Обновлено 18 июля 2018 года в 19:15.
Мы выпустили этот пост в 2014 году. Тогда вступили в силу поправки к закону об информации: появился «реестр организаторов распространения информации», в который занесли Яндекс и ещё несколько интернет-компаний. Мы объяснили, что это означает для наших пользователей.
В июле 2016 года в законодательство внесли ещё несколько поправок — последние из них начали действовать 1 июля 2018 года. Часть поправок касается пользовательских данных. Нас спрашивают, действительно ли новые поправки облегчают правоохранительным органам доступ к данным пользователей. Хотим уточнить — это не так. Порядок предоставления информации не изменился. Правоохранительные органы могут получить доступ к электронным сообщениям пользователей наших сервисов только по постановлению суда. Если мы считаем, что требования о предоставлении данных незаконны, мы отказываемся и обжалуем их в судебном порядке, как, например, в этом случае.
12 сентября 2014 года Яндекс внесли в реестр организаторов распространения информации — как и некоторые другие интернет-компании, например, ВКонтакте и Mail.Ru. Судя по вопросам, которые мы получаем, это событие беспокоит многих наших пользователей, и все довольно плохо представляют себе, что происходит. Попробуем объяснить, как сейчас это выглядит с нашей точки зрения.
1 августа 2014 года вступили в силу поправки к закону об информации. Эти поправки получили неофициальное название «закона о блогерах» — именно это название до сих пор многих путает.
Дело в том, что поправки состоят из двух разных блоков. Первый блок вводит такое понятие, как «организатор распространения информации» — этот тот, кто обеспечивает работу систем, позволяющих пользователям обмениваться сообщениями. Согласно принятым поправкам, организаторы обязаны в течение шести месяцев хранить — на территории России — всю получаемую информацию о пользователях своих сервисов и совершенных ими действиях. Речь идёт только о факте совершения того или иного действия — иными словами, организаторы должны хранить, например, всю информацию об отправке того или иного письма или загрузке того или иного файла, но не содержание этого письма или файла.
Важно отметить, что закон не обязывает интернет-компании собирать больше информации, чем они и так использовали, чтобы обеспечить нормальную работу своих сервисов. Они обязаны хранить только то, что уже есть, а не разрабатывать какую-то специальную функциональность для сбора и хранения новых данных. Например, если сервис не предусматривает регистрацию и авторизацию пользователей, он не обязан её вводить. Или если у сервиса нет данных о браузере пользователя — ему не надо начинать собирать эту информацию. Ознакомиться с полным списком данных, которые, согласно закону, необходимо хранить — при условии, что они и так есть у сервиса — можно, например, здесь.
Кроме того, первый блок поправок детализирует процесс предоставления данных уполномоченным органам — тем, которые осуществляют оперативно-розыскную деятельность. По определённой процедуре они могут запросить у организатора информацию о любом пользователе и о действиях, которые он совершал.
Вообще говоря, подобные процедуры существовали и раньше. По закону правоохранительные органы вправе запросить у любой организации необходимую им информацию — при наличии законных оснований и при соблюдении законной процедуры. С этой точки зрения принципиально ничего не поменялось. Также важно, что доступ к содержимому почтового ящика пользователя — то есть его полученным и отправленным письмам — по-прежнему возможен только на основании постановления суда.
Роскомнадзор начал вести реестр организаторов распространения информации. По требованию правоохранительных органов туда вносятся название сервиса и контактные данные его владельцев. Это своего рода адресная книга. Само по себе попадание в реестр ничего не меняет — соблюдать закон о хранении данных обязаны все организаторы, вне зависимости от того, есть они в реестре или нет.
Блогеров касается второй блок поправок. Согласно ему, у блогеров появляются дополнительные обязанности, схожие с обязанностями СМИ. Появление этих обязанностей зависит от посещаемости — если у блогера больше 3000 посещений в сутки, он должен сам обратиться к Роскомнадзору и зарегистрироваться в другом реестре. Юридически реестр организаторов распространения информации и реестр блогеров — совершенно разные вещи, между собой не связанные. Яндекс внесён именно в реестр организаторов распространения информации.