Pull to refresh
Habr
Create services for geeks

Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все года

HabrInformation SecurityHabrLegislation in IT
Привет, Хабр! Наконец-то представлюсь — меня зовут Алексей Шевелёв, и в Хабре я руковожу отделом по борьбе работе с пользователями (куда входит фидбек через форму обратной связи по всем проектам), попутно являясь комьюнити-менеджером. Иногда мне приходится взаимодействовать с разными государственными службами. Сегодня я расскажу, как это происходит.



Intro. Inbox


Как правило, всё начинается с того, что к нам поступает запрос. Он может поступить по четырём каналам:

  • Звонок в офис. Такой формат взаимодействия мы не практикуем, так как он находится целиком за пределами правовой плоскости и не регламентирован законодательством. Поэтому все такого рода обращения мы вежливо отклоняем и предлагаем перевести их в документальную плоскость, без исключений.
  • Письмо в офис. Как правило, когда я прихожу в офис, конверт уже лежит у меня на столе. По рассказам офис-менеджера, конверты приносит бабушка из почты России, реже — вооружённые до зубов ребята из спецсвязи.
  • Обращение через форму обратной связи. Обычно это что-то полуавтоматическое — письма о том, что нам срочно надо скрыть какую-то кем-то запрещённую информацию, иначе нас всех заблокируют. 
  • Автоматический обмен данными по принципу СОРМ. Это относительно новый способ взаимодействия, регламентированный последними изменениями в законодательстве. Для обмена в таком формате, сервис должен разработать и внедрить программно-аппаратный комплекс, подключенный каналом связи к пульту ФСБ. Мы сейчас не владеем таким инструментарием и такого рода обмен не производим.

Запрос должен быть оформлен надлежащим образом. Когда он поступает, нужно выяснить, оформлен ли он как положено.
ОК НЕ ОК
Выполнен на бумажном носителе и:

  • Содержит собственноручную подпись;
  • Заверен оригинальным оттиском печати;

либо выполнен в электронной форме и:

  • заверен усиленной квалифицированной электронной подписью (соответствующей подписанту);
  • отправлен с официального адреса электронной почты органа.

Официальный адрес электронной почты предусмотрен только в документах РКН, но там же установлено и требование об использовании КЭП.
Все остальные запросы не считаются надлежащими.

Примеры:

  • Запрос по электронной почте
  • Запрос по электронной почте со сканом бумажного запроса;
  • Звонок по телефону.
Конкретные примеры: 

  • ДА — на запрос на бумажном носителе, если есть «синяя» (оригинальная) печать, такая же подпись, и у органа есть полномочия. Обычно и внешний вид конвертов (если почтой) отличается.
  • НЕТ — на запрос по электронной почте. Официальный статус электронной почты отправителя должен быть прямо предусмотрен документом на бумаге или нормативным актом.
  • НЕТ — на запрос по электронной почте со сканом бумажного запроса. То же самое, что и просто по электронной почте.
  • ДА — на запрос по электронной почте, подписанный усиленной квалифицированной электронной подписью, и пришедший на адрес, объявленный как адрес организации. Например, info@tmtm.ru указан и на сайте, и на фирменном бланке.
  • НЕТ — на звонок по телефону, без исключений.

В более крупных проектах (типа соцсетей) разборами подобных запросов занимаются целые отделы, так как количество обращений там многократно больше. У нас таких запросов не более пары штук в месяц — сводную таблицу со всеми обращениями можно посмотреть в обновленном Transparency report.

Let’s go


Закон определяет срок, за который нужно ответить на каждый из запросов. Например, на скрытие запрещённой для распространения на территории РФ информации Роскомнадзором отводится трое суток — если не уложиться в срок, то к сайту могут применить санкции. В случае с бумажными запросами времени больше — до 30 дней. Мы стараемся не затягивать с ответом, особенно если речь касается мошенничества или действий насильственного характера.

Обработка каждого обращения занимает немало времени, поэтому для удобства наши юристы составили небольшой документ с алгоритмом действий в тех или иных ситуациях. Для обработки одного запроса нужно пройти 15 шагов и задействовать от 3 до 4 человек (с разными полномочиями). Алгоритм включает в себя такие шаги как «сканирование конверта и вложений со всех сторон», «заведение карточки документа в 1С.Документообороте» и «передача на хранение в розовую папку». Обязательный пункт в начале — сравнить контакты ведомства из сети с контактами на конверте, чтобы связаться с канцелярией и подтвердить факт отправки запроса.
Главными задачами, решаемыми при любых операциях предоставления информации, являются недопущение выдачи каких-либо данных при наличии минимум одного законного основания для отказа и ограничение количества выдаваемой информации до законодательно установленного необходимого минимума. Как показал анализ материалов запросов, подавляющая их часть связана с мошенническими действиями ряда пользователей, в основном на сервисах Карьера и Фриланс.

Хранитель юридического спокойствия

Помимо алгоритма, в документе есть шаблонные ответы для типовых историй. Так, например, выглядит самый частый шаблон отказа (из-за отправки скана на электронную почту):


Кстати, пока ЭП встречалась только у РКН (и у Налоговой).

Helpdesk


Обращения через форму обратной связи со всех проектов попадают в наш хелпдеск (если хотите, то позже можем рассказать, как у нас там что устроено). В хелпдеске есть несколько разделов (для каждого проекта), все тикеты сортируются по ним, а также по типу обращения (который пользователь выбирает при отправке сообщения). Ещё в хелпдеске есть своего рода «Адресная книга», куда для удобства добавлены адреса различных ведомств, по которым также настроены правила. Например, если приходит письмо с адреса @rkn.gov.ru или коллеги вручную добавляют тикету тег «Legal» для «нестандартных» обращений, то мне на почту приходит письмо и я погружаюсь в бюрократические дебри. 


Текст ответа, вдруг кому пригодится. Только дословно не списывайте
По результату рассмотрения запроса, изложенного в письме №12/3456 от 24.10.2019 г. (далее также — запрос), было вынесено решение об отказе в предоставлении запрашиваемой информации в связи с отсутствием или недостаточностью обоснования запроса.

Как следует из приведенных в запросе ссылок на нормы п.4. ст. 10, п. 10 ч. 1 ст. 13 Федерального закона Российской Федерации от 07.02.2011 № 3-ФЗ «О полиции» и ст. 6, ст. 15 Федерального закона РФ от 12.0.199 № 144-ФЗ «Об оперативно-розыскной деятельности», данный запрос направляется в рамках осуществления оперативно-розыскной деятельности, т.е. проведения оперативно-розыскного мероприятия.

Перечень оперативно-розыскных мероприятий установлен в ст. 6 Федерального закона РФ от 12.0.199 № 144-ФЗ «Об оперативно-розыскной деятельности» и является закрытым.

Перечень оснований для проведения оперативно-розыскных мероприятий установлен в ст. 7 Федерального закона РФ от 12.0.199 № 144-ФЗ «Об оперативно-розыскной деятельности» и также является закрытым. В полученном запросе не указано, в рамках какого именно оперативно-розыскного мероприятия направляется данный запрос, а также не указано основание для проведения такого оперативно-розыскного мероприятия. Таким образом, письмо №12/3456 от 24.10.2019 г. невозможно квалифицировать как законное и обоснованное требование о предоставлении информации. Просьба дополнить запрос недостающей информацией и направить на повторное рассмотрение.

Далее идёт стандартная работа с тикетом: Ответ → Пометить как решённое. Отдельный тег позволяет в любой момент выбрать все обращения, например, для того же Transparency report. Ну или чтобы посмотреть, что нет нерешённых тикетов.

Сначала все отработанные запросы добавляются во внутренний отчёт, с дополнительной информацией — кто обращался, когда, с какой почты, в какой проект и с каким запросом, что ответили, номер тикета и т.д.


Как только запрос добавлен в таблицу со всей необходимой информацией, у тикета рядом с тегом «Legal» появляется тег «Transparency» — это удобно для того, чтобы всегда можно было проверить, все ли из обращений учтены в отчёте.

Transparency report


Первый наш публичный отчёт по обращениям появился в сентябре 2018 года, о чём мы сделали отдельную публикацию. Тогда мы ещё сами не понимали, в каком виде его лучше делать, но всё же решили поставить пользователей в известность о том, что иногда к нам обращаются, а заявителей — о том, что факт их обращения будет известен пользователям. Публиковать сами запросы пока не планируем, хотя иногда хочется — хотя бы по блокировкам, хотя бы в виде строчки типа такой: РКН — Блокировка статьи «Как ООО заплатить в 133 раза меньше налогов» по решению Андроповского районного суда Ставропольского края. Но пару примеров всё же рассмотрим чуть ниже.

Отчёт был не только в виде публикации, но и на отдельной странице в справочном разделе. Сложность в том, что обновлять этот справочный раздел было проблематично — до недавних пор у нас не было инструментария для быстрой и удобной правки справочной информации. Из-за этого отчёт заканчивался 2018-м годом, а правка любой опечатки или неточности проходила семь кругов ада: жира → что поменять → на что поменять → ещё и в английской версии → гитхаб → протестировать → выгрузить и т.д. Но есть и хорошая новость: мы уже тестируем новый WYSIWYG-редактор и обкатываем его как раз на админке для работы с документами и справочным разделом. Скоро информацию будем обновлять за считанные минуты. 

Так, про отчёт. В нём появилась информация за 2019 и 2020 годы, а прошлые периоды пополнились информацией с других проектов — потому что раньше такой отчёт был только по Хабру, а с недавних пор все проекты живут под одной крышей.

Вкратце: за 2020 год было 2 обращения, за 2019 — 14. Самый плодовитый — Роскомнадзор, на втором месте — МВД.

Данные по запросам за 2019 и 2020

2020

Заявитель Домен Требование Решение
Роскомнадзор Хабр Включение в реестр запрещённых сайтов Запросов: 1
⬝ Удовлетворено: 1
⬝ Оспорено: 1
МВД Мой Круг Запрос информации о пользователе Запросов: 1
⬝ Отклонено: 1

2019

Заявитель Домен Требование Решение
Роскомнадзор Хабр


Мой Круг


Автокадабра
Включение в реестр запрещённых сайтов

Включение в реестр запрещённых сайтов

Включение в реестр запрещённых сайтов
Запросов: 4
⬝ Удовлетворено: 4

Запросов: 1
⬝ Удовлетворено: 1

Запросов: 1
⬝ Удовлетворено: 1
МВД Хабр


Фрилансим


Тостер


Мой Круг
Запрос информации о пользователе

Запрос информации о пользователе

Запрос информации о пользователе

Запрос информации о пользователе
Запросов: 1
⬝ Удовлетворено: 1

Запросов: 1
⬝ Удовлетворено: 1

Запросов: 1
⬝ Отклонено: 1

Запросов: 2
⬝ Удовлетворено: 1
⬝ Отклонено: 1
Google (DMCA) Хабр Исключение из результатов поиска Запросов: 3
⬝ Удовлетворено: 1
⬝ Оспорено: 2

Ошибка заявителя: 3, отклонены

Ни о каких массовых запросах, как в социальных сетях, речи не идёт — это штучные истории, которые при изучении контекста могут показаться вполне закономерными.

Примеры


Отчёт пополнился обращением от 2012 года (видимо, именно тогда службы открыли для себя Хабр) — оно самое первое и самое безобидное. «Возможно ли с вами организовать быструю взаимосвязь по обмену информацией в рамках правового поля?» — в свободной форме поинтересовался руководитель отдела по борьбе с киберпреступностью из соседнего государства.

Вообще, Transparency report — это не только запросы от правоохранителей, но и любые другие «официальные» обращения, например, от правообладателей. Поэтому не совсем корректно читать «к нам поступил запрос» как «к нам постучал т-щ майор».

Запросы от спецслужб

К слову, запросов от товарищей майоров я не помню. Если и приходит запрос, то он приходит от какого-нибудь следователя в рамках какого-то уголовного дела (поэтому рассказывать подробности мы тут не можем). Например, по делу о мошенничестве на «Фрилансим» — да, как и везде: недобросовестные пользователи у нас тоже иногда попадаются. Но это вовсе не значит, что их данные мы будем раздавать налево и направо.


Признаки правильно оформленного обращения:

  • типографский бланк (не всегда)
  • реально существующее подразделение органа власти 
  • наличие даты и номера исходящего. В дежурной части должны подтвердить номер
  • верно указанный получатель
  • наличие в запросе указания на основание (номер дела, КУСП)
  • описание конкретной запрашиваемой информации
  • наличие контактов непосредственного исполнителя. В дежурной части должны знать этого человека
  • печать (не всегда)
  • подпись (не напечатанная и не факсимиле)

Часть запросов отклоняется из-за некорректного заявления и повторно они не приходят. Если же запрос оформлен корректно, то почти всегда там запрашивают абстрактные «регистрационные данные» по аккаунту: дату/время регистрации и последнего входа, номер телефона (кхе) указанный при регистрации, ФИО и т.д. — ощущение, что бездумно копируют из методички, составленной для других проектов. В таком случае прямо на фирменном бланке печатаем дату/время регистрации и последнего входа, почту и указанное в профиле имя, IP-адреса — практически всё то, что в большинстве случаев и без нас можно увидеть в профиле пользователя. И уж совсем редко (было раза два или три) запрашивают «журналы посещений» пользователя за некий период. В таком случае приходится делать выгрузку данных из логов сервера и печатать её мелким шрифтом. Если пользователь метался по сайту как раненый сайгак, то речь про пачку бумаги. В таком документе содержится лишь информация вида «дата-ip-урл», без текстов статей, комментариев и уж тем более личных сообщений. Визуально это чтиво чем-то похоже на логи веб-сервера. Уж не знаю, насколько это помогает в борьбе с чем/кем-либо, но, как говорится, «какое ТЗ...».

Вот вам ошибочный запрос — можно потренироваться в поиске ошибок:


РКН

Что больше всего бесит, так это признание информации запрещённой к распространению, то есть «письма счастья» от Роскомнадзора. Просто приходит письмо: такой-то урл по решению такого-то суда попал в реестр запрещённой информации, не скроете — заблокируем. Приходится сначала исполнять это постановление (скрывать пост или удалять картинку), а уже потом разбираться что да почему. Каждый раз мы изучаем контекст, в том числе для поиска ответа «Ээ, но зачем?» и почти никогда не находим ответа. В основном под раздачу попадают посты многолетней давности, которые «давно отшумели» и расползлись по сети, но которые, видимо, нашлись по каким-то ключевым словам — от «налогов» до «напечатали пистолет на 3д-принтере». Хотя однажды РКН всё же принёс пользу — запретил аккаунт с названием казино в логине и сео-спамом в профиле, который мы бы и без судебных заседаний заблокировали.

Чего-то реально опасного или вредного в списке заблокированного (на данный момент) мы не видим, поэтому поступаем так:

  • Связываемся с авторами заблокированных публикаций и стараемся оказать им юридическую помощь в оспаривании постановления (так как почти всегда они идут с нарушениями, например, без нашего участия в судебных заседаниях). Обычно авторы не горят желанием тратить на это время, именно поэтому в Transparency report напротив РКН почти везде «Удовлетворено» и лишь несколько «Оспорено». Во втором случае у нас было несколько успешных историй — вот, например, одна из них.
  • Планируем доработать механизм скрытия заблокированных публикаций, выдавая ошибку 451 в той стране, которая инициировала блокировку (пока у нас это только одна страна).

Правообладатели

За всё время было всего 3 обращения — все три от Google (об исключении статьи из результатов поиска) и все три в один день. Например, про утечку исходников Mortal Kombat — сообщили, что это новость, а не сами исходники и нас восстановили (можно погуглить). 

* * *

Но бывают и необычные случаи. Например, однажды к нам поступило постановление из ФССП по имущественному спору, согласно которому мы были обязаны заблокировать учётную запись одного из пользователей, которую суд посчитал его имуществом. Мы постарались оказать юридическую помощь, но всё решилось проще — пользователь завёл новую учётную запись.

Мопед не мой

Или вот иногда из МВД к нам приходят запросы с просьбой предоставить данные по различным пользователям сервиса «ДругВокруг». Таких запросов уже 5 штук. Мы пытались выяснить у инициаторов запросов их логику, но самым внятным ответом оказалось «нашли в интернете». Пытались поискать — максимум нашли карточку компании «Друг Вокруг» на нашем сервисе career.habr.com (ранее — «Мой Круг»), в подвале которого располагалась контактная информация нашей организации. Это всё, что вам надо знать… ну вы поняли.



The end


Масштабы обращений к нам не такие грандиозные, как у тех же социальных сетей. Во многом потому, что вся информация о пользователе доступна всем, будь то посты или комментарии. Всё взаимодействие осуществляется только через официальные запросы с соблюдением всех формальностей, без каких-либо недокументированных и подковёрных запросов. И предпосылок к росту количества мы не видим, как не видим и необходимости в «свидетельстве канарейки». Наоборот, думаем, что со сменой юрисдикции юрлица, управляющего Хабром, количество обращений сократится — это всё ещё впереди, поживём-увидим.

* * * 

Чуть было не закончил эту статью невероятным фактом — что в отделе по работе с пользователями (фидбек по всем проектам, модерация всего контента) трудится четыре лучших человека (краповые береты, выросшие на Хабре). Но вовремя остановился, поняв, что рассказ о них достоин отдельного поста.
Tags:HabrTransparency report
Hubs: Habr Information Security Habr Legislation in IT
Total votes 308: ↑305 and ↓3 +302
Views84.6K
Comments Comments 301

Popular right now

QA-специалист
from 120,000 ₽ХабрRemote job
Frontend-разработчик
from 120,000 to 180,000 ₽ХабрRemote job

Top of the last 24 hours

Information

Founded
2008
Location
Россия
Website
habr.com
Employees
31–50 employees
Registered
Representative
trussu

Habr blog