Куда подать запрос на выдачу пользовательских данных у крупных международных организаций и что можно получить в результате

В данном исследовании проводится обзор тех пользовательских данных, которые собирают и хранят крупные участники цифрового пространства и приведены ссылки, по которым уполномоченные сотрудники государственных структур могут осуществить запрос на выдачу тех или иных данных.

Введение

Компании, работающие в российском правовом поле, несут обязанность предоставлять информации по запросам государственных структур, имея в то же время право отчитываться о таких запросах перед своими пользователями. Детализация таких отчётов, как правило, ограничивается законодательно. Тем не менее, многие компании регулярно публикуют отчёты о прозрачности (от англ. transparency report), основанные на статистических данных, связанных с запросами персональных данных или контента со стороны государственных органов. На их основе можно сделать выводы о том, какие именно данные выдавали компании в разных регионах, какое количество запросов поступило и какой процент заявок удовлетворяется.

Помимо прямого запроса данных непосредственно у компании, которая их собирает, существуют и используются инструментальные способы доступа к информации. При использовании специализированных инструментов, производимых в том числе и нашей компанией, нет необходимости в оформлении специализированных запросов и длительном ожидании. В то же время нужно помнить, что практически любой инструмент (особенно это касается того, что используется в цифровой криминалистике) может использоваться в разных целях – как для ловли преступников, так и для преследования политических оппонентов (широкую огласку получила история израильской NSO Group), не говоря уже об использовании тех же самых инструментов самими преступниками; случаи, когда мошенники изображали сотрудников правоохранительных органов и получали данные от поставщиков, хорошо известны. Мы не будем давать оценки этой стороне вопроса; нам интересна исключительно формальная сторона – какие именно данные доступны и куда обращаться для их получения.

Предыстория

Мы уже обращались к этой теме несколько лет назад в статье Government Request Reports: Google, Apple and Microsoft, но решили вернуться к ней по нескольким причинам.

Во-первых, все компании, предоставляющие те или иные сервисы (от полноценной экосистемы как Apple и Google до авторов программ мгновенного обмена сообщениями), собирают и хранят всё больше и больше данных. Мотивы этого различны: от предоставления услуг более высокого качества до продажи данных (как правило, в виде агрегатной анонимизированной статистики) «на сторону».

Во-вторых, извлекать данные из самих устройств становится всё сложнее. Когда-то пароль разблокировки устройства был по умолчанию 4 цифры (и зачастую его даже не нужно было взламывать); сейчас же стандартная длина кода блокировки – 6 цифр. Безопасность самих устройств увеличивается, а злоумышленники стали существенно квалифицированное.

В-третьих, уклон в сторону хранения данных в «облаке» (под облаком мы понимаем любые онлайн-сервисы) продолжает увеличиваться. Данных всё больше, к ним нужен доступ из любых устройств и любых локаций.

В силу этого правоохранители достаточно часто прибегают к запросам данных о пользователях непосредственно у сервисов, где эти данные хранятся. В Российской Федерации это регулируется рядом законов, самые известные:

• Федеральный закон от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон „О противодействии терроризму“ и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности»
• Федеральный закон от 6 июля 2016 г. № 375-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности»

Аналогичные законы существуют практически во всех странах, и вендоры вынуждены им подчиняться.

Мы провели небольшое исследование и собрали публично доступную информацию, которую компании сочли нужным предоставить. Юридические вопросы, а также вопросы конфиденциальности в целом мы обсуждать не будем; собранная информация является достаточно технической. К сожалению, не все компании предоставляют полную и подробную информацию следующего характера:

• Какие именно персональные данные сохраняются и как долго
• Какие из этих данных защищены сквозным шифрованием
• Какие из хранимых данных могут предоставлять по запросу
• Как должен быть правильно составлен запрос, какие требования и ограничения, какие сроки его обработки
• Формат возвращаемых данных
• Существует ли практика «срочных» запросов по делам государственной важности
• Есть ли специальные запросы для «сохранения» данных (если есть риск удаления данных самим пользователем)
• Уведомляется ли пользователь о том, что по нему пришёл запрос

Работа в ситуации правовой неопределённости

Работа в правовом поле в текущий момент осложняется неоднозначным правовым статусом некоторых из перечисленных организаций. Так, компания Meta признана экстремистской организацией решением Тверского районного суда Москвы от 21 марта 2022 года. Это касается таких сервисов компании, как Facebook*и Instagram*, но не относится к принадлежащему той же компании сервису WhatsApp. Какими именно инструментами имеют право пользоваться правоохранительные органы для получения информации от экстремистской организации – крайне интересный вопрос, ответ на который должны дать квалифицированные юристы.

Компания Twitter с одноимённым сервисом экстремисткой организацией не признана, однако 14 марта доступ к сервису в России был ограничен по решению Роскомнадзора. Соответственно, правовой статус как запросов на выдачу или удаление информации, так и возможной реакции на такие запросы компании Twitter довольно невнятен и, вероятно, со временем будет определён на практике.

Компания Alphabet, которой принадлежат в том числе многочисленные сервисы Google, 20 июня 2022 года ещё не признана экстремистской организацией, а доступ к ней пока не ограничен Роскомнадзором, однако выписанный в конце декабря 2021 российскому юридическому лицу компании штраф в 7,22 млрд рублей привёл к банкротству российского представительства Google. К какому именно юридическому лицу и в какой именно юрисдикции должны направлять запросы о выдаче пользовательских данных представители российских государственных органов – вопрос крайне интересный; ответ на него должны дать квалифицированные юристы.

Apple

Компания Apple достаточно активно сотрудничает с правоохранительными органами всех стран, предоставляет достаточно много данных, и регулярно публикует отчёты о количестве поступивших запросов (и сколько из них были удовлетворены).

Отчёты о прозрачности: https://www.apple.com/legal/transparency/

Политика конфиденциальности (применительно к запросам): https://www.apple.com/ru/privacy/government-information-requests/

Достаточно недавно у компании появилась также специальная Программа поддержки правоохранительных органов, некий учебный курс (доступный, конечно, только сотрудникам соответствующих организаций).

Есть и подробные Правила Apple по работе с запросами правоохранительных органов; там описано, какие данные хранятся, какие могут быть переданы, и что для этого надо сделать (есть и ссылка на форму запроса).

Информация, предоставляемая Apple достаточно обширна. В приведённом выше документе указаны следующие категории данных:

• Device Registration
• Customer Service Records
• Apple Media Services
• Apple Store Transactions
• Apple Online Store Purchases
• Gift Cards
• Apple Pay
• iCloud
• Find My
• AirTag and Find My Network Accessory Program
• Extracting Data from Passcode Locked iOS Devices
• Other Available Device Information
• Requests for Apple Store CCTV Data
• Game Center
• iOS Device Activation
• Connection Logs
• My Apple ID and iForgot Logs
• FaceTime
• iMessage
• Apple TV app
• Sign in with Apple

Обратите внимание на Connection Logs – даже если владелец учётной записи не использует сервисы iCloud, его устройства постоянно связываются с серверами Apple для обеспечения полноценного функционирования системы. Apple даёт следующие пояснении по этому пункту:

Connection activity for a customer or a device to Apple services such as Apple Music, Apple TV app, Apple Podcasts, Apple Books, iCloud, My Apple ID, and Apple Discussions, when available, may be obtained from Apple. These connection logs with IP addresses, if available, may be obtained with the appropriate legally valid request for the requestor’s country.

Надо отметить, что данные возвращаются в виде, крайне неудобном для анализа; однако, многие производители криминалистического ПО давно добавили в свои продукты поддержку этого формата, как и многих других (не только того, что возвращает Apple). Единого стандарта тут, к сожалению, нет и быть не может: данные слишком разнородны.

• Запросы на сохранение: да
• Уведомление пользователей: да

Нужно также отметить, что в компании Apple начали применять или расширили применение технологий так называемого «сквозного шифрования», что позволяет компании с неопределённой степенью обоснованности утверждать о невозможности выдачи таких данных по запросу и, соответственно, отказывать в выдаче таких данных. К таким типам данных в облаке Apple iCloud относятся: облачная связка ключей; информация об использовании встроенного в устройства компании браузера Safari (история посещений, вкладки, закладки); данные о физических активностях пользователя из приложения «Здоровье» (например, количество шагов, пройдённых в тот или иной промежуток времени) и ряд других категорий. Для извлечения и расшифровки таких данных необходимо использовать специализированное ПО, производимое в том числе ООО «Элкомсофт» (Elcomsoft Phone Breaker).

Google

Компания Google регулярно публикует отчёты по получаемым запросам, см. Transparency reports.

Руководство по обращениям в компанию и описание (не слишком подробное) есть на следующей странице: https://support.google.com/transparencyreport/answer/9713961

Google provides an online system that allows verified government agencies to securely submit requests for user information, view the status of submitted requests, and, ultimately, download Google’s response.

• Запросы на сохранение: неизвестно
• Уведомление пользователей: да

Microsoft

Компания Microsoft крайне скудно описывает то, какие данные она собирает, какие предоставляет, и что надо сделать для их получения. Базовая информация доступна по ссылке Law Enforcement Requests Report. Короткая выжимка:

Microsoft requires official, signed, legally valid process issued pursuant to federal or local law and rules. Specifically, we require a subpoena or its equivalent before disclosing non-content, and only disclose content to law enforcement in response to a warrant (or its local equivalent). Microsoft’s compliance team reviews government demands for customer data to ensure the requests are valid, rejects those that are not valid, and only provides the data specified in the legal order. Moreover, Microsoft redirects the government to seek data from enterprise customers themselves when legally permitted. All law enforcement requests arrive at Microsoft through a secure portal, for which only vetted law enforcement agencies receive access. Once Microsoft reviews the demand and determines that it must provide data, the data specified in the valid legal order is provided to law enforcement through the same, secure portal.

• Запросы на сохранение: неизвестно
• Уведомление пользователей: да

Meta (Facebook, WhatsApp, Instagram)*

Информации, которую готова предоставить компания Meta*, немного; см. Information for law enforcement authorities. Объём предоставляемой информации описывается совсем кратко:

• Basic subscriber information: Such as name, length of service, payment information, email addresses, and recent login/logout IP addresses.
• Records pertaining to account activity: Such as message headers and IP addresses.
• The stored contents of an account: Such as messages, photos, videos, timeline posts, and location information.

Стастистика по запросам публикуется достаточно подробная; вот данные по второй половине 2021 года по России.

• Запросы на сохранение: да
• Уведомление пользователей: неизвестно

Telegram

Владельцы Telegram утверждают, что готовы передавать информацию исключительно о лицах, официально подозреваемых в пособничестве терроризму, однако, по официальным данным компании, до сего момента не обработала ни одного такого запроса:

If Telegram receives a court order that confirms you’re a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: https://t.me/transparency.

Так ли это, мы судить не берёмся.

• Запросы на сохранение: нет
• Уведомление пользователей: нет

Twitter

Информация опубликована на странице Transparency center; руководство для правоохранительных органов и отчёты есть по ссылке Guidelines for law enforcement.

Информация по России (последний отчёт за 2021 год) достаточно интересна:

Other increases were seen in the accounts and Tweets withheld. The spike in Tweets withheld was partly due to content reported by Russia that was alleged to violate local laws against suicide promotion. Over 52% of all withheld Tweets in this reporting period involved content connected to suicide promotion in Russia.

The next highest volume of legal demands came from Russia, comprising 25% of global legal demands and representing a 56% increase from the number of requests they submitted during the previous reporting period. 71 % of Russian requests pertained to Russian laws prohibiting the promotion of suicide.

Russia once again became Twitter’s second largest requester accounting for 25% of all legal demands during this reporting period. This represents the highest amount of legal demands that Russia has reported to Twitter since the start of our transparency report in 2012.

• Запросы на сохранение: да
• Уведомление пользователей: да

Yandex, VK/mail.ru

Информация практически отсутствует. Судите сами:

https://yandex.ru/company/privacy/transparencyreport

https://help.mail.ru/legal/terms/common/privacy

https://vk.com/privacy

• Запросы на сохранение: неизвестно
• Уведомление пользователей: неизвестно

Другие компании/Сервисы

Совсем коротко ещё о нескольких компаниях:

Amazon

https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF

SnapChat

https://snap.com/en-GB/privacy/transparency

Discord

https://discord.com/safety/360044157931-Working-with-law-enforcement

Процедура проста: достаточно направить запрос по электронной почте. Our contact preference is email. Please contact us at lawenforcement@discord.com with any questions or legal process documents.

Dropbox

https://www.dropbox.com/transparency/

TikTok

https://www.tiktok.com/transparency/en-us/

Заключение

Серьёзных исследований о том, как и когда компмании предоставляют данные о своих пользвателях, проводилось крайней мало. Вот два из них:

Charts: Here’s How Often Google and Facebook Say Yes to Government Snoops

An Analysis of Service Provider Transparency Reports on Government Requests for Data

За дополнительной информацией предлагаем также обратиться по ссылке Transparency report в Wikipedia (есть также русская версия); также доступен достаточно обширный «каталог» отчётов о прозрачности: https://www.accessnow.org/transparency-reporting-index/

—
* Компания Meta решением Тверского районного суда Москвы от 21 марта 2022 года признана экстремистской организацией