Новые правила идентификации сотовых абонентов антиконституционны и принесут операторам многомиллиардные убытки
Фонд «Сколково» предупредил, что сотовые операторы могут потерять десятки миллиардов рублей из-за последних изменений в Законе «О связи». Они требуют от граждан для дистанционной покупки SIM-карт участия в Единой биометрической системе, созданной «Ростелекомом». А пользователи корпоративных SIM-карт должны будут иметь учетные записи в ЕСИА, что можно рассматривать как нарушение положений Конституции.«Сколково» раскритиковал последние изменения в Законе «О связи»
В распоряжении CNews оказалось письмо директора департамента развития и планирования Фонда «Сколково» Сергея Израйлита, направленное гендиректору АНО «Цифровая экономика» Евгению Ковниру, замминистра цифрового развития Олегу Иванову и замминистра экономического развития Владиславу Федулову.
Фонд «Сколково» является центром компетенций по нормативному регулированию национальной программы «Цифровая экономика». Письмо посвящено критике принятых в конце прошлого года изменений в Закон «О связи», касающихся дистанционного заключения договора на оказание услуг связи и удаленного подтверждения данных абонентов сотовых операторов.
Как в России пытались узаконить дистанционную продажу SIM-карт
Впервые возможность удаленного заключения договора на оказание телекоммуникационных услуг появилась в Законе «О связи» в 2017 г. Для этого необходима была усиленная квалифицированная электронная подпись (УКЭП) или простая электронная подпись, ключ для которой был выдан при личном присутствии.
Простой электронной подписью считается любой тип идентификации, об использовании которого договорились стороны. Примером простой подписи является базовая учетная запись для доступа к ЕСИА («Единая система идентификации и аутентификации в инфраструктуре, обеспечивающая информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг»).
Подтвержденная учетная запись в ЕСИА может считаться примером простой электронной подписи, выданной при личном присутствии. ЕСИА, вместе с Единым порталом государственных и муниципальных услуг (ЕПГУ), является частью инфраструктуры электронного правительства. Функционирование данной инфраструктуры обеспечивает «Ростелеком».
Усиленной подписью называется подпись, выданная удостоверяющим центром. Усиленной квалифицированной подписью называется подпись, выданная аккредитованным удостоверяющим центром. УКЭП признается аналогом собственноручной подписи.
Проблемы запуска eSIM в России
Возможность дистанционной продажи SIM-карт не использовалась активно до начала пандемии короновируса в 2020 г., когда сотовые операторы стали экспериментировать с такого рода продажами. Абонентам предлагалось идентифицироваться через мобильное приложение, введя туда скан паспорта и сделав селфи, либо через ЕСИА.
В то же время актуальность дистанционной продажи SIM-карт возрастает с появлением виртуальных SIM-карт – eSIM. В прошлом году российские сотовые операторы начали продавать такого рода SIM-карты, но, как правило, для их получения необходимо придти в офис. В то же время с технологической точки зрения профиль eSIM можно загружать в телефон полностью дистанционно.
Кроме того, согласно внесенным в 2017 г. изменениям в Закон «О связи», операторы связи должны проводить процедуру подтверждения соответствия данных о своих абонентах из числа физических лиц и пользователях номеров, закрепленных за корпоративными клиентами. Это можно осуществлять путем личной явки либо дистанционно с помощью УКЭП, ЕСИА, ЕПГУ или государственные информационные системы.
Новые требования к дистанционной продаже SIM-карт: нужна биометрия
Принятые в конце 2020 г. поправки в Закон «О связи» усиливают требования к дистанционным продажам SIM-карт: для этого, согласно первой редакции законопроекта, необходим УКЭП или простая электронная подпись, полученная при личной явки за оказанием государственных и муниципальных услуг в электронной форме. Но при использовании простой электронной подписи граждане теперь должны будут пройти идентификацию через Единую биометрическую систему (ЕБС), оператором которой также является «Ростелеком».
В окончательную версию закона был добавлен пункт о том, что дистанционное заключение договора об оказании услуг связи будет возможно также при использовании усиленной неквалифицированной электронной подписи, сертификат которой выдан в инфраструктуре, используемой для предоставления государственных и муниципальных услуг в электронной форме. При этом взаимодействие гражданина с указанной инфраструктурой должно осуществляться с использованием прошедших процедуру оценки соответствия средств защиты информации.
Такого рода ключи будут выдаваться владельцам подтвержденных учетных записей в ЕСИА. То есть возможность дистанционно продавать SIM-карты обладателям подтвержденных аккаунтов в ЕСИА сохранилась. В то же время закон все равно оговаривает, что для дистанционной продажи eSIM можно будет использовать только УКЭП или простую электронную подпись в привязке к ЕБС.
Проверка подлинности данных корпоративных абонентов через ЕСИА
Корпоративные абоненты (юридические лица и индивидуальные предприниматели) должны внести в ЕСИА данные о физических лицах, которые будут конечными пользователи выделенных данным абонентов сотовых номеров. Оператор связи, до начала оказания услуг, через ЕСИА и Систему межведомственного электронного взаимодействия (СМЭВ) должен будет проверить достоверность указанных данных. Со своей стороны, физические лица – пользователи услуг – через ЕПГУ должны будут подтвердить достоверность сведений о них.
Роскомнадзор создаст информационную систему мониторинга соблюдения операторами связи обязанности по проверке достоверности сведений об абоненте. Данная система будет взаимодействовать с ЕСИА, за ее функционирование будет отвечать подведомственная Роскомнадзору радиочастотная служба. Операторы должны будут предоставить Роскомнадзору доступ к сведениям о своих абонентах, используемом ими оборудовании, о способах подтверждения сведений об абонентах и результатах проверок достоверности данных сведений.
Возможность дистанционной блокировки украденных телефонов
Абоненты – физические лица, имея учетную запись на ЕСИА, смогут вносить сведения об имеющихся у них сотовых номерах и уникальных IMEI-номерах их телефонных аппаратов. В случае потери телефона абонент может потребовать от оператора заблокировать данный аппарат по его IMEI-номеру.
Новый закон вступает в силу с июня 2021 г. Корпоративные абоненты, заключившиеся договора на оказание услуг связи до вступления в силу данного закона, должны будут внести в ЕСИА данные о конечных пользователях своих сотовых номеров до 30 ноября 2021 г. Операторы связи начнут проверку соответствующих сведений с 1 декабря 2021 г.
Для изменения тарифного плана гражданам необходимо будет сдать биометрию
В своем письме Сергей Израйлит предупреждает, что новый закон ограничивает существующие возможности по дистанционному заключению абонентских договоров, отменяя ранее предусмотренный способ заключения договора с использованием простой электронной подписи, ключ которой получен при личном визите. В том числе невозможно будет использование подтвержденных учетных записей в ЕСИА, число которых составляет 65 млн.
Предлагаемая альтернатива - в виде использования ЕБС – не пользуется высоким спросом: в Единой биометрической системе было зарегистрировано лишь порядка 150 тыс человек. Кроме того, операторам связи потребуется понести расходы на интеграцию с ЕБС. «Предлагаемые законопроектом механизмы дистанционной идентификации негативно скажутся на доступности услуг связи для населения, в том числе в условиях пандемии, а также на дальнейшем развитии отрасли связи, в том числе на конкурентных условиях, поскольку оператором ЕБС является единственный оператор связи («Ростелеком» - прим. CNews)», - говорится в письме.
Невозможно будет осуществлять и дистанционную продажу eSIM, так как в приложениях операторов сотовой связи не реализован функционал с поддержкой ЕСИА и ЕБС, а его доработка потребует времени и расходов, в том числе и из федерального бюджета. «Сама идея ставить развитие технологии eSIm в зависимость от исключительно государственных систем ЕСИА и ЕБС является нецелесообразной, так как противоречит принципам технологически нейтрального регулирования и ведет к созданию необоснованных преимуществ одного способа заключения договора по сравнению с иными способами», - отмечает Израйлит.
Кроме того, абоненты не смогут изменять уже существующие договора (изменение тарифных планов, подключение услуг и т.д.) путем конклюдентных действий (через мобильное приложение, путем отправки SMS и т.д.). Для этого нужны будут УКЭП или ЕСИА с ЕБС.
Неконституционное требование заставлять граждан получать ЕСИА
Не нравится Израйлиту и идея проверять достоверность сведений о пользователях услуг сотовой связи, подключенных через корпоративных абонентов, через ЕПГУ и ЕСИА. Получается, что юридическое лицо, имеющее договор на оказание услуг сотовой связи, и его сотрудники, желающие пользоваться такими услугами, должны иметь подтвержденные учетные записи в ЕСИА, которые, к тому же, должны быть связаны между собой.
Данное требование является неконституционным, полагает Израйлит, так получение учетной записи в ЕСИА является правом, а не обязанностью граждан, и данная учетная запись предназначена для получения государственных и муниципальных услуг. Функционал ЕСИА и ЕПГУ также предназначен для оказания государственных и муниципальных услуг, а не для регулирования отношений в коммерческой сфере по оказанию услуг связи.
Кроме того, не учитывается вопрос иностранных граждан, которые работают в России и не могут зарегистрироваться на ЕСИА. Также указанная норма негативно повлияет на развитие устройств интернета вещей.
«Вводимые законопроектом ограничения окажут непоправимое влияние на рынок услуг связи в корпоративном сегменте и простимулируют практику незаконной продажи SIM-карт в публичных местах, поскольку в отсутствие доступных способов получения услуг связи в установленном порядке у недобросовестных дилеров сохранится стимул для дальнейшей разработки схем распространения «серых» SIM-карт», - предупреждает Израйлит.
Константин Симонов, DataSpace Cloud: В области информационной безопасности существует множество заблуждений
Наконец, Сергей Израйлит раскритиковал и пункт о создании Роскомнадзором информационной системы мониторинги проверки операторами связи данных об абонентах. «Данная система обеспечит доступ всех заинтересованных лиц, включая магистрального оператора связи, занимающего существенное положение на рынке («Ростелеком», - прим. CNews) к широкому кругу данных, что, кроме создания существенных рисков информационной безопасности и утечек информации, приведет к нарушению принципов и условий конкуренции», - говорится в письме.
Сергей Израйлит оценивает, что расходы и потери от реализации требований закона составят 10 млрд руб в год на одного крупного сотового оператора. Сюда входят потеря выручки от невозможности использования собственных систем идентификации и ЕСИА для заключения договоров, потеря выручки от корпоративных клиентов и устройств интернета вещей, затраты на интеграцию с системой мониторинга Роскомнадзора.
Почему «Ростелеком» поддерживает новый закон
«Принятые изменения - это шаг в правильном направлении, вместе с принятыми нормами, которые позволяют использовать коммерческие биометрические системы для идентификации абонентов, - полагает директор Института исследования интернета Карен Казарян. - Вместе с тем, остается вопрос легализации eSim, который, собственно, и является основной причиной, для чего операторам нужна дистанционная продажа SIM-карт».
В «Ростелекоме», со своей стороны, поддержали новый закон. «Внесенные изменения позволят перейти на безопасное удаленное взаимодействие при заключении договоров на оказание услуг связи и снять существующие регуляторные барьеры в части дистанционного взаимодействия, в том числе дистанционной идентификации, что особенно важно в условиях распространения коронавирусной инфекции, - заявили в компании. - Механизм удаленной идентификации с использованием Единой биометрической системы и ЕСИА отвечает высоким требованиям информационной безопасности, позволяет достоверно идентифицировать личность (точность свыше 99,99%) и минимизировать риск мошенничества. Использование других биометрических систем, безопасность которых не подтверждена, может привести к снижению уровня безопасности и росту числа мошенничества с использованием SIM-карт».