Материал продолжает публикации D-Russia.ru о международном опыте регулирования в киберпространстве. Ранее публиковались аналогичные тексты об Испании и Италии.
Особенности использования Интернета гражданами Индии
Индия является вторым по величине онлайн-рынком в мире с более чем 560 миллионами интернет-пользователей, уступая только Китаю. Уровень проникновения Интернета в Индии в 2019 году достиг 41% от населения страны, что является существенным улучшением по сравнению с 31% в 2018 году. На долю Индии приходится 21% общего мирового роста интернет-аудитории, в 2019 году число пользователей Интернета в стране выросло почти на 100 миллионов человек – больше всех в мире (см. таблицу ниже).
По данным Statista к 2023 году в стране будет более 876 миллионов пользователей Интернета. В августе 2020 лишь половина из 1,37 миллиарда индийцев имеют доступ к Интернету.
Доступность Интернета в стране зависит от таких факторов, как пол и социально-экономическое положение. Так, в 2019 году в сельской местности в Индии насчитывалось 290 миллионов интернет-пользователей по сравнению с 337 миллионами городских интернет-пользователей. Большинство индийских пользователей Интернета – молодые люди в возрасте от 20 до 29 лет, эта доля чуть выше сельской местности. В стране гораздо больше пользователей-мужчин, чем женщин, это сильнее проявляется в сельских районах по сравнению с городскими.
| №
п/п |
Страна | Абсолютный прирост пользователей (чел.) | Относительный прирост пользователей (%) |
| 1 | Индия | 97,885,011 | 21% |
| 2 | Китай | 50,666,155 | 6,7% |
| 3 | США | 25,379,895 | 8,8% |
| 4 | Индонезия | 17,300,000 | 13% |
| 5 | Иран | 16,241,877 | 29% |
| 6 | Украина | 15,325,054 | 60% |
| 7 | Танзания | 14,560,898 | 173% |
| 8 | Италия | 11,490,731 | 27% |
| 9 | Бангладеш | 10,158,000 | 12% |
| 10 | Бразилия | 9,946,450 | 7,2% |
| 11 | Филиппины | 9,000,000 | 13% |
| 12 | Аргентина | 6,801,754 | 20% |
| 13 | Афганистан | 5,694,586 | 142% |
| 14 | Турция | 5,027,251 | 9,3% |
| 15 | Кот-д’Ивуар | 4,529,978 | 69% |
| 16 | Камбоджа | 4,500,000 | 56% |
| 17 | Германия | 4,322,056 | 5,8% |
| 18 | Нигерия | 3,572,903 | 3,8% |
| 19 | Испания | 3,541,726 | 9% |
| 20 | Алжир | 3,484,731 | 17% |
Прирост интернет-пользователей по странам в 2019 году в сравнении 2018 годом», источник >>
Большая часть интернет-пользователей Индии выходит в Интернет через мобильные телефоны. В 2019 году около 400 миллионов человек (30% процентов населения страны) составляли пользователи мобильного Интернета, ожидается, что к 2023 году этот показатель возрастет до 500 миллионов человек и составит 35 %.
Дешёвые тарифных планов на передачу данных наряду с различными правительственными инициативами в Индии направлены на то, чтобы сделать доступ к Интернету посредством мобильных устройств основным в стране.
К 2023 году в Индии предполагается почти 450 миллионов пользователей социальных сетей. Кроме того, ожидается, что доля населения Индии, имеющего доступ к социальным сетям, вырастет с 24% в 2019 году до более 31% в 2023 году. Самой популярной социальной сетью в стране является Facebook (280 миллионов пользователей), ни в одной другой стране такого числа пользователей Facebook нет.
Нормативное правовое регулирование информационных технологий
Основным законодательным актом Индии, регулирующим правоотношения в сфере информационных технологий, является закон об информационных технологиях 2000 г. (Information Technology Act, ITA), в который внесены существенные изменения в 2008 году. Закон в основном касается электронных документов, цифровых подписей, определений правонарушений в области информационной безопасности, а также отдельных аспектов защиты персональных данных и ответственности за преступления в цифровой среде.
ITA содержит положения, которые защищают конфиденциальность данных в Интернете, однако при определенных условиях доступ к таким данным может быть предоставлен уполномоченным органам власти. ITA предусматривает установление правительством национального стандарта шифрования, запрет анонимного использования Интернета, условия размещения контента в Интернете. Также ITA устанавливает стандарты защиты данных компаний и наказания за размещение материалов, содержащих детскую порнографию, хакерскую деятельность и мошенничество. ITA экстерриториален, он распространяет действие на преступления или правонарушения, совершенные вне Индии, если преступление касается компьютерных систем или компьютерных сетей, расположенных в Индии.
ITA предусматривает использование цифровых подписей для аутентификации электронных записей и документов с использованием асимметричного шифрования. В Индии выпуск цифровых подписей является обязанностью контрольного удостоверяющего органа (CCA), который осуществляет выпуск цифровой подписи для конечных пользователей напрямую или через местные удостоверяющие центры: Национальный центр информатики, Институт развития и исследований в области банковских технологий и др.
ITA устанавливает конкретные действия, считающиеся хакерскими: например, получение незаконного доступа к компьютеру, скачивание копий или информации, содержащейся в документах, повреждение компьютера вирусным программным обеспечением. За это грозит до трёх лет тюрьмы.
ITA запрещает любые действия с цифровым контентом, изображающим детей в явно сексуальном виде. Такими действиями считаются публикация, передача, создание текста или изображений, сбор, поиск, просмотр, загрузка, реклама, продвижение, обмен детской порнографией. Запрещается соблазнение или побуждение детей к сексуальным действиям в Интернете. Термин «дети» определяется как любое лицо в возрасте до 18 лет, при том, что согласно законодательству Индии (как и России) возраст сексуального согласия составляет 16 лет. Санкция за нарушение закона – штраф 1 миллион рупий (примерно 1 миллион рублей) и/или лишение свободы на срок до пяти лет.
Нарушение конфиденциальности и неприкосновенности частной жизни также преследуется по закону. Наказание – штраф 100 тысяч рупий и/или лишение свободы на срок до трёх лет.
В Индии регулируется деятельность интернет-кафе (Cyber Cafe). Были случаи, когда интернет-кафе использовались для совершения различных киберпреступлений, например, неправомерного завладения паролем доступа к банковскому счёту, отправкой электронных писем с целью запугивания получателей и др. В этой связи интернет-кафе считаются одним из ключевых посредников, деятельность которых необходимо было урегулировать.
ITA предусмотрел определение «интернет-кафе» как любой организации, предоставляющей доступ к Интернету любому лицу, а также включил интернет-кафе в перечень интернет-посредников, распространив на них соответствующие требования.
Посредником согласно ITA является как любое лицо, которое от имени другого лица получает, хранит или передает информацию или предоставляет какую-либо услугу в отношении данной информации. Посредниками считаются операторы связи, интернет-провайдеры, поисковые системы, сервисы онлайн-платежей, онлайн-аукционы, торговые онлайн-площадки и интернет-кафе.
Статья 79 ITA предоставляет интернет-посредникам условный иммунитет от ответственности за действия третьих лиц. Например, посредник освобождается от ответственности в отношении любой сторонней информации, данных или ссылок на информацию или данные, предоставляемых или размещаемых третьими лицами. Обязательным условием в данном случае является отсутствие возможности контроля и мониторинга размещаемой и хранимой информации.
Посредник обязан удалять незаконный контент после получения сведений о его наличии на интернет-ресурсе. Таким образом, посредник обязан действовать только после получения распоряжения суда или уведомления от соответствующего органа государственной власти. Посредник не обязан самостоятельно проводить оценку контента.
В развитие положений ITA в Индии приняты правила информационных технологий (Information technology rules). Это подзаконные акты, которые касаются четырёх сфер:
• правила, регулирующие методы и процедуры обеспечения безопасности и конфиденциальных персональных данных, которые требуют от организаций, хранящих конфиденциальную личную информацию пользователей, поддерживать определённые стандарты безопасности;
• правила для посредников, запрещающие контент определённого характера, устанавливают нормы, которым должны следовать посредники в отношении контента, проходящего через их системы, а также устанавливают ответственность некоторых категорий посредников за обеспечение соответствия содержания информации на сайтах указанным правилам.
• правила, касающиеся принципов деятельности для интернет-кафе, которые обязывают регистрировать интернет-кафе в уполномоченном органе власти, вести журнал учёта данных пользователей и историю использования ими Интернета;
• правила, касающиеся предоставления электронных услуг, которые позволяют правительству определять порядок предоставления определённых услуг, таких, как подача заявлений, выдача сертификатов и лицензий, в электронном виде.
Статья 69F ITA предусмотривает такой состав преступления, как «кибертерроризм», под которым понимается намерение поставить под угрозу единство, целостность, безопасность или суверенитет нации посредством запрета доступа лицу, уполномоченному получать доступ к ресурсам компьютера, попытка проникнуть или получить доступ к ресурсу компьютера без разрешения, а также действия, связанные с установкой вредоносного программного обеспечения на компьютер, которые могут привести к смерти или травмам людей, повреждению или уничтожению имущества и др. Кибертерроризм наказывается пожизненным лишением свободы.
Закон ITA утверждает индийскую группу реагирования на компьютерные инциденты (CERT-India) как национальное агентство по вопросам киберпреступности и описывает её функции как организации, призванной обеспечить безопасность киберпространства. Состав и руководство группы назначается правительством Индии, среди обязанностей группы можно выделить следующие:
• Сбор и анализ информации о киберпреступности;
• Прогноз и оповещения о киберпреступлениях;
• Разработка и участие в исполнении чрезвычайных мер для обработки инцидентов кибербезопасности;
• Координация действий по реагированию на киберинциденты;
• Написание рекомендаций об устранении уязвимостей и технических документов, касающихся методов, процедур, способов предотвращения, реагирования и отчётности в области информационной безопасности.
Любой поставщик услуг, посредник, центр обработки данных, юридическое или физическое лицо обязаны предоставить группе CERT-India информацию по запросу. В случае непредставления информации поставщик услуг, юридическое или физическое лицо наказывается лишением свободы на срок до одного года или штрафом.
Правительственные структуры наделяются полномочиями издавать распоряжения о перехвате, мониторинге и дешифровке любой информации, формируемой, передаваемой, получаемой или хранимой на любых компьютерных ресурсах. Также устанавливаются правовые обязательства и гарантии, относящиеся к таким действиям государства.
ITA предоставляет право государственным учреждениям издавать распоряжения о блокировке открытого доступа к любой информации через компьютерные ресурсы, если такая блокировка необходима или целесообразна в интересах суверенитета, целостности, безопасности Индии и её международных отношений или в целях предупреждения побуждения к совершению соответствующих правонарушений, включая акты терроризма.
Специально назначенные государственные учреждения наделяются полномочиями контролировать, собирать и хранить данные или информацию, создаваемую, передаваемую либо получаемую с помощью любых компьютерных ресурсов.
Механизм блокирования открытого доступа к данным
Блокировка открытого доступа к любой информации через компьютерные ресурсы дополнительно регулируется правилами 2009 года, касающимися порядка и гарантий блокирования доступа общественности к информации.
Ключевые организации и должностные лица, принимающие участие в процедуре блокировки:
организация: правительственные министерства и ведомства, как на центральном уровне, так и на уровне штатов, а также агентства центрального правительства;
уполномоченный сотрудник: правительство назначает должностное лицо, в ранге не ниже ответственного секретаря, в качестве «уполномоченного сотрудника» с целью подготовки и направления распоряжения о блокировании доступа общественности к любой сгенерированной, переданной, полученной, хранящейся или размещенной информации на любом компьютерном ресурсе в соответствии с ITA;
главный сотрудник: каждая правительственная организация для целей реализации правил назначает одного из своих должностных лиц в качестве главного сотрудника, сообщая об этом центральному правительству и в департамент информационных технологий Министерства связи и информационных технологий Индии, а также публикует данные о нём на официальном сайте организации.
Комитет по рассмотрению запроса о блокировке состоит из уполномоченного сотрудника, который является председателем комитета, и представителей (рангом не ниже ответственного секретаря) из Министерства юстиции, Министерства внутренних дел, Министерство информации и телерадиовещания и Группы реагирования на компьютерные инциденты (CERT-India).
Заинтересованное лицо подает жалобу уполномоченному сотруднику одним из двух способов:
через главного сотрудника правительственной организации, в этом случае жалоба отправляется ему, после проверки формальных оснований жалобы, главный сотрудник отправляет её уполномоченному сотруднику в установленном формате;
через главного секретаря штата, в этом случае лицо отправляет свою жалобу секретарю штата, а в случае его отсутствия советнику главы штата для проверки, одобрения и последующего направления уполномоченному сотруднику.
Уполномоченный сотрудник обязан в течение 24 часов подтвердить получение жалобы, уведомив об этом отправителя жалобы.
Комитет рассматривает жалобу вместе с приложенной к ней информацией. Посредник или иное лицо, ответственное за размещение предлагаемой к блокировке информации, уведомляется уполномоченным сотрудником о поступлении жалобы. Для направления пояснений по жалобе предоставляется 48 часов. Если посредник является иностранным лицом, он должен представить ответ на запрос в течение срока, указанного в запросе уполномоченным сотрудником.
Ответ посредника или иного ответственного за размещение информации лица на запрос может быть представлен как в письменной форме (для иностранных лиц только в письменной форме), так и лично. В данном ответе необходимо обосновать, почему контент не нарушает положения статьи 69А Закона ITA.
Если посредник не является лично или не представляет письменный ответ, комитет рассматривает жалобу и даёт рекомендации уполномоченному сотруднику на основе имеющейся информации.
Рекомендации передаются через уполномоченного сотрудника секретарю департамента информационных технологий Министерства информационных технологий. Может быть рекомендована блокировка доступа.
Секретарь на основании рекомендаций комитета издает акт о блокировке доступа либо об отсутствии оснований для блокировки доступа соответствующей информации в Интернете. В последнем случае уполномоченный сотрудник информирует об отказе в блокировке главного сотрудника, а главный сотрудник – лицо, подавшее жалобу.
Вся процедура должна быть выполнена в течение семи дней с момента получения жалобы уполномоченным сотрудником.
В чрезвычайной ситуации секретарь может передать временное распоряжение, содержащее рекомендацию о блокировке, уполномоченному сотруднику, который изучает запрос и принимает решение в соответствии с ITA. После рассмотрения запроса уполномоченным сотрудником и в случае его согласия на блокировку соответствующая информация направляется секретарю, который может затем принять временную меру (распоряжение) о блокировке доступа к информации. Однако комитет должен рассмотреть вопрос о правомерности принятия временной меры (распоряжения) в течение 48 часов после её принятия. На основании рекомендаций комитета секретарь примет окончательное распоряжение либо о блокировке, либо об отмене временного распоряжения.
Правила не определяют максимальный срок принятия окончательного распоряжения на основании рекомендаций комитета, что может повлечь злоупотребления со стороны органов государственной власти Индии.
В течение последних лет блокировке подвергались различные крупные ресурсы, причём иногда без каких-либо объяснений, как в случае с Typepad и Blogspot в 2011 году. В том же году временно были заблокированы все файл-хостинги, чтобы не допустить пиратского распространения фильма «Сингам». В 2012 году был заблокирован доступ к сервису Vimeo и нескольким торрент-сайтам. Также периодически блокировались сайты, аккаунты и группы в различных социальных сетях, связанные с политическими событиями и протестами против коррупции в стране. В 2013 году в Индии заблокировали несколько десятков порносайтов, в 2014 году — 472 файлообменника и файл-хостинга (по просьбе Sony). В 2015-2016 гг. правительство Индии продолжило блокировку порносайтов, а также достигло договоренности с Google, Microsoft и Yahoo о фильтрации в поисковых выдачах для индийского сегмента Интернета всей информации об абортах и определении пола детей во время беременности.
В сентябре 2017 в Индии заблокировали сайт социальной сети «ВКонтакте». Блокировка стала временной мерой до получения властями страны от администрации «ВКонтакте» гарантии удаления любых ссылок на игру «Синий кит», склоняющую подростков к суициду. На территории Индии было зафиксировано как минимум 10 случаев вовлечения подростков в данную игру, которые закончились самоубийствами (или попытками самоубийства). Впоследствии Индия разблокировало российскую социальную сеть после получения запрошенных гарантий.
Одним из последних и наиболее ярких примеров блокировки стало решение правительства Индии заблокировать 59 приложений из Китая. Среди этих приложений были сервис для создания и просмотра коротких видео TikTok, для которого Индия является крупнейшим зарубежным рынком; приложения для создания сообществ и видеозвонков от Xiaomi, крупнейшего производителя смартфонов, продаваемых в Индии; два приложения Alibaba Group (UC Browser и UC News); Club Factory, которая претендует на звание третьей по величине в Индии компании по электронной коммерции, мессенджер WeChat и другие.
Настолько массовая блокировка именно иностранных приложений является первым случаем в Индии, равно как и в мире.
Приостановление предоставления телекоммуникационных услуг
В 2017 году правительство Индии приняло «Правила временного приостановления предоставления телекоммуникационных услуг в случае чрезвычайных ситуаций или угрозы общественной безопасности», предусматривающие возможность отключения сети Интернета в Индии либо преднамеренную дестабилизацию его работы со стороны государства. Данные правила представлялись властями Индии как временные. Разработчики в лице компетентных государственных органов не проводили публичных консультаций, который позволили бы экспертам исследовательских организаций прокомментировать проект данных правил, хотя данная процедура предусмотрена и обязательна в соответствии с положениями закона о телеграфе и парламентской процедурой подготовки нормативных правовых актов в Индии.
Согласно указанным правилам распоряжение о приостановлении предоставления телекоммуникационных услуг может быть вынесено должностным лицом высшего уровня, отвечающим за внутреннюю безопасность, как на уровне страны, так и на уровне штата. Поводом для отключения могут быть «непреодолимые чрезвычайные обстоятельства». Распоряжение действует в течение 24 часов без разрешения Министерства внутренних дел Индии. При наличии такого разрешения максимальный срок действия распоряжения составляет пять дней, после чего распоряжение должно быть рассмотрено на предмет объективности и соответствия законодательству специальным комитетом, состоящим из высших должностных лиц законодательной, исполнительной и судебной власти, а также представителей штата. Приказы передаются операторам связи либо в письменной форме, либо по защищённым каналам.
Случаи ограничения доступа к Интернету
Правительство Индии объяснило законодательное закрепление ограничения доступа необходимостью защиты граждан от террористической угрозы и беспорядков. В 2017 году, после вступления в силу Правил, большая часть ограничений доступа пришлась на индийский штат Кашмир, который имеет спорный статус. Блокировки также совершались в Харьяне, Раджастхане, Уттар-Прадеше, Мадхья-Прадеше, Западной Бенгалии и Махараштре.
Однако одним из самых существенных и значимых для Индии ограничений доступа Интернету стало такое ограничение в Кашмире и Ладакхе.
Днем 4 августа 2019 в Кашмирской долине и некоторых районах Джамму и Ладакха перестали функционировать сети сотовой связи, интернет-услуги и стационарные телефоны. Никаких официальных распоряжений, на основании которых такие действия были предприняты, населению этих регионов представлено не было. Жители Кашмира оказались в информационной блокаде. Действия Правительства Индии сделали для журналистов невозможным поиск новостей, репортёрскую работу, публикацию и распространение интернет-изданий, а также распространение информации.
На основании статьи 32 Конституции Индии главный редактор Kashmir Times Анурадха Бхасин и лидер оппозиции в верхней палате индийского парламента, депутат от Джамму и Кашмира Гулам Наби Азад подали иски к правительству Индии в Верховный суд, с требованием обязать правительство Индии отменить любые приказы, уведомления, указания и распоряжения, которые предусматривают блокировку всех средств связи. Истцы подчеркнули, что ограничения привели к нарушению прав на свободу передвижения, свободу слова и выражения мнений, на свободную торговлю и свободу вероисповедания.
Представлявший позицию правительства Индии в суде Генеральный прокурор бывшего штата Джамму и Кашмир Тушар Мехта указал, что первоочередной обязанностью государства является обеспечение безопасности граждан и их имущества. По его мнению (официальная позиция правительства), у истцов – в отличие от государства – не было полной информации о происходящих событиях в Кашмире, а для объективной оценки действий властей необходимо рассматривать их в контексте не только современности, но и исторического прошлого региона. Генеральный прокурор также указал, что государство стало жертвой как традиционного, так и «цифрового трансграничного терроризма», но даже в этих сложных условиях власти не нарушали право граждан на свободное перемещение.
Говоря об отключениях связи и Интернета, генеральный прокурор подчеркнул, что в Джамму и Ладакхе Интернет не отключали. Также он сообщил, что социальные сети, через которые можно отправлять сообщения и общаться с несколькими людьми одновременно, могут быть использованы в целях побуждения к насильственным действиям.
Целью властей при ограничении доступа к Интернету было недопущение рассылки сообщений из-за границы с целью осложнения обстановки на местах. Кроме того, посредством Интернета можно передавать ложные новости или изображения, а в даркнете существует возможность покупать оружие и запрещённые вещества.
Генеральный прокурор не представил суду оригинала официального распоряжения о приостановлении предоставления телекоммуникационных услуг по запросу суда.
В связи с этим суд постановил, что:
1) компетентные органы обязаны опубликовать все действующие распоряжения об отключении средств связи и Интернета и публиковать все распоряжения в будущем, чтобы пострадавшие могли опротестовать их в суде;
2) свобода слова и выражения мнений, а также право на работу, ведение торговли и предпринимательской деятельности с использованием Интернета пользуются конституционной защитой;
3) приостановление интернет-сервисов на неопределённый срок недопустимо;
4) любое распоряжение о приостановлении доступа к Интернету должно быть основано на принципе пропорциональности и не должно длится сверх необходимого срока;
5) компетентные органы должны немедленно проверить все распоряжения, приостанавливающие работу интернет-сервисов, распоряжения, не соответствующие закону, должны быть отменены.
Через две недели после того, как суд вынес данное решение, 24 января 2020 года, в Джамму и Кашмир заработал мобильный Интернет, но только по технологии 2G. Доступ был открыт только к сайтам из одобренного властями Индии списка; доступ к социальным сетям в Кашмире по-прежнему отсутствует.
Затем 18 февраля отдел по борьбе с киберпреступностью полиции Кашмира начал расследование в отношении пользователей, обходящих запрет на использование социальных сетей при помощи VPN-сервисов. Несмотря на запрет VPN, заблокировать их работу у компетентных органов Индии не получилось. Основным ограничителем доступа Интернета в настоящее время остается низкая скорость передачи данных.
Проект правил регулирования социальных сетей и платформ
В октябре 2019 правительство Индии предложило новые механизмы регулирования контента в Интернете. Для реализации данных механизмов подготовлены изменения в правила информационных технологий, касающиеся правил для посредников. Основной целью указанных изменений является повышение ответственности посредников за публикуемый контент, а также обеспечение его прозрачности.
С одной стороны, технологии привели к экономическому росту и социальному развитию, с другой – фиксируется экспоненциальный рост ненавистнических высказываний, фейковых новостей, нарушения общественного порядка, антинародной деятельности, клеветнических публикаций и других незаконных действий с использованием интернет-платформ и социальных сетей. Поэтому разработка изменений и усиление надзора призвано помочь устранить постоянно растущие угрозы, а также защитить территориальную целостность, суверенитет и национальную безопасность Индии.
Объект правового регулирования в документе определён весьма широко, определение охватывает практически любую онлайн-компанию – от социальных сетей и платформ электронной коммерции до интернет-провайдеров.
Предлагаемый индийскими властями набор регулятивных мер можно разделить на четыре блока:
1) требование к крупным онлайн-платформам, таким как Facebook, Google, Twitter, отслеживать в течение 24 часов по запросу правоохранительного органа происхождение контента, который не соответствуют местным законам (в частности, нарушает приватность, пропагандирует ненависть либо вводит в заблуждение), а также блокировать пользователя и удалять контент (в течение 24 часов) с сохранением удалённого контента в течение 180 дней в интересах расследования правоохранительными органами;
2) требование для любой платформы с более чем 5 миллионами пользователей назначить контактное лицо, которое круглосуточно и ежедневно будет доступно для связи с представителями правоохранительных органов и их представителям для координации совместных действий;
3) установка у провайдеров автоматических технических устройств для мониторинга трафика, которые позволят изолировать индийцев от «противоправной информации» путём удаления из социальных сетей и платформ незаконного контента;
4) требование изменить стандарты шифрования сообщений в мессенджерах так, чтобы власти могли отследить отправителя.
Индийский опыт укладывается в мировую тенденцию усиления информационной безопасности. В случае принятия нового нормативного акта Индия присоединится к растущему списку стран, регулирующих социальные сети – это Австралия, Китай и Сингапур и ЕС. До настоящего времени указанный нормативной акт не принят.
Политический скандал вокруг Facebook
Оппозиционная партия «Индийский национальный конгресс» (Indian National Congress) обвинило руководство индийского подразделения социальной сети Facebook в предвзятой политике информационной безопасности в отношении сообщений и постов членов правящей Индийской народной партии (Bharatiya Janata Party), ведущих к разжиганию межнациональной розни.
В августе 2020 Wall Street Journal выпустил статью о том, как политическая принадлежность пользователей влияет на реализацию политики информационной безопасности Facebook. В материале, в частности, фигурировали прямые цитаты сотрудников индийского подразделения Facebook, которые сообщали о получении инструкций непосредственно от директора по публичной политике индийского подразделения Facebook госпожи Анкхи Дас. Сотрудникам было предписано не применять санкции за нарушения правил общения в Facebook в случае, если нарушения совершались политиками из правящей партии Индии, поскольку иное могло навредить перспективам развития и интересам Facebook в Индии.
Ключевым обвинением в адрес индийского подразделения Facebook стало отсутствие санкций со стороны социальной в связи с заявлением Тайгера Раджи Сингха, члена правящей партии Индии, в отношении индийских мусульман.
Тайгер Раджа Сингх опубликовал пост в Facebook, где призывал к расстрелу мусульман-рохинджа, угрожал разрушить мечети и называл индийских мусульман «предателями». К марту 2020 года команда внутренней безопасности Facebook признала Сингха не только нарушителем правил общения в Facebook, но и опасным пользователем. В случае попадания в категорию «опасных пользователей» служба безопасности Facebook принимает во внимание не только посты, но и деятельность человека вне социальной сети и её возможные последствия.
Согласно выводам ответственных сотрудников-наблюдателей Facebook, риторика Раджи Сингха c учётом особенностей индийского общества может привести к вспышкам реального насилия. Таким образом, его аккаунт должен быть навсегда заблокирован на платформах компании по всему миру.
По информации WSJ, несмотря на настойчивые требования сотрудников-наблюдателей Facebook, ответственных за безопасность платформы, госпожа Анкхи Дас не позволила осуществить блокировку. Раджа Сингх продолжает активно действовать в социальных сетях, у него сотни тысяч подписчиков.
Более того, Анкхи Дас и Facebook получают претензии относительно обеспечения правящей партии Индии «режима наибольшего благоприятствования» в вопросах, связанных с выборами. В качестве примера приводится случай, когда Facebook за несколько дней до начала выборов в нижнюю палату парламента Индии в апреле 2019 года провёл мероприятия по удалению недостоверной информации. К такой информации были отнесены публикации и посты, связанные с пакистанскими военными, а также с индийской оппозиционной партией «Индийский национальный конгресс».
Нормативное правовое регулирование персональных данных
ITA предъявляет к компаниям требование разумных методов и процедур при обработке или передаче персональных данных и предусматривает ответственность за неспособность защитить такие данные. Однако определения понятия «персональные данные» нет, ITA ограничивается лишь указанием на необходимость определения перечня таких данных правительством Индии на уровне подзаконного акта.
Такой подзаконный акт был принят в 2011 году в виде упомянутых ранее правил информационных технологий, устанавливающих методов и процедуры обеспечения безопасности конфиденциальных персональных данных или информации, содержащей такие данные (правила 2011 года).
Правила 2011 года относят к конфиденциальным персональным данным шесть типов данных и два типа информации, содержащей такие данные:
| Конфиденциальные персональные данные | Информация, содержащая конфиденциальные персональные данные (информация ПД) |
| 1. пароль;
2. финансовая информация, такая как банковский счёт, кредитная карта, дебетовая карта или другие платёжные данные; 3. состояние физического, физиологического и психического здоровья; 4. сексуальная ориентация; 5. медицинские записи и история болезни; 6. биометрическая информация. |
1. любые детали, касающиеся конфиденциальных персональных данных и предоставленные юридическому лицу для предоставления услуги;
2. любая информация, полученная в соответствии с вышеуказанными пунктами корпоративным лицом для обработки, хранения или обработки в соответствии с договором или иным образом. |
Таким образом, любой документ или другой фрагмент данных, который содержит хотя бы одну из шести категорий конфиденциальных персональных данных, которые предоставляются юридическому лицу для оказания каких-либо услуг или выполнения в соответствии с контрактом каких-либо действий, также будут конфиденциальными персональными данными.
Правила 2011 года распространяются на сбор, хранение и обработку персональных данных как в электроном виде, так и на бумаге, а также на те персональные данные, которые были собраны до принятия правил 2011 года.
Все юридические лица, которые собирают, получают, владеют, хранят или обрабатывают конфиденциальные персональные данные или информацию ПД, обязаны принять и реализовывать политику конфиденциальности. Такая политика конфиденциальности должна быть опубликована на веб-сайте юридического лица. Политика конфиденциальности должна ясно определять методы и процедуры организации в отношении сбора, получения, владения, хранения, передачи, обработки и защиты конфиденциальных персональных данных и информации ПД.
При сборе конфиденциальных персональных данных оператор таких данных должен получить предварительное согласие субъекта конфиденциальных персональных данных. Субъекту конфиденциальных персональных данных в соответствии с законом предоставляется возможность отзыва согласия на их обработку. В случае отзыва согласия лицо, владеющее конфиденциальными персональными данными, обязано удалить такие данные.
Поскольку согласие на сбор данных требуется только для конфиденциальных персональных данных, можно сделать вывод, что это положение не применяется к информации ПД
Правила 2011 года предусматривают, что для раскрытия конфиденциальных персональных данных любому третьему лицу требуется предварительное разрешение субъекта конфиденциальных персональных данных. Такое предварительное разрешение может содержаться в договоре между поставщиком конфиденциальных персональных данных и лицом, в соответствии с которым конфиденциальные персональные данные были предоставлены юридическому лицу.
Однако существует ряд исключений из правила относительно необходимости предварительного разрешения перед раскрытием каких-либо конфиденциальных персональных данных:
если такие конфиденциальные персональные данные запрашиваются в письменной форме государственными органами с целью проверки личности или для предотвращения, обнаружения, расследования преступлений, а также судами в рамках судебного процесса;
когда раскрытие информации требуется в соответствии с действующим законодательством.
Правила 2011 года не предусматривают никаких штрафов за их нарушение.
Однако ITA предусматривает для любого лица, включая посредника, которое раскрывает персональные данные без согласия субъекта таких данных, а также с намерением причинить этому лицу убытки, наказание в виде лишения свободы на срок до трёх лет и/или штраф до пяти тысяч рупий. ITA также предусматривает выплату компенсации за любую халатность со стороны юридического лица в поддержании разумных методов и процедур безопасности, если такая халатность приводит к убыткам – но уголовное наказание не предусматривается.
В разработке находится законопроект, создаваемый по аналогии с европейским GDPR, он опубликован для обсуждения в июле 2018 г. В ноябре 2019 министр электроники и информационных технологий Индии представил обновлённый вариант проекта закона о защите конфиденциальных персональных данных, который предполагает:
• смягчить ограничения на локализацию и передачу данных;
• расширить сферу действия закона на анонимизированные данные;
• корректировку правовых оснований для обработки данных;
• новую политику конфиденциальности;
• смягчить уголовные наказания;
• расширить права личности;
• создать «песочницу» для поощрения исследований и разработки новых технологий в области кибербезопасности.
Государственные проекты, связанные с использованием персональных данных
Система идентификации и аутентификации граждан Индии Aadhaar
Каждый гражданин может использовать систему Aadhaar для авторизации, в том числе с помощью биометрических данных (отпечатка пальца и/или скана радужной оболочки глаза). Кроме того, система предоставляет возможность электронной подписи eSign. Подписанные документы можно загрузить, передать, хранить в специальном облачном хранилище и платформе для выпуска документов и их сертификации DigiLocker. Персональные данные пользователей Aadhaar защищены от недобросовестного использования. Aadhaar также делает возможным использование унифицированного платёжного интерфейса.
Ещё недавно у большинства граждан Индии отсутствовало свидетельство о рождении, без которого невозможно было идентифицировать личность. Это приводило к тому, что государственные пособия не доходили до конченых получателей и оставались в руках посредников.
В 2008 году был запущен Aadhar, во многом похожий на идентификацию граждан по номерам социального страхования в США. Однако Aadhaar должен был предоставить гражданам более широкие возможности. Правительство Индии заявляло, что программа будет добровольной и в первую очередь предназначенной для малообеспеченных граждан, которым нужно предоставить продукты питания базовые товары.
Спустя 10 лет Aadhaar, в которой хранятся фотографии, имена, адреса, отпечатки пальцев, снимки радужной оболочки глаза и уникальные 12-значные идентификационные номера граждан, стала крупнейшей в мире системой идентификации с биометрическими данными.
Из примерно 1,3 миллиарда граждан Индии идентификационную карту Aadhaar имеют 99% взрослых.
Проект объединённого платёжного интерфейса UPI, который также разработан правительством в сотрудничестве с Aadhaar, многие жители страны, не имеющие счёта в банке, впервые для себя открыли для себя финансовые услуги. При помощи запущенного правительством приложения BHIM миллионы индийцев смогли расплачиваться электронными деньгами вне зависимости от того, в каком банке они имели счета. Перевод средств в BHIM так же прост, как отправка текстового сообщения. Кроме того, оплачивать покупки можно с помощью сканирования QR-кодов. Приложение постепенно вытесняет из обихода граждан практически все операции с наличными.
На следующем этапе развития системы, который получил название Aadhaar Enabled Payments System, предполагается, что смартфоны станут ненужными. Люди смогут оплачивать покупки, проводя пальцем по специальному терминалу, который вместо пластиковых карт будет считывать отпечатки.
Правительство Индии предоставило возможность хранить водительские удостоверения в электронном виде в приложении DigiLocker, чтобы избавить людей от необходимости везде носить с собой бумажные документы.
Разрабатывается технология оформления для пожилых граждан медицинских карт, прикреплённых к номерам в Aadhaar. В них будет храниться информация о состоянии здоровья пациента, доступ к которой смогут получать доктора.
В базе данных Aadhaar неоднократно выявлялись фальшивые записи. Известно немало случаев, когда идентификационные номера в Aadhaar появлялись у животных. Карту Aadhaar однажды нашли даже у индуистского бога Ханумана. Причиной наличия фальшивых записей является то, что базу данных Aadhaar никогда не проверяли на устойчивость ко взлому, о возможности которого сообщали многие эксперты по безопасности, правозащитники, юристы и политики.
В Aadhaar не используются базовые принципы криптографии, и о безопасности проекта вообще известно очень немного. Представляется целесообразным открыть доступ к коду Aadhaar (что является обычной практикой в области ИБ), чтобы специалисты по безопасности могли бы проверить уровень безопасности, оценив риски и угрозы.
Специалисты и эксперты указывают на агрессивность проникновения Aadhaar в другие системы. Например, студенты большинства индийских штатов, желающие сдавать национальный тест для поступления на медицинские специальности, получили уведомление от образовательного совета о необходимости сообщить номер в системе Aadhaar. Наличие регистрации в системе Aadhaar стало обязательным условием для студентов, желающих сдавать экзамен для поступления на инженерные специальности в большинство технических университетов страны.
Верховный суд Индии вынес постановление с требованием к правительству Индии о необходимости привязки номеров мобильных телефонов всех абонентов в стране (около миллиарда) к их картам в Aadhaar. Новые абоненты смогут активировать контракт с мобильным оператором только через базу данных Aadhaar.
Подключение к системе Aadhaar, предоставление своих биометрических и иных персональных данных изначально было добровольным, однако впоследствии стало «добровольно-принудительным». Так, малообеспеченных людей подключали к системе Aadhaar и получали их данные, установив на уровне нормативных правовых актов положения о том, что государственные услуги и субсидии доступны только после регистрации и только при обращении в электронной форме.
Более того, наличие номера в Aadhaar является обязательным для получения зерна в соответствии с законом о национальной продовольственной безопасности. Регистрация в Aadhaar стала обязательной для оплаты газа по льготным расценкам.
Правозащитные организации Индии беспокоит вероятность того, что данные Aadhaar будут использованы для массовой слежки, этнических чисток и другой тайной деятельности.
В конце октября 2019 года правительство Индии объявило о планах запустить крупнейшую в мире систему распознавания лиц. Согласно проекту полиция 29 штатов страны и семи союзных территорий будет иметь доступ к единой централизованной базе данных, которая облегчит поиск преступников и пропавших без вести людей.
Масштабы предлагаемой системы описаны в документе, опубликованном Национальным бюро регистрации преступлений. Предполагается, что система распознавания лиц сможет сопоставлять изображения, полученные от растущей сети камер видеонаблюдения, с базой данных, в которую войдут фотографии преступников, фотографии из паспортов и изображения, собранные различными государственными системами, включая Aadhaar.
Система также позволит осуществлять поиск на основе газетных фотографий, изображений, отправленных гражданами, или фотороботов подозреваемых. Кроме того, система будет распознавать лица на записях из закрытых систем видеонаблюдения и оповещать полицию при выявлении людей из чёрного списка. Полицейских планируется оснастить портативными мобильными устройствами, которые позволят фотографировать лицо интересующего человека и мгновенно найти его в национальной базе данных с помощью специального приложения.
Предполагается, что новая система распознавания лиц может сыграть важную роль в поиске преступников, пропавших без вести лиц и при опознавании трупов. Кроме того, система поможет полицейским «выявлять преступные структуры».
Стратегия Индии в сфере кибербезопасности
Национальная политика в области кибербезопасности (КБ), утвержденная правительством Индии в июле 2013, является первым индийским доктринальным документом, который призван обеспечить комплексное и единое видение политических приоритетов индийского государства, частного сектора и общества в целом в отношении кибербезопасности.
Национальная политика КБ является важной промежуточной ступенью к разрабатываемой в настоящее время индийской национальной стратегии кибербезопасности.
Ключевая роль в обеспечении КБ для индийских пользователей, бизнеса и государственных органов в национальной политике закрепляется за частным сектором.
Основными целями национальной политики КБ являются:
формирование высокого уровня доверия и уверенности в IT-системах;
реализация мероприятий, направленных на обеспечение соответствия политики Индии в сфере информационной безопасности мировым стандартам;
разработка нормативной базы для обеспечения безопасности киберпространственной экосистемы;
развитие механизмов получения информации об угрозах для IT-инфраструктуры, создание сценариев реагирования на национальном и отраслевом уровнях;
усиление защиты и устойчивости критически важных компонентов национальной информационной инфраструктуры через обеспечение эффективного функционирования национального центра защиты критически важной информационной инфраструктуры (NCIIPC) и распределения прав на проектирование, приобретение, разработку, использование и эксплуатацию информационных ресурсов;
разработка передовых технологий в сфере безопасности, способствующие широкому распространению безопасных IT-продуктов для удовлетворения требований национальной безопасности;
создание инфраструктуры для тестирования и проверки безопасности IT-продуктов;
проведение мероприятий по подготовке кадров в области кибербезопасности;
предоставление налоговых льгот предприятиям для принятия стандартов безопасности;
обеспечение защиты информации во время ее обработки, хранения и передачи в целях защиты конфиденциальных персональных данных и уменьшения экономических потерь из-за киберпреступности;
обеспечение эффективного предотвращения, расследования и судебного преследования киберпреступности, расширения возможностей правоохранительных органов, в том числе посредством актуализации соответствующего законодательства;
создание культуры кибербезопасности и конфиденциальности;
укрепление глобального сотрудничества в сфере кибербезопасности.
Для создания механизмов раннего предупреждения угроз, управления уязвимостями и ответа на угрозы функционирует группа экстренного реагирования на компьютерные инциденты (CERT-India). С целью защиты национальной инфраструктуры создан NCIIPC.
Миссией NCIIPC является принятие необходимых мер для содействия защите критической информационной инфраструктуры от несанкционированного доступа, воздействия, использования, обнародования, разрушения, нарушения функциональности, взаимодействия и повышения информационности всех заинтересованных сторон.
Функции NCIIPC:
осуществление деятельности в качестве государственной головной организации, ответственной за все меры по защите критической информационной инфраструктуры страны;
разработка рекомендаций, направленных на снижение уязвимости критической информационной инфраструктуры;
выявление всех критических элементов информационной инфраструктуры;
стратегическое обеспечение деятельности правительства Индии по реагированию на киберугрозы безопасности в отношении критической информационной инфраструктуры;
координация, обмен данными, мониторинг, сбор, анализ и прогноз угроз для критической информационной инфраструктуре для раннего предупреждения и оповещения (на национальном уровне);
помощь в разработке планов, разработка стандартов, обмен передовым опытом и совершенствование закупок, связанных с защитой критической информационной инфраструктуры;
разработка стратегии защиты, политик, оценок уязвимостей, аудита, методологий и планов по их распространению и внедрению для защиты критической информационной инфраструктуры;
проведение научных исследований и развития смежных видов деятельности для защиты критической информационной инфраструктуры;
разработка и организация программ обучения и информирования, развитие аудита и органов по сертификации для защиты критической информационной инфраструктуры;
разработка и реализация национальных и международных стратегий сотрудничества в целях защиты критической информационной инфраструктуры;
разработка рекомендаций в области защиты критической информационной инфраструктуры, предупреждения и ликвидации последствий по согласованию с заинтересованными сторонами и тесной координацией CERT-India).
В июне 2018 года правительство штата Телангана на юге Индии в партнерстве с советом безопасности данных Индии (DSCI) создало центр передового опыта по кибербезопасности (CoE), внимание которого сосредоточено на стратегических областях, включая инновации, предпринимательство и наращивание кадрового потенциала.
Направления работы CoE:
создание инновационной экосистемы на государственном уровне,
сотрудничество с существующими инкубаторами и акселераторами развития,
наращивание технологического потенциала.
Стратегия кибербезопасности была представлена на 12-ом саммите по безопасности Индии «На пути к новой национальной стратегии кибербезопасности» в августе 2019. Стратегия в настоящее время опубликована для обсуждения профессиональным сообществом. Самым важным требованием к интернет-безопасности, обозначенным в стратегии, является развитие эффективной координации между министерствами, а также обеспечение защиты критической национальной инфраструктуры и вовлеченность в реализацию мероприятий в сфере информационной безопасности в равной степени как государственного, так и частного сектора.
В стране с 2006 года действует программа «Цифровая Индия».
Принципы и методология программы:
управление IT-инфраструктурой осуществляется государством, которое также способствует развитию стандартов и руководящих принципов, оказывает техническую поддержку, наращивает потенциал в этой области, проводит научно-исследовательские и опытно-конструкторские работы;
увеличение объёмов, переработка, использование интегрированных и совместимых систем, а также развёртывание новых технологий, таких, как облачные хранилища, будут проводиться в целях улучшения качества предоставления государственных услуг гражданам;
регионам будет предоставлена возможность введения проектов, специфичных для каждого региона в отдельности, в зависимости от их социально-экономических потребностей;
поддержка частных предпринимателей в выполнении проектов цифрового управления;
минимум в 10 министерствах должна быть создана должность IT-директора для более быстрой реализации различных проектов электронного управления.
Структура управления программой включает в себя управляющий комитет, возглавляемый премьер-министром, консультативную группу, правительственный комитет по экономическим вопросам, комитет по контролю выполнения программы, комитет по незапланированным расходам, совет руководителей реализации целей проекта.
Программа «Цифровая Индия» предусматривает создание инфраструктуры электронного правительства. Индийские власти используют программное обеспечение с открытым исходным кодом для построения электронного правительства. Бесплатное и открытое ПО должно считаться приоритетным для всех новых проектов электронного государственного управления, реализуемых федеральными ведомствами и властями штатов Индии. IT-системы, которые работают на базе проприетарного ПО, должны будут перейти на open source.
Федеральным и государственным органам предписаны преференции для открытого программного обеспечения при государственных закупках. В случае желания или необходимости использования проприетарных продуктов государственные заказчики обязаны объяснить причины выбора таких решений.
Однако не все сервисы государственных услуг гражданам и бизнесу будут построены на открытых продуктах. Предусмотрены исключения в тех областях, где с функциональной точки зрения невозможно использование софта с открытым исходным кодом или нет достаточного опыта для внедрения таких решений. Кроме того, преференции для open source могут быть сняты в случаях, когда речь идёт о срочных и стратегически важных проектах. Для указанных целей может быть использовано проприетарное ПО, созданное индийскими разработчиками.
Сотрудничество с Россией
Между правительством РФ и правительством Республики Индия в октябре 2016 подписано соглашение о сотрудничестве в области обеспечения безопасности в сфере использования информационно-коммуникационных технологий.
Стороны определили основные угрозы в области обеспечения безопасности в сфере использования ИКТ, имеющие для них существенное значение и требующие особого внимания. Среди таких угроз:
использование ИКТ, направленное на подрыв суверенитета, нарушение территориальной целостности и создание угрозы международному миру, правам человека, свободе выражения мнений, безопасности и стратегической стабильности;
атаки на критическую информационную инфраструктуру, которые могут подорвать безопасное и стабильное функционирование глобальных и национальных информационно-коммуникационных сетей, в том числе действия, способные нанести экономический вред;
террористические акты, в том числе пропаганда терроризма и вербовка для осуществления террористической деятельности, совершаемой с использованием ИКТ;
преступные деяния, совершаемые с использованием ИКТ;
распространение информации с использованием ИКТ с целью нарушить общественный порядок, общинное и социальное согласие и подорвать государственное управление;
угрозы безопасному и стабильному функционированию глобальной и национальной информационной инфраструктуры, имеющие природный и (или) техногенный характер.
Соглашением определены основные направления сотрудничества, общие принципы и механизмы, а также урегулированы вопросы конфиденциальности данных, финансирования и разрешения споров по данному соглашению.
Выводы
В Индии существует система нормативных правовых актов, регулирующая различные сферы, в том числе информационных технологий, незаконного контента, социальных сетей и мессенджеров, персональных данных, электронной подписи, интернет-кафе и т.д.
Приняты или в ближайшее время будут приняты стратегические документы по кибербезопасности и защите от киберугроз. Вместе с тем существуют не урегулированные или не в полной мере урегулированные вопросы, среди них защита интеллектуальных прав на контент в Интернете, основания и условия ограничения доступа к Интернету для граждан, безопасность биометрических персональных данных.
Интересным с точки зрения применения в РФ является механизм блокировки контента в чрезвычайной ситуации, который предусмотрен в законодательстве Индии и неоднократно применялся на практике.
В Индии также существует опыт массовых ограничений доступа к Интернету.
Следует обратить внимание на предложенные в октябре 2019 года Правительством Индии новые механизмы регулирования контента в Интернете. Для реализации данных механизмов подготовлены изменения в правила информационных технологий, касающиеся правил для посредников Основной целью указанных изменений является повышение ответственности посредников за размещаемый контент, а также обеспечение его прозрачности.
Предлагаемый индийскими властями набор регулятивных мер можно разделить на четыре блока:
1) требование к крупным онлайн-платформам, таким как Facebook, Google, Twitter, отслеживать в течение 24 часов по запросу правоохранительного органа происхождение контента, который не соответствуют местным законам, а также блокировать пользователя и удалять контента (в течение 24 часов) с сохранением удалённого контента в течение 180 дней для возможного расследования правоохранительными органами;
2) требование для любой платформы с более чем 5 миллионами пользователей назначить контактное лицо, которое круглосуточно и ежедневно будет доступно для связи с представителями правоохранительных органов и их представителям для координации совместных действий;
3) установка у провайдеров автоматических технических устройств для мониторинга трафика, которые позволят изолировать индийцев от противоправной информации путём удаления из социальных сетей незаконного контента;
4) требование к стандартам шифрования сообщений в мессенджерах с тем чтобы власти могли отследить отправителя.
Представляется интересным опыт Индии в рамках государственного проектов, связанных с использованием персональных данных.
Фото (с) ndtvimg.com
