Минцифры слушает, да есть. Маркетплейсы и классифайды будут передавать силовикам ещё больше данных о пользователях
🕵️♂️📦 Маркетплейсы будут передавать силовикам ещё больше данных о пользователях
Минцифры выложило обновлённый проект постановления, который обязывает маркетплейсы и классифайды передавать силовым органам расширенный список данных о клиентах — не только ФИО, IP и покупки, но и параметры устройств, сетевую активность и местоположение.
📅 Новые правила могут вступить в силу с 1 сентября 2025 года.
📡 Что нужно будет передавать по СМЭВ
• Телефон, email, IP
• Сетевые адреса и порты
• User-Agent, UID, MAC-адрес
• IMEI, IMSI, слепок ОС (если есть)
• Геолокация устройства
📊 Зачем это нужно?
Минцифры объясняет: всё ради борьбы с кибермошенничеством. Расширение перечня должно помочь правоохранителям сопоставить цифровые следы с личностью — например, привязать подозреваемого к конкретному аккаунту и операции.
🏛️ Что говорят в отрасли?
• Бизнес обеспокоен: многие данные (например, MAC-адреса и слепки ОС) агрегаторы не собирают и не хранят
• Участники рынка предупреждают, что баланс между госинтересами и возможностями бизнеса пока не найден
• Ассоциация больших данных (Яндекс, VK, Сбер, МТС и др.) выразила сомнения в технической реализуемости требований
💬 Мнение юристов и экспертов
• Сейчас законы (включая «Закон Яровой») уже позволяют собирать широкий набор данных — но в индивидуальном порядке
• Новый перечень фактически ставит маркетплейсы в положение операторов связи по объёму отслеживаемой информации
🤐 Ozon, Avito, Яндекс, Wildberries и другие игроки рынка отказались от комментариев
Подробности Forbes
Минцифры опубликовало новую версию поправок, согласно которым силовые органы смогут получать информацию от маркетплейсов и классифайдов. Предыдущая версия была опубликована в мае и разрешала силовикам запрашивать личные данные и информацию о покупках. Сейчас перечень предлагается расширить данными об устройстве, сетевых подключениях и местоположении пользователя этих сервисов. В Минцифры указывают, что регулятор учел предложения заинтересованных ведомств и отрасли. Представители компаний, впрочем, утверждают, что не всеми этими данными о своих пользователях агрегаторы располагают, и считают, что баланс между интересами государства и возможностями бизнеса еще нужно найти
Обновленные правила
Минцифры опубликовало на портале проектов нормативных правовых актов новую версию правил, согласно которым маркетплейсы и классифайды будут передавать силовым органам данные через систему межведомственного электронного взаимодействия (СМЭВ, с ее помощью обмениваются информацией федеральные и региональные ведомства, МФЦ, «Госуслуги» и некоторые коммерческие организации). Это должно помочь правоохранителям противодействовать кибермошенничеству, объемы которого растут.
В обновленном документе расширен перечень сведений. В предыдущей версии документа от 16 мая маркетплейсы и классифайды должны были передавать по СМЭВ данные пользователей, указанные ими при регистрации, такие как номер телефона, адрес электронной почты, а также IP-адрес и информацию о покупках и услугах пользователя. Однако в новой версии документа, опубликованной 18 июня, добавлены сетевые адреса и порты (идентификаторы программы или процесса, которые обслуживают IP-адрес) пользователя агрегатора, а также слепок операционной системы (отмечено «при наличии»), user-agent (идентификатор пользователя браузера), UID (unique identifier, уникальный идентификатор пользователя на сайте), IMEI (International mobile equipment identity, идентификатор мобильного оборудования), IMSI идентификационного модуля (sim-карты), МАС-адрес (media access control, номер устройства в Сети) и информацию о месте нахождения устройства, посредством которого был получен доступ к сервису.
Остался в новой версии и ранее раскритикованный бизнесом минимальный срок передачи этих данных — 24 часа. В случае принятия постановление правительства, закрепляющее эти правила, вступит в силу 1 сентября 2025 года.
Больше контроля
Документ был доработан с учетом предложений заинтересованных ведомств и отрасли, отметили в Минцифры. «В новом проекте постановления мы постарались учесть позицию и интересы всех сторон, — подчеркнули в министерстве. — Перечень данных был расширен для более эффективного противодействия кибермошенничеству. Уточненный список также позволит запрашивать и предоставлять более конкретную информацию и снизит вероятность дополнительного запроса».
Новая редакция существенно расширяет перечень данных, которые маркетплейсы и агрегаторы обязаны передавать силовым структурам (МВД, ФСБ, Росгвардии, Следственному комитету, Федеральной службе охраны и др.) через систему СМЭВ по их запросу, констатирует директор департамента расследований T.Hunter Игорь Бедеров. «Фактически это обязывает платформы собирать и предоставлять по запросу данные, сопоставимые по детализации с теми, что собирают операторы связи. Это серьезный шаг в сторону расширения государственного контроля в цифровой сфере и значительное сокращение анонимности онлайн-транзакций и активности на этих платформах», — замечает он.
По мнению Бедерова, эти данные будут востребованы для противодействия киберпреступникам. «Проблемой всегда было то, что цифровые следы преступления, которые были доступными на «месте преступления» (в логах сервера) почти никак не стыковались с конкретным физлицом, все возможные данных которого уже были в МВД. Теперь данные логов с привязкой к личным кабинетам идентифицированных пользователей станут доступными. Следовательно, силовики смогут «привязать» подозреваемых к конкретным преступлениям», — пояснил он.
Соблюсти баланс
Сейчас перечень информации, передаваемой классифайдами и маркетплейсами силовым органам, напрямую в конкретном законе не прописан, говорит управляющий партнер КА Pen & Paper Алексей Добрынин. По его словам, классифайды и маркетплейсы уже могут передавать широкий спектр сведений о пользователях, «но он варьируется в зависимости от обстоятельств и специфики конкретного запроса правоохранителей». Например, этими сведениями могут быть идентификационными данными пользователя (персональные и контактные данные, данные аккаунта, информация о платежных средствах, документы, представленные для верификации и т.п.), информацией об активности пользователей на платформе, о местоположении пользователя, информацией, связанной с нарушением правил платформы или законодательства и т.д., перечисляет юрист. Это подразумевают такие законы, как «Об оперативно-розыскной деятельности», «О связи», «О персональных данных», пакет антитеррористических законов (известный так же, как «Закон Яровой»).
У Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», «Мегафон», «Ростелеком», билайн, МТС, ВТБ, Avito, HeadHunter и др.) перечень данных, которые агрегаторы должны будут передавать через СМЭВ, «вызывает вопросы» относительно технической реализуемости и соразмерности. «Многие компании не собирают и не хранят, например, слепки операционной системы, IMEI, IMSI или MAC-адреса, особенно без собственной мобильной инфраструктуры, — добавили там. — Важно найти баланс между интересами государства и возможностями бизнеса, иначе даже добросовестные игроки рынка окажутся не в состоянии формально соблюсти требования».
В Ozon, Avito, объединенной компании Wildberries и Russ и «Яндексе» отказались от комментариев.
