Ранее мы рассказывали о том, как регуляторы в США собираются требовать от ИТ-бизнеса отчеты о действиях клиентов и пользователей. Похожие процессы идут и в Великобритании, но собирают такую информацию там иными способами. Поговорим об этом подробнее.
Фотография: The Average Tech Guy.
Источник: Unsplash.com
Закон пятилетней давности
В конце 2016 года королева Великобритании подписала закон под названием Investigatory Powers Bill. Он дал зеленый свет на разработку масштабной системы контроля и сбора данных с цифровых устройств. Помимо этого сотрудникам спецслужб разрешили взламывать не только гаджеты, но и ИТ-инфраструктуру целых городов, если это потребуется для обеспечения национальной безопасности. Также правоохранителям дали возможность просматривать, какие сайты посещают британские граждане и мониторить активность мобильных приложений. Задачи хранения и сбора этой информации возложили на интернет-провайдеров и операторов сотовой связи, а средства на реализацию соответствующих решений выделили из бюджета.
На момент принятия закона не был утвержден какой-либо технический регламент, поэтому тонкости реализации столь масштабной системы долгое время оставались неизвестны.
Больше конкретики
В 2018-м законодатели внесли правки в документ Communications Data Code of Practice, описывающий механизмы доступа к персональным данным граждан Великобритании правоохранительными органами. Стало известно, что правительство планирует разработать единую базу с историей просмотров в интернете. В нее планировали включить трекинг посещаемых ресурсов, время и продолжительность доступа, клиентский IP, а также некоторую информацию об устройстве пользователя. Доступ к базе сотрудников полиции был предусмотрен с помощью специального поискового движка фильтра запросов (request filter).
Разработка новой системы велась на протяжении последних двух лет силами интернет-провайдеров и Министерства внутренних дел. В марте этого года были проведены первые тестовые запуски. Пример таблицы с данными, которые удалось собрать, можно найти по ссылке. Что интересно, Investigatory Powers Bill запрещает провайдерам распространяться о том, как идут тесты, однако в Управлении комиссара по вопросам полномочий следствия (IPCO) отмечают, что проводят регулярные проверки и пытаются оценить, какой набор данных будет необходимым и соразмерным поставленной задаче. Но некоторые из собираемых данных могут оказаться бесполезными например, время сессии, поддерживаемое в рамках дня.
Такие разные вопросы
Критики Investigatory Powers Bill уже окрестили закон хартией шпионов (snoopers charter). Особенно активно против него высказывается Лейбористская партия одна из двух ведущих в Соединённом Королевстве. Они опасаются, что сфера применения системы выйдет за пределы вопросов национальной безопасности. Правоохранители говорят, что собираемых данных недостаточно, чтобы понять, какой контент просматривает человек на сайте. Однако эксперты отмечают, что метаданных точно хватит для составления портрета пользователя.
Существуют проблемы, связанные с эффективностью такой системы есть мнение, что обойти её будет не так уж и сложно. Один из резидентов Hacker News отмечает, что достаточно выходить в сеть через VPN-сервисы или использовать удаленный доступ к виртуальной машине.
Фотография: EV. Источник: Unsplash.com
Вопросы вызывают и расплывчатые формулировки в тексте закона. В документе сказано, что данные в базу данных могут попасть только в том случае, если это необходимо для борьбы с серьезными преступлениями. Но что считать серьезным преступлением? Тут сложно дать однозначный ответ, так как у разных политических и правозащитных институтов на этот счет могут быть разные мнения. К обсуждению подключился даже Европейский суд. Он заключил, что европейские законы запрещают массовый сбор данных и геолокации для борьбы с преступностью. Но учитывая, что Великобритания вышла из состава Евросоюза, возражения Европейского суда теперь имеют ограниченное значение. Чтобы понять, в каком направлении дальше будет развиваться ситуация, необходимо дождаться окончания тестов. На данный момент отказ от полномасштабной реализации проекта видится маловероятным, однако парламентарии могут пересмотреть отдельные его аспекты.
Дополнительное чтение:
