
                              • НЛО прилетело и опубликовало эту надпись здесь
                                  +1
                                  Чем фотографирование шариковой ручкой отличается от смартфона? В каком законе об этом сказано?
                                  Тем что в ручке видеокамера скрытая. Ст. 138.1 УК РФ.

                                  Не пытайтесь оправдывать идиотизм подобных законов.
                                  Повежливей. Я не даю и не давал здесь оценку законам, только их основную трактовку.
                                  • НЛО прилетело и опубликовало эту надпись здесь
                                      +1
                                      Я не grondek, но согласен с тем, что он написал

                                      Если вам хочется просто поболтать и покостерить законы — ради бога.
                                      Если вам действительно интересно узнать объективную сторону состава преступления, предусмотренного статьей 138.1 УК РФ, то вы без труда найдете комментарии и разъяснения к этой статье в сети.
                                      Чтобы понять смысл термина «скрытая».
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                    +1
                                    Вставлю свои пять копеек. В смартфоне эта функция идет по умолчанию, т.е. все уже знают, что там имеет место быть камера с тем же диктофоном. Для ручки эта функция, будь она сто раз прописана в описании товара, не типична от слова вообще. На мой взгляд, именно тут собака и порылась.
                                    –2
                                    А где в уголовном кодексе про «стандартность» и «нестандартность» функций?
                                      0
                                      Там вот такая формулировка:
                                      «намеренно приданы качества и свойства для обеспечения функции скрытного (тайного, неочевидного) получения информации либо доступа к ней (без ведома её обладателя)»

                                      Фотографирование в смартфоне не скрытная — камеру видно, и фотографировать им из кармана не очень получится. И уж тем более не неочевидная, опять же потому что там есть камера, это описано в ТТХ.

                                      А вот в ручке с фотокамерой — объектив обычно не видно, это уже скрытная. И вряд ли ручкой с камерой кто-то будет фотографировать как смартфоном — держа его перед собой и пялясь в экран. Это уже тайная.
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                  +1
                                  В Японии на всех смартфонах и камерах нельзя отключить звук съемки, это законодательно запрещено. Сделано для того, чтобы не вели скрытую съемку (преимущественно трусов исподтишка).
                                    0
                                    У ВСЕХ Android-смартфонов звук затвора исчезает, если выставить на ноль громкость звонка и оставить только вибрацию. В Японии продают смартфоны с особыми прошивками, где учтены местные требования? А как же туристы, их хоть в аэропорту предупреждают?
                                      0
                                      В Японии продают смартфоны с особыми прошивками, где учтены местные требования?
                                      Да.
                                      naruhodo.jp.net/why-all-cellphones-camera-in-japan-shipped-with-shutter-sound

                                      Более того, есть как минимум одно сообщение о том, что если в обычный смартфон вставить японскую SIM, то звук камеры нельзя выключить: www.tripadvisor.com/ShowTopic-g298184-i861-k10949455-Disabling_phone_camera_shutter_sound-Tokyo_Tokyo_Prefecture_Kanto.html
                                        0
                                        А если смартфон с симкой любой другой страны оказывается в Японии в роуминге? И если принудительное включение звука не происходит, турист что-то фотографирует, а щелчка не слышно, и мимо как раз идёт сотрудник 日本の警察?
                                          0
                                          И ещё, получается, в Японии запрещено фотографировать в очень шумных местах типа тротуаров оживлённых улиц? Или настолько серьёзно там к этому не относятся?
                                            0
                                            Я не знаю ответов на эти вопросы. Если вы не можете найти дополнительной информации в интернете, и сильно интересно, могу поспрашивать знакомых, живущих в Японии.
                                              0
                                              Да, весьма интересно, для общего развития.
                                                0
                                                Знакомый пишет:
                                                Да, почти любой телефон при выставлении японской симки включает звук в камере. Это законодательно, как мне все говорят (сам закон не видел).
                                                Нормально отключить можно, если телефон проручен или джейлбрейк, а ненормально — искать приложение, которое снимает без звука. У меня это Line camera и Prisma. Самое смешное, что лайн — это японская компания по сути, лол.

                                                В Японии всё фотографируют везде, особо не парятся.

                                                В моём Самсунге японском вообще нет опции отключить звук в камере. Выезжаешь за пределы Японии — приходит оповещение, что звук в камере выключить можно. Но опции в настройках нет ахаха
                                                  0

                                                  Приехал с айфоном, вставил японскую симку, звука как не было, так и нет. При этом айфон, купленный здесь, с российской симкой всё так же щёлкает вовсю.
                                                  Джейл, конечно, решает почти все проблемы и привносит хоть какой-то смысл в покупку айфона как явление.

                                      0
                                      А как же видео?
                                +1
                                По идее, поправки должны способствовать гуманизации законодательства и уменьшению количества случаев уголовного преследования...

                                Это по «идее». Пчёлы против мёда, ага ))))
                                На практике, фискально-силовые, да и любые другие структуры, будут делать всё для расширения поля своей деятельности, и усиления своего влияния. Чем больше уголовных дел проходит через ФСБ — тем эта контора мощнее, и лучше финансируется.

                                  +1
                                  Кстати, очень мудрое наблюдение.
                                  Эта поправка позволяет ФСБ залезть в любой софт и к любому разработчику.
                                    –1
                                    А как, собственно, это залезание должно происходить? Ну хотя бы в общих чертах процесс. Как получаются ордера? А что дальше: изымают исходный код, отправляют на экспертизу?

                                    Естественно доступ к исходному коду постороннего человека может вести к нарушениям копирайта и тайны ведения дела, а факт ведения административного или уголовного следствия — к произвольному «опусканию» фирмы на рынках. Но проблема использования служебного чина в корыстных целях — не есть проблема наличия и отсутствия законов, которыми можно в корыстных целях воспользоваться, а есть проблема наличия коррумпированного чиновника, который будет эти законы или их отсутствие в своих корыстных целях использовать.

                                    На мой взгляд, вполне логично, что пользователь должен быть явно и открыто осведомлён о полном перечне информации, которая исходит из приложения, которым он пользуется, и конечно должен быть осведомлён о полном перечне целей, которым это приложение посылает эту информацию
                                      +1
                                      А как, собственно, это залезание должно происходить?

                                      В смысле, как? Приходят товарищи в офис и говорят, что в результате ОРМ (каких именно имеют право не говорить, и это не проблема их организовать) получена информация, что ваш софт собирает скрыто информацию.
                                      Затем изымают диски, компы, документы (санкция суда получается автоматически), допрашивают сотрудников. Экспертиза, естественно. Экспертиза что-то находит — возбуждается уголовное дело. Этого достаточно?
                                      Есть мягкий вариант — заходят к директору, говорят тоже самое и решают вопрос как-то легче. И получаем много-много маленьких лабораторий касперского.

                                      До этого закона ФСБ не могла так просто подкатить к софтверной компании.

                                      На мой взгляд, вполне логично, что пользователь должен быть явно и открыто осведомлён о полном перечне информации...

                                      Абсолютно согласен. Также как разработчик знаю, какие соблазны в сборе той или иной полезной и «на всякий случай» информации встают перед разработчиком при разработке приложения. И могу предположить процент программ, которые это делают для удобства своего и пользователя — большой процент. А какую именно информацию собирает программа — персональные данные или число дисков на винте — формально для ст. 138.1 УК РФ не важно.
                                        0
                                        каких именно имеют право не говорить, и это не проблема их организовать


                                        То есть исходим из того, что оперативная информация фальсифицирована? Этот же аргумент можно применить вообще к любой статье, предусматривающей административную или уголовную ответственность. Если экспертиза легитимно что-то находит — значит вы действительно нарушаете. Если экспертиза фальсифицирована, это опять можно применить к любому другому делу. Так что если мы говорим про ложное дело и про оборотней в погонах — это коррупционная деятельность, и отношение ко всем статьям имеет равное.

                                        Тогда вы против не статьи, а против того, что органы спецслужб теперь имеют ещё один способ незаконно оказать на вас давление используя законодательство в качестве прикрытия.
                                          0
                                          То есть исходим из того, что оперативная информация фальсифицирована?
                                          Не обязательно. Зависит он чистоты рук конторских служащих. И в ФСБ намного меньший процент фальсификаций подобных документов, чем в МВД, кстати. Скажем так, «план» выполнять таким образом они не будут, скорей, только заказы.

                                          Тогда вы против не статьи, а против того, что органы спецслужб теперь имеют ещё один способ незаконно оказать на вас давление используя законодательство в качестве прикрытия.
                                          Против второго я точно против, хотя сейчас это норма. А против статьи… В какой-то исправленной мере она нужна: никому не интересно, если его неприглядно скрыто снимут, а потом обнародуют, правда ведь? Вполне возможно придумать разумную защиту права человека на частную жизнь.
                                    0
                                    Уголовные дела против фермеров, проходящие через ФСБ, приводящие к повышению её финансирования… Серьёзная контора однако
                                    +4
                                    Интересно, что вендоры возмутились не законом вообще, а тем что их сбор данных о пользователях теперь может попасть под статью.
                                      0
                                      Интересно, а что думают по этому поводу веды DLP решений, Solar dozor так вообще обфускацирует выполняемые через CMD и PS команды
                                        0
                                        Единственное изменение в закон, которое здесь нужно сделать — это полностью отменить 138.1. А не «дополнять» ее определением, под которое попадает даже бинокль.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            0
                                            А если сбор и доступ к информации явный, но ее владельца нет? Помнится, был скандал с персонажем, который мониторил состояние воздуха в своем городе, и делился ею в сети. Одна проблема, делал это он не сертифицированными приборами, и, может быть по этой причине, его цифры иногда отличались от официальных. Это теперь законно?
                                            А если нформация собирается неявно, но право собственности на нее неочевидно? Банальный дамп программы при падении, кому он принадлежит? Другой пример: мобильное приложение, которое само ни чего не собирает, но общается с внешним сайтом, например читает facebook, отвечают ли, создатели приложения за администрацию социальной сети, если сами к ней ни какого отношения не имеют?
                                            А если для исполнения собственных обязанностей по закону, например родительских, я даю своему ребенку брелок с функцией gps трекера, и, о ужас, возможностью слышать, что происходит вокруг него, должен ли я оповещать об этом всех вокруг, или достаточно, чтобы он не обладал функцией записи?
                                            А если ресурс собирает информацию обо мне явно, являюсь ли я ее владельцем, и могу, например, потребовать сообщить мне всю информацию, что была собрана, или даже удалить ее?
                                            И это первое, что пришло наум после прочтения поправки.
                                              +2
                                              Воздух не попадает под закон о персональной информации.

                                              Если программа делает дамп — придется писать в инсталляторе или описании, что она мождет сделать дамп и записать в него следующую информацию…

                                              Там же главное, чтобы пользователь был уведомлен о том что может делать программа и чтобы программа не делала что-то неописанное в документации.
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                  +1
                                                  Блин, надо было еще и саму статью УК прочесть. Тогда текст пояснения звучит менее бредово.
                                                    –1
                                                    Воздух не попадает под закон о персональной информации.

                                                    Воздух — нет, а информация о нем — да.
                                                  0
                                                  Интересно узнать официальную (и не только) реакцию Бургер Кинга на всё это.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      Вчера видел ещё одну их рекламу, на уличном туалете: «освободи место для отличного бургера».
                                                    +1
                                                    Хотя в браузере информация отправляется в обезличенном (анонимном) виде, но другие программы не так тщательно оберегают приватность пользователей, а иногда даже не предупреждают их о сборе информации. Согласно новой формулировке ФСБ, такие действия теоретически можно квалифицировать как тайную слежку за пользователями — и судить разработчиков по статье 138.1, которая предусматривает ответственность за незаконный оборот средств для негласного получения информации в виде ограничения свободы на срок до четырёх лет, штрафа или принудительных работ.


                                                    Вы так пишете, как будто это что-то плохое.
                                                    • НЛО прилетело и опубликовало эту надпись здесь

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое