Расскажите про ваш мониторинг, посвященный свободе интернета в 2020 году? Если резюмировать, какие результаты в этом году?

Резюмировать можно довольно коротко: практически по всем направлениям у нас рост числа вмешательств в свободу интернета – пожалуй, за исключением блокировок. Стало больше случаев применения насилия в связи с выражением мнения в интернете – практически в два раза. За все время наблюдения это самый большой рост. Довольно много добавила Чечня с инцидентами задержания администраторов телеграм-канала ["Осал нах 95"] и людей, пересылавших фотожабу, в которой Рамзан Кадыров был изображен в образе православного священника. Причем были задержаны не только те, кто рассылал эту картинку, но и те, кто получал. Их задерживали, доставляли в отделы полиции и избивали.

Много дала Москва – традиционно, в Москве много людей, много журналистов. Хабаровск выбился в лидеры в этом году, потому что там были протесты: на них несколько раз журналистов задерживали, местные блогеры получали угрозы. Выросло число случаев уголовного преследования. Очень большой рост был по отдельным составам кодекса об административных правонарушениях. Например, выстрелили фейки – и уголовные, и административные. Мы отследили 266 административных дел о фейках про коронавирус. Статья попала в КоАП в начале 2019 года и некоторое время ее практически не применяли – а с началом эпидемии как открыли кран.

С блокировками сайтов ситуация не изменилась. Около 270 тысяч ссылок было заблокировано в 2020 году. Роскомнадзор с приходом нового руководства стал более закрытым – перестал публиковать отчеты о деятельности, но есть ощущение, что в области блокировок все по-прежнему.

Примечательно, что в прошлом году Роскомнадзор стал активно давить на глобальные платформы. Он и раньше это делал, но не в таком виде: видимо, пытается теперь примерить на себя роль внешнеполитической силы. Например, представители Роскомнадзора постоянно выступают с заявлениями, что Google или Facebook вмешиваются во внутренние дела России или чего-то не выполняют. И каждую неделю появляются сообщения, что Роскомнадзор требует вернуть [телеведущего Владимира] Соловьева в тренды YouTube или спрашивает, зачем Facebook маркирует аккаунты Russia Today как финансируемого государством СМИ. Это очень показательная история, и она началась, когда Андрея Липова назначили главой Роскомнадзора (Липов руководит Роскомнадзором с 29 марта 2020 года. На эту должность он перешел из Администрации Президента, где в том числе отвечал за проект по созданию "суверенного интернета". В рамках этого проекта, среди прочего, провайдеров обязали установить оборудование, при помощи которого сейчас Роскомнадзор замедляет работу Twitter в России – прим. автора).

В прошлом году приняли законопроект, который обязывает крупные соцсети удалять запрещенный контент. В противном случае государство штрафует их. Как сейчас вообще обстоят дела с исполнением этого закона? Был ли он использован?

"Одноклассники" уже оштрафовали за неисполнение требований о пресечении распространения призывов к участию в несанкционированных митингах 25 января на 4 миллиона рублей.

Есть ли прецеденты штрафов иностранных соцсетей?

В КоАП есть две статьи: одна вводит ответственность для владельцев сайтов и соцсетей, а вторая – ответственность для операторов поисковых систем, которые не производят удаление из поисковой выдачи. Google, например, за неудаление выдачи ссылок на запрещенный контент уже штрафовали.

Закон о соцсетях, который вводит реестр соцсетей свыше 500 тысяч пользователей в день, сейчас дополняется подзаконными актами. Роскомнадзор уже опубликовал для обсуждения проект приказа установки [на веб-сайтах] государственных счетчиков, которые должны считать аудиторию.

С 1 февраля действует закон об оценке легальности контента. Согласно ему, соцсети должны самостоятельно выявлять незаконный контент. Сейчас их штрафуют, если они не удаляют контент, который суд признал запрещенным – и который потребовал удалить Роскомнадзор. А по новому закону соцсети должны сами выявлять запрещенный контент и удалять его, не дожидаясь распоряжения властей.

Требуют полного удаления контента, или достаточно заблокировать контент для показа в России?

Я думаю, что для российских правоохранителей пока будет достаточно блокировки для российских пользователей. Потому что даже если говорить про "призывы" к митингам – российские власти рассматривают как призыв любое неосуждающее сообщение. Вконтакте, например, ограничивает призывы только для российских пользователей. В конце января эта социальная сеть массово блокировала группы за свободу Навального именно по IP-адресам для российских пользователей. Через VPN или из-за границы их можно спокойно смотреть.

Из-за новости о том, что Роскомнадзор похвалил TikTok за удаление постов с призывами к протестам, кажется, что американские соцсети не так потакают требованиям Роскомнадзора как, допустим, китайские. Верно ли такое утверждение?

Если посмотреть отчеты о прозрачности того же Google, то видно, что в отдельные годы поисковик чаще удовлетворяет российские требования об удалении какой-то информации, чем, например, требования американских властей. В некоторые годы количество удовлетворенных запросов доходило до 70%. В том, что касается удаления контента, я вообще не вижу проблемы – [Роскомнадзор и американские компании] довольно плотно сотрудничают и довольно активно его удаляют. Особенно если речь идет не о политическом контенте: суицид, наркотики и так далее. Проблемы Роскомнадзора скорее связаны с тем небольшим количеством политического контента, который глобальные платформы отказываются удалять. Еще один момент – раскрытие пользовательских данных. Их они почти никогда не раскрывают.

Всем известно про случаи преследования за публикации в телеграм-каналах, Youtube и на страницах Вконтакте. А были ли случаи преследования людей за сообщения в чатах?

Да сколько угодно! Есть одно очень показательное дело: привлекли к ответственности женщину, которая в родительский чат в Whatsapp переслала сообщения о том, что в ее области появились первые инфицированные коронавирусом. Ее оштрафовали за распространение фейка. Причем в постановлении суда было сказано, что с сообщением ознакомились участники чата, в том числе сотрудники полиции. То есть явно в этом чате состоял какой-то "товарищ майор", который мониторил, о чем общаются родители школьников. Это довольно распространенная история, особенно про большие и открытые чаты активистов – они однозначно мониторятся, и в них 100% состоят оперативники.

То есть нужно быть аккуратнее, когда пишешь в общие чаты.

Однозначно.

В целом за последние несколько лет мы увидели, как в США и Европе начали щепетильнее относиться к защите данных пользователей. В Европе ввели общий регламент о защите данных (GDPR). Была также американская инициатива Do Not Track. Как с этим в России обстоят дела на фоне мирового тренда на защиту данных?

В России все очень плохо. Причем сразу со всех сторон.

С одной стороны, наше государство наплевательски относится к пользовательским данным и никак не заботится об их безопасности. И вообще старается собрать как можно больше данных. Чиновники вроде как объясняют это довольно благими целями: безопасность, борьба с преступностью, спасение нашей с вами жизни и государственные услуги в электронном виде. Достаточно посмотреть на Москву, которая строит огромный цифровой концлагерь и собирает гигантское количество данных. Любой москвич, заходя в подъезд, видит результаты этой программы в виде глазка камеры.

При этом гигантские базы данных свободно продаются на черном рынке (имеются в виду базы, утекшие из органов исполнительной власти, содержащие паспортные данные и другую конфиденциальную информацию – прим. автора). 20 лет назад эти полицейские базы данных продавали на Савеловском рынке, а сейчас, чтобы получить доступ к ним, достаточно сделать несколько кликов в браузере. То есть государство относится к продаже наплевательски, и законодательство у нас практически не защищает пользователей. Дело в том, что нет четко описанных критериев, которые бы обязывали правоохранителей и государственных операторов пользовательских данных – полицию, Роскомнадзор, Минздрав и всех, кто с этими данными имеет дело – как-то обеспечивать их защиту. За исключением обязанности применять сертифицированные ФСБ средства криптографической защиты.

С другой стороны, такое ощущение, что пользователям в России тоже до этого дела нет.

Видимо эта привычка впиталась, и люди особо не задумываются над этим. А сейчас, когда есть угрозы со всех сторон – начиная от коронавируса и заканчивая всякими экстремистами-террористами, которыми нас постоянно с телевизора пугают, – люди готовы еще больше поступиться своей приватностью ради призрачных преимуществ безопасности. Поэтому, конечно, в России все довольно плохо.

Очень хороший пример наращивания контроля ради безопасности – это система цифровых пропусков, которую в Москве ввели для нераспространения коронавируса. Из этой системы были утечки которые, например, использует The Insider в своих расследованиях.

Утечки использовали и в расследовании отравления Навального. Государство тоже уязвимо и спустя рукава и, закрывая глаза, смотрит на то, что отдельные недобросовестные чиновники и полицейские приторговывают пользовательскими данными. Так оно допустило и то, что его собственные сведения тоже могут быть проданы.

Правильно ли я понимаю, что в некоторых странах защитой пользовательских данных занимаются ведомства, эквивалентные Роскомнадзору?

Например, уже упомянутый вами европейской регламент GDPR предполагает, что в каждом государстве должен быть создан специальный орган. Этот орган будет следить за соблюдением регламента и защитой пользовательских данных и может в том числе применить меры к нарушителям. В России уполномоченный орган по всем вопросам, связанным с персональными данными, это Роскомнадзор. Но действует он, к сожалению, выборочно.

Так, по фактам утечек из полицейских баз данных, как правило, никаких мер они не применяют. В качестве примера можно вспомнить историю с публикацией данных адресов и телефонов участников протестов в телеграм-канале "Товарищ майор". Тогда люди, которые попали в эту базу, направили в Роскомнадзор несколько десятков обращений, а в ведомстве им сказали, что не видят здесь нарушения и не будут ничего предпринимать.

При этом Роскомнадзор систематически штрафует организации за правонарушения, связанные с обработкой персональных данных. Но это, как правило, формальные вещи. Условно говоря: закон требует от организации или лица, которое обрабатывает персональные данные, уведомить Роскомнадзор, принять формальную политику безопасности. Там очень большой список обязанностей, и не каждый их понимает – не все про них знают, судя по всему.

Из одного СМИ ко мне недавно обращались за консультацией. Роскомнадзор предъявил им, что в их уставе указана полиграфическая деятельность, хотя это интернет-издание и они ничего не печатают. Роскомнадзор говорит: "полиграфическая деятельность предполагает в том числе печать визиток, на которых указываются фамилии, адреса и телефоны, а это персональные данные. Скажите, почему вы не зарегистрировались как оператор персональных данных?" Вот такой подход у Роскомнадзора. Палки они на этом рубят, как говорится, очень хорошо, а реального эффекта я не заметил (имеется в виду "палочная система" – так в постсоветских странах называют систему оценки качества работы силовых ведомств – прим. автора).

Недавно, например, прошла серия проверок в связи с утечками, но какими утечками? Расследуют утечку из базы "Розыск-Магистраль", из-за которой Навальный смог расследовать свое отравление. В Сибири возбудили дело о неправомерном доступе к компьютерной информации после того, как активист опубликовал аудиозапись разговора с губернатором о том как, фальсифицировать выборы. То есть государство активно включается и начинает расследовать инциденты, которые угрожают его репутации. Сразу все – и полиция, и Роскомнадзор, и ФСБ – напрягаются и начинают бегать.

В другой стране в атмосфере постоянных утечек государственных данных что-то изменилось бы, как вы думаете? Почему этого не происходит в России? Например, кампания "Роскомсвободы" за введение моратория на системы распознавания лиц в России ни к чему не привела.

Технология распознавания лиц действительно позволяет достигать общественно-полезных целей. Но, с другой стороны, она настолько опасна, и ее практически невозможно контролировать, что риски, не только на мой взгляд, перевешивают преимущества. Поэтому ответственные власти, которые понимают, что они не могут контролировать эту технологию и обеспечить безопасность, предпочитают ее просто запретить, потому что это больше отвечает общественному благу. В США, например, и некоторых европейских муниципалитетах запрещают использование распознавания лиц.

На самом деле здесь, как и во всем, нужно оценивать баланс между приватностью и безопасностью. Это два блага, которые общество ценит и в защите которых оно нуждается. Продвижение и обеспечение одного из них невозможно не в ущерб другому. Поэтому приходится искать баланс.

Ключевой критерий, который Европейский суд по правам человека всегда учитывает, рассматривая дела по статьям о праве на уважение частной жизни либо о праве на выражение мнения, всегда говорит, что есть равные правомерно защищаемые блага. И нужно найти баланс между ними. Это ключевая проблема. Демократические правительства как правило пытаются этот баланс найти. Авторитарные, естественно, всегда этот баланс смещают в сторону слежки, которую оправдывают безопасностью.