IT-компании поспорили с Роскомнадзором о предоставлении доступа к их серверам и коду
Роскомнадзор (РКН) запросил доступ к программно-техническим средствам рекомендательных сервисов компаний, то есть серверам и коду, следует из документа, детализирующего реализацию закона о рекомендательных алгоритмах. Однако никакие подробности этого процесса не оговорены, посетовал бизнес, с отзывами которого ознакомился Forbes. В результате, по информации Forbes, интернет-компаниям удалось все же отбиться от требований предоставлять РКН удаленный доступ к своим внутренним системам. Но даже это может не уберечь бизнес от возможных злоупотреблений, которые способны повлечь за собой появление нового закона, рассуждают эксперты
Рекомендации на практике
Бизнес раскритиковал приказа РКН, в котором служба определяет порядок взаимодействия с владельцами сайтов с рекомендательными сервисами. Этот документ опубликован на портале проектов нормативных правовых актов 7 августа и поясняет, как ведомство будет контролировать исполнение закона о рекомендательных алгоритмах.
Законопроект на рассмотрение Госдумы депутат от "Единой России" Антон Горелкин 24 июня, и уже спустя месяц, 25 июля, он был принят в третьем чтении. Закон обязывает владельцев сервисов сообщать пользователям о том, что на данном ресурсе применяются рекомендательные алгоритмы. Для этого они должны разместить на своих сайтах правила их применения, описывающие такие технологии и перечисляющие виды собираемых ресурсом сведений о предпочтениях пользователей. Следить за выполнением этих требований будет РКН. Служба сможет также запретить использовать рекомендательные сервисы или заблокировать ресурс, если его требования не будут исполнены. Закон вступит в силу 1 октября 2023 года. Согласно проекту приказа, чтобы проверить, как сайт исполняет требования закона о рекомендательных сервисах, РКН может запросить у владельца сайта доступ к программно-техническим средствам компании. По сути, речь может идти о доступе к серверам и коду.
Подотчетный код
Forbes ознакомился с отзывами представителей бизнеса на проект приказа Роскомнадзора. Документ никак не поясняет, каким именно образом РКН будет получать доступ к серверам и коду компаний, отмечает в своем отзыве "Опора России" (представляет интересы малого и среднего бизнеса). На практике это может привести к "избыточному подходу к решению данного вопроса и неопределенности для владельцев ресурсов", подчеркнули в организации.
Организация такого доступа для РКН может потребовать доработки внутренних информационных систем компании, добавляют в Комиссии по связи Российского союза промышленников и предпринимателей (РСПП). На это нужно время, а кроме того, это потребует расходов, считают эксперты РСПП. Однако РКН хочет, чтобы доступ был обеспечен в течение 10 дней, что весьма затруднительно для компаний, тем более без предварительной подготовки по заранее определенному сценарию, сказали в комиссии РСПП.
Также предоставление доступа РКН может привести к раскрытию конфиденциальной информации: исходному коду, другим алгоритмам работы ресурса. Это ставит под вопрос сохранность этой информации и ограничения круга ее получателей, говорят в РСПП.
Впрочем, как пояснили Forbes в РКН, для исполнения требований закона использование тех же функциональных возможностей, которые применяются для обслуживания программно-технических средств, допустимо без модернизации.
Сервера навынос
Несмотря на заверения РКН, бизнес по-прежнему опасается возможных негативных последствий вступления проекта приказа в силу. Так, удаленный доступ к техническим средствам рекомендательных технологий значительно повышает риски в части информационной безопасности систем компании, указывают в "Триколоре".
"Медиа-коммуникационный союз" (МКС, объединяет "Газпром-медиа", ВГТРК, "Национальную медиа-группу", "СТС медиа" и др.) попросил РКН разрешить доступ к техническим средствам на месте их расположения, а не удаленно.
В итоге после этапа общественного обсуждения РКН, по информации Forbes, скорректировал проект приказа, оговорив, что доступ к техническим средствам рекомендательных сервисов компания может организовать на месте их расположения или же по своему усмотрению.
Несмотря на это, у экспертов остаются вопросы относительно того, как именно ведомство будет получать доступ к серверам и коду компаний и какое у этого будет обоснование. Если рекомендательный сервис построен на технологии искусственного интеллекта, то изучать его — достаточно сложная задача даже для специалиста высокого уровня, обращает внимание генеральный директор Института исследований интернета Карен Казарян. Впрочем, если доступ будет организован на территории компании и по ее правилам, то это не так критично, как удаленный доступ РКН к внутренним системам компании, добавил он. Однако риск утечек со стороны сотрудника РКН или ее подрядчика сохраняется, считает эксперт.
Современные рекомендательные алгоритмы очень плотно интегрированы с кодом всего продукта, говорит председатель совета Фонда развития цифровой экономики Герман Клименко. По его словам, чтобы проверить то, как работает рекомендательный алгоритм, нужно изучить весь код продукта, а это десятки тысяч строчек кода: "На это нужно очень много времени и программисты высокого уровня. Никто это смотреть не будет, даже если РКН найдет десятки или сотни первоклассных программистов".
При этом если РКН захочет обвинить компанию в том, что она предоставила неполную или некорректную информацию о своих рекомендательных сервисах, то служба всегда это может сделать, считает Клименко: "Даже если компания отгрузит РКН весь свой код и предоставит всю возможную информацию".
