Масштабный сбор данных об абонентах необходим регулятору для выявления пользователей сим-карт, оформленных на других лиц и использующихся нелегально. Заработать система передачи таких сведений может уже в этом году.

Данные об абонентах операторов связи необходимы Роскомнадзору для выявления лиц, которые используют сим-карты, оформленные на других. Об этом представитель ведомства сообщил в ответ на запрос РБК о причинах появления инициативы масштабного сбора данных об абонентах.

Соответствующий проект постановления правительства был опубликован в начале недели. Суть инициативы — операторов связи обяжут предоставлять службе данные об абонентах (ФИО, место жительства, виды звонков и т.д.), к которым сейчас есть доступ только у них самих или у правоохранительных органов.

Как пояснил представитель Роскомнадзора, операторы по закону обязаны самостоятельно проверять достоверность сведений об абоненте, но эти требования не соблюдаются, поскольку сейчас «отсутствует система проверки соответствия сведений, указываемых в договоре об оказании услуг связи, данным реально использующего сим-карту человека».

Как будет работать система сбора данных

Согласно пояснительной записке к проекту постановления, документ направлен на борьбу с серыми сим-картами, которые оформляются на юрлиц и ИП, после чего «бесплатно раздаются в местах массового скопления людей и используются в различных схемах мошенничества». Как результат — тысячи граждан становятся жертвами мошенников, использующих чужие паспортные данные при приобретении сим-карты. Это создает препятствия при проведении оперативно-разыскных действий, так как затрудняет идентификацию абонента, объяснялось в документе.

«По закону абонент — это тот, кто купил на себя сим-карту, но один человек может покупать сколько угодно сим-карт и впоследствии перепродавать их или передавать другим людям. Перечисленные в проекте сведения нужны, чтобы выявить таких абонентов и отсечь тех, кто покупал сим-карты для детей, родственников или устройств интернета вещей», — объяснил РБК представитель ведомства. Например, если Роскомнадзор выявит, что за короткий промежуток времени осуществлялись звонки с нескольких сим-карт, оформленных на одного человека, и исходили из разных концов города, то пользователи этих сим-карт окажутся под подозрением, пояснил он.

У операторов будет 15 дней на то, чтобы внести актуальные данные для подобных сим-карт, в противном случае они будут оштрафованы. Ведомство будет также проверять сим-карты, по которым у операторов нет никаких данных о пользователе: если в результате «дозвона» окажется, что сим-карта активна, это также будет считаться нарушением.

Как пояснил представитель Роскомнадзора, ведомство не намерено запрашивать детализацию звонков по всем абонентам сотовой связи и будет применять риск-ориентированный подход. Детализация звонков всех абонентов невозможна технически, поскольку потребует огромных затрат на серверы для хранения всей этой информации. Поэтому анализировать планируется только информацию за последние две-три недели для тех абонентов, на кого зарегистрировано более десяти сим-карт.

Представитель ведомства настаивает, что служба не получит доступа к содержанию разговоров и переписки, а сразу после проверки данные будут удаляться. Для подключения к системе операторы должны организовать защищенный канал связи. «Мы понимаем риски утечек, поэтому сотрудники Роскомнадзора будут получать доступ только к обезличенной информации. Сейчас прорабатывается вопрос хеширования внутренних данных (преобразование данных в набор цифр и букв, который почти невозможно расшифровать — РБК), система покажет только вывод о несоответствии данных по тому или иному абоненту», — рассказал он.

Собеседник РБК уточнил, что Роскомнадзор получит прямой доступ только к ФИО и месту жительства абонентов, чтобы иметь возможность подтвердить у органов МВД, что оформленный на таких пользователей документ, удостоверяющий личность, действителен. Однако эти данные будут храниться в отдельной базе. В то же время другие ведомства не будут иметь право запрашивать информацию из системы, а Роскомнадзор — предоставлять ее кому-либо.

Представитель Минцифры ранее объяснял, что тайна связи будет соблюдена и ведомство не получит доступ к содержанию сообщений и звонков. Он уточнил, что благодаря принятому в конце прошлого года закону Роскомнадзор «сможет блокировать корпоративные сим-карты, подлинность владельцев которых не подтверждена», и это «позволит навести порядок на рынке серых сим-карт и снизить количество случаев мошенничеств».

Почему проверяют абонентов

Идея создания системы проверки достоверности данных об абонентах заложена в принятых в конце 2020 года поправках в закон «О связи». До 30 ноября 2021 года юрлица и ИП, заключившие с операторами договоры об оказании услуг своим сотрудникам, должны будут внести в Единую систему идентификации и аутентификации (ЕСИА) сведения о физлицах — пользователях услуг. После 1 декабря операторы должны будут провести проверку и, если окажется, что в ЕСИА нет сведений или они недостоверные, прекратить оказание услуг такому физлицу. Кроме того, сами абоненты смогут внести в ЕСИА свой номер и идентификатор пользовательского оборудования (IMEI, International Mobile Equipment Identity — международный идентификатор мобильного оборудования) и в случае его утраты оператор связи должен будет заблокировать оказание услуг для этого устройства.

Согласны ли операторы с созданием системы

По словам представителя ведомства, служба рассчитывает объявить конкурс на создание системы для обмена данными с операторами в конце весны и частично запустить в конце этого года, а в полноценном режиме она должна заработать в 2022-м. Он отметил, что сейчас ведомство обсуждает детали реализации проекта с операторами связи, «заранее вырабатывая наиболее приемлемые условия исполнения требований». При этом расходы операторов на внедрение этой системы будут минимальны, им необходимо будет разработать специальный модуль для формирования необходимых ведомству данных.

Как заявил представитель «Ростелекома», он рассчитывает, что «система поможет справиться с рынком серых сим-карт». Представитель «ВымпелКома» (бренд «Билайн») заявил, что компания анализирует проект постановления и «важно защитить право абонентов на тайну связи, при этом проработав эффективный механизм проверки достоверности персональных данных». В МТС считают перечень запрашиваемой информации избыточным, часть ее имеет отношение к тайне связи, отмечает представитель оператора: «Кроме того, требует подробного обсуждения, какими техническими средствами будет обеспечиваться информационная безопасность». Представитель «МегаФона» отказался от комментариев.

Ранее МТС и «МегаФон» включили принятые в конце года поправки в раздел рисков в своих финансовых отчетностях за четвертый квартал 2020 года. По данным «МегаФона», каждый крупный оператор при исполнении закона может понести допрасходы в размере более 10 млрд руб. Часть этой суммы составят расходы на интеграцию с системой Роскомнадзора, еще часть — потерянная выручка из-за необходимости отключить услуги корпоративным клиентам и устройствам интернета вещей, чьи сведения не будут подтверждены.

Зампред комиссии по правовому обеспечению цифровой экономики московского отделения Ассоциации юристов России Александр Савельев отметил, что об архитектуре информационной системы Роскомнадзора и разграничении прав доступа к ней ничего не говорится — напротив, там прямо сказано о необходимости предоставления доступа к этой информации.

«Если есть база данных, значит есть лица, которые ее администрируют и имеют возможность получения доступа к ней, в том числе в ручном режиме. То, что количество рядовых сотрудников, которые будут иметь к ней доступ, возможно, будет сведено к минимуму, это хорошо, так как минимизирует риск человеческого фактора в виде использования базы для пробива. Но это никак не минимизирует риски хакерских атак с последующим выкладыванием этих данных в даркнет», — рассуждает он. Савельев также считает, что в перспективе не исключен риск дальнейшего «перепрофилирования» базы для использования в других целях, а также расширения доступа к ней со стороны чиновников.

«Как только данные окажутся в этой базе, контроль операторов связи и абонентов над данными о контактах (фактически тайне связи) утрачивается. И все, что там будет по факту происходить внутри Роскомнадзора и других ведомств в отношении нее, будет покрыто мраком», — заключил эксперт.

По мнению директора по стратегическим проектам Института исследований интернета Ирины Левовой, заявленные ведомством цели можно выполнить и в рамках гораздо меньшего объема данных. Им было бы достаточно сведений по заключенным договорам — на кого и когда были оформлены, когда и каким образом проводилась проверка абонентов, активны ли услуги связи. «Но тогда им придется делать аналитику и разбираться с этим. А они хотят, чтобы как в кино — куча мониторов, и они все видят, попивая чай за столом», — указала она.

Левова также отметила, что непонятно, как объяснения Роскомнадзора соотносятся с другой нормой принятого закона, где все корпоративные пользователи должны быть привязаны к конкретной записи на портале госуслуг. «По идее, весь мониторинг находится там, и им надо плотно работать с порталом, так как соответствующую аналитику они смогут делать на этих данных. Далее воспользоваться своим правом направить оператору запрос с требованием в течение 15 дней сопоставить фактического и юридического владельца», — заключила она.