В Сербии местная полиция, а также Управление военной безопасности и контрразведки и Агентство информационной безопасности имеют неограниченный доступ к данным клиентов сербских интернет-провайдеров и других телеком-компаний. При этом сложно определить, всегда ли эта практика соответствует закону.

---

Обычно полиции и спецслужбам положено иметь санкцию суда для получения доступа к частной информации пользователей Сети. Однако неясно, утруждают ли себя такими формальностями сербские стражи порядка.

В республике существует закон, который регулирует использование электронных средств связи. Но, похоже, не все интернет-провайдеры понимают, что имеется в виду под определением «фиксированные сведения» (retained data) или как нужно хранить и уничтожать такие данные. Кроме того, из трех провайдеров, которые разрешают силовикам прямой доступ к пользовательской информации, два заявляют, что не ведут учета того, как часто спецслужбы пользуются этой возможностью.

Что знает о вас ваш интернет-провайдер

Всегда, когда вы отправляете электронное письмо, интернет-провайдер фиксирует время отправления, данные адресата и прочее. Такая информация хранится у провайдера и называется «фиксированные сведения».

Некоторые провайдеры помимо интернета предоставляют услуги телефонной связи и СМС-сообщений. При этом они не могут сохранять содержание текстовых сообщений или звонков без санкции суда. Но они фиксируют такие параметры, как время звонка, номер вызываемого абонента, продолжительность звонка, время его окончания и место, откуда совершался звонок (о последнем расскажут «задействованные» базовые станции).

Сербский закон довольно четко определяет, в каких случаях силовые структуры — полиция, служба безопасности или военная контрразведка — могут запрашивать доступ к данным пользователей. Также в законе оговаривается, что основанием для запроса служит разрешение суда. Однако на деле все выглядит совсем иначе.

«У государственных органов де-факто есть возможность доступа к частной информации без решения суда, — утверждает Джордже Кривокапич, глава юридической службы и руководитель целевых программ неправительственной организации Share Foundation, задача которой — защита прав интернет-пользователей в Сербии.

На защите частной сферы

Единственная госструктура в Сербии, призванная охранять персональную информацию, — это Бюро по вопросам общественно значимой информации и защиты персональных данных, или, проще, Бюро информации. Возглавляет этот орган Родолюб Шабич.

На сегодняшний день Бюро представило два развернутых отчета: отчет 2012 года об операторах фиксированной и мобильной связи и отчет июня 2015 года об интернет-провайдерах.

Последний касался запросов о предоставлении информации, которые интернет-провайдеры получали от госорганов на протяжении 2014 года.

Чтобы получить представление об этой практике, на первом этапе были опрошены все действующие в Сербии провайдеры. На втором этапе сотрудники бюро побывали в подразделениях 26 операторов, которые были выбраны в зависимости от их доли на рынке, вида интернет-услуг, зоны покрытия и т. д.

Напомним, что для просмотра «фиксированных сведений» полиции или спецслужбам нужно одобрение суда. К примеру, подается запрос, где точно обозначено, какие данные хотят увидеть стражи порядка, и указывается соответствующее судебное решение. Подобные запросы подавались по факсу, электронной почте, телефону или же лично.

Большинство интернет-провайдеров за 2014 год получили менее десятка таких запросов, но к другим силовики обращались несравнимо чаще. С огромным опережением здесь лидирует Telenor с 4599 запросами, за которым следует Telekom Serbia, куда запросы приходили 344 раза. Затем Vip — 109 запросов и Serbia Broadband (SBB) — 48. Общее число запросов за 2014 год составило чуть больше пяти тысяч.

Схожее исследование 2012 года касалось работы с «фиксированными сведениями» у провайдеров Telekom Serbia, Telenor, Vip и Orion. За годичный период, который закончился в конце марта 2012 года, всего было подано 4382 запроса. К примеру, Telenor получил по электронной почте 1559 запросов от Министерства внутренних дел. Еще 513 обращений пришло за это время в письменной форме от других госорганов.

Этот оператор одобрил все электронные запросы от МВД, хотя ни в одном из них не уточнялось, что послужило юридической основой.

Более быстрый и простой способ — «прямой» доступ к данным. Органы власти могут получить логины и пароли для входа во внутреннюю систему интернет-провайдеров и в любое время просматривать «фиксированные сведения».

В отчете за 2012 год говорится, что неизвестно, сколько людей могут пользоваться такими аккаунтами и сопровождается ли каждый такой «вход» санкцией суда.

«Что касается «прямого» доступа, то речь идет об удаленном доступе по интернету, так что вы не можете знать, есть ли у данного лица судебное постановление, — признается сотрудник Бюро по вопросам информации Радое Гвозденович. — Оператор умывает руки и отдает это на откуп госоргану».

При этом он добавляет, что в таком вопросе «нельзя слепо полагаться на добрую волю госорганов».

Из опрошенных провайдеров лишь Telenor (он один из крупнейших) ведет статистику случаев «прямого доступа».

В 2014 году провайдер зарегистрировал 202 118 случаев прямого доступа к «фиксированным сведениям». Подавляющее большинство приходится на полицию — 199 818 случаев. 1068 раз «прямым доступом» пользовались сотрудники военной контрразведки, 993 раза — служащие Агентства информационной безопасности. Эти госорганы интересовал трафик по 29 333 телефонным номерам и «фиксированные сведения» по 18 020 различным мобильным устройствам.

Однако глава Бюро информации Шабич признается: так как другие провайдеры говорят, что такого учета не ведут, то и о подлинных масштабах этой практики «можно только догадываться».

В 2012 году Telenor применял электронное приложение под названием Info System, позволявшее полиции и двум другим упомянутым спецслужбам заходить в базы данных в любое время и по любому поводу. У этих трех госорганов было в совокупности 75 аккаунтов, которыми пользовалось неизвестное количество людей. За один год через эти аккаунты было выполнено 272 327 входов во внутренние системы, или в среднем 746 раз в день. Ранее Telenor также ежедневно автоматически отправлял в Агентство информационной безопасности все метаданные из коммутационного центра мобильной связи (Mobile Switching Center).

Что-то похожее происходило и в Vip Mobile — «дочке» Telekom Austria Group, зашедшей на рынок Сербии в 2006 году. Для доступа к данным там полиции и спецслужбам выдавали карты с микрочипами. В компании утверждают, что не подсчитывали, сколько карт было оформлено и сколько раз с их помощью просматривались «фиксированные сведения».

В докладе Бюро по вопросам информации 2012 года говорилось, что один из крупнейших интернет-провайдеров Сербии, Orion Telekom, регулярно предоставлял полиции и спецслужбам свободный доступ к спискам электронных писем, которые проходили через сервер компании. Кроме того, Orion Telekom разрешал Агентству информационной безопасности беспрепятственно входить в базы данных всей системы и перехватывать трафик в Сети.

Защитники гражданских «интернет-прав» из Share Foundation проанализировали отчет Бюро информации 2012 года и пришли к некоторым выводам. По их мнению, закулисные приемы обработки «фиксированных сведений» указывают на масштабную практику сбора информации. При этом, хотя закон предписывает хранить такие сведения не больше 12 месяцев, в случае с Агентством информационной безопасности это требование, возможно, не действует, «потому что нет надзорного органа, который бы контролировал работу этого ведомства с «фиксированными сведениями», как констатировали в Share Foundation.

Что же касается интернет-провайдеров, то, как уверяют в Бюро информации, ситуация с доступом к пользовательским данным у них лучше, чем у телеком-компаний, проверенных ранее. Впрочем, помимо проблемы «прямого доступа» встречаются и другие случаи злоупотребления «фиксированными сведениями».

В отчете надзорного ведомства с данными за 2014 год отмечается, что в одном из населенных пунктов в Сербии интернет-провайдер предлагал «поделиться» данными с полицией, даже не требуя официального запроса. Кроме того, в одном из полицейских управлений сотрудники устно просили предоставить (и получали) список абонентов интернет-связи и кабельного телевидения, а также другие списки клиентов и поставщиков провайдера и прочую документацию.

«Фиксированные сведения»

Сербский закон об электронных средствах связи обязывает интернет-провайдеров хранить «фиксированные сведения» на протяжении года, после чего они должны быть уничтожены. Однако в отчете Бюро информации говорится, что это положение большинством провайдеров не соблюдается, более того, часть из них даже не понимают, что значит «фиксированные сведения».

«Проверка подтвердила вынесенные ранее Бюро оценки о неудовлетворительном и откровенно тревожном положении дел с защитой персональных данных в сфере электронной коммуникации, особенно в том, что касается интернет-провайдеров», — заявил глава бюро Шабич.

Так, его подчиненные опросили всех провайдеров, как те уничтожают «фиксированные сведения» после 12 месяцев хранения. Некоторые ответы оказались обескураживающими: «с помощью молотка», призналась одна фирма, а в другой заявили, что сотрудники «рвут информацию и выбрасывают».

Такое обращение с «фиксированными сведениями» выглядит странно с учетом их важности для современного общества.

Джордже Кривокапич из организации Share Foundation говорит: «Значение «фиксированных сведений» для современного информационного общества колоссально». По его словам, можно найти аналитический инструментарий, который способен считывать по таким сведениям «портреты» пользователей мобильной связи или интернета, что вообще-то призвано пресекать законодательство о защите персональных данных. «В таких обстоятельствах потенциал для злоупотреблений огромен, а возможности защиты ограниченны», — признается он.

По закону контроль за деятельностью интернет-провайдеров в Сербии возложен на Министерство торговли, туризма и телекоммуникаций. Сотрудники ведомства сообщили журналистам OCCRP, что с января 2014-го по апрель 2015 года они провели девять инспекционных проверок, причем большинство из них касались использования спектра радиочастот и качества услуг.

«Проверки не выявили никаких проблем», — заверил журналистов замминистра Сава Савич.

Какие же данные собирают и раскрывают провайдеры услуг связи?

По данным отчета Бюро информации за 2012 год, телефонные компании обмениваются персональной информацией своих клиентов, включая национальные идентификационные номера граждан и их адреса. Некоторые также делятся данными о пользовательской активности. Сюда входят сами телефонные номера звонивших и их собеседников, международный идентификатор мобильного устройства (IMEI), сведения о том, какая базовая станция направила звонок, дата, время и продолжительность вызова, вид услуги, персональные данные участников телефонного разговора, а также список сим-карт, которые использовались в этом устройстве за последний год.

Владимир Костич и Бояна Йованович