Как Хабр взаимодействует с госорганами и другими заявителями. Transparency report за все годы12.02.2020 18:03

Привет, Хабр! Наконец-то представлюсь — меня зовут Алексей Шевелёв и в Хабре я руковожу отделом по работе с пользователями (куда входит фидбек через форму обратной связи по всем проектам), попутно являясь Комьюнити Менеджером. И так получается, что с некоторой периодичностью мне приходится взаимодействовать с различными службами. Сегодня я расскажу, как это происходит.

a6957c57397f505938b320baf64cfa5a.jpg

Intro. Inbox


Как правило, всё начинается с того, что к нам поступает запрос. Он может поступить по четырём каналам:

  • Звонок в офис. Такой формат взаимодействия мы не практикуем, так как он находится целиком за пределами правовой плоскости и не регламентирован законодательством. Поэтому все такого рода обращения вежливо отклоняются с предложением перевода в документальную плоскость, без исключений.
  • Письмо в офис. Как правило, когда я прихожу в офис, конверт уже лежит у меня на столе. По рассказам офис-менеджера, конверты приносит бабушка из почты России, реже — вооружённые до зубов ребята из спецсвязи.
  • Обращение через форму обратной связи. Обычно это что-то полуавтоматическое — письма о том, что нам срочно надо скрыть какую-то кем-то запрещённую информацию, иначе нас всех заблокируют. 
  • Автоматический обмен данными по принципу СОРМ. Это относительно новый способ взаимодействия, регламентированный последними изменениями в законодательстве. Для обмена в таком формате, сервис должен разработать и внедрить программно-аппаратный комплекс, подключенный каналом связи к пульту ФСБ. Мы на данный момент не владеем данным инструментарием и такого рода обмен не производим.


Запрос должен быть оформлен надлежащим образом, при поступлении следует установить наличие/отсутствие признаков его надлежащего оформления:
Конкретные примеры:  

  • ДА — на запрос на бумажном носителе, если есть «синяя» (оригинальная) печать, такая же подпись, и у органа есть полномочия. Обычно и внешний вид конвертов (если почтой) отличается.
  • НЕТ — на запрос по электронной почте. Официальный статус электронной почты отправителя должен быть прямо предусмотрен документом на бумаге или нормативным актом.
  • НЕТ — на запрос по электронной почте со сканом бумажного запроса. То же самое, что и просто по электронной почте.
  • ДА — на запрос по электронной почте, подписанный усиленной квалифицированной электронной подписью, и пришедший на адрес, объявленный как адрес организации. Например, info@tmtm.ru указан и на сайте, и на фирменном бланке.
  • НЕТ — на звонок по телефону, без исключений.


В более крупных проектах (типа соцсетей) разборами подобных запросов занимаются целые отделы, так как количество обращений там многократно больше. У нас таких запросов не более пары штук в месяц — сводную таблицу со всеми обращениями можно посмотреть в обновленном Transparency report.

Let«s go


На каждый из запросов законом определено определённое время на ответ. Например, на скрытие запрещённой для распространения на территории РФ информации Роскомнадзором отводится трое суток — если не уложиться в срок, то к сайту могут применить санкции. В случае с бумажными запросами времени больше — до 30 дней. Мы стараемся не затягивать с ответом, особенно если речь касается мошеннических действий или действий насильственного характера.

Обработка каждого обращения занимает немало времени, поэтому для удобства с нашими юристами был составлен небольшой документ с алгоритмом действий в тех или иных ситуациях. Последовательность действий для обработки одного запроса состоит из 15 шагов и задействует от 3 до 4 человек (с разными полномочиями). Алгоритм включает в себя такие шаги как «сканирование конверта и вложений со всех сторон», «заведение карточки документа в 1С.Документообороте» и «передача на хранение в розовую папку». Обязательный пункт в начале — сравнить контакты ведомства из сети с контактами на конверте, чтобы связаться с канцелярией и подтвердить факт отправки запроса.


Помимо алгоритма, в документе есть шаблонные ответы для типовых историй. Вот, например, как выглядит шаблон отказа на запрос в наиболее частом формате (отправка скана на электронную почту):

50e4829a9972e816c863f6d38dd2a119.png


Кстати, пока ЭП встречалась только у РКН (и у налоговой).

Helpdesk


Обращения через форму обратной связи со всех проектов попадают в наш хелпдеск (если хотите, то позже можем рассказать, как у нас там что устроено). В хелпдеске есть несколько разделов (для каждого проекта), все тикеты сортируются по ним, а также по типу обращения (который пользователь выбирает при отправке сообщения). Ещё в хелпдеске есть своего рода «Адресная книга», куда для удобства добавлены адреса различных ведомств, по которым также настроены правила. Например, если приходит письмо с адреса @rkn.gov.ru или коллеги вручную добавляют тикету тег «Legal» для «нестандартных» обращений, то мне на почту приходит письмо и я погружаюсь в бюрократические дебри. 

zeukoxmbawyk2zfcmw21jeuqg9y.png


Текст ответа, вдруг кому пригодится. Только дословно не списывайте
По результату рассмотрения запроса, изложенного в письме №12/3456 от 24.10.2019 г. (далее также — запрос), было вынесено решение об отказе в предоставлении запрашиваемой информации в связи с отсутствием или недостаточностью обоснования запроса.

Как следует из приведенных в запросе ссылок на нормы п.4. ст. 10, п. 10 ч. 1 ст. 13 Федерального закона Российской Федерации от 07.02.2011 № 3-ФЗ «О полиции» и ст. 6, ст. 15 Федерального закона РФ от 12.0.199 № 144-ФЗ «Об оперативно-розыскной деятельности», данный запрос направляется в рамках осуществления оперативно-розыскной деятельности, т.е. проведения оперативно-розыскного мероприятия.

Перечень оперативно-розыскных мероприятий установлен в ст. 6 Федерального закона РФ от 12.0.199 № 144-ФЗ «Об оперативно-розыскной деятельности» и является закрытым.

Перечень оснований для проведения оперативно-розыскных мероприятий установлен в ст. 7 Федерального закона РФ от 12.0.199 № 144-ФЗ «Об оперативно-розыскной деятельности» и также является закрытым. В полученном запросе не указано, в рамках какого именно оперативно-розыскного мероприятия направляется данный запрос, а также не указано основание для проведения такого оперативно-розыскного мероприятия. Таким образом, письмо №12/3456 от 24.10.2019 г. невозможно квалифицировать как законное и обоснованное требование о предоставлении информации. Просьба дополнить запрос недостающей информацией и направить на повторное рассмотрение.


Далее идёт стандартная работа с тикетом: Ответ → Пометить как решённое. Отдельный тег позволяет в любой момент выбрать все обращения, например, для того же Transparency report. Ну или чтобы посмотреть, что нет нерешённых тикетов.

Сначала все отработанные запросы добавляются во внутренний отчёт, с дополнительной информацией — кто обращался, когда, с какой почты, в какой проект и с каким запросом, что ответили, номер тикета и т.д.

8ce9101eb30d05fa7348e3dce8813e83.png


Как только запрос добавлен в таблицу со всей необходимой информацией, у тикета рядом с тегом «Legal» появляется тег «Transparency» — это удобно для того, чтобы всегда можно было проверить, все ли из обращений учтены в отчёте.

Transparency report


Первый наш публичный отчёт по обращениям появился в сентябре 2018 года, о чём мы сделали отдельную публикацию. Тогда мы ещё сами не понимали, в каком виде его лучше делать, но всё же решили поставить пользователей в известность о том, что иногда к нам обращаются, а заявителей — о том, что факт их обращения будет известен пользователям. Публиковать сами запросы пока не планируем, хотя иногда хочется — хотя бы по блокировкам, хотя бы в виде строчки типа такой: РКН — Блокировка статьи «Как ООО заплатить в 133 раза меньше налогов» по решению Андроповского районного суда Ставропольского края. Но пару примеров всё же рассмотрим чуть ниже.

Отчёт был не только в виде публикации, но и на отдельной странице в справочном разделе. Сложность заключалась в том, что обновление этого справочного раздела было проблематичным — до недавних пор у нас не было инструментария для оперативной правки справочной информации. Как следствие, отчёт заканчивался 2018-ым годом, а правка любой опечатки или неточности в справочном разделе проходила 7 кругов ада: жира → что поменять → на что поменять → ещё и в английской версии → гитхаб → протестировать → выгрузить и т.д. Но есть и хорошая новость: мы уже тестируем наш новый WYSIWYG-редактор и первым местом его использования стала как раз админка для работы с документами и справочным разделом, поэтому совсем скоро информация будет обновляться за считанные минуты. 

Так, про отчёт. В нём появилась информация за 2019 и 2020 годы, а прошлые периоды пополнились информацией с других проектов — потому что раньше такой отчёт был только по Хабру, а с недавних пор все проекты живут под одной крышей.

Вкратце: за 2020 год было 2 обращения, за 2019 — 14. Самым плодовитым является Роскомнадзор, на втором месте — МВД.

Данные по запросам за 2019 и 2020

2020


2019


Ошибка заявителя: 3, отклонены


Ни о каких массовых запросах, как в социальных сетях, речи не идёт — это штучные истории, которые при изучении контекста могут показаться вполне закономерными.

Примеры


Отчёт пополнился обращением от 2012 года (видимо, именно тогда службы открыли для себя Хабр) — оно самое первое и самое безобидное.»Возможно ли с вами организовать быструю взаимосвязь по обмену информацией в рамках правового поля? » — в свободной форме поинтересовался руководитель отдела по борьбе с киберпреступностью из соседнего государства.

Вообще, Transparency report — это не только запросы от правоохранителей, но и любые другие «официальные» обращения, например, от правообладателей. Поэтому не совсем корректно читать «к нам поступил запрос» как «к нам постучал т-щ майор».

Запросы от спецслужб

К слову, запросов от товарищей майоров я не помню. Если и приходит запрос, то он приходит от какого-нибудь следователя в рамках какого-то уголовного дела (поэтому рассказывать подробности мы тут не можем). Например, по делу о мошенничестве на «Фрилансим» — да, как и везде: недобросовестные пользователи у нас тоже иногда попадаются. Но это вовсе не значит, что их данные мы будем раздавать налево и направо.

baeb90982c2245cbd08eab4e84da05a9.jpg


Признаки правильно оформленного обращения:

Типографский бланк (не всегда) Реально существующее подразделение органа власти  Наличие даты и номера исходящего. В дежурной части должны подтвердить номер Верно указанный получатель Наличие в запросе указание на основание (номер дела, КУСП) Описание конкретной запрашиваемой информации Наличие контактов непосредственного исполнителя. В дежурной части должны знать этого человека Печать (не всегда) Подпись (не напечатанная и не факсимиле)


Часть запросов отклоняется ввиду некорректного заявления и повторно по ним ничего не запрашивается. Если же запрос оформлен корректно, то почти всегда там запрашивают абстрактные «регистрационные данные» по аккаунту: дату/время регистрации и последнего входа, номер телефона (кхе) указанный при регистрации, ФИО и т.д. — ощущение, что бездумно копируют из методички, составленной для других проектов. В таком случае прямо на фирменном бланке печатаем дату/время регистрации и последнего входа, почту и указанное в профиле имя, IP-адреса — практически всё то, что в большинстве случаев и без нас можно увидеть в профиле пользователя. И уж совсем редко (было раза два или три) запрашивают «журналы посещений» пользователя за некий период. В таком случае приходится делать выгрузку данных из логов сервера и печатать её мелким шрифтом. Если пользователь метался по сайту как раненый сайгак, то речь про пачку бумаги. В таком документе содержится лишь информация вида «дата-ip-урл», без текстов статей, комментариев и уж тем более личных сообщений. Визуально это чтиво чем-то похоже на логи веб-сервера. Уж не знаю, насколько это помогает в борьбе с чем/кем-либо, но, как говорится, «какое ТЗ…».

Вот вам ошибочный запрос — можно потренироваться в поиске ошибок:

203dacba5c2f86f0dfbf06e608662cc9.png


РКН

Что больше всего бесит, так это признание информации запрещённой к распространению, то есть «письма счастья» от Роскомнадзора. Просто приходит письмо: такой-то урл по решению такого-то суда попал в реестр запрещённой информации, не скроете — заблокируем. Приходится сначала исполнять это постановление (скрывать пост или удалять картинку), а уже потом разбираться что да почему. Каждый раз мы изучаем контекст, в том числе для поиска ответа «Ээ, но зачем?» и почти никогда не находим ответа. В основном под раздачу попадают посты многолетней давности, которые «давно отшумели» и расползлись по сети, но которые, видимо, нашлись по каким-то ключевым словам — от «налогов» до «напечатали пистолет на 3д-принтере». Хотя однажды РКН всё же принёс пользу — запретил аккаунт с названием казино в логине и сео-спамом в профиле, который мы бы и без судебных заседаний заблокировали.

Чего-то реально опасного или вредного в списке заблокированного (на данный момент) мы не видим, поэтому поступаем так:

  • Связываемся с авторами заблокированных публикаций и стараемся оказать им юридическую помощь в оспаривании постановления (так как почти всегда они идут с нарушениями, например, без нашего участия в судебных заседаниях). Обычно авторы не горят желанием тратить на это время, именно поэтому в Transparency report напротив РКН почти везде «Удовлетворено» и лишь несколько «Оспорено». Во втором случае у нас было несколько успешных историй — вот, например, одна из них.
  • Планируем доработать механизм скрытия заблокированных публикаций, выдавая ошибку 451 в той стране, которая инициировала блокировку (пока у нас это только одна страна).


Правообладатели

За всё время было всего 3 обращения — все три от Google (об исключении статьи из результатов поиска) и все три в один день. Например, про утечку исходников Mortal Kombat — сообщили, что это новость, а не сами исходники и нас восстановили (можно погуглить). 

* * *

Но бывают и необычные случаи. Например, однажды к нам поступило постановление из ФССП по имущественному спору, согласно которому мы были обязаны заблокировать учётную запись одного из пользователей, которую суд посчитал его имуществом. Мы постарались оказать юридическую помощь, но всё решилось проще — пользователь завёл новую учётную запись.

Мопед не мой

Или вот иногда из МВД к нам приходят запросы с просьбой предоставить данные по различным пользователям сервиса «ДругВокруг». Таких запросов уже 5 штук. Мы пытались выяснить у инициаторов запросов их логику, но самым внятным ответом оказалось «нашли в интернете». Пытались поискать — максимум нашли карточку компании «Друг Вокруг» на нашем сервисе career.habr.com (ранее — «Мой Круг»), в подвале которого располагалась контактная информация нашей организации. Это всё, что вам надо знать… ну вы поняли.


The end


Как видите, масштабы обращений к нам не такие грандиозные, как у тех же социальных сетей. Во многом потому, что вся информация о пользователе доступна всем, будь то посты или комментарии. Всё взаимодействие осуществляется только через официальные запросы с соблюдением всех формальностей, без каких-либо недокументированных и подковёрных запросов. И предпосылок к росту количества мы не видим, как не видим и необходимости в «Свидетельстве канарейки». Наоборот, думаем, что со сменой юрисдикции юрлица, управляющего Хабром, количество обращений сократится — это всё ещё впереди, поживём-увидим.

* * * 

Чуть было не закончил эту статью невероятным фактом — что в отделе по работе с пользователями (фидбек по всем проектам, модерация всего контента) трудится 4 лучших человека (краповые береты, выросшие на Хабре). Но вовремя остановил себя, поняв, что рассказ о них достоин отдельного поста.

© Habrahabr.ru