Интересная тема, к которой мне еще не раз придется вернуться.

Все знают про поправки к 149-ФЗ, известные в народе как “пакет Яровой”. Все знают, что операторы данных должны(!!!) хранить и факты передачи данных, и сами сообщения. Все знаю, что регистрация анонимных пользователей запрещена и что пользователя необходимо регистрировать только по номеру телефона. И конечно обязанность оператора по требованию специальных служб немедленно предоставить ключи шифрования всей переписки.

Вышеозначенное полностью блокирует изначальный запрос на создание защищенных средств коммуникации как между парой собеседников, так и в группе.

Решительно не ясно как в этой связи работает телеграм и другие. Они либо грубо попирают требования закона, либо закон исполняют, передавая сообщения и ключи дешифрации “кому надо”. Должны ли корпоративные мессенджеры соблюдать требования закона и возможна ли в такой ситуации сама возможность строго личной и коммерческой тайны?

Давайте почитаем закон! Определения.

“предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;”

“распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;”

Очевидно, что в статье 2 пунктах 8 и 9 даны разные определения и различаются они именно кругом лиц.

Что есть “неопределенный круг лиц”? Это лица, к которым не может быть явно применены средства юридического преследования. Соответственно, “определенный круг лиц” - это лица которые определены и на которых (в случае чего) можно подать в суд.

Теперь читаем статью 10.1 Обязанности организатора распространения информации в сети “Интернет”

Стоп! “организатор распространения информации”. Значит здесь речь будет идти именно о неопределенном круге лиц. С точки зрения логики закона все ясно. Если некий мессенджер работает с кругом лиц, которые невозможно явно определить и привлечь к суду, то эти сообщения необходимо хранить и передавать и ключи…

Но если определить пользователя, например явным заключением договора, то, из буквы закона, следует, что требования статьи 10.1 на таких пользователей не распространяется. Таким образом можно создавать защищенные корпоративные системы с строгой шифрацией и предоставлять такие услуги и физическим лицам, но только в случае заключения с ними явного договора.

Много раз я искал возможности проверить эту гипотезу в разговорах с юристами, но определенного ответа не получил. Мне предлагали написать запрос в Роскомнадзор, что я и сделал. Правда ответ меня огорчил. Они сообщили, что различие между “определенным” и “неопределенным” кругом лиц для требований статьи 10.1 не применимо.

Конечно, я не могу согласиться с этим заключением и буду продолжать выяснение. Понятно, что окончательную точку в этом вопросе может поставить только суд.

Что мы имеем по факту! Законодательно запрещено строгое шифрование сообщений. Все сообщения должны быть записаны.

Могу ли я в ходе работы над своей системой предложить два уровня взаимодействия с “определенными” пользователями и “неопределенными”. Одним, с которыми у меня есть договор, я могу предлагать услуги строгого взаимного шифрования, другим - нет.

Похоже только в суде определится истина.

А пока, оставим этот вопрос в экспериментальном поле и постараемся выяснить как ставятся эти вопросы в других юрисдикциях.